L’intelligence artificielle permet de gagner du temps et elle ne se limite pas aux usages légitimes. Les cybercriminels s’en servent aussi. Toutefois, jusqu’à présent ils se limitaient à la génération de code, ou « vibe coding » pour les malwares, ou encore à la création de chatbots personnalisés comme FraudGPT et WormGPT pour les aider dans les arnaques.
Désormais, l’IA est directement intégrée dans les malwares. Un nouveau rapport de Google montre que l’utilisation de l’IA par les cybercriminels a évolué, donnant lieu à une nouvelle famille de logiciels malveillants. La technique utilisée s’appelle « just-in-time » (juste à temps), où le programme se modifie lui-même au cours de l’exécution en faisant appel à l’intelligence artificielle.
Des malwares qui génèrent du code à la volée
Google cite cinq malwares, chacun utilisant l’IA d’une manière différente. Le premier s’appelle FruitShell, de type reverse shell, autrement dit qui permet l’exécution de code sur la machine et contient des prompts pour contourner les systèmes de sécurité basés sur IA. PromptSteal est un data miner, un voleur de données qui utilise Qwen2.5 via Hugging Face pour générer les commandes à la volée qui permettront d’extraire des données de la machine infectée. QuietVault vole les données d’identification, spécifiquement pour GitHub et NPM. Celui-ci utilise l’IA pour trouver d’autres données à voler. Ces trois premiers logiciels malveillants sont déjà utilisés par les cybercriminels.
Il en existe deux autres, encore au stade expérimental. PromptLock est un ransomware, ou rançongiciel, qui s’appuie sur l’IA pour générer des scripts à la volée. Enfin, PromptFlux est un dropper, ou injecteur, un outil qui a pour but d’installer un autre malware. Il utilise l’IA pour réécrire son code afin de passer inaperçu. Il contient notamment un prompt qui demande à Gemini une fonction VBScript qui aide à contourner la détection antivirus.
Exemple de code du malware PromptFlux contenant des requêtes pour Google Gemini. © Google
L’ingénierie sociale pour contourner la sécurité des chatbots
Les grands modèles de langage sont trop grands pour être simplement inclus dans le code du logiciel malveillant. Non seulement les fichiers seraient trop volumineux pour être téléchargés sans être remarqués, mais les machines infectées n’auraient bien souvent pas assez de stockage disponible, et ne disposeraient pas d’assez de mémoire ou de puissance pour faire tourner un chatbot. Les hackers ont donc une autre technique : se connecter directement aux services d’IA accessibles en ligne, comme Google Gemini.
Toutefois, ces chatbots sont dotés de systèmes de sécurité pour éviter ce genre d’abus. Les cybercriminels font donc appel à des techniques d’ingénierie sociale pour convaincre l’IA de les aider. Google a détecté des cas où les hackers ont fait croire à Gemini qu’ils sont chercheurs en cybersécurité, ou qu’ils participaient à une compétition « capture-the-flag » (des jeux de cybersécurité où il faut exploiter des failles des logiciels afin de capturer un « drapeau » sur un ordinateur cible). Gemini a alors accepté de les aider en fournissant des informations qui auraient dû être bloquées par le système de sécurité.
Des techniques utilisées par des groupes connus
Google a détecté ce genre d’abus de la part de différents groupes, comme les Iraniens MuddyCoast (UNC3313) et APT42, ainsi que les Chinois APT41, ou encore les groupes nord-coréens Masan (UNC1069) et Pukchong (UNC4899). Dans chaque cas, la firme a suspendu les comptes et renforcé la sécurité de Gemini pour bloquer les techniques utilisées.
Enfin, Google note aussi un intérêt grandissant pour les outils à base d’IA. Le rapport liste dix chatbots spécifiquement conçus pour les cybercriminels, dont FraudGPT et WormGPT, et proposés sur le dark Web. Ceux-ci proposent des services comme les deepfakes, le développement de malwares, la création de campagnes de phishing, le renseignement, le support technique et la génération de code, ou encore l’exploitation de failles.
Les nouveaux chatbots proposés aux cybercriminels. © Google
Cette nouvelle évolution marque un tournant majeur. Les logiciels malveillants ne se contentent plus d’être automatisés, ils évoluent activement en temps réel. Il faudra donc être d’autant plus vigilant contre ces nouvelles menaces.