AI驱动的恶意软件工厂：Transparent Tribe 如何扩大针对印度的攻击规模

网络间谍活动的格局正在发生根本性转变，生成式人工智能正从一种新奇事物转变为威胁行为者工具包的核心组件。Bitdefender 安全研究人员的最新发现揭示了 Transparent Tribe（一个与巴基斯坦有关的高级持续性威胁 (APT) 组织，也称为 APT36）在战术上的复杂演变。该组织传统上以针对印度政府和军事实体而闻名，现在已开始采用 AI 驱动的代码助手，从手工制作恶意软件转向大批量、自动化的生产线。

这种转变代表了战略重心的转移。Transparent Tribe 不再追求完善单个高度复杂的间谍软件，而是正如研究人员所描述的那样，正在用“大批量、平庸的植入物”淹没目标区域。通过利用 AI，该组织可以批量生产数十种恶意软件变体，这使得传统的基于签名的安全工具更难跟上其步伐。

多语言恶意软件的兴起

这次新行动中最引人注目的方面之一是编程语言的选择。虽然历史上大多数恶意软件依赖于 C++、C# 或 Python，但 Transparent Tribe 越来越多地利用 Nim、Zig 和 Crystal 等小众、现代的语言。出于几个原因，这些语言对攻击者特别有效。

首先，它们是“跨平台编译的”，这意味着单个代码库可以轻松转换为 Windows、Linux 或 macOS 的可执行文件。其次，由于这些语言在企业环境中较少见，许多安全产品缺乏将其标记为可疑所需的专门启发式算法。AI 编码工具擅长将逻辑翻译成这些奇特的语言，允许那些可能不是 Zig 或 Crystal 专家的攻击者在创纪录的时间内部署功能性恶意软件。

利用云端：隐藏在众目睽睽之下

为了补充其 AI 生成的代码，Transparent Tribe 彻底改造了其命令与控制 (C2) 基础设施。该组织不再使用专用的、容易被封锁的服务器，而是“利用云端 (living off the cloud)”。他们正在重新利用合法、受信任的网络服务来管理受感染的主机并窃取数据。

通过使用 Slack、Discord、Supabase 和 Google Sheets 等平台，恶意软件的流量与标准的办公活动完美融合。当一个恶意软件向 Google Sheets 发送“心跳”信号或将窃取的文件上传到 Discord webhook 时，它很少会触发警报。对于网络管理员来说，这看起来就像用户正在协作处理项目或使用常见的生产力工具。这种对受信任服务的依赖为那些不对加密云流量进行深度包检测或行为分析的组织创造了一个巨大的盲点。

量大于质：“平庸大众”策略

过去，感染尝试失败对威胁行为者来说是一个挫折；这意味着他们的工具已经“暴露”，需要重写。Transparent Tribe 新的 AI 驱动方法彻底改变了这一逻辑。通过生产“平庸大众”的植入物，该组织接受了许多工具会被捕获的事实。

然而，由于有了 AI，生产成本现在接近于零，他们可以简单地进行迭代。如果检测到一个基于 Nim 的植入物，AI 可以在几分钟后生成一个略有不同的 Zig 版本。这创造了一场“消耗战”，防御者被迫应对源源不断的独特但简单的威胁。这是“虫群战术 (Zerg rush)”的数字版——通过绝对数量而非个体强度来压倒对手的防御。

组织的实用建议

随着像 Transparent Tribe 这样的威胁行为者实现工作流程自动化，防御者必须调整策略，关注行为而非特定的文件签名。以下是组织减轻这些不断演变的风险的关键步骤：

• 部署行为 EDR/XDR： 由于 AI 可以生成文件的无限变体，基于签名的反病毒软件已不再足够。端点检测和响应 (EDR) 工具对于监控可疑行为（例如进程突然与 Discord API 通信）至关重要。
• 监控云端流出流量： 组织应审计“影子 IT”的使用，并监控流向 Supabase 或 Slack 等平台的流量。虽然这些是合法服务，但应调查流向这些域的异常数据传输模式。
• 语言无关的扫描： 确保安全沙箱和静态分析工具配置为处理 Nim 和 Zig 等较少见的语言。如果您的环境不需要这些语言，请考虑阻止使用这些语言编译的二进制文件的执行。
• 零信任架构： 通过假设端点最终会被这种大批量的方法攻破，组织可以专注于通过严格的访问控制来限制横向移动并保护敏感数据。

展望未来

Transparent Tribe 的活动是网络安全领域更广泛趋势的预兆。随着大语言模型 (LLM) 变得更加强大，复杂网络间谍活动的准入门槛继续降低。未来几年的挑战将不仅仅是阻止“最好的”恶意软件，而是管理 AI 使之成为可能的、海量的“足够好”的恶意软件。

来源

• Bitdefender Labs: Technical Analysis of Transparent Tribe's Latest Campaign
• MITRE ATT&CK: APT36 (Transparent Tribe) Profile
• Cybersecurity and Infrastructure Security Agency (CISA) Alerts on Living-off-the-Cloud Tactics