Utilisation de ChatGPT par des groupes de hackers russes, iraniens et chinois : OpenAI révèle avoir suspendu plusieurs comptes liés à des activités malveillantes. Ces acteurs menaçaient la cybersécurité mondiale en exploitant l’intelligence artificielle pour créer des malwares, automatiser des campagnes sur les réseaux sociaux, et mener des actions de cybersurveillance. Cette actualité met en lumière une tendance inquiétante : la montée en puissance de l’utilisation des modèles d’IA dans les cyberattaques. Ces nouvelles méthodes exigent des réponses adaptées, à la hauteur des enjeux pour la sécurité des entreprises et des données sensibles.
Des groupes russes utilisent ChatGPT pour le développement de malware
ScopeCreep : une campagne malveillante ciblée
OpenAI a identifié un groupe de hackers russophones ayant utilisé ses modèles d’IA pour développer une campagne de malware avancée baptisée « ScopeCreep ». Le groupe s’est appuyé sur ChatGPT pour améliorer progressivement un logiciel malveillant codé en Go. Chaque compte créé servait à demander une seule amélioration de code avant d’être abandonné, ce qui témoigne d’un haut niveau de stratégie en sécurité opérationnelle (OPSEC).
Le logiciel, déguisé en outil de visée pour jeux vidéo (Crosshair X), était distribué sur un dépôt public et se comportait comme un chargeur de malware sophistiqué. Il téléchargeait ensuite d’autres charges utiles, escaladait les privilèges systèmes, et désactivait Windows Defender par l’usage de scripts PowerShell. L’objectif : récolter des identifiants, cookies et jetons d’authentification pour les envoyer automatiquement via un canal Telegram contrôlé par les assaillants.
Utilisation tactique de PowerShell et techniques d’évasion
Le code malveillant était capable de relancer des processus avec ShellExecuteW, de se faire exclure des filtres antivirus intégrés, et intégrait des scripts encodés en Base64, des DLL side-loading et des proxys SOCKS5 pour masquer la provenance des attaques. L’assistance de l’IA a permis de peaufiner le code, notamment en corrigeant des commandes HTTPS en Go ou en automatisant la modification des exclusions Windows Defender. Pour tout utilisateur souhaitant comprendre ces techniques, notre livre pour hacker propose une analyse pédagogique de ces pratiques utilisées dans les cyberattaques modernes.
Des groupes chinois exploitent l’IA pour espionnage et automatisation
APT5 et APT15 : recherche et infiltration via IA
Deux groupes de menaces chinois, connus sous les noms d’APT5 et APT15, ont été identifiés pour avoir exploité ChatGPT. Ils ont utilisé l’IA à des fins d’espionnage informatique, de modification de scripts Linux, d’administration système, et de configuration d’infrastructures. L’objectif principal semble être la collecte de renseignements sur des technologies sensibles comme les communications par satellites américaines.
Les groupes ont également cherché à automatiser le développement logiciel, y compris la création d’applications web et mobiles. Ils ont demandé de l’assistance pour construire des packages logiciels, configurer des firewalls, et gérer des noms de serveurs, tout en explorant les usages des modèles de langage pour améliorer les outils de test d’intrusion.
Automatisation sur les réseaux sociaux et intégration Android
L’un des scripts développés permettait de gérer une flotte de terminaux Android afin de publier ou liker du contenu sur Facebook, Instagram, TikTok et X, dans le cadre de campagnes d’influence à grande échelle. Ce type d’automatisation montre comment les modèles d’IA peuvent être instrumentalisés pour du piratage social et politique.
Diverses opérations coordonnées détectées par OpenAI
Campagnes d’influence et fraudes à l’emploi
Plusieurs autres opérations, identifiées comme étant liées à la Chine, à la Russie, à l’Iran ou à la Corée du Nord, ont utilisé ChatGPT pour générer des contenus en masse sur les réseaux sociaux ou pour élaborer des arnaques à l’emploi. Citons notamment :
- Operation High Five : diffusion de commentaires politiques aux Philippines.
- Operation VAGue Focus : campagne chinoise se faisant passer pour des journalistes sur X afin d’interroger sur des outils d’attaque réseau.
- Storm-2035 : opération iranienne postant des messages sur la politique internationale en se faisant passer pour des citoyens Occidentaux.
- Operation Wrong Number : messages de recrutement frauduleux liés à des escroqueries chinoises sur WhatsApp en plusieurs langues.
Propagation de malware déguisé et manipulation idéologique
OpenAI a également identifié Operation Helgoland Bite, une campagne d’origine potentiellement russe visant à influencer les élections allemandes à venir et à critiquer ouvertement l’Otan et les États-Unis. En parallèle, Uncle Spam – une initiative apparemment chinoise – produisait du contenu extrême sur les débats politiques américains afin d’attiser les divisions sur les plateformes comme X ou Bluesky.
Chaque initiative exploitait les capacités de l’IA générative pour produire du contenu textuel persuasif et difficile à détecter par les systèmes automatiques de modération, soulignant le besoin croissant pour des technologies de cybersurveillance avancée.
Face à la sophistication croissante des cybermenaces, CyberCare accompagne les entreprises avec des solutions en cybersécurité adaptées aux risques émergents, tout en proposant des ressources éducatives ciblées comme notre livre pour apprendre à hacker.
