Пакистанская группа APT Transparent Tribe применяет ИИ для индустриализации производства вредоносного ПО в кампании против Индии
Группа устойчивой угрозы Transparent Tribe (APT36), связанная с Пакистаном, начала использовать инструменты искусственного интеллекта для массового производства вредоносных программ. Согласно новому отчёту Bitdefender, злоумышленники применяют ИИ для генерации огромного количества так называемых «посредственных» имплантов. Эти импланты написаны на менее распространённых языках программирования, таких как Nim, Zig и Crystal, а для управления используют легитимные сервисы вроде Slack, Discord, Supabase и Google Sheets, что помогает избегать обнаружения.
Исследователи Bitdefender описывают этот сдвиг как переход к «индустриализации создания вредоносного ПО с помощью ИИ». Вместо технической изощрённости группа нацелена на то, чтобы переполнить среду жертвы потоком одноразовых «полиглотных» файлов, каждый из которых использует разные языки и протоколы связи. Эта тактика, названная «Распределённым отказом в обнаружении» (DDoD), усложняет анализ и детектирование средствами защиты за счёт огромного объёма и разнообразия.
Большие языковые модели стали ключевым инструментом, резко снизившим порог входа для киберпреступников. Эти ИИ-инструменты позволяют даже малоопытным злоумышленникам генерировать рабочий код на незнакомых языках программирования, создавая его с нуля или портируя существующую логику. Это стирает традиционный разрыв в навыках и ускоряет разработку вредоносного ПО.
Кампания в первую очередь нацелена на правительство Индии и его зарубежные посольства. APT36 использует такие платформы, как LinkedIn, для идентификации высокопоставленных целей. Также в меньшей степени пострадали правительство Афганистана и некоторые частные компании. Цепочка заражения, как полагают, начинается с фишинговых писем, содержащих ZIP-архивы со злонамеренными файлами ярлыков Windows (LNK), которые инициируют компрометацию.
Эта новая тактика знаменует тревожную эволюцию в деятельности государственных хакерских групп. Использование ИИ для индустриального подхода к кибершпионажу создаёт серьёзные проблемы для традиционных оборонных стратегий, основанных на сигнатурах. Эксперты предупреждают, что подобные методы могут быть быстро переняты другими враждебными группировками по всему миру, требуя срочного пересмотра подходов к кибербезопасности.
