El mundo del ciberespionaje ruso tiene un nuevo y ruidoso inquilino. Le hablo de GREYVIBE: un grupo detectado en agosto de 2025, activo hasta ahora solo contra Ucrania, pero con una firma tan peculiar que merece la pena analizarlo desde ya. Con IA generativa en el centro de su operativa, errores de principiante y hasta una veta de cibercrimen, GREYVIBE difumina las líneas entre agente estatal, criminal oportunista y laboratorio de hacking con prisas. Según el informe detallado de WithSecure, la amenaza es real, aunque su OpSec sea un desastre.
Un grupo ruso que usa IA y malware propio para atacar a objetivos militares y civiles en Ucrania. La firma finlandesa WithSecure ha documentado cinco cadenas de ataque diferenciadas: PhantomMail, PhantomClick, PrincessClub, DroneLink y Nebo. Cada una tiene su propio señuelo y su propio implante. Las víctimas abarcan desde organismos militares y gubernamentales hasta entidades civiles y empresariales. El objetivo declarado es el espionaje, pero hay matices.
Anatomía de una operación híbrida: entre el GRU y el cibercrimen
La cadena de ataque PrincessClub utiliza webs falsas de clubes para adultos ucranianos que entregan spyware para Android. Sí, ha leído bien. El señuelo es insólito, pero efectivo: al visitar el sitio, la víctima descarga FallSpy, un troyano de acceso remoto, o un RAT para Windows, según su dispositivo. Las versiones más recientes añaden incluso una videollamada WebRTC en directo, capturando audio y vídeo del objetivo en tiempo real. Es HUMINT digital puro: la técnica de la honey trap llevada al código.
PhantomMail recurre a correos de spear-phishing con enlaces a Google Drive y 4sync. Esconden cargadores en JavaScript y un RAT en PowerShell bautizado como PhantomRelay. Lo interesante es la capa de ofuscación: scripts generados con ayuda de IA, según WithSecure, lo que complica la detección por firmas. La herramienta PhantomRelay ha aparecido luego en campañas ajenas, lo que sugiere reutilización cruzada o colaboración con otros actores.
En DroneLink, los atacantes suplantan webs de fundaciones benéficas que apoyan a las fuerzas armadas ucranianas. Ofrecen software de VPN WireGuard legítimo, pero empaquetado con un RAT ligero llamado LegionRelay. Nebo, la cadena más audaz, presenta una pantalla de inicio de sesión del Ministerio de Defensa ruso falsa. El objetivo: convencer a personal militar ucraniano de que están accediendo a una terminal rusa y hacerles introducir sus credenciales. Puro false flag improvisado.
El uso de IA no es incidental: GREYVIBE genera imágenes con Ideogram AI, desarrolla código con ChatGPT y Google Gemini, y automatiza comandos post-compromiso. La intención es evidente: compensar carencias técnicas con velocidad de producción. Pero el resultado es un batiburrillo: fallos de diseño en LegionRelay expusieron su backend a los investigadores, subieron muestras de prueba a VirusTotal y usaron nombres de artefactos como «letsrollboyos» o «cuteuwu». Como si un equipo de adolescentes rusos hubiese recibido un encargo del Kremlin.
El espionaje no se mide por las redes que se desmantelan, sino por las que siguen vivas el tiempo suficiente como para que ya no importe.
El historial de los servicios rusos: del FSB criminal al híbrido actual
No es la primera vez que Rusia tolera o dirige actores criminales cuando sus intereses se alinean. Con el FSB siempre ha existido una zona gris: grupos como TrickBot o UAC-0098 han operado con protección implícita mientras atacaban objetivos occidentales. La novedad con GREYVIBE es la falta de disimulo. Las costuras entre el encargo estatal y el negocio paralelo quedan a la vista.
WithSecure ha encontrado evidencias de minería de criptomonedas en algunas máquinas infectadas. Un implante XMRig para Monero, un clásico del cibercrimen, se coló en la operación. Ningún servicio de inteligencia disciplinado permite que sus agentes hagan minado de criptomonedas en los equipos comprometidos de un objetivo militar. Esto no es el GRU ni el SVR. Es otra cosa.
De hecho, el informe apunta con confianza moderada a vínculos con el ecosistema cibercriminal ruso y con baja a media confianza a que sus miembros son criminales actuales o antiguos. La pregunta del millón es si han sido absorbidos por un programa estatal, si operan por libre bajo encargo o si son un equipo híbrido. Yo me inclino por esto último: un experimento de bajo coste con plausible negación.
