Minaccia AI Cursor IDE e Claude: evasione EDR contro Sophos e CrowdStrike

Sophos X-Ops individua una minaccia che mostra in modo concreto come gli strumenti di sviluppo basati su intelligenza artificiale possano entrare nel ciclo operativo dei threat actor per accelerare la creazione di tool evasivi, payload sperimentali e framework di post-exploitation. L’attività emerge da un endpoint anomalo all’interno di un tenant cliente e porta gli analisti a ricostruire un laboratorio offensivo in cui Cursor IDE, Claude Opus 4.5, macchine virtuali dedicate, Cobalt Strike, Sliver C2, Telegram bot API, Cloudflare Worker, script Python, payload in Rust e Go vengono combinati per testare tecniche di evasione contro Sophos, CrowdStrike e Windows Defender. Il caso non descrive un malware completamente autonomo generato da AI, ma qualcosa di più realistico e pericoloso: un flusso strutturato in cui agenti AI assistono un operatore umano nella ricerca, scrittura, modifica, validazione e documentazione di moduli offensivi. Il framework produce quasi 80 moduli e testa oltre 70 tecniche di evasione, trasformando articoli pubblici, repository esistenti e procedure red team in codice operativo. Sophos Counter Threat Unit collega l’attività a scenari di ransomware e furto di dati, confermando che la retorica del “red team” viene usata come copertura per sviluppare capacità stealth spendibili in ambienti reali.

Sophos X-Ops rileva un endpoint anomalo e ricostruisce il laboratorio offensivo

L’indagine parte da un alert generato su un endpoint cliente, dove vengono rilevati payload sospetti nella directory C:\Users\User\Documents\test. La posizione dei file, apparentemente banale, diventa il punto d’ingresso per una ricostruzione molto più ampia: gli analisti di Sophos X-Ops trovano un framework post-exploitation completo, costruito per sviluppare, testare e raffinare strumenti di evasione contro agenti EDR reali. Il materiale include profili Cobalt Strike progettati per mimare traffico web legittimo, un canale C2 basato su Telegram bot API, script Python capaci di iniettare shellcode in eseguibili Windows mantenendone il funzionamento originale e un Cloudflare Worker utilizzato come redirector front-end per nascondere il server backend. La logica è quella di un’infrastruttura stealth multilivello: il traffico del beacon viene reso meno sospetto, le comunicazioni vengono instradate attraverso servizi leciti, i payload vengono inseriti in binari apparentemente validi e il vero server di comando e controllo viene schermato dietro un layer intermedio. Questo insieme di componenti mostra una progettazione orientata alla resilienza operativa e all’evasione, non a una semplice dimostrazione tecnica. L’endpoint anomalo consente quindi a Sophos di osservare il ciclo di sviluppo offensivo nel momento in cui viene eseguito, raccogliendo elementi sufficienti per mappare strumenti, ruoli, workflow e obiettivi del laboratorio.

Cursor IDE e Claude Opus 4.5 orchestrano lo sviluppo dei tool evasivi

Il fulcro dell’attività è l’uso di Cursor IDE, ambiente di sviluppo nativo per AI, combinato con Claude Opus 4.5 per organizzare la produzione del codice, gestire test e documentare risultati. L’attore non utilizza l’intelligenza artificiale come generatore occasionale di script, ma come infrastruttura di lavoro distribuita. Una macchina virtuale provisionata tramite Ludus ospita il laboratorio e coordina quattro ambienti distinti: una VM dedicata ai test contro Sophos, una contro CrowdStrike, una terza usata come controllo senza EDR e una VM Ubuntu destinata al server Sliver C2. Gli agenti AI ricevono ruoli separati. Un agente principale basato su Claude Opus 4.5 definisce regole e coordina le attività, un agente specializzato esegue prove contro gli EDR, altri agenti gestiscono hardening OPSEC, documentazione, stress test dei proxy e deploy delle macchine virtuali. I commit di codice e i problemi generati dagli agenti vengono instradati verso Git tramite Model Context Protocol, creando un ciclo continuo di produzione, test, correzione e versionamento. Sophos osserva anche un elemento rilevante sul piano della sicurezza dei modelli: l’attore usa la cornice “red team” per aggirare i guardrail di Claude sulle attività malware. In pratica, la terminologia legittima della simulazione offensiva viene sfruttata per accelerare la costruzione di strumenti spendibili in operazioni reali di post-exploitation.

