Ο πρωταγωνιστής απειλών APT36 με έδρα το Πακιστάν, ευρέως γνωστός ως Transparent Tribe, έχει απομακρυνθεί από τα προσεκτικά κατασκευασμένα εργαλεία σε μια νέα προσέγγιση που ονομάζεται “vibeware” – κακόβουλο λογισμικό υποβοηθούμενο από AI που παράγεται σε μεγάλους όγκους με ελάχιστη σημασία για την ποιότητα.
Αντί να επενδύει χρόνο σε ένα εξελιγμένο κομμάτι κώδικα, η ομάδα χρησιμοποιεί εργαλεία κωδικοποίησης AI για να αντλεί γρήγορα δεκάδες εμφυτεύματα μιας χρήσης. Ο στόχος δεν είναι η τεχνική λαμπρότητα, αλλά ο τεράστιος όγκος, οι συντριπτικοί αμυντικοί με μια συνεχή ροή νέων δειγμάτων που είναι δύσκολο να εντοπιστούν μεμονωμένα.
Η εκστρατεία στοχεύει ινδικές κυβερνητικές υπηρεσίες, στρατιωτικό προσωπικό και διπλωματικές αποστολές, με δευτερεύουσα εστίαση στην κυβέρνηση του Αφγανιστάν και σε αρκετές ιδιωτικές επιχειρήσεις.
Οι επιτιθέμενοι βρέθηκαν να χρησιμοποιούν το LinkedIn για τον εντοπισμό και το προφίλ στόχων υψηλής αξίας, έχοντας ανακτήσει στιγμιότυπα οθόνης λιστών υπαλλήλων από κρατικές υπηρεσίες που σχετίζονται με τον στρατό.
Ένα επαναλαμβανόμενο εσωτερικό όνομα χρήστη, “Nightmare”, βρέθηκε στα συστήματα του ομίλου, υποδηλώνοντας ότι ένας μόνο χειριστής ή συντονισμένη ομάδα βρίσκεται στον πυρήνα αυτής της προσπάθειας.
Οι αναλυτές του Bitdefender εντόπισαν οριστικά στοιχεία για την τεχνητή νοημοσύνη βοήθεια στα αρχεία έργων της ομάδας, συμπεριλαμβανομένων των μεταδεδομένων που δείχνουν απευθείας σε επεξεργαστές κώδικα ενσωματωμένους σε AI και Unicode emoji ενσωματωμένα σε δυαδικές συμβολοσειρές — αμφότερα σαφείς δείκτες ανάπτυξης κωδικοποιημένης vibe.
Η ομάδα διατηρεί έναν σχεδόν καθημερινό ρυθμό παραγωγής νέων παραλλαγών σε πολλές γλώσσες προγραμματισμού.
Παρά τον όγκο, τα εργαλεία είναι συχνά επιρρεπή σε σφάλματα και ημιτελή – βρέθηκε ένα δυαδικό Go που κλέβει διαπιστευτήρια με ένα κενό σύμβολο κράτησης θέσης όπου θα έπρεπε να ήταν η διεύθυνση διακομιστή εντολών και ελέγχου του, καθιστώντας το εντελώς μη λειτουργικό από την αρχή.
Η αρχική πρόσβαση παρέχεται μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που φέρουν αρχεία συντόμευσης ομαδοποίησης αρχείων ZIP ή ISO (.LNK). Ένα ιδιαίτερα αποτελεσματικό δέλεαρ χρησιμοποιεί ένα έγγραφο PDF σχεδιασμένο να μοιάζει με επαγγελματικό βιογραφικό, με ένα μεγάλο κουμπί “Λήψη εγγράφου”.
 (Source - Bitdefender).webp.jpeg)
Κάνοντας κλικ στο κουμπί στέλνεται το θύμα σε έναν διακομιστή που ελέγχεται από τον εισβολέα που παραδίδει αυτόματα ένα κακόβουλο αρχείο. Μόλις εκτελεστεί η συντόμευση, τα σενάρια PowerShell εκτελούνται αθόρυβα στη μνήμη, τραβώντας προς τα κάτω και ενεργοποιώντας την κύρια κερκόπορτα.
