Cursor apunta a la evasión de la detección

Los analistas de Sophos X-Ops observaron a un actor malicioso utilizando tecnologías de inteligencia artificial (IA) para probar tácticas de evasión de la detección y respuesta en endpoints (EDR) en un marco de «equipo rojo» posterior a la explotación. Detectamos la actividad cuando un endpoint anómalo registrado en el entorno de un cliente activó alertas por cargas útiles procedentes de C:\Users\User\Documents\test. Varios archivos de este directorio eran maliciosos y apuntaban a un marco de ataque más amplio centrado en eludir la detección:

• Perfiles de Cobalt Strike diseñados para que el tráfico de balizas se pareciera a solicitudes web legítimas.
• Un mecanismo de comando y control (C2) externo basado en la API de un bot de Telegram que enrutaba la comunicación a través de la infraestructura de Telegram en lugar de usar conexiones directas.
• Scripts de desarrollo de malware basados en Python para inyectar código shell en ejecutables legítimos de Windows conservando la funcionalidad original.
• Un Cloudflare Worker que actuaba como redireccionador front-end para ocultar el servidor C2 back-end real.

Herramientas generadas por IA

Varios scripts de Python en el dispositivo, muchos de los cuales estaban escritos en ruso, fueron, en parte, generados por IA. Una investigación más profunda reveló un repositorio de Git que contiene un marco de herramientas y scripts que se alinean con dos componentes: un panel de descubrimiento automatizado de Active Directory (AD) y un laboratorio que utiliza un enfoque iterativo para desarrollar y probar malware contra los agentes de detección y respuesta en endpoints (EDR) de Sophos, CrowdStrike y Windows Defender. La actividad del panel de AD se asemeja mucho a una funcionalidad automatizada impulsada por IA, pero no representa un modelo de lenguaje grande (LLM) con razonamiento autónomo. En su lugar, el sistema recopila observaciones de tareas completadas, elige la siguiente rama de un conjunto predefinido de acciones, envía trabajo a agentes remotos y reevalúa cuando obtiene los resultados.

El análisis reveló que la IA para el desarrollo de malware era más limitada y se usaba principalmente para coordinar flujos de trabajo y apoyar la experimentación. La ruta real para eludir el EDR consistía en un ciclo de pruebas de ingeniería estructurado que incluía revisión humana e iteración.

El atacante utilizaba un sistema de máquinas virtuales aprovisionado desde Ludus en su dispositivo. Utilizó un entorno de desarrollo integrado (IDE) nativo de IA llamado Cursor para ayudar a desarrollar herramientas para eludir los agentes EDR. El proceso de desarrollo implicaba la creación, prueba, análisis y perfeccionamiento del malware (véase la Figura 1).

Figura 1: diagrama que muestra el papel de la IA en el flujo de trabajo de desarrollo de malware

En el entorno de pruebas identificado, establecido aparentemente como un marco de equipo rojo, el atacante configuró varias máquinas virtuales (VM) que ejecutaban Windows Server 2022. Una VM probaba herramientas para eludir el agente de Sophos, otra era para el agente de CrowdStrike y una tercera era un entorno de control sin ningún agente EDR instalado. Una cuarta VM, que ejecutaba una versión de Ubuntu, era un servidor C2 del marco de post-explotación Sliver.

El atacante configuró los parámetros para que varios agentes de IA operaran dentro del marco, describiendo sus roles y funciones. Un agente que utilizaba Claude Opus 4.5 se encargaba de las operaciones principales y de establecer las reglas para los demás agentes. Otro agente probó herramientas contra los agentes EDR. Los agentes restantes proporcionaban funciones de apoyo, como el refuerzo de la seguridad operativa (OPSEC), la elaboración de documentación, las pruebas de estrés de proxies y el despliegue de máquinas virtuales. Los agentes comunicaban los problemas de código y las confirmaciones a Git a través del Model Context Protocol (MCP), un estándar abierto que permite a los asistentes de IA conectarse con herramientas y fuentes de datos externas.

