I tre uker mellom 27. desember og 4. januar kompromitterte kampanjen «Shadow-Aether-040» seks meksikanske offentlige etater uten å bruke et eneste hyllevare-RAT. Trend Micro Research publiserte funnet i dag etter at de fant en C2-server uten operasjonell sikkerhet og kunne rekonstruere full angrepsmetodikk. Angriperne brukte KI-agenter gjennom hele kjeden: rekognosering, første tilgang, lateral bevegelse og produksjon av tilpassede verktøy.
Mønsteret er det forskerne kaller «vibe-hacking» — samme intuitive, iterative arbeidsflyt som utviklere bruker når de programmerer med Claude Code eller Cursor, bare brukt offensivt. I praksis betyr det at signaturbaserte deteksjoner blir mindre verdt: ingen to RAT-er fra samme aktør deler de samme strengene, importene eller offsets. Den andre kampanjen Trend Micro dokumenterte fulgte samme metode mot andre mål i regionen.
For deg som driver et SOC eller bygger sikkerhetsverktøy, betyr dette at deteksjon må flyttes oppover stack-en: fra binær-signaturer til atferd, fra IOC-er til prosess-grafer. KI-genererte verktøy lekker fortsatt mønstre i hvordan de kaller syscall-er, ikke i hvordan de ser ut i disassembleren.
Hva bør du gjøre?
- Slutt å stole på hash-baserte deteksjoner alene — bygg atferdsanalyse på prosessnivå med Sysmon eller eBPF.
- Sjekk om EDR-en din ser kall-mønstre eller bare filtyper; flere KI-genererte RAT-er omgår signatur-skannere fordi koden er helt fersk.
- Anta at C2-trafikk vil bli kamuflert med plausible HTTPS-mønstre — JA3-fingerprinting og TLS-anomalier blir viktigere enn DNS-blokklister.