Le rapport d'ESET sur les cybermenaces du second semestre 2025 confirme l'explosion des attaques pilotées par intelligence artificielle. PromptLock, premier ransomware autonome, marque l'entrée dans une nouvelle ère de cybercriminalité.
La cybercriminalité a continué de muter ces derniers mois, grâce à la puissance de l'intelligence artificielle. ESET publie ce mardi matin son analyse semestrielle des menaces numériques observées entre juin et novembre 2025, que Clubic a pu consulter en avant-première, dans laquelle l'éditeur documente une professionnalisation inquiétante des menaces numériques. Les ransomwares ont notamment bondi de 40%, les attaques NFC mobile de 87%. Une chose est sûre, l'IA ne perfectionne plus seulement les attaques, elle les conçoit désormais de manière autonome.
PromptLock inaugure l'ère des ransomwares autonomes pilotés par IA
Le rançongiciel PromptLock est un vrai tournant dans l'histoire récente des cybermenaces. Ce ransomware d'un nouveau genre, identifié par ESET, est devenu le premier capable de générer de façon dynamique ses propres scripts malveillants, grâce à l'IA. Le code figé appartient au passé, la menace s'adapte, mute, improvise. Les chercheurs observent le passage du concept à la réalité concrète d'une cybercriminalité augmentée par l'intelligence artificielle.
Les arnaques à l'investissement Nomani incarnent parfaitement cette mutation. Initialement confinées aux réseaux sociaux du géant Meta, elles ont contaminé YouTube et d'autres plateformes avec une sophistication troublante. Les deepfakes atteignent un réalisme toujours plus grand, tandis que des sites de phishing générés intégralement par IA piègent même les utilisateurs avertis. La télémétrie de l'éditeur ESET confirme d'ailleurs leur efficacité, avec une progression de 62% en un an.
Les hackers ont trouvé la parade aux systèmes de détection. Ils créent des publicités malveillantes qui ne vivent que quelques heures. Ce temps est suffisant pour piéger les victimes, et les annonces disparaissent avant même d'être signalées et bloquées. Les équipes de sécurité arrivent hélas toujours trop tard, après que les dégâts ont été commis. Cette stratégie du « hit and run » (délit de fuite) rend la traque extrêmement difficile.
Lumma Stealer confirme sa chute, tandis que CloudEyE et les attaques NFC explosent
Les ransomwares ont confirmé leur statut de fléau numérique, avec des records atteints avant même la fin d'année. Akira et Qilin dominent l'écosystème du ransomware en tant que service, pendant que Warlock, plus discret, introduit des techniques d'évasion inédites et se distingue par sa capacité à contourner les antivirus. Les tueurs d'EDR (solutions de détection et réponse des terminaux) prolifèrent aussi. Les hackers développent des outils pour désactiver les logiciels de protection, devenus leur principal ennemi dans une cyberattaque réussie.
Le cas de Lumma Stealer montre toute la volatilité de cet univers souterrain. Alors qu'il avait été démantelé par Microsoft et Europol il y a quelques mois, le voleur d'informations (ou infostealer) a bien tenté deux timides retours avant de s'effondrer, avec des détections en baisse de 86% au second semestre. Son vecteur principal, le cheval de Troie HTML/FakeCaptcha utilisé dans les attaques ClickFix, a quasiment disparu des radars ESET. Une victoire fragile, mais que les pros de la cybersécurité accueillent bien volontiers.
À l'inverse, CloudEyE est en pleine bourre, avec une multiplication par trente de ses activités. Ce malware sert de porte d'entrée pour installer d'autres logiciels malveillants à l'aide d'e-mails piégés. Pas très loin de chez nous, la Pologne concentre 32% des attaques. Sur mobile, la menace se précise aussi, avec NGate qui vole désormais les contacts, RatOn qui détourne les paiements sans contact via de fausses applications, et PhantomCard qui sévit surtout au Brésil.
