Quand l’IA devient l’arme secrète des malwares évolutifs

Google révèle une nouvelle génération de malwares intégrant l’IA pour modifier leur code en temps réel, rendant la cybersécurité plus complexe face à ces menaces adaptatives.

En 2025, l’intelligence artificielle ne se limite plus à la simple génération de code pour les cybercriminels. Selon un rapport récent de Google, une nouvelle famille de malwares intègre désormais directement l’IA pour modifier leur comportement en temps réel, compliquant la détection et la neutralisation par les systèmes de sécurité traditionnels. Cette évolution marque un tournant majeur dans la guerre numérique, où les logiciels malveillants deviennent des entités dynamiques capables d’adaptation instantanée.

Des malwares qui réécrivent leur code grâce à l’IA

Google identifie cinq malwares exploitant l’IA de manière innovante. FruitShell, un reverse shell, utilise des prompts pour contourner les protections basées sur l’IA. PromptSteal, quant à lui, emploie Qwen2.5 via Hugging Face pour générer à la volée des commandes destinées à extraire des données sensibles. QuietVault cible spécifiquement les identifiants GitHub et NPM, s’appuyant sur l’IA pour découvrir d’autres informations à voler. Ces trois malwares sont déjà actifs dans la nature.

Deux autres restent expérimentaux : PromptLock, un ransomware générant des scripts malveillants en temps réel, et PromptFlux, un dropper capable de réécrire son code pour échapper aux antivirus, notamment en sollicitant Google Gemini pour contourner les détections. Cette technique dite « just-in-time » permet au malware d’évoluer pendant son exécution, rendant son identification particulièrement ardue.

Ingénierie sociale et contournement des protections IA

Les malwares ne peuvent pas embarquer directement les grands modèles de langage, trop volumineux et gourmands en ressources. Les hackers se connectent donc aux services d’IA en ligne, comme Google Gemini, pour générer du code ou des commandes malveillantes. Pour tromper les systèmes de sécurité intégrés à ces chatbots, ils recourent à l’ingénierie sociale, se faisant passer pour des chercheurs en cybersécurité ou des participants à des compétitions « capture-the-flag ».

Cette ruse a permis à certains groupes de contourner les filtres de Gemini et d’obtenir des informations normalement bloquées. Google a identifié ces abus chez plusieurs acteurs étatiques, notamment les groupes iraniens MuddyCoast (UNC3313) et APT42, les Chinois APT41, ainsi que les Nord-Coréens Masan (UNC1069) et Pukchong (UNC4899). Suite à ces découvertes, la firme a suspendu les comptes concernés et renforcé la sécurité de Gemini.

Une offre croissante d’outils IA pour cybercriminels

Le rapport souligne également l’essor des chatbots dédiés aux cybercriminels, avec une dizaine d’outils comme FraudGPT et WormGPT disponibles sur le dark Web. Ces plateformes proposent des services variés : création de deepfakes, développement de malwares, campagnes de phishing, renseignement, support technique, génération de code et exploitation de failles.

Cette nouvelle génération de malwares ne se contente plus d’automatiser des tâches, elle évolue activement en temps réel, rendant la lutte contre la cybercriminalité plus complexe et exigeant une vigilance accrue des acteurs de la cybersécurité.

À lire