ipopba - stock.adobe.com

Actualites

EDR : l’IA accélère le développement de méthodes de contournement

L’intégration de l’IA dans les cadres de test post-exploitation modifie profondément les tactiques des acteurs malveillants, accélérant le développement d’outils d’évasion EDR.

Valéry Rieß-Marchive
par
Publié le: 04 juin 2026

Les analystes de Sophos X-Ops ont observé un acteur malveillant utilisant des technologies d’intelligence artificielle (IA) dans un environnement post-exploitation de type « red team » pour tester des tactiques d’évasion des solutions de détection des points d’extrémité (EDR).

L’acteur en question utilisait un outil de développement natif de l’IA, Cursor, pour développer des outils visant à contourner les agents EDR. L’environnement de test comprenait plusieurs machines virtuelles (VM), exécutant Windows Server 2022, et dédiées au test des agents Sophos, CrowdStrike, ou servant de contrôle sans agent EDR.

L’orchestration de l’activité était gérée par des agents d’IA, dont l’un d’eux utilisant Claude Opus 4.5, et responsable des opérations principales et de l’établissement des règles pour les autres agents. Ces agents étaient chargés de lire des articles de recherche, d’extraire des techniques, de les mapper aux techniques MITRE ATT&CK, et de préparer l’environnement de test. L’orchestration de l’IA ne représentait pas un modèle de langage large (LLM) raisonnant de manière autonome, mais plutôt une collecte d’observations pour choisir la prochaine branche d’actions prédéfinie.

La complexité des mécanismes d’évasion

L’environnement de test démontrait une sophistication technique élevée, intégrant plusieurs mécanismes d’évasion. Parmi ceux-ci figuraient des profils Cobalt Strike conçus pour faire ressembler le trafic de balise à des requêtes web légitimes. Le mécanisme de commande et contrôle (C2) utilisait une API de bot Telegram, acheminant la communication via l’infrastructure de Telegram plutôt que par des connexions directes. De plus, un Cloudflare Worker servait de répondeur frontal pour cacher le serveur C2 réel en arrière-plan.

L’acteur malveillant s’appuyait sur des outils développés en Python, souvent générés en partie par IA, pour injecter du shellcode dans des exécutables Windows légitimes, tout en préservant leur fonctionnalité originale. Le référentiel Git associé à ce framework contenait des outils et des scripts alignés sur un panneau de découverte automatisée d’Active Directory (AD) et un laboratoire itératif de développement de logiciels malveillants.

Modularité et furtivité des charges utiles

Au cœur du cadre se trouvait un outil Python qui générait des charges utiles (majoritairement écrites en Rust et Go). Ce générateur de charge utile Windows modulaire enveloppait une charge utile brute dans des couches de chiffrement, d’évasion et de techniques d’exécution alternatives. Il produisait des exécutables ou des DLL personnalisés, destinés à résister au sandboxing, aux antivirus et à la détection EDR. Cet outil a permis le développement de près de 80 modules testant plus de 70 techniques d’évasion différentes.

L’acteur malveillant a identifié des techniques de contournement à partir de billets de recherche de diverses organisations, et le playbook d’orchestration de l’IA référençait des recherches issues du blog SpecterOps. Selon les chercheurs de Sophos, l’utilisation de la terminologie « red team » était probablement un moyen de contourner les garde-fous de Claude, bien que le framework ait été construit pour une activité post-exploitation furtive dans des environnements cibles.

Simulation et impact opérationnel

L’intégration de l’IA a abaissé la barrière à l’entrée pour les attaques sophistiquées. L’IA a servi à coordonner les workflows et à soutenir l’expérimentation, accélérant le cycle de création et de test des outils.

Bien que les agents d’IA aient initialement signalé un taux d’échec élevé, les modules développés ont été rapportés comme étant presque universellement efficaces pour contourner les agents EDR après diverses itérations. Les chercheurs de Sophos estiment que cette activité de développement est liée à des opérations connues de déploiement de rançongiciel et de vol de données.

Pour approfondir sur Protection du terminal et EDR