Grupo Transparent Tribe utiliza IA para ampliar ataques com malware na Índia

Tipo principal do conteúdo: Cibersegurança

Pesquisadores de segurança identificaram uma nova tendência em campanhas de ciberespionagem conduzidas pelo grupo Transparent Tribe, alinhado ao Paquistão, que passou a utilizar ferramentas de codificação assistidas por inteligência artificial (IA) para criar e distribuir malware em larga escala. O diferencial técnico dessa abordagem está na automação e diversificação dos códigos maliciosos, desenvolvidos em linguagens pouco convencionais como Nim, Zig e Crystal, e na utilização de serviços amplamente confiáveis, como Slack, Discord, Supabase e Google Sheets, para comunicação e controle dos ataques.

A estratégia, denominada Distributed Denial of Detection (DDoD), não busca sofisticar tecnicamente o malware, mas sim inundar os ambientes-alvo com uma grande quantidade de binários descartáveis e poliglotas. O uso de modelos de linguagem de IA permite que os atacantes gerem código funcional em linguagens pouco familiares, reduzindo a barreira técnica e aumentando o volume de amostras, mesmo que muitas apresentem erros lógicos ou instabilidade. Essa industrialização do desenvolvimento de malware dificulta a detecção baseada em assinaturas e sobrecarrega sistemas de defesa tradicionais.

Os vetores de ataque identificados incluem campanhas de phishing com atalhos do Windows (LNK) em arquivos ZIP ou ISO, além de PDFs que direcionam a vítima para sites controlados pelos invasores. Uma vez executados, scripts em PowerShell são carregados na memória para baixar backdoors e ferramentas de pós-comprometimento, como Cobalt Strike e Havoc. Entre os malwares observados, destacam-se loaders e infostealers desenvolvidos em Rust, Crystal e Zig, capazes de exfiltrar dados sensíveis e manter comunicação por canais alternativos, explorando plataformas legítimas.

A análise técnica aponta que, embora a qualidade dos códigos gerados por IA ainda seja inferior à de desenvolvedores experientes, a capacidade de produzir rapidamente grandes volumes de malware representa um risco operacional crescente. A tendência de adotar linguagens exóticas e abusar de serviços confiáveis para comunicação C2 pode dificultar a detecção por soluções convencionais, exigindo a evolução contínua das ferramentas e métodos de defesa cibernética.