Google a découvert une panoplie de malwares qui utilisent l’IA générative pour orchestrer leurs attaques. Aidés de l’IA, ces virus peuvent se modifier en temps réel, contourner les antivirus et s’adapter à chaque cible. C’est une évolution inquiétante qui marque le début d’une nouvelle ère pour la cybersécurité, indique Google.
Google alerte sur l’apparition de nouvelles familles de virus qui utilisent l’intelligence artificielle générative. Le Google Threat Intelligence Group (GTIG), l’équipe interne de Google spécialisée dans la recherche sur les logiciels malveillants, a en effet découvert de plus en plus de malwares qui reposent, du moins en partie, sur des modèles de langage. Les hackers n’exploitent plus l’intelligence artificielle « uniquement pour gagner en productivité, ils déploient désormais des malwares innovants, propulsés par l’IA, lors d’opérations actives ».
À lire aussi : Voici le précurseur des virus pilotés par l’IA, MalTerminal
Des malwares qui mutent en pleine attaque
Les virus épinglés par Google se servent de l’IA au cours de la cyberattaque. Au moment où ils sont actifs sur la machine de la victime, ils vont se modifier eux-mêmes en temps réel en communiquant avec l’IA. Concrètement, ils vont pouvoir changer leur code, générer des nouvelles fonctions et s’adapter à chaque cible.
Le logiciel malveillant peut choisir comment agir en fonction de l’environnement sur lequel il se trouve. De facto, il devient beaucoup plus difficile à détecter car il n’est jamais le même d’une attaque à une autre. Google intitule la tactique « auto-modification just-in-time ». Elle rend le virus imprévisible et très difficile à analyser pour les experts en cybersécurité. C’est un changement de taille par rapport à un virus traditionnel, dont le code est figé. Cela « marque une nouvelle phase dans l’exploitation malveillante de l’IA ».
Gemini, le nouvel outil des cybercriminels
Parmi les virus découverts par les chercheurs, on trouve des maliciels qui exploitent… Gemini, l’intelligence artificielle générative de Google. C’est le cas de PromptFlux, un virus qui utilise Gemini pour générer automatiquement des variantes de son propre code, à chaque lancement sur un PC, afin d’éviter les antivirus. Régulièrement, il interroge Gemini pour obtenir du nouveau code qui lui permet d’adapter ses méthodes, de se rendre invisible et de déployer des scripts dits « métamorphiques ».
PromptFlux n’était encore qu’en phase de test et n’a donc pas causé de dommages importants. Dès que Google a détecté son activité, l’entreprise a rapidement bloqué l’accès du malware à l’API Gemini. Google ignore qui sont les pirates à l’origine de l’attaque, mais ils sont motivés par l’appât du gain. Le géant de Mountain View s’engage à « adopter des mesures proactives pour perturber les activités malveillantes, notamment en désactivant les projets et les comptes associés aux acteurs malveillants ».
Citons aussi PromptSteal/LameHug, un malware qui se fait passer pour un programme « générateur d’images ». Une fois installé, il communique avec Hugging Face, une interface cloud qui permet d’interroger des modèles d’intelligence artificielle open source, pour créer des commandes personnalisées visant à dérober des données sensibles. Dans ce cas de figure, l’IA sert surtout à cibler précisément les données recherchées, comme les identifiants, mots de passe ou historiques de navigation présents sur l’ordinateur. Une fois le système compromis, le malware peut ouvrir la voie à d’autres attaques. Il a été utilisé dans des attaques russes contre des organisations ukrainiennes.
Google évoque également le cas de PromptLock, le tout premier ransomware animé par l’IA. Découvert par les chercheurs d’ESET, le virus expérimental s’appuie aussi sur l’intelligence artificielle pour générer des scripts en temps réel, au cours d’une intrusion.
L’IA rejoint l’arsenal des pirates étatiques
Les investigations du Threat Intelligence Group ont révélé que plusieurs groupes criminels financés par des gouvernements se servent activement de virus animés ou développés avec l’IA. C’est le cas de plusieurs gangs russes, comme Fancy Bear, impliqués dans la guerre en Ukraine, et de groupes nord-coréens. Ceux-ci ont utilisé l’IA pour faciliter leurs vols de cryptomonnaies. Enfin, des gangs iraniens sont connus pour utiliser l’IA dans le phishing, mais aussi pour déboguer, améliorer et brouiller leur code malveillant.
En parallèle, une foule de hackers indépendants exploite des outils d’IA, surtout dénichés sur des forums du dark web. Comme le souligne Google,« le marché clandestin des outils d’IA illicites s’est développé et consolidé en 2025 ». Ce marché facilite grandement l’arrivée des pirates en herbe, dépourvus de capacités techniques, dans l’industrie criminelle.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.