
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Wykorzystanie generatywnej sztucznej inteligencji w cyberatakach coraz częściej przybiera praktyczną formę. Najnowszy incydent pokazuje, że AI nie musi tworzyć zupełnie nowych technik ofensywnych, aby zwiększać skuteczność przeciwnika. Wystarczy, że przyspieszy przygotowanie skryptów rozpoznawczych, automatyzację enumeracji oraz porządkowanie danych zebranych z środowiska Active Directory.
Z perspektywy obrońców jest to istotna zmiana, ponieważ skraca czas potrzebny na przejście od uzyskania dostępu do infrastruktury do rozpoznania kluczowych zasobów domenowych. W praktyce oznacza to szybsze przygotowanie do ruchu bocznego, eskalacji uprawnień i potencjalnej eksfiltracji danych.
W skrócie
Badacze opisali włamanie, w którym nieznany aktor zagrożeń wykorzystał prawdopodobnie skrypt PowerShell wygenerowany przy wsparciu modelu językowego do mapowania domeny Active Directory. Napastnik uzyskał dostęp do serwera Windows przez RDP z użyciem wcześniej przejętych poświadczeń, a następnie uruchomił narzędzia służące do agresywnej enumeracji środowiska.
- Atak rozpoczął się od logowania przez RDP na serwer należący do domeny.
- W katalogu systemowym przygotowano zestaw narzędzi i artefaktów roboczych.
- Skrypt PowerShell zebrał informacje o kontrolerach domeny, użytkownikach, komputerach, grupach i relacjach zaufania.
- W dalszej fazie użyto dodatkowych narzędzi do wyszukiwania udziałów sieciowych i identyfikacji danych.
- Końcowym etapem było zapisanie wyników do plików, ich archiwizacja i przygotowanie do eksfiltracji.
Kontekst / historia
Środowiska Active Directory od lat pozostają jednym z najważniejszych celów po uzyskaniu wstępnego dostępu do infrastruktury Windows. Poznanie struktury domeny, kont uprzywilejowanych, jednostek organizacyjnych i zasobów sieciowych daje atakującemu podstawę do planowania kolejnych etapów operacji.
W tym przypadku incydent odnotowano na początku czerwca 2026 roku. Sam łańcuch ataku nie był szczególnie nowatorski, jednak uwagę badaczy zwróciła forma użytego skryptu. Jego konstrukcja, nadmiarowe mechanizmy obsługi błędów, wieloetapowe procedury awaryjne oraz charakterystyczny styl kodu sugerowały, że mógł zostać przygotowany iteracyjnie przy wsparciu narzędzia AI.
To ważny sygnał dla organizacji. Nie chodzi o pojawienie się całkowicie nowej klasy zagrożeń, lecz o obniżenie progu wejścia dla operatorów o mniejszym doświadczeniu. Automatyzacja wspierana przez AI może sprawić, że znane techniki post-exploitation będą wdrażane szybciej, częściej i na większą skalę.
Analiza techniczna
Według opisu incydentu intruz użył wcześniej skompromitowanych danych uwierzytelniających, aby zalogować się przez RDP na serwer Windows przyłączony do domeny. Następnie przygotował środowisko robocze w katalogu C:\ProgramData\, co jest częstą praktyką przy etapowaniu narzędzi po uzyskaniu dostępu do systemu.
Kluczowym elementem operacji był skrypt PowerShell przeznaczony do rozpoznania domeny Active Directory. Badacze ocenili go jako głośny operacyjnie, ponieważ generował dużą liczbę działań możliwych do wykrycia w logach i telemetryce. Skrypt miał zawierać rozbudowany mechanizm ustalania kontrolera domeny z wykorzystaniem kilku metod zapasowych, co zwiększało szansę skutecznego działania nawet przy częściowych ograniczeniach środowiska.
Po wykryciu kontrolera domeny uruchamiane były procedury zbierania danych o najważniejszych elementach infrastruktury. Zakres enumeracji obejmował użytkowników, komputery, grupy bezpieczeństwa, jednostki organizacyjne, relacje zaufania oraz inne informacje potrzebne do zbudowania mapy domeny.
Zebrane dane były zapisywane lokalnie, eksportowane do plików oraz agregowane do raportu HTML. Taka forma prezentacji wyników ułatwia operatorowi szybkie zrozumienie środowiska ofiary, ocenę kompletności rekonesansu i wybór kolejnych celów. Około pół godziny później przeciwnik wdrożył też dodatkowe narzędzia służące do mapowania udziałów sieciowych i masowej pracy na plikach, co sugeruje przejście od rekonesansu domenowego do identyfikacji zasobów o wysokiej wartości.
