Seorang aktor ancaman menggunakan toolkit serangan ransomware yang dibangun dengan kecerdasan buatan (AI) untuk mengotomatiskan penemuan Active Directory dan membantu menghindari solusi endpoint detection and response (EDR). Toolkit ini dikembangkan dengan bantuan agen Cursor dan Claude Opus dalam berbagai tahap, termasuk pengkodean awal, analisis, dan revisi.
Baca Juga: Polisi Eropa Bongkar 9 Kelompok Kriminal dalam Operasi Pembajakan Streaming
Beberapa agen bahkan ditugaskan untuk memeriksa posting penelitian keamanan guna mencari berbagai teknik bypass.
Dilansir dari BleepingComputer, para peneliti keamanan dari Sophos mendeteksi aktivitas toolkit ini di lingkungan pelanggan mereka. File berbahaya yang ditemukan menunjukkan bahwa toolkit tersebut merupakan bagian dari kerangka kerja serangan yang berfokus pada penghindaran deteksi. Beberapa komponen yang teridentifikasi antara lain profil Cobalt Strike yang dirancang agar lalu lintas beacon menyerupai permintaan web sah, mekanisme command and control berbasis API Telegram bot, skrip pengembangan malware berbasis Python untuk menyuntikkan shellcode ke dalam executable Windows, serta Cloudflare Worker yang berfungsi sebagai pengarah front-end untuk menyembunyikan server C2.
Baca Juga: Eksploit ‘HTTP/2 Bomb’ Bisa Jatuhkan Server Web dalam Hitungan Detik
Meskipun awalnya diduga sebagai alat red team yang sah, penyelidikan lebih lanjut mengungkapkan bahwa kerangka kerja ini digunakan untuk aktivitas kriminal terkait ransomware. “Penilaian awal kami mencakup kemungkinan bahwa Red Team yang sah terlibat, tetapi penyelidikan kami mengungkapkan artefak lebih lanjut yang mengindikasikan aktivitas jahat dan kriminal,” ungkap Sophos kepada BleepingComputer. Temuan dalam log operator Cobalt Strike yang mengarah ke catatan tebusan dan detail organisasi di situs kebocoran data ransomware memperjelas bahwa kerangka kerja ini digunakan untuk operasi kejahatan siber.
Dalam laporan yang diterbitkan Sophos, disebutkan bahwa beberapa skrip Python di host yang dikompromikan ditulis dalam bahasa Rusia dan dihasilkan dengan bantuan alat AI. Para peneliti menemukan repositori Git dengan komponen terkait panel penemuan Active Directory otomatis dan lab yang menggunakan pendekatan iteratif untuk mengembangkan dan menguji malware terhadap agen EDR dari Sophos, CrowdStrike, dan Windows Defender.
Kerangka kerja ini memiliki beberapa agen AI dengan peran berbeda, misalnya agen Claude Opus 4.5 bertindak sebagai koordinator proses R&D, sementara agen lain menangani pengujian, penguatan OPSEC, dokumentasi, pengujian beban proxy, penerapan VM, dan tugas terkait lainnya.
Komponen utama dalam kerangka kerja berbahaya ini adalah alat Python yang menghasilkan muatan (payload), sebagian besar dalam bahasa Rust dan Go, berdasarkan teknik penghindaran. Hampir 80 modul dihasilkan dan diuji terhadap lebih dari 70 teknik. “Generator pemuat muatan Windows modular ini membungkus muatan mentah dalam lapisan enkripsi, penghindaran, dan teknik eksekusi alternatif, menghasilkan executable atau DLL yang dirancang khusus untuk menahan sandboxing, antivirus, dan deteksi EDR,” kata Sophos. Meskipun agen awalnya menunjukkan tingkat kegagalan yang tinggi, modul-modul tersebut tampaknya berhasil melewati hampir semua solusi EDR setelah beberapa iterasi.
Sophos tidak menemukan bukti bahwa AI tertanam dalam malware yang digunakan atau beroperasi secara independen di lingkungan korban. Sebaliknya, teknologi tersebut digunakan untuk mempercepat proses iteratif pengembangan, pengujian, dan penyempurnaan muatan terhadap produk keamanan.
Baca Juga: CISA Masukkan Celah Keamanan Android dan Linux ke Daftar Kerentanan yang Dieksploitasi
Alat AI memperpendek periode antara publikasi penelitian keamanan ofensif dan implementasi praktisnya oleh aktor ancaman.
Leave a Comment