Transparent Tribe usa IA para crear malware masivo dirigido a India
Un grupo de hackers llamado Transparent Tribe, que se cree que está alineado con Pakistán, está utilizando herramientas de inteligencia artificial (IA) para crear grandes cantidades de programas maliciosos (malware) y atacar objetivos en India. Esto les permite inundar los sistemas con software dañino, aunque no sea muy sofisticado.
¿Qué está pasando?
Según un informe de la empresa de ciberseguridad Bitdefender, Transparent Tribe está usando la IA para automatizar la producción de "implantes" de malware. En lugar de crear programas muy complejos, están generando muchos programas sencillos en lenguajes de programación menos comunes como Nim, Zig y Crystal. Estos programas a menudo usan servicios populares como Slack, Discord, Supabase y Google Sheets para ocultar su actividad.
Este enfoque se conoce como "Distributed Denial of Detection" (DDoD), o Denegación Distribuida de Detección. La idea es que, al haber tantos programas diferentes y cada uno usando un lenguaje y protocolo de comunicación distintos, es más difícil para los sistemas de seguridad detectarlos todos.
Las herramientas de IA facilitan esto porque permiten a los hackers generar código funcional en lenguajes que no conocen bien. Pueden crear el código desde cero o adaptar código existente de lenguajes más comunes.
Cómo funciona el ataque
- Correos electrónicos de phishing: Los ataques suelen empezar con correos electrónicos engañosos (phishing) que contienen archivos ZIP o imágenes ISO con accesos directos de Windows (archivos LNK).
- Descarga y ejecución: Al abrir el acceso directo, se ejecuta un script de PowerShell (un lenguaje de comandos de Windows) que descarga e instala el programa malicioso principal (backdoor).
- Herramientas adicionales: Después de infectar el sistema, los hackers pueden usar herramientas como Cobalt Strike y Havoc para simular ataques y asegurar que la infección persista.
Tipos de malware utilizados
- Warcode y NimShellcodeLoader: Programas para cargar código malicioso directamente en la memoria del sistema.
- CreepDropper: Un malware que instala programas adicionales, como SHEETCREEP (roba información usando Microsoft Graph API) y MAILCREEP (un backdoor que usa Google Sheets para comunicarse con los hackers).
- SupaServ: Un backdoor que usa la plataforma Supabase para comunicarse, con Firebase como respaldo.
- LuminousStealer: Un programa para robar información que usa Firebase y Google Drive para enviar archivos robados.
- CrystalShell y ZigShell: Backdoors que pueden controlar sistemas Windows, Linux y macOS, usando Discord o Slack para recibir instrucciones.
- CrystalFile: Un programa que revisa constantemente un archivo de texto y ejecuta los comandos que encuentre en él.
- LuminousCookies: Un programa para robar cookies, contraseñas e información de pago de navegadores basados en Chromium (como Chrome y Edge).
- BackupSpy: Una herramienta para buscar datos valiosos en el sistema y en dispositivos externos.
- ZigLoader: Un programa para descifrar y ejecutar código malicioso en la memoria.
- Gate Sentinel Beacon: Una versión modificada de una herramienta de código abierto para controlar sistemas infectados.
A quién afecta
Los ataques están dirigidos principalmente al gobierno de India y sus embajadas en otros países. También se han detectado ataques contra el gobierno de Afganistán y algunas empresas privadas, aunque en menor medida. Los hackers usan LinkedIn para encontrar personas importantes a las que atacar.
Qué significa esto para ti
Este tipo de ataques demuestran que la inteligencia artificial está facilitando la creación de malware a gran escala. Aunque el malware no sea muy sofisticado, la gran cantidad de programas diferentes puede superar las defensas de seguridad estándar. Es importante estar atento a correos electrónicos sospechosos y usar contraseñas seguras para protegerse.
