Vibeware, una táctica APT que multiplica variantes de malware mediante IA
- Seguridad
Este modelo de desarrollo de malware reescribe continuamente el mismo código en múltiples lenguajes de nicho para generar un volumen masivo de variantes. La estrategia, observada en ataques del grupo APT36, complica la detección, satura las defensas y aprovecha plataformas legítimas para ocultar comunicaciones maliciosas.
Bitdefender ha identificado que el grupo APT36, también conocido como Transparent Tribe y vinculado a Pakistán, está utilizando vibeware para atacar a organismos gubernamentales indios y sus embajadas. La técnica consiste en emplear modelos de IA para reescribir el mismo malware en lenguajes poco comunes, generando múltiples variantes que dificultan la correlación y el análisis por parte de los sistemas defensivos.
Los lenguajes utilizados incluyen Nim, Zig, Crystal y Rust, todos ellos menos habituales en el desarrollo de malware tradicional. Esta diversidad complica la detección basada en firmas y ralentiza la respuesta de los equipos de seguridad.
Variantes masivas y tráfico oculto en plataformas legítimas
Además de la multiplicación de variantes, APT36 oculta el tráfico de comando y control dentro de plataformas ampliamente utilizadas y consideradas confiables, como Slack, Discord, Google Sheets y Supabase. Este uso de servicios legítimos permite camuflar la actividad maliciosa entre el tráfico normal de la organización, dificultando la identificación de anomalías.
Aunque Bitdefender señala que muchas de las muestras generadas presentan fallos de código frecuentes, el volumen y la diversidad de variantes aumentan significativamente la probabilidad de que alguna consiga evadir los sistemas de detección tradicionales. El vibeware no busca perfección, sino saturación.
La compañía subraya que esta estrategia complica la respuesta defensiva, ya que obliga a los equipos de seguridad a analizar múltiples muestras distintas, cada una con características técnicas diferentes pese a compartir la misma intención maliciosa.
Un punto de inflexión en la automatización del malware
La investigación de Bitdefender apunta a que vibeware podría convertirse en una tendencia creciente entre grupos APT y ciberdelincuentes, especialmente a medida que los modelos de IA generativa se vuelvan más accesibles y potentes. La automatización del ciclo de desarrollo de malware, incluyendo reescritura, ofuscación y diversificación, supone un desafío significativo para las defensas basadas en patrones.
Bitdefender advierte de que las organizaciones deben reforzar sus capacidades de detección basadas en comportamiento, análisis de tráfico cifrado y monitorización de plataformas SaaS, ya que los atacantes están aprovechando cada vez más estos entornos como canales encubiertos.
