Comment des hackers utilisent l’IA pour diffuser des virus

Un cyber-groupe lié au Viêt Nam exploite l’intérêt mondial pour les outils d’IA

Les cyberattaques ne sont plus une menace interne ou une vulnérabilité cachée dans les journaux de votre serveur. Elles sont en train de se généraliser. Un cyber-groupe basé au Viêt Nam et identifié sous le nom de UNC6032 a trouvé le moyen de transformer en arme l’engouement croissant pour l’intelligence artificielle. Leur campagne n’est pas complexe dans son exécution, mais elle est incroyablement efficace dans sa portée. Ils utilisent des publicités payantes sur des plateformes familières, Facebook et LinkedIn. Il ne s’agit pas d’expériences en laboratoire ou de menaces théoriques. Il s’agit d’annonces sur lesquelles des personnes du monde entier cliquent tous les jours.

Elles imitent de véritables marques d’IA, des noms que vous connaissez, comme Dream Lab de Canva, Luma AI et Kling AI, et paraissent d’une authenticité convaincante. Une fois cliquées, les publicités redirigent les utilisateurs vers des sites web falsifiés qui semblent presque identiques aux sites légitimes. Mais au lieu d’accéder à des outils d’IA de pointe, les utilisateurs ouvrent sans le savoir leur système à des logiciels malveillants. Ces logiciels malveillants collectent discrètement des données sensibles, des informations de connexion, des numéros de carte de crédit et des cookies personnels, contournant ainsi les mesures de sécurité habituelles.

Nous constatons cela parce que l’intérêt pour l’IA a explosé à l’échelle mondiale. La courbe de la demande est abrupte, ce qui crée des opportunités, non seulement pour les entreprises, mais aussi pour les attaquants. Plus l’intérêt est grand, plus la surface d’attaque est importante.

Yash Gupta, Senior Manager chez Mandiant Threat Defense, l’explique clairement : ce groupe a exploité « l’intérêt explosif pour les outils d’IA » en utilisant « une image de marque réaliste et des plates-formes de confiance ». L’attaque repose sur la confiance. Elle détourne la familiarité, quelque chose que la plupart des utilisateurs ne remettent pas en question. C’est pourquoi elle fonctionne à une échelle aussi massive.

La campagne de publicité malveillante a touché des millions de personnes

L’ampleur de cette opération n’est pas une supposition, elle est mesurée. L’équipe de Mandiant a suivi plus de 120 publicités Facebook malveillantes ciblant les utilisateurs de l’Union européenne. Portée estimée ? Plus de 2,3 millions de personnes. C’est un signal, pas du bruit. Sur LinkedIn, une dizaine de publicités malveillantes ont également été détectées. Ce chiffre peut sembler plus faible, mais le ciblage est souvent plus spécifique : utilisateurs d’entreprises, professionnels, décideurs.

Il ne s’agit pas seulement de savoir combien de publicités ont été diffusées. Il s’agit aussi de savoir comment. UNC6032 ne s’est pas contenté d’utiliser de fausses identités. Il a utilisé des comptes légitimes compromis pour activer ses campagnes. Cela les a rendues plus difficiles à détecter et plus rapides à activer. Certaines de ces campagnes n’ont duré que quelques heures, le temps de capturer les données des utilisateurs et de disparaître avant que les protocoles de sécurité ne les rattrapent.

On pourrait penser que des plateformes comme Meta (la société mère de Facebook) et LinkedIn ont mis en place des mesures de protection, et c’est le cas. Mais lorsque les attaquants changent de domaine et utilisent de vrais comptes, même les détecteurs avancés ont besoin de temps pour les attraper. Ces menaces évoluent rapidement parce que l’écosystème évolue également. L’IA évolue rapidement. Il en va de même pour les personnes qui tentent de l’exploiter.

Pour les chefs d’entreprise, le message est clair : la publicité n’est plus seulement une fonction marketing. C’est une porte d’entrée potentielle pour la sécurité. Vous devez surveiller non seulement ce que vos équipes publient, mais aussi ce que d’autres peuvent imiter sous le nom de votre marque, ou ce qui s’en rapproche suffisamment pour troubler vos utilisateurs.

