Ein neuer Bericht der Bitdefender Cybersecurity-Firma hat sich auf eine neue Phase in der Entwicklung von staatlich unterstützten Angriffen konzentriert: Die Gruppe als Transparent Tribe oder APT36 hat begonnen, künstliche Intelligenz-Tools zu nutzen, um große Mengen an Malware in unkonventionellen Sprachen zu produzieren und auf legitime Dienste für ihre Kommunikation zu verlassen. Es ist nicht so sehr eine technische Revolution als Strategie, die Verteidigung zu sättigen. es einfacher für mittelmäßige, aber zahlreiche Stücke, um ihr Ziel durch Mischen mit legitimen Verkehr zu erreichen.
Die von Bitdefender veröffentlichte technische Analyse beschreibt, wie der Schauspieler programmierte Implantate in Schwellen- oder Nischensprachen erstellt - Nim, Zig, Crystal, Rust, Go - und verwendet tägliche Einsatzplattformen wie Slack, Discord, Supabase, Firebase oder Google Sheets für den Befehls- und Kontrollkanal. Diese Wahl sucht, dass der schädliche Verkehr nicht auf die Werkzeuge, die nur einfache Signaturen oder Muster inspizieren. Sie können den ursprünglichen Bitdefender-Bericht hier lesen: Bitdefender: APT36 und das Vibeware-Phänomen.
Sprachmodelle haben die Lernkurve gekürzt: Sie ermöglichen es Akteuren mit begrenztem Wissen, Code in Sprachen zu generieren, die ihnen zuvor fremd waren, oder die Logik von einem traditionellen binären zu einem anderen Entwicklungsökosystem zu tragen. Das Ergebnis, nach Forschern, ist eine "Industrialisierung" von Malware, wo Skalen und Vielfalt von Proben versuchen, defensive Telemetrie zu erode. Bitdefender stellt fest, dass viele dieser Binäre instabil sind und logische Fehler enthalten, aber sie sind immer noch in Betrieb, wenn sie massiv eingesetzt werden.
Neuere Kampagnen haben ein besonderes Interesse an den Zielen der indischen Regierung und ihren diplomatischen Missionen im Ausland festgestellt, während Einbrüche gegen die afghanische Regierung und einige private Unternehmen auch festgestellt wurden. Die erste Intrusion beginnt in der Regel mit Phishing-Nachrichten, die Shortcuts von Windows (.LNK) in komprimierte Dateien oder ISO-Bilder liefern, oder mit PDF-Dokumenten, die zum Download derselben Dateien umleiten. Beim Laufen wird der erste Zugriff durch PowerShell im Speicher erreicht, der die Haupt-Rück-Tür herunterlädt und startet, und von dort sind Simulationstools von Gegnern wie Cobalt Strike oder Havoc, um Persistenz und laterale Mobilität zu gewährleisten.
Forscher haben eine große Familie von Werkzeugen und Komponenten identifiziert, die die Strategie beispielhaft: Führer in Crystal oder Zig, die Shellcode in Erinnerung laden; experimentelle Führer in Nim, die Cobalt Strike Beacons tragen; .NET-Komponenten, die als erste Lieferung von zusätzlichen Lasten dienen; und eine Vielzahl von Backdoors und Infostealers geschrieben in Rust oder Go, die APIs von Cloud-Services und Produktivität für ihre Kontrolle und Kontrolle verwenden. Die Namen in den Berichten sind Warcode, NimShellcodeLoader, CreepDropper, SHEETCREEP, MAILCREEP, SupaServ, LuminousStealer, Crystal Shell, ZigShell, Crystal File, LuminousCookies, BackupSpy, ZigLoader und eine benutzerdefinierte Variante des GateSentinel Frames. Für diejenigen, die das Open Source GateSentinel-Projekt weiter untersuchen wollen, gibt es öffentliche Dokumentationen in GitHub: TorSentinel (GitHub).
Dass diese Komponenten ihre Telemetrie auf legitimen Kanälen unterstützen, ist kein Zufall: Mit Hilfe von Treuhanddiensten komplizieren Sie Signale, die anormalerweise Brandwarnungen feuern und Angreifern erlauben, im Verkehr "Camuflage" zu "Cumuflage" zu "Cumuflage", die Teams oft harmlos betrachten. Die Kombination aus exotischen Sprachen und legitimen Dienstleistungen wie C2 Proxy reduziert die Sichtbarkeit traditioneller Verteidigungssysteme, und genau das suchen sie nach Gruppen, die jetzt LLM-basierte Programmierassistenten verwenden.
