Um relatório recente da empresa de cibersegurança Bitdefender focou uma nova fase na evolução dos ataques patrocinados por estados: o grupo conhecido como Transparent Tribe ou APT36 começou a explorar ferramentas de inteligência artificial para produzir grandes quantidades de malware em linguagens pouco convencionais e apoiar-se em serviços legítimos para suas comunicações. Não se trata tanto de uma revolução técnica como de uma estratégia para saturar as defesas, facilitando que peças meiocres mas numerosas consigam seu objetivo ao misturar-se com tráfego legítimo.
A análise técnica publicada por Bitdefender descreve como o ator cria implantes programados em linguagens emergentes ou de nicho —Nim, Zig, Crystal, Rust, Go— e emprega plataformas de uso cotidiano como Slack, Discord, Supabase, Firebase ou Google Sheets para o canal de comando e controle. Essa escolha busca que o tráfego malicioso não destaque às ferramentas que apenas inspecionam assinaturas ou padrões simples. Você pode ler o relatório original do Bitdefender aqui: Bitdefender: APT36 e o fenômeno vibeware.
Os modelos de linguagem têm encurtado a curva de aprendizagem: permitem que atores com conhecimentos limitados gerar código em idiomas que antes os eram alheios, ou portar a lógica de um binário tradicional para outro ecossistema de desenvolvimento. O resultado, segundo os pesquisadores, é uma "industrialização" de malware onde a escala e a diversidade de amostras buscam erosionar a telemetria defensiva. Bitdefender observa que muitos desses binários são instáveis e contêm erros lógicos, mas ainda assim são operacionais quando se desdobram massivamente.
Nas campanhas recentes, foi salientado um interesse particular por objectivos do governo indiano e suas missões diplomáticas no exterior, enquanto também foram detectadas intrusões contra a administração afegã e algumas empresas privadas. A intrusão inicial costuma começar com mensagens de phishing que entregam atalhos do Windows (.LNK) dentro de arquivos comprimidos ou imagens ISO, ou com documentos PDF que redirecionem para download desses mesmos arquivos. Ao executar, o acesso inicial é obtido mediante PowerShell em memória que descarrega e põe em marcha a porta traseira principal, e desde aí se desdobram ferramentas de simulação de adversários como Cobalt Strike ou Havoc para garantir persistência e mobilidade lateral.
Os pesquisadores identificaram uma família ampla de ferramentas e componentes que exemplificam a estratégia: loaders escritos em Crystal ou Zig que carregam shellcode em memória; loaders experimentais em Nim que levam beacons de Cobalt Strike; componentes .NET que servem como primeiro entreguer de cargas adicionais; e uma variedade de backdoors e infostealers escritos em Rust ou Go que usam APIs de serviços na nuvem e de produtividade para seu comando e controle. Entre os nomes que aparecem nos relatórios estão Warcode, NimShellcodeLoader, CreepDropper, SHEETCREEP, MAILCREEP, SupaServ, LuminousStealer, CrystalShell, ZigShell, CrystalFile, Luminous Cookies, BackupSpy, ZigLoader e uma variante personalizada do marco GateSentinel. Para quem quiser investigar mais o projeto GateSentinel de código aberto, existe documentação pública no GitHub: GateSentinel (GitHub).
Que estes componentes apoiem a sua telemetria em canais legítimos não é uma coincidência: usar serviços de confiança complicam os sinais que anormalmente disparam alertas e permitem que os atacantes "camuflarse" dentro de tráfego que os equipamentos costumam considerar inocuo. A combinação de linguagens exóticas e serviços legítimos como proxy de C2 reduz a visibilidade das defesas tradicionais, e isso é precisamente o que buscam grupos que agora empregam assistentes de programação baseados em LLM.
Do ponto de vista defensivo, a conclusão dos analistas é clara: a segurança já não pode ser apoiada apenas em listas de assinaturas. A detecção baseada em comportamentos, na telemetria enriquecida e em controles que limitem a execução de binários não autorizados torna-se a linha de contenção mais efetiva. Muitas recomendações práticas para endurecer o ambiente coincidem com guias públicos de agências e fornecedores: fortalecer o filtro de correio e a formação em detecção de phishing, aplicar políticas restritivas sobre a execução de atalhos e arquivos baixados da Internet, manter EDR/antimalware moderno com capacidade de análise em memória, e usar autenticação multifator e controles rigorosos sobre tokens e APIs de terceiros.
Para quem gere defesas corporativas e governamentais, a Agência de Segurança Cibernética dos EUA. Os EUA (CISA) oferecem recursos e conselhos sobre como reduzir o risco de campanhas de phishing e ataques com ferramentas vivas em memória; ver suas recomendações pode ser um bom ponto de partida: CISA – Stop.Think.Connect: Guia contra o phishing. Em paralelo, a Microsoft publica documentação sobre boas práticas no uso seguro de PowerShell e mitigações contra abusos em memória, material útil para endurecer vetores de execução que costumam explorar os atacantes: Microsoft – PowerShell: práticas de segurança.
Para além das melhorias técnicas, há uma discussão mais ampla que começa a tomar força: como gerenciar o risco de que ferramentas de inteligência artificial facilitem a criação de malware. Não se trata apenas de bloquear executáveis, mas sim de entender que as barreiras de entrada para construir e escalar campanhas maliciosas são reduzidas. Empresas, administrações e fornecedores de plataformas devem colaborar para detectar abusos de APIs, restringir o uso de credenciais que permitam canais de C2 e desenvolver assinaturas heurísticas que detectem padrões de comportamento contra a mera presença de um artefato.
O caso de APT36 mostra que a ameaça evolui adaptando-se à economia da atenção: inundar com variantes superficiais e confiar no ruído para evitar ser detectado. A resposta eficaz implica modernizar os controles, priorizar a prevenção do phishing e concentrar-se na detecção baseada em anomalias e no contexto.
Se você gerencia segurança em uma organização, você precisa revisar configurações de e-mail, endurecer permissões sobre serviços na nuvem, auditar integrações com Slack/Discord/Supabase/Firebase e reforçar a visibilidade nos endpoints e na rede. Para uma análise técnica mais aprofundada e exemplos concretos dos componentes observados, você pode consultar o relatório Bitdefender e as análises complementares publicadas por equipes de pesquisa da indústria de cibersegurança.
A lição que este episódio deixa é dupla: por um lado, a inteligência artificial facilita os atacantes a experimentação e a produção em massa; por outro, as defesas contemporâneas têm ferramentas e táticas para mitigar esse risco, desde que se atualizem e se priorize a detecção por comportamento e a gestão de identidade e acessos. Em cibersegurança, como em outros campos, a escala e a automação mudam o campo de jogo, e a melhor resposta é adaptar as defesas a essa nova realidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...