Sebuah kelompok peretas yang berafiliasi dengan Pakistan, dikenal dengan nama Transparent Tribe atau APT36, dilaporkan mulai memanfaatkan alat pengembangan berbasis kecerdasan buatan untuk mempercepat produksi malware dalam skala besar. Penelitian terbaru dari perusahaan keamanan siber Bitdefender menunjukkan bahwa kelompok ini tidak lagi hanya mengandalkan teknik eksploitasi tradisional, tetapi juga memanfaatkan kemampuan model bahasa besar untuk menghasilkan berbagai varian program berbahaya secara cepat, meskipun kualitas teknisnya sering kali tidak terlalu tinggi.
Alih-alih berfokus pada kecanggihan teknis dari setiap sampel malware, pendekatan baru ini lebih menekankan pada volume. Para peneliti Bitdefender menjelaskan bahwa strategi tersebut menghasilkan sejumlah besar implant atau binary berbahaya yang dapat dibuang setelah digunakan. Banyak dari malware tersebut ditulis menggunakan bahasa pemrograman yang relatif jarang digunakan dalam pengembangan malware konvensional, seperti Nim, Zig, dan Crystal. Selain itu, infrastruktur komunikasi yang digunakan juga memanfaatkan layanan cloud yang sah seperti Slack, Discord, Supabase, dan Google Sheets agar lalu lintas jaringan terlihat seperti aktivitas normal.
Para peneliti keamanan Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu, dan Martin Zugec menggambarkan fenomena ini sebagai bentuk industrialisasi malware yang dibantu oleh kecerdasan buatan. Menurut mereka, pergeseran ini bukanlah peningkatan signifikan dalam kecanggihan teknis, melainkan perubahan strategi operasional. Dengan bantuan AI, pelaku ancaman dapat menghasilkan sejumlah besar binary yang ditulis dalam berbagai bahasa pemrograman berbeda, sehingga menyulitkan sistem keamanan tradisional untuk mengenali pola yang konsisten.
Bitdefender menyebut pendekatan tersebut sebagai Distributed Denial of Detection atau DDoD. Konsep ini secara sengaja membanjiri lingkungan target dengan berbagai sampel malware yang berbeda, sehingga sistem keamanan harus memproses terlalu banyak variasi kode. Tujuannya bukan untuk menghindari deteksi melalui teknik yang sangat kompleks, tetapi dengan menciptakan jumlah artefak berbahaya yang sangat besar sehingga analisis berbasis tanda tangan menjadi kurang efektif.
Perkembangan model bahasa besar atau large language models turut mempercepat tren ini. Dengan kemampuan menghasilkan kode secara otomatis, AI dapat membantu pelaku ancaman menulis program dalam bahasa yang sebelumnya tidak mereka kuasai. Dalam banyak kasus, kode inti dapat ditransfer dari bahasa pemrograman populer ke bahasa lain yang lebih jarang digunakan. Hal ini secara signifikan menurunkan hambatan teknis bagi pelaku serangan dan mempersempit kesenjangan keahlian yang sebelumnya menjadi penghalang dalam pengembangan malware.
Kampanye terbaru yang dianalisis oleh Bitdefender menunjukkan bahwa target utama kelompok ini adalah institusi pemerintah India serta beberapa kedutaan besar India di berbagai negara. Selain itu, sejumlah target lain termasuk institusi pemerintah Afghanistan dan beberapa perusahaan swasta juga ditemukan dalam daftar sasaran, meskipun dengan intensitas yang lebih rendah. Untuk mengidentifikasi target bernilai tinggi, kelompok ini diketahui memanfaatkan platform profesional LinkedIn sebagai sarana pengumpulan informasi awal.
Rantai infeksi yang digunakan dalam serangan ini masih mengikuti pola rekayasa sosial yang relatif umum. Banyak serangan dimulai dengan email phishing yang berisi file shortcut Windows atau LNK yang dikemas dalam arsip ZIP atau image ISO. Dalam beberapa kasus lain, korban menerima dokumen PDF yang menampilkan tombol “Download Document”. Ketika tombol tersebut diklik, korban diarahkan ke situs yang dikendalikan oleh penyerang yang kemudian mengunduh arsip ZIP yang berisi file berbahaya.
Setelah file LNK dijalankan, skrip PowerShell akan dieksekusi langsung di memori sistem. Skrip ini bertugas mengunduh dan menjalankan backdoor utama yang memberi akses kepada penyerang. Dari titik tersebut, pelaku dapat melakukan berbagai aktivitas pasca-kompromi, termasuk penyebaran alat simulasi serangan yang sudah dikenal luas di komunitas keamanan seperti Cobalt Strike dan Havoc. Penggunaan alat-alat ini menunjukkan bahwa kelompok tersebut mengadopsi pendekatan hybrid, memadukan malware kustom dengan framework ofensif yang sudah tersedia secara publik.
