แฮกเกอร์ใช้ AI สร้าง “ชุดเครื่องมือ Ransomware” อัตโนมัติ หลบ EDR-สแกน Active Directory ได้เอง
แฮกเกอร์เริ่มยกระดับการโจมตีไซเบอร์ด้วย AI อีกขั้น หลังนักวิจัยพบชุดเครื่องมือ Ransomware ที่ถูกพัฒนาด้วย AI และสามารถช่วยทำงานสำคัญหลายอย่างได้แบบอัตโนมัติ ทั้งการหลบระบบตรวจจับภัยคุกคาม (EDR) และการสแกนหาโครงสร้าง Active Directory ภายในองค์กรเป้าหมาย
รายงานจาก Sophos ระบุว่า ผู้โจมตีใช้ AI อย่าง Cursor และ Claude Opus เข้ามาช่วยในหลายขั้นตอนของการพัฒนาเครื่องมือโจมตี ตั้งแต่การเขียนโค้ด วิเคราะห์ ปรับแก้ ไปจนถึงค้นหาวิธีหลบระบบป้องกันจากบทความวิจัยด้านความปลอดภัยต่างๆ
มัลแวร์บางส่วนยังถูกนำไปทดสอบจริงในสภาพแวดล้อมเสมือน (Virtual Environment) กับระบบ EDR ของหลายบริษัท เช่น Sophos, CrowdStrike และ Microsoft เพื่อดูว่าสามารถหลบการตรวจจับได้หรือไม่
แม้กระบวนการจะใช้ AI เข้ามาช่วยจำนวนมาก แต่นักวิจัยย้ำว่า การโจมตียังคงเป็น “มนุษย์ควบคุมทั้งหมด” ไม่ใช่ AI ที่ทำงานเองโดยอัตโนมัติ
Sophos เริ่มพบร่องรอยของเครื่องมือดังกล่าวจากไฟล์ต้องสงสัยภายในโฟลเดอร์ test บนเครื่องของลูกค้า โดยพบองค์ประกอบหลายอย่างที่บ่งชี้ว่าเป็น Framework สำหรับการโจมตีโดยเฉพาะ เช่น
- โปรไฟล์ Cobalt Strike ที่พยายามทำให้ทราฟฟิกดูเหมือนการใช้งานเว็บปกติ
- ระบบควบคุมผ่าน Telegram Bot API เพื่อซ่อนการเชื่อมต่อจริง
- สคริปต์ Python สำหรับฝัง Shellcode ลงในไฟล์ Windows โดยยังคงการทำงานเดิมไว้
- การใช้ Cloudflare Worker เพื่อซ่อนเซิร์ฟเวอร์ควบคุมเบื้องหลัง
ในช่วงแรก Sophos เคยตั้งข้อสงสัยว่าเครื่องมือนี้อาจเป็น Framework สำหรับทีม Red Team หรือผู้ทดสอบระบบความปลอดภัย แต่หลังจากตรวจสอบเพิ่มเติม พบหลักฐานที่เชื่อมโยงกับการโจมตีแบบ Ransomware จริง ทั้งบันทึกค่าไถ่และข้อมูลขององค์กรที่ถูกนำขึ้นเว็บไซต์ Data Leak ของกลุ่มเรียกค่าไถ่
นักวิจัยยังพบ Git Repository ที่เกี่ยวข้องกับระบบ “Automated Active Directory Discovery” ซึ่งใช้ AI หลายตัวทำงานร่วมกัน โดย AI แต่ละตัวมีหน้าที่เฉพาะ เช่น ประสานงานการวิจัย ทดสอบเทคนิคหลบ EDR ตรวจสอบความปลอดภัย สร้างห้องทดลองเสมือน และจัดทำเอกสาร
หนึ่งใน AI หลักที่ถูกใช้คือ Claude Opus 4.5 ซึ่งทำหน้าที่เป็นผู้ประสานกระบวนการวิจัยและพัฒนา ขณะที่ AI ตัวอื่นๆ จะคอยช่วยค้นหาข้อมูลจากงานวิจัยของบริษัทความปลอดภัยอย่าง Kaspersky, Palo Alto Networks, Bishop Fox และ SpecterOps รวมถึงข้อมูลจากโซเชียลมีเดีย
ระบบ AI เหล่านี้สามารถดึงเทคนิคโจมตีออกมา วิเคราะห์เชื่อมโยงกับฐานข้อมูล MITRE ATT&CK สร้างสภาพแวดล้อมทดสอบ ทดลองใช้งานจริง และรายงานผลกลับมาได้แบบอัตโนมัติ
หัวใจสำคัญของ Framework นี้คือเครื่องมือ Python สำหรับสร้าง Payload ซึ่งส่วนใหญ่ถูกพัฒนาด้วยภาษา Rust และ Go โดยรองรับเทคนิคหลบการตรวจจับมากกว่า 70 รูปแบบ และมีโมดูลย่อยเกือบ 80 โมดูล
Sophos ระบุว่า แม้ AI จะล้มเหลวหลายครั้งในช่วงแรก แต่หลังผ่านการปรับแก้หลายรอบ เครื่องมือจำนวนมากเริ่มสามารถหลบระบบ EDR ได้เกือบทั้งหมด
อย่างไรก็ตาม Sophos ไม่พบหลักฐานว่า AI ถูกฝังลงไปในมัลแวร์ที่ใช้งานจริง หรือทำงานได้เองภายในเครื่องเหยื่อ แต่ AI ถูกใช้เพื่อเร่งกระบวนการ “วิจัย-ทดสอบ-ปรับปรุง” เครื่องมือโจมตีให้เร็วขึ้นอย่างมาก
นักวิจัยมองว่า AI กำลังลดระยะเวลาระหว่าง “การเผยแพร่งานวิจัยด้าน Offensive Security” กับ “การถูกนำไปใช้โจมตีจริง” ให้สั้นลงกว่าที่เคยเป็นอย่างมาก