Source: Microsoft Threat Intelligence (blog Microsoft Security). Contexte: Microsoft décrit l’analyse et le blocage d’une campagne de phishing par identifiants qui aurait utilisé du code généré par IA pour obfusquer un payload dans un fichier SVG et contourner des défenses classiques.

• Nature de l’attaque: phishing d’identifiants distribué depuis un compte e-mail de petite entreprise compromis, avec tactique d’e-mail auto-adressé (expéditeur = destinataire, cibles en BCC) et piège SVG déguisé en PDF. Le SVG redirigeait vers une page avec faux CAPTCHA, vraisemblablement suivi d’une fausse page de connexion pour voler des identifiants. 🎯

• Obfuscation pilotée par IA: Le SVG contenait une fausse “Business Performance Dashboard” en éléments invisibles (opacité 0) et un payload encodé en termes métier (revenue, operations, risk, shares) au sein d’un attribut masqué. Un JavaScript embarqué transformait ces termes en code exécutable pour rediriger, fingerprinter le navigateur et suivre la session. L’analyse par Security Copilot juge le code très probablement généré par LLM, avec indicateurs tels que: noms verbeux avec suffixes hexadécimaux, structure sur-modularisée, commentaires génériques en langage business, obfuscation formulaire multi-étapes, et usage inhabituel de CDATA et déclaration XML. 🤖🧠

• Détection et blocage: Malgré l’obfuscation, Microsoft Defender for Office 365 a bloqué la campagne via des modèles IA multi-signaux: infrastructure (domaine suspect), comportements (redirects, CAPTCHA, tracking), stratégies d’imitation (notifications de partage), contexte d’envoi (BCC, auto-adressage). Microsoft souligne que l’usage de l’IA par les attaquants introduit aussi de nouveaux artefacts détectables.

• TTPs observées (extraits):

  • Initial access: e-mails de phishing depuis compte compromis, pièce jointe SVG nommée comme un PDF.
  • Execution: JavaScript embarqué dans le SVG, déclenché à l’ouverture.
  • Defense evasion: éléments SVG invisibles, encodage métier du payload, faux CAPTCHA, browser fingerprinting, session tracking.

• IOCs:

  • Domaine: kmnl.cpfcenters.de (héberge du phishing; première/dernière vue: 18/08/2025)
  • Nom de fichier: 23mb – PDF- 6 Pages.svg (pièce jointe)

Il s’agit d’une analyse de menace visant à exposer une campagne de phishing obfusquée par IA, détailler ses artefacts détectables et partager des indicateurs et pistes de chasse.

🧠 TTPs et IOCs détectés

TTP

Initial access: e-mails de phishing depuis compte compromis, pièce jointe SVG nommée comme un PDF; Execution: JavaScript embarqué dans le SVG, déclenché à l’ouverture; Defense evasion: éléments SVG invisibles, encodage métier du payload, faux CAPTCHA, browser fingerprinting, session tracking.

IOC

Domaine: kmnl.cpfcenters.de; Nom de fichier: 23mb – PDF- 6 Pages.svg

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/