Une nouvelle ère pour le malware basé sur l’IA commence avec la découverte de MalTerminal, un logiciel malveillant exploitant GPT-4 pour générer des ransomwares ou des reverse shells en temps réel. Les chercheurs de SentinelLabs ont révélé ce qui pourrait être le tout premier exemple de malware intégrant un modèle de langage (LLM) présenté lors de la conférence LABScon 2025. Cette découverte met en lumière une évolution inquiétante du paysage de la cybersécurité, où l’intelligence artificielle devient une arme puissante entre les mains des cybercriminels.
MalTerminal : un logiciel malveillant alimenté par GPT-4
L’intégration d’un modèle de langage dans un malware
Identifié comme MalTerminal, cet exécutable Windows exploitait l’API de complétion de chat OpenAI avant qu’elle ne soit dépréciée en novembre 2023. Ce détail suggère que l’échantillon a été développé avant cette date. Une fois exécuté, il invitait l’utilisateur à choisir entre créer un ransomware ou générer un reverse shell, démontrant la capacité d’un malware dynamique utilisant GPT-4 pour générer du code malveillant à la volée.
Scripts Python et outil défensif intégrés
Le fichier exécutable était accompagné d’une série de scripts Python reprenant le fonctionnement principal. Certains permettaient de générer du code selon l’utilisation souhaitée, tandis qu’un outil, nommé FalconShield, analysait si un fichier cible contenait du contenu malveillant en sollicitant le modèle de langage. Cette approche montre l’utilisation polarisée des LLM à des fins offensives comme défensives.
Les malwares basés sur les modèles de langage : un changement de paradigme
Une montée en puissance inquiétante
Les chercheurs affirment que l’intégration des LLM dans les malwares constitue un tournant majeur. Grâce à leur capacité à générer des instructions malveillantes au moment de l’exécution, les maliciels assistés par IA deviennent adaptatifs, augmentant leur efficacité tout en réduisant les moyens classiques de détection par signature.
Des preuves d’un outil de type « preuve de concept »
Aucune preuve d’utilisation en situation réelle de MalTerminal n’a été trouvée, ce qui laisse penser qu’il pourrait s’agir d’un outil red team ou d’un prototype expérimental. Néanmoins, l’apparition de ce type de malware encourage les professionnels de la cybersécurité à anticiper leur industrialisation probable dans les mois à venir.
Le rôle croissant de l’IA dans les attaques par hameçonnage
Manipuler l’IA pour contourner la sécurité des e-mails
Une autre enquête, menée par StrongestLayer, met en lumière l’utilisation de prompts cachés dans le code HTML de campagnes de phishing. Ces instructions dissimulées, interprétables par des IA chargées de filtrer les messages, induisent en erreur les algorithmes de détection. Résultat : des emails de phishing sophistiqués atteignent leur cible.
Exploitation de failles et détournement des outils IA
Lorsqu’un utilisateur ouvre une pièce jointe HTML falsifiée, un exploit de la faille Follina (CVE-2022-30190) est déclenché. Le document active un script PowerShell chargé de désactiver l’antivirus Microsoft Defender et de maintenir une présence persistante sur le système. Le code source des fichiers HTML et HTA contient quant à lui des commentaires manipulés, technique connue sous le nom de LLM poisoning, rendant ces attaques invisibles aux outils d’analyse IA.
Des outils d’IA utilisés pour l’hébergement de faux sites
Des plateformes détournées pour héberger des sites d’hameçonnage
Selon un nouveau rapport de Trend Micro, depuis janvier 2025, plusieurs campagnes de phishing assistées par IA utilisent des plateformes comme Lovable, Netlify et Vercel pour héberger de fausses pages CAPTCHA. Ces pages masquent des redirections vers des sites de vol de données. En exploitant l’apparente légitimité de ces services, les attaquants réduisent le taux de détection et augmentent leur efficacité.
Une efficacité renforcée grâce à des technologies accessibles
La gratuité et la simplicité de déploiement de ces plateformes donne aux cybercriminels une capacité d’attaque à grande échelle. Un utilisateur tombe d’abord sur une page CAPTCHA légitime, avant d’être redirigé vers un site malveillant où ses identifiants sont dérobés. Cette approche démontre la rapidité avec laquelle les outils IA grand public peuvent être abordés pour des campagnes malveillantes.
Formation en cybersécurité : mieux comprendre pour mieux se défendre
Apprendre les techniques utilisées par les attaquants
Face à l’émergence de malwares basés sur des modèles d’intelligence artificielle comme GPT-4, il devient indispensable de renforcer ses connaissances en cybersécurité offensive et défensive. Une excellente ressource pour cela est notre livre pour apprendre à hacker, qui permet de se familiariser avec les techniques d’attaque et de développer une meilleure compréhension du fonctionnement des menaces modernes telles que les ransomwares dynamiques ou les prompt injections.
Pour détecter efficacement ces nouvelles menaces assistées par l’IA, nos solutions CyberCare intègrent des mécanismes de protection évolués, permettant à nos clients d’avoir une longueur d’avance sur les nouvelles techniques cybercriminelles.
