Grupo hacker Transparent Tribe (APT36) usa IA para fabricar malware em escala e intensificar ataques contra o governo da Índia
O grupo de ciberespionagem Transparent Tribe, também conhecido como APT36 e associado a interesses do Paquistão, deu um passo além em suas operações ofensivas: passou a incorporar ferramentas de inteligência artificial em larga escala para acelerar o desenvolvimento de malware. O foco principal continua sendo órgãos governamentais da Índia e representações diplomáticas indianas no exterior, mas a forma de operação mudou de maneira significativa.
Em vez de apostar em poucas famílias de malware altamente sofisticadas, o grupo migrou para uma estratégia de volume. A ideia é simples e perigosa: produzir rapidamente uma enorme quantidade de implantes maliciosos “medianos”, porém suficientes para sobrecarregar as defesas das vítimas com uma enxurrada de variantes de código diferentes. Essa mudança foi detalhada por uma análise técnica que aponta para um verdadeiro processo de “industrialização” da criação de malware.
Industrialização do malware com IA e linguagens pouco comuns
Os pesquisadores descrevem que o Transparent Tribe está usando ferramentas de IA, principalmente baseadas em modelos de linguagem de grande escala (LLMs), para escrever e adaptar códigos maliciosos em linguagens de programação pouco usuais no mundo do cibercrime, como Nim, Zig e Crystal. Essas linguagens, embora menos populares, são suficientemente maduras para criar binários funcionais, mas ainda não contam com o mesmo nível de cobertura por assinaturas tradicionais de antivírus e soluções de detecção.
Com o apoio da IA, o grupo consegue, por exemplo:
– gerar rapidamente novos códigos em linguagens que seus operadores não dominam;
– portar malwares existentes para outras linguagens com poucas instruções;
– criar múltiplas variações do mesmo implante alterando detalhes de lógica, protocolos e formatos.
Na prática, isso reduz a barreira técnica para construir novas ameaças e acelera o ciclo de desenvolvimento: o que antes exigia programadores especializados passou a ser produzido com muito mais rapidez e por equipes menores.
Do DDoS ao “DDoD”: negar a detecção, não o serviço
A estratégia adotada pelo grupo foi batizada de Distributed Denial of Detection (DDoD), uma analogia direta ao clássico ataque de Distributed Denial of Service (DDoS). Em vez de sobrecarregar servidores com tráfego para derrubá-los, o objetivo aqui é sufocar os mecanismos de detecção com um volume massivo de amostras diferentes.
Em vez de criar um único malware extremamente furtivo, o Transparent Tribe distribui dezenas ou centenas de variantes, cada uma:
– escrita em uma linguagem diferente;
– usando protocolos, formatos de arquivo ou métodos de execução distintos;
– com pequenas modificações de comportamento.
Essa pulverização de variantes dificulta o trabalho dos analistas e das ferramentas de segurança baseadas em assinaturas ou em padrões estáticos. Quanto maior o número de amostras ligeiramente distintas, maior a chance de parte delas escapar dos filtros e permanecer ativa dentro da rede comprometida.
Abuso de serviços legítimos para comando e controle
Outro pilar da campanha é o uso de serviços amplamente aceitos e confiáveis na internet para esconder a comunicação entre o malware e os operadores. Em vez de depender de servidores de comando e controle (C2) dedicados, que podem ser bloqueados ou derrubados com mais facilidade, o grupo passou a explorar plataformas legítimas, entre elas:
– Slack
– Discord
– Supabase
– Google Sheets
Ao trafegar dados maliciosos por meio dessas plataformas, o malware se camufla no meio do uso legítimo de ferramentas corporativas e colaborativas. O tráfego passa a se parecer com rotinas comuns de comunicação de trabalho ou sincronização de dados, o que complica a tarefa de distinção entre uso normal e atividade criminosa apenas com base em listas de bloqueio ou reputação de domínio.
Essa técnica de se misturar a serviços confiáveis mostra como os atacantes dependem cada vez mais de infraestruturas terceirizadas para reduzir custos, ganhar resiliência e dificultar ações defensivas.
