Un récent rapport de la société de cybersécurité Bitdefender s'est concentré sur une nouvelle phase de l'évolution des attaques parrainées par l'État : le groupe connu sous le nom de Tribe transparente ou APT36 a commencé à exploiter des outils d'intelligence artificielle pour produire de grandes quantités de logiciels malveillants dans des langues non conventionnelles et compter sur des services légitimes pour leurs communications. Ce n'est pas tant une révolution technique qu'une stratégie pour saturer les défenses. rendre plus facile pour des pièces médiocres mais nombreuses d'atteindre leur objectif en mélangeant avec le trafic légitime.
L'analyse technique publiée par Bitdefender décrit comment l'acteur crée des implants programmés dans des langages émergents ou de niche - Nim, Zig, Crystal, Rust, Go - et utilise des plateformes d'utilisation quotidienne telles que Slack, Discord, Supabase, Firebase ou Google Sheets pour le canal de commande et de contrôle. Ce choix cherche que le trafic malveillant ne se distingue pas des outils qui n'inspectent que des signatures simples ou des modèles. Vous pouvez lire le rapport Bitdefender original ici: Bitdefender: APT36 et le phénomène vibeware.
Les modèles linguistiques ont raccourci la courbe d'apprentissage : ils permettent aux acteurs ayant des connaissances limitées de générer du code dans des langues qui leur étaient auparavant étrangères, ou de porter la logique d'un binaire traditionnel à un autre écosystème de développement. Le résultat, selon les chercheurs, est une « industrialisation » de logiciels malveillants où l'échelle et la diversité des échantillons cherchent à éroder la télémétrie défensive. Bitdefender note que nombre de ces binaires sont instables et contiennent des erreurs logiques, mais qu'ils sont toujours opérationnels lorsqu'ils sont déployés massivement.
Des campagnes récentes ont fait ressortir un intérêt particulier pour les objectifs du gouvernement indien et ses missions diplomatiques à l'étranger, tandis que des intrusions contre l'administration afghane et certaines entreprises privées ont également été détectées. L'intrusion initiale commence généralement par des messages d'hameçonnage qui fournissent des raccourcis de Windows (.LNK) dans des fichiers compressés ou des images ISO, ou avec des documents PDF qui redirige vers le téléchargement de ces mêmes fichiers. En cours d'exécution, l'accès initial est obtenu par PowerShell en mémoire qui télécharge et démarre la porte arrière principale, et à partir de là il ya des outils de simulation des adversaires tels que Cobalt Strike ou Havoc pour assurer la persistance et la mobilité latérale.
Les chercheurs ont identifié une vaste gamme d'outils et de composants qui illustrent la stratégie : des leaders écrits en cristal ou en zig qui chargent le shellcode en mémoire; des leaders expérimentaux à Nim qui transportent des balises Cobalt Strike; des composants .NET qui servent de première livraison de charges supplémentaires; et une variété de portes arrière et d'infostealers écrits en Rust ou Go qui utilisent des API de services cloud et de productivité pour leur contrôle et contrôle. Les noms dans les rapports comprennent Warcode, NimShellcodeLoader, CreepDropper, SHEETCREEP, MAILCREEP, SupaServ, LuminousStealer, Crystal Shell, ZigShell, Crystal File, LuminousCookies, BackupSpy, ZigLoader et une variante personnalisée du cadre GateSentinel. Pour ceux qui veulent approfondir l'enquête sur le projet GateSentinel open source, il y a de la documentation publique à GitHub: GateSentinel (GitHub).
Que ces composants soutiennent leur télémétrie sur les canaux légitimes n'est pas une coïncidence : l'utilisation de services de confiance complique les signaux qui déclenchent anormalement les alertes et permettent aux attaquants de « camoufler » dans le trafic que les équipes considèrent souvent inoffensifs. La combinaison de langues exotiques et de services légitimes comme le proxy C2 réduit la visibilité des défenses traditionnelles C'est exactement ce qu'ils recherchent pour les groupes qui utilisent maintenant des assistants de programmation basés sur LLM.
D'un point de vue défensif, la conclusion des analystes est claire : la sécurité ne peut plus se fonder uniquement sur des listes de signatures. La détection basée sur le comportement, la télémétrie enrichie et les contrôles qui limitent l'exécution de binaires non autorisés deviennent la ligne de confinement la plus efficace. De nombreuses recommandations pratiques pour durcir l'environnement correspondent à des guides d'agences publiques et de fournisseurs : renforcer le filtre de courrier et la formation à la détection d'hameçonnage, appliquer des politiques restrictives sur l'exécution de raccourcis et de fichiers téléchargés depuis Internet, maintenir l'EDR/antimalware moderne avec une capacité d'analyse de mémoire, et utiliser l'authentification multifactorielle et des contrôles stricts sur les jetons et API tiers.
Pour ceux qui gèrent les défenses des entreprises et du gouvernement, l'agence américaine de cybersécurité. USA (CISA) offre des ressources et des conseils sur la façon de réduire le risque d'hameçonner des campagnes et des attaques avec des outils en direct en mémoire; voir vos recommandations peut être un bon point de départ: CISA - Arrête. Connexion & #160;: Guide anti-phishing. En parallèle, Microsoft publie de la documentation sur les bonnes pratiques dans l'utilisation sûre de PowerShell et l'atténuation de l'abus de mémoire, matériel utile pour durcir les vecteurs d'exécution que les attaquants exploitent souvent: Microsoft - PowerShell: pratiques de sécurité.
Au-delà des améliorations techniques, il y a une discussion plus large qui commence à prendre de la force : comment gérer le risque que les outils d'intelligence artificielle facilitent la création de logiciels malveillants. Il ne s'agit pas seulement de bloquer les exécutables, mais de comprendre que les obstacles à l'entrée pour construire et à l'échelle des campagnes malveillantes sont réduits. Les entreprises, les administrations et les fournisseurs de plate-forme devraient travailler ensemble pour détecter les abus d'API, restreindre l'utilisation des références qui permettent les canaux C2 et développer des signatures heuristiques qui détectent les modèles de comportement contre la simple présence d'un artefact.
Le cas de l'APT36 montre que la menace évolue en s'adaptant à l'économie de soins : inundate avec des variantes de surface et compte sur le bruit pour éviter d'être détecté. La réponse efficace consiste à moderniser les contrôles, à hiérarchiser la prévention du phishing et à mettre l'accent sur la détection fondée sur l'anomalie et le contexte..
Si vous gérez la sécurité dans une organisation, vous devriez revoir les paramètres de messagerie, resserrer les autorisations sur les services cloud, vérifier l'intégration avec Slack / Discord / Supabase / Firebase et renforcer la visibilité sur les terminaux et sur le réseau. Pour une analyse technique plus approfondie et des exemples spécifiques des composants observés, voir le rapport Bitdefender et les analyses complémentaires publiées par les équipes de recherche de l'industrie de la cybersécurité.
La leçon laissée par cet épisode est double : d'une part, l'intelligence artificielle facilite l'expérimentation des agresseurs et la production de masse ; d'autre part, les défenses contemporaines disposent d'outils et de tactiques pour atténuer ce risque, à condition que la détection par la gestion du comportement et de l'identité et l'accès soient mis à jour et hiérarchisés. Dans la cybersécurité, comme dans d'autres domaines, l'échelle et l'automatisation changent les règles du jeu, et la meilleure réponse est d'adapter les défenses à cette nouvelle réalité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...