Die vom pakistanischen Staat unterstützte Hackergruppe APT36 nutzt künstliche Intelligenz, um Schadsoftware in industriellem Ausmaß zu produzieren. Sicherheitsforscher von Bitdefender Labs haben dabei eine neue Angriffsstrategie identifiziert, die klassische Erkennungsmechanismen gezielt umgeht - und das mit erschreckend wenig technischem Aufwand.

Gefährliche Masse an Malware

Wie eine aktuelle Analyse der Bitdefender Labs zeigt, setzt die auch als "Transparent Tribe" bekannte Gruppe auf sogenannte "Vibeware" – KI-generierte Malware, die zwar handwerkliche Schwächen aufweist, aber durch ihre schiere Masse gefährlich wird. Eindeutige Hinweise auf den Einsatz von KI-Modellen finden sich direkt im Code: Entwickler-Artefakte, eingebettete Metadaten und sogar Emojis verraten die maschinelle Herkunft der Schadsoftware. Der Code ist syntaktisch korrekt, logisch aber oft nicht ausgereift – was einen Teil der Angriffe wirkungslos macht, den Großteil jedoch gefährlich bleiben lässt.

Besonders brisant ist die Verwendung sogenannter exotischer Programmiersprachen wie Nim, Zig oder Crystal. Die meisten Sicherheitslösungen kalibrieren ihre Anomalieerkennung auf weitverbreitete Sprachen wie C++ oder .NET - Nischencode fällt dabei durchs Raster. Da KI-Modelle auch für wenig bekannte Sprachen auf umfangreiche Trainingsdaten zurückgreifen können, lässt sich dieser Code mittlerweile schnell generieren. Die Angreifer wechseln zudem flexibel zwischen Sprachen und Plattformen, was die Verteidigung zusätzlich belastet. Bitdefender bezeichnet diese Taktik als "Distributed Denial of Detection" – eine bewusste Überflutung der Erkennungssysteme über mehrere Kanäle gleichzeitig.

Steuerung über legitime Clouddienste

Zur Steuerung und Datenweitergabe nutzt APT36 legitime Cloudienste - in der Fachsprache "Living Off Trusted Services" (LOTS). Google Sheets dient dabei als Ablage für dynamische Angriffsbefehle, Firebase und Supabase als Speicher für Metadaten und Zugangsdaten, Slack und Discord für die Echtzeitkommunikation mit infizierter Software. Weil der Datenverkehr über diese Dienste in vielen Unternehmensumgebungen als vertrauenswürdig gilt, bleibt er oft unentdeckt. Der initiale Angriffsweg führt in der Regel über infizierte E-Mail-Anhänge.

Im Visier der Gruppe stehen primär indische Regierungsbehörden, diplomatische Einrichtungen und Personen mit Bezug zur nationalen Verteidigung – darunter Armeepersonal sowie Träger sicherheitsrelevanter Dokumente zu Strategie, Politik und internationalen Beziehungen. Daneben geraten laut Bitdefender aber auch Unternehmen aus der Privatwirtschaft ins Fadenkreuz. Die Analyse zeigt: KI senkt die Einstiegshürde für staatlich geförderte Cyberkriminalität erheblich – und macht aus mittelmäßigem Code ein Werkzeug für Massenangriffe.