Um threat actor está usando um kit de ferramentas para ataques com ransomware criado com ajuda de IA, capaz de automatizar a descoberta de Active Directory e ajudar a burlar soluções de endpoint detection and response (EDR).
O desenvolvimento da ferramenta e dos payloads contou com a assistência de agentes do Cursor e do Claude Opus em várias etapas, incluindo codificação inicial, análise e revisão.
Além disso, alguns agentes foram encarregados de verificar publicações de pesquisa em segurança em busca de diferentes técnicas de bypass.
Parte do malware criado dessa forma foi testada em ambientes virtuais contra ferramentas de EDR da Sophos, da CrowdStrike e da Microsoft.
Apesar de a pesquisa e o desenvolvimento de malware terem sido orquestrados com tecnologia de IA, os pesquisadores observam que o fluxo de trabalho é inteiramente conduzido por humanos.
Pesquisadores da empresa de cibersegurança Sophos detectaram atividade do kit em um sistema no ambiente de um cliente, o que acionou alertas para payloads armazenados em C:\Users\User\Documents\test.
Os arquivos maliciosos indicavam que faziam parte de uma estrutura de ataque voltada a evitar detecção:
Perfis de Cobalt Strike projetados para fazer o tráfego do beacon se parecer com requisições legítimas da web
Um mecanismo externo de command and control (C2) baseado na API de um bot do Telegram, que roteava a comunicação pela infraestrutura do Telegram em vez de usar conexões diretas
Scripts de desenvolvimento de malware em Python para injetar shellcode em executáveis legítimos do Windows sem alterar sua funcionalidade original
Um Cloudflare Worker atuando como redirecionador de frente para ocultar o verdadeiro servidor backend de C2
Os pesquisadores afirmam que, embora a ferramenta possa parecer uma estrutura de pós-exploração de red team, ela é usada em atividades cibercriminosas ligadas a ransomware.
"Na avaliação inicial da Sophos, a possibilidade de se tratar de um Red Team legítimo foi considerada, mas a investigação revelou outros artefatos que indicavam atividade maliciosa e criminosa", afirmou a empresa.
A descoberta, nos logs de operador do Cobalt Strike, de entradas apontando para uma nota de resgate e detalhes sobre várias organizações listadas em um site de vazamento de dados de ransomware esclareceu que a estrutura estava sendo usada em operações de cibercrime.
Em um relatório publicado hoje, a Sophos afirma que vários scripts em Python encontrados no host comprometido foram escritos em russo e gerados com ajuda de ferramentas de IA.
Durante a investigação, os pesquisadores encontraram um repositório Git com componentes relacionados a "um painel automatizado de descoberta de Active Directory (AD) e um laboratório que usa uma abordagem iterativa para desenvolver e testar malware contra os agentes de endpoint detection and response (EDR) da Sophos, da CrowdStrike e do Windows Defender".
Segundo eles, a descoberta de AD é conduzida pela coleta de observações de tarefas concluídas e pela seleção da próxima ação entre opções predefinidas.
A etapa seguinte é delegada a agentes remotos, e os resultados são reavaliados.
A estrutura conta com múltiplos agentes de IA, cada um com uma função e um papel distintos.
Por exemplo, um agente Claude Opus 4.5 atua como coordenador do processo de pesquisa e desenvolvimento, enquanto outros cuidam de testes, fortalecimento de OPSEC, documentação, testes de estresse de proxy, implantação de máquinas virtuais e outras tarefas relacionadas.
Na fase de desenvolvimento, alguns agentes documentaram técnicas de bypass encontradas em pesquisas da Kaspersky, da Palo Alto Networks, da Bishop Fox e da SpecterOps, além de detalhes publicados em posts em redes sociais.
Os agentes extraíram as técnicas, as mapearam para a base de conhecimento MITRE ATT&CK sobre comportamentos de adversários, identificaram o que era necessário para reproduzi-las, prepararam um laboratório de testes, executaram a técnica e reportaram o resultado.
O principal componente da estrutura maliciosa é uma ferramenta em Python que gera payloads, em sua maioria em Rust e Go, com base em uma técnica de evasão.
Cerca de 80 módulos foram gerados e testados contra mais de 70 técnicas.
Embora os agentes tenham inicialmente indicado uma alta taxa de falhas, os módulos parecem ter conseguido burlar quase todas as soluções de EDR após várias iterações.
Ainda assim, a Sophos observou discrepâncias entre o resultado dos testes e os relatórios internos da estrutura em alguns casos, embora as razões não estejam claras.
A Sophos não encontrou evidências de que a IA estivesse embutida no malware implantado ou operando de forma independente em ambientes das vítimas.
Em vez disso, a tecnologia foi usada para acelerar o processo iterativo de desenvolver, testar e refinar payloads contra produtos de segurança.
As ferramentas de IA estão encurtando o intervalo entre a publicação de pesquisas de segurança ofensiva e sua implementação prática por threat actors.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...