Les attaquants travaillent rapidement. Pour faire face à cette rapidité, la sécurité de la plateforme, la vigilance de l’entreprise et les informations sur les menaces en temps réel doivent être plus rapides.

Le logiciel malveillant basé sur Python connu sous le nom de STARKVEIL

Voici le cœur de l’attaque. Les utilisateurs attirés par de faux outils d’intelligence artificielle ne se contentent pas de visiter un site falsifié, ils téléchargent une charge utile. Il s’agit d’une souche de logiciel malveillant basée sur Python que Mandiant appelle STARKVEIL. Il ne s’agit pas d’un logiciel standard. Il s’agit d’un logiciel personnalisé, conçu pour rester flexible et permettre aux attaquants d’installer divers outils de vol d’informations et des portes dérobées persistantes dans le système de l’utilisateur.

Une fois déployé, STARKVEIL se met discrètement au travail. Il collecte les identifiants de connexion, les numéros de carte de crédit, les cookies enregistrés dans le navigateur et les données du système en arrière-plan. Il transmet ensuite ces données via des lignes de communication cryptées à des infrastructures contrôlées par les attaquants, Telegram étant l’un des canaux qu’ils utilisent. Cette méthode est légère, rapide et efficace. Elle contourne la plupart des outils antivirus traditionnels car elle ne se comporte pas comme les anciennes souches de logiciels malveillants.

Ce logiciel malveillant ne constitue pas seulement une menace isolée. Il peut déclencher des exploitations secondaires grâce aux portes dérobées qu’il installe. Cela signifie que même après la suppression, la menace peut persister si des parties plus profondes du réseau ou du système ont été consultées.

Pour les dirigeants soucieux de la sécurité, cela souligne la nécessité d’une surveillance des points d’accès et d’une détection des anomalies comportementales. Si vos systèmes fonctionnent sans visibilité permanente, STARKVEIL ou d’autres logiciels malveillants similaires pourraient opérer en arrière-plan sans être détectés. C’est un risque que vous ne pouvez pas vous permettre dans un secteur réglementé ou sensible à la réputation.

Vol de données d’identification par le biais de ces campagnes frauduleuses

Examinons l’impact. Le vol d’informations d’identification est plus qu’un simple désagrément. Ils constituent l’un des principaux points d’entrée pour les cyberintrusions à grande échelle dans tous les secteurs d’activité. Le rapport M-Trends 2025 de Mandiant confirme que les informations d’identification compromises sont la deuxième méthode d’accès initial la plus utilisée par les acteurs de la menace.

Cela signifie qu’une fois que ces identifiants sont exposés, qu’il s’agisse de comptes personnels, d’outils basés sur Cloud ou de consoles d’administration internes, l’ensemble de vos opérations est potentiellement accessible. Et cela se produit souvent sans détection immédiate. Un utilisateur se connecte à une interface usurpée en croyant qu’il s’agit d’une plateforme d’IA de confiance. En coulisses, ses informations sont collectées et utilisées comme arme.

À partir de là, les attaquants utilisent les informations d’identification volées pour augmenter les privilèges d’accès, voler des informations confidentielles ou se déplacer latéralement dans un réseau. L’intrusion initiale révèle rarement les intentions des attaquants. Cela arrive plus tard, parfois des semaines ou des mois plus tard.

Pour les organisations, les protections de base telles que les politiques de mots de passe forts et l’authentification à deux facteurs sont essentielles. l’authentification à deux facteurs sont nécessaires. Mais s’appuyer uniquement sur ces mesures ne suffit plus. Vous avez besoin d’outils de détection des menaces liées à l’identité qui vont au-delà de la surveillance des tentatives de connexion et qui intègrent des modèles d’accès tenant compte du contexte. Les dirigeants doivent également insister sur la formation régulière des employés, car l’adoption la plus rapide des outils d’IA se fait par les utilisateurs individuels, et non par des équipes centralisées.

