L’IA générative n’est plus seulement utilisée dans la phase de développement des malwares : elle l’est aussi lors de leur exploitation.
Google s’en fait l’écho… et en donne 5 exemples. Parmi eux, un dropper VBScript qu’il a appelé PROMPTFLUX.
Un dropper réécrit son code grâce à Gemini
Identifié début juin, le malware fait appel à la dernière version de Gemini Flash 1.5 – via l’API, la clé étant intégrée en dur – pour l’aider à obscurcir son code. Et ainsi maximiser ses chances d’éviter la détection par les antivirus.
Des variants ont été découverts. Dont un qui, toutes les heures, demande à Gemini de réécrire l’intégralité de son code source. Et de sauvegarder chaque nouvelle version dans le dossier de démarrage, afin d’établir une persistance.
PROMPTFLUX a aussi les attributs d’un ver, capable en l’occurrence de se propager sur des partages réseau et des supports amovibles. Il ne semble cependant pas à même de compromettre un réseau ou même un appareil. Certaines de ses fonctions sont effectivement commentées, dont celle par laquelle il modifie son code grâce aux éléments fournis par Gemini. Mais la présence de cette fonction, comme d’ailleurs de la journalisation des réponses IA, illustre clairement sa finalité.
Un data miner génère des commandes Windows via Qwen
Autre exemple : PROMPTSTEAL. Lui aussi identifié en juin, il a été utilisé par APT28 (groupe à la solde de la Russie) contre l’Ukraine.
Il s’agit d’un data miner Python déguisé en programme de création d’images. Il contient un script compilé qui fait appel à Qwen2.5-Coder-32B-Instruct via l’API Hugging Face, probablement grâce à un jeton volé. Objectif : générer des commandes Windows destinées à collecter des infos système et à copier des documents dans un dossier spécifique en vue des les exfiltrer.
Quand les outils IA de l’hôte ciblé servent à rechercher des secrets
Google évoque aussi PROMPTLOCK, un ransomware codé en Go. Jugé expérimental, il exploite un LLM (non spécifié) pour générer des scripts Lua. Il inclut des capacités de découverte de système de fichiers, d’exfiltration de données et de chiffrement sur Windows comme sur Linux.
FRUITSHELL et QUIETVAULT, au contraire, on été observés dans des opérations.
Le premier, disponible publiquement, est un reverse shell écrit en PowerShell. Il embarque des prompts censés lui éviter la détection par les systèmes de sécurité reposant sur des LLM.
Le second, codé en JavaScript, est censé exfiltrer des tokens GitHub et NPM en les poussant sur un repo public. Pour recherche d’autres secrets, il se nourrit des outils IA en ligne de commande disponibles sur l’hôte.
Illustration générée par IA
The post L’IA générative commence à alimenter l’exécution des malwares appeared first on Silicon.fr.
