La cybersecurity fait face à de nouveaux défis avec l’émergence d’une génération innovante de malwares. Selon un rapport du Google Threat Intelligence Group (GTIG), des malwares ont commencé à intégrer des modèles de langage, permettant une auto-réécriture et une obfuscation de leur code en temps réel. Cette avancée technologique remet en question les méthodes traditionnelles de détection des malwares, créant ainsi un environnement dans lequel les protections antivirus pourraient se retrouver efficacement dépassées.
Deux exemples préoccupants de cette nouvelle vague de malwares sont PROMPTFLUX et PROMPTSTEAL. PROMPTFLUX, décrit comme un dropper en VBScript, utilise l’API de Google Gemini pour obfusquer son propre code. Il se réécrit dans le registre Windows, se maintenant ainsi après redémarrage, et demande régulièrement à Gemini des modifications de code pour contourner la détection antivirus. Ce processus lui permet d’évoluer et de varier sans nécessiter de serveur externe, rendant son efficacité redoutable contre les systèmes de détection basés sur des signatures.
L’IA transforme les malwares, les rendant plus adaptables et donc plus virulents.
PROMPTSTEAL, en revanche, représente déjà une menace opérationnelle. Attribué au groupe APT28, lié au renseignement militaire russe, ce malware écrit en Python interroge un modèle de langage pour créer des commandes d’exécution adaptées à la situation. Ce niveau d’intelligence permet au malware de ne plus se baser sur des codes fixes, mais de s’adapter dynamiquement aux environnements variés dans lesquels il opère, rendant sa détection par les systèmes traditionnels presque impossible.
La liste des nouvelles menaces ne s’arrête pas là. D’autres malwares comme FRUITSHELL et PROMPTLOCK exploitent également cette tendance d’intégration des LLM. En opérant ainsi, ces malwares attirent l’attention sur la nécessité d’un changement urgent dans les stratégies de cybersécurité. Ce n’est pas seulement un problème technique, mais aussi une question de formation des utilisateurs pour mieux se défendre contre des attaques de plus en plus intelligentes et sophistiquées.
En conclusion, la montée des malwares utilisant l’intelligence artificielle suggère un véritable changement de paradigme dans le paysage des cybermenaces. Les défenseurs doivent évoluer pour contrer des attaquants ayant accès à des outils d’une puissance sans précédent. La prudence est de mise, et les recommandations habituelles telles que la surveillance des activités anormales et le contrôle des clés API deviennent essentielles pour sécuriser notre infrastructure face à cette nouvelle ère de menaces adaptatives.
