Sophosの調査により、ある脅威アクターがAI技術を活用して、エンドポイント検出・応答(EDR)回避技術の開発と改善を目的としたマルウェアテストフレームワークを構築していたことが明らかになりました。
調査の発端は、顧客環境内の異常なエンドポイントが、テストディレクトリから発生した悪意あるペイロードに関連するアラートを発したことでした。発見されたファイルは、検出回避に特化したより広範なフレームワークの存在を示していました。
その環境には、ビーコントラフィックを正規のWebリクエストに偽装するCobalt Strikeプロファイル、Telegramを利用したコマンド&コントロール(C2)機構、シェルコードインジェクションツール、そしてバックエンドインフラを隠蔽するためのCloudflare Workerが含まれていました。
Sophosはこの活動をランサムウェアの展開およびデータ窃取作戦と関連づけましたが、関与したグループの特定には至っていません。
「現在この脅威アクターに関する調査が進行中であるため、ランサムウェアグループの名称は現時点では開示しません。ただし、現在も活動中であり、米国を含む世界各地の組織に影響を与えているグループです」と、SophosのThreat Intelligence担当ディレクターであるRafe Pilling氏はHelp Net Securityに語りました。
AIが生成したスクリプトと自動化された探索
研究者たちは、ロシア語で記述されたものを多く含む複数のPythonスクリプトを発見しました。これらはAIによって部分的に生成されたとみられます。また、Sophos、CrowdStrike、Microsoft Defenderの防御機能に対してペイロードを評価するマルウェアテストラボや、Active Directoryの自動探索パネルを含むGitリポジトリも確認されました。
Active Directory探索コンポーネントは、完了済みタスクから情報を収集し、事前定義されたワークフローから後続アクションを選択してリモートエージェントへタスクを送信し、返ってきた結果を再評価する仕組みになっていました。この挙動はAI駆動型の自動化に類似していますが、自律的に推論するLLMではありませんでした。
「Gitリポジトリ内のアーティファクトから、脅威アクターがKaspersky、Palo Alto Networks、Bishop Foxなどの組織が公開した調査ブログから潜在的なバイパス技術を特定していたことが示唆されます」とSophosの研究者たちは報告書に記しています。
「XおよびTelegramからも情報が収集されていましたが、これらのソースがツール開発に影響を与えたかどうかは不明です。」
専用テストラボの全容
このラボは、異なるEDR製品に対してペイロードをテストするための複数のWindows Server 2022仮想マシンで構成されていました。1台はSophos専用、もう1台はCrowdStrike専用として使用され、3台目はEDRソフトウェアを導入しない対照環境として機能していました。4台目のUbuntu仮想マシンにはSliverのC2サーバーが稼働していました。
フレームワーク内では複数のAIエージェントが稼働していました。Claude Opus 4.5エージェントが活動全体を統括して他のエージェントへのルール設定を担い、その他のエージェントはEDRテスト、ドキュメント作成、OPSEC強化、プロキシのストレステスト、仮想マシンのデプロイを担当していました。
AIエージェントには、セキュリティリサーチの読み込み、攻撃技術の抽出、MITRE ATT&CKフレームワークへのマッピング、テスト環境の準備、実験の実行、そして結果の報告が課されていました。
調査結果は、脅威アクターがClaudeとのやり取りにおいて、このプロジェクトをレッドチームフレームワークとして提示していたことを示唆しています。このような偽装がセーフガード回避の試みにどう使われているかを問われたSophosは、最近の攻撃で観察されているより広範なパターンを指摘しました。
「レッドチームの口実など、悪意あるプロンプトを無害に見せかけてモデルのセーフガードを回避しようとする試みは、過去1年間で多数確認されており、最近報告されたメキシコの政府機関を標的とした攻撃にも見られます。私たちの観察についてAnthropicとは連絡を取り合っています」とPilling氏は述べています。
脅威アクターは、仮想化されたセキュリティテスト環境を迅速にデプロイ・管理するプラットフォームであるLudusを使って仮想テスト環境を構築し、マルウェア開発プロセスにはAIネイティブの統合開発環境であるCursorを利用していました。
マルウェア開発ワークフローにおけるAIの役割を示す図(出典:Sophos)
このフレームワークは、AIアシスタントが外部ツールやデータソースと連携するためのオープン標準であるModel Context Protocol(MCP)を利用して、エージェントをGitリポジトリに接続していました。
フレームワークの中核には、Pythonベースのペイロード生成ツールがあり、カスタムのWindows実行ファイルやDLL(プログラムが読み込んで実行できるWindowsライブラリファイルの一種)を生成していました。ペイロードには暗号化、回避、代替実行技術が組み込まれており、テストに活用されていました。
Sophosによると、このツールは約80のモジュールをサポートし、70以上の回避技術のテストに使用されていたとのことです。
報告された成功率への疑問
フレームワーク内で生成されたドキュメントには、回避モジュールが繰り返しのテストと改善を経て成功率が向上したことが記録されていました。しかし、調査中に確認できたテストデータは、これらの主張を裏付けるものではありませんでした。
「差異を完全に説明するためのデータは持ち合わせていませんが、ハルシネーションなど大規模言語モデルに共通する問題が、観察された相違に関与していた可能性が高いです」とPilling氏は結論づけています。
AIエージェントが使用されているにもかかわらず、Sophosはパッチ適用、MFA、パスキー、エンドポイント保護といった防御の基本は変わらないと述べています。
翻訳元: https://www.helpnetsecurity.com/2026/06/02/ai-agents-edr-evasion-techniques/
