🌐 Contexte
Publié le 11 mai 2026 par le Google Threat Intelligence Group (GTIG), ce rapport constitue une mise à jour du rapport de février 2026 sur l’activité liée à l’IA. Il s’appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG.
🤖 IA comme outil offensif
Découverte de vulnérabilités et exploitation
- Premier cas documenté d’un acteur cybercriminel ayant utilisé l’IA pour développer un exploit zero-day : un bypass de 2FA dans un outil d’administration web open-source, implémenté en Python. L’exploitation de masse a été évitée grâce à la divulgation responsable de GTIG.
- UNC2814 (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares TP-Link et des implémentations OFTP.
- APT45 (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée.
- Des acteurs expérimentent avec le dépôt wooyun-legacy (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l’apprentissage en contexte.
- Utilisation d’outils agentiques OpenClaw et OneClaw dans des environnements de test vulnérables.
Obfuscation et évasion (malwares AI-augmentés)
| Malware | Type d’obfuscation |
|---|---|
| PROMPTFLUX | Modification dynamique du code |
| HONESTCUE | Génération de payload d’évasion (VBScript via Gemini API) |
| CANFAIL | Logique de leurre (decoy logic) |
| LONGSTREAM | Logique de leurre (decoy logic) |
- APT27 (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau ORB (Operational Relay Box), avec paramètre
maxHops=3et support de dispositifs MOBILE_WIFI/ROUTER. - CANFAIL et LONGSTREAM (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante.
🦠 PROMPTSPY : Orchestration autonome d’attaques
PROMPTSPY est un backdoor Android qui intègre un module agent autonome nommé GeminiAutomationAgent :
- Utilise l’API gemini-2.5-flash-lite via HTTP POST pour interpréter la hiérarchie UI Android (sérialisée en XML via l’Accessibility API) et générer des commandes (CLICK, SWIPE).
- Capture les données biométriques pour rejouer les gestes d’authentification.
- Empêche la désinstallation via un overlay invisible sur le bouton « Uninstall » (module
AppProtectionDetector). - Maintient la persistance via Firebase Cloud Messaging (FCM).
- Infrastructure C2 (clés API Gemini, serveur VNC relay) mise à jour dynamiquement via le canal C2.
- Aucune application contenant PROMPTSPY n’a été détectée sur Google Play.
🕵️ Reconnaissance et opérations d’information
- Les acteurs utilisent les LLMs pour générer des hiérarchies organisationnelles détaillées et des relations tiers d’entreprises pour des leurres de phishing ciblés.
- Un acteur a tenté d’identifier le modèle exact d’ordinateur d’une cible via des photos soumises à un LLM.
- Un acteur nexus PRC a déployé les outils agentiques Hexstrike (avec le système mémoire Graphiti) et Strix contre une firme technologique japonaise et une plateforme de cybersécurité est-asiatique.
- Operation Overload (pro-Russie) : utilisation suspectée de clonage vocal IA pour usurper l’identité de journalistes réels dans des vidéos fabriquées.
🔑 Accès obfusqué aux LLMs à grande échelle
- UNC6201 (nexus PRC) : utilisation d’un script Python GitHub automatisant l’inscription et l’annulation de comptes LLM premium (bypass CAPTCHA, vérification SMS).
- UNC5673 (nexus PRC, overlaps avec TEMP.Hex) : utilisation de Claude-Relay-Service, CLI-Proxy-API, et d’autres outils pour le pooling de comptes et le partage de coûts.
- Outils observés : CLIProxyAPI, Claude Relay Service, ChatGPT Account Auto-Registration Tool, Cherry Studio, Roxy Browser.
⛓️ Attaques de la chaîne d’approvisionnement AI
- OpenClaw : distribution de packages malveillants se faisant passer pour des skills légitimes, permettant l’exécution de code non autorisé. Partenariat avec VirusTotal pour l’analyse automatique via Code Insight sur ClawHub.
- TeamPCP (aka UNC6780) : compromission de dépôts GitHub populaires (Trivy, Checkmarx, LiteLLM, BerriAI) via des packages PyPI compromis et des pull requests malveillantes. Déploiement du stealer SANDCLOCK pour exfiltrer des secrets cloud (clés AWS, tokens GitHub). Monétisation via des partenariats avec des groupes ransomware.
📋 Type d’article
Rapport de threat intelligence publié par GTIG (Google), visant à documenter l’évolution des usages offensifs de l’IA générative par des acteurs étatiques et cybercriminels, et à informer la communauté de sécurité sur les nouvelles capacités et vecteurs d’attaque observés.
🧠 TTPs et IOCs détectés
Acteurs de menace
- UNC2814 (state-sponsored) — orkl.eu · Malpedia
- APT45 (state-sponsored) — orkl.eu · Malpedia
- APT27 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
- UNC6201 (state-sponsored) — orkl.eu · Malpedia
- UNC5673 (state-sponsored) —
- TeamPCP (cybercriminal) — orkl.eu · Malpedia
- UNC6780 (cybercriminal) —
TTP
- T1592.001 — Gather Victim Host Information: Hardware (Reconnaissance)
- T1591.002 — Gather Victim Org Information: Business Relationships (Reconnaissance)
- T1591.004 — Gather Victim Org Information: Identify Roles (Reconnaissance)
- T1587.001 — Develop Capabilities: Malware (Resource Development)
- T1587.004 — Develop Capabilities: Exploits (Resource Development)
- T1588.002 — Obtain Capabilities: Tools (Resource Development)
- T1588.005 — Obtain Capabilities: Exploits (Resource Development)
- T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
- T1588.007 — Obtain Capabilities: Artificial Intelligence (Resource Development)
- T1566 — Phishing (Initial Access)
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1027.014 — Obfuscated Files or Information: Polymorphic Code (Defense Evasion)
- T1027.016 — Obfuscated Files or Information: Junk Code Insertion (Defense Evasion)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
Malware / Outils
- PROMPTSPY (backdoor)
- PROMPTFLUX (other)
- HONESTCUE (other)
- CANFAIL (other)
- LONGSTREAM (loader)
- SANDCLOCK (stealer)
- GeminiAutomationAgent (other)
- Hexstrike (framework)
- Strix (framework)
- OpenClaw (framework)
- OneClaw (tool)
- Claude-Relay-Service (tool)
- CLIProxyAPI (tool)
🟢 Indice de vérification factuelle : 65/100 (haute)
- ✅ cloud.google.com — source reconnue (liste interne) (20pts)
- ✅ 44990 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 14 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : UNC2814, APT45, APT27 (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access?hl=en