Les cyberattaques chinoises reposant sur Gemini se multiplient. Google a remarqué qu’un gang d’espions chinois avait pris l’habitude d’utiliser l’IA générative pour débusquer des failles de sécurité. L’entreprise met en garde contre un « prochain coup dur » pour la cybersécurité.
Depuis quelques années, un gang de pirates chinois, connu sous le nom de Violet Typhoon, Zirconium ou encore Judgment Panda, multiplie les opérations d’espionnage à l’encontre des nations occidentales. Mandaté par la Chine, le groupuscule s’est fait remarquer en piratant la commission électorale britannique, les systèmes de gestion des eaux américains ou encore Microsoft. En exploitant des failles au sein de Sharepoint, les hackers chinois ont pu compromettre des dizaines de milliers de serveurs appartenant à des centaines d’entreprises.
En mars 2024, les États‑Unis imposent des sanctions et engagent des poursuites pénales contre sept membres du gang. Les pirates sont accusés d’avoir compromis des réseaux informatiques, des comptes email et du stockage cloud de nombreuses cibles sensibles, comme des administrations gouvernementales.
À lire aussi : Les hackers chinois multiplient les cyberattaques contre Taïwan
Un expert en cybersécurité virtuel sur Gemini
L’an dernier, les cybercriminels chinois se sont mis à se servir de Gemini pour mener leurs opérations, révèle Google dans son rapport AI Threat Tracker, mis en ligne ce jeudi 12 février 2026. Ce rapport s’appuie sur les investigations menées par le Google Threat Intelligence Group (GTIG), l’équipe interne de Google dédiée à la recherche et à l’analyse des menaces. Selon le géant de Mountain View, des comptes liés au gang ont utilisé Gemini pour analyser des vulnérabilités et planifier des cyberattaques contre des organisations américaines à la fin de l’année dernière. Google indique que les attaques visaient « des cibles spécifiques basées aux États‑Unis ».
Pour planifier ses attaques, le groupe chinois a demandé à Gemini de « créer » un expert en cybersécurité virtuel, dont l’unique mission est de chercher des failles et de trouver le moyen d’exploiter les vulnérabilités. Ensuite, le gang a couplé Gemini avec Hexstrike, un outil de sécurité offensif qui permet à un modèle d’IA de piloter automatiquement plus de 70 à 150 outils, dont des scanners. Initialement, l’outil a été conçu pour aider les experts en cybersécurité et les chasseurs de bugs.
À lire aussi : Espionnage via Starlink – la France arrête 4 espions chinois dans un Airbnb en Gironde
Une activité malveillante qui passe sous le radar de Google
Avec Gemini et Hexstrike, les pirates ont mené des scans et des tests d’exploitation à grande échelle sur les infrastructures dans leur viseur. Ce combo a facilité « la collecte automatisée de renseignements pour identifier les vulnérabilités technologiques et les faiblesses des systèmes de défense organisationnels ». Google explique que cette manière d’utiliser Gemini brouille la frontière entre une simple évaluation de sécurité et une vraie reconnaissance malveillante en vue d’orchestrer une cyberattaque. En d’autres termes, il est difficile pour Google de repérer les activités malveillantes.
Sans surprise, Google précise avoir désactivé les comptes Gemini liés à cette campagne malveillante. Les chercheurs déclarent ne pas avoir trouvé la moindre preuve que les attaques imaginées par Gemini sont arrivées à leurs fins. Néanmoins, Google se dit préoccupé par l’utilisation croissante de l’IA par les cybercriminels, en particulier par les pirates venus de Chine, qui « continueront de développer des approches automatisées pour mener des cyberattaques à grande échelle ». Cela « leur permet d’agir plus rapidement que les défenseurs et de frapper un grand nombre de cibles », explique Google. Un autre gang chinois s’appuie d’ailleurs sur Gemini pour « corriger des problèmes de code, mener des recherches et développer des capacités techniques en vue de ses intrusions ». Ces demandes ont déclenché une alerte et Gemini s’est mis à refuser de coopérer.
Google n’est pas le premier géant de l’IA à pointer du doigt les hackers chinois qui se servent massivement de l’intelligence artificielle. Il y a quelques mois, Anthropic, la start-up américaine à l’origine de Claude, révélait avoir déjoué « une campagne d’espionnage extrêmement sophistiquée » reposant sur l’IA, et pilotée par des hackers chinois financés par Pékin. Avec l’aide de l’outil Claude Code, les pirates chinois ont pénétré dans les infrastructures informatiques d’une trentaine de grandes organisations à travers le monde, dont des organisations sensibles telles que « des entreprises de fabrication chimique et des agences gouvernementales ».
Le « prochain coup dur » pour la cybersécurité
Toutefois, les pirates chinois sont loin d’être les seuls à avoir détourné des modèles d’IA à des fins malveillantes. L’année dernière, un gang soutenu par le gouvernement iranien et un groupe financé par la Corée du Nord ont été pris la main dans le sac. Sur des forums criminels, le Google Threat Intelligence Group a découvert de nombreuses annonces au sujet d’outils pirates reposant sur l’IA, y compris des modèles personnalisés. Interrogé par The Register, John Hultquist, analyste principal du Google Threat Intelligence Group, estime que c’est le « prochain coup dur qui se profile » dans le monde de la cybersécurité.
Avec l’IA, les cybercriminels sont désormais en mesure de distancer les équipes de sécurité. Si les attaquants utilisent des agents d’IA pour trouver des failles et les exploiter, ils vont beaucoup plus vite que les chercheurs pour proposer des correctifs. Résultat : la période critique entre la découverte d’une vulnérabilité et son correctif est bien plus long, ce qui laisse plus de temps aux hackers pour frapper. C’est pourquoi John Hultquist estime que Google va « devoir tirer parti des avantages de l’IA et réduire progressivement la part des humains dans le processus, afin de pouvoir réagir à la vitesse des machines ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.