Un ransomware assez insaisissable, PromptLock, vient d'être découvert par ESET Research. Il inquiète les experts en ce qu'il génère ses attaques à l'aide de l'intelligence artificielle, ce qui complique sa détection par les antivirus traditionnels.
La cybersécurité pousse son curseur un peu plus loin encore, avec la découverte de PromptLock, un ransomware d'un genre nouveau qui exploite l'intelligence artificielle pour générer ses propres scripts malveillants. Les équipes d'ESET Research ont identifié ce malware sur VirusTotal le 25 août dernier, en expliquant comment les cybercriminels s'approprient désormais les outils d'IA pour se livrer à leurs malveillances. La trouvaille, même si elle reste expérimentale, préfigure une nouvelle ère où les attaques deviennent dynamiques et imprévisibles.
Comment PromptLock exploite l'IA pour créer des cyberattaques uniques
PromptLock bouleverse les codes établis en utilisant le modèle gpt-oss-20b via l'API Ollama pour créer ses scripts d'attaque. Au début du mois d'août, OpenAI a présenté deux modèles de raisonnement IA open source, le puissant gpt-oss-120b (120 milliards de paramètres), et gpt-oss-20b, plus léger, rapide et économique pour des usages quotidiens. Mais revenons à nous moutons, et à PromptLock.
Comme l'explique le spécialiste cyber Anton Cherepanov d'ESET : « Le malware envoie des prompts codés en dur à un serveur Ollama, qui génère ensuite des scripts malveillants ». Cela permet au ransomware de s'adapter constamment, en rendant chaque infection potentiellement unique. Sur le papier, on perçoit le potentiel maléfique de la chose.
Le fonctionnement repose sur la génération en temps réel de scripts Lua, un langage de programmation léger mais redoutablement efficace. Ces scripts, créés à la volée par l'IA, orchestrent l'ensemble du processus d'infection, autrement dit la reconnaissance du système, l'identification des fichiers sensibles et le chiffrement des données. L'architecture du malware cible à la fois les environnements Windows et Linux, ce qui élargit considérablement son rayon d'action potentiel.
Cette mutation technologique inquiète les experts. « Avec l'aide de l'IA, lancer des attaques sophistiquées est devenu dramatiquement plus facile – éliminant le besoin d'équipes de développeurs qualifiés », soulignent les chercheurs d'ESET. Le constat est glaçant, mais il redéfinit les règles du jeu en matière de cybercriminalité, où un seul individu peut désormais orchestrer des attaques complexes.
Une menace encore embryonnaire mais déjà préoccupante
Faut-il céder à la panique ? Pour l'instant, PromptLock reste confiné aux laboratoires virtuels. ESET précise n'avoir « pas observé ces échantillons dans [leur] télémétrie », ce qui suggère que le malware n'a pas encore frappé de vraies victimes. Pas encore. Les chercheurs restent prudents et préfèrent alerter : « Nous pensons qu'il est de notre responsabilité d'informer la communauté cybersécurité de ces développements », disent-ils.
L'aspect le plus troublant réside dans la variabilité des indicateurs de compromission (IoCs). Chaque exécution génère potentiellement des scripts différents qui compliquent, et pas qu'un peu, le travail des solutions antivirus traditionnelles. « Si correctement implémenté, cela pourrait considérablement compliquer la détection et rendre le travail des défenseurs considérablement plus difficile », prévient l'équipe d'ESET Research.
La viabilité technique de l'attaque ne fait, pour elle, aucun doute. Les cybercriminels n'ont pas besoin de déployer le modèle IA complet sur les réseaux compromis. Un simple tunnel ou proxy vers un serveur externe hébergeant le modèle suffit, une technique au passage couramment maîtrisée dans les cyberattaques modernes. Cette simplicité de mise en œuvre laisse présager une adoption rapide par les groupes criminels organisés.