Si votre personnel est impatient d’expérimenter les solutions d’IA, tant mieux. Assurez-vous simplement qu’ils le font dans des environnements vérifiés et sécurisés. Dans le cas contraire, il s’agit d’une décision risquée que vous ne pourrez peut-être jamais réexaminer avec le même degré de contrôle.

Les plateformes de médias sociaux et les équipes de cybersécurité réagissent activement à ces menaces.

Les plateformes sociales ne restent pas inactives. Meta et LinkedIn ont commencé à supprimer les publicités nuisibles de leurs réseaux en 2024, avant même que des enquêteurs comme Mandiant ne lancent des alertes externes. C’est un bon début. Mais ces attaquants s’adaptent rapidement. Ils lancent chaque jour de nouveaux domaines, modifient le contenu des publicités et adoptent de nouvelles tactiques plus rapidement que les plateformes ne peuvent y répondre. Il en résulte une course aux armements quotidienne entre la prévention et l’infiltration.

Ce qui rend la situation encore plus complexe, c’est l’utilisation de comptes d’utilisateurs légitimes, souvent compromis, mais non falsifiés, pour distribuer des logiciels malveillants. Les campagnes sont de courte durée, parfois quelques heures seulement, et apparaissent et disparaissent suffisamment vite pour ralentir l’intervention des plateformes. Les moteurs de détection s’améliorent, mais ils ne parviennent pas à boucler la boucle.

Yash Gupta, directeur principal chez Mandiant Threat Defense, a insisté sur le fait que l’arrêt de campagnes de ce type « nécessite une collaboration interprofessionnelle permanente ». Il ne s’agit pas d’une solution à mettre en œuvre par une seule équipe. Les plateformes, les fournisseurs de solutions de sécurité, les décideurs politiques et les services informatiques des entreprises doivent tous agir de concert. La réponse doit être partagée et constamment mise à jour.

Du point de vue de la direction, il est inadéquat de se fier uniquement aux mesures de protection de la plateforme. Les équipes de sécurité doivent surveiller les réseaux publicitaires, analyser les références externes des marques et collaborer avec leurs homologues du secteur. Les dirigeants doivent privilégier les partenariats, non seulement avec les fournisseurs de technologie, mais aussi avec les acteurs de l’écosystème qui sont confrontés à des menaces similaires. Le risque étant réparti, la défense doit l’être aussi.

Des mesures de sécurité proactives et la vigilance des utilisateurs sont essentielles

Les attaquants s’attaquent à l’adoption rapide de l’IA. C’est la tendance. Les gens expérimentent les outils d’IA sous tous les angles, dans les domaines de la conception, de l’ingénierie, du marketing et de la logistique. Mais cette flexibilité ouvre des portes. Si les employés téléchargent à partir de sources non vérifiées ou cliquent sur une publicité sans vérifier l’URL, vous êtes exposé.

Mandiant recommande quelques mesures de défense élémentaires mais essentielles. Tout d’abord, les utilisateurs doivent éviter de télécharger des outils ou des logiciels d’IA à partir de publicités sur les médias sociaux, en particulier si la source n’est pas vérifiée. Deuxièmement, les URL doivent toujours être vérifiées avant de cliquer. Les domaines mal orthographiés ou nouvellement enregistrés sont des signaux d’alerte. Troisièmement, les protections antivirus et des points d’extrémité doivent être mises à jour dans toute l’organisation. Quatrièmement, les publicités suspectes doivent être signalées aux plateformes, et non ignorées.

Les services informatiques des entreprises et les RSSI devraient institutionnaliser ces actions. Définissez des politiques de sécurité claires concernant l’installation de technologies tierces, développez des niveaux d’approbation internes pour l’adoption d’outils d’IA et automatisez l’approbation des URL dans la mesure du possible. Ces mesures ne sont pas coûteuses et réduisent considérablement l’exposition.

