剣 KENSAI
← All posts · security · 2026-03-07 · 7 min

AI-सहायता प्राप्त मैलवेयर औद्योगीकरण: Transparent Tribe का Vibeware अभियान

Transparent Tribe weaponizes AI coding tools to mass-produce dहैposable polyglot मैलवेयर at unprecedented scale. Bitdefender अनुसंधानers coin term "vibeware" — AI-assहैted, throwaway implants written in Nim, Zig, और Crystal वह evade पारंपरिक पता लगाना. इस बीच, MuddyWater तैनात करता है एक नया backdoया को निशाना बना रहा US महत्वपूर्ण बुनियादी ढांचा, और fake Claude Code instसभीers push infostealers.


🎯 Transparent Tribe: AI-Poथेd मैलवेयर Factयाy

⚠️ Active अभियान — को निशाना बनाता है Expऔरing

Pakहैtan-aligned APT group Transparent Tribe (APT36) है industrialized मैलवेयर production का उपयोग करके AI coding assहैtants. Bitdefender's खतरा अनुसंधान team पहचाना गया से अधिक 200 unique implant variants generated in एक single सप्ताह — एक volume imसंभव के माध्यम से मैनुअल विकसित करनाment.

क्या Is Vibeware?

Bitdefender अनुसंधानers हैं coined term "vibeware" to describe यह नया class of AI-assहैted मैलवेयर. The concept है simple लेकिन devastating: उपयोग AI coding tools to rapidly generate एक high volume of mediocre लेकिन functional implants भर में कई programming languages. प्रत्येक implant है dहैposable — designed fया एक single अभियान या भी एक single target.

💡 Vibeware Deजुर्मानाd

Vibeware (n.): AI-generated, dहैposable मैलवेयर produced at industrial scale का उपयोग करके coding assहैtants. Characterized by polyglot लागू करनाation, mediocre code quality, और high volume वह से अधिकwhelms पारंपरिक signature-based पता लगाना.

अभियान Technical Details

Attriलेकिनe Details
खतरा अभिकर्ता Transparent Tribe (APT36)
Attriलेकिनion Pakहैtan-aligned, suspected ISI-linked
प्राथमिक को निशाना बनाता है Indiएक gसे अधिकnment, military, diplomatic entities
Languages उपयोग किया गया Nim, Zig, Crystal, Go, Rust
Implant Volume 200+ unique variants per सप्ताह
C2 Infrastructure Slack, Dहैcयाd, Supabase, Google Sheets
पता लगाना Rate <15% on initial submहैsion (VirusTotal)
AI Tools Abउपयोग किया गया कई coding assहैtants (unnamed)

Why कमer-ज्ञात Languages?

Transparent Tribe deliberately chooses languages like Nim, Zig, और Crystal fया कई strategic reasons:

Abका उपयोग करके Trusted Services fया C2

Perhaps अधिकांश insidious aspect of अभियान है abउपयोग of legitimate cloud services as commऔर-और-नियंत्रण infrastructure:

Service C2 Usage पता लगाना Dअगरficulty
Slack Webhook-based commऔर deliबहुत High — blends with legitimate traffic
Dहैcयाd Bot API fया डेटा exfiltration High — एन्क्रिप्टेड, widespread usage
Supabase डेटाबेस-as-C2 fया implant configuration बहुत High — novel technique
Google Sheets Spreadsheet cells as commऔर queues बहुत High — HTTPS to Google domains

🇮🇷 MuddyWater तैनात करता है "Dindoor" Backdoया के खिलाफ US को निशाना बनाता है

⚠️ US महत्वपूर्ण बुनियादी ढांचा Targeted

MuddyWater (Iran/MOIS-affiliated) है actively को निशाना बना रहा US financial institutions और airpयाt सिस्टम with एक पिछलाly unप्रलेखित backdoया designated "Dindoor".

Dindoor Backdoया Proफाइल

Attriलेकिनe Details
खतरा अभिकर्ता MuddyWater (MOIS / APT34 से अधिकlap)
Backdoया Name Dindoor
को निशाना बनाता है US banks, airpयाt operational सिस्टम
प्रारंभिक पहुंच Spear-फिशिंग with weaponized job offers
Persहैtence WMI भीt subscriptions, scheduled tasks
Communication DNS-से अधिक-HTTPS tunneling
Capabilities Keylogging, screen capture, क्रेडेंशियल harvesting, पार्श्व आंदोलन

The Dindoor backdoया represents एक evolution of MuddyWater's toolkit, featuring DNS-से अधिक-HTTPS (DoH) tunneling fया C2 communication — making it extremely dअगरficult to पता लगाना at नेटवर्क level. The को निशाना बना रहा of banking और aviation infrastructure उठाता है महत्वपूर्ण concerns के बारे में संभावित dहैruptive operations.


📱 CISA Orders पैचing of iOS Flaws — Coruna शोषण Kit

⚠️ Emergency Directive Issued

CISA है हैsued एक emergency directive याdering federal agencies to पैच सक्रिय रूप से शोषित iOS भेद्यताएं हो रहा weaponized के माध्यम से Coruna शोषण kit. समय सीमा: मार्च 14, 2026.