Cadeia de infecção: phishing, atalhos maliciosos e PowerShell
A porta de entrada para as vítimas permanece a mesma: campanhas de phishing bem elaboradas, muitas vezes com temas políticos, diplomáticos ou administrativos que interessem a servidores públicos e funcionários de embaixadas.
O fluxo típico da infecção segue alguns passos:
1. A vítima recebe um e-mail de phishing contendo um arquivo compactado ou uma imagem ISO.
2. Dentro desse arquivo, há atalhos do Windows (arquivos LNK) disfarçados de documentos ou pastas.
3. Quando o usuário clica no atalho, scripts em PowerShell são executados diretamente na memória, evitando gravar arquivos suspeitos em disco.
4. Esses scripts baixam e executam o backdoor principal, que então estabelece contato com a infraestrutura de comando e controle.
A partir desse ponto, os operadores podem instalar novas ferramentas, mover-se lateralmente pela rede, coletar informações e manter persistência nos sistemas comprometidos.
Integração com frameworks ofensivos: Cobalt Strike e Havoc
Após a infecção inicial, o Transparent Tribe combina seu próprio arsenal de malware com frameworks amplamente usados em operações ofensivas profissionais, como:
– Cobalt Strike
– Havoc
Esses frameworks foram originalmente desenvolvidos para testes de intrusão e simulação de ataques, mas se tornaram populares entre grupos maliciosos devido ao seu poder e flexibilidade. Ao integrar malwares personalizados com ferramentas desse tipo, o grupo constrói um modelo híbrido: usa o malware para ganhar a primeira brecha e, depois, passa a explorar a rede com ferramentas de nível corporativo, com capacidades avançadas de comando remoto, movimentação lateral e exfiltração de dados.
Arsenal variado: loaders, backdoors e infostealers
A investigação detalhou uma série de ferramentas maliciosas empregadas pelo Transparent Tribe nesta campanha, evidenciando a diversidade de funções e linguagens envolvidas:
– Warcode – loader desenvolvido em Crystal para carregar agentes do framework Havoc diretamente na memória.
– NimShellcodeLoader – variante experimental em Nim usada para instalar beacons do Cobalt Strike.
– CreepDropper – malware em .NET cujo papel é atuar como “dropper”, instalando outros payloads na máquina.
– SHEETCREEP – infostealer escrito em Go, que utiliza a API do Microsoft Graph como canal de comando e controle.
– MAILCREEP – backdoor em C# que se apoia em planilhas do Google Sheets para sua infraestrutura de C2.
– SupaServ – backdoor em Rust que usa serviços como Supabase e Firebase para se comunicar com os atacantes.
– LuminousStealer – ferramenta de roubo de informações, focada em exfiltrar documentos, imagens e arquivos compactados.
– CrystalShell – backdoor multiplataforma, com versões para Windows, Linux e macOS, desenvolvido em Crystal.
– ZigShell – variante similar à CrystalShell, escrita em Zig.
– LuminousCookies – malware voltado especificamente ao roubo de cookies e credenciais de navegadores baseados em Chromium.
Esse portfólio mostra que o grupo não depende de uma única família de malware, mas de um ecossistema completo, no qual diferentes componentes desempenham funções específicas em cada etapa da intrusão.
IA acelera tudo, mas também gera código instável
Apesar da capacidade da IA de produzir rapidamente grandes quantidades de código, a análise mostra que nem tudo é ganho para os atacantes. Muitas amostras geradas apresentam:
– erros lógicos;
– problemas de estabilidade;
– comportamentos inconsistentes;
– falhas que podem ser exploradas para detecção.
Isso indica que uma parte dos malwares produzidos não funciona como esperado ou cai com frequência. No entanto, dentro da lógica de “industrialização”, isso não é um grande problema para o grupo: basta que uma fração das amostras funcione para que a campanha tenha impacto real.
Para os defensores, essa realidade exige adaptação. A detecção não pode depender apenas da análise minuciosa de cada amostra ou de assinaturas estáticas, pois o fluxo de novos arquivos é grande demais e muda rápido demais.
