PROMPTFLUX : le malware qui réinvente son code grâce à l’IA générative

Google Threat Intelligence révèle en novembre 2025 un malware inédit, PROMPTFLUX, capable de réécrire son code source chaque heure via l’IA Gemini pour échapper aux antivirus. Cette menace en développement illustre les nouveaux défis de la cybersécurité face à l’IA.

En novembre 2025, Google Threat Intelligence a publié un rapport alarmant sur l’émergence de malwares exploitant l’intelligence artificielle générative pour renforcer leurs capacités d’attaque. Parmi ces menaces, PROMPTFLUX se distingue par sa faculté à réécrire son code source toutes les heures grâce à l’API Gemini 1.5 Flash, rendant sa détection particulièrement difficile. Ce logiciel malveillant, encore en phase de développement, illustre la sophistication croissante des cyberattaques à l’ère de l’IA.

Un malware en constante évolution grâce à l’IA

PROMPTFLUX est un malware de type data mining conçu pour infiltrer des systèmes et collecter de grandes quantités de données. Son innovation majeure réside dans un module baptisé « Thinking Robot » qui interroge périodiquement le modèle de langage Gemini afin d’obtenir du code permettant de contourner les antivirus. Programmée en VBScript, cette stratégie d’auto-modification « juste à temps » permet au malware d’adapter ses techniques d’obfuscation et d’évasion en fonction des outils de détection rencontrés.

Les chercheurs de Google ont identifié plusieurs variantes de PROMPTFLUX, dont certaines intègrent un prompt ordonnant à Gemini de réécrire intégralement le code source du malware chaque heure. Cette capacité à se renouveler en permanence complique considérablement la tâche des systèmes de sécurité.

Ingénierie sociale et détournement des garde-fous de l’IA

Le rapport souligne également l’importance des techniques d’ingénierie sociale dans la conception de ces malwares. Les acteurs malveillants se font passer pour des étudiants participant à des jeux de type capture du drapeau ou pour des chercheurs en cybersécurité afin de persuader Gemini de fournir des informations normalement bloquées. Cette manipulation fine des modèles de langage démontre une nouvelle facette des menaces numériques, où l’IA est à la fois outil et cible.

Ce phénomène n’est pas isolé : en août 2025, la société ESET avait déjà présenté PromptLock, un ransomware autonome capable de s’adapter à son environnement grâce à l’IA. PROMPTFLUX s’inscrit dans cette tendance, bien que son état actuel ne permette pas encore de compromettre un réseau ou un appareil, ce qui n’exclut pas une évolution rapide.

Surveillance et mesures de Google face à la menace

Google suit de près ces développements et publie régulièrement des analyses sur les détournements de ses modèles LLM, notamment Gemini. L’entreprise a pris des mesures pour désactiver les comptes liés au développement de ces malwares, témoignant de la vigilance nécessaire face à ces nouvelles armes cyber. La surveillance continue de ces menaces est cruciale pour anticiper et contrer les attaques de demain.

À lire