GreyVibe借助生成式AI，發起3種型態的攻擊行動

其中最早出現的是PhantomMail網釣活動，GreyVibe從2025年8月開始，至今已發動6次攻擊，這些駭客寄出的信件存在共通點，就是含有指向Google Drive、4sync等雲端檔案共用服務的連結，並引誘收信人下載惡意ZIP或RAR檔，壓縮檔內容包含以PyInstaller或JavaScript打造的惡意程式載入工具，功能是在背景啟動惡意程式感染鏈PhantomRelay，並顯示PDF文件或錯誤訊息視窗來轉移受害者的注意。

GreyVibe於2025年10月初短暫嘗試ClickFix手法的攻擊行動PhantomClick，他們利用假的CAPTCHA驗證網頁來散布惡意軟體，駭客使用烏克蘭語顯示操作步驟，要求使用者依照指示完成Cloudflare資安驗證流程，但若是照做，電腦會在背景啟動感染鏈PhantomRelay。

還有一種是GreyVibe假冒女性引誘烏克蘭軍人上當的PrincessClub，這些駭客透過Telegram、網路交友頻道，與軍人建立信任關係，然後誘導他們存取冒牌的成人俱樂部網站，藉此散布Android惡意程式FallSpy，以及Windows惡意程式PhantomRelayV1與LegionRelay。該活動到了今年3月出現變形版本DroneLink ，駭客架設假的慈善基金會網站，號稱聲援烏克蘭武裝部隊，藉此散布惡意軟體。