Un groupe lié au régime nord-coréen a commencé à utiliser des modèles de langage comme Gemini pour générer des codes malveillants et voler des ressources numériques. Google a réagi en bloquant ces logiciels et en renforçant ses mesures de sécurité, mais cette affaire marque un tournant dans l'utilisation de l'intelligence artificielle dans les cyberattaques.
Pendant des années, les modèles de langage comme Gemini ont été perçus comme des outils de productivité, capables de rédiger des courriels, de résumer des documents ou d'écrire du code utile. Mais entre de mauvaises mains, ces mêmes capacités peuvent être détournées à des fins malveillantes. Le cas du groupe de pirates informatiques nord-coréens en est la preuve. UNC1069Aussi connu sous Masan, qui a commencé à utiliser Gemini pour Générer des scripts d'hameçonnage et voler des actifs numériques.
Selon le signaler Issu du Google Threat Intelligence Group (GTIG), ce groupe de pirates informatiques a activement intégré l'IA à ses opérations. Il ne s'agit plus seulement d'utiliser l'IA pour la recherche ou l'automatisation des tâches ; ils l'emploient désormais lors de l'exécution de leurs attaques pour… générer du code malveillant en temps réelune technique que Google a baptisée « Création de code juste à temps ».
Pour les chercheurs, cela représente un changement majeur par rapport aux logiciels malveillants traditionnels, dont la logique est généralement codée de manière statique. En générant du code à la volée, les attaquants peuvent s'adapter à l'environnement, contourner les systèmes de détection et personnaliser leurs attaques en fonction de la cible. Autrement dit, les logiciels malveillants « pensent » désormais.
Échangez vos cryptomonnaies en toute sécurité sur Bit2MeQue recherchent les pirates de Masan ? Des portefeuilles électroniques, des mots de passe et des attaques de phishing multilingues.
L'objectif d'UNC1069, selon la recherche, est voler la crypto-monnaiePour ce faire, les pirates ont utilisé le modèle d'IA Gemini afin d'exécuter des tâches très spécifiques qui renforcent leurs attaques. Celles-ci comprennent :
- Emplacement des données du portefeuille crypto : Les attaquants ont demandé au modèle d'identifier les chemins d'accès aux fichiers et les paramètres associés aux applications de stockage d'actifs numériques.
- Génération des scripts d'accès : Gemini a été utilisé pour générer des scripts permettant d'accéder à un stockage chiffré ou à une extraction. clés privéesAutomatisation de la création de code malveillant.
- Rédiger des courriels d'hameçonnage : Tout aussi préoccupante est l'utilisation de ce modèle d'IA pour rédiger des courriels d'hameçonnage très persuasifs, écrits en plusieurs langues et destinés aux employés de plateformes et de centres d'échange de cryptomonnaies, dans le but d'obtenir des identifiants ou d'infiltrer des systèmes internes.
Ces types d'attaques représentent une avancée majeure en matière de cybersécurité. L'intelligence artificielle facilite non seulement l'extensibilité de ces opérations, mais automatise également les tâches complexes et réduit les risques d'erreur humaine. De plus, grâce à la création de code dynamique et adaptatif, ces scripts gagnent considérablement en efficacité. plus difficile à détecter par les systèmes antivirus traditionnels, qui s'appuient généralement sur des modèles fixes pour identifier les menaces existantes.
Le rapport de Google souligne également qu'il ne s'agit pas d'un cas isolé. D'autres familles de logiciels malveillants adoptent des approches similaires avec des modèles de langage avancés. Par exemple, PROMPTFLUX utilise Gemini pour réécrire son code VBScript toutes les heures, tandis que PROMPTSTEAL, lié au groupe russe APT28, exploite le modèle Qwen2.5-Coder pour générer des commandes Windows en temps réel.
En résumé, cette évolution des techniques d'attaque basées sur l'IA représente un nouveau défi pour la sécurité numérique dans le domaine des cryptomonnaies et au-delà.
