أفاد تقرير أمني حديث أن مجموعة قرصنة تعرف باسم “Transparent Tribe”، والمعروفة أيضاً بالمجموعة APT36، قد تحولت عن أساليبها التقليدية في تطوير أدوات متقنة نحو نهج جديد يعتمد بشكل كبير على البرمجيات الخبيثة التي يولدها الذكاء الاصطناعي، والمعروفة بـ “vibeware”. يهدف هذا التحول إلى زيادة حجم الإنتاج بشكل كبير، مما يصعب على جهات الدفاع مواكبة التهديدات المتجددة.
تستهدف هذه الحملة بشكل أساسي جهات حكومية وعسكرية وبعثات دبلوماسية هندية، مع امتداد التركيز إلى الحكومة الأفغانية وعدد من الشركات الخاصة. وتشير النتائج إلى أن المجموعة تستخدم منصات مثل LinkedIn لتحديد وتتبع الأهداف ذات القيمة العالية، حيث تم العثور على سجلات لأسماء موظفين من وكالات حكومية ذات صلة بالجيش.
البرمجيات الخبيثة المولدة بالذكاء الاصطناعي: “Vibeware” تضع تحديات جديدة
يشير التحليل الذي أجراه خبراء Bitdefender إلى وجود أدلة دامغة على استخدام الذكاء الاصطناعي في تطوير هذه البرمجيات الخبيثة. وقد تم اكتشاف ذلك من خلال البيانات الوصفية في ملفات المشاريع، بالإضافة إلى تضمين رموز تعبيرية (emojis) في سلاسل الأكواد الثنائية، وكلاهما يشير بوضوح إلى استخدام أدوات البرمجة المدعومة بالذكاء الاصطناعي.
يتم إنتاج نسخ جديدة من البرمجيات الخبيثة بوتيرة شبه يومية، مع استخدام لغات برمجة متعددة. ومع ذلك، غالباً ما تكون هذه الأدوات غير مكتملة وتحتوي على أخطاء، حيث تم العثور على ملف تنفيذي واحد لسرقة بيانات الاعتماد، وهو مكتوب بلغة Go، وكان يفتقر إلى عنوان خادم القيادة والتحكم، مما يجعله غير فعال من البداية.
آلية الانتشار والوصول الأولي
تبدأ الحملة عادةً برسائل بريد إلكتروني خبيثة تحتوي على أرشيفات مضغوطة (ZIP أو ISO) تضم ملفات اختصار (.LNK). وتشمل إحدى الطرق الفعالة الأخرى استخدام وثيقة PDF تبدو كأنها سيرة ذاتية احترافية، مع زر كبير يحمل عبارة “تحميل المستند”.
عند النقر على هذا الزر، يتم توجيه الضحية إلى خادم يتحكم فيه المهاجمون، والذي يقوم بدوره بتسليم الأرشيف الخبيث تلقائياً. وبمجرد تشغيل ملف الاختصار، تبدأ نصوص PowerShell بالتنفيذ بصمت في الذاكرة، وتقوم بتحميل وتفعيل الباب الخلفي الأساسي.
بعد ذلك، يقوم المهاجمون بالاتصال يدويًا بالجهاز المخترق لتنفيذ خطوات إضافية، مما يذكر بأن العملية، على الرغم من استعانتها بالذكاء الاصطناعي في توليد البرمجيات الخبيثة، تظل عملية يدوية بشرية في مرحلة الاختراق المتقدم.
كيف تخفي “Vibeware” نفسها خلف منصات سحابية موثوقة
يعد الاستخدام المكثف للخدمات السحابية الشرعية لأغراض القيادة والتحكم أحد الجوانب التشغيلية الفعالة لهذه الحملة. حيث تقوم APT36 بتوجيه الاتصالات عبر منصات مثل Discord، Slack، Google Sheets، Supabase، و Firebase. هذه المنصات عادة ما تكون موثوقة لدى جدران الحماية المؤسسية، مما يجعل من الصعب فصل حركة المرور الخبيثة عن النشاط الطبيعي.
تستخدم برمجية CrystalShell، المكتوبة بلغة Crystal، قنوات Discord لإصدار الأوامر وجمع المخرجات من الأجهزة المصابة. تقوم ZigShell، وهي نظيرة لها، بنفس الدور عبر Slack.
أما SheetCreep، وهي باب خلفي مكتوب بلغة C#، فتستخدم جداول Google Drive كمركز تحكم مباشر، حيث تستعلم عن التعليمات المشفرة وتكتب الردود المشفرة مرة أخرى في الخلايا. أما LuminousStealer، المكتوبة بلغة Rust، فترسل بيانات وصفية للملفات المسروقة إلى Firebase، بينما تقوم بتحميل محتويات الملف الفعلية إلى Google Drive، وكل ذلك يتم من خلال مصادقة Google OAuth القياسية.
يشير وجود رموز تعبيرية Unicode في سلاسل الكود لـ LuminousStealer، مثل “تم إرسال بيانات وصفية للمجلد إلى Firebase” و “جاري تعداد محرك الأقراص”، إلى تأكيد إضافي على أن هذا الأسطول من البرمجيات يتم توليده بواسطة الذكاء الاصطناعي.
تسهل أدوات الذكاء الاصطناعي تنفيذ هذه الاستراتيجية بشكل كبير. فمجموعات أدوات التطوير (SDKs) العامة والتوثيق الشامل لهذه الخدمات عبر الإنترنت توفر للمساعدين البرمجيين المدعومين بالذكاء الاصطناعي ما يكفي من المواد التدريبية لتوليد أكواد تكامل مستقرة وعاملة عند الطلب، مما يتطلب القليل من الخبرة من جانب المهاجم.
للدفاع ضد هذا النوع من الحملات، يجب على فرق الأمن إعطاء الأولوية للكشف السلوكي على فحص توقيعات الملفات، نظرًا لأن اللغات المتخصصة مثل Nim و Zig و Crystal يمكن أن تعيد ضبط خطوط الأساس للكشف القياسية بالكامل. يجب التعامل مع الاتصالات الصادرة إلى المنصات السحابية الموثوقة التي تنشأ من ملفات ثنائية غير موقّعة أو غير مصدقة كمؤشرات محتملة للاختراق.