\nGoogle Threat Intelligence Group (GTIG)<\/a>
\nqui nous pr\u00e9sente une nouvelle g\u00e9n\u00e9ration de malwares qui int\u00e8grent des LLM directement dans leur ex\u00e9cution.<\/p>\n
Plus de g\u00e9n\u00e9ration statique du code, c\u2019est le malware lui-m\u00eame qui appelle une API LLM pendant qu\u2019il tourne, demande des modifications, se r\u00e9\u00e9crit, et repart faire sa besogne.<\/p>\n
Les deux exemples les plus marquants s\u2019appellent PROMPTFLUX, c\u2019est un dropper en VBScript qui appelle l\u2019API Gemini pour obfusquer son propre code. Il se r\u00e9\u00e9crit dans la base de registre Windows pour persister au reboot, puis demande \u00e0 Gemini de g\u00e9n\u00e9rer de nouvelles variantes d\u2019obfuscation. Son module interne s\u2019appelle \u201cThinking Robot\u201d et il interroge Gemini r\u00e9guli\u00e8rement du genre \u201cComment contourner l\u2019antivirus X ? Propose des variantes de mon code pour \u00e9viter la signature Y.<\/em>\u201d<\/p>\n Gemini lui r\u00e9pond, le malware applique le conseil, se modifie, et se relance.<\/p>\n \n Comme les antivirus d\u00e9tectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent imm\u00e9diatement obsol\u00e8tes. L\u2019antivirus a alors toujours un coup de retard. Et PROMPTFLUX n\u2019a m\u00eame pas besoin d\u2019un serveur C2 pour t\u00e9l\u00e9charger de nouvelles variantes puisqu\u2019il g\u00e9n\u00e8re ses propres variantes localement en demandant \u00e0 Gemini.<\/p>\n GTIG estime que PROMPTFLUX est encore en d\u00e9veloppement et les \u00e9chantillons analys\u00e9s ne montrent pas de capacit\u00e9 r\u00e9elle \u00e0 compromettre un r\u00e9seau. Mais \u00e7a reste une preuve de concept active\u2026 En gros, quelqu\u2019un, quelque part teste cette approche.<\/p>\n PROMPTSTEAL, lui par contre, est d\u00e9j\u00e0 op\u00e9rationnel. GTIG l\u2019attribue \u00e0 PROMPTSTEAL de son c\u00f4t\u00e9 est \u00e9crit en Python. Il utilise l\u2019API Hugging Face pour acc\u00e9der au mod\u00e8le L\u2019astuce donc, c\u2019est que le malware ne contient plus de commandes en dur. Il les g\u00e9n\u00e8re \u00e0 la vol\u00e9e selon le contexte comme \u00e7a, si l\u2019environnement change, il demande de nouvelles commandes adapt\u00e9es. Plus de pattern fixe \u00e0 d\u00e9tecter et chaque ex\u00e9cution est diff\u00e9rente.<\/p>\n GTIG mentionne aussi d\u2019autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour g\u00e9n\u00e9rer des scripts Lua de chiffrement.<\/p>\n Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les r\u00e9sultats via des repos publics.<\/p>\n Tous ces malwares partagent la m\u00eame id\u00e9e : int\u00e9grer un LLM dans la cha\u00eene d\u2019ex\u00e9cution<\/strong>. G\u00e9n\u00e9ration, obfuscation, commandes dynamiques, recherche de secrets\u2026 Le LLM devient un composant actif du malware !<\/p>\n Le rapport d\u00e9crit aussi comment les attaquants contournent les protections des LLM \u00e0 base d\u2019ing\u00e9nierie sociale dans les prompts. L\u2019attaquant se fait passer le plus souvent pour un \u00e9tudiant en s\u00e9curit\u00e9, un participant \u00e0 un CTF, ou encore un chercheur parfaitement l\u00e9gitime. Le LLM, configur\u00e9 pour aider, r\u00e9pond alors \u00e0 toutes les demandes.<\/p>\n Dans un cas document\u00e9 par GTIG, une tentative a mal tourn\u00e9 pour les attaquants. On le sait car dans les logs de leurs \u00e9changes avec le LLM, GTIG a trouv\u00e9 des domaines C2 et des cl\u00e9s de chiffrement en clair. Les attaquants avaient oubli\u00e9 de nettoyer leurs tests et c\u2019est gr\u00e2ce \u00e0 \u00e7a que GTIG a r\u00e9cup\u00e9r\u00e9 l\u2019acc\u00e8s \u00e0 leur infrastructure puis l\u2019a neutralis\u00e9e.