Gli agenti AI trasformano blog tecnici e repository in tecniche operative MITRE ATT&CK

Una parte significativa del framework riguarda la capacità degli agenti AI di leggere ricerche pubbliche, estrarre tecniche di evasione e mapparle automaticamente su MITRE ATT&CK. Sophos osserva che gli agenti consultano articoli pubblicati da Kaspersky, Palo Alto Networks, Bishop Fox e SpecterOps, isolano procedure utili, identificano strumenti necessari, associano le tattiche alle rispettive categorie ATT&CK e preparano l’ambiente di test. Il playbook seguito dall’orchestrazione AI appare metodico: lettura delle fonti, estrazione delle tecniche, mappatura su framework, predisposizione del laboratorio, esecuzione dei test e documentazione dei risultati.

Questo passaggio è cruciale perché mostra come l’intelligenza artificiale possa ridurre drasticamente il tempo necessario per trasformare conoscenza difensiva o red team pubblica in codice offensivo sperimentale. Il sistema non ragiona come un’entità autonoma completamente svincolata dall’operatore, ma segue un flusso strutturato con revisione umana, assegnazione dei task e iterazioni mirate. Il core tecnico del framework è uno script Python capace di generare payload attraverso un loader modulare che avvolge dati grezzi in livelli di crittografia, offuscamento, evasione e tecniche alternative di esecuzione. Il risultato sono eseguibili o DLL personalizzati pensati per resistere a sandbox, antivirus ed EDR, con moduli scritti in parte in russo e generati o raffinati con assistenza AI.

I test contro Sophos, CrowdStrike e Defender mostrano un ciclo iterativo sempre più efficace

Il laboratorio utilizza macchine Windows Server 2022 per testare i payload contro ambienti protetti da Sophos, CrowdStrike e Windows Defender, oltre a una macchina di controllo senza EDR. Gli agenti AI eseguono cicli ripetuti di generazione, esecuzione, analisi dei fallimenti e correzione del codice. I primi report mostrano un alto tasso di insuccesso, ma dopo più iterazioni i moduli diventano sempre più efficaci contro gli strumenti di detection. Sophos nota comunque una discrepanza tra alcuni risultati dichiarati nei report interni del framework e l’effettiva capacità osservata, un elemento che non riduce la gravità del caso ma conferma la necessità di non interpretare i risultati generati dagli agenti AI come verità operative incontestabili.

Il tool principale produce payload in Rust e Go, selezionando la tecnica di evasione tramite riga di comando e applicando strati di crittografia, offuscamento e metodi di esecuzione alternativi. Cursor IDE interviene nella revisione del codice e nella correzione automatica, mentre Ludus semplifica il provisioning delle VM e Model Context Protocol collega le attività degli agenti al flusso di sviluppo. L’intero processo assomiglia a un laboratorio red team automatizzato, ma la presenza di C2, payload stealth, profili Cobalt Strike e tecniche di evasione contro EDR reali colloca l’attività in un territorio molto più vicino alla preparazione offensiva che alla semplice ricerca.

Cobalt Strike, Telegram e Cloudflare Worker rafforzano la catena stealth

Il framework individuato da Sophos combina più componenti già noti nei contesti offensivi moderni. Cobalt Strike viene configurato con profili pensati per far apparire il traffico beacon come traffico web legittimo, riducendo la possibilità che analisi superficiali di rete identifichino rapidamente l’attività sospetta. Telegram bot API viene usata come canale C2 alternativo, sfruttando l’infrastruttura di Telegram per instradare comunicazioni e ridurre l’esposizione del server controllato dall’attore. Un Cloudflare Worker opera come redirector front-end, nascondendo il vero backend di comando e controllo e aggiungendo un ulteriore livello di schermatura. Gli script Python si occupano invece dell’iniezione di shellcode in eseguibili Windows legittimi, preservando le funzionalità originali per rendere meno evidente la manipolazione. Questa combinazione riflette un approccio post-exploitation maturo, dove la sopravvivenza del payload dipende dalla capacità di sembrare normale a più livelli: file system, processo, rete e comportamento. La parte AI accelera la produzione dei moduli, ma il disegno operativo resta chiaramente umano. Gli attaccanti non delegano all’AI la scelta strategica finale, bensì la usano per ridurre tempi, moltiplicare varianti, correggere errori e provare rapidamente tecniche già descritte nel panorama pubblico della ricerca cyber.