W końcowej fazie dane zostały zapisane do plików CSV, zarchiwizowane i przygotowane do wyprowadzenia na zdalny serwer. Przed eksfiltracją utworzono również raport inwentaryzacyjny Active Directory w formacie HTML, podsumowujący wyniki całej operacji rozpoznawczej.
Konsekwencje / ryzyko
Najważniejsze ryzyko nie wynika wyłącznie z samego skryptu PowerShell, ale z modelu działania, w którym AI przyspiesza tworzenie i dostosowywanie narzędzi ofensywnych. Oznacza to, że czas od pierwszego dostępu do realnego zagrożenia dla danych i systemów biznesowych może ulec znacznemu skróceniu.
- Szybsze mapowanie struktury domeny i identyfikacja kont uprzywilejowanych.
- Łatwiejsze wykrywanie udziałów sieciowych zawierających dane wrażliwe.
- Przyspieszone przygotowanie do ruchu bocznego i eskalacji uprawnień.
- Zwiększenie skuteczności operatorów o niższych kompetencjach technicznych.
- Większa liczba hałaśliwych, ale skutecznych kampanii opartych na szybkości działania.
Dodatkowym problemem jest to, że atakujący nie musi używać klasycznego, niestandardowego malware. W wielu przypadkach wystarcza połączenie legalnych narzędzi administracyjnych, prostych skryptów PowerShell i automatyzacji wspieranej przez AI. To utrudnia odróżnienie działań administracyjnych od aktywności ofensywnej, zwłaszcza w środowiskach z niepełnym monitoringiem PowerShell, RDP i Active Directory.
Rekomendacje
Organizacje powinny potraktować ten incydent jako wyraźny sygnał do wzmocnienia detekcji nietypowej automatyzacji administracyjnej w środowiskach Windows. Ochrona nie może ograniczać się wyłącznie do wykrywania malware, ponieważ coraz większe znaczenie mają techniki post-exploitation oparte na legalnych komponentach systemowych.
- Ograniczyć dostęp do RDP wyłącznie do niezbędnych systemów, stosować segmentację sieci i MFA oraz monitorować nietypowe logowania.
- Wzmocnić ochronę poświadczeń uprzywilejowanych poprzez zasadę najmniejszych uprawnień, rotację haseł i rozdzielenie kont administracyjnych od standardowych.
- Włączyć pełne logowanie PowerShell i centralizować telemetrię dotyczącą skryptów, modułów oraz poleceń.
- Budować reguły wykrywające nagłą enumerację użytkowników, grup, komputerów, OU i relacji zaufania w Active Directory.
- Monitorować tworzenie i uruchamianie plików w lokalizacjach stagingowych, takich jak
C:\ProgramData\. - Analizować masową enumerację udziałów sieciowych, tworzenie archiwów i eksportów danych poza standardowymi oknami administracyjnymi.
- Ograniczać możliwość wyprowadzania danych przez kontrolę ruchu wychodzącego, DLP i alertowanie na nietypowe transfery.
- Ćwiczyć scenariusze IR zakładające szybsze działania przeciwnika dzięki automatyzacji wspieranej przez AI.
Podsumowanie
Opisany incydent pokazuje, że AI coraz częściej pełni rolę praktycznego akceleratora znanych technik ofensywnych. Skrypt PowerShell wykorzystany do mapowania Active Directory prawdopodobnie nie wnosił przełomowych metod ataku, ale znacząco przyspieszał i porządkował rozpoznanie środowiska ofiary.
Dla zespołów bezpieczeństwa kluczowy wniosek jest jednoznaczny: skuteczna obrona w 2026 roku wymaga nie tylko ochrony przed zaawansowanym malware, lecz także bardzo dobrej widoczności działań administracyjnych, korelacji zdarzeń i gotowości do reagowania na ataki prowadzone z prędkością wspieraną przez AI.
Źródła
- The Hacker News — Attacker Uses Suspected AI-Generated PowerShell Script to Map Active Directory — https://thehackernews.com/2026/07/attacker-uses-suspected-ai-generated.html
- Huntress — research statement cited in incident reporting — https://www.huntress.com/
- Sygnia — analysis of AI-assisted cloud intrusion activity — https://www.sygnia.co/
- GitHub — s5cmd project — https://github.com/peak/s5cmd
- GitHub — SharpShares project — https://github.com/mitchmoser/SharpShares