Sophos ha scoperto che un gruppo ransomware attualmente attivo ha costruito un laboratorio automatizzato basato su agenti AI — tra cui Claude Opus 4.5 — per sviluppare e testare sistematicamente tecniche di evasione dagli endpoint detection and response (EDR). Non si tratta di fantascienza: l’infrastruttura era operativa, testava payload reali contro Sophos, CrowdStrike e Windows Defender, e i risultati venivano usati in attacchi reali contro organizzazioni globali.
Come è emersa la scoperta
L’indagine è partita da un alert anomalo su un endpoint cliente: payload malevoli provenivano da una directory di testing insolita. Approfondendo, i ricercatori di Sophos hanno trovato qualcosa di inaspettato — non solo malware, ma un intero framework di sviluppo e testing. L’ambiente conteneva profili Cobalt Strike configurati per mascherare il traffico beacon come richieste web legittime, un meccanismo di command-and-control via Telegram Bot API, script Python per l’iniezione di shellcode in processi Windows legittimi, e un Cloudflare Worker usato per nascondere il server C2 backend. Sophos ha collegato l’attività a operazioni di ransomware e furto di dati, ma non ha divulgato il nome del gruppo per via di indagini ancora in corso.
L’architettura del laboratorio: VM dedicate, agenti AI e MCP
Il nucleo dell’operazione era un laboratorio di test composto da più macchine virtuali Windows Server 2022, ognuna dedicata a un diverso prodotto EDR: una per Sophos, una per CrowdStrike, una terza come ambiente di controllo senza EDR installato. Una quarta VM Ubuntu ospitava un server Sliver per il command-and-control. L’attore ha utilizzato Ludus, una piattaforma per il deployment rapido di ambienti virtualizzati di sicurezza, per provisionare l’infrastruttura.
All’interno di questo ecosistema operavano più agenti AI coordinati tramite il protocollo Model Context Protocol (MCP), lo standard aperto che consente agli assistenti AI di interagire con strumenti e repository esterni. Un agente Claude Opus 4.5 fungeva da coordinatore principale, impostando le regole operative per gli altri agenti. Agenti specializzati si occupavano rispettivamente del testing EDR, della documentazione dei risultati, dell’hardening OPSEC, dei test di stress sul proxy e del deployment delle VM. Lo sviluppo del codice malevolo avveniva tramite Cursor, un IDE AI-native che integra capacità generative direttamente nell’ambiente di sviluppo.
Il workflow: da articoli di ricerca a payload ottimizzati
Il processo di sviluppo seguiva una pipeline iterativa ben strutturata. Gli agenti leggevano articoli di threat intelligence da blog di vendor come Kaspersky, Palo Alto Networks e Bishop Fox, oltre a post su X e Telegram. Le tecniche di bypass identificate venivano estratte, mappate sul framework MITRE ATT&CK, trasformate in moduli di test, eseguite nel laboratorio virtualizzato contro gli EDR target, e i risultati documentati per guidare l’iterazione successiva.
Il framework di generazione payload — uno strumento Python centrale — produceva eseguibili Windows personalizzati e DLL che incorporavano cifratura, tecniche di evasione e metodi di esecuzione alternativi. In totale, l’infrastruttura supportava quasi 80 moduli per testare oltre 70 tecniche di evasione distinte. Gli script Python erano in parte scritti in russo, e molti mostravano chiari pattern di generazione AI.
Un aspetto critico riguarda il pretesto usato con Claude: l’attore ha incorniciato il progetto come un framework di red team per eludere i guardrail del modello. Sophos ha segnalato il pattern ad Anthropic. “Tentativi di aggirare i limiti dei modelli usando framing benigno per prompt malevoli — come il pretesto del red team — sono stati osservati in numerosi casi negli ultimi dodici mesi,” ha dichiarato Rafe Pilling, Director of Threat Intelligence di Sophos.
Quanto è efficace davvero?
