← Torna al Blog
Intelligence sulle Minacce 7 marzo 2026 8 min di lettura

Industrializzazione del malware assistita dall'intelligenza artificiale: campagna Vibeware di Transparent Tribe

Transparent Tribe utilizza gli strumenti di codifica dell'intelligenza artificiale per la produzione di massa malware poliglotta usa e getta su una scala senza precedenti. I ricercatori di Bitdefender coniano il termine "vibeware" — Impianti usa e getta assistiti dall'intelligenza artificiale scritti in Nim, Zig e Crystal che sfuggono al rilevamento tradizionale. Nel frattempo, MuddyWater implementa una nuova backdoor che prende di mira le infrastrutture critiche degli Stati Uniti e i falsi installatori di Claude Code spingono gli infostealer.


🎯 Tribù trasparente: fabbrica di malware alimentata dall'intelligenza artificiale

⚠️ Campagna attiva: obiettivi in ​​espansione

Gruppo APT allineato al Pakistan Tribù Trasparente (APT36) ha industrializzato la produzione di malware utilizzando assistenti di codifica basati sull'intelligenza artificiale. Il team di ricerca sulle minacce di Bitdefender ha identificato il 200 varianti di impianti unici generato in una sola settimana: un volume impossibile tramite lo sviluppo manuale.

Cos'è Vibeware?

I ricercatori di Bitdefender hanno coniato il termine "vibeware" per descrivere questa nuova classe di malware assistito dall’intelligenza artificiale. Il concetto è semplice ma devastante: utilizzare gli strumenti di codifica dell'intelligenza artificiale per generare rapidamente un elevato volume di impianti mediocri ma funzionali attraverso più linguaggi di programmazione. Ogni impianto è monouso, progettato per una singola campagna o anche per un singolo target.

💡 Vibeware definito

Vibeware (n.): malware usa e getta generato dall'intelligenza artificiale, prodotto su scala industriale utilizzando assistenti di codifica. Caratterizzato da implementazione poliglotta, qualità del codice mediocre e volume elevato che supera il tradizionale rilevamento basato sulla firma.

Dettagli tecnici della campagna

Attributo Dettagli
Attore della minaccia Tribù Trasparente (APT36)
Attribuzione Allineato al Pakistan, sospettato legato all'ISI
Obiettivi primari Governo indiano, forze armate, entità diplomatiche
Lingue utilizzate Nim, Zig, Cristallo, Go, Ruggine
Volume dell'impianto Oltre 200 varianti uniche a settimana
C2 Infrastrutture Slack, Discord, Supabase, Fogli Google
Tasso di rilevamento <15% all'invio iniziale (VirusTotal)
Strumenti AI abusati Assistenti di codifica multipli (senza nome)

Perché le lingue meno conosciute?

Transparent Tribe sceglie deliberatamente lingue come Nim, Zig e Cristallo per diverse ragioni strategiche:

Abusare di servizi attendibili per C2

Forse l'aspetto più insidioso della campagna è l'abuso di servizi cloud legittimi come infrastruttura di comando e controllo:

Servizio C2 Utilizzo Difficoltà di rilevamento
Lasco Distribuzione di comandi basata su webhook Alto: si fonde con il traffico legittimo
Discordia API bot per l'esfiltrazione dei dati Alto: utilizzo crittografato e diffuso
Supabase Database-as-C2 per la configurazione dell'impianto Molto alto: tecnica innovativa
Fogli Google Celle del foglio di calcolo come code di comandi Molto alto: HTTPS verso domini Google

🇮🇷 MuddyWater schiera la backdoor "Dindoor" contro obiettivi statunitensi

⚠️ Infrastrutture critiche statunitensi prese di mira

Acqua fangosa (affiliato all'Iran/MOIS) sta prendendo di mira attivamente le istituzioni finanziarie e i sistemi aeroportuali statunitensi con una backdoor precedentemente non documentata denominata "Dindoor".

Profilo porta posteriore Didoor

Attributo Dettagli
Attore della minaccia MuddyWater (sovrapposizione MOIS / APT34)
Nome della backdoor Dindoor
Obiettivi Banche statunitensi, sistemi operativi aeroportuali
Accesso iniziale Spear-phishing con offerte di lavoro armate
Persistenza Abbonamenti a eventi WMI, attività pianificate
Comunicazione Tunneling DNS su HTTPS
Capacità Keylogging, cattura schermo, raccolta credenziali, movimento laterale

La backdoor Dindoor rappresenta un'evoluzione del toolkit di MuddyWater, con Tunneling DNS su HTTPS (DoH) per la comunicazione C2, rendendo estremamente difficile il rilevamento a livello di rete. Il fatto di prendere di mira le infrastrutture bancarie e aeronautiche solleva notevoli preoccupazioni circa le potenziali operazioni di disturbo.


📱 La CISA ordina l'applicazione di patch ai difetti di iOS: Coruna Exploit Kit

⚠️ Emessa Direttiva Emergenza

La CISA ha emesso una direttiva di emergenza che ordina alle agenzie federali di applicare patch vulnerabilità iOS sfruttate attivamente essere utilizzato come arma attraverso il Kit exploit Coruna. Scadenza: 14 marzo 2026.

