एआई-संचालित मालवेयर फैक्ट्री: कैसे ट्रांसपेरेंट ट्राइब भारत के खिलाफ हमलों को बढ़ा रहा है

साइबर जासूसी का परिदृश्य एक मौलिक बदलाव के दौर से गुजर रहा है क्योंकि जेनरेटिव आर्टिफिशियल इंटेलिजेंस एक नवीनता से हटकर खतरे के कर्ताओं के टूलकिट का एक मुख्य घटक बन गया है। बिटडेफेंडर के सुरक्षा शोधकर्ताओं के हालिया निष्कर्षों ने पाकिस्तान से जुड़े एक उन्नत निरंतर खतरे (APT) समूह, ट्रांसपेरेंट ट्राइब (Transparent Tribe) की रणनीति में एक परिष्कृत विकास पर प्रकाश डाला है, जिसे APT36 के रूप में भी जाना जाता है। पारंपरिक रूप से भारतीय सरकारी और सैन्य संस्थाओं पर ध्यान केंद्रित करने के लिए जाने जाने वाले इस समूह ने अब कलात्मक मालवेयर विकास से उच्च-मात्रा, स्वचालित उत्पादन लाइन में संक्रमण के लिए एआई-संचालित कोडिंग सहायकों को अपना लिया है।

यह बदलाव एक रणनीतिक धुरी का प्रतिनिधित्व करता है। एक एकल, अत्यधिक जटिल स्पाइवेयर को पूर्ण बनाने के बजाय, ट्रांसपेरेंट ट्राइब अब उस क्षेत्र में बाढ़ ला रहा है जिसे शोधकर्ता "इम्प्लांट्स का उच्च-मात्रा, औसत दर्जे का द्रव्यमान" बताते हैं। एआई का लाभ उठाकर, समूह मालवेयर के दर्जनों रूपांतरों को तैयार कर सकता है, जिससे पारंपरिक हस्ताक्षर-आधारित सुरक्षा उपकरणों के लिए गति बनाए रखना काफी कठिन हो जाता है।

पॉलीग्लॉट मालवेयर का उदय

इस नए अभियान के सबसे हड़ताली पहलुओं में से एक प्रोग्रामिंग भाषाओं का चुनाव है। जबकि अधिकांश मालवेयर ऐतिहासिक रूप से C++, C#, या Python पर निर्भर करते हैं, ट्रांसपेरेंट ट्राइब तेजी से निम (Nim), ज़िग (Zig) और क्रिस्टल (Crystal) जैसी विशिष्ट, आधुनिक भाषाओं का उपयोग कर रहा है। ये भाषाएं कई कारणों से हमलावरों के लिए विशेष रूप से प्रभावी हैं।

पहला, वे "क्रॉस-कंपाइलेबल" हैं, जिसका अर्थ है कि एक एकल कोडबेस को विंडोज, लिनक्स या मैकओएस के लिए आसानी से निष्पादन योग्य फ़ाइल में बदला जा सकता है। दूसरा, क्योंकि ये भाषाएं कॉर्पोरेट वातावरण में कम आम हैं, कई सुरक्षा उत्पादों में उन्हें संदिग्ध के रूप में चिह्नित करने के लिए आवश्यक विशेष अनुमानों (heuristics) की कमी होती है। एआई कोडिंग उपकरण तर्क को इन विदेशी भाषाओं में अनुवाद करने में उत्कृष्टता प्राप्त करते हैं, जिससे उन हमलावरों को भी जो ज़िग या क्रिस्टल के विशेषज्ञ नहीं हैं, रिकॉर्ड समय में कार्यात्मक मालवेयर तैनात करने की अनुमति मिलती है।

क्लाउड के सहारे जीना: नज़रों के सामने छिपना

अपने एआई-जनरेटेड कोड के पूरक के रूप में, ट्रांसपेरेंट ट्राइब ने अपने कमांड-एंड-कंट्रोल (C2) बुनियादी ढांचे में आमूल-चूल परिवर्तन किया है। समर्पित, आसानी से ब्लॉक किए जाने वाले सर्वरों का उपयोग करने के बजाय, समूह "क्लाउड के सहारे जी रहा है।" वे अपने संक्रमित होस्ट को प्रबंधित करने और डेटा निकालने के लिए वैध, विश्वसनीय वेब सेवाओं का पुनरुत्पादन कर रहे हैं।

स्लैक (Slack), डिस्कॉर्ड (Discord), सुपरबेस (Supabase) और गूगल शीट्स (Google Sheets) जैसे प्लेटफार्मों का उपयोग करके, मालवेयर का ट्रैफ़िक मानक कार्यालय गतिविधि के साथ पूरी तरह से मिल जाता है। जब मालवेयर का एक टुकड़ा गूगल शीट को "हार्टबीट" भेजता है या डिस्कॉर्ड वेबहुक पर चोरी किया गया दस्तावेज़ अपलोड करता है, तो यह शायद ही कभी अलार्म बजाता है। एक नेटवर्क प्रशासक के लिए, यह केवल ऐसा दिखता है जैसे कोई उपयोगकर्ता किसी प्रोजेक्ट पर सहयोग कर रहा है या एक सामान्य उत्पादकता उपकरण का उपयोग कर रहा है। विश्वसनीय सेवाओं पर यह निर्भरता उन संगठनों के लिए एक महत्वपूर्ण ब्लाइंड स्पॉट बनाती है जो एन्क्रिप्टेड क्लाउड ट्रैफ़िक पर डीप पैकेट इंस्पेक्शन या व्यवहार विश्लेषण नहीं करते हैं।

