Des groupes nord-coréens, iraniens et chinois signalés pour utilisation de l'IA dans des logiciels malveillants et activités malveillantes

Un nouveau rapport du groupe d'analyse des menaces de Google (GTAG) a montré que des pirates informatiques soutenus par des États de Corée du Nord, d'Iran et de Chine expérimentent et optimisent activement des cyberattaques avec des outils d'intelligence artificielle (IA), qui dans ce cas était Gemini de Google. 

Google a déclaré avoir observé plusieurs groupes affiliés à des États utiliser ses grands modèles de langage pour la reconnaissance, l'ingénierie sociale, le développement de logiciels malveillants et l'amélioration de « toutes les étapes de leurs opérations, de la reconnaissance et de la création d'appâts d'hameçonnage au développement de systèmes de commande et de contrôle (C2) et à l'exfiltration de données »

Le rapport a mis en évidence des attaques inédites et sophistiquées exploitant l'intelligence artificielle. Il souligne que l'IA générative abaisse les barrières techniques aux opérations malveillantes en permettant aux attaquants d'agir plus rapidement et avec une plus grande précision.

Ce rapport s'appuie sur des avertissements similaires de Microsoft et d'OpenAI, qui ont révélé des expérimentations comparables menées par le même trio d'acteurs soutenus par des États.

Par ailleurs, Anthropic, la société à l'origine de Claude AI, a publié un rapport sur la manière dont elle détecte et contre l'utilisation de l'IA pour des attaques, et des groupes liés à la Corée du Nord figuraient parmi les principaux acteurs malveillants mentionnés dans le rapport.

Les acteurs étatiques nord-coréens se tournent vers l'IA

Dans sa dernière mise à jour sur les renseignements relatifs aux menaces, Google a détaillé comment un groupe iranien connu sous le nom de TEMP.Zagros, également connu sous le nom de MuddyWater, a utilisé Gemini pour générer et déboguer du code malveillant déguisé en recherche universitaire, dans le but final de développer des logiciels malveillants personnalisés.

Ce faisant, elle a involontairement révélé des détails opérationnels clés qui ont permis à Google de perturber des parties de son infrastructure.

Des acteurs liés à la Chine ont été découverts utilisant Gemini pour perfectionner leurs techniques d'hameçonnage, effectuer des reconnaissances sur les réseaux ciblés et étudier les techniques de déplacement latéral une fois infiltrés dans les systèmes compromis. Dans certains cas, ils ont détourné Gemini pour explorer des environnements inconnus, tels que l'infrastructure cloud, Kubernetes et vSphere, ce qui indique une volonté d'étendre leur influence technique.

Des opérateurs nord-coréensont par ailleurs été observés en train d'explorer des outils d'IA afin d'améliorer leurs campagnes de reconnaissance et d'hameçonnage. Un groupe terroriste nord-coréen, connu pour son rôle dans des campagnes de vol de cryptomonnaies exploitant l'ingénierie sociale, a également tenté d'utiliser Gemini pour écrire un code lui permettant de voler des cryptomonnaies.

Google a pu atténuer ces attaques et fermer les comptes impliqués.

Une nouvelle frontière pour la cyberdéfense

Le rapport d'Anthropic, publié en août 2025, apporte des preuves de l'utilisation abusive de l'IA par des acteurs étatiques. L'entreprise a découvert que des agents nord-coréens avaient utilisé son modèle Claude pour se faire passer pour des développeurs de logiciels travaillant à distance et recherchant un emploi.

Ils auraient utilisé Claude pour générer des CV, des exemples de code et des réponses à des entretiens techniques afin d'obtenir destracde freelance à l'étranger.

Si les conclusions d'Anthropic ont mis en lumière la fraude consistant à utiliser l'IA pour obtenir des emplois, ce qui aurait conduit à une opération de piratage informatique de plus grande envergure au sein des entreprises qui recrutent, elles rejoignent également la conclusion de Google selon laquelle les outils d'IA sontmatictestés par des acteurs malveillants afin d'en tirer un avantage supplémentaire.

Ces découvertes constituent un nouveau casse-tête pour la communauté mondiale de la cybersécurité. Les mêmes caractéristiques qui font des modèles et applications d'IA de puissants outils de productivité sont également utilisées pour créer de redoutables instruments de malveillance, comme l'ont démontré les rapports. À mesure que l'IA progresse, les attaquants s'adapteront et leurs attaques deviendront plus sophistiquées.

Les gouvernements et les entreprises technologiques commencent à réagir, et la poursuite de la collaboration entre toutes les parties prenantes pour atténuer ces actions sera la voie à suivre.