Le groupe APT36, également connu sous le nom de Transparent Tribe, fait évoluer ses méthodes offensives. Selon une analyse publiée par Bitdefender, ce groupe adopte désormais un modèle de développement de malwares assisté par l’intelligence artificielle que les chercheurs qualifient de « vibeware ». L’objectif n’est plus seulement de concevoir des implants particulièrement sophistiqués, mais de produire rapidement un grand nombre de variantes jetables afin de saturer les capacités de détection.
Une logique d’industrialisation du malware
Les attaquants semblent désormais privilégier la production massive de malwares plutôt que leur complexification technique. Le principe est de générer de nombreuses variantes d’un même code malveillant pour compliquer le travail de détection et de réponse.
Selon les chercheurs de Bitdefender, cette approche s’appuie sur une forme d’industrialisation du développement. La même logique malveillante est ainsi réécrite dans plusieurs langages de programmation, notamment Nim, Zig, Crystal, Rust ou encore Go. Cette diversification technique permet de brouiller les mécanismes de détection traditionnels, souvent calibrés pour identifier des signatures spécifiques.
Des implants multiples pour maintenir la persistance
L’analyse observe également une autre évolution : la présence simultanée de plusieurs implants sur une même machine compromise. Cette coexistence permet de maintenir l’accès au système même si l’un des vecteurs est neutralisé.
Cette logique de redondance renforce la résilience de l’attaque. Si un implant est détecté et supprimé, un autre peut continuer à opérer en arrière-plan, prolongeant la persistance de l’attaquant dans l’environnement ciblé.
Des communications dissimulées dans des services cloud légitimes
Pour leurs communications de commande et de contrôle, les opérateurs d’APT36 utilisent également des services cloud légitimes. L’étude mentionne notamment Slack, Discord, Google Sheets ou encore Azure Front Door.
L’objectif est de se fondre dans un trafic considéré comme normal. En s’appuyant sur des plateformes largement utilisées, les communications malveillantes deviennent plus difficiles à distinguer des flux légitimes.
