Vibeware y el hackeo en cadena: qué se sabe sobre la nueva táctica de los hackers paquistaníes
Lenguajes de programación olvidados facilitan que los atacantes eludan las medidas de seguridad.
El grupo paquistaní APT36, también conocido como Transparent Tribe, ha incrementado drásticamente la producción de malware y ha pasado a un modelo que los autores del nuevo informe denominan Vibeware —la producción masiva de código mediante IA. No se trata de un avance tecnológico, sino de una línea de montaje de numerosos ejemplares de calidad media que pretenden saturar las defensas por cantidad y variedad.
Según Bitdefender, los principales objetivos de la campaña han sido organismos del gobierno de India, misiones diplomáticas y organizaciones relacionadas con la defensa. Entre los objetivos secundarios figuran entidades estatales de Afganistán y empresas privadas. Los especialistas atribuyen la actividad a APT36 con un grado moderado de confianza. La vinculación se basa en un conjunto conocido de herramientas, que incluye Havoc, Cobalt Strike y Gate Sentinel, así como la reaparición del cargador warcode.exe, observado en operaciones anteriores del grupo.
La característica clave de la campaña actual es la apuesta por lenguajes de programación poco comunes. APT36 utiliza Nim, Zig, Crystal, Rust y Go para confundir los mecanismos de detección habituales, diseñados para pilas más comunes. Paralelamente, los atacantes ocultan el control y el robo de datos tras servicios legítimos en la nube —Slack, Discord, Supabase, Firebase y Google Sheets—. Este enfoque permite enmascarar el tráfico malicioso como actividad laboral normal.
A pesar de la escala, la calidad de las herramientas sigue siendo irregular. El informe describe muestras con errores lógicos, funciones incompletas y cadenas de ejecución rotas. Una de las variantes en Go no podía enviar los datos robados porque los desarrolladores dejaron en el código una plantilla sin completar en lugar de la dirección del servidor de control. Los autores del estudio consideran que esos fallos son una consecuencia típica del desarrollo con IA, cuando el modelo compone código que parece funcionar a partir de fragmentos conocidos, pero no completa la lógica compleja.
Entre las familias encontradas están Warcode, NimShellcodeLoader, CreepDropper, MailCreep, SheetCreep, SupaServ, LuminousStealer, CrystalShell, ZigShell, LuminousCookies y BackupSpy. Parte de las muestras se encargan de la entrega inicial mediante archivos ZIP, ISO y LNK; otras aseguran la persistencia mediante el programador de Windows; y otras roban documentos, cookies, contraseñas y datos de navegadores. Componentes individuales operaban simultáneamente por varios canales de comunicación para conservar el acceso tras el bloqueo de uno de ellos.
Bitdefender enfatiza que el peligro de la campaña no está en la elegancia del código, sino en la industrialización de los ataques. La IA ha facilitado la producción de nuevas variantes, y las acciones manuales de los operadores siguen siendo responsables de la recopilación de información, el movimiento lateral en la red y la exfiltración de datos. Para protegerse, la empresa recomienda centrarse en el análisis comportamental, el control de procesos sospechosos en los directorios de usuario y la monitorización de accesos a plataformas en la nube de confianza.