Исследователи Sophos обнаружили у атакующих AI-ransomware toolkit, в котором сгенерировали и прогнали через тесты почти 80 модулей против более чем 70 техник обхода защиты. Для русскоязычных ИБ-команд и IT-руководителей это неприятный, но важный сигнал: цикл между публикацией offensive-исследований и их превращением в рабочий инструментарий для вымогателей заметно сжался.
Речь не о «полностью автономном ИИ-хакере», а о вполне приземлённой схеме, где люди управляют процессом, а AI-агенты ускоряют рутину. По данным BleepingComputer, злоумышленник использовал набор инструментов, который автоматизирует разведку в Active Directory и помогает маскировать вредоносную активность от систем endpoint detection and response. В цепочке разработки, анализа и доработки участвовали Cursor и агенты Claude Opus, а часть агентов отдельно изучала публикации исследователей безопасности в поисках техник обхода.
В Sophos заметили активность этого набора в инфраструктуре клиента после срабатывания алертов на полезные нагрузки, лежавшие в каталоге C:UsersUserDocumentstest. Артефакты выглядели так, будто перед защитниками типичный постэксплуатационный стек «под red team»: профили Cobalt Strike, заставлявшие beacon-трафик походить на обычные веб-запросы; внешний C2 через Telegram Bot API, чтобы не светить прямые соединения; Python-скрипты для внедрения shellcode в легитимные Windows-исполняемые файлы с сохранением исходной функциональности; а также Cloudflare Worker, игравший роль фронтового редиректора и скрывавший реальный backend-командный сервер.
Именно на этом месте история становится показательной. Сначала исследователи допускали, что имеют дело с легитимной red team-активностью. Но затем в логах операторов Cobalt Strike нашли записи, указывавшие на ransom note, а также детали по нескольким организациям, фигурировавшим на сайте утечек данных ransomware-группы. После этого версия о «просто тестировании защиты» отпала. То есть AI-ransomware toolkit оказался не лабораторной игрушкой и не экспериментом ради статьи, а частью криминальной операции.
Как был устроен набор
В опубликованном 2 июня 2026 года отчёте Sophos говорится, что на скомпрометированном хосте нашли несколько Python-скриптов на русском языке, созданных с помощью AI-инструментов. Отдельно исследователи обнаружили Git-репозиторий с компонентами для автоматизированной панели разведки Active Directory и лаборатории, где вредоносное ПО итеративно разрабатывали и гоняли против EDR-агентов Sophos, CrowdStrike и Microsoft Defender.
Логика AD-разведки была построена как цепочка наблюдений и следующих действий. Система собирала результаты завершённых задач, выбирала следующий шаг из заранее заданных вариантов, передавала его удалённым агентам, а потом заново оценивала итог. Это уже не один «умный скрипт», а небольшой конвейер с разделением ролей. По словам Sophos, один агент на базе Claude Opus 4.5 координировал R&D-процесс, а остальные занимались тестированием, OPSEC-доработкой, документацией, стресс-тестами прокси, развёртыванием виртуальных машин и сопутствующими задачами.
Особенно показательно, что часть агентов не просто писала код, а систематизировала чужие исследования. Внутри рабочего процесса они разбирали материалы Kaspersky, Palo Alto Networks, Bishop Fox, SpecterOps и даже отдельные посты из соцсетей. Дальше цепочка выглядела очень по-инженерному: извлечь технику, сопоставить её с MITRE ATT&CK, понять, что нужно для воспроизведения, поднять тестовую лабораторию, выполнить сценарий и зафиксировать результат. Иными словами, AI здесь стал дешёвым ускорителем прикладного reverse engineering и offensive R&D, а не «магией», которая сама придумывает новые классы атак.
Главным компонентом этого набора Sophos называет Python-инструмент, генерирующий payload'ы в основном на Rust и Go под конкретную технику уклонения. Исследователи описывают его как модульный генератор Windows-загрузчиков, который оборачивает сырую полезную нагрузку в несколько слоёв шифрования, маскировки и альтернативных способов исполнения. Итогом становятся кастомные EXE- или DLL-файлы, рассчитанные на сопротивление песочницам, антивирусам и EDR. Сначала агенты якобы показывали высокий процент неудач, но после нескольких итераций модули начали обходить почти все проверяемые EDR-решения. Правда, Sophos заметила и расхождения между реальными результатами тестов и внутренней отчётностью самого фреймворка, так что без оговорок верить «почти стопроцентной эффективности» всё же не стоит.
Почему это важно не только для ИБ-команд
Самый полезный вывод из этой истории для разработчиков, продактов и IT-директоров довольно приземлённый: барьер входа в разработку наступательного инструментария становится ниже, а скорость упаковки исследовательских техник в рабочие цепочки атаки растёт. Если раньше у атакующей стороны уходило больше времени на ручной разбор публикаций, сборку PoC, адаптацию под свою инфраструктуру и тесты против защитных продуктов, то теперь значительную часть этого конвейера можно делегировать агентам. Не автономно, но быстро.
Для бизнеса это означает, что ставка только на «у нас хороший EDR» выглядит всё слабее. Когда противник умеет быстро прогонять десятки вариантов загрузчиков, C2-каналов и техник исполнения, вопрос смещается с покупки ещё одной коробки на качество базовой архитектуры защиты: сегментация AD, контроль привилегий, телеметрия по lateral movement, ограничение запуска подозрительных бинарников, нормальная изоляция тестовых и продуктивных сред. Для разработчиков и DevOps тут тоже нет повода расслабляться: если внутренняя инфраструктура забита временными сервисными аккаунтами, устаревшими агентами и «потом разберёмся» в Windows-сегменте, автоматизация у нападающих эту небрежность быстро монетизирует.
Показательно и другое: Sophos не нашла признаков того, что ИИ был встроен в уже развёрнутый на стороне жертвы malware или действовал самостоятельно внутри сети. Технология использовалась именно как ускоритель итеративной разработки, тестирования и доработки. Это важная поправка против хайпа. Рынок пока не пришёл к эпохе «самоуправляемого ransomware», но уже пришёл к эпохе, когда offensive-команды получают что-то вроде дешёвого младшего инженера, который без усталости сортирует исследования, собирает стенды, запускает прогоны и приносит новую версию через короткий цикл.
Следующий вопрос для отрасли уже не в том, смогут ли злоумышленники применять AI в разработке вредоносов, а в том, успеют ли защитные команды перестроить валидацию своей защиты под такой темп. История с AI-ransomware toolkit показывает: атакующим больше не нужно ждать неделями, чтобы превратить свежую технику обхода в рабочий модуль. Проверить исходный разбор можно в материале .