Pesquisadores descobrem kit IA
Pesquisadores da Sophos descobriram um kit de ataque ransomware construído com ferramentas de IA — o Cursor IDE e o Claude Opus — que automatiza a descoberta do Active Directory e evita detecção por soluções EDR. O framework foi usado em operações criminosas reais, com cerca de 80 módulos testados contra mais de 70 técnicas ofensivas mapeadas no MITRE ATT&CK.
A descoberta, publicada em 2 de junho de 2026, mostra que atores de ameaça estão usando agentes de IA com papéis especializados: teste, hardening de OPSEC, documentação, teste de proxy e implantação de máquinas virtuais. A IA coordena o processo de pesquisa e desenvolvimento, mas o fluxo de ataque permanece sob controle humano. É mais um sinal de que o cenário de ransomware em 2026 continua se sofisticando.
Como o toolkit funciona
O framework, encontrado em um host comprometido, inclui um gerador modular de payloads para Windows que envolve o payload em camadas de criptografia e técnicas de execução alternativa. Os payloads são gerados principalmente em Rust e Go, produzindo executáveis e DLLs projetados para resistir a sandboxes, antivírus e EDR.
Os agentes de IA extraíram técnicas de bypass de pesquisas publicadas pela Kaspersky, Palo Alto Networks, Bishop Fox e SpecterOps, além de posts em redes sociais. Essas técnicas foram mapeadas para o MITRE ATT&CK, reproduzidas em laboratórios de teste, executadas e reportadas automaticamente.
| Componente | Função |
|---|---|
| Perfis Cobalt Strike | Disfarçam tráfego do beacon como requisições web legítimas |
| Telegram Bot API C2 | Rotear comando e controle pela infraestrutura do Telegram |
| Shellcode injectors (Python) | Injeta shellcode em executáveis Windows legítimos |
| Cloudflare Worker redirector | Oculta o servidor C2 real |
| Painel de descoberta do AD | Coleta dados, seleciona ações e delega a agentes remotos |
| Gerador de payloads | Cria payloads em Rust e Go com camadas de evasão |
Testes contra EDR comerciais
O toolkit foi testado contra soluções EDR da Sophos, CrowdStrike e Microsoft Windows Defender. Inicialmente, a taxa de falha era alta, mas após múltiplas iterações os módulos conseguiram burlar quase todas as soluções testadas. A Sophos observou discrepâncias entre os resultados dos testes e os relatórios internos do framework.
Embora o uso de IA não esteja embutido no malware implantado — a IA atua apenas na fase de desenvolvimento — a velocidade de iteração é o fator crítico. A IA encurta o tempo entre a publicação de uma pesquisa ofensiva e sua implementação por cibercriminosos, seguindo a tendência de grupos de ameaça que adotam IA para ataques cibernéticos.
Investigações confirmaram que o framework foi usado em operações de ransomware reais. Logs do operador do Cobalt Strike continham referências a notas de resgate e múltiplas organizações listadas em sites de vazios de dados ransomware.
Como se defender
Equipes de segurança devem monitorar a presença de ferramentas QEMU não autorizadas em endpoints, scheduled tasks executando sob a conta SYSTEM e port forwarding incomum para a porta 22. É fundamental implementar detecção comportamental que identifique cadeias de execução suspeitas — como PowerShell com bypass de política seguido de injeção de shellcode.
Recomenda-se também revisar indicações de comprometimento publicadas pela Sophos, incluindo hashes de artefatos do AdaptixC2 e imagens de disco QEMU. A atualização de soluções EDR para versões que detectam técnicas de evasão baseadas em criptografia em camadas é essencial.