Analisis Bitdefender juga mengidentifikasi berbagai komponen malware tambahan yang digunakan dalam operasi ini. Salah satunya adalah Warcode, sebuah loader shellcode yang ditulis dalam bahasa Crystal dan digunakan untuk memuat agen Havoc langsung ke memori sistem. Varian eksperimental lain bernama NimShellcodeLoader memiliki fungsi serupa, tetapi digunakan untuk menanamkan beacon Cobalt Strike ke dalam sistem target.
Komponen lain yang teridentifikasi adalah CreepDropper, malware berbasis .NET yang berfungsi sebagai pengantar payload tambahan. Payload tersebut termasuk SHEETCREEP, sebuah infostealer berbasis Go yang menggunakan Microsoft Graph API untuk komunikasi command-and-control, serta MAILCREEP, backdoor berbasis C# yang memanfaatkan Google Sheets sebagai saluran komunikasi dengan server penyerang. Kedua keluarga malware ini sebelumnya juga dianalisis oleh peneliti dari Zscaler ThreatLabz pada awal tahun 2026.
Dalam infrastruktur yang lebih kompleks, para peneliti menemukan SupaServ, sebuah backdoor berbasis Rust yang menggunakan platform Supabase sebagai jalur komunikasi utama dengan server kontrol. Jika koneksi utama gagal, malware ini dapat beralih menggunakan Firebase sebagai jalur cadangan. Analisis kode menunjukkan adanya penggunaan karakter emoji Unicode, yang oleh para peneliti dianggap sebagai indikasi bahwa kode tersebut kemungkinan dihasilkan atau dibantu oleh sistem AI.
Selain itu, malware lain bernama LuminousStealer juga ditemukan dalam kampanye ini. Program ini ditulis dalam bahasa Rust dan berfungsi sebagai pencuri data yang mengumpulkan berbagai jenis file dari sistem korban, termasuk dokumen, gambar, arsip, dan spreadsheet. File yang dikumpulkan kemudian dikirimkan ke layanan penyimpanan cloud seperti Firebase dan Google Drive untuk proses eksfiltrasi.
Peneliti juga menemukan dua varian backdoor lain yang memiliki fungsi serupa tetapi ditulis dalam bahasa berbeda. CrystalShell, yang dikembangkan menggunakan bahasa Crystal, mampu menargetkan sistem operasi Windows, Linux, dan macOS. Malware ini menggunakan ID channel Discord yang telah dikodekan secara langsung untuk berkomunikasi dengan server kontrol. Dalam beberapa varian, Slack juga digunakan sebagai saluran komunikasi alternatif. Sementara itu, ZigShell merupakan versi yang ditulis menggunakan bahasa Zig dan memanfaatkan Slack sebagai infrastruktur command-and-control utama.
Beberapa komponen tambahan yang lebih spesifik juga ditemukan dalam rangkaian alat ini. CrystalFile merupakan interpreter perintah sederhana yang terus memantau sebuah file teks pada sistem korban dan menjalankan perintah yang ditemukan di dalamnya menggunakan command prompt Windows. Ada pula LuminousCookies, sebuah injector khusus yang dirancang untuk mengekstrak cookie browser, kata sandi, dan informasi pembayaran dari browser berbasis Chromium dengan melewati mekanisme enkripsi yang terikat pada aplikasi. Malware lain bernama BackupSpy berfungsi memantau sistem file lokal serta perangkat penyimpanan eksternal untuk mencari data bernilai tinggi.
Sementara itu, ZigLoader berfungsi sebagai loader khusus yang dapat mendekripsi dan mengeksekusi shellcode langsung di memori. Para peneliti juga menemukan modifikasi dari framework command-and-control open source GateSentinel yang digunakan sebagai bagian dari infrastruktur operasi kelompok tersebut.
Meskipun jumlah alat yang digunakan cukup banyak, Bitdefender menilai bahwa pergeseran APT36 menuju pendekatan yang disebut vibeware justru menunjukkan kemunduran dari sisi kualitas teknis. Banyak dari sampel malware yang dianalisis ditemukan memiliki ketidakstabilan dan kesalahan logika dalam implementasi kodenya. Hal ini menunjukkan bahwa produksi malware yang dibantu AI sering kali mengorbankan kualitas demi kecepatan dan volume.
Namun demikian, risiko utama dari tren ini bukan terletak pada kecanggihan setiap sampel malware, melainkan pada skalanya. Dengan kemampuan AI untuk menghasilkan kode secara cepat, pelaku ancaman dapat memperbanyak jumlah alat yang mereka gunakan dalam waktu singkat. Kombinasi antara penggunaan bahasa pemrograman niche dan penyalahgunaan layanan cloud yang sah memungkinkan lalu lintas berbahaya tersembunyi di dalam komunikasi jaringan yang terlihat normal.
Para peneliti menekankan bahwa konvergensi antara dua tren ini yakni penggunaan bahasa pemrograman yang jarang digunakan serta pemanfaatan layanan tepercaya sebagai infrastruktur komunikasi menciptakan tantangan baru bagi sistem keamanan modern. Bahkan kode yang secara teknis biasa saja dapat mencapai tingkat keberhasilan operasional yang tinggi jika jumlahnya cukup banyak untuk membanjiri sistem pemantauan keamanan.