Vibeware и конвейерный взлом. Что известно о новой тактике пакистанских хакеров

Пакистанская группа APT36, известная также как Transparent Tribe, резко нарастила выпуск вредоносных программ и перешла к модели, которую авторы нового отчёта называют Vibeware — массовому производству кода с помощью ИИ. Речь идёт не о технологическом прорыве, а о конвейере из множества средних по качеству образцов, которые должны перегрузить защиту количеством и разнообразием.

По данным Bitdefender, основными целями кампании стали структуры правительства Индии, дипломатические миссии и связанные с обороной организации. В числе второстепенных целей фигурируют госструктуры Афганистана и частные компании. Специалисты связывают активность с APT36 с умеренной степенью уверенности. На связь указывают знакомый набор инструментов, включая Havoc, Cobalt Strike и Gate Sentinel, а также повторное появление загрузчика warcode.exe, замеченного в более ранних операциях группы.

Ключевая особенность нынешней кампании — ставка на редкие языки программирования. APT36 использует Nim, Zig, Crystal, Rust и Go, чтобы сбить привычные механизмы детектирования, заточенные под более распространённые стеки. Параллельно злоумышленники прячут управление и кражу данных за легитимными облачными сервисами — Slack, Discord, Supabase, Firebase и Google Sheets. Такой подход позволяет маскировать вредоносный трафик под обычную рабочую активность.

При всём размахе качество инструментов остаётся неровным. В отчёте описаны образцы с логическими ошибками, недоделанными функциями и сломанными цепочками выполнения. Один из вариантов на Go вообще не мог отправить украденные данные, поскольку разработчики оставили в коде незаполненный шаблон вместо адреса управляющего сервера. Авторы исследования считают такие сбои типичным следствием ИИ-разработки, когда модель собирает рабочий с виду код из известных фрагментов, но не доводит сложную логику до конца.

Среди найденных семейств — Warcode, NimShellcodeLoader, CreepDropper, MailCreep, SheetCreep, SupaServ, LuminousStealer, CrystalShell, ZigShell, LuminousCookies и BackupSpy. Часть образцов отвечает за первичную доставку через ZIP, ISO и LNK-файлы, часть обеспечивает закрепление через планировщик Windows, а часть крадёт документы, cookies, пароли и данные браузеров. Отдельные компоненты работали сразу по нескольким каналам связи, чтобы сохранить доступ после блокировки одного из них.

Bitdefender подчёркивает, что опасность кампании кроется не в изяществе кода, а в индустриализации атак. ИИ упростил выпуск новых вариантов, а ручные действия операторов по-прежнему отвечают за разведку, перемещение по сети и выкачивание данных. Для защиты компания советует делать упор на поведенческий анализ, контроль подозрительных процессов в пользовательских каталогах и мониторинг обращений к доверенным облачным платформам.