Les malwares dopés à l’IA brouillent la frontière entre cybercriminalité et espionnage

Un groupe de menace persistante avancée (APT) jusqu’alors inconnu réécrit les règles de l’espionnage et de la cybercriminalité en armant l’intelligence artificielle pour déployer des malwares échappant à la détection et complexifiant l’attribution. Surnommé Armored Likho par l’équipe de recherche sur les menaces de Kaspersky – également traqué sous le nom Eagle Werewolf –, ce groupe mène des opérations parallèles : attaques à motivation financière contre des particuliers et espionnage ciblé contre des agences gouvernementales et des organisations du secteur électrique en Russie, au Kazakhstan et au Brésil. Cette double approche est rare, la plupart des groupes APT se spécialisant généralement dans un seul domaine.
Une boîte à outils modulaire conçue pour la furtivité et l’adaptabilité
L’arsenal d’Armored Likho est modulaire et en constante évolution, conçu pour maintenir un contrôle à long terme sur les systèmes compromis. Le groupe déploie des chevaux de Troie d’accès à distance (RAT) obfusqués, un infostealer basé sur Python récemment documenté sous le nom de BusySnake Stealer, ainsi que Go2Tunnel pour un accès distant sécurisé et le tunneling réseau. Selon le rapport de Kaspersky, la pile malveillante est conçue pour contourner l’analyse dynamique et s’adapter au profil de chaque victime. Cette flexibilité permet au groupe d’exfiltrer des données sensibles et de déployer des charges supplémentaires dynamiquement, ajustant ses attaques en temps réel.
Hameçonnage revisité : chargeurs et leurres générés par IA
La chaîne d’attaque commence par des emails de spear-phishing imitant des avis officiels de gouvernements, des demandes d’aide humanitaire ou des tests psychologiques. Les archives jointes contiennent soit des exécutables, soit des raccourcis LNK spécialement conçus exploitant la vulnérabilité ZDI-CAN-25373. Dans les deux cas, un chargeur est injecté en mémoire, téléchargeant depuis des dépôts GitHub des composants supplémentaires – y compris des versions en développement précoce du malware. Le code source du chargeur se distingue par ses commentaires verbeux et l’usage d’émojis, un style que Kaspersky souligne être atypique pour un malware écrit par des humains et suggère fortement l’utilisation de grands modèles de langage (LLM) pour générer des charges malveillantes.
Pourquoi cela compte
L’émergence de malwares générés par IA marque un tournant dans le paysage des menaces cyber, abaissant la barrière à l’entrée pour des attaques sophistiquées tout en rendant l’attribution plus ardue. Pour les défenseurs, cela signifie que les indicateurs traditionnels de compromission peuvent ne plus suffire, et que l’analyse comportementale devient cruciale. Pour les gouvernements et les exploitants d’infrastructures critiques dans les régions concernées, le mélange d’opérations à motivation financière et alignées sur des États augmente la mise, exigeant des capacités de détection et de réponse plus rapides face à des adversaires capables d’itérer et de s’adapter à la vitesse d’une machine.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

