Il gruppo di cyber spionaggio noto come Transparent Tribe sta adottando strumenti di intelligenza artificiale per accelerare la produzione di malware e aumentare il volume di impianti distribuiti contro obiettivi sensibili. La campagna osservata punta soprattutto su enti governativi indiani e ambasciate in diversi paesi, con un interesse minore verso organizzazioni afghane e alcune aziende private. Un elemento chiave è l’uso di piattaforme come LinkedIn per identificare profili di alto valore e preparare attacchi mirati.
Il cambio di strategia non riguarda tanto una maggiore sofisticazione tecnica, quanto una industrializzazione del malware basata su AI. In pratica vengono generati molti campioni mediocri ma numerosi, spesso scritti in linguaggi meno comuni come Nim, Zig e Crystal. Questa scelta rende più difficile la classificazione rapida e aumenta il rumore operativo per i team di difesa. Il modello viene descritto come vibeware, ovvero codice prodotto o adattato con supporto di modelli linguistici, e associato a un approccio simile a un Distributed Denial of Detection, dove la difesa viene sovraccaricata da binari “usa e getta” che cambiano linguaggio e protocollo.
Le catene di infezione partono tipicamente da phishing con archivi ZIP o immagini ISO che contengono collegamenti LNK di Windows. In alternativa vengono usati PDF esca con pulsanti di download che portano a siti controllati dagli attaccanti e avviano lo scaricamento degli stessi archivi. Una volta eseguito, il collegamento LNK lancia script PowerShell in memoria, che scaricano la backdoor principale e abilitano azioni successive come distribuzione di ulteriori payload e strumenti di post-compromissione.
Un altro tratto distintivo è l’abuso di servizi considerati affidabili per il comando e controllo, come Slack, Discord, Supabase, Firebase e Google Sheets, così da confondersi nel traffico legittimo. Tra i componenti osservati compaiono loader e backdoor multipiattaforma, infostealer per l’esfiltrazione di documenti e archivi, moduli per sottrarre cookie e credenziali dai browser Chromium e utility per monitorare file system e supporti esterni. In alcuni casi emergono indicatori di sviluppo assistito da AI, come elementi insoliti nel codice e scelte implementative incoerenti.
Questa evoluzione mostra come l’intelligenza artificiale possa ridurre la barriera di ingresso e permettere a operatori non esperti di generare codice funzionante in linguaggi nuovi, aumentando rapidamente la scala degli attacchi e la pressione sulla sicurezza endpoint e sui sistemi di rilevamento.