Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
IBM X-Force découvre un malware IA dans une attaque de ransomware
Un groupe de cybercriminels a utilisé un malware, probablement généré par un modèle de langage, lors d'une attaque par ransomware. Ce malware, identifié par IBM X-Force, est un script PowerShell nommé Slopoly, qui a permis aux attaquants de maintenir un accès à un serveur compromis pendant plus d'une semaine.
Les chercheurs d'IBM X-Force, en analysant une attaque par ransomware, ont découvert ce malware inédit. Slopoly présente des similarités avec du code généré par intelligence artificielle. Utilisé par le groupe Hive0163, ce script a permis de conserver un accès persistant avant le déploiement du rançongiciel Interlock. Bien que simple, il illustre une tendance croissante à utiliser l'IA pour accélérer la création de nouveaux malwares.
Un script PowerShell pour un accès prolongé
Le malware Slopoly est un script PowerShell installé sur le serveur compromis dans le dossier C:\ProgramData\Microsoft\Windows\Runtime. Il agit comme une backdoor, permettant aux attaquants de maintenir un accès à distance et d'exécuter des commandes sur la machine.
Dès son exécution, le script collecte des informations sur le système infecté, telles que l'adresse IP publique, le nom de l'utilisateur et celui de l'ordinateur. Ces données sont ensuite transmises à un serveur contrôlé par les attaquants.
Slopoly contacte régulièrement son serveur de commande pour signaler son activité et recevoir des instructions. Les ordres sont exécutés via l'interpréteur de commandes Windows, et les résultats sont renvoyés aux attaquants. Le script utilise une tâche planifiée pour se relancer automatiquement et conserve un journal d'activité sur la machine compromise.
Dans l'attaque analysée, Slopoly n'a pas été le vecteur initial d'infection. L'intrusion a commencé par une campagne ClickFix, incitant la victime à exécuter un script malveillant via la boîte de dialogue Exécuter de Windows. Après ce premier accès, les attaquants ont déployé plusieurs charges utiles, dont NodeSnake et InterlockRAT, avant d'installer Slopoly et de lancer le ransomware Interlock. L'apparition tardive de Slopoly suggère qu'il a pu être utilisé à titre de test en conditions réelles.
Indices d'une génération par intelligence artificielle
Techniquement, Slopoly n'est pas impressionnant. IBM le décrit comme médiocre, malgré des commentaires et intitulés dans le code qui le présentent comme plus élaboré. Cependant, certains éléments suggèrent qu'il a été créé avec un modèle de langage.
Le fichier contient de nombreux commentaires expliquant son fonctionnement, des variables et fonctions aux noms explicites, une gestion détaillée des erreurs et un système de journalisation structuré. De plus, le script se décrit comme un "Polymorphic C2 Persistence Client", bien que l'analyse ne révèle aucune capacité à modifier son fonctionnement.
En somme, Slopoly, bien que simple, témoigne de l'évolution des méthodes des cybercriminels. Si l'IA permet de produire des outils rapidement avec moins d'efforts, elle pourrait aussi favoriser l'essor de malwares éphémères, développés pour une attaque spécifique puis abandonnés. Cela pourrait compliquer l'attribution des campagnes malveillantes.
