Des cybercriminels vietnamiens détournent l'engouement pour l'IA depuis plusieurs mois, en diffusant auprès de millions d'utilisateurs européens de LinkedIn et Facebook de fausses publicités, qui peuvent devenir un cauchemar.
L'intelligence artificielle fait rêver, mais elle fait aussi saliver les cybercriminels. Depuis novembre dernier, une campagne d'ampleur internationale, expliquée plus en détails par Mandiant, filiale cyber de Google, exploite la fascination des utilisateurs pour les générateurs de vidéos IA sur les réseaux sociaux comme Facebook et LinkedIn. Le groupe UNC6032, basé au Vietnam, a transformé cette soif de créativité numérique du public en machine à voler des données personnelles.
Des hackers qui copient les interfaces des outils IA populaires
Le modus operandi du groupe UNC6032 relève du grand art de la manipulation. Leurs publicités Facebook et LinkedIn imitent à la perfection Luma AI, Canva Dream Lab ou Kling AI, ces plateformes qui font sensation dans l'univers créatif. L'appât visuel fonctionne, avec interface léchée et des promesses de vidéos époustouflantes en quelques clics. Tout y est pour séduire l'utilisateur.
Mais la mécanique diabolique se cache derrière cette façade. Une fois sur le faux site, l'utilisateur saisit sa demande créative et patiente devant une barre de progression factice. Puis vient le piège, un bouton « Télécharger » qui propose de récupérer la vidéo générée. En réalité, l'archive ZIP contient un exécutable malveillant aux extensions trompeuses, camouflé par des caractères Braille invisibles pour passer inaperçu. Généralement, les charges utiles prennent la forme de voleurs d'informations basés sur Python.
Le malware STARKVEIL s'active alors en deux temps. D'abord, il extrait discrètement ses outils dans le dossier C:\winsystem. Puis, au second lancement, il déploie sa panoplie d'espions. FROSTRIFT cible 48 extensions de navigateur liées aux crypto-monnaies, XWORM collecte les frappes clavier, tandis que GRIMPULL utilise le réseau Tor, bien connu des visiteurs du dark web, pour exfiltrer les données via l'API Telegram.
Plus de 2,3 millions d'Européens ciblés par les publicités malveillantes
Les chiffres avancés par Mandiant sont assez impressionnants. Le spécialiste de la cybersécurité nous explique que plus de 2,3 millions d'utilisateurs européens ont été exposés à ces publicités malveillantes. Et cela sur la seule base de 120 annonces diffusées sur Facebook. Au total, des milliers de publicités UNC6032 circulent depuis mi-2024 sur les réseaux sociaux, avec une prédilection pour Facebook, bien que LinkedIn soit également dans le viseur.
L'agilité des cybercriminels impressionne autant qu'elle inquiète. Car ils renouvellent quotidiennement leurs domaines frauduleux, créent de nouvelles publicités à la chaîne et font évoluer constamment leurs techniques d'évasion. Cette plasticité rend la traque particulièrement ardue pour les équipes de sécurité, d'autant que l'engouement pour l'IA facilite la crédibilité de leurs leurres.
Alors pour se protéger, la vigilance reste votre meilleur allié. Vérifiez toujours l'URL des sites IA, méfiez-vous des téléchargements non sollicités et privilégiez les accès directs aux plateformes officielles plutôt que les liens publicitaires. Mandiant dit collaborer avec le groupe Meta, propriétaire de Facebook, et LinkedIn pour démanteler cette infrastructure malveillante. Mais on le redit, face à la menace, votre prudence constitue la première barrière contre ces nouveaux prédateurs numériques.
