Die pakistanisch unterstützte Hacker-Gruppe Transparent Tribe setzt KI-gestützte Programmiertools ein, um in Massenproduktion disposable Malware-Varianten in exotischen Programmiersprachen zu erzeugen und so Erkennungsmechanismen zu überlasten.
Die Hackergruppe Transparent Tribe hat sich den wachsenden Trend angeschlossen und nutzt künstliche Intelligenz zum Schreiben von Malware-Code. Das Ziel ist nicht technische Brillanz, sondern eine Strategie, die Bitdefender als “Distributed Denial of Detection” (DDoD) bezeichnet: Die Angreifer überfluten Zielumgebungen mit austauschbaren Malware-Varianten, die in weniger bekannten Programmiersprachen wie Nim, Zig und Crystal geschrieben sind.
Laut dem rumänischen Cybersecurity-Anbieter Bitdefender handelt es sich um “KI-gestützte Malware-Industrialisierung”, die es den Akteuren ermöglicht, schnell große Mengen polyglotter Binärdateien zu produzieren. Diese nutzen vertrauenswürdige Services wie Slack, Discord, Supabase und Google Sheets als Kommunikationskanäle, um unter dem Radar zu bleiben. Large Language Models (LLMs) senken dabei die Einstiegshürde für Cyberkriminalität erheblich, indem sie funktionsfähigen Code in unbekannten Sprachen generieren können.
Die aktuellen Angriffskampagnen zielen auf die indische Regierung und ihre Botschaften im Ausland ab. APT36 nutzt LinkedIn zur Identifikation von hochrangigen Zielpersonen. Auch die afghanische Regierung und mehrere private Unternehmen wurden angegriffen, allerdings in geringerem Umfang.
Die Infektionsketten beginnen typischerweise mit Phishing-E-Mails, die Windows-Shortcuts (LNK-Dateien) in ZIP-Archiven oder ISO-Images enthalten. Alternativ werden PDF-Köder mit einem prominenten “Download Document”-Button verwendet, um Nutzer auf attacker-kontrollierte Websites zu leiten. Die LNK-Dateien führen PowerShell-Skripte im Speicher aus, die dann Backdoors herunterladen und ausführen.
Bei den beobachteten Tools handelt es sich um bekannte Adversary-Simulation-Werkzeuge wie Cobalt Strike und Havoc, was auf eine hybride Strategie zur Gewährleistung der Resilienz hindeutet.
Bitdefender warnt, dass die wahre Bedrohung nicht in technischer Raffinesse liegt, sondern in der Industrialisierung von Angriffen. Durch die KI-gestützte Entwicklung können Threat Actor ihre Aktivitäten schnell skalieren. “Diese Kombination aus exotischen Programmiersprachen und dem Missbrauch vertrauenswürdiger Services ermöglicht es, selbst mittelmäßigen Code zu operativer Erfolg zu verhelfen — einfach durch Überflutung der Erkennungssysteme,” erklären die Forscher. Modernes Endpoint-Security sei allerdings längst über reine Signature-basierte Erkennung hinausgegangen.
Quelle: The Hacker News