Y sin embargo, el daño está hecho. Llevan casi un año ejecutando campañas persistentes contra objetivos ucranianos, robando credenciales, escuchando conversaciones, minando datos. La guerra en Ucrania ha acelerado la externalización del espionaje ruso hacia proveedores no estatales. GREYVIBE es el ejemplo más colorista, pero no será el último. De hecho, la tendencia preocupa en Fort Meade y en Vauxhall Cross. En la Casa de Castelló también.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es un ciberataque persistente de tipo APT con fuerte apoyo de IA generativa y componentes de cibercrimen. Las cadenas de ataque combinan spear-phishing, sitios web fraudulentos, suplantación de identidad y técnicas de ingeniería social con un componente HUMINT digital —la captación mediante señuelos de contenido adulto o benéfico— que demuestra un conocimiento operativo del terreno ucraniano. Los payloads son RATs y spyware con capacidades de exfiltración de audio, vídeo y datos.
Las agencias implicadas son, en el plano ofensivo, GREYVIBE, con vínculos probables pero no concluyentes con estructuras de inteligencia rusas —posiblemente el GRU o el FSB a través de intermediarios— y con grupos criminales como TrickBot. En el plano defensivo, el Servicio de Seguridad de Ucrania (SBU) y el CERT-UA, junto con firmas de ciberseguridad occidentales, son los que están conteniendo y documentando la amenaza. En el plano de los observadores interesados, el CNI y el CCN-CERT monitorizan este tipo de híbridos porque España alberga infraestructuras críticas que podrían ser objetivo de actores similares en un contexto de conflicto híbrido. La frontera sur, con Marruecos y sus propios grupos APT, añade otra capa de interés.
En cuanto al nivel de clasificación, a juzgar por la naturaleza del material intervenido —troyanos de desarrollo propio, infraestructura de mando y control, señuelos operativos— y la exposición de métodos de inteligencia rusos, estimo un nivel de Reservado o Confidencial para los informes internos ucranianos y de Secreto para las evaluaciones de atribución de las agencias de la OTAN. El precedente histórico que me viene a la mente es la Operación Olympic Games (Stuxnet), no por la sofisticación —GREYVIBE está a años luz— sino por el modelo de colaboración difusa entre actores estatales y no estatales que anticipa. En aquella operación, Israel y Estados Unidos usaron a terceros para infiltrar el malware en Natanz. Aquí, Rusia parece estar experimentando con una constelación más barata y caótica de proveedores.
Reconozco una contradicción en mi propio análisis: si GREYVIBE es tan torpe, ¿por qué lleva activo un año sin ser neutralizado? La respuesta, creo, está en la saturación del espacio de batalla cibernético ucraniano. Con más de un centenar de APT rusos operando al mismo tiempo, un grupo ruidoso pero persistente puede pasar desapercibido entre el ruido de fondo. Es la paradoja del camuflaje en la era de la hiperconectividad. La campaña Nebo, con su pantalla de inicio de sesión rusa falsa, me parece especialmente reveladora: apunta a una operación psicológica tanto como a una de recolección de inteligencia. Un fracaso técnico puede ser un éxito propagandístico.
Lo que está en juego no es solo la seguridad de las comunicaciones militares ucranianas. Es la credibilidad futura de la atribución en ciberinteligencia. Si los Estados aprenden a delegar en híbridos criminales con IA, la pregunta clásica —¿quién lo hizo?— se vuelve imposible de responder con certeza. Y sin atribución, la disuasión cibernética se desmorona. Estaremos, como escribí en El quinto elemento, ante un mundo donde cualquier infraestructura crítica puede ser atacada con un clic y donde el responsable se esconde tras una maraña de intermediarios y criptomineros.
El próximo informe del ODNI sobre amenazas híbridas, previsto para otoño de 2026, debería evaluar si esta tendencia se consolida. Si GREYVIBE es un caso aislado o el prototipo de un nuevo modelo de agresión asequible. En Moncloa.com seguiremos muy de cerca cualquier eco de esta operación en territorio español. Los señuelos adult-club, por cierto, recuerdan demasiado a ciertas trampas HUMINT que el CNI ha visto en sus contrainteligencias en el sur. Permítame dejar esa reflexión en el aire.
