Um grupo de ciberespionagem conhecido como Transparent Tribe, também identificado como APT36 e associado a interesses do Paquistão, passou a usar ferramentas de inteligência artificial para acelerar a criação de malware em campanhas direcionadas principalmente a órgãos governamentais da Índia e a embaixadas indianas no exterior.
A campanha foi analisada pela empresa de cibersegurança Bitdefender, que identificou uma mudança relevante na estratégia do grupo. Em vez de investir em códigos altamente sofisticados, os invasores estão produzindo grandes quantidades de malware de complexidade média, gerados rapidamente com o auxílio de IA.
De acordo com os pesquisadores, essa abordagem cria um processo semelhante a uma “industrialização do malware”, no qual ferramentas de inteligência artificial são utilizadas para gerar rapidamente diversas versões de programas maliciosos. Muitas dessas variantes são escritas em linguagens menos comuns, como Nim, Zig e Crystal, o que aumenta a dificuldade de detecção.
Estratégia baseada em múltiplas variantes de malware
Os especialistas classificaram essa técnica como Distributed Denial of Detection (DDoD). Inspirado no conceito de ataques de negação de serviço, o modelo aplica a lógica ao campo da detecção de ameaças.
Nesse cenário, o objetivo não é desenvolver um malware extremamente avançado, mas sim criar dezenas ou centenas de versões diferentes do mesmo código, cada uma com pequenas alterações ou escrita em linguagens distintas. Essa diversidade torna mais difícil para sistemas de segurança criarem assinaturas eficazes, aumentando as chances de algumas variantes passarem despercebidas.
Ferramentas baseadas em modelos de linguagem de grande escala (LLMs) desempenham um papel importante nesse processo. Elas permitem que hackers produzam código funcional em linguagens desconhecidas ou convertam rapidamente programas maliciosos já existentes para novos formatos, reduzindo significativamente a barreira técnica para o desenvolvimento de novas ameaças.
Serviços legítimos usados para esconder comunicação maliciosa
Outro aspecto relevante da campanha é o uso de plataformas populares da internet como infraestrutura de comunicação entre o malware e os operadores.
Entre os serviços utilizados estão:
-
Slack
-
Discord
-
Supabase
-
Google Sheets
Ao usar plataformas legítimas para comunicação de comando e controle (C2), o tráfego gerado pelo malware se mistura ao tráfego normal das redes corporativas, dificultando a identificação de atividades suspeitas.
Campanhas começam com phishing e engenharia social
Na maioria dos casos analisados, a infecção inicial começa com e-mails de phishing enviados às vítimas. Essas mensagens costumam conter arquivos compactados ou imagens ISO que incluem atalhos do Windows no formato LNK.
Quando o usuário executa esses arquivos, scripts em PowerShell são carregados diretamente na memória do sistema. Esses scripts baixam e iniciam o backdoor principal, permitindo que os invasores assumam controle do dispositivo comprometido.
Após a invasão inicial, os hackers podem instalar ferramentas adicionais para ampliar seu acesso dentro da rede. Entre os frameworks usados estão:
-
Cobalt Strike
-
Havoc
Esse modelo híbrido permite manter persistência no sistema e expandir as capacidades ofensivas dentro da infraestrutura comprometida.
Diversos malwares identificados na operação
A investigação revelou uma ampla variedade de ferramentas maliciosas utilizadas pelo grupo. Entre elas estão:
-
Warcode – loader em Crystal capaz de executar agentes do framework Havoc diretamente na memória
-
NimShellcodeLoader – variante experimental usada para instalar beacons do Cobalt Strike
-
CreepDropper – malware desenvolvido em .NET utilizado para implantar outros payloads
-
SHEETCREEP – infostealer escrito em Go que usa a API do Microsoft Graph para comunicação C2
-
MAILCREEP – backdoor em C# que utiliza Google Sheets como infraestrutura de comando
-
SupaServ – backdoor em Rust que utiliza Supabase e Firebase
-
LuminousStealer – malware voltado à exfiltração de documentos e arquivos
-
CrystalShell – backdoor multiplataforma compatível com Windows, Linux e macOS
-
ZigShell – versão semelhante desenvolvida em Zig
-
LuminousCookies – ferramenta usada para roubo de cookies e credenciais de navegadores baseados em Chromium
IA acelera ataques, mas também gera código com falhas
Apesar de permitir a produção rápida de malware, o uso de inteligência artificial também trouxe alguns problemas técnicos. Muitas das amostras analisadas apresentam erros de lógica, instabilidade e inconsistências no código.
Mesmo assim, os especialistas alertam que o impacto operacional continua relevante. O principal risco está na escala das campanhas, que permite aos hackers lançar um grande número de ataques com esforço relativamente baixo.
Segundo os pesquisadores, o cenário atual demonstra a convergência de duas tendências preocupantes: o uso crescente de linguagens de programação pouco convencionais e o abuso de serviços confiáveis da internet para ocultar atividades maliciosas.
Essa combinação faz com que até malwares relativamente simples consigam obter sucesso, principalmente ao sobrecarregar os sistemas tradicionais de detecção de ameaças.
