Novo Paradigma de Ataque com IA
O grupo de ameaças APT36, amplamente conhecido como Transparent Tribe, mudou sua estratégia de operações, abandonando ferramentas cuidadosamente elaboradas em favor de uma abordagem chamada "vibeware". Trata-se de malware assistido por IA, produzido em alta escala com pouca preocupação com a qualidade técnica.
Volume sobre Sofisticação
Em vez de investir tempo em um único código sofisticado, o grupo utiliza ferramentas de codificação com IA para gerar dezenas de implantes descartáveis rapidamente. O objetivo não é a brilhância técnica, mas sim o volume, sobrecarregando os defensores com um fluxo constante de novas amostras difíceis de rastrear individualmente.
Analistas da Bitdefender identificaram evidências conclusivas de assistência de IA nos arquivos do grupo, incluindo metadados apontando diretamente para editores de código integrados com IA e emojis Unicode embutidos em strings binárias — marcadores claros de desenvolvimento "vibe-coded".
Vetores de Ataque e Alvos
A campanha visa agências governamentais indianas, militares e missões diplomáticas, com foco secundário no governo do Afeganistão e vários negócios privados. Os atacantes foram encontrados usando o LinkedIn para identificar e perfilar alvos de alto valor, tendo recuperado capturas de tela de listas de funcionários de agências governamentais relacionadas à defesa.
Um nome de usuário interno recorrente, "Nightmare", foi encontrado em todo o sistema do grupo, sugerindo que um único operador ou equipe coordenada está no núcleo desse esforço. O acesso inicial é entregue por meio de e-mails maliciosos contendo arquivos ZIP ou ISO que agrupam arquivos de atalho (.LNK).
Infraestrutura de Comando e Controle (C2)
Um dos aspectos operacionalmente mais eficazes desta campanha é o uso pesado de serviços de nuvem legítimos para comando e controle. O APT36 roteia comunicações através do Discord, Slack, Google Sheets, Supabase e Firebase — plataformas que os firewalls corporativos rotineiramente confiam, tornando o tráfego malicioso difícil de separar da atividade normal.
Entre as ferramentas identificadas estão:
- CrystalShell: Escrito em Crystal, usa canais do Discord para emitir comandos.
- ZigShell: Realiza o mesmo papel através do Slack.
- SheetCreep: Backdoor baseado em C# que converte uma planilha do Google Drive em um hub de controle vivo.
- LuminousStealer: Construído em Rust, envia metadados de arquivos roubados para o Firebase e faz upload de conteúdo para o Google Drive.
Defesa e Mitigação
Para se defender contra este tipo de campanha, as equipes de segurança devem priorizar a detecção comportamental em vez da varredura por assinatura de arquivos, já que linguagens de nicho como Nim, Zig e Crystal podem redefinir completamente as linhas de base de detecção padrão. Conexões de saída para plataformas de nuvem confiáveis originadas de binários não assinados devem ser tratadas como potenciais indicadores de comprometimento.
A criação de tarefas agendadas, injeção de processo, cadeias de execução sem arquivo e atividade incomum do PowerShell devem acionar investigação imediata, pois esta campanha depende de todas elas.