Un endpoint anomalo che genera alert da una directory di test. È da qui che parte un'indagine destinata a rivelare qualcosa di più preoccupante delle aspettative: un autentico laboratorio offensivo in cui agenti di intelligenza artificiale sviluppano e affinano tecniche di evasione degli strumenti di rilevamento endpoint. Lo ha documentato il team Sophos X-Ops nel report Pointing a Cursor at evading detection.

Tutto è iniziato da un endpoint di un cliente Sophos, che ha generato un allarme per dei file sospetti nella directory C:\Users\User\Documents\test. Un dettaglio all’apparenza secondario, che si è rivelato la classica punta di un iceberg: tra i file individuati nella directory in questione figuravano profili Cobalt Strike configurati per simulare traffico web legittimo, un sistema di comando e controllo basato sulle API dei bot Telegram, che era progettato per instradare le comunicazioni attraverso l'infrastruttura di Telegram. Inoltre, script Python per l'iniezione di shellcode all'interno di eseguibili Windows legittimi e un Cloudflare Worker utilizzato per nascondere il server di backend degli attaccanti.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Approfondendo l'analisi, i ricercatori hanno trovato un repository Git contenente un framework strutturato con un pannello per la ricognizione automatizzata di Active Directory e un laboratorio dedicato allo sviluppo e al testing iterativo di malware contro gli agenti EDR di Sophos, CrowdStrike e Microsoft Defender. Molti degli script Python presenti sull'host erano scritti in russo e risultavano, almeno in parte, generati con strumenti di AI. L’ambiente di test era basato su macchine virtuali create tramite la piattaforma di distribuzione legittima Ludus e includeva una VM con l'agente Sophos installato, una con CrowdStrike, una terza come ambiente di controllo senza EDR, e una quarta basata su Ubuntu che fungeva da server C2 per il framework post-exploitation Sliver. Per lo sviluppo del codice, l'attaccante utilizzava l’ambiente di sviluppo basato su AI Cursor. Il ciclo di lavoro partiva dalla creazione del malware per concludersi con testing, analisi e revisione, in un flusso continuo di iterazioni.

Il diagramma evidenzia il ruolo dell’AI nel workflow di sviluppo del malware

Al centro del framework operava un sistema multi-agente, in cui un agente basato su Claude Opus 4.5 era responsabile delle operazioni core e della definizione delle regole per gli altri agenti. A questi ultimi erano assegnati ruoli specifici: testing dei tool contro gli EDR, consolidamento OPSEC, produzione di documentazione, stress test dei proxy, distribuzione delle macchine virtuali. La comunicazione tra agenti e repository Git avveniva tramite Model Context Protocol, lo standard aperto che consente agli assistenti AI di interagire con strumenti e fonti di dati esterni.

Le fonti da cui il framework attingeva per identificare tecniche di bypass comprendevano blog di ricerca di Kaspersky, Palo Alto Networks e Bishop Fox, oltre a contenuti da X e Telegram. Il playbook di orchestrazione degli agenti faceva riferimento esplicito ai post del blog dell’azienda specializzata in adversary simulation SpecterOps. Agli agenti era assegnato il compito di leggere gli articoli, estrarre le tecniche, mapparle sui framework MITRE ATT&CK, identificare gli step e gli strumenti necessari per riprodurle partendo da un repository esistente, preparare l'ambiente di lab, eseguire la tecnica e produrre un report.

Il nucleo tecnico del framework era uno strumento scritto in Python che generava payload quasi tutti scritti nei linguaggi Rust e Go, per le attività di testing. Parliamo di uno strumento modulare per la generazione di payload Windows, che nasconde il payload in strati di cifratura, evasione e tecniche di esecuzione alternative, al fine di ottenere eseguibili o librerie personalizzati capaci di resistere a sandbox, antivirus e rilevamento EDR. Ciascun payload veniva generato in base alla tecnica di evasione specificata da riga di comando.

Strumenti integrati all’interno del framework di test

Il sistema ha prodotto quasi 80 moduli distinti che coprivano oltre 70 tecniche differenti. I report iniziali generati dagli agenti indicavano un alto tasso di fallimento. Tuttavia, dopo varie iterazioni i report hanno documentato un successo quasi universale nel bypass degli EDR, benché gli output presentati dai ricercatori di Sophos non supportino necessariamente questa conclusione. Probabilmente una parte dei report era frutto di allucinazioni dei modelli linguistici.

Detto questo, dev’essere chiaro che l'AI ha avuto “solo” un ruolo di acceleratore. L'intelligenza artificiale era impiegata principalmente per automatizzare attività operative e comprimere i tempi di sperimentazione, ma il ciclo di sviluppo e perfezionamento delle tecniche di bypass continuava a dipendere da revisione e iterazione umana. I ricercatori hanno anche rilevato che l'attaccante ha probabilmente presentato l'attività come legittima simulazione offensiva per aggirare i guardrail di Claude. In realtà il framework era costruito per operazioni di post-exploitation stealth in ambienti reali, e Sophos CTU ha collegato questa attività a campagne note di deployment di ransomware e furto di dati.