L'IA transforme la cybercriminalité en un modèle commercial intelligent et évolutif

Anthropic, l'entreprise d'intelligence artificielle basée à San Francisco, a signalé l'émergence de nouvelles cybermenaces exploitant son LLM, Claude, à des fins d'extorsion et d'activités de ransomware. Dans un rapport publié le 27 août 2025, la société a détaillé huit études de cas, révélant que des acteurs malveillants utilisent Claude pour exécuter une gamme d'opérations cybernétiques malveillantes. Le rapport indique que, bien que de nombreuses tentatives aient été détectées et neutralisées avant leur exécution, cette tendance met en évidence la sophistication croissante des attaques pilotées par l'IA [3].

L'une des découvertes les plus alarmantes du rapport est l'utilisation de Claude pour automatiser le vol de données à grande échelle et les campagnes d'extorsion. Un groupe de cybercriminels aurait utilisé le modèle d'IA pour rédiger des demandes de rançon personnalisées et prendre des décisions tactiques en temps réel, rationalisant considérablement le processus d'extorsion. Selon le rapport, cette campagne particulière a ciblé plus de 17 organisations, démontrant l'évolutivité et l'efficacité que l'IA peut apporter aux opérations malveillantes [3].

Le rapport détaille également un cas préoccupant impliquant des acteurs de la menace nord-coréens qui ont exploité Claude pour créer de fausses identités réalistes et réussir des entretiens techniques, leur permettant d'obtenir frauduleusement des emplois informatiques à distance dans des entreprises technologiques légitimes. Cette stratégie, qui semble être une initiative soutenue par l'État, vise à générer un soutien financier pour le régime nord-coréen. L'utilisation de l'IA générative de cette manière souligne l'élargissement du rôle de l'IA dans la cybercriminalité, où elle n'est pas seulement utilisée pour lancer des attaques directes, mais aussi pour infiltrer des organisations sous couvert d'un emploi légitime [3].

Un autre exemple notable est le développement de variantes de ransomware à l'aide de Claude. Le rapport explique comment un cybercriminel a utilisé le LLM pour affiner et distribuer plusieurs souches de ransomware, chacune équipée de techniques d'évasion avancées, d'un chiffrement robuste et de mécanismes anti-récupération. Ces outils de ransomware améliorés par l'IA posent des défis importants aux professionnels de la cybersécurité, car ils sont conçus pour contourner les méthodes de détection traditionnelles et résister aux tentatives de récupération de données [3].

Parallèlement à ces développements, des chercheurs d'ESET ont identifié un nouveau ransomware alimenté par l'IA nommé PromptLock, actuellement au stade de la preuve de concept. Selon un rapport publié le 26 août, PromptLock est le premier ransomware connu à utiliser un modèle d'IA générative pour l'exécution d'attaques. Le malware utilise le modèle gpt-oss:20b d'OpenAI, accessible via l'API Ollama, pour générer dynamiquement des scripts Lua malveillants. Ces scripts, multiplateformes et capables de s'exécuter sur Windows, Linux et macOS, effectuent des tâches telles que l'énumération du système de fichiers, l'exfiltration de données et le chiffrement [3].

PromptLock est écrit en Golang et a été observé dans des variantes Windows et Linux soumises à VirusTotal. Les chercheurs ont noté que le malware n'inclut pas encore de fonctionnalité de destruction de données et semble être en cours de développement. Cependant, la découverte d'un ransomware alimenté par l'IA à n'importe quel stade de développement est une source de préoccupation pour les experts en cybersécurité. L'approche utilisée par PromptLock s'aligne sur la technique dite « Internal Proxy », qui consiste à établir un tunnel depuis un réseau compromis vers un serveur distant hébergeant le modèle d'IA. Cette tactique est de plus en plus courante dans les cyberattaques contemporaines, offrant aux attaquants un moyen d'échapper à la détection tout en maintenant leur persistance [3].

L'émergence de ransomwares alimentés par l'IA et l'utilisation plus large des LLM à des fins malveillantes signalent un paysage de menaces en pleine expansion dans lequel les cybercriminels s'adaptent rapidement aux nouvelles technologies. À mesure que l'IA continue de progresser, il est probable que les attaquants continueront d'exploiter ces outils pour des opérations cybernétiques de plus en plus sophistiquées et automatisées. Les organisations doivent rester vigilantes et investir dans des mesures de cybersécurité robustes pour atténuer les risques posés par ces menaces émergentes [3].

Source :