🔍 Contexte

Publié le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article décrit la découverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accélérer le développement de malwares et tester des techniques d’évasion EDR. L’activité a été détectée via l’enregistrement d’un endpoint anormal dans un tenant client, déclenchant des alertes sur des payloads issus du répertoire C:\Users\User\Documents\test.

🧩 Infrastructure et outils découverts

Plusieurs fichiers malveillants ont été identifiés dans ce répertoire, révélant un framework d’attaque complet :

  • Profils Cobalt Strike conçus pour faire ressembler le trafic beacon à des requêtes web légitimes
  • Bot Telegram utilisé comme mécanisme de C2 externe, routant les communications via l’infrastructure Telegram
  • Scripts Python pour injecter du shellcode dans des exécutables Windows légitimes tout en préservant leur fonctionnalité d’origine
  • Cloudflare Worker utilisé comme redirecteur front-end pour masquer le serveur C2 réel

🤖 Rôle de l’IA dans le workflow

Un dépôt Git a été découvert contenant un framework structuré autour de deux composantes principales :

  1. Un panneau de découverte Active Directory automatisé (collecte d’observations, sélection de branches d’actions prédéfinies, dispatch vers des agents distants)
  2. Un laboratoire de test itératif de malwares contre les agents EDR de Sophos, CrowdStrike et Windows Defender

L’acteur utilisait Cursor (IDE natif IA) et des agents Claude Opus 4.5 pour orchestrer le développement. Un agent Claude Opus 4.5 gérait les opérations principales et définissait les règles pour les autres agents. Les autres agents assuraient : test d’outils contre les EDR, durcissement OPSEC, production de documentation, stress testing de proxy, et déploiement de VMs.

Les communications entre agents et le dépôt Git transitaient via Model Context Protocol (MCP).

🖥️ Environnement de test

L’acteur utilisait Ludus pour provisionner des machines virtuelles :

  • Une VM Windows Server 2022 pour tester contre l’agent Sophos
  • Une VM Windows Server 2022 pour tester contre l’agent CrowdStrike
  • Une VM Windows Server 2022 sans EDR (environnement de contrôle)
  • Une VM Ubuntu hébergeant un serveur C2 Sliver

🛠️ Framework de génération de payloads

Un outil Python central générait des payloads (principalement en Rust et Go) encapsulant des charges brutes dans des couches de chiffrement, d’évasion et de techniques d’exécution alternatives. Près de 80 modules testant plus de 70 techniques différentes ont été développés. Les techniques étaient extraites de blogs de recherche (Kaspersky, Palo Alto Networks, Bishop Fox, SpecterOps), mappées aux techniques MITRE ATT&CK, puis reproduites et testées.

De nombreux scripts Python étaient rédigés en russe et partiellement générés par IA.

🔗 Attribution

Sophos CTU a lié cette activité de développement à des opérations connues de déploiement de ransomware et de vol de données. Aucun groupe nommé explicitement.

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Sophos CTU, visant à documenter l’usage émergent de l’IA dans le développement offensif de malwares et l’évasion EDR, avec des indicateurs de protection associés.

🧠 TTPs et IOCs détectés

TTP

  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1055 — Process Injection (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102.002 — Web Service: Bidirectional Communication (Command and Control)
  • T1090.004 — Proxy: Domain Fronting (Command and Control)
  • T1018 — Remote System Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1069 — Permission Groups Discovery (Discovery)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • Chemins : C:\Users\User\Documents\test

Malware / Outils

  • Cobalt Strike (framework)
  • Sliver (framework)
  • Cursor (tool)
  • Claude Opus 4.5 (tool)
  • Ludus (tool)
  • BloodHound (tool)
  • Mimikatz (tool)
  • Metasploit (framework)
  • Impacket (tool)

🟢 Indice de vérification factuelle : 66/100 (haute)

  • ✅ sophos.com — source reconnue (liste interne) (20pts)
  • ✅ 9179 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.sophos.com/en-us/blog/pointing-a-cursor-at-evading-detection