Фінська компанія з кібербезпеки WithSecure виявила в січні 2026 року раніше невідоме угруповання GreyVibe, яке з серпня 2025 року систематично атакує українські та пов’язані з Україною організації – військові, урядові, цивільні та бізнес-структури. Зв’язок із російськомовними акторами підтверджується мовою інтерфейсів шкідливого ПЗ, коментарями в коді та часовим поясом UTC+3 на командно-контрольних серверах. Угруповання застосовує кілька векторів атак: PhantomMail – фішингові листи з шкідливими архівами через Google Drive та 4sync з документами-приманками під урядові, енергетичні та телекомунікаційні організації України; PhantomClick – підроблені CAPTCHA-сторінки під Zoom та LAPAS, які змушують жертву вручну запустити шкідливу команду; PrincessClub – фейкові українські сайти дорослого контенту, що доставляють інструмент FallSpy. 

У березні–квітні 2026 року дослідники зафіксували збіг інфраструктури з кампанією DroneLink, у якій використовувалися сайти, замасковані під благодійні фонди підтримки ЗСУ – зокрема, сайти, присвячені FPV-дронам та БПЛА. Угруповання використовує штучний інтелект – ChatGPT та Gemini для прискорення створення фішингових приманок, розробки шкідливого ПЗ та побудови фейкових сайтів. Дослідники WithSecure характеризують GreyVibe як групу з операційними амбіціями, але без ознак елітної майстерності, що притаманна АРТ-угрупованням державного рівня.