Un acteur malveillant utilise une boîte à outils de rançongiciel conçue par une intelligence artificielle. Ce kit automatise la découverte de l’Active Directory et aide à contourner les solutions de Endpoint Detection and Response.
Le développement des outils et des charges utiles a été assisté par les agents Cursor et Claude Opus à différentes étapes, que ce soit pour le codage initial, l’analyse ou les révisions. Certains agents avaient aussi pour mission de consulter des publications de recherches en sécurité pour trouver des techniques de contournement.
Des échantillons de logiciels malveillants créés de cette manière ont été testés dans des environnements virtuels contre les outils EDR de Sophos, de CrowdStrike et de Microsoft.
Les chercheurs précisent que le processus de recherche et développement est entièrement piloté par des humains, même si la technologie d’IA est utilisée.
Un développement rapide de contournement d’EDR
Les chercheurs de la société de cybersécurité Sophos ont détecté l’activité de cette boîte à outils sur le système d’un client. Des alertes ont été déclenchées pour des charges utiles stockées dans le chemin C:\Users\User\Documents\test.
Les fichiers malveillants indiquaient qu’ils faisaient partie d’un cadre d’attaque centré sur l’évasion de la détection :
- Des profils Cobalt Strike conçus pour que le trafic des beacons ressemble à des requêtes web légitimes.
- Un mécanisme de commande et contrôle externe basé sur l’API d’un bot Telegram, qui acheminait les communications via l’infrastructure de Telegram au lieu d’utiliser des connexions directes.
- Des scripts de développement de malware en Python pour injecter du shellcode dans des exécutables Windows légitimes tout en préservant leur fonctionnalité d’origine.
- Un Cloudflare Worker servant de redirection frontale pour masquer le vrai serveur C2 de backend.
Les chercheurs expliquent que cet outil peut sembler être un cadre post-exploitation d’une équipe rouge, mais il est utilisé pour des activités cybercriminelles liées au rançongiciel.
« Notre première évaluation incluait la possibilité qu’une équipe rouge légitime soit engagée, mais notre enquête a révélé d’autres artefacts qui indiquaient une activité malveillante et criminelle », a déclaré Sophos.
La découverte, dans les journaux d’un opérateur Cobalt Strike, d’entrées pointant vers une note de rançon et détaillant plusieurs organisations listées sur un site de fuite de données lié au rançongiciel, a confirmé que le cadre était utilisé pour des opérations cybercriminelles.
Un développement de malware assisté par agents
Dans un rapport publié aujourd’hui, Sophos indique que plusieurs scripts Python sur l’hôte compromis étaient écrits en russe et générés avec l’aide d’outils d’IA.
Lors de l’enquête, les chercheurs ont trouvé un dépôt Git avec des composants liés à « un panneau automatisé de découverte Active Directory et à un laboratoire qui utilise une approche itérative pour développer et tester des logiciels malveillants contre les agents EDR de Sophos, CrowdStrike et Windows Defender. »
Ils expliquent que la découverte de l’AD est pilotée par la collecte d’observations à partir de tâches accomplies et la sélection de l’action suivante parmi des choix prédéfinis. L’étape suivante est déléguée à des agents distants, puis les résultats sont réévalués.
Le cadre comporte plusieurs agents d’IA, chacun avec un rôle et une fonction distincts. Par exemple, un agent Claude Opus 4.5 agit comme coordinateur du processus de R&D, tandis que d’autres gèrent les tests, le renforcement de la sécurité opérationnelle, la documentation, les tests de stress des proxy, le déploiement des machines virtuelles et d’autres tâches connexes.
Pour l’étape de développement, certains agents ont documenté des techniques de contournement trouvées dans des recherches de Kaspersky, Palo Alto Networks, Bishop Fox et SpecterOps, ainsi que dans des publications sur les réseaux sociaux.
Les agents ont extrait ces techniques, les ont cartographiées dans la base de connaissances MITRE ATT&CK des comportements adverses, ont identifié ce qui était nécessaire pour la reproduction, ont préparé un laboratoire de test, ont exécuté la technique et ont rapporté le résultat.
Le composant principal du cadre malveillant est un outil Python qui génère des charges utiles, principalement en Rust et en Go, en fonction d’une technique d’évasion. Près de 80 modules ont été générés et testés contre plus de 70 techniques.
« Ce générateur modulaire de chargeur de payload Windows enveloppe une charge utile brute dans des couches de chiffrement, d’évasion et de techniques d’exécution alternatives, produisant des exécutables ou DLL sur mesure conçus pour résister au sandboxing, aux antivirus et à la détection EDR » explique Sophos.
Si les agents suggéraient initialement un taux d’échec élevé, les modules semblaient contourner presque toutes les solutions EDR après plusieurs itérations. Cependant, Sophos a noté des divergences entre la sortie des tests et les rapports internes du cadre dans certains cas, bien que les raisons ne soient pas claires.
Source : Sophos
Sophos n’a trouvé aucune preuve que l’IA était intégrée dans les logiciels malveillants déployés ou qu’elle fonctionnait de manière autonome dans les environnements victimes. La technologie a plutôt été utilisée pour accélérer le processus itératif de développement, de test et d’affinement des charges utiles contre les produits de sécurité.
Les outils d’IA raccourcissent le délai entre la publication de recherches offensives en sécurité et leur mise en œuvre pratique par les acteurs de la menace.