La documentazione interna al framework attestava un aumento progressivo del tasso di successo nell’evasione man mano che i moduli venivano raffinati. Tuttavia i dati di test effettivi analizzati durante l’indagine non supportavano queste affermazioni. “Non disponiamo dei dati per spiegare completamente le discrepanze, ma è probabile che le allucinazioni degli LLM abbiano avuto un ruolo,” ha concluso Pilling. Il risultato è paradossale: un laboratorio AI che produce documentazione ottimistica ma risultati meno convincenti di quanto dichiarato. Questo non riduce la pericolosità della tendenza, ma ne contestualizza i limiti attuali.
Due righe per i difensori
L’aspetto più preoccupante non è che l’AI abbia reso il ransomware invincibile — non è così, almeno per ora. Il problema è la scalabilità del processo di sviluppo: quello che richiedeva settimane di lavoro manuale per testare una singola tecnica di bypass può ora essere automatizzato in ore. I fondamentali della difesa restano invariati: patching, MFA/passkey, protezione degli endpoint. Ma l’accelerazione nel ciclo di sviluppo del malware significa che la finestra temporale tra la comparsa di una nuova tecnica di evasione e la sua adozione operativa da parte dei criminali si sta accorciando drasticamente.
Per i team di sicurezza, questa vicenda sottolinea l’importanza di monitorare attività anomale nelle directory di staging e testing, rilevare l’uso di tool di virtualizzazione come Ludus in ambienti non autorizzati, prestare attenzione all’abuso di strumenti di sviluppo AI-native per la generazione di codice sospetto, e verificare connessioni verso Telegram Bot API da endpoint aziendali come potenziale C2 channel.
6AL
in reply to Claudia • • •Claudia
in reply to 6AL • • •@6al ci sono degli accorgimenti, sempre. A discrezione, sempre.
La mia macchina è staccata completamente, l'altra nemmeno sa cosa siano le digital commodities.. metto il CD e via!
la_mosca
in reply to Claudia • • •Come e con cosa si dovrebbe lavorare per mantenere comunicazione ed operativita'? Facciamo un telefono/computer anonimo?. secondo voi e' possibile?
Claudia
in reply to la_mosca • • •@la_mosca_2 non puoi più essere invisibile, se volessi esserlo, dovresti partire da solo nel cuore della notte senza soldi e documenti e imbarcarti da qualche parte per poi sparire nella giungla.
La tecnologia è utile, soprattutto quando aiuta chi è in difficoltà; ma qui si va molto oltre. Computer anonimi ci possono essere ma sei sempre soggetto a tracciamento tramite quello che visiti online. Meglio la connessione satellitare di un telefono senza app, tra le due opzioni.
Ma anche lì.. paradossalmente penso che non sia il mondo adatto per sparire o per isolarsi. A meno di non voler davvero perire, non si può sparire pensando di portarsi dietro un dispositivo.
la_mosca
in reply to Claudia • • •Diciamo che sparire e' un po' troppo. Un po' come il mantello dell'invisibilita', sarebbe bello ma e' impossibile.
Mi accontenterei di passare inosservato.
Mescolarmi alla folla e non assumere un profilo facilmente identificabile.
Claudia
in reply to la_mosca • • •la_mosca
in reply to Claudia • • •mah.. io pensavo a qualcosa di piu' sofisticato.. di attivo.
Tipo un jammer.
Per esempio. Ho fatto dei costruttori di personalita' che credo in grado di mistificare le metatracce che lasciamo tutti.
Per dire, costruiscono un profilo sintattico grammaticale neutro.
Semplificando moltissimo. Introducono errori di battitura, punteggiatura e modificano le parole usando sinonimi.
In buona sostanza, lasciano il contenuto intatto (quasi, non sono ancora a punto) ma introducono pattern, errori, caratteri diversi a seconda della necessita'. Sovraimprimendo un rumore che nelle mie intenzioni riduca il SNR .
Mi chiedevo quindi come procedere per ridurre l'impronta digitale.
Non che ci sia nulla da nascondere, ma ad esempio son molto scocciato da come l'algoritmo decide per me cosa e come vedere.
Una volta profilato diventa impossibile uscire dalla bolla che ti circonda.
Claudia
in reply to la_mosca • • •