Les auteurs de cybermenaces utilisent de plus en plus les outils d’intelligence artificielle pour améliorer l’ampleur et la complexité de leurs attaques, selon new research le Google Threat Intelligence Group. Le rapport montre que les groupes soutenus par l’État et les groupes criminels intègrent désormais l’IA à presque toutes les étapes d’une cyberattaque, de la reconnaissance à l’exfiltration de données.
Auparavant, les acteurs de la menace utilisaient généralement l’IA pour effectuer des tâches de base telles que la rédaction de messages d’hameçonnage ou la collecte d’informations publiques sur les cibles. La dernière analyse de Google indique que ces activités ont évolué. Les attaquants intègrent l’IA directement dans les logiciels malveillants, l’infrastructure et les opérations de commande. Le rapport qualifie ce changement de « nouvelle phase opérationnelle d’abus de l’IA ».
L’une des principales conclusions concerne l’essor des logiciels malveillants basés sur l’IA qui s’appuient sur de grands modèles de langage pendant leur exécution. Google a identifié une famille de logiciels malveillants appelée PROMPTFLUX qui se connecte à un modèle d’IA et réécrit son propre code à intervalles réguliers. Cette modification constante lui permet d’éviter d’être détecté par les outils antivirus traditionnels qui dépendent de signatures fixes. Un autre exemple, nommé PROMPTSTEAL, utilise un modèle d’IA pour générer des commandes permettant de voler des données au lieu de s’appuyer sur des scripts pré-écrits.
Il s’agit d’une escalade majeure dans le fonctionnement des cyberopérations. L’intelligence artificielle n’est plus utilisée simplement pour soutenir les attaquants, car elle est devenue une composante active de leurs campagnes. Les chercheurs de Google notent que certains de ces outils sont capables de générer de nouveau code ou d’adapter leur comportement en temps réel en fonction des retours environnementaux.
Le marché clandestin des cyber-outils basés sur l’IA est également en expansion. Google a trouvé des publicités sur des forums en russe et en anglais proposant des kits de phishing alimentés par l’IA, des programmes de création de logiciels malveillants et des outils d’analyse automatisés. Beaucoup sont promus à l’aide d’un langage marketing professionnel qui promet rapidité, efficacité et échelle. L’accessibilité de ces services permet aux criminels moins expérimentés d’effectuer des opérations complexes qui étaient auparavant limitées à des groupes de pirates avancés.
Les acteurs parrainés par l’État sont un autre point central du rapport. Google a identifié des campagnes en provenance de Corée du Nord, d’Iran et de la République populaire de Chine qui s’appuient fortement sur des systèmes d’IA. Ces groupes utilisent l’IA générative tout au long du cycle de vie de l’attaque, y compris la reconnaissance, le phishing, l’exploitation et le vol de données.
Par exemple, le groupe APT41, lié à la Chine, a utilisé le modèle Gemini de Google pour écrire du code en C++ et Go, créer des cadres de commande et de contrôle obfusqués et développer une infrastructure d’attaque basée sur le cloud. Un acteur basé en Iran, connu sous le nom d’APT42, aurait utilisé un modèle d’IA pour transformer des requêtes en langage naturel en recherches dans des bases de données, ce qui lui a permis de relier les numéros de téléphone aux individus et de surveiller les habitudes de déplacement. Un groupe nord-coréen identifié comme UNC1069 a utilisé Gemini pour créer des pièces jointes de phishing en espagnol et pour développer des outils de vol de crypto-monnaie.
Le rapport détaille également comment les acteurs de la menace manipulent les mesures de protection de l’IA pour obtenir des informations restreintes. Certains attaquants se font passer pour des chercheurs, des étudiants ou des participants à des concours de cybersécurité pour faire paraître leurs demandes inoffensives. Ce faisant, ils contournent les systèmes de sécurité et reçoivent des instructions techniques pour créer des kits de phishing, des scripts malveillants ou des web shells. Google note que ces tactiques tirent parti des faiblesses de la façon dont les systèmes d’IA interprètent l’intention.
La croissance des attaques basées sur l’IA présente de sérieux défis pour les défenseurs. Les méthodes de détection traditionnelles basées sur des échantillons de logiciels malveillants connus, des signatures statiques ou des modèles prévisibles sont inefficaces contre le code qui change constamment ou qui s’appuie sur des invites en temps réel provenant de modèles d’IA externes. Google prévient que cette évolution rend beaucoup plus difficile pour les équipes de sécurité de détecter et de répondre aux menaces actives.
Dans le même temps, la plus grande disponibilité des outils basés sur l’IA abaisse la barrière à l’entrée pour la cybercriminalité. Les fonctionnalités sophistiquées ne sont plus l’apanage des groupes de menaces persistantes avancées. Les services basés sur un abonnement et les scripts d’IA prédéfinis permettent aux criminels inexpérimentés de lancer des attaques crédibles avec un minimum de connaissances techniques. Cela a augmenté à la fois la fréquence et la variété des attaques ciblant les gouvernements, les entreprises et les particuliers.
Google recommande plusieurs mesures défensives pour faire face à ces développements. Les organisations doivent appliquer une authentification forte, adopter la vérification multifactorielle et appliquer le principe du moindre privilège sur tous les comptes utilisateurs. Ils doivent corriger rapidement les vulnérabilités connues et renforcer les outils de surveillance pour identifier les comportements anormaux. Google conseille également aux équipes de sécurité d’élargir leurs plans de réponse aux incidents pour inclure les menaces basées sur l’IA et d’intégrer des flux de renseignements sur les menaces qui suivent l’activité liée à l’IA sur les marchés clandestins.
Le rapport souligne que les défenseurs doivent traiter les menaces basées sur l’IA comme un risque immédiat plutôt que comme une préoccupation future. La combinaison de l’IA générative et des cyberopérations permet aux attaquants d’automatiser la reconnaissance, d’exploiter les vulnérabilités plus rapidement et de produire des logiciels malveillants adaptatifs qui changent en temps réel. Cela exige que les organisations adoptent une détection proactive, un apprentissage continu et une collaboration avec des fournisseurs de renseignements de confiance.
Bien que certains logiciels malveillants basés sur l’IA identifiés par Google soient encore en phase de test, la tendance est claire. L’utilisation de l’intelligence artificielle dans les cyberattaques s’accélère et l’écart entre l’utilisation légitime et l’utilisation malveillante se réduit. Le rapport appelle les défenseurs à privilégier la visibilité sur les flux de travail des attaquants, à former les analystes à reconnaître les indicateurs liés à l’IA et à concevoir des systèmes résilients capables de résister aux menaces adaptatives.
L’intelligence artificielle fait désormais partie intégrante du paysage mondial des cybermenaces. Qu’il s’agisse de logiciels malveillants dynamiques et auto-modifiables ou d’opérations de phishing automatisées, les attaquants remodèlent le déroulement des intrusions. Les équipes de sécurité qui sensibilisent aux abus de l’IA, renforcent les défenses opérationnelles et surveillent l’évolution des outils basés sur l’IA seront mieux préparées à répondre à cet environnement de menaces en évolution rapide.