Les équipes de la suite jouent ici un rôle qui va au-delà de la budgétisation. Les politiques fortes viennent d’en haut. Si la vitesse et l’innovation sont des priorités, l’infrastructure sécurisée et la sensibilisation au numérique doivent se développer au même rythme. Il ne s’agit pas de ralentir l’adoption, mais de la rendre possible en toute sécurité. C’est cet état d’esprit qui doit animer les équipes de direction technique aujourd’hui.

Faits marquants

Des cyberattaquants exploitent l’engouement pour l’IA afin de diffuser des logiciels malveillants : Un groupe basé au Vietnam utilise de fausses annonces d’IA sur Facebook et LinkedIn pour distribuer des logiciels malveillants via des sites usurpés imitant de vraies marques d’IA. Les dirigeants doivent veiller à ce que les équipes chargées du marketing, de la sécurité et des marques surveillent les usurpations d’identité sur les canaux numériques.
L’infrastructure publicitaire est militarisée à grande échelle : La campagne a utilisé plus de 30 faux domaines et a touché des millions d’utilisateurs par le biais de milliers de publicités trompeuses. Les dirigeants devraient investir dans la surveillance en temps réel de l’utilisation de la marque et dans la détection des fraudes publicitaires au-delà des campagnes internes.
Le logiciel malveillant STARKVEIL permet un vol de données en profondeur : Les victimes téléchargent à leur insu des logiciels malveillants qui volent des informations d’identification, des données de paiement et autres, puis les envoient via des canaux cryptés à des serveurs contrôlés par les attaquants. Les RSSI doivent adopter une protection des points finaux capable de détecter les anomalies basées sur des scripts et des comportements.
Le vol d’informations d’identification présente des risques à long terme pour les entreprises : Les informations d’identification volées alimentent des intrusions plus larges et des élévations de privilèges, qui constituent désormais le deuxième point d’entrée pour les cybercriminels. Les décideurs devraient imposer l’authentification multifactorielle et déployer la détection des menaces liées à l’identité dans l’ensemble de l’entreprise.
La réponse continue des plateformes nécessite le soutien de l’ensemble du secteur : Bien que Meta et LinkedIn aient commencé à retirer les publicités malveillantes très tôt, les tactiques des attaquants évoluent trop rapidement pour que l’on puisse les contenir uniquement sur la plateforme. Les équipes de direction doivent donner la priorité au partage des renseignements sur les menaces et aux réseaux de partenariat en matière de cybersécurité.
La vigilance des utilisateurs et l’hygiène des systèmes sont les dernières lignes de défense : Mandiant recommande un examen rigoureux des publicités pour les outils d’IA, la vérification des URL et la mise à jour des protections des points d’extrémité. Les dirigeants devraient rendre obligatoire la formation à la sécurité interne et renforcer les politiques relatives à l’adoption d’outils tiers.

Alexander Procter

juillet 31, 2025

12 Min

Tags: Intelligence artificielle

Non classifié(e)
Gagner en clarté et en vitesse grâce à l’IA générative
Juil 31, 2025
16 min
Technologies et innovation
Comment des hackers utilisent l’IA pour diffuser des virus
Juil 31, 2025
12 min
Technologies et innovation
Quand la sécurité cloud devient contre-productive
Juil 31, 2025
10 min

Comment des hackers utilisent l’IA pour diffuser des virus

Un cyber-groupe lié au Viêt Nam exploite l’intérêt mondial pour les outils d’IA

La campagne de publicité malveillante a touché des millions de personnes

Le logiciel malveillant basé sur Python connu sous le nom de STARKVEIL

Vol de données d’identification par le biais de ces campagnes frauduleuses

Les plateformes de médias sociaux et les équipes de cybersécurité réagissent activement à ces menaces.

Des mesures de sécurité proactives et la vigilance des utilisateurs sont essentielles

Faits marquants

Gagner en clarté et en vitesse grâce à l’IA générative

Comment des hackers utilisent l’IA pour diffuser des virus

Quand la sécurité cloud devient contre-productive

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !