Пакистанская хакерская группировка Transparent Tribe, также известная как APT36, развернула масштабную кибершпионскую кампанию, используя большие языковые модели (LLM) для массового производства одноразового низкокачественного вредоносного ПО. Эта тактика генерации кода с помощью искусственного интеллекта получила название «вайбвейр» (vibeware). Главной целью злоумышленников выступает правительство Индии и индийские посольства в различных странах мира. Вторичными целями являются государственные структуры Афганистана, а также ряд частных коммерческих предприятий. Для проведения разведки и поиска наиболее ценных жертв хакеры активно используют профессиональную социальную сеть LinkedIn.
В январе 2026 года специалисты компании Zscaler ThreatLabz подробно описали деятельность группировки, обратив особое внимание на применение инструментов SHEETCREEP и MAILCREEP. Использование искусственного интеллекта позволяет злоумышленникам нивелировать недостаток технических знаний, генерируя функциональный код на незнакомых им языках программирования. Это привело к индустриализации процесса создания вредоносных программ, где упор делается не на сложность и изощренность кода, а на его объем и скорость внедрения.
Аналитики компании Bitdefender ввели концепцию «Распределенного отказа в обнаружении» (DDoD — Distributed Denial of Detection) для описания этой стратегии. Суть метода заключается в целенаправленном переполнении защитных систем целевых организаций огромным количеством одноразовых бинарных файлов-полиглотов. Хакеры делают ставку на то, что массовый поток сгенерированного мусорного кода создаст непреодолимую нагрузку на стандартные средства телеметрии и скроет реальную угрозу.
Для написания кода активно применяются экзотические и нишевые языки программирования: Nim, Zig, Crystal, Rust и Go, наряду со стандартными C . Инфраструктура управления и контроля (C2) выстраивается на базе доверенных легитимных сервисов, что дополнительно усложняет обнаружение. Группировка злоупотребляет платформами Slack, Discord, Supabase, Google Sheets, Firebase, Google Drive и Microsoft Graph API, пряча вредоносный трафик в потоке обычных корпоративных коммуникаций.
Цепочка заражения начинается с целевого фишинга. Жертвам отправляются электронные письма, содержащие ярлыки Windows (файлы LNK), упакованные в ZIP-архивы или образы ISO. В качестве альтернативной приманки используются PDF-документы с кнопкой «Скачать документ», которая перенаправляет пользователя на подконтрольный атакующим веб-сайт для загрузки зараженного ZIP-архива. При запуске файла LNK в оперативной памяти компьютера выполняются скрипты PowerShell, которые затем загружают и активируют основной бэкдор. После успешной компрометации на устройствах развертываются известные инструменты симуляции атак — Cobalt Strike и Havoc, что формирует гибридный подход для обеспечения устойчивого присутствия в системе.
Арсенал APT36 включает широкий спектр вредоносных программ. Загрузчик шелл-кода Warcode, написанный на языке Crystal, рефлективно загружает агент Havoc напрямую в оперативную память. Его экспериментальный аналог NimShellcodeLoader развертывает встроенный маяк Cobalt Strike. Для доставки других модулей используется программа CreepDropper, написанная . За экстренную расшифровку и выполнение произвольного шелл-кода в памяти отвечает специализированный загрузчик ZigLoader. В инфраструктуре также задействована кастомизированная версия проекта с открытым исходным кодом GateSentinel — Gate Sentinel Beacon.
Важную роль играют инструменты для кражи данных. Go-инфостилер SHEETCREEP использует Microsoft Graph API для связи с командным сервером, тогда как C-бэкдор MAILCREEP применяет для тех же целей Google Sheets. Бэкдор SupaServ, написанный на Rust, использует Supabase в качестве основного канала C2 и Firebase в качестве резервного; наличие в его коде эмодзи Unicode является прямым индикатором использования ИИ при разработке. Инфостилер LuminousStealer, также созданный на Rust с помощью ИИ, крадет файлы с расширениями. Шеф.docx,.pdf,.png,.jpg,.xlsx,.pptx,.zip,.rar,.doc и.xls, выгружая их через Firebase и Google Drive. Дополнительно применяется утилита BackupSpy (Rust), отслеживающая появление ценных данных в локальной файловой системе и на внешних носителях.
В список экзотических разработок также входят CrystalShell — кроссплатформенный бэкдор для Windows, Linux и macOS, использующий жестко закодированные ID каналов Discord (и в одном варианте Slack) для выполнения команд и сбора информации о хосте. Его аналог ZigShell работает через Slack и поддерживает загрузку файлов. Инструмент CrystalFile выполняет роль простого интерпретатора команд, который непрерывно мониторит путь «C:\Users\Public\AccountPictures\input.txt» и исполняет его содержимое через «cmd.exe». Специфический инжектор LuminousCookies (Rust) нацелен на браузеры на базе Chromium: он обходит шифрование, привязанное к приложению (app-bound encryption), для кражи файлов cookie, паролей и платежной информации.
Исследователи Bitdefender — Раду Тудорика, Адриан Шипор, Виктор Врабие, Мариус Бачиу и Мартин Жугец — подчеркивают, что переход к «вайбвейру» фактически является техническим регрессом. Инструменты на базе ИИ обеспечивают массовость, но часто нестабильны и содержат логические ошибки. Стратегия APT36 ошибочно ориентирована на обход устаревшего обнаружения по сигнатурам, которое давно вытеснено современными системами безопасности конечных точек. Однако реальная угроза заключается именно в индустриализации и масштабах этих атак: конвергенция нишевых языков программирования и злоупотребление легитимным сетевым трафиком могут перегрузить и ослепить стандартные линии защиты.
