La inteligencia artificial ya no solo sirve para escribir correos, dibujar imágenes o resumir textos. También entra en campañas de ciberataques. El grupo GreyVibe, vinculado a Rusia, ha usado ChatGPT, Google Gemini e Ideogram AI para fabricar documentos falsos, imágenes y cebos de ingeniería social dirigidos contra organizaciones ucranianas.
La operación salió a la luz a comienzos de 2026, aunque el rastro técnico apunta a una actividad sostenida desde al menos agosto de 2025. El blanco no era un único sector. Alcanzaba a organismos gubernamentales, estructuras militares, empresas privadas y organizaciones civiles.
GreyVibe mezcló IA generativa con viejos trucos de suplantación
No hablamos de una campaña basada en una sola puerta de entrada. Los atacantes repartían archivos comprimidos por correo electrónico con apariencia de mensajes oficiales y los alojaban en servicios legítimos de almacenamiento en la nube, una elección que ayuda a rebajar sospechas en el primer clic.
Ese camuflaje adoptaba varias máscaras. Unas veces imitaba organismos públicos ucranianos. Otras, compañías energéticas, operadoras de telecomunicaciones o servicios de emergencia, nombres que en un país en guerra tienen un peso inmediato sobre quien recibe el mensaje.
Además, el grupo levantó páginas falsas que copiaban supuestos procesos de verificación de seguridad de plataformas de videoconferencia y sistemas de protección web. La trampa resultaba simple y eficaz, porque empujaba a la víctima a ejecutar comandos en su propio equipo creyendo que estaba resolviendo un problema técnico.
La maniobra no terminaba en el navegador. GreyVibe también creó falsos portales de citas y páginas para adultos orientadas al público ucraniano, un señuelo distinto para contextos privados que acababa distribuyendo programas espía para Android y herramientas maliciosas para Windows.
Los personajes inventados hablaron con las víctimas antes del robo
Ahí aparece uno de los rasgos más inquietantes de la campaña. Los atacantes usaron personajes ficticios en aplicaciones de mensajería para conversar con las víctimas antes de extraer información, una táctica que convierte el engaño en una relación y no en un simple enlace malicioso.
La ingeniería social siempre ha explotado confianza, urgencia o curiosidad, pero aquí gana escala con herramientas capaces de producir textos e imágenes convincentes en poco tiempo. GreyVibe utilizó modelos de IA para generar materiales falsificados y reforzar la suplantación, de modo que el fraude podía adaptarse a múltiples escenarios sin partir de cero.
El rastro técnico apunta a Rusia aunque el ataque buscó parecer cotidiano
Los indicios sobre el origen ruso no descansan en una sola pista. Aparecen en el idioma ruso encontrado dentro de herramientas maliciosas, en comentarios insertados en el código y en la configuración horaria de las infraestructuras de mando y control ajustada a la zona de Moscú.
Mientras tanto, de cara a la víctima todo parecía rutinario. Un archivo en la nube, una verificación de seguridad, una conversación en una app de mensajería o incluso un portal aparentemente banal bastaban para esconder una cadena de intrusión mucho más amplia.
Los programas espía buscaban desde contraseñas hasta mensajes y ubicación
Entre las piezas detectadas figura LegionRelay, un troyano de acceso remoto basado en PowerShell. Su función iba bastante más allá de abrir una puerta trasera, porque extraía archivos, capturaba pantallas, obtenía credenciales guardadas en navegadores y recopilaba datos de Telegram y WhatsApp.
PhantomRelay cumplía un papel parecido con otro enfoque. Recopilaba información del sistema comprometido, ejecutaba comandos remotos y cargaba scripts de forma dinámica, lo que permitía ajustar capacidades sobre la marcha según el equipo infectado.
En móviles Android apareció FallSpy. El programa espía recogía contactos, registros de llamadas, ubicaciones, archivos multimedia, información de red y datos de tarjetas SIM, una combinación que dibuja no solo qué hace una persona, sino también con quién habla y por dónde se mueve.
Ese salto entre ordenadores y teléfonos recuerda que la frontera entre vida laboral y vida privada casi nunca está donde creemos. En una misma campaña conviven el documento falso que entra por correo, la charla en mensajería y el spyware que termina leyendo el dispositivo que llevamos en el bolsillo.
La campaña también dejó huellas en plataformas públicas
Otro detalle revelador es que los operadores subieron versiones de prueba del malware a plataformas públicas de análisis. Ese gesto suele delatar fases de ajuste, ensayo o validación, como quien prueba una cerradura antes de intentar abrir una puerta real.
Los intrusos, además, desplegaron programas de minería de criptomonedas en equipos comprometidos. No solo robaban información. También exprimían recursos de las máquinas infectadas, una doble explotación que convierte cada acceso en espionaje y en fuente de cómputo secuestrado.
Entre agosto de 2025 y comienzos de 2026, la campaña combinó correos falsos, webs clonadas, personajes inventados, troyanos para Windows y spyware para Android. La lista impresiona menos por cada pieza aislada que por la suma, porque todas encajan en la misma rutina de engaño y extracción de datos.