Sophos : labo IA ransomware — 80 modules, 70 bypass EDR

Les faits

Le 2 juin 2026, Sophos a publié un rapport intitulé Pointing a Cursor at Evading Detection, décrivant la découverte d'un laboratoire de développement de ransomware entièrement assisté par intelligence artificielle. L'équipe Sophos X-Ops a détecté l'activité sur le système d'un client dont les alertes EDR avaient été déclenchées par des payloads stockés dans C:\Users\User\Documents\test — révélant un attaquant en phase active de développement au moment de la détection.

L'analyse du référentiel Git récupéré révèle une architecture organisée autour de deux composants principaux : un panneau automatisé de découverte Active Directory (AD) et un laboratoire d'évasion itératif conçu pour tester des payloads contre des agents EDR dans un environnement Windows réel contrôlé. L'ensemble s'appuie sur l'IDE Cursor et sur Claude Opus 4.5 d'Anthropic, utilisés en configuration multi-agents avec des rôles distincts et une coordination centralisée.

L'organisation multi-agents documentée par Sophos est particulièrement révélatrice du niveau de sophistication atteint. Un agent Claude Opus 4.5 jouait le rôle de coordinateur général : il définissait les règles d'engagement pour les agents subordonnés, analysait les résultats des cycles de test et orientait les révisions de code. Des agents spécialisés prenaient en charge respectivement le test des EDR (analyse des détections produites par Sophos, CrowdStrike et Windows Defender), le durcissement OPSEC des payloads, la documentation technique, les tests de charge sur les proxies C2 et le déploiement des machines virtuelles de test.

Le résultat de ce pipeline IA est un toolkit composé d'environ 80 modules de payload, incorporant plus de 70 techniques d'évasion distinctes. L'approche est strictement itérative : chaque payload est compilé, testé contre les trois agents EDR cibles dans un environnement Windows instrumenté, et les détections analysées — quelle règle a déclenché l'alerte, quel comportement a été marqué. Le coordinateur IA révise alors le code pour éliminer précisément les vecteurs de détection identifiés. Le cycle se répète jusqu'à obtention d'un bypass satisfaisant.

L'infrastructure C2 retrouvée comprend des profils Cobalt Strike en mode malléable déguisant le trafic en requêtes HTTP vers des CDN légitimes, un canal C2 acheminé via l'API bot Telegram, et un Cloudflare Worker comme couche d'obscurcissement supplémentaire pour masquer les IPs du backend.

Des composants de shellcode injection permettent d'injecter des charges dans des exécutables Windows légitimes tout en préservant leur fonctionnalité — abusant de la confiance accordée aux processus signés par les solutions de protection. Combinée aux profils Cobalt Strike malléables, cette approche produit un trafic et des comportements de processus difficiles à distinguer d'une activité légitime sans heuristiques comportementales avancées au niveau noyau.

Sophos formule une précision importante : aucune preuve n'a été trouvée que l'IA est embarquée dans le malware déployé ni qu'elle opère de façon autonome chez les victimes. L'IA est utilisée exclusivement comme accélérateur du cycle de développement, de test et de raffinement. C'est capital : l'IA n'est pas le malware, elle est la chaîne de fabrication du malware. Et c'est précisément pour cette raison que les garde-fous des grands modèles, conçus pour bloquer la génération directe de contenu malveillant, n'ont pas suffi à prévenir cette utilisation.

L'identité de l'acteur n'a pas été divulguée par Sophos. La présence d'un panneau AD automatisé et d'un toolkit d'évasion EDR complet indique un acteur en préparation d'une campagne ransomware ciblée sur des environnements Windows d'entreprise. La sophistication OPSEC suggère un acteur expérimenté qui utilise l'IA pour amplifier des capacités existantes, pas comme point d'entrée dans la cybercriminalité.

Impact et exposition

Ce cas marque une évolution qualitative dans le paysage des menaces. Jusqu'ici, développer un malware capable d'éluder les EDR modernes requérait une expertise rare en développement noyau Windows et en reverse engineering. Un pipeline Cursor + Claude Opus correctement orchestré abaisse structurellement cette barrière : un acteur disposant de compétences de développement intermédiaires peut orchestrer un système multi-agents qui génère, teste et optimise des payloads quasi-automatiquement. Le cycle de semaines devient des heures. C'est un changement d'ordre de grandeur.

Cette compression temporelle s'applique aussi à la réponse aux mises à jour défensives : si un éditeur EDR publie une mise à jour de signatures ciblant une technique d'évasion, le délai avant qu'un acteur IA-assisté génère des variantes bypass est désormais mesurable en heures, pas en jours.

Recommandations

• Ne pas reposer la défense sur la seule détection par signature : un pipeline IA génère des centaines de variantes rapidement. Compléter avec la détection comportementale et la protection mémoire noyau.
• Surveiller l'API Telegram depuis les endpoints serveurs : alerter sur les connexions vers api.telegram.org depuis des contextes non-utilisateurs. Marqueur C2 de plus en plus courant.
• Détecter les profils Cobalt Strike malléables : déployer des règles Sigma/YARA ciblant les profils connus qui imitent des CDN. Les empreintes réseau sont documentées dans les publications Sophos X-Ops de juin 2026.
• Auditer les requêtes LDAP massives sur les contrôleurs de domaine : un panneau AD automatisé génère des patterns LDAP anormaux (volumétrie, horaire, comptes sources). Activer l'audit LDAP détaillé et créer des alertes sur les seuils inhabituels.
• Réviser la politique d'usage des outils IA : si des outils comme Cursor ou des API LLM sont autorisés dans le SI, intégrer dans le modèle de risque la possibilité qu'un poste compromis devienne la base d'un lab d'évasion automatisé.