Kelompok ancaman persisten tingkat lanjut (Advanced Persistent Threat / APT) yang berafiliasi dengan Pakistan, Transparent Tribe (APT36), telah membuka babak baru dalam spionase siber. Menurut temuan terbaru dari Bitdefender, kelompok ini secara agresif mengadopsi alat pengkodean berbasis Kecerdasan Buatan (AI/LLM) untuk memproduksi massal implan jahat.

Target utama dari kampanye terbaru ini adalah pemerintah India beserta jaringan kedutaannya di berbagai negara, serta pemerintah Afghanistan dan sejumlah entitas bisnis swasta. Namun, yang paling menjadi sorotan bukanlah kecanggihan teknis serangannya, melainkan pergeseran strategi yang disebut oleh peneliti sebagai DDoD (Distributed Denial of Detection).

Baca Juga: Blokir Nasional Medsos Anak: Berlaku 28 Maret 2026, Negara Turun Tangan Lawan Dominasi Algoritma

Alih-alih menciptakan satu malware super siluman yang rumit, APT36 menggunakan AI untuk melakukan "industrialisasi malware". Mereka membanjiri lingkungan target dengan malware sekali pakai (disposable binaries) bernilai rendah yang disebut "Vibeware". Strategi ini bertumpu pada dua pilar utama:

1. Penggunaan Bahasa Pemrograman Ceruk (Niche Languages): LLM memungkinkan peretas untuk dengan mudah menerjemahkan logika bisnis malware ke dalam bahasa pemrograman yang kurang lazim dipantau oleh sistem keamanan tradisional, seperti Nim, Zig, Crystal, Rust, dan Go.
2. Eksploitasi Layanan Tepercaya (Trusted Services): Untuk menyembunyikan lalu lintas Command and Control(C2), mereka menggunakan API dari platform komunikasi dan produktivitas sah seperti Slack, Discord, Supabase, Firebase, dan Google Sheets.

Jalur infeksi biasanya dimulai dengan email phishing yang membawa pintasan Windows (LNK) di dalam arsip ZIP atau citra ISO. Skrip PowerShell kemudian dieksekusi di memori untuk mengunduh backdoor utama atau alat simulasi musuh (seperti Cobalt Strike dan Havoc).

Kampanye ini menghasilkan portofolio alat yang sangat beragam, di antaranya:

• Infrastruktur C2 Berbasis SaaS: * CrystalShell (Crystal) dan ZigShell (Zig) menggunakan Discord dan Slacksebagai saluran komunikasi utama.
  • SupaServ (Rust) menggunakan Supabase dan Firebase, bahkan mengandung emoji Unicode yang mengindikasikan kuat bahwa kode ini dihasilkan oleh AI.
  • SHEETCREEP (Go) dan MAILCREEP (C#) menggunakan Microsoft Graph API dan Google Sheets untuk mengendalikan mesin target.
• Pencuri Data (Infostealers): * LuminousStealer (Rust) menargetkan ekstensi file spesifik dokumen dan gambar.
  • LuminousCookies (Rust) secara khusus dirancang untuk mengekstrak kata sandi dan cookie dari peramban berbasis Chromium, melewati enkripsi bawaan aplikasi.
• Loader Eksotis: Warcode (Crystal), NimShellcodeLoader (Nim), dan ZigLoader (Zig) dirancang murni untuk memuat agen Cobalt Strike atau Havoc ke dalam memori target.

Dari kacamata arsitektur keamanan, Bitdefender secara tepat menyebut fenomena Vibeware ini sebagai "regresi teknis". Kode yang dihasilkan AI sering kali tidak stabil, penuh dengan kesalahan logika (bugs), dan pada dasarnya hanya dirancang untuk mengecoh deteksi berbasis tanda tangan (signature-based) yang sebenarnya sudah mulai ditinggalkan oleh industri.

Ancaman DDoD ini tetap sangat berbahaya karena mengandalkan Efek Kelelahan Analis (Alert Fatigue). Ketika ratusan binari acak (meski berkualitas rendah) menghujani endpoint, dan lalu lintas datanya mengarah ke domain sah seperti api.slack.com atau docs.google.com, analis SOC manusia akan kewalahan membedakan mana lalu lintas bisnis yang sah dan mana yang merupakan beacon dari malware.

Untuk memitigasi taktik DDoD dan eksploitasi SaaS ini, Fourtrezz merekomendasikan:

1. Deteksi Anomali Perilaku (Behavioral EDR): Tinggalkan ketergantungan pada Hash atau Tanda Tangan. EDR harus dikonfigurasi untuk memblokir rantai eksekusi perilaku. Misalnya: Aplikasi produktivitas seperti Word atau PDF viewer tidak boleh diizinkan untuk meluncurkan cmd.exe atau powershell.exe.
2. Pemantauan SSL/TLS Terinspeksi: Karena C2 bersembunyi di balik layanan SaaS yang dienkripsi (HTTPS), perusahaan wajib melakukan inspeksi SSL/TLS pada perimeter jaringan. Jika perusahaan Anda secara resmi menggunakan Microsoft Teams, buat aturan firewall atau Secure Web Gateway (SWG) yang membatasi atau memberikan peringatan keras pada lalu lintas API ke Discord atau Slack yang berasal dari mesin server atau endpoint yang tidak dikelola.
3. Hentikan Eksekusi Bahasa Tidak Dikenal: Terapkan kebijakan kontrol aplikasi (Application Control/Whitelisting) yang ketat. Karyawan administrasi tidak memiliki alasan operasional untuk menjalankan binari yang dikompilasi dengan bahasa Zig, Nim, atau Crystal di mesin Windows mereka.

Meskipun AI telah menurunkan standar teknis bagi peretas untuk membuat malware, pertahanan berbasis Zero Trustpada tingkat proses dan jaringan tetap menjadi penawar yang paling efektif.