Il collegamento a ransomware e furto dati conferma l’intento operativo

Sophos Counter Threat Unit collega l’attività a operazioni note di ransomware e furto di dati, evidenziando come il framework non sia un esercizio isolato di laboratorio. Le capacità sviluppate, infatti, risultano perfettamente coerenti con le fasi successive a un accesso iniziale: evasione degli EDR, persistenza, discovery, movimento laterale, comando e controllo ed esfiltrazione. Il pannello di discovery Active Directory automatizzato raccoglie osservazioni da task completati, sceglie il ramo successivo da un set predefinito di azioni e ridispaccia lavoro agli agenti remoti, facilitando l’esplorazione dell’ambiente target. La combinazione tra payload evasivi, C2 schermato, moduli in Rust e Go, documentazione generata e test contro più soluzioni EDR indica una preparazione orientata alla scalabilità. L’intelligenza artificiale abbassa la barriera tecnica per attori con competenze intermedie, che possono ottenere un framework più sofisticato senza possedere tutte le competenze specialistiche necessarie alla scrittura manuale di ogni componente. Questo non significa che l’AI renda gli attaccanti invincibili, ma che riduce il costo dell’iterazione e aumenta il numero di varianti provabili in tempi brevi. La minaccia quindi non sta in un singolo payload, ma nel ciclo industrializzato di sperimentazione che rende più rapida la ricerca di finestre di opportunità.

La difesa in profondità resta centrale contro l’evasione assistita da AI

Sophos sottolinea che l’uso di AI per sviluppare tool evasivi non cambia le basi della difesa, ma rende ancora più importante applicarle con rigore. Le organizzazioni devono mantenere un approccio di difesa in profondità, basato su patching tempestivo, autenticazione multi-fattore, adozione di passkey, configurazioni robuste, segmentazione, monitoraggio continuo e soluzioni EDR distribuite in modo ampio sugli endpoint. La tabella delle protezioni Sophos include rilevamenti specifici come ATK/ExtC2-A, ATK_BLOODHOUND, AMSI/BloodH-A e vari Troj/MeterMem, capaci di intercettare componenti del framework identificato. Gli amministratori devono monitorare directory anomale come C:\Users\User\Documents\test, attività sospette legate a Telegram, uso non giustificato di Cloudflare Worker come redirector, generazione frequente di payload in linguaggi come Rust e Go, script di iniezione shellcode e strumenti di discovery Active Directory non autorizzati. Il messaggio operativo è netto: l’AI rende più semplice per gli attaccanti trovare lacune, ma visibilità completa, correlazione degli eventi e risposta rapida continuano a fare la differenza. Gli strumenti di sviluppo AI-native devono essere trattati come asset sensibili, soprattutto quando operano su workstation con accesso a repository, credenziali, ambienti cloud e codice aziendale.

Cursor diventa il simbolo della nuova fase AI-assisted dell’offensiva cyber

Il caso di Cursor IDE mostra come gli strumenti AI-native possano essere incorporati direttamente nel toolkit dei threat actor. L’IDE non viene usato soltanto per scrivere codice più velocemente, ma per coordinare agenti, generare commit, documentare test, analizzare fallimenti, raffinire payload e costruire moduli offensivi con cicli iterativi sempre più rapidi. Claude Opus 4.5 agisce come motore di orchestrazione, mentre l’operatore umano mantiene il controllo sulle decisioni critiche, sui test e sugli obiettivi finali. Questo modello ibrido rappresenta la forma più probabile dell’evoluzione offensiva: non malware autonomi che agiscono da soli, ma team umani potenziati da agenti capaci di svolgere compiti ripetitivi, estrarre conoscenza pubblica e tradurla in prototipi funzionanti. Sophos osserva che il framework integra contenuti provenienti da blog tecnici, li mappa su MITRE ATT&CK, li trasforma in moduli e li testa su ambienti controllati contro prodotti reali. Per i difensori, la lezione è chiara: le anomalie legate allo sviluppo, alla generazione massiva di payload, all’uso insolito di IDE AI, alla presenza di VM di test e all’automazione di commit possono diventare segnali precoci di preparazione offensiva. L’AI non sostituisce l’attaccante, ma lo rende più veloce, più organizzato e più capace di provare molte strade fino a trovare quella che funziona.