Изображение носит иллюстративный характер
В январе 2026 года специалисты компании Zscaler ThreatLabz подробно описали деятельность группировки, обратив особое внимание на применение инструментов SHEETCREEP и MAILCREEP. Использование искусственного интеллекта позволяет злоумышленникам нивелировать недостаток технических знаний, генерируя функциональный код на незнакомых им языках программирования. Это привело к индустриализации процесса создания вредоносных программ, где упор делается не на сложность и изощренность кода, а на его объем и скорость внедрения.
Аналитики компании Bitdefender ввели концепцию «Распределенного отказа в обнаружении» (DDoD — Distributed Denial of Detection) для описания этой стратегии. Суть метода заключается в целенаправленном переполнении защитных систем целевых организаций огромным количеством одноразовых бинарных файлов-полиглотов. Хакеры делают ставку на то, что массовый поток сгенерированного мусорного кода создаст непреодолимую нагрузку на стандартные средства телеметрии и скроет реальную угрозу.
Для написания кода активно применяются экзотические и нишевые языки программирования: Nim, Zig, Crystal, Rust и Go, наряду со стандартными C . Инфраструктура управления и контроля (C2) выстраивается на базе доверенных легитимных сервисов, что дополнительно усложняет обнаружение. Группировка злоупотребляет платформами Slack, Discord, Supabase, Google Sheets, Firebase, Google Drive и Microsoft Graph API, пряча вредоносный трафик в потоке обычных корпоративных коммуникаций.
Цепочка заражения начинается с целевого фишинга. Жертвам отправляются электронные письма, содержащие ярлыки Windows (файлы LNK), упакованные в ZIP-архивы или образы ISO. В качестве альтернативной приманки используются PDF-документы с кнопкой «Скачать документ», которая перенаправляет пользователя на подконтрольный атакующим веб-сайт для загрузки зараженного ZIP-архива. При запуске файла LNK в оперативной памяти компьютера выполняются скрипты PowerShell, которые затем загружают и активируют основной бэкдор. После успешной компрометации на устройствах развертываются известные инструменты симуляции атак — Cobalt Strike и Havoc, что формирует гибридный подход для обеспечения устойчивого присутствия в системе.
Арсенал APT36 включает широкий спектр вредоносных программ. Загрузчик шелл-кода Warcode, написанный на языке Crystal, рефлективно загружает агент Havoc напрямую в оперативную память. Его экспериментальный аналог NimShellcodeLoader развертывает встроенный маяк Cobalt Strike. Для доставки других модулей используется программа CreepDropper, написанная . За экстренную расшифровку и выполнение произвольного шелл-кода в памяти отвечает специализированный загрузчик ZigLoader. В инфраструктуре также задействована кастомизированная версия проекта с открытым исходным кодом GateSentinel — Gate Sentinel Beacon.
Важную роль играют инструменты для кражи данных. Go-инфостилер SHEETCREEP использует Microsoft Graph API для связи с командным сервером, тогда как C-бэкдор MAILCREEP применяет для тех же целей Google Sheets. Бэкдор SupaServ, написанный на Rust, использует Supabase в качестве основного канала C2 и Firebase в качестве резервного; наличие в его коде эмодзи Unicode является прямым индикатором использования ИИ при разработке. Инфостилер LuminousStealer, также созданный на Rust с помощью ИИ, крадет файлы с расширениями. Шеф.docx,.pdf,.png,.jpg,.xlsx,.pptx,.zip,.rar,.doc и.xls, выгружая их через Firebase и Google Drive. Дополнительно применяется утилита BackupSpy (Rust), отслеживающая появление ценных данных в локальной файловой системе и на внешних носителях.
В список экзотических разработок также входят CrystalShell — кроссплатформенный бэкдор для Windows, Linux и macOS, использующий жестко закодированные ID каналов Discord (и в одном варианте Slack) для выполнения команд и сбора информации о хосте. Его аналог ZigShell работает через Slack и поддерживает загрузку файлов. Инструмент CrystalFile выполняет роль простого интерпретатора команд, который непрерывно мониторит путь «C:\Users\Public\AccountPictures\input.txt» и исполняет его содержимое через «cmd.exe». Специфический инжектор LuminousCookies (Rust) нацелен на браузеры на базе Chromium: он обходит шифрование, привязанное к приложению (app-bound encryption), для кражи файлов cookie, паролей и платежной информации.
Исследователи Bitdefender — Раду Тудорика, Адриан Шипор, Виктор Врабие, Мариус Бачиу и Мартин Жугец — подчеркивают, что переход к «вайбвейру» фактически является техническим регрессом. Инструменты на базе ИИ обеспечивают массовость, но часто нестабильны и содержат логические ошибки. Стратегия APT36 ошибочно ориентирована на обход устаревшего обнаружения по сигнатурам, которое давно вытеснено современными системами безопасности конечных точек. Однако реальная угроза заключается именно в индустриализации и масштабах этих атак: конвергенция нишевых языков программирования и злоупотребление легитимным сетевым трафиком могут перегрузить и ослепить стандартные линии защиты.
