O grupo de ameaça alinhado ao Paquistão conhecido como Transparent Tribe é o mais recente a adotar ferramentas assistidas por inteligência artificial (IA) para atacar alvos com diversos implantes maliciosos.
Segundo uma análise recente, essa atividade visa criar um "alto volume de implantes medianos", desenvolvidos em linguagens de programação menos convencionais, como Nim, Zig e Crystal, que usam serviços confiáveis — como Slack, Discord, Supabase e Google Sheets — para dificultar a detecção.
Os pesquisadores de segurança Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu e Martin Zugec explicam que, mais do que um avanço técnico, trata-se da industrialização do malware assistida por IA.
Essa estratégia permite inundar os ambientes das vítimas com binários descartáveis e poliglotas — ou seja, escritos em diversas linguagens —, complicando a identificação pelos sistemas tradicionais.
O conceito, batizado pela empresa romena como Distributed Denial of Detection (DDoD), não busca evitar a detecção por técnicas sofisticadas, mas sobrecarregar as ferramentas de defesa com uma grande quantidade de arquivos, cada um com protocolos e linguagens distintos.
Nesse contexto, modelos avançados de linguagem (LLMs) facilitam o trabalho dos hackers, reduzindo o conhecimento técnico necessário para gerar códigos funcionais em linguagens pouco familiares, seja criando novos códigos ou migrando a lógica de linguagens mais comuns.
As investidas recentes têm como alvo o governo indiano e suas embaixadas no exterior, com o grupo APT36 utilizando o LinkedIn para identificar alvos de alto valor.
Outras vítimas incluem governos afegão e algumas empresas privadas, embora em escala menor.
As infecções costumam começar com e-mails de phishing que contêm atalhos do Windows (arquivos LNK) dentro de arquivos ZIP ou imagens ISO, ou PDFs que redirecionam para sites maliciosos que baixam os mesmos arquivos ZIP.
O arquivo LNK executa scripts PowerShell na memória para baixar e ativar o backdoor principal, além de facilitar ações pós-comprometimento, como a implantação de ferramentas de simulação de adversários, como Cobalt Strike e Havoc — evidenciando uma abordagem híbrida para garantir a persistência dos ataques.
Entre as ferramentas observadas na campanha, destacam-se:
- Warcode: loader de shellcode escrito em Crystal que carrega reflexivamente um agente Havoc na memória.
- NimShellcodeLoader: versão experimental do Warcode que implanta um beacon do Cobalt Strike embutido.
- CreepDropper: malware em .NET usado para entregar payloads adicionais, como o SHEETCREEP (infostealer em Go que utiliza a Microsoft Graph API para comando e controle) e o MAILCREEP (backdoor em C# que usa Google Sheets para C2).
Ambos foram detalhados pela Zscaler ThreatLabz em janeiro de 2026.
- SupaServ: backdoor em Rust que estabelece comunicação principal via plataforma Supabase, com Firebase como fallback, contendo emojis Unicode que indicam possível desenvolvimento assistido por IA.
- LuminousStealer: infostealer em Rust que utiliza Firebase e Google Drive para exfiltração de arquivos com extensões específicas (.txt, .docx, .pdf, entre outras).
- CrystalShell: backdoor em Crystal capaz de atacar Windows, Linux e macOS, que usa IDs de canais do Discord para C2 e tem variante que explora Slack.
- ZigShell: similar ao CrystalShell, mas escrito em Zig e usando Slack como infraestrutura de C2, com funcionalidades de upload e download de arquivos.
- CrystalFile: interpretador básico de comandos em Crystal que monitora e executa instruções presentes em um arquivo específico do sistema.
- LuminousCookies: injetor em Rust especializado na exfiltração de cookies, senhas e informações de pagamento de navegadores baseados em Chromium, burlando mecanismos de criptografia.
- BackupSpy: utilitário em Rust para monitorar o sistema de arquivos local e mídias externas em busca de dados valiosos.
- ZigLoader: loader em Zig que descriptografa e executa shellcode na memória.
- Gate Sentinel Beacon: versão customizada do framework de C2 open source GateSentinel.
Embora o desenvolvimento assistido por IA aumente o volume de amostras, as ferramentas resultantes costumam ser instáveis e cheias de erros lógicos.
A estratégia do grupo, ao focar na detecção baseada em assinaturas, está desatualizada diante das modernas soluções de segurança em endpoints.
A empresa alerta que o principal risco do malware assistido por IA é a industrialização dos ataques, permitindo a ampliação rápida das operações criminosas com menos esforço.
"Estamos diante da convergência de duas tendências antigas: a adoção de linguagens exóticas e o abuso de serviços confiáveis para se esconder no tráfego legítimo", destacam os pesquisadores.
Essa combinação faz com que até códigos medianos tenham êxito operacional ao sobrecarregar as ferramentas de defesa tradicionais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...