El actor de amenazas formado con Pakistán conocido como Tribu transparente se ha convertido en el posterior especie de hackers en adoptar herramientas de codificación basadas en inteligencia industrial (IA) para atacar objetivos con varios implantes.
La actividad está diseñada para producir una “masa insípido y de gran bombeo de implantes” que se desarrollan utilizando lenguajes de programación menos conocidos como Nim, Zig y Crystal y dependen de servicios confiables como Slack, Discord, Supabase y Google Sheets para ocurrir desapercibidos, según nuevos hallazgos de Bitdefender.
“En oficio de un avance en la sofisticación técnica, estamos viendo una transición alrededor de la industrialización del malware asistida por IA que permite al actor inundar los entornos objetivo con binarios políglotas desechables”, dijeron los investigadores de seguridad Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec en un desglose técnico de la campaña.
La transición alrededor de el malware codificado por tembleque, igualmente conocido como vibewarecomo medio para complicar la detección, el proveedor rumano de ciberseguridad lo ha caracterizado como Denegación de Detección Distribuida (DDoD). En este enfoque, la idea no es eludir los esfuerzos de detección mediante la sofisticación técnica, sino más perfectamente inundar los entornos objetivo con archivos binarios desechables, cada uno de los cuales utiliza un idioma y un protocolo de comunicación diferentes.
Los grandes modelos de idioma (LLM, por sus siglas en inglés) ayudan a los actores de amenazas en este aspecto, que reducen la barrera al delito cibernético y colman la brecha de experiencia al permitirles ocasionar código pragmático en lenguajes desconocidos, ya sea desde cero o trasladando la deducción empresarial central de otros más comunes.
Se ha descubierto que el posterior conjunto de ataques tiene como objetivo el gobierno indio y sus embajadas en varios países extranjeros, y APT36 utiliza LinkedIn para identificar objetivos de stop valía. Los ataques igualmente han anotado al gobierno afgano y a varias empresas privadas, aunque en beocio medida.
Es probable que las cadenas de infección comiencen con correos electrónicos de phishing que contienen accesos directos de Windows (LNK) incluidos en archivos ZIP o imágenes ISO. Alternativamente, se utilizan señuelos PDF que presentan un mando destacado “Descargar documento” para redirigir a los usuarios a un sitio web controlado por un atacante que activa la descarga de los mismos archivos ZIP.
Independientemente del método utilizado, el archivo LNK se utiliza para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal y facilitan las acciones posteriores al compromiso. Estos incluyen el despliegue de conocidas herramientas de simulación de adversarios como Cobalt Strike y Havoc, lo que indica un enfoque híbrido para asegurar la resiliencia.
Algunas de las otras herramientas observadas como parte de los ataques se enumeran a continuación:
- código de pugnaun cargador de código shell personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva un agente Havoc directamente en la memoria.
- NimShellcodeLoaderuna contraparte positivo de Warcode que se utiliza para desplegar una baliza Cobalt Strike incrustada en él.
- CreepDropperun malware .NET que se utiliza para entregar e instalar cargas aperos adicionales, incluido SHEETCREEP, un estafador de información basado en Go que utiliza Microsoft Graph API para C2, y MAILCREEP, una puerta trasera basada en C# que utiliza Google Sheets para C2. Zscaler ThreatLabz detalló ambas familias de malware en enero de 2026.
- SupaServuna puerta trasera basada en Rust que establece un canal de comunicación principal a través de la plataforma Supabase, con Firebase actuando como alternativa. Contiene emojis Unicode, lo que sugiere que probablemente fue desarrollado utilizando IA.
- Cleptómano brillanteun probable estafador de información basado en Rust y codificado en tembleque que utiliza Firebase y Google Drive para filtrar archivos que coinciden con ciertas extensiones (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls).
- concha de cristaluna puerta trasera escrita en Crystal que es capaz de apuntar a sistemas Windows, Linux y macOS, y utiliza ID de canal de Discord codificados para C2. Admite la capacidad de ejecutar comandos y compendiar información del host. Se ha descubierto que una variable del malware utiliza Slack para C2.
- ZigShelluna contraparte de CrystalShell que está escrita en Zig y utiliza Slack como infraestructura C2 principal. Incluso admite funciones adicionales para cargar y descargar archivos.
- Archivo de cristalun intérprete de comandos simple escrito en Crystal que monitorea continuamente “C:UsersPublicAccountPicturesinput.txt” y ejecuta el contenido usando “cmd.exe”.
- Galletas Luminosasun inyector especializado basado en Rust para extraer cookies, contraseñas e información de cuota de navegadores basados en Chromium eludiendo el criptográfico vinculado a aplicaciones.
- Agente de copia de seguridaduna utilidad basada en Rust diseñada para monitorear el sistema de archivos circunscrito y los medios externos en examen de datos de stop valía.
- ZigLoaderun cargador especializado escrito en Zig que descifra y ejecuta código shell improcedente en la memoria.
- Baliza centinela de la puertauna lectura personalizada del plan entorno de código hendido GateSentinel C2.
“La transición de APT36 alrededor de vibeware representa una regresión técnica”, dijo Bitdefender. “Si perfectamente el expansión asistido por IA aumenta el bombeo de muestras, las herramientas resultantes a menudo son inestables y están plagadas de errores lógicos. La logística del actor apunta incorrectamente a la detección basada en firmas, que durante mucho tiempo ha sido reemplazada por la seguridad moderna de los terminales”.
Bitdefender ha despierto que la amenaza que plantea el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas esquilar sus actividades rápidamente y con menos esfuerzo.
“Estamos viendo una convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la admisión de lenguajes de programación exóticos y especializados y el exceso de servicios confiables para esconderse en el tráfico razonable de la red”, dijeron los investigadores. “Esta combinación permite que incluso un código insípido luces un stop éxito eficaz simplemente superando la telemetría defensiva standard”.