The Coruna exploit kit, first identified in febbraio 2026, has expanded its capabilities to target multiple iOS WebKit and kernel vulnerabilities. The kit is being sold on underground forums for$ 150.000 per licenza ed è utilizzato principalmente per:

Versioni iOS interessate

Tutte le versioni iOS precedenti a 18.3.2 sono colpiti. Le organizzazioni dovrebbero garantire che tutti i dispositivi Apple aziendali e BYOD vengano aggiornati immediatamente.


🔍 L'FBI indaga sulla violazione dei sistemi di sorveglianza/intercettazioni telefoniche

🏛️ Sistemi delle forze dell'ordine compromessi

L'FBI ha confermato un'indagine attiva su un violazione dei sistemi federali di sorveglianza e di intercettazione. Sebbene i dettagli rimangano riservati, le fonti indicano che l’accesso non autorizzato potrebbe aver compromesso le indagini in corso e rivelato obiettivi di sorveglianza.

Secondo quanto riferito, la violazione colpisce i sistemi utilizzati in CALEA (Legge sull'assistenza alle comunicazioni per le forze dell'ordine) e ordinanze del tribunale FISA. Le principali preoccupazioni includono:


🐍 Installatori di codici Claude falsi Push Infostealer

⚠️ Sviluppatori presi di mira tramite l'ingegneria sociale di ClickFix

Una campagna che utilizza false guide all'installazione del codice Claude sta distribuendo infostealer attraverso una variante "InstallFix" della tecnica di ingegneria sociale ClickFix.

Flusso di attacco

  1. Avvelenamento SEO — Le pagine false della "Guida all'installazione di Claude Code" si posizionano nei risultati di ricerca
  2. Trigger ClickFix — La pagina visualizza un errore falso: "Installazione non riuscita: esegui questo comando di correzione"
  3. Dirottamento degli appunti — Comando dannoso di PowerShell/bash copiato negli appunti
  4. Distribuzione di Infostealer — Il comando scarica ed esegue malware per il furto di credenziali
  5. Esfiltrazione dati — Password del browser, chiavi SSH, token API, portafogli crittografici raccolti

Cosa viene rubato

Tipo di dati Livello di rischio Impatto
Password del browser 🔴 Critico Gestione completa dell'account su tutti i servizi
Chiavi SSH 🔴 Critico Accesso al server/infrastruttura
Token API 🔴 Critico Compromissione dell'infrastruttura cloud
Portafogli crittografici 🟠 Alto Perdita finanziaria immediata
File .env 🔴 Critico Credenziali del database, segreti API

🛡️Consigli di protezione

Installa sempre gli strumenti per sviluppatori da solo fonti ufficiali. Claude Code è disponibile esclusivamente tramite i canali ufficiali di Anthropic. Non eseguire mai comandi da pagine Web casuali, in particolare quelle che affermano di "correggere" errori di installazione.


🛡️ Raccomandazioni per la mitigazione

Contro Vibeware/malware generato dall'intelligenza artificiale

  1. Distribuire il rilevamento comportamentale — Gli AV basati su firma non possono tenere il passo con le varianti generate dall'intelligenza artificiale
  2. Monitorare l'abuso dei servizi attendibili — Contrassegna chiamate API insolite a Slack, Discord, Supabase, Fogli Google
  3. Implementare l'inserimento nella lista consentita delle applicazioni — Blocca l'esecuzione di file binari sconosciuti, soprattutto da compilatori non comuni
  4. Migliora il monitoraggio DNS — Attenzione al tunneling DoH e ai modelli di dominio insoliti
  5. Caccia alle minacce in modo proattivo — Cerca i binari compilati Nim/Zig/Crystal nel tuo ambiente

Contro l'ingegneria sociale (ClickFix)

  1. Formazione sulla sensibilizzazione alla sicurezza — Informare gli sviluppatori sugli attacchi di dirottamento degli appunti
  2. Disabilitare PowerShell per gli utenti standard ove possibile
  3. Monitorare l'attività degli appunti — Gli strumenti EDR sono in grado di rilevare catene sospette dagli appunti all'esecuzione
  4. Utilizzare gestori di pacchetti ufficiali — Installa strumenti solo tramite canali verificati

📊 Riepilogo del panorama delle minacce

Minaccia Attore Gravità Azione richiesta
Campagna Vibeware Tribù Trasparente 🔴 Critico Distribuisci il rilevamento comportamentale, monitora i servizi attendibili
Porta sul retro Didoor Acquafangosa 🔴 Critico Applicare patch, monitorare il traffico DoH, rivedere le difese contro lo spear-phishing
iOS Coruna sfrutta Multiplo 🟠 Alto Aggiorna tutti i dispositivi iOS alla versione 18.3.2+
Violazione del sistema di intercettazione telefonica Sconosciuto 🔴 Critico Monitorare l'esposizione dell'intelligence a valle
Installatori falsi di Claude Code Criminali informatici 🟠 Alto Consapevolezza degli sviluppatori, verifica delle origini di installazione

Rileva varianti malware generate dall'intelligenza artificiale

La scansione automatizzata continua di KENSAI rileva anomalie comportamentali e modelli di malware generati dall'intelligenza artificiale che gli strumenti basati sulle firme non rilevano.

Avvia la scansione di sicurezza gratuita

Rimani vigile. Rimani protetto.

🗡️KENSAI Threat Intelligence Team