- KONNI utilise des malwares générés par IA et cible désormais les développeurs blockchain et crypto
- Des leurres de phishing ont permis de déployer un backdoor PowerShell généré par IA, donnant accès à des environnements sensibles de développement
- CPR appelle à renforcer les défenses par IA, à mieux prévenir le phishing et à appliquer des contrôles stricts d’accès au cloud
Des chercheurs en cybersécurité ont découvert une nouvelle vague de malwares développés à l’aide de l’intelligence artificielle générative, signe que les outils d’IA ne sont plus seulement théoriques dans la cybercriminalité, mais bel et bien utilisés. Les experts estiment que les défenseurs doivent eux aussi intégrer l’IA à leurs systèmes.
Check Point Research (CPR) a détaillé les activités de KONNI, un groupe de cybermenace bien connu, sponsorisé par l’État nord-coréen, actif depuis plus de dix ans.
KONNI est réputé pour avoir ciblé des responsables politiques, diplomates et universitaires sud-coréens. Mais après plus d’une décennie focalisée sur les sphères diplomatiques, le groupe a changé de cap, en visant désormais les développeurs – en particulier dans la blockchain et les cryptomonnaies.
Un backdoor PowerShell généré par IA
Dans sa dernière campagne, KONNI aurait contacté des techniciens IT via des leurres de phishing très convaincants, dans le but d’accéder à des infrastructures cloud, des dépôts de code source, des API ou encore des identifiants liés à la blockchain.
Les victimes ayant cliqué sur les liens ont déclenché un backdoor PowerShell généré par IA, donnant aux attaquants un accès complet à leur machine, et donc à l’ensemble des données sensibles qui y étaient stockées.
« L’élément clé de cette opération réside dans l’utilisation d’un backdoor PowerShell généré par IA, illustrant comment l’intelligence artificielle accélère le développement et le déploiement des malwares », précise CPR dans son rapport.
« Sans forcément inventer de nouvelles techniques d’attaque, l’IA permet d’itérer plus rapidement, de personnaliser plus facilement et de s’adapter avec davantage de souplesse. »
Le rapport souligne que les professionnels de la cybersécurité vont devoir faire évoluer leurs méthodes. Les malwares générés par IA évoluent plus vite et peuvent contourner sans difficulté les systèmes de détection classiques basés sur les signatures.
« Les environnements de développement doivent être considérés comme des cibles à haute valeur », conclut CPR. Pour s’en prémunir, il convient d’abord de renforcer la prévention du phishing dans tous les flux collaboratifs et de développement. Ensuite, les environnements cloud et de développement doivent être sécurisés par des contrôles d’accès rigoureux. Enfin, une détection des menaces assistée par IA permettra de bloquer les logiciels malveillants encore inconnus dès les premières phases d’attaque.
