كشفت شركة Bitdefender أن مجموعة Transparent Tribe (APT36) المرتبطة بباكستان أصبحت أحدث جهة تهديد تعتمد على أدوات البرمجة المدعومة بالذكاء الاصطناعي لإنتاج كميات ضخمة من البرمجيات الخبيثة. هذه البرمجيات تُكتب بلغات غير شائعة مثل Nim وZig وCrystal، وتستغل خدمات موثوقة مثل Slack وDiscord وSupabase وGoogle Sheets لإخفاء نشاطها ضمن حركة مرور شرعية.
أسلوب “التصنيع السيبراني”
النهج الجديد لا يعتمد على التفوق التقني، بل على ما وصفته Bitdefender بـ “توزيع إنكار الكشف” (DDoD)، حيث يتم إغراق بيئات الأهداف ببرمجيات متعددة اللغات والبروتوكولات، مما يصعّب على أنظمة الدفاع التقليدية التمييز بين النشاط الشرعي والخبيث. أدوات الذكاء الاصطناعي، خصوصاً النماذج اللغوية الكبيرة (LLMs)، ساعدت المهاجمين على إنتاج شيفرات وظيفية بلغات لم يكونوا يتقنونها سابقاً.
أهداف الحملة وأساليب العدوى
الهجمات استهدفت الحكومة الهندية وسفاراتها في الخارج، إضافة إلى الحكومة الأفغانية وبعض الشركات الخاصة. البداية غالباً تكون عبر رسائل تصيد تحتوي على ملفات LNK داخل أرشيفات ZIP أو ISO، أو عبر مستندات PDF مزيفة تدفع المستخدمين لتنزيل ملفات خبيثة. هذه الملفات تُشغّل سكربتات PowerShell في الذاكرة لتنزيل أبواب خلفية ونشر أدوات مثل Cobalt Strike وHavoc.
أبرز البرمجيات المستخدمة
- Warcode: محمل شيفرة خبيثة مكتوب بلغة Crystal لتحميل وكيل Havoc.
- NimShellcodeLoader: محمل تجريبي بلغة Nim لنشر Beacon من Cobalt Strike.
- CreepDropper: برمجية .NET لتسليم حمولة إضافية مثل SHEETCREEP (Infostealer بلغة Go يستخدم Microsoft Graph API) وMAILCREEP (باب خلفي بلغة C# يستخدم Google Sheets).
- SupaServ: باب خلفي بلغة Rust يعتمد على Supabase للتواصل الأساسي وFirebase كخيار احتياطي.
- LuminousStealer: أداة سرقة بيانات بلغة Rust تستخدم Firebase وGoogle Drive لاستخراج ملفات حساسة.
- CrystalShell وZigShell: أبواب خلفية متعددة المنصات تعتمد على Discord وSlack للتواصل مع خوادم C2.
- LuminousCookies: أداة Rust لسرقة الكوكيز وكلمات المرور من المتصفحات.
- BackupSpy: أداة Rust لمراقبة الملفات والوسائط الخارجية.
- ZigLoader: محمل بلغة Zig لفك تشفير وتشغيل شيفرات خبيثة في الذاكرة.
تقييم الخبراء
بحسب Bitdefender، هذا التحول نحو “البرمجيات الاهتزازية” (vibeware) يمثل تراجعاً تقنياً، إذ أن الأدوات الناتجة غالباً غير مستقرة ومليئة بالأخطاء المنطقية. لكن الخطر يكمن في التصنيع الكثيف للبرمجيات الخبيثة، حيث يمكن للمهاجمين توسيع نشاطهم بسرعة وبجهد أقل، مع استغلال خدمات موثوقة لإخفاء الاتصالات ضمن حركة مرور شرعية.
