El cluster ruso GreyVibe usa ChatGPT y Gemini para fabricar señuelos de phishing contra entidades ucranianas.
GreyVibe, cluster de amenaza con trazas de patrocinio ruso, lleva activo atacando entidades ucranianas con una combinación de señuelos generados por IA y malware personalizado. La novedad documentada: el grupo usa directamente ChatGPT y Gemini — modelos comerciales de acceso público — para producir contenido de phishing con calidad lingüística elevada.
Los lures no tienen los errores típicos del phishing masivo. Están redactados en el idioma de la víctima, con contexto situacional plausible. El resultado es contenido *difícil de distinguir de comunicaciones legítimas*, incluso para usuarios con criterio técnico.
El arsenal del grupo incluye herramientas de malware a medida, lo que apunta a una operación con recursos y planificación deliberada. El componente IA no reemplaza al malware: actúa en la fase de entrada y lo complementa.
Antes, producir spear-phishing creíble a escala requería operativos con dominio nativo del idioma objetivo. Ahora, ChatGPT y Gemini eliminan esa fricción. Cualquier cluster con una cuenta de pago puede generar cientos de lures personalizados por día.
Los APT (grupos de hackers patrocinados por un país) no necesitan entrenar modelos propios. Las herramientas comerciales son suficientes. Y al estar distribuidas globalmente, los IOC (huellas técnicas que delatan el ataque) del modelo usado no sirven como señal de detección.
Esto rompe un heurístico de defensa clásico: flagear phishing por mala calidad de escritura. Ese indicador ya no aplica.
GreyVibe no es un caso aislado — es la confirmación de que la IA generativa ya es infraestructura estándar en operaciones ofensivas. Los defensores que no adapten sus TTPs (tácticas, técnicas y procedimientos de detección) a contenido pulido por LLMs van a acumular falsos negativos de forma sistemática.
Ayuda a que más gente descubra BBLabs News.
¿Quieres recibir noticias así cada día?
Ver todos los artículos
