Пакистанская кибершпионская группировка Transparent Tribe (APT36) начала массово использовать инструменты программирования с поддержкой искусственного интеллекта для создания множества различных имплантов. Исследователи Bitdefender фиксируют переход от «штучного» вредоносного ПО к промышленному потоку однотипных, но быстро штампуемых образцов, написанных на малоиспользуемых языках программирования и замаскированных под легитимный сетевой трафик.
ИИ‑малварь и vibeware: industrialization вместо «суперэксплойтов»
Новая волна активности APT36 не демонстрирует принципиального прорыва в технической сложности. Ключевое изменение — использование ИИ‑ассистентов и больших языковых моделей (LLM) для быстрой генерации кода на Nim, Zig и Crystal. Эти языки пока редко применяются в корпоративных приложениях, что усложняет сигнатурный анализ и статическую детекцию.
Bitdefender описывает этот подход термином vibeware и концепцией Distributed Denial of Detection (DDoD) — «распределённого отказа в обнаружении». Цель не в том, чтобы создать один высокотехнологичный и незаметный вредонос, а в том, чтобы завалить инфраструктуру защиты массой разнородных бинарников, каждый из которых немного отличается по языку, протоколу взаимодействия и структуре кода.
Цели APT36: правительство Индии, посольства и соседние государства
По данным Bitdefender, текущая кампания Transparent Tribe нацелена прежде всего на правительственные структуры Индии и индийские посольства за рубежом. Для поиска приоритетных жертв злоумышленники активно используют LinkedIn, отбирая сотрудников с доступом к чувствительной информации.
Дополнительно под удар попали правительство Афганистана и ряд частных компаний, хотя объем атак на них существенно ниже. Такой профиль целей укладывается в давнюю тактику APT36, которую западные аналитики относят к политически мотивированным операциям, связанным с интересами Пакистана в регионе.
Цепочка заражения: фишинг, LNK и PowerShell в памяти
Основной вектор атаки — фишинговые письма с вложениями в виде архивов ZIP или образов ISO, содержащих файлы ярлыков .LNK. Альтернативный сценарий — рассылка PDF‑документов с крупной кнопкой «Download Document», ведущей на контролируемый злоумышленниками сайт, где жертве также предлагается загрузить ZIP‑архив.
После открытия жертвой LNK‑файла в фоновом режиме выполняется PowerShell‑скрипт в памяти, без сохранения на диск. Такой подход затрудняет обнаружение средствами антивирусов, ориентированных на файловую активность. Скрипт загружает основной бэкдор, обеспечивает связь с сервером управления и подготавливает почву для дальнейших действий злоумышленника.
Использование Slack, Discord и Google Sheets как скрытых каналов управления
Одно из ключевых отличий текущей кампании — активное злоупотребление легитимными облачными сервисами. Вредоносные модули APT36 используют для команд и эксфильтрации данных такие платформы, как Slack, Discord, Supabase и Google Sheets. Для систем мониторинга такой трафик выглядит как вполне нормальное обращение к популярным SaaS‑сервисам.
После первичного закрепления операторы Transparent Tribe могут разворачивать Cobalt Strike, Havoc и другие инструменты имитации атак, перехваченные из арсенала «красных команд». Это создаёт гибридную модель: нестабильные, но многочисленные ИИ‑сгенерированные импланты используются для проникновения, а проверенные коммерческие фреймворки — для дальнейшей ручной работы внутри сети.
Почему ИИ не делает APT36 «непобедимыми»
По оценке Bitdefender, переход к vibeware одновременно является шагом назад в качестве инструментов. Автоматизированно сгенерированный код часто содержит логические ошибки, нестабилен и предсказуем по структуре. Стратегия APT36 по-прежнему сфокусирована на обходе сигнатурной детекции, в то время как современные решения класса EDR/XDR в значительной степени опираются на поведенческий анализ и корреляцию телеметрии.
В то же время ИИ‑ассистенты заметно снижают порог входа в киберпреступность: злоумышленнику больше не нужно глубоко знать Nim или Zig, чтобы написать рабочий бэкдор. Достаточно описать задачу на естественном языке и доработать сгенерированный код. Это ускоряет масштабирование кампаний и позволяет быстро адаптировать малварь под новые протоколы или сервисы.
Рекомендации по защите: на что делать ставку
Организациям в регионе и за его пределами стоит исходить из того, что ИИ‑поддерживаемые атаки и vibeware станут нормой. Для минимизации рисков особенно важно:
- усилить защиту почты и веб‑шлюзов с фокусом на архивы, ISO и LNK‑файлы;
- использовать EDR/XDR‑решения с детекцией PowerShell‑активности в памяти и аномального поведения процессов;
- ограничить и контролировать доступ к Slack, Discord и прочим SaaS‑сервисам, внедрив прокси и DLP‑политику;
- регулярно обучать сотрудников распознаванию целевых фишинговых писем, в том числе на профессиональных платформах вроде LinkedIn;
- внедрить журналирование и централизованный анализ логов, чтобы не «утонуть» в телеметрии, как на это и рассчитывают авторы vibeware.
Переход APT36 к ИИ‑ассистируемой разработке показывает, что угрозы эволюционируют не только в сторону «глубокой» технической сложности, но и в сторону масштабируемости и разнообразия. Организациям стоит пересмотреть свои стратегии кибербезопасности, делая упор на поведенческую аналитику, контроль облачных сервисов и постоянное обучение персонала. Чем раньше компании адаптируются к эпохе AI‑малвари и vibeware, тем выше шансы, что очередная волна «заурядных, но массовых» имплантов так и останется всего лишь шумом в их системах мониторинга.