The Coruna शोषण kit, first पहचाना गया in फरवरी 2026, है expऔरed its capabilities to target कई iOS WebKit और kernel भेद्यताएं. The kit है हो रहा sold on के तहतground fयाums fया $150,000 per license और है मुख्य रूप से उपयोग किया गया fया:

प्रभावित iOS संस्करण

All iOS संस्करण priया to 18.3.2 हैं प्रभावित. संगठन चाहिए सुनिश्चित करना सभी cयाporate और BYOD Apple डिवाइस हैं अपडेट किया गया तुरंत.


🔍 FBI Investigating उल्लंघन of Surveillance/Wiretap सिस्टम

🏛️ Law Enforcement सिस्टम समझौता किया गया

The FBI है पुष्टि की गई एक active investigation में एक उल्लंघन of federal surveillance और wiretap सिस्टम. जबकि details रहना वर्गीकृत, sources इंगित करना वह unauthयाized पहुंच सकता है हैं समझौता किया गया ongoing investigations और प्रकट किया surveillance को निशाना बनाता है.

The उल्लंघन रिपोर्ट किया गयाly प्रभावित करता है सिस्टम उपयोग किया गया के तहत CALEA (Communications Assहैtance fया Law Enforcement Act) और FISA court याders. Key concerns शामिल करना:


🐍 Fake Claude Code Instसभीers Push Infostealers

⚠️ विकसित करनाers Targeted viएक ClickFix Social Engineering

A अभियान का उपयोग करके fake Claude Code instसभीation guides है dहैtriलेकिनing infostealers के माध्यम से एक "InstसभीFix" variant of ClickFix social engineering technique.

हमला Flow

  1. SEO poहैoning — Fake "Claude Code instसभी guide" pages rank in search परिणाम
  2. ClickFix trigger — Page dहैplays fake errया: "Instसभीation failed — चलाना यह fix commऔर"
  3. Clipboard hijack — दुर्भावनापूर्ण PowerShell/bash commऔर copied to clipboard
  4. Infostealer तैनात करनाment — Commऔर downloads और executes क्रेडेंशियल-stealing मैलवेयर
  5. डेटा exfiltration — Browser पासवर्ड, SSH कुंजियां, API टोकन, crypto wसभीets harvested

क्या Gets चुराया गया

डेटा Type Rहैk Level प्रभाव
Browser पासवर्ड 🔴 गंभीर Full account लेनासे अधिक भर में services
SSH कुंजियां 🔴 गंभीर सर्वर/infrastructure पहुंच
API टोकन 🔴 गंभीर Cloud infrastructure compromहैe
Crypto wसभीets 🟠 High तत्काल financial loss
.env फाइलें 🔴 गंभीर डेटाबेस क्रेडेंशियल, API secrets

🛡️ सुरक्षा Advice

Always instसभी विकसित करनाer tools from official sources केवल. Claude Code है available exclusively viएक Anthropic's official channels. Never चलाना commऔरs from rऔरom web pages, especially वे claiming to "fix" instसभीation errयाs.


🛡️ शमन सिफारिशें

के खिलाफ Vibeware / AI-Generated मैलवेयर

  1. तैनात करना behaviयाal पता लगाना — Signature-based AV सकता हैनहीं keep pace with AI-generated variants
  2. निगरानी करना trusted service abउपयोग — Flag unusual API cसभीs to Slack, Dहैcयाd, Supabase, Google Sheets
  3. लागू करना एप्लिकेशन अनुमति देनाlहैting — अवरुद्ध करना execution of अज्ञात binaries, especially from uncommon compilers
  4. Enhance DNS निगरानी करनाing — Watch fया DoH tunneling और unusual domain patterns
  5. खतरा hunt proactively — Look fया Nim/Zig/Crystal compiled binaries in your environment

के खिलाफ Social Engineering (ClickFix)

  1. सुरक्षा awहैंness प्रशिक्षित करनाing — शिक्षित करना विकसित करनाers के बारे में clipboard-hijacking हमले
  2. Dहैable PowerShell fया stऔरard उपयोगकर्ता जहां संभव
  3. निगरानी करना clipboard activity — EDR tools cएक पता लगाना suspicious clipboard-to-execution chains
  4. Use official package प्रबंधन करनाrs — केवल instसभी tools viएक सत्यापित channels

📊 खतरे का परिदृश्य Summary

खतरा Actया गंभीरता Action आवश्यक
Vibeware अभियान Transparent Tribe 🔴 गंभीर तैनात करना behaviयाal पता लगाना, निगरानी करना trusted services
Dindoor backdoया MuddyWater 🔴 गंभीर पैच, निगरानी करना DoH traffic, समीक्षा spear-फिशिंग defenses
iOS Coruna शोषण करता है कई 🟠 High अपडेट सभी iOS डिवाइस to 18.3.2+
Wiretap सिस्टम उल्लंघन अज्ञात 🔴 गंभीर निगरानी करना fया downstream खुफिया exposure
Fake Claude Code instसभीers Cybercriminals 🟠 High विकसित करनाer awहैंness, सत्यापित करना instसभीation sources