<\/p>\n Le rapport liste aussi les groupes \u00e9tatiques actifs comme De son c\u00f4t\u00e9, Et sur le march\u00e9 noire, ce genre d\u2019outils et de services multi-fonctions ont le vent en poupe. G\u00e9n\u00e9ration de campagne de phishing, cr\u00e9ation de deepfakes, g\u00e9n\u00e9ration automatique de malwares, abonnements avec acc\u00e8s API\u2026etc.<\/p>\n Leur mod\u00e8le commercial copie celui des services l\u00e9gitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avanc\u00e9es, avec des communaut\u00e9s Discord pour le support. \u00c7a permet d\u2019abaisser la barri\u00e8re d\u2019entr\u00e9e pour les attaquants les moins exp\u00e9riment\u00e9s.<\/p>\n \n C\u00f4t\u00e9 d\u00e9fense maintenant, les recommandations sont assez classiques. Pensez \u00e0 surveiller l\u2019activit\u00e9 anormale des cl\u00e9s API qui pourraient \u00eatre vol\u00e9es. D\u00e9tectez les appels inhabituels \u00e0 des services LLM externes depuis les processus. Contr\u00f4lez l\u2019int\u00e9grit\u00e9 des ex\u00e9cutables et prot\u00e9gez tout ce qui est \u201csecrets\u201d sur les h\u00f4tes.<\/p>\n N\u2019oubliez pas non plus de ne jamais, \u00f4 grand jamais, ex\u00e9cuter aveugl\u00e9ment des commandes g\u00e9n\u00e9r\u00e9es par un mod\u00e8le IA (je vous l\u2019ai assez r\u00e9p\u00e9t\u00e9).<\/p>\n Voil\u00e0, tous ces exemples actuels sont exp\u00e9rimentaux mais le signal est donn\u00e9 et il est plut\u00f4t limpide : l\u2019IA est en train de rendre les malwares plus virulents en leur permettant de s\u2019adapter !<\/p>\n
\nPROMPTFLUX et PROMPTSTEAL<\/a>
\n.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/promptflux-malware-gemini-llm-runtime-generation\/promptflux-malware-gemini-llm-runtime-generation-2.png\")
\n<\/p>\n
\nAPT28<\/a>
\n(FROZENLAKE), un groupe li\u00e9 au renseignement militaire russe (GRU). Le
\nCERT-UA l\u2019a document\u00e9 sous le nom LAMEHUG<\/a>
\nen juillet dernier et c\u2019est la premi\u00e8re observation d\u2019un malware qui interroge un LLM en op\u00e9ration r\u00e9elle.<\/p>\n
\nQwen2.5-Coder-32B-Instruct<\/a>
\n. Le malware envoie des prompts encod\u00e9s en Base64, genre \u201cr\u00e9cup\u00e8re les infos syst\u00e8me<\/em>\u201d ou \u201ctrouve les documents sensibles<\/em>\u201d et le LLM g\u00e9n\u00e8re des commandes Windows d\u2019une ligne qui sont ensuite ex\u00e9cut\u00e9es localement par le malware. Ensuite ce dernier collecte les donn\u00e9es et les exfiltre tranquillement.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/promptflux-malware-gemini-llm-runtime-generation\/promptflux-malware-gemini-llm-runtime-generation-3.png\")
<\/p>\n
\nUNC1069 (MASAN)<\/a>
\n, li\u00e9 \u00e0 la Cor\u00e9e du Nord, qui utilise les LLM pour g\u00e9n\u00e9rer des deepfakes et voler des cryptoactifs. Ou encore
\nUNC4899 (PUKCHONG)<\/a>
\n, aussi nord-cor\u00e9en, qui emploie les mod\u00e8les pour d\u00e9velopper des exploits et planifier des attaques sur les supply chains.<\/p>\n
\nAPT41<\/a>
\n, un groupe \u00e9tatique chinois, s\u2019en sert pour obfusquer du code. Et le groupe iranien
\nAPT42<\/a>
\n, a m\u00eame tent\u00e9 de construire un agent SQL qui traduirait des requ\u00eates en langage naturel vers des commandes d\u2019extraction de donn\u00e9es sensibles. GTIG les a bloqu\u00e9 en coupant les comptes qu\u2019ils utilisaient.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/promptflux-malware-gemini-llm-runtime-generation\/promptflux-malware-gemini-llm-runtime-generation-1.webp\")
\n<\/p>\n