https://cyberveille.ch/tags/longstream/ Recent content in LONGSTREAM on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 11 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-11-gtig-les-acteurs-malveillants-exploitent-l-ia-pour-la-decouverte-de-vulnerabilites-et-les-operations-offensives/ Mon, 11 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-11-gtig-les-acteurs-malveillants-exploitent-l-ia-pour-la-decouverte-de-vulnerabilites-et-les-operations-offensives/ <h2 id="-contexte">🌐 Contexte</h2> <p>Publié le 11 mai 2026 par le <strong>Google Threat Intelligence Group (GTIG)</strong>, ce rapport constitue une mise à jour du rapport de février 2026 sur l&rsquo;activité liée à l&rsquo;IA. Il s&rsquo;appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG.</p> <h2 id="-ia-comme-outil-offensif">🤖 IA comme outil offensif</h2> <h3 id="découverte-de-vulnérabilités-et-exploitation">Découverte de vulnérabilités et exploitation</h3> <ul> <li><strong>Premier cas documenté</strong> d&rsquo;un acteur cybercriminel ayant utilisé l&rsquo;IA pour développer un <strong>exploit zero-day</strong> : un bypass de <strong>2FA</strong> dans un outil d&rsquo;administration web open-source, implémenté en Python. L&rsquo;exploitation de masse a été évitée grâce à la divulgation responsable de GTIG.</li> <li><strong>UNC2814</strong> (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares <strong>TP-Link</strong> et des implémentations <strong>OFTP</strong>.</li> <li><strong>APT45</strong> (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée.</li> <li>Des acteurs expérimentent avec le dépôt <strong>wooyun-legacy</strong> (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l&rsquo;apprentissage en contexte.</li> <li>Utilisation d&rsquo;outils agentiques <strong>OpenClaw</strong> et <strong>OneClaw</strong> dans des environnements de test vulnérables.</li> </ul> <h3 id="obfuscation-et-évasion-malwares-ai-augmentés">Obfuscation et évasion (malwares AI-augmentés)</h3> <table> <thead> <tr> <th>Malware</th> <th>Type d&rsquo;obfuscation</th> </tr> </thead> <tbody> <tr> <td>PROMPTFLUX</td> <td>Modification dynamique du code</td> </tr> <tr> <td>HONESTCUE</td> <td>Génération de payload d&rsquo;évasion (VBScript via Gemini API)</td> </tr> <tr> <td>CANFAIL</td> <td>Logique de leurre (decoy logic)</td> </tr> <tr> <td>LONGSTREAM</td> <td>Logique de leurre (decoy logic)</td> </tr> </tbody> </table> <ul> <li><strong>APT27</strong> (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau <strong>ORB</strong> (Operational Relay Box), avec paramètre <code>maxHops=3</code> et support de dispositifs MOBILE_WIFI/ROUTER.</li> <li><strong>CANFAIL</strong> et <strong>LONGSTREAM</strong> (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante.</li> </ul> <h2 id="-promptspy--orchestration-autonome-dattaques">🦠 PROMPTSPY : Orchestration autonome d&rsquo;attaques</h2> <p><strong>PROMPTSPY</strong> est un backdoor Android qui intègre un module agent autonome nommé <strong>GeminiAutomationAgent</strong> :</p>