Chainsaw cuts through Windows event logs faster than you can say "lateral movement."
When you're triaging a Windows compromise and drowning in EVTX files, Chainsaw by WithSecure is the tool that gets you answers in seconds, not hours. It's built for speed — rip through gigabytes of event logs, hunt for known-bad patterns, and surface the signals that matter.
Three reasons it lives in every IR toolkit:
1. Native Sigma support — drop in community detection rules and run them at scale across entire log sets. No conversion, no friction.
2. Hunting mode — search for specific event IDs, usernames, process names, or IP addresses across thousands of EVTX files in one pass. Perfect for pivoting on IOCs during active investigations.
3. Flexible output — table view for quick triage, CSV/JSON for feeding into your SIEM or timeline tools. Chainsaw plays well with the rest of your stack.
Real-world use case: You've got a suspected domain admin compromise. Chainsaw lets you hunt for 4624 logons with that account across every domain controller in minutes, then export matches as JSON and correlate with process execution logs from Sysmon. Pair it with Hayabusa for deeper hunting and you've got a complete Windows log analysis pipeline.
Grab it from the WithSecure Labs GitHub. If you're doing Windows IR without Chainsaw, you're working too hard.
#DFIRTools #IncidentResponse
1
14
Jun 10
Products had to demonstrate their capabilities using all components and protection layers.
#Acronis #Avast #HPSecurity #Kaspersky #Legendsec #Microsoft #Microworld #NetProtector #Norton #Qualys #Seqrite #Sophos #Symantec #Trellix #WithSecure
1
196
Jun 10
Die Produkte mussten ihre Fähigkeiten unter Einsatz sämtlicher Funktionen und Schutzebenen unter Beweis stellen.
#Acronis #Avast #HPSecurity #Kaspersky #Legendsec #Microsoft #Microworld #NetProtector #Norton #Qualys #Seqrite #Sophos #Symantec #Trellix #WithSecure
1
64
Jun 9
Secure Salesforce without disruption.
@Netsoftmate powered by @WithSecure protects Salesforce from files, URLs & zero-day threats.
Protect | Isolate | Secure
🌐netsoftmate.com
#SalesforceSecurity #CloudSecurity #WithSecure #Netsoftmate
23
Dutch IT Channel - WithSecure introduceert nieuwe beveiligingsoplossingen voor MSP’s en cybersecuritypartners dutchitchannel.nl/event/7528…
14
فيه مجموعة اختراق روسية 🇷🇺 جديدة تعتمد على الذكاء الاصطناعي بشكل احترافي في هجماتها وتركز على جهات عسكرية وحكومية ومدنية (تحديداً أوكرانيا🇺🇦)
اسمها (GreyVibe)
شركة (WithSecure) رصدتهم في يناير الماضي واكتشفت انهم روسيين من توقيت سيرفرات C2 .
يتبع/
3
6
44
8,515
Jun 8
Identity threats start with compromised accounts.
@Netsoftmate powered by @WithSecure helps detect and stop identity threats early.
Detect | Protect | Respond
🌐 netsoftmate.com
#Netsoftmate #WithSecure #IdentitySecurity #CyberResilience
7
Dadicke retweeted
Jun 7
Der mutmaßlich russische Akteur GreyVibe nutzt KI-Tools wie #ChatGPT und #Gemini für Cyberangriffe. WithSecure dokumentiert die Kampagnen gegen die Ukraine. it-daily.net/shortnews/chatg…
1
1
191
Jun 4
"Suomalaisyhtiö paljasti hakkeriryhmän toimintatapoja ukrainalaisia vastaan
Ryhmän erityispiirteenä on generatiivisen tekoälyn järjestelmällinen hyödyntäminen."
verkkouutiset.fi/a/suomalais…
#WithSecure #Greyvibe
1
6
191
Finnish cybersecurity firm WithSecure has revealed details about the activities of the previously unknown Greyvibe hacker group, which has been attacking soldiers, officials, and civilians in Ukraine since at least August 2025.