Aus defensiver Sicht ist der Abschluss von Analysten klar: Sicherheit kann nicht mehr allein auf Unterschriftenlisten beruhen. Behaviour-basierte Erkennung, bereicherte Telemetrie und Kontrollen, die die Ausführung von unbefugten Binaries begrenzen, werden die effektivste Eindämmungslinie. Viele praktische Empfehlungen, um die Umwelt zu härten Übereinstimmung öffentliche Agentur und Lieferanten-Führungen: Stärkung der Mail-Filter und Phishing-Erkennung Schulung, Anwendung restriktiver Richtlinien auf laufende Shortcuts und heruntergeladene Dateien aus dem Internet, pflegen moderne EDR / Antimalware mit Speicheranalysekapazität, und verwenden Multifaktor-Authentifizierung und strenge Kontrollen auf Drittanbieter-Token und APIs.
Für diejenigen, die Unternehmens- und Regierungsverteidigungen verwalten, die US Cyber Security Agency. USA (CISA) bietet Ressourcen und Tipps, wie man das Risiko von Phishing-Kampagnen und Angriffen mit Live-Tools im Gedächtnis reduziert; Ihre Empfehlungen sehen kann ein guter Ausgangspunkt sein: CISA - Stop.Think. Anschluss: Antiphishing Guide. Parallel veröffentlicht Microsoft die Dokumentation über bewährte Praktiken bei der sicheren Nutzung von PowerShell und der Minderung von Speichermissbrauch, nützliches Material, um Ausführungsvektoren zu härten, die Angreifer oft nutzen: Microsoft - PowerShell: Sicherheitspraktiken.
Über technische Verbesserungen hinaus gibt es eine breitere Diskussion, die anfängt, Stärke zu nehmen: wie man das Risiko zu verwalten, dass künstliche Intelligenz-Tools die Malware-Erstellung erleichtern. Es geht nicht nur um die Blockierung von Ausführungsmöglichkeiten, sondern um das Verständnis, dass die Einstiegsbarrieren zu bauen und zu skalieren bösartige Kampagnen reduziert werden. Unternehmen, Verwaltungen und Plattformanbieter sollten zusammenarbeiten, um APIs-Missbrauch zu erkennen, die Verwendung von Anmeldeinformationen einzuschränken, die C2-Kanäle zulassen und heuristische Signaturen entwickeln, die Verhaltensmuster gegen die bloße Präsenz eines Artefaktes erkennen.
Der Fall von APT36 zeigt, dass sich die Bedrohung durch die Anpassung an die Pflegewirtschaft entwickelt: Überlegen mit Oberflächenvarianten und verlassen sich auf Geräusche, um nicht erkannt zu werden. Die effektive Reaktion beinhaltet die Modernisierung von Kontrollen, die Priorisierung der Phishing-Prävention und die Fokussierung auf anomalybasierte und kontextbasierte Erkennung.
Wenn Sie die Sicherheit in einer Organisation verwalten, sollten Sie Mail-Einstellungen überprüfen, Berechtigungen auf Cloud-Dienste verschärfen, Audit-Integration mit Slack / Discord / Supabase / Firebase und die Sichtbarkeit an Endpunkten und im Netzwerk stärken. Für eine eingehendere technische Analyse und konkrete Beispiele der beobachteten Komponenten finden Sie den Bitdefender-Bericht und die ergänzenden Analysen, die von Forschungsteams der Cyber-Sicherheitsindustrie veröffentlicht werden.
Die von dieser Episode hinterlassene Lektion ist doppelt: Zum einen erleichtert die künstliche Intelligenz die Assailants zu Experimenten und Massenproduktion; zum anderen haben zeitgenössische Verteidigungsinstrumente und Taktiken, um dieses Risiko zu mindern, vorausgesetzt, dass die Erkennung durch Verhalten und Identitätsmanagement und Zugriff aktualisiert und priorisiert werden. In Cybersicherheit, wie in anderen Bereichen, Skalen und Automatisierung ändern das Spielfeld, und die beste Antwort ist, die Verteidigung an diese neue Realität anzupassen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...