Un outil de test de pénétration présenté comme le successeur IA de Cobalt Strike circule librement sur PyPI. Automatisé, efficace et lié à une entité chinoise suspecte, Villager a déjà été téléchargé près de 10 000 fois. De quoi faire froncer les sourcils de plus d’un analyste SOC.
- Un nouvel outil de test de pénétration, Villager, basé sur l'IA, a été téléchargé près de 10 000 fois sur PyPI.
- Villager automatise les audits de sécurité, mais est lié à une entité chinoise suspecte avec des antécédents de malwares.
- Les experts recommandent de bloquer les paquets PyPI non validés pour éviter des usages malveillants dans les environnements professionnels.
Depuis juillet, un nouvel outil de test de sécurité automatisé circule librement sur l’index Python. Baptisé Villager, il s’appuie sur l’intelligence artificielle pour enchaîner les différentes étapes d’un audit technique, depuis la cartographie d’un système jusqu’à la simulation d’intrusion. Un projet qui, sur le papier, s’inscrit dans une logique de cyberdéfense. Mais en creusant, les chercheurs de Straiker ont identifié un projet bien plus ambigu, hébergé par une entité chinoise aux pratiques opaques, déjà connue pour avoir packagé des malwares existants dans une suite offensive prête à l’emploi.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un Cobalt Strike nouvelle génération… mais propulsé par l’IA
Téléchargé près de 10 000 fois en à peine deux mois, Villager a été publié sur PyPI par un auteur actif dans la communauté CTF chinoise, connu sous le pseudonyme @stupidfish001. L’outil se présente comme un framework de test d’intrusion moderne, combinant des conteneurs Kali Linux générés à la volée, des modèles IA maison basés sur DeepSeek, et une orchestration complète via le protocole MCP. Sur le papier, il vise à automatiser les workflows de pentest. En pratique, il prend en charge l’intégralité d’une chaîne d’attaque, de la reconnaissance initiale à l’installation de mécanismes de persistance – un peu comme Cobalt Strike, auquel il emprunte la logique offensive, mais ici pilotée par une intelligence artificielle.
Chaque tâche peut être décrite en langage naturel. Le moteur IA la décompose, choisit les outils adéquats, vérifie les résultats, relance si nécessaire, puis génère les charges utiles adaptées au contexte. À titre d’exemple, s’il identifie un site WordPress, Villager déclenche WPScan dans un conteneur isolé. S’il détecte une API, l’automatisation navigateur prend le relais pour explorer les mécanismes d’authentification. L’outil peut enchaîner les étapes, surveiller le trafic réseau pour confirmer une exploitation réussie, puis lancer des commandes système pour établir un accès persistant.
Cette logique adaptative s’appuie sur une base de 4 201 prompts préenregistrés, appelés à la volée par le moteur. L’interface FastAPI permet suivre l’exécution des tâches en temps réel, visualiser l’arbre de dépendances et consulter les journaux d’exécution. Pour brouiller les pistes, les conteneurs Kali sont configurés pour s’autodétruire après 24 heures, avec effacement des logs et des ports SSH aléatoires.
Mais en remontant la chaîne, Straiker a découvert que Villager s’appuyait sur l’infrastructure d’un précédent outil baptisé Cyberspike Studio, dont les composants – reverse proxy, modules de surveillance, keylogger, vol de comptes Discord, accès webcam, Mimikatz – correspondent à ceux d’AsyncRAT, un cheval de Troie open source largement utilisé depuis 2019. L’entreprise à l’origine du projet, Changchun Anshanyuan Technology, ne dispose d’aucun site officiel actif et sa présence publique reste très limitée. Son domaine principal a été désactivé courant 2024, mais selon Straiker, Villager continue d’en exploiter les sous-domaines pour héberger ses modèles IA, ses images Docker et ses scripts de test.
Un candidat idéal pour des usages malveillants
D’après les équipes de Straiker, Villager combine plusieurs éléments techniques rarement réunis dans un seul outil publié sur PyPI, qui laissent présager d’une trajectoire à la Cobalt Strike – développé à l’origine pour des tests de sécurité, puis largement détourné à des fins malveillantes. Villager pourrait ainsi inaugurer une nouvelle génération d’outils de pentest détournés, pilotés par intelligence artificielle, que les chercheurs regroupent sous le terme d’AiPT (AI-powered Persistent Threats).
Une crainte d’autant plus justifiée que sa diffusion via l’index Python lui permet aussi d’échapper à certaines vérifications de sécurité. Dans les environnements professionnels, PyPI est souvent intégré aux chaînes CI/CD ou aux scripts d’automatisation, ce qui peut entraîner l’installation de bibliothèques sans inspection manuelle préalable. Si l’outil se retrouve intégré dans un fichier de dépendances – par erreur ou de manière délibérée –, il peut être déployé dans des environnements sensibles sans déclencher d’alerte. Son fonctionnement modulaire, sans binaire suspect à l’installation, complique encore sa détection. Et s’il s’exécute dans un conteneur configuré pour s’autodétruire, l’analyse post-mortem devient presque impossible.
Malgré tout, quelques signaux peuvent trahir un usage non autorisé de Villager, comme la présence de conteneurs Kali sur des postes utilisateurs, des scans réseau lancés depuis des environnements éphémères, des échanges inhabituels sur le port 25989 ou encore des résidus de communication via le protocole MCP.
Pour limiter les risques, il est donc recommandé de bloquer l’installation de paquets PyPI non validés en production, de tracer l’activation de conteneurs non supervisés, de renforcer la surveillance des flux sortants liés aux phases de reconnaissance, et de cadrer l’usage des outils IA en interne pour mieux repérer les déploiements suspects. Il peut aussi être utile de mettre en place des contrôles spécifiques sur le protocole MCP, de formaliser un processus d’approbation pour les agents intelligents utilisés dans les outils internes, ou encore de prévoir des procédures de réponse dédiées aux campagnes automatisées.
Source : Straiker
