Die pakistanisch gesteuerte Hackergruppe APT36 setzt KI-Coding-Tools ein, um Ziele mit Massenmengen minderwertiger Malware zu bombardieren. Die Taktik der “Distributed Denial of Detection” zielt darauf ab, Abwehrsysteme durch schiere Menge statt technischer Qualität zu überlasten.
Die staatlich unterstützte Hackergruppe APT36, die Pakistan zugeordnet wird, setzt zunehmend auf künstliche Intelligenz, um eine Malware-Fließband-Produktion hochzufahren. Dabei nutzt die Gruppe sogenanntes “Vibe-Coding” — die Verwendung von natürlichsprachigen Prompts mit KI-Tools — um Malware in großem Umfang zu erzeugen.
Bitdefender hat diese Strategie als “Distributed Denial of Detection” bezeichnet, nachdem die Bedrohungsakteure in jüngsten Angriffen auf indische Regierungsbehörden, deren Botschaften weltweit und andere Ziele in Südafrika entdeckt wurden. Das Sicherheitsunternehmen stellte fest, dass die produzierte “Vibeware” durchgehend von niedriger Qualität ist und voller Fehler steckt: Ein Credential-Stealer hatte statt einer Kommando-und-Kontroll-Adresse nur einen Platzhalter, ein Backdoor setzte seinen Zeitstempel jedes Mal zurück und machte den Host damit immer online erscheinen.
“Wir sahen ähnliche Muster in der gesamten Flotte, wo Malware-Komponenten unter ihrer eigenen Last zusammenbrachen, sobald die Logik ein moderates Komplexitätsniveau erreichte”, erklärte Bitdefender-Forscher Radu Tudorica. Die Fehler entstünden, wenn Code “syntaktisch korrekt, aber logisch unvollständig” ist.
Unternehmen sollten solche Malware allerdings nicht unterschätzen, warnt Tudorica: APT36 nutzt ungewöhnliche Programmiersprachen wie Nim, Zig und Crystal sowie legitime Services wie Slack, Discord, Google Sheets und Supabase als Kommando-Kanäle. Hier liegt das eigentliche Problem: Während Erkennungsmaschinen typischerweise auf C++ oder C# trainiert sind, können Malware in exotischen Sprachen diese “Erkennungs-Baseline” de facto zurücksetzen.
Bitdefender beobachtete, dass APT36 bei einzelnen Angriffen mehrere Malware-Implants gleichzeitig einschleusten — jeweils in einer anderen Sprache und mit unterschiedlichen Kommunikationsprotokollen. Das Ziel: selbst wenn ein Angriffkanal neutralisiert wird, behält die Gruppe Netzwerkzugriff. Die Gruppe produziert täglich neue Malware-Varianten.
“Die echte Gefahr für Organisationen ist die Industrialisierung der Mittelmäßigkeit”, sagt Martin Zugec, technischer Lösungsdirektor bei Bitdefender. KI ermöglicht Angreifern, in Volumen zu operieren, die Organisationen mit Sicherheitslücken kaum bewältigen können — vor allem wenn grundlegende Sicherheitshygiene fehlt. Viele Umgebungen leiden noch immer unter flachen Netzwerken, zu vielen Privilegien und fehlender MDR- oder SOC-Überwachung.
Bitdefender bewertet APT36s Pivot zu Vibe-Coding als technischen Rückschritt für die Gruppe selbst. Doch der breitere Trend könnte problematisch werden, wenn sich das Modell entwickelt und die KI-Tools verbessern. Viele APT-Gruppen sind weniger “Elite-Cyber-Krieger” als vielmehr bürokratische Regierungsbehörden mit Junior-Operatoren, die historisch auf angepasste Open-Source-Projekte angewiesen waren. “Für diese Akteure ist Vibe-Coding eine Möglichkeit, ihre bestehenden, minderwertigen Taktiken zu skalieren”, so Zugec.
APT36 ist seit langem mit Angriffen auf Indiens Luft- und Raumfahrt, Verteidigungs- und Regierungssektoren verbunden und entwickelt ständig neue Malware für Windows, Linux und Android.
Quelle: Dark Reading