verkkouutiset.fi/a/suomalais…
1
3
8
209
Jun 4
#AI is helping threat actors scale cyber campaigns. @WithSecure researchers say the Russian-speaking threat group GreyVibe used ChatGPT, Gemini and other tools to run five parallel attack chains targeting Ukraine. #cybersecurity #CISO #infosec bit.ly/3RTzCeL
1
342
Selon WithSecure, des pirates informatiques liés à la Russie ciblent l'Ukraine en utilisant l'intelligence artificielle via des sites de rencontre et de fausses pages de vérification
theins.ru/news/293287
5
9
381
Jun 2
Связанные с Россией хакеры атакуют Украину с помощью ИИ через сайты знакомств и фиктивные страницы верификации — отчет WithSecure storage.googleapis.com/plmrp…
2
9
29
5,164
Jun 2
#AI is helping threat actors scale cyber campaigns. @WithSecure researchers say the Russian-speaking threat group GreyVibe used ChatGPT, Gemini and other tools to run five parallel attack chains targeting Ukraine. #cybersecurity #CISO #infosec bit.ly/3RTzCeL
3
340
May 30
ロシア寄りとみられる新たな攻撃グループ「GREYVIBE」が、ChatGPTやGoogle Geminiなどの生成AIを活用してサイバー攻撃を強化していることが判明した。AIを使ってフィッシング文面やマルウェアを開発し、ウクライナ関連組織への攻撃を拡大している。
WithSecureによると、GREYVIBEは2025年8月以降に活動を開始し、ウクライナの政府機関や軍関係者、民間組織を標的としている。偽CAPTCHAサイトやフィッシングメール、偽のWebサイトを使い、Google Drive経由で不正ファイルを配布。Telegram上の偽アカウントを利用したソーシャルエンジニアリングも確認された。
同グループはChatGPT、Google Gemini、Ideogram AIを利用してフィッシング誘導文やマルウェア部品を生成していた。PowerShellベースのRAT「LegionRelay」や各種ローダーのコードにはAI生成の特徴が見られ、開発速度の向上やコード再利用の削減に役立っていたという。
一方で、AI活用により技術力不足を補っている痕跡もあり、テスト用サンプルを公開サイトへ誤ってアップロードするなど運用面の未熟さも確認された。研究者は、生成AIによって中程度の技術力しか持たない攻撃者でも高度な攻撃を実施できるようになり、検知や攻撃者特定がさらに困難になっていると警告している。
cybersecuritynews.com/greyvi…
1
7
15
1,810
GREYVIBE: A Russia-nexus group leveraging AI across state-aligned operations
WithSecure
labs.withsecure.com/publicat…
@WithSecure
14
26
1,469
偽サイトやおとりの作成からマルウェア開発、侵害後の作業まで、生成AIを全工程に使う新たなロシア系グループ「GreyVibe」が報告されています。高い技術力ではなく、AIで能力差を埋める運用が特徴とされ、技量の低い攻撃者が今後どう動くかを先取りした例だと指摘されています。一方で、AIの支援で作られたとみられるマルウェアの設計上の不備が、研究者へ長期の追跡の足がかりを与えていたとも報告されています。
【要点の整理】
・おとりサイトの画像やサイト本体の作成、難読化・ローダー、Windows向けの遠隔操作型マルウェア(RAT)「LegionRelay」の全体開発、侵害後のスクリプト生成まで、ChatGPT・Gemini・画像生成のIdeogramなど複数のAIを使った痕跡をWithSecureが確認。単発の実験ではなく運用に組み込まれた使い方とされる
・開発者・運用者はロシア語話者でモスクワ時間帯(UTC 3)に活動し、標的や目的はロシアの国益と一致。一方で「letsrollboyos」「cuteuwu」等のネットスラング由来の命名、自作検体のVirusTotalへのアップロード、TrickBot系とみられるISOビルダーの利用など、サイバー犯罪寄りの兆候も併存
・入口は多彩で、2025年8月以降の少なくとも6件の標的型メールや偽CAPTCHA誘導に加え、ウクライナの成人向けクラブを装う「PrincessClub」ではTelegramの偽女性アカウントで接触。感染後に通話機能で被害者の音声・映像を取得しうる仕掛けも後から追加された
・使われたのは自作のPowerShell製RAT「PhantomRelay」、連絡先や位置情報・メディアを盗むAndroid向けスパイウェア「FallSpy」、ブラウザやTelegram・WhatsAppのデータを抜くLegionRelayなど小規模なマルウェア群。基本型のPhantomRelayは無関係に見える別の犯罪クラスタでも確認
GreyVibeは現在も活動を続けており、メンバーの正体は分かっていません。サイバー犯罪とも国家活動とも言い切れない立ち位置のまま、AIで過去との結びつきを薄めながら動く攻撃者として、報告は手口の一層の多様化を見込んでいます。
詳細は以下を参照:
labs.withsecure.com/publicat…
1
9
722
【GREYVIBE、生成AIを作戦全体に使うロシア系脅威として報告】
WithSecureが、ウクライナ関連組織を狙うGREYVIBEの活動を報告しました。
注目点は、生成AIが単なる文章作成ではなく、ルアー作成、偽CAPTCHA、偽サイト、マルウェアの難読化、ローダー開発、バックエンド構築、侵害後のコマンド作成まで広く使われている点です。
高度なゼロデイよりも、AIで低〜中程度のTTPを量産・調整する方向性が見えます。
防御側は、AI生成っぽいルアーだけを見るのではなく、偽CAPTCHA、正規サービス風の偽サイト、短命インフラ、PowerShellやローダー挙動を組み合わせて監視したい事案です。
#GREYVIBE #APT #Ukraine #AI #ThreatIntel #Malware #SOC
labs.withsecure.com/publicat…
2
209
May 29
WithSecure uncovers GREYVIBE, a Russia-nexus threat group systematically using generative AI across its attack lifecycle to target Ukraine. labs.withsecure.com/publicat…
2
2
555