El actor de amenazas alineado con Pakistán conocido como Tribu transparente se ha convertido en el último grupo de hackers en adoptar herramientas de codificación basadas en inteligencia artificial (IA) para atacar objetivos con varios implantes.

La actividad está diseñada para producir una «masa de implantes mediocre y de gran volumen» que se desarrollen utilizando lenguajes de programación menos conocidos, como Nim, Zig y Crystal, y que se basan en servicios confiables como Slack, Discord, Supabase y Google Sheets para pasar desapercibidos, según los nuevos hallazgos de Bitdefender.

«En lugar de un gran avance en la sofisticación técnica, estamos viendo una transición hacia la industrialización del malware asistida por IA que permite al actor inundar los entornos objetivo con archivos binarios políglotas y desechables», dijeron los investigadores de seguridad Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec, investigadores de seguridad dijo en un desglose técnico de la campaña.

La transición hacia el malware codificado por vibraciones, también conocido como vibra , como medio para complicar la detección, ha sido caracterizado por el proveedor rumano de ciberseguridad como denegación de detección distribuida (DDoD). Con este enfoque, la idea no es eludir los esfuerzos de detección mediante la sofisticación técnica, sino más bien inundar los entornos objetivo con archivos binarios desechables, cada uno con un idioma y un protocolo de comunicación diferentes.

Los grandes modelos lingüísticos (LLM) ayudan a los actores de amenazas en este aspecto, ya que reducen la barrera contra la ciberdelincuencia y reducen la brecha de experiencia al permitirles generar código funcional en lenguajes desconocidos, ya sea desde cero o transfiriendo la lógica empresarial básica de otros más comunes.

adsense

Se ha descubierto que la última serie de ataques tiene como objetivo al gobierno indio y sus embajadas en varios países extranjeros, y APT36 utiliza LinkedIn para identificar objetivos de alto valor. Los ataques también han tenido como blanco al gobierno afgano y a varias empresas privadas, aunque en menor medida.

Es probable que las cadenas de infección comiencen con correos electrónicos de suplantación de identidad que contienen atajos de Windows (LNK) incluidos en archivos ZIP o imágenes ISO. Como alternativa, se utilizan señuelos en formato PDF con el botón «Descargar documento» destacado para redirigir a los usuarios a un sitio web controlado por un atacante que desencadena la descarga de los mismos archivos ZIP.

Independientemente del método utilizado, el archivo LNK se usa para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal y facilitan las acciones posteriores a la transacción. Entre ellas se incluye el despliegue de herramientas conocidas de simulación de adversarios, como Cobalt Strike y Havoc, lo que indica un enfoque híbrido para garantizar la resiliencia.

Algunas de las otras herramientas observadas como parte de los ataques se enumeran a continuación:

  • Código de guerra , un cargador de códigos de shell personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva un agente de Havoc directamente en la memoria.
  • Cargador de códigos NIMShell , una contraparte experimental de Warcode que se usa para desplegar una baliza Cobalt Strike integrada en ella.
  • Cuentagotas Creep , un malware de.NET que se usa para entregar e instalar cargas útiles adicionales, como SHEETCREEP, un robo de información basado en Go que usa la API Graph de Microsoft para C2, y MAILCREEP, un backdoor basado en C# que utiliza Google Sheets para C2. Ambas familias de malware eran detallada de Zscaler ThreatLabz en enero de 2026.
  • SupaServ , una puerta trasera basada en Rust que establece un canal de comunicación principal a través de la plataforma Supabase, con Firebase como respaldo. Contiene emojis de Unicode, lo que sugiere que probablemente se desarrolló con inteligencia artificial.
  • Ladrón luminoso , probablemente un ladrón de información basado en Rust y codificado por vibraciones que usa Firebase y Google Drive para filtrar archivos que coincidan con ciertas extensiones (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls).
  • Concha de cristal , una puerta trasera escrita en Crystal que es capaz de dirigirse a sistemas Windows, Linux y macOS, y que utiliza ID de canal de Discord codificados de forma rígida para C2. Permite ejecutar comandos y recopilar información sobre los anfitriones. Se ha descubierto que una variante del malware utiliza Slack para C2.
  • ZigShell , una contraparte de CrystalShell que está escrita en Zig y usa Slack como su infraestructura C2 principal. También admite funciones adicionales para cargar y descargar archivos.
  • Archivo de cristal , un sencillo intérprete de comandos escrito en Crystal que monitorea continuamente el "C:\Users\Public\AccountPictures\input.txt" y ejecuta el contenido mediante «cmd.exe».
  • Galletas luminosas , un inyector especializado basado en Rust para filtrar cookies, contraseñas e información de pago de los navegadores basados en Chromium eludiendo cifrado vinculado a la aplicación .
  • Espía de respaldo , una utilidad basada en Rust diseñada para monitorear el sistema de archivos local y los medios externos en busca de datos de alto valor.
  • ZigLoader , un cargador especializado escrito en Zig que descifra y ejecuta códigos de shell arbitrarios en la memoria.
  • Baliza Gate Sentinel , una versión personalizada del código abierto Centinela de la puerta Proyecto marco C2.
enlaces

«La transición de APT36 a vibeware representa una regresión técnica», afirma Bitdefender. «Si bien el desarrollo asistido por inteligencia artificial aumenta el volumen de las muestras, las herramientas resultantes suelen ser inestables y están plagadas de errores lógicos. La estrategia del actor se centra de forma incorrecta en la detección basada en firmas, que hace tiempo que ha sido sustituida por la seguridad moderna de los terminales».

Bitdefender ha advertido que la amenaza que representa el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas escalar sus actividades rápidamente y con menos esfuerzo.

«Estamos viendo una convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la adopción de lenguajes de programación exóticos y especializados y el abuso de servicios confiables para esconderse en el tráfico de red legítimo», dijeron los investigadores. «Esta combinación permite que incluso un código mediocre logre un gran éxito operativo simplemente aplastando la telemetría defensiva estándar».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.