Μετά από αυτό, οι χειριστές συνδέονται με το παραβιασμένο μηχάνημα με μη αυτόματο τρόπο για να πραγματοποιήσουν περαιτέρω βήματα — μια υπενθύμιση ότι, ενώ ο αγωγός κακόβουλου λογισμικού βασίζεται σε τεχνητή νοημοσύνη, η πρακτική πειρατεία εξακολουθεί να είναι μια ανθρώπινη λειτουργία.
Πώς κρύβεται το Vibeware πίσω από αξιόπιστες πλατφόρμες Cloud
Μία από τις πιο λειτουργικά αποτελεσματικές πτυχές αυτής της εκστρατείας είναι η έντονη χρήση νόμιμων υπηρεσιών cloud για εντολή και έλεγχο.
.webp.jpeg)
Το APT36 δρομολογεί τις επικοινωνίες μέσω του Discord, του Slack, του Google Sheets, του Supabase και του Firebase — πλατφόρμες που εμπιστεύονται συστηματικά τα εταιρικά τείχη προστασίας, καθιστώντας την κακόβουλη κυκλοφορία δύσκολο να διαχωριστεί από την κανονική δραστηριότητα.
Το CrystalShell, γραμμένο στη γλώσσα Crystal, χρησιμοποιεί κανάλια Discord για την έκδοση εντολών και τη συλλογή εξόδων από μολυσμένα μηχανήματα. Το αντίστοιχο του, ZigShell, εκτελεί τον ίδιο ρόλο μέσω του Slack.
Το SheetCreep, μια κερκόπορτα που βασίζεται σε C#, μετατρέπει ένα υπολογιστικό φύλλο του Google Drive σε έναν κόμβο ζωντανού ελέγχου, αναζητώντας κρυπτογραφημένες οδηγίες και γράφοντας κρυπτογραφημένες απαντήσεις σε κελιά.
Το LuminousStealer, ενσωματωμένο στο Rust, στέλνει κλεμμένα μεταδεδομένα αρχείων στο Firebase ενώ ανεβάζει πραγματικά περιεχόμενα αρχείων στο Google Drive — όλα πιστοποιημένα μέσω του τυπικού Google OAuth.
Η παρουσία Unicode emoji στις συμβολοσειρές κώδικα του LuminousStealer, όπως “
Τα εργαλεία AI καθιστούν αυτή τη στρατηγική ιδιαίτερα εύκολη στην εκτέλεση. Τα δημόσια SDK και η πλήρης ηλεκτρονική τεκμηρίωση για αυτές τις υπηρεσίες παρέχουν στους βοηθούς κωδικοποίησης AI αρκετό εκπαιδευτικό υλικό για τη δημιουργία σταθερού, λειτουργικού κώδικα ενσωμάτωσης κατά παραγγελία, που απαιτεί ελάχιστη τεχνογνωσία από την πλευρά του εισβολέα.
Για την άμυνα έναντι αυτού του τύπου καμπάνιας, οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στον εντοπισμό συμπεριφοράς έναντι της σάρωσης υπογραφής αρχείων, καθώς εξειδικευμένες γλώσσες όπως οι Nim, Zig και Crystal μπορούν να επαναφέρουν πλήρως τις βασικές γραμμές ανίχνευσης.
Οι εξερχόμενες συνδέσεις σε αξιόπιστες πλατφόρμες cloud που προέρχονται από ανυπόγραφα ή μη επαληθευμένα δυαδικά αρχεία θα πρέπει να αντιμετωπίζονται ως πιθανοί δείκτες συμβιβασμού.
Η προγραμματισμένη δημιουργία εργασιών, η ένεση διεργασιών, οι αλυσίδες εκτέλεσης χωρίς αρχεία και η ασυνήθιστη δραστηριότητα του PowerShell θα πρέπει να ενεργοποιήσουν την άμεση έρευνα, καθώς αυτή η καμπάνια βασίζεται σε καθεμία από αυτές.
Η διατήρηση μιας ικανότητας ανίχνευσης και απόκρισης τελικού σημείου που επισημαίνει ύποπτη συμπεριφορά διεργασίας – ανεξάρτητα από τη γλώσσα στην οποία γράφτηκε ένα δυαδικό αρχείο – παραμένει η πιο αξιόπιστη άμυνα ενάντια σε ένα μοντέλο απειλής που βασίζεται εξ ολοκλήρου σε δεξιότητες όγκου πάνω από τον όγκο.