Actividad orquestada por IA

Los artefactos del repositorio de Git sugieren que el actor malicioso identificó posibles técnicas de elusión a partir de blogs de investigación publicados por organizaciones como Kaspersky, Palo Alto Networks y Bishop Fox. El equipo también obtuvo información de X y Telegram, aunque no está claro si estas fuentes influyeron en el desarrollo de las herramientas. El manual de orquestación de agentes de IA para crear el marco de pruebas hacía referencia a investigaciones extraídas del blog de SpecterOps. SpecterOps ofrece servicios de simulación de adversarios, como el red teaming. Según el manual, el playbook indicaba a los agentes de IA que leyeran los artículos, extrajeran técnicas, las asignaran a las técnicas de MITRE ATT&CK, identificaran los pasos y herramientas necesarios para reproducir las técnicas basándose en un repositorio existente, prepararan el entorno de pruebas de laboratorio, ejecutaran la técnica e informaran de los resultados (véase la Figura 2).

Figura 2: instrucciones de ingestión de artículos y asignación de técnicas para agentes de IA

En el núcleo del marco hay una herramienta escrita en Python que genera cargas útiles (la mayoría de las cuales se escribieron en Rust y Go) para las pruebas. Este generador modular de cargadores de carga útil para Windows envuelve una carga útil sin procesar en capas de cifrado, evasión y técnicas de ejecución alternativas, produciendo ejecutables o DLL personalizados destinados a resistir el sandboxing, los antivirus y la detección EDR. El usuario genera cada carga útil basándose en la técnica de evasión especificada en la línea de comandos. Desarrollaron casi 80 módulos diferentes que probaron más de 70 técnicas distintas con esta herramienta. Los resultados iniciales que comunicaron los agentes sugerían una alta tasa de fracaso, pero, tras varias iteraciones, informaron que estos módulos lograron eludir a los agentes EDR casi sin excepción. Sin embargo, los resultados documentados del marco de pruebas no respaldan necesariamente esta conclusión. El motivo de esta discrepancia no está claro. La figura 3 enumera las herramientas y los módulos que integraron en la plataforma de pruebas.

Figura 3: herramientas integradas en el marco de pruebas

Al igual que en los entornos de desarrollo legítimos, el atacante utilizó los agentes Cursor y Claude Opus para ayudar en la creación de software, las pruebas, la evaluación del rendimiento y la revisión. Aunque el atacante aparentemente utilizó estas herramientas para crear un marco de equipo rojo, es probable que empleara esta terminología para eludir las medidas de seguridad de Claude en torno al desarrollo de malware. En realidad, el atacante creó el marco para llevar a cabo actividades de post-explotación de forma sigilosa en los entornos objetivo. Los investigadores de Sophos Counter Threat Unit™ (CTU) han relacionado esta actividad de desarrollo con operaciones conocidas de despliegue de ransomware y robo de datos.

Recomendaciones y protecciones

El uso de agentes de IA para acelerar el desarrollo de herramientas y las técnicas de evasión de pruebas reduce la barrera de entrada para los sofisticados ataques de tipo «equipo rojo». Sin embargo, este cambio no altera la forma en que los defensores deben protegerse. Los investigadores de CTU™ recomiendan que las organizaciones sigan manteniendo protecciones sólidas de defensa en profundidad, ya que los actores maliciosos aprovecharán cualquier brecha en el marco de control. La IA hace que sea más fácil y rápido identificar estas brechas. Los aspectos fundamentales siguen siendo críticos, incluyendo la aplicación oportuna de parches, la autenticación multifactorial (MFA), los mecanismos de autenticación modernos como las claves de acceso y el despliegue generalizado de una solución EDR eficaz.

La Tabla 1 enumera las protecciones de Sophos relacionadas con esta amenaza.

Tabla 1: protecciones de Sophos contra esta amenaza

Agradecimientos

Gracias a Colin Cowie y Jordan Olness por su análisis y sus conocimientos sobre esta actividad, y a SophosLabs por sus contribuciones.