Dass KI-Tools beim Schreiben von Code helfen, ist keine Überraschung mehr. Dass Claude Opus und Cursor jetzt auch Ransomware-Toolkits entwickeln — automatisiert, iterativ, gegen echte EDR-Produkte getestet — ist eine andere Qualität. Sophos hat das Framework in einer Kundenumgebung gefunden und die Architektur analysiert.
Payload-Generator, AD-Mapping, 80 Bypass-Module
Das System besteht aus mehreren Komponenten: Ein Payload-Generator erzeugt angepasste Executables und DLLs in Rust und Go. Ein Active-Directory-Discovery-Panel kartiert automatisch Netzwerke. Das EDR-Bypass-Framework umfasst laut Sophos rund 80 Module, die gegen über 70 bekannte Schutztechniken getestet wurden — darunter Produkte von Sophos selbst, CrowdStrike und Microsoft Defender. Als Command-and-Control-Infrastruktur dienen Telegram-Bot-API und Cloudflare-Worker als Redirector-Ebene.
Die Dokumentation war auf Russisch gehalten. Cobalt-Strike-Logs verbanden das Framework mit realen Datenlecks bei echten Organisationen — kein Testprojekt, sondern aktiv eingesetztes Material.
Claude Opus als Entwicklungsagent: Agentengesteuerte Angriffsentwicklung
Was Sophos beschreibt, ist keine Geschichte von einem Angreifer, der zufällig eine KI fragt. Es ist eine strukturierte Entwicklungsinfrastruktur: Ein Claude-Opus-Agent koordiniert den Gesamtprozess, weitere Agenten übernehmen Testing, Härtung und Labordienste. Die KI extrahiert Bypass-Techniken systematisch aus Sicherheitsforschung — Kaspersky-Berichte, Palo-Alto-Dokumentation, SpecterOps-Material — und übersetzt sie in funktionierenden Code.
(Ich nutze Claude Code selbst täglich — das macht diese Nachricht nicht angenehmer, aber es macht klar: Guardrails werden in dem Maß umgangen, in dem Angreifer bereit sind, iterativ dagegen zu arbeiten.)
EDR reicht nicht mehr als letzte Instanz
Das verkürzt den Zeitraum zwischen einer frisch veröffentlichten Sicherheitsanalyse und einem einsatzbereiten Angriffswerkzeug erheblich. Früher lagen Monate zwischen Publikation und Ausnutzung — mit agentengesteuerter Entwicklung schrumpft dieser Puffer.
Wer auf EDR als letzte Schutzschicht setzt, sollte das ernst nehmen. Netzwerksegmentierung, konsequentes Entziehen ungenutzter AD-Berechtigungen und Least-Privilege-Architekturen sind die Maßnahmen, die KI-generierte Bypass-Frameworks nicht so einfach wegoptimieren können. Grundlagenpflege — nur wird sie durch diesen Fund dringlicher, nicht weniger.
Der technische Aufwand für einen ausgereiften Ransomware-Angriff ist gesunken. Sophos hat das dokumentiert, die Cobalt-Strike-Logs bestätigen es. Die Frage für Sicherheitsverantwortliche lautet jetzt: Wie lange noch auf Erkennungslösungen vertrauen, die gegen systematisch optimierte Bypass-Toolkits getestet wurden?
