Transparent Tribe utilizza gli strumenti di codifica dell'intelligenza artificiale per la produzione di massa malware poliglotta usa e getta su una scala senza precedenti. I ricercatori di Bitdefender coniano il termine "vibeware" — Impianti usa e getta assistiti dall'intelligenza artificiale scritti in Nim, Zig e Crystal che sfuggono al rilevamento tradizionale. Nel frattempo, MuddyWater implementa una nuova backdoor che prende di mira le infrastrutture critiche degli Stati Uniti e i falsi installatori di Claude Code spingono gli infostealer.
Gruppo APT allineato al Pakistan Tribù Trasparente (APT36) ha industrializzato la produzione di malware utilizzando assistenti di codifica basati sull'intelligenza artificiale. Il team di ricerca sulle minacce di Bitdefender ha identificato il 200 varianti di impianti unici generato in una sola settimana: un volume impossibile tramite lo sviluppo manuale.
I ricercatori di Bitdefender hanno coniato il termine "vibeware" per descrivere questa nuova classe di malware assistito dall’intelligenza artificiale. Il concetto è semplice ma devastante: utilizzare gli strumenti di codifica dell'intelligenza artificiale per generare rapidamente un elevato volume di impianti mediocri ma funzionali attraverso più linguaggi di programmazione. Ogni impianto è monouso, progettato per una singola campagna o anche per un singolo target.
Vibeware (n.): malware usa e getta generato dall'intelligenza artificiale, prodotto su scala industriale utilizzando assistenti di codifica. Caratterizzato da implementazione poliglotta, qualità del codice mediocre e volume elevato che supera il tradizionale rilevamento basato sulla firma.
| Attributo | Dettagli |
|---|---|
| Attore della minaccia | Tribù Trasparente (APT36) |
| Attribuzione | Allineato al Pakistan, sospettato legato all'ISI |
| Obiettivi primari | Governo indiano, forze armate, entità diplomatiche |
| Lingue utilizzate | Nim, Zig, Cristallo, Go, Ruggine |
| Volume dell'impianto | Oltre 200 varianti uniche a settimana |
| C2 Infrastrutture | Slack, Discord, Supabase, Fogli Google |
| Tasso di rilevamento | <15% all'invio iniziale (VirusTotal) |
| Strumenti AI abusati | Assistenti di codifica multipli (senza nome) |
Transparent Tribe sceglie deliberatamente lingue come Nim, Zig e Cristallo per diverse ragioni strategiche:
Forse l'aspetto più insidioso della campagna è l'abuso di servizi cloud legittimi come infrastruttura di comando e controllo:
| Servizio | C2 Utilizzo | Difficoltà di rilevamento |
|---|---|---|
| Lasco | Distribuzione di comandi basata su webhook | Alto: si fonde con il traffico legittimo |
| Discordia | API bot per l'esfiltrazione dei dati | Alto: utilizzo crittografato e diffuso |
| Supabase | Database-as-C2 per la configurazione dell'impianto | Molto alto: tecnica innovativa |
| Fogli Google | Celle del foglio di calcolo come code di comandi | Molto alto: HTTPS verso domini Google |
Acqua fangosa (affiliato all'Iran/MOIS) sta prendendo di mira attivamente le istituzioni finanziarie e i sistemi aeroportuali statunitensi con una backdoor precedentemente non documentata denominata "Dindoor".
| Attributo | Dettagli |
|---|---|
| Attore della minaccia | MuddyWater (sovrapposizione MOIS / APT34) |
| Nome della backdoor | Dindoor |
| Obiettivi | Banche statunitensi, sistemi operativi aeroportuali |
| Accesso iniziale | Spear-phishing con offerte di lavoro armate |
| Persistenza | Abbonamenti a eventi WMI, attività pianificate |
| Comunicazione | Tunneling DNS su HTTPS |
| Capacità | Keylogging, cattura schermo, raccolta credenziali, movimento laterale |
La backdoor Dindoor rappresenta un'evoluzione del toolkit di MuddyWater, con Tunneling DNS su HTTPS (DoH) per la comunicazione C2, rendendo estremamente difficile il rilevamento a livello di rete. Il fatto di prendere di mira le infrastrutture bancarie e aeronautiche solleva notevoli preoccupazioni circa le potenziali operazioni di disturbo.
La CISA ha emesso una direttiva di emergenza che ordina alle agenzie federali di applicare patch vulnerabilità iOS sfruttate attivamente essere utilizzato come arma attraverso il Kit exploit Coruna. Scadenza: 14 marzo 2026.
The Coruna exploit kit, first identified in febbraio 2026, has expanded its capabilities to target multiple iOS WebKit and kernel vulnerabilities. The kit is being sold on underground forums for$ 150.000 per licenza ed è utilizzato principalmente per:
Tutte le versioni iOS precedenti a 18.3.2 sono colpiti. Le organizzazioni dovrebbero garantire che tutti i dispositivi Apple aziendali e BYOD vengano aggiornati immediatamente.
L'FBI ha confermato un'indagine attiva su un violazione dei sistemi federali di sorveglianza e di intercettazione. Sebbene i dettagli rimangano riservati, le fonti indicano che l’accesso non autorizzato potrebbe aver compromesso le indagini in corso e rivelato obiettivi di sorveglianza.
Secondo quanto riferito, la violazione colpisce i sistemi utilizzati in CALEA (Legge sull'assistenza alle comunicazioni per le forze dell'ordine) e ordinanze del tribunale FISA. Le principali preoccupazioni includono:
Una campagna che utilizza false guide all'installazione del codice Claude sta distribuendo infostealer attraverso una variante "InstallFix" della tecnica di ingegneria sociale ClickFix.
| Tipo di dati | Livello di rischio | Impatto |
|---|---|---|
| Password del browser | 🔴 Critico | Gestione completa dell'account su tutti i servizi |
| Chiavi SSH | 🔴 Critico | Accesso al server/infrastruttura |
| Token API | 🔴 Critico | Compromissione dell'infrastruttura cloud |
| Portafogli crittografici | 🟠 Alto | Perdita finanziaria immediata |
| File .env | 🔴 Critico | Credenziali del database, segreti API |
Installa sempre gli strumenti per sviluppatori da solo fonti ufficiali. Claude Code è disponibile esclusivamente tramite i canali ufficiali di Anthropic. Non eseguire mai comandi da pagine Web casuali, in particolare quelle che affermano di "correggere" errori di installazione.
| Minaccia | Attore | Gravità | Azione richiesta |
|---|---|---|---|
| Campagna Vibeware | Tribù Trasparente | 🔴 Critico | Distribuisci il rilevamento comportamentale, monitora i servizi attendibili |
| Porta sul retro Didoor | Acquafangosa | 🔴 Critico | Applicare patch, monitorare il traffico DoH, rivedere le difese contro lo spear-phishing |
| iOS Coruna sfrutta | Multiplo | 🟠 Alto | Aggiorna tutti i dispositivi iOS alla versione 18.3.2+ |
| Violazione del sistema di intercettazione telefonica | Sconosciuto | 🔴 Critico | Monitorare l'esposizione dell'intelligence a valle |
| Installatori falsi di Claude Code | Criminali informatici | 🟠 Alto | Consapevolezza degli sviluppatori, verifica delle origini di installazione |
La scansione automatizzata continua di KENSAI rileva anomalie comportamentali e modelli di malware generati dall'intelligenza artificiale che gli strumenti basati sulle firme non rilevano.
Avvia la scansione di sicurezza gratuitaRimani vigile. Rimani protetto.
🗡️KENSAI Threat Intelligence Team