Arkanix Stealer montre que l'IA peut démocratiser les logiciels malveillants

À la fin de 2025, un nouveau projet de malware visant à voler des informations qui a attiré l'attention des chercheurs: Arkanix Stealer a émergé dans les forums côté sombre. En apparence, c'était un produit conçu pour les clients : il offrait un panneau de contrôle, une communication via un serveur Discord et une structure de prix à deux niveaux - une option de base écrite en Python et une version « premium » native en C + + protégée par VMProtect - mais ne durait que quelques mois avant que son auteur ne désactive tout sans préavis. Cette courte durée de vie et les empreintes trouvées par les analystes indiquent plus qu'une campagne criminelle traditionnelle : il est très probable qu'Arkanix ait été, au moins en partie, le résultat d'une expérience de développement assistée par des modèles linguistiques. La découverte souligne comment les outils IA accélèrent et ralentissent la création de code malveillant.

L'analyse technique réalisée par les chercheurs de Kaspersky fournit la base d'information la plus complète sur Arkanix. Dans leur rapport, ils détaillent à la fois les capacités des logiciels malveillants et les pistes qui suggèrent l'intervention de grands modèles linguistiques dans la génération de code, documentation et artefacts de projet. Vous pouvez consulter cette analyse directement dans le rapport public de Kaspersky pour examiner les indicateurs d'engagement et la description technique : Kaspersky - Arkanix Stealer.

En ce qui concerne ses fonctions, Arkanix a intégré un ensemble de capacités typiques dans les « info-stealers » modernes: collecte d'informations système, suppression des identifiants et des données stockées dans les navigateurs - y compris l'historique, auto-complété, cookies et mots de passe - et vol de portefeuilles ou d'extensions cryptographiques dans des dizaines de navigateurs. Les chercheurs soulignent également la capacité de saisir les jetons OAuth2 dans les navigateurs à base de chrome, une technique qui facilite l'accès persistant aux comptes sans avoir besoin de mots de passe traditionnels. En outre, le cheval de Troie a attaqué les identifiants de service VPN connus, pouvait compresser et exfiltrer les fichiers système et avait des modules téléchargeables à partir de son serveur de commande et de contrôle: des enregistreurs Chrome et portefeuilles comme Exodus aux outils pour prendre des captures d'écran, accès à distance virtuel (HVNC) et des voleurs pour les clients comme FileZilla ou Steam.

La version premium a ajouté des fonctionnalités plus avancées: RDP identifie les contrôles de vol, anti-sandbox et anti-débogage, capture d'écran WinAPI et la possibilité de cibler les plates-formes de jeux et les services d'authentification tels que Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect et GOG. Il a également inclus un outil de post-exploitation appelé ChromeElevator, conçu pour injecter dans les processus de navigateur suspendus dans l'intention d'éviter les protections telles que Google App-Bound Encryption (EBA) et donc d'accéder aux identifiants de manière non autorisée. La protection avec VMProtect visait à compliquer l'analyse statique et à retarder la détection par les produits de sécurité.

Au-delà des capacités techniques, le projet s'est comporté comme un produit commercial : il y avait un tableau de bord avec des options d'affiliation et des rétributions pour référence - une incitation à accélérer la distribution - et le serveur Discord servait d'espace pour les mises à jour, le support et la rétroaction de la communauté. Mais cet écosystème public a aussi pris fin brusquement : l'auteur a enlevé le panneau et fermé le canal sans communication, suggérant que l'initiative était intentionnellement éphémère. Selon les chercheurs eux-mêmes, cela complique le travail de détection et de surveillance, car les développeurs peuvent lancer, monétiser et disparaître rapidement, laissant peu de traçabilité.

L'une des conclusions les plus inquiétantes de l'étude est la possibilité que le développement d'Arkanix soit basé sur des modèles linguistiques pour accélérer la programmation, la production de code et le développement de documentation. Les analystes ont identifié les patrons et les traces dans le code et dans les artefacts qui correspondent aux processus assistés par LLM, ce qui, dans leur évaluation, peut avoir réduit considérablement le temps et le coût de la création. Si les criminels intègrent avec succès l'IA pour automatiser des parties du cycle de développement, nous sommes confrontés à un potentiel de démocratisation des logiciels malveillants: des acteurs peu qualifiés pourraient monter des outils sophistiqués pour des profits rapides.

Ce phénomène ne se limite pas à Arkanix. La communauté de la sécurité a depuis longtemps mis en garde contre le double usage des outils d'intelligence artificielle et la façon dont la disponibilité d'assistants de programmation peut transformer la menace. Les cadres et recommandations pour la gestion des risques liés à l'IV, tels que les travaux des organismes nationaux et internationaux sur la gouvernance de l'IV, deviennent plus importants lorsqu'on identifie les applications offensives dans le domaine de la cybersécurité. À cet égard, des approches coordonnées qui intègrent les normes techniques, les pratiques en matière de sécurité et la collaboration entre le secteur privé et les autorités sont essentielles; des organisations telles que le NIST ont publié des ressources pour guider le développement responsable de l'AI: Ressources NIST - AI.

Pour les défenseurs et les utilisateurs communs, les leçons sont pratiques et urgentes. Maintenir des logiciels et des navigateurs à jour, activer l'authentification multifactorielle dans la mesure du possible, utiliser des gestionnaires de mots de passe au lieu de stocker des identifiants dans des formulaires de texte plat ou de navigateur et revoir l'accès aux jetons et aux sessions actives sont des mesures qui réduisent la fenêtre d'opportunité pour les acteurs qui profitent des identifiants compromis. Du côté des entreprises, la surveillance de l'activité anormale dans les paramètres, la segmentation des réseaux et les politiques strictes sur l'utilisation des API et des automatismes (surtout lorsque les jetons sont gérés avec des permis élevés) contribuent à atténuer l'impact de ce type d'outil.

Enfin, Arkanix illustre deux tendances interdépendantes : d'une part, la professionnalisation et la commercialisation de logiciels criminels - qui a depuis longtemps adopté des modèles d'affaires comme « a- service » - et, d'autre part, l'arrivée de l'IV comme multiplicateur de capacité pour les développeurs et les criminels. Des rapports techniques tels que celui publié par Kaspersky non seulement documentent la menace spécifique, mais fournissent des indicateurs de compromis (hashes, domaines et adresses IP) qui permettent aux équipements de réponse et aux outils de sécurité d'identifier et de bloquer les variantes. Les responsables de la sécurité devraient utiliser ces ressources pour renforcer les détecteurs internes et les règles; le rapport Kaspersky est un bon point de départ pour ceux qui ont besoin de détails techniques: Kaspersky - rapport Arkanix.

S'il y a une idée qui est claire après l'épisode d'Arkanix, c'est que la rapidité et la facilité avec lesquelles des outils nuisibles peuvent être développés seront des facteurs déterminants du risque mondial. La communauté de la sécurité, les fournisseurs de technologie et les institutions publiques devraient non seulement améliorer les défenses techniques, mais aussi travailler sur les politiques et les pratiques visant à réduire l'utilisation abusive des technologies à des fins générales. Pendant ce temps, les utilisateurs et les administrateurs doivent présumer que la menace évolue et appliquer des mesures de prévention de base avec record: l'hygiène numérique et les bonnes pratiques sont toujours les obstacles les plus efficaces à ce type de logiciels malveillants.