Bitdefender hat die Methode von APT36 nach eigenen Angaben in jüngsten Angriffen beobachtet und sie “Distributed Denial of Detection” getauft. Der Begriff “Vibe-Coding” beschreibt dabei die Praxis, Code mithilfe von KI-Werkzeugen über umgangssprachliche, natürlichsprachliche Eingaben zu entwickeln. Forscher Radu Tudorica nennt die so entstandenen Programme “Vibeware”.

Die Qualität ist nach Darstellung des Anbieters mangelhaft. Bei einem Hintertür-Programm setzte die Funktion zur Statusmeldung jedes Mal genau den Zeitstempel zurück, den sie eigentlich erfassen sollte, sodass das betroffene System stets als online erschien – unabhängig von seinem tatsächlichen Zustand. Ähnliche Muster fanden sich laut Tudorica auch bei weiteren Komponenten, die zusammenbrachen, sobald die Logik eine mittlere Komplexität erreichte. Es seien Fehler, wie sie entstünden, wenn Code “syntaktisch korrekt, aber logisch unfertig” sei.

Gefährlich ist die Methode dennoch, weil APT36 die Schadsoftware in seltenen Programmiersprachen wie Nim, Zig und Crystal erzeugt. Früher erforderte die Entwicklung von Malware in mehreren Sprachen erheblichen Zeitaufwand und Können; durch KI können laut Tudorica auch Akteure mit grundlegenden Kenntnissen mit geringem Aufwand Schadprogramme in verschiedenen Sprachen ausstoßen. Das ist ein Problem, weil die meisten Erkennungssysteme auf verbreitete Sprachen wie C++ oder C# ausgelegt sind. Trifft eine Binärdatei in einer ungewohnten Sprache ein, werde die “Erkennungsbasis im Grunde zurückgesetzt”.

Zusätzlich missbraucht die Gruppe legitime Cloud-Plattformen für die Steuerung. Bitdefender fand in der Vibeware-Sammlung die Dienste Slack, Discord, Google Sheets und Supabase als Kanäle, um Befehle an gekaperte Rechner zu senden und gestohlene Daten zu empfangen. In den analysierten Angriffen infizierte APT36 Opfer mit mehreren gleichzeitig laufenden Implantaten, jedes in einer anderen Sprache und mit einem anderen Kommunikationsprotokoll – so soll der Zugang erhalten bleiben, selbst wenn ein Kanal ausgeschaltet wird.

“Die eigentliche Gefahr für Organisationen ist die Industrialisierung der Mittelmäßigkeit”, sagt Martin Zugec, Technical Solutions Director bei Bitdefender. KI ermögliche Angriffe in einem Umfang, der schwer zu bewältigen sei, wenn grundlegende Sicherheitshygiene vernachlässigt wurde. Viele Umgebungen litten trotz langjähriger Empfehlungen zu mehrschichtiger Sicherheit weiter unter flachen Netzwerken, überprivilegierten Nutzern und fehlender aktiver Überwachung. Vibeware verlasse sich nicht auf technische Brillanz, sondern nutze das trügerische Sicherheitsgefühl von Organisationen aus, die bislang schlicht unentdeckt geblieben seien.

Bitdefender bewertet den Wechsel von APT36 zum Vibe-Coding-Modell als “technischen Rückschritt” für die Gruppe selbst, sieht im breiteren Trend aber Anlass zur Sorge, je weiter die zugrunde liegenden KI-Werkzeuge sich verbessern. Es sei ein verbreiteter Irrtum, jede APT-Gruppe für eine Ansammlung von Elite-Cyberkriegern zu halten, so Zugec; viele seien bürokratische Behördenabteilungen mit unerfahrenen Mitarbeitern. APT36 wird seit Längerem mit Angriffen auf indische Einrichtungen aus Luft- und Raumfahrt, Verteidigung und Verwaltung in Verbindung gebracht und verfügt über Schadsoftware für Windows-, Linux- und Android-Umgebungen.