以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

Sophos在其博客文章中表示：“当客户租户中注册的异常端点触发了来自C:\Users\User\Documents\test的有效载荷警报时，检测到了该活动。该目录中的多个文件是恶意文件，表明存在一个旨在逃避检测的更广泛的攻击框架。”

Sophos 分析师发现存在多个用俄语编写的 Python 脚本，这些脚本至少部分由人工智能生成。这本身并不令人意外，因为黑客使用大型语言模型 (LLM) 技术构建恶意软件和发起攻击已有一段时间了。

更具创新性的是，这些脚本与一个自动化的 Active Directory (AD) 控制面板和一个实验室相集成，该实验室会迭代地开发和测试针对 Sophos、CrowdStrike 和 Windows Defender EDR 代理的恶意软件。黑客会针对 EDR 工具测试恶意软件，收集观察结果，然后自动化的 AD 控制面板会从预定义的列表中选择下一个任务，之后将任务分配给远程代理，并在任务完成后重新评估。

虽然人工智能恶意软件的开发“较为有限”，主要用于支持实验和协调工作流程，但EDR实验室“是一个结构化的工程测试周期，包括人工审查和迭代”。换句话说，Sophos发现黑客通过迭代沙箱来创建更有效的恶意软件——构建、测试、分析、改进。

为了进一步规范其工作流程，黑客在其 Git 代码库中发现的痕迹表明，黑客正在研究供应商的研究成果，以识别潜在的恶意软件绕过技术。黑客指派代理人研究这些信息，提取相关信息，将识别出的技术映射到 MITRE ATT&CK 技术框架，准备实验室测试环境并进行测试。

黑客测试环境使用了多台运行 Windows Server 2022 的虚拟机来模拟红队演练流程，甚至还配备了独立的控制环境。“一台虚拟机用于测试绕过 Sophos 代理的工具，一台用于测试 CrowdStrike 代理，第三台是未安装 EDR 代理的控制环境。第四台虚拟机运行的是 Ubuntu 系统，用作 Sliver 后渗透框架的 C2 服务器。”Sophos 表示。

Sophos 识别出黑客使用的多种恶意软件管理 (LLM) 工具，包括用于恶意软件开发的AI代码编辑器 Cursor 和黑客 AI 代理使用的主要模型 Claude Opus。这些代理尤其用于协调和自动化恶意软件测试，并提供其他与运行安全相关的功能。

虽然该博客重点介绍了新型恶意软件测试环境，但 Sophos 表示，该框架旨在促进目标环境中的隐蔽后渗透活动，并且该活动与“已知的勒索软件部署和数据窃取行动”有关。

Sophos指出，虽然此类攻击活动涉及诸多复杂因素，但企业仍然可以通过行之有效的传统方法保护自身安全，例如实施纵深防御。“基本措施仍然至关重要，包括及时修补漏洞、多因素身份验证 (MFA)、使用现代身份验证机制（例如密码密钥）以及广泛部署有效的 EDR 解决方案。