गुणवत्ता पर मात्रा: "औसत दर्जे का द्रव्यमान" रणनीति

अतीत में, एक विफल संक्रमण प्रयास एक खतरे के कर्ता के लिए एक झटका था; इसका मतलब था कि उनका उपकरण "पकड़ा" गया था और उसे फिर से लिखने की आवश्यकता थी। ट्रांसपेरेंट ट्राइब का नया एआई-संचालित दृष्टिकोण इस तर्क को उलट देता है। इम्प्लांट्स का "औसत दर्जे का द्रव्यमान" उत्पन्न करके, समूह स्वीकार करता है कि उनके कई उपकरण पकड़े जाएंगे।

हालाँकि, क्योंकि एआई की बदौलत उत्पादन की लागत अब शून्य के करीब है, वे बस इसे दोहरा सकते हैं। यदि एक निम-आधारित इम्प्लांट का पता चलता है, तो एआई मिनटों बाद ज़िग में थोड़ा अलग संस्करण तैयार कर सकता है। यह एक "थकावट का युद्ध" (war of attrition) बनाता है जहाँ रक्षकों को अद्वितीय, हालांकि सरल, खतरों की एक अंतहीन धारा का जवाब देने के लिए मजबूर किया जाता है। यह "ज़र्ग रश" (Zerg rush) रणनीति का एक डिजिटल संस्करण है—व्यक्तिगत ताकत के बजाय केवल संख्या के माध्यम से प्रतिद्वंद्वी की सुरक्षा को भारी कर देना।

संगठनों के लिए व्यावहारिक सुझाव

जैसे-जैसे ट्रांसपेरेंट ट्राइब जैसे खतरे के कर्ता अपने वर्कफ़्लो को स्वचालित करते हैं, रक्षकों को विशिष्ट फ़ाइल हस्ताक्षरों के बजाय व्यवहार पर ध्यान केंद्रित करने के लिए अपनी रणनीतियों को अनुकूलित करना चाहिए। इन उभरते जोखिमों को कम करने के लिए संगठनों के लिए महत्वपूर्ण कदम यहां दिए गए हैं:

• व्यवहार-आधारित EDR/XDR लागू करें: चूंकि एआई एक फ़ाइल के अनंत रूपांतर उत्पन्न कर सकता है, हस्ताक्षर-आधारित एंटीवायरस अब पर्याप्त नहीं है। एंडपॉइंट डिटेक्शन एंड रिस्पांस (EDR) उपकरण जो संदिग्ध व्यवहारों की निगरानी करते हैं—जैसे कि अचानक डिस्कॉर्ड एपीआई के साथ संचार करने वाली प्रक्रिया—अनिवार्य हैं।
• क्लाउड निकास की निगरानी करें: संगठनों को "शैडो आईटी" के उपयोग का ऑडिट करना चाहिए और सुपरबेस या स्लैक जैसे प्लेटफार्मों पर ट्रैफ़िक की निगरानी करनी चाहिए। हालांकि ये वैध सेवाएं हैं, इन डोमेन में डेटा ट्रांसफर के असामान्य पैटर्न की जांच की जानी चाहिए।
• भाषा-अज्ञेयवादी स्कैनिंग: सुनिश्चित करें कि सुरक्षा सैंडबॉक्स और स्थिर विश्लेषण उपकरण निम और ज़िग जैसी कम सामान्य भाषाओं को संभालने के लिए कॉन्फ़िगर किए गए हैं। यदि आपके वातावरण को इन भाषाओं की आवश्यकता नहीं है, तो उनके साथ संकलित बाइनरी के निष्पादन को अवरुद्ध करने पर विचार करें।
• जीरो ट्रस्ट आर्किटेक्चर: यह मानकर कि इस उच्च-मात्रा वाले दृष्टिकोण से एक एंडपॉइंट अंततः समझौता किया जाएगा, संगठन सख्त पहुंच नियंत्रण के माध्यम से पार्श्व आंदोलन को सीमित करने और संवेदनशील डेटा की सुरक्षा पर ध्यान केंद्रित कर सकते हैं।

आगे की राह

ट्रांसपेरेंट ट्राइब की गतिविधि साइबर सुरक्षा की दुनिया में एक व्यापक प्रवृत्ति का अग्रदूत है। जैसे-जैसे एलएलएम (LLMs) अधिक सक्षम होते जा रहे हैं, परिष्कृत साइबर जासूसी के लिए प्रवेश की बाधा कम होती जा रही है। आने वाले वर्षों की चुनौती न केवल "सर्वश्रेष्ठ" मालवेयर को रोकना होगी, बल्कि "पर्याप्त अच्छे" मालवेयर की विशाल मात्रा का प्रबंधन करना होगा जिसे एआई संभव बनाता है।

स्रोत

• बिटडेफेंडर लैब्स: Technical Analysis of Transparent Tribe's Latest Campaign
• मिटर एटीटी एंड सीके (MITRE ATT&CK): APT36 (Transparent Tribe) Profile
• साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA): Alerts on Living-off-the-Cloud Tactics