Escala como principal arma operacional
O maior risco dessa abordagem não está em cada malware individualmente, mas na escala das operações. A IA permite que grupos como o Transparent Tribe:
– lancem campanhas simultâneas contra múltiplos alvos;
– gerem novas variantes sempre que uma amostra começa a ser bloqueada;
– testem rapidamente diferentes técnicas de evasão;
– reduzam custos, tempo de desenvolvimento e necessidade de especialistas em linguagens específicas.
Com menos esforço humano, o grupo consegue manter campanhas de longo prazo, ajustando continuamente suas ferramentas em resposta às defesas dos alvos. Isso cria um ciclo de ataque e adaptação mais dinâmico do que em operações tradicionais.
Convergência de tendências perigosas
A análise do cenário atual aponta para a combinação de duas tendências particularmente preocupantes:
1. Uso de linguagens de programação pouco comuns, que ampliam o espaço de ataque e dificultam a cobertura de ferramentas tradicionais de segurança.
2. Abuso sistemático de serviços de nuvem e plataformas confiáveis para esconder canais de comando e controle, confundindo o tráfego malicioso com operações legítimas de negócios.
Essa convergência torna possível que malwares relativamente simples, mas gerados em grande quantidade e com forte capacidade de disfarce, tenham sucesso contra alvos de alto valor, como órgãos governamentais e estruturas diplomáticas.
O que isso significa para governos e empresas
Embora o foco principal da campanha seja o governo indiano, o modelo adotado pelo Transparent Tribe tende a se espalhar para outros grupos e contextos. Governos, setor financeiro, saúde e grandes empresas devem considerar alguns pontos estratégicos:
– Detecção comportamental e baseada em contexto: em vez de depender apenas de assinaturas, é necessário monitorar padrões de comportamento anômalos, como uso incomum de PowerShell, tráfego inusitado com serviços de nuvem ou acessos atípicos a contas corporativas.
– Controle refinado de aplicações e serviços em nuvem: permitir o uso de Slack, Discord, planilhas online e bancos de dados em nuvem não pode significar acesso irrestrito. Políticas de Zero Trust, segmentação de rede e monitoramento de APIs se tornam fundamentais.
– Treinamento de usuários contra phishing: apesar da sofisticação técnica no backend, a entrada ainda costuma ser o erro humano na ponta. Programas contínuos de conscientização reduzem significativamente o sucesso das campanhas.
– Capacidade de resposta rápida: diante de dezenas de variantes circulando, a resposta a incidentes precisa ser ágil, com processos automatizados de isolamento de máquinas, revogação de credenciais e análise forense.
IA ofensiva x IA defensiva
O uso de IA por grupos como o Transparent Tribe reforça uma corrida tecnológica em que tanto atacantes quanto defensores recorrem às mesmas ferramentas, mas com objetivos opostos. De um lado, criminosos exploram modelos de linguagem para escrever código, gerar scripts e automatizar tarefas de desenvolvimento de malware; de outro, equipes de segurança utilizam IA para correlacionar logs, analisar padrões em grandes volumes de dados e identificar anomalias.
A tendência é que essa disputa se intensifique. À medida que barreiras técnicas caem, grupos menos experientes podem copiar a abordagem do Transparent Tribe, “terceirizando” parte da inteligência de desenvolvimento para ferramentas de IA e focando em engenharia social e operação de campanhas.
Perspectivas futuras
O caso do Transparent Tribe ilustra uma mudança de paradigma: a sofisticação de um ataque nem sempre estará no refinamento extremo de uma única ferramenta, mas na capacidade de combinar volume, diversidade tecnológica e uso criativo de infraestruturas legítimas.
Governos e organizações que lidam com informações sensíveis precisam assumir que enfrentarão adversários com um arsenal em constante mutação, impulsionado por IA, e preparar suas estratégias de defesa para um cenário de ataques mais numerosos, mais dinâmicos e melhor disfarçados.
Essa combinação – linguagens pouco comuns, abuso de serviços confiáveis e industrialização via IA – cria um ambiente em que malwares relativamente simples, porém massivos e bem distribuídos, conseguem driblar defesas tradicionais e manter operações de espionagem por longos períodos sem serem detectados.