Um grupo hacker conhecido como Transparent Tribe, associado a interesses do Paquistão e também identificado como APT36, passou a utilizar ferramentas de inteligência artificial para acelerar a criação de malware em campanhas direcionadas principalmente contra órgãos do governo da Índia e suas embaixadas no exterior.

A campanha foi detalhada pela empresa de segurança Bitdefender, que identificou uma mudança significativa na estratégia do grupo hacker. Em vez de investir em malware altamente sofisticado, os invasores estão utilizando ferramentas de IA para produzir um grande volume de implantes maliciosos de qualidade mediana, capazes de inundar os ambientes das vítimas com diferentes variações de código.

Segundo os pesquisadores, essa abordagem representa um processo de industrialização do malware, no qual ferramentas de IA são usadas para gerar rapidamente múltiplas versões de programas maliciosos escritos em linguagens pouco comuns, como Nim, Zig e Crystal.

Estratégia: inundar sistemas com diferentes variantes de malware

A estratégia observada na campanha foi descrita como Distributed Denial of Detection (DDoD) — um conceito inspirado nos ataques de negação de serviço, mas aplicado à evasão de detecção.

Nesse modelo, o objetivo não é criar um malware extremamente avançado, mas sim gerar dezenas ou centenas de variantes diferentes, cada uma escrita em linguagens ou protocolos distintos. Isso dificulta a criação de assinaturas de detecção tradicionais e aumenta a probabilidade de que algumas dessas amostras passem despercebidas pelos sistemas de segurança.

Ferramentas baseadas em modelos de linguagem de grande escala (LLMs) têm desempenhado um papel fundamental nesse processo. Elas permitem que hackers gerem código funcional em linguagens desconhecidas ou convertam rapidamente malware existente para novas linguagens, reduzindo a barreira técnica para o desenvolvimento de novas ameaças.

Uso de serviços legítimos para esconder comunicação maliciosa

Outro ponto relevante da campanha é o uso de serviços legítimos amplamente utilizados na internet para comunicação com os sistemas comprometidos.

Entre os serviços explorados estão:

• Slack

• Discord

• Supabase

• Google Sheets

Ao utilizar plataformas confiáveis para realizar comunicação de comando e controle (C2), o malware consegue se misturar ao tráfego legítimo, tornando a atividade maliciosa mais difícil de identificar.

Campanha utiliza phishing e engenharia social

A cadeia de infecção geralmente começa com e-mails de phishing enviados às vítimas. Esses e-mails contêm arquivos compactados ou imagens ISO que incluem atalhos do Windows (arquivos LNK).

Ao executar esses arquivos, scripts em PowerShell são executados diretamente na memória do sistema, permitindo baixar e iniciar o backdoor principal.

Após a infecção inicial, os hackers podem instalar ferramentas adicionais para expandir o controle sobre os sistemas comprometidos. Entre elas estão frameworks amplamente utilizados em operações ofensivas, como:

• Cobalt Strike

• Havoc

Esse modelo híbrido permite que os invasores mantenham persistência e ampliem suas capacidades dentro da rede comprometida.

Diversos malwares identificados na campanha

A investigação identificou uma ampla variedade de ferramentas maliciosas utilizadas pelo grupo hacker, incluindo:

• Warcode – loader em Crystal para executar agentes do framework Havoc diretamente na memória

• NimShellcodeLoader – variante experimental que instala beacons do Cobalt Strike

• CreepDropper – malware em .NET usado para instalar outros payloads

• SHEETCREEP – infostealer em Go que usa API do Microsoft Graph para C2

• MAILCREEP – backdoor em C# que usa Google Sheets como infraestrutura de comando e controle

• SupaServ – backdoor em Rust que usa Supabase e Firebase para comunicação

• LuminousStealer – infostealer que exfiltra documentos, imagens e arquivos compactados

• CrystalShell – backdoor multiplataforma para Windows, Linux e macOS

• ZigShell – variante similar escrita em Zig

• LuminousCookies – ferramenta voltada ao roubo de cookies e credenciais de navegadores baseados em Chromium

IA acelera ataques, mas também gera código instável

Apesar do aumento no volume de malware gerado, a análise indica que o uso de IA também trouxe problemas de qualidade no código. Muitas amostras apresentam erros lógicos, falhas de estabilidade e inconsistências.

Mesmo assim, o impacto operacional continua significativo. O principal risco está na escala das operações, que permite aos hackers lançar campanhas massivas com pouco esforço.

Segundo a análise, o cenário atual mostra a convergência de duas tendências preocupantes: o uso de linguagens de programação pouco comuns e o abuso de serviços confiáveis para ocultar atividades maliciosas.

Essa combinação permite que malwares relativamente simples obtenham sucesso operacional elevado, simplesmente ao sobrecarregar os mecanismos tradicionais de detecção.