Créez votre compte et accédez en toute sécurité au monde des cryptomonnaies.Google réagit : blocage de comptes et nouvelles mesures de sécurité
Dès la détection de cette activité malveillante, Google a réagi rapidement. Selon le GTIG, L'entreprise a bloqué les comptes liés à UNC1069 et renforcé les filtres d'accès à Gemini. Afin de prévenir toute utilisation abusive de cet outil, l'entreprise a mis en place de nouveaux systèmes de surveillance conçus pour détecter toute activité suspecte dans les requêtes adressées à ses modèles d'intelligence artificielle.
Parmi les mesures adoptées, on peut citer : limitations de capacité de leurs API générer du code sensible ou exécuter des commandes susceptibles de présenter un risque, ainsi que filtres plus rigoureux ce qui rend plus difficile la création de scripts malveillants par les utilisateurs. Également intégré audits complets afin de suivre l'utilisation des modèles, permettant ainsi une identification plus précise des comportements inhabituels ou abusifs.
Cependant, Google souligne que le problème dépasse le cadre de ses propres technologies. De nombreuses plateformes ouvertes, comme celles utilisées par Hugging Face, offrent un accès illimité à des systèmes d'intelligence artificielle susceptibles d'être exploités à des fins malveillantes. Ainsi, même si les grandes entreprises renforcent leurs défenses, les acteurs malveillants disposent toujours de multiples moyens d'exploiter ces outils technologiques de plus en plus sophistiqués.
Protégez vos actifs : accédez-y depuis Bit2MeQuelles sont les conséquences pour l'avenir de la cybersécurité ?
L'affaire UNC1069 marque un tournant dans l'évolution de la cybersécurité. Pour la première fois, l'utilisation de modèles de langage avancés a été confirmée lors de la phase opérationnelle d'une véritable cyberattaque, non pas comme une simple expérimentation, mais comme une tactique délibérée. Google a détecté qu'au moins cinq familles de logiciels malveillants ont commencé à implémenter cette technologie, soulignant une tendance susceptible de bouleverser la dynamique de la cybercriminalité.
Face à ce constat, des questions essentielles se posent pour les entreprises technologiques et les organismes de réglementation : Comment empêcher que l'intelligence artificielle ne soit utilisée à des fins illégales ? Quelle est la responsabilité des entreprises qui développent ces modèles ? Est-il possible de maintenir un accès libre à ces outils tout en garantissant la sécurité mondiale ?
L'utilisation de l'IA dans les attaques complexifie également l'identification et l'attribution des responsables. Lorsque du code malveillant est généré dynamiquement par des algorithmes, il devient plus difficile d'en retracer l'origine et de distinguer entre usage légitime et usage malveillant.
Dans le cas précis d'UNC1069, l'objectif semble être de financer les activités du régime nord-coréen par le vol d'actifs numériques. Toutefois, cette technique pourrait être utilisée par divers acteurs, allant des organisations criminelles aux États aux intentions hostiles. La capacité à générer du code adapté en temps réel fait de l'intelligence artificielle un outil efficace, mais qui représente également un risque important pour la cybersécurité mondiale.
Cependant, si les progrès de l'intelligence artificielle engendrent de nouveaux défis en matière de cybersécurité, à l'instar d'autres technologies révolutionnaires de l'histoire, telles que l'énergie nucléaire, la monnaie fiduciaire ou les cryptomonnaies, L'IA n'est ni bonne ni mauvaise en soi.Son impact dépend de l'usage qu'en font les différents acteurs. Autrement dit, s'il peut favoriser l'innovation, l'efficacité et des solutions novatrices dans des domaines comme la santé et l'éducation, il peut aussi faire l'objet de mésusages. Dès lors, la clé réside dans la promotion d'un cadre éthique et réglementaire qui maximise ses avantages et minimise ses risques, garantissant ainsi un développement responsable et sûr pour tous.
Achetez des bitcoins en toute sécurité sur Bit2Me
