Um grupo de cibercriminosos está a utilizar um conjunto de ferramentas de ataque construído com o apoio de inteligência artificial para automatizar a descoberta de falhas no Active Directory e escapar a soluções de segurança em computadores. A informação foi detalhada num relatório da Sophos, que revela como o desenvolvimento de malware está a ser acelerado por estas tecnologias.
Os investigadores detetaram a atividade inicial no ambiente de um cliente, onde ficheiros maliciosos geraram alertas no sistema. A análise mostrou que as ferramentas operavam como uma estrutura avançada para evitar a deteção, utilizando perfis do Cobalt Strike para disfarçar o tráfego e um bot do Telegram para camuflar as comunicações com os servidores dos piratas informáticos.
Desenvolvimento acelerado por agentes de inteligência artificial
Todo o processo de desenvolvimento e criação de código contou com a assistência de plataformas como o Cursor e o Claude. Vários agentes foram encarregues de analisar publicações de investigação de segurança de empresas conhecidas para extrair técnicas de evasão. Um agente baseado na versão Opus 4.5 atuava como coordenador, enquanto outros preparavam ambientes virtuais para testes práticos.
O objetivo principal foi criar módulos capazes de ultrapassar as defesas de soluções de segurança de topo, incluindo ferramentas da Sophos, CrowdStrike e Microsoft. Através de scripts em Python escritos em russo, a ferramenta gerava executáveis que embrulhavam o código malicioso em camadas de encriptação e técnicas alternativas de execução. Foram testados cerca de oitenta módulos contra mais de setenta técnicas diferentes.
Operação conduzida por humanos apesar do apoio tecnológico
Apesar da forte presença da tecnologia na criação e afinação do código, a execução do ataque permanece sob controlo inteiramente humano. A empresa de segurança não encontrou evidências de que a inteligência artificial estivesse embutida no próprio malware ou a operar de forma autónoma nas redes das vítimas.
A ligação a operações de ransomware foi confirmada quando os investigadores encontraram notas de resgate e detalhes sobre múltiplas organizações nos registos dos operadores. A descoberta demonstra que o uso destas ferramentas está a encurtar significativamente o tempo necessário para que as táticas de pesquisa ofensiva sejam transformadas em ameaças reais.
Nenhum comentário
Seja o primeiro!