Los actores de amenazas alineados con Pakistán conocidos como Transparent Tribe se han convertido en el último grupo de piratas informáticos en utilizar herramientas de codificación impulsadas por inteligencia artificial (IA) para atacar objetivos con varios implantes.
Según nuevos hallazgos de Bitdefender, la campaña está diseñada para generar «una gran cantidad de implantes mediocres» desarrollados utilizando lenguajes de programación menos conocidos como Nim, Zig y Crystal, y confiando en servicios confiables como Slack, Discord, Supabase y Google Sheets para permanecer discretos.
En un desglose técnico de la campaña, los investigadores de seguridad Radu Tudrica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec escribieron: «En lugar de un gran avance en la sofisticación tecnológica, vemos un cambio hacia una industrialización de malware asistida por IA que permite a los atacantes inundar los entornos objetivo con archivos binarios multilingües de un solo uso».
Los proveedores rumanos de ciberseguridad están caracterizando el paso al malware codificado por vibración (también conocido como vibeware) como denegación de detección distribuida (DDoD) como una forma de complicar la detección. En lugar de utilizar técnicas avanzadas para eludir los esfuerzos de detección, este enfoque implica bombear una gran cantidad de archivos binarios de un solo uso al entorno de destino, cada uno utilizando un lenguaje y protocolo de comunicación diferente.
Los modelos de lenguaje a gran escala (LLM) ayudan a los actores de amenazas en este aspecto. LLM reduce la barrera al cibercrimen y cierra la brecha de experiencia al permitirle generar código funcional en lenguajes desconocidos, ya sea desde cero o trasladando la lógica empresarial central de lenguajes más populares.
Se ha descubierto que la última ronda de ataques tuvo como objetivo el gobierno indio y sus embajadas en varios países extranjeros, y APT36 utilizó LinkedIn para identificar objetivos de alto valor. El ataque también tuvo como objetivo, en menor medida, al gobierno afgano y a algunas empresas privadas.
La cadena de infección puede comenzar con un correo electrónico de phishing que contiene un acceso directo de Windows (LNK) incluido con un archivo ZIP o una imagen ISO. Alternativamente, se utiliza un señuelo PDF con un botón destacado «Descargar documento» para redirigir al usuario a un sitio web controlado por un atacante que activa la descarga del mismo archivo ZIP.
Independientemente del método utilizado, los archivos LNK se utilizan para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal para facilitar las acciones posteriores al compromiso. Estas incluyen la introducción de conocidas herramientas de simulación de adversarios, como Cobalt Strike y Havoc, que demuestran un enfoque híbrido para garantizar la resiliencia.
Estas son algunas de las otras herramientas observadas como parte del ataque:
Warcode es un cargador de shellcode personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva los agentes Havoc directamente en la memoria. NimShellcodeLoader es una contraparte experimental que se utiliza para implementar balizas Cobalt Strike integradas en Warcode. CreepDropper es un malware .NET que se utiliza para entregar e instalar cargas útiles adicionales, incluido SHEETCREEP, un ladrón de información basado en Go que utiliza Microsoft Graph API para C2, y MAILCREEP, una puerta trasera basada en C# que aprovecha Google Sheets para C2. Zscaler ThreatLabz detalló ambas familias de malware en enero de 2026. SupaServ es una puerta trasera basada en Rust que establece el canal de comunicación principal a través de la plataforma Supabase, con Firebase actuando como alternativa. Contiene emojis Unicode, lo que sugiere que probablemente se desarrolló utilizando IA. LuminousStealer es un ladrón de información basado en Rust supuestamente codificado en vibración que utiliza Firebase y Google Drive para extraer archivos que coinciden con extensiones específicas (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls). CrystalShell es una puerta trasera escrita en Crystal que puede apuntar a sistemas Windows, Linux y macOS y utiliza una ID de canal de Discord codificada para el C2. Admite la capacidad de ejecutar comandos y recopilar información del host. Se descubrió que una variante de este malware utiliza Slack para su C2. ZigShell es el equivalente de CrystalShell, escrito en Zig y utiliza Slack como infraestructura C2 principal. También admite funciones adicionales para cargar y descargar archivos. CrystalFile es un intérprete de comandos simple escrito en Crystal que monitorea continuamente ‘C:\Users\Public\AccountPictures\input.txt’ y ejecuta su contenido usando ‘cmd.exe’. LuminousCookies es un inyector especializado basado en Rust que extrae cookies, contraseñas e información de pago de navegadores basados en Chromium sin pasar por el cifrado vinculado a la aplicación. BackupSpy es una utilidad basada en Rust diseñada para monitorear datos de alto valor en sistemas de archivos locales y medios externos. ZigLoader es un cargador especializado escrito en Zig que descifra y ejecuta código shell arbitrario en la memoria. Gate Sentinel Beacon es una versión personalizada del proyecto marco de código abierto GateSentinel C2.
«El paso de APT36 a Vibeware representa una regresión tecnológica», dijo Bitdefender. «Aunque el desarrollo asistido por IA aumenta los volúmenes de muestras, las herramientas resultantes suelen ser inestables y llenas de errores lógicos. Las estrategias de los atacantes se han dirigido incorrectamente a la detección basada en firmas, que durante mucho tiempo ha sido suplantada por la seguridad moderna de los terminales».
Bitdefender advirtió que la amenaza que plantea el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas ampliar sus operaciones rápidamente y con menos esfuerzo.
«Estamos siendo testigos de la convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la adopción de lenguajes de programación exóticos y especializados y la explotación de servicios confiables para esconderse detrás del tráfico de red legítimo», dijeron los investigadores. «Esta combinación permite que incluso un código mediocre alcance un alto éxito operativo mediante una telemetría defensiva estándar abrumadora».
Source link
