Bitdefender bezeichnet diesen Ansatz als „Distributed Denial of Detection" (DDoD). Das Ziel ist demnach nicht, die Erkennung durch technische Raffinesse zu umgehen, sondern die Zielumgebung mit kurzlebigen Binärdateien zu überfluten, von denen jede eine andere Sprache und ein anderes Kommunikationsprotokoll verwendet. Für diese sogenannte vibeware – per KI zusammengeschriebene Schadsoftware – senken große Sprachmodelle (LLMs) die Einstiegshürde, weil sie funktionsfähigen Code in unvertrauten Sprachen erzeugen können, entweder von Grund auf oder durch Portierung der Kernlogik aus geläufigeren Sprachen.
Die Infektionsketten beginnen den Forschern zufolge wahrscheinlich mit Phishing-Mails, die Windows-Verknüpfungen (LNK) in ZIP-Archiven oder ISO-Abbildern enthalten. Alternativ kommen PDF-Köder mit einer auffälligen Schaltfläche „Dokument herunterladen" zum Einsatz, die Nutzer auf eine von den Angreifern kontrollierte Website umleiten und dort denselben ZIP-Download auslösen.
Unabhängig von der Methode dient die LNK-Datei dazu, PowerShell-Skripte im Arbeitsspeicher auszuführen. Diese laden anschließend die eigentliche Backdoor herunter und ermöglichen Aktionen nach der Kompromittierung. Dazu zählt auch der Einsatz bekannter Werkzeuge zur Angriffssimulation wie Cobalt Strike und Havoc – ein hybrider Ansatz, der die Widerstandsfähigkeit der Operation sichern soll.
Den Wechsel von APT36 hin zu vibeware wertet Bitdefender als technischen Rückschritt: Die KI-gestützte Entwicklung erhöhe zwar die Zahl der Samples, doch seien die entstehenden Werkzeuge oft instabil und voller logischer Fehler. Die Strategie der Gruppe ziele fälschlicherweise auf signaturbasierte Erkennung, die durch moderne Endpunktsicherheit längst überholt sei.
Die eigentliche Gefahr KI-gestützter Malware sieht Bitdefender in der Industrialisierung der Angriffe, die es den Akteuren erlaubt, ihre Aktivitäten schnell und mit geringerem Aufwand zu skalieren. Die Forscher sprechen von einer Konvergenz zweier länger anhaltender Trends: dem Rückgriff auf exotische Nischensprachen und dem Missbrauch vertrauenswürdiger Dienste, um sich in legitimem Netzwerkverkehr zu verbergen. Diese Kombination erlaube es selbst mittelmäßigem Code, hohe operative Erfolge zu erzielen, indem er die üblichen Verteidigungssysteme schlicht überlaste.
