Vibeware и «конвейерный» взлом: что известно о новой тактике пакистанских хакеров

Использование редких языков программирования помогает злоумышленникам обходить системы защиты.

Хакерская группировка APT36, также известная под названием Transparent Tribe, значительно увеличила количество создаваемого вредоносного программного обеспечения. По данным нового исследования, она начала использовать подход, который аналитики называют Vibeware — массовую генерацию вредоносного кода с применением искусственного интеллекта. Речь идёт не о создании сложных инструментов, а о потоке многочисленных программ среднего уровня, рассчитанных на то, чтобы перегрузить защитные системы количеством и разнообразием.

Эксперты компании Bitdefender отмечают, что основными целями атак стали государственные структуры Индии, дипломатические представительства и организации, связанные с оборонной сферой. Дополнительно под угрозой оказались некоторые ведомства Афганистана и частные компании. Связь кампании с APT36 оценивается как вероятная: на это указывают используемые инструменты, среди которых Havoc, Cobalt Strike и Gate Sentinel, а также повторное появление загрузчика warcode.exe, ранее применявшегося группировкой.

Отличительной чертой новой кампании стало использование менее распространённых языков программирования. Среди них — Nim, Zig, Crystal, Rust и Go. Такой выбор помогает обходить стандартные системы обнаружения, которые обычно ориентированы на более популярные технологические стеки.

Одновременно злоумышленники маскируют каналы управления и передачи украденных данных, используя легальные облачные сервисы. В частности, речь идёт о Slack, Discord, Supabase, Firebase и Google Sheets. Благодаря этому вредоносная активность может выглядеть как обычный рабочий сетевой трафик.

Несмотря на масштаб операции, качество многих программ оставляет желать лучшего. В отчёте описаны образцы с ошибками логики, незавершёнными функциями и некорректными цепочками выполнения. Например, один из инструментов, написанный на Go, не смог отправить похищенные данные, поскольку в коде вместо адреса сервера управления был оставлен незаполненный шаблон. По мнению исследователей, подобные недочёты часто возникают при использовании ИИ для генерации кода: модель может собирать рабочие фрагменты из известных примеров, но не всегда корректно реализует сложные механизмы.

Среди обнаруженных вредоносных семейств упоминаются Warcode, NimShellcodeLoader, CreepDropper, MailCreep, SheetCreep, SupaServ, LuminousStealer, CrystalShell, ZigShell, LuminousCookies и BackupSpy. Одни из них используются для начального заражения через файлы форматов ZIP, ISO и LNK, другие закрепляются в системе через планировщик задач Windows, а третьи занимаются сбором конфиденциальной информации — документов, cookies, паролей и данных браузеров. Некоторые компоненты способны работать сразу через несколько каналов связи, что позволяет сохранять контроль над системой даже при блокировке одного из них.

Аналитики Bitdefender подчёркивают, что главная опасность этой кампании заключается не в технической изощрённости отдельных инструментов, а в масштабах их производства. Искусственный интеллект позволяет быстро создавать новые версии вредоносных программ, в то время как операторы вручную занимаются разведкой, перемещением по сети и извлечением данных.

Для защиты специалисты рекомендуют уделять особое внимание поведенческому анализу, отслеживать подозрительные процессы в пользовательских каталогах и контролировать обращения к популярным облачным сервисам.