🔍 Contexte

Publié le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions et activités liées à l’intelligence artificielle (IA) observées sur des forums cybercriminels et canaux Telegram souterrains. L’analyse couvre des observations depuis janvier 2026.

🔑 Accès et partage de connaissances

Les chercheurs CTU ont observé la vente de clés API pour des outils d’IA générative (ChatGPT, Claude, Grok) via des comptes partagés et des plateformes alternatives. Des personas comme CyberThreat et VOLTC proposent un accès mutualisé à ces outils. Un manque de connaissances est notable : les acteurs se tournent vers des canaux dédiés pour apprendre les bases, le jailbreaking et les techniques de prompt engineering. Depuis janvier 2026, des offres de recrutement de prompt engineers OpenAI ont été observées.

🎭 Ingénierie sociale et déception

  • Des voice bots IA pour le vishing et la fraude téléphonique sont commercialisés sur Telegram
  • Le persona HackingRealm propose un service “AI OnlyFans Models” pour créer des personas crédibles dans des campagnes de fraude romantique
  • Ces services incluent la génération d’images synthétiques et la rédaction de messages conversationnels à grande échelle

🛠️ Malwares et outils annoncés

  • Leak Bazaar (annoncé le 25 mars 2026 par le persona “Snow”) : plateforme d’échange de données volées utilisant le machine learning pour trier et monétiser des datasets massifs
  • ApexAI (annoncé le 12 avril par “ApexDev”) : outil malveillant pour le carding, hacking et création de malwares, incluant génération de stealers et trojans
  • Metatron (annoncé le 5 avril par “WikiLeaks”) : assistant de pentest IA fonctionnant localement, disponible sur GitHub, utilisant une boucle agentique pour l’analyse autonome
  • PolyEngine (annoncé le 10 avril par “ADMN” sur le forum RTM) : packer PE polymorphique conçu pour contourner les EDR et antivirus, développé avec l’aide de Claude Code
  • Cobalt Strike mis à jour (annoncé le 9 avril par “NightRaider”) : version incluant une intégration REST API et un serveur MCP avec le LLM Claude

⚠️ Attaques assistées par IA

Un post d’administrateur du forum Rehub décrit l’utilisation de Claude pour soutenir une cyberattaque contre des réseaux gouvernementaux mexicains et le vol de données, combiné à ChatGPT pour la collecte d’informations. Le persona GhostVibe signale une augmentation des malwares assistés par IA dans ses analyses d’échantillons.

🤔 Scepticisme et spéculation

L’annonce par Anthropic du Project Glassewing (7 avril 2026) et du modèle non publié Claude Mythos Preview — capable d’identifier et chaîner des vulnérabilités logicielles de manière autonome — a suscité des débats sur les forums. Certains acteurs restent sceptiques, d’autres spéculent sur les implications pour le cybercrime.

📋 Nature de l’article

Il s’agit d’une publication de recherche CTI produite par Sophos CTU, visant à documenter l’état des discussions et usages de l’IA dans les communautés cybercriminelles souterraines, sans validation systématique des capacités revendiquées.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • CyberThreat (cybercriminal) —
  • VOLTC (cybercriminal) —
  • HackingRealm (cybercriminal) —
  • Snow (cybercriminal) —
  • ApexDev (cybercriminal) —
  • WikiLeaks (cybercriminal) —
  • ADMN (cybercriminal) —
  • NightRaider (cybercriminal) —
  • GhostVibe (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.002 — Software Packing (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1566.004 — Vishing (Initial Access)
  • T1585 — Establish Accounts (Resource Development)
  • T1588.001 — Obtain Capabilities: Malware (Resource Development)
  • T1589 — Gather Victim Identity Information (Reconnaissance)

Malware / Outils

  • Cobalt Strike (framework)
  • ApexAI (other)
  • Metatron (tool)
  • PolyEngine (other)
  • Leak Bazaar (other)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ sophos.com — source reconnue (liste interne) (20pts)
  • ✅ 16258 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : CyberThreat, VOLTC, HackingRealm (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.sophos.com/en-us/blog/ai-in-the-underground-curiosity-claims-and-concerns