Lundi, Google a révélé avoir identifié un acteur malveillant inconnu utilisant une faille zero-day qui, selon lui, a probablement été développée avec un système d’intelligence artificielle (IA), marquant ainsi la première fois que cette technologie est utilisée en conditions réelles dans un contexte malveillant pour la découverte de vulnérabilités et la génération d’exploits.

Cette activité serait l’œuvre de cybercriminels qui semblent avoir collaboré pour planifier ce que le géant technologique a décrit comme une « opération d’exploitation massive de vulnérabilités ».

« Notre analyse des exploits associés à cette campagne a identifié une vulnérabilité zero-day implémentée dans un script Python qui permet à l’utilisateur de contourner l’authentification à deux facteurs (2FA) sur un outil d’administration système open source populaire basé sur le Web », a déclaré le Google Threat Intelligence Group (GTIG) dans un rapport partagé avec The Hacker News.

Le géant technologique a déclaré avoir collaboré avec le fournisseur concerné afin de divulguer la faille de manière responsable et de la corriger, dans le but d’interrompre proactivement l’activité. Il n’a pas divulgué le nom de l’outil.

Bien qu’il n’existe aucune preuve suggérant que l’outil d’IA Gemini de Google ait été utilisé pour aider les acteurs malveillants, le GTIG a estimé avec une grande certitude qu’un modèle d’IA a été instrumentalisé pour faciliter la découverte et l’exploitation de la faille via un script Python présentant toutes les caractéristiques typiques d’un code généré par un modèle de langage étendu (LLM).

« Par exemple, le script contient une abondance de chaînes de documentation pédagogiques, y compris un score CVSS halluciné, et utilise un format Python structuré, digne d’un manuel scolaire, très caractéristique des données d’entraînement des LLM (par exemple, des menus d’aide détaillés et la classe de couleur ANSI _C propre) », a ajouté GTIG.

Cette vulnérabilité, décrite comme un contournement de l’authentification à deux facteurs, nécessite des identifiants utilisateur valides pour être exploitée. Elle provient d’une faille de logique sémantique de haut niveau résultant d’une hypothèse de confiance codée en dur, un type de faille que les experts en logique de bas niveau savent parfaitement repérer.

« L’IA accélère déjà la découverte des vulnérabilités, réduisant ainsi les efforts nécessaires pour identifier, valider et exploiter les failles », a déclaré Ryan Dewhurst, responsable du renseignement sur les menaces chez watchTowr, à The Hacker News. « C’est la réalité d’aujourd’hui : la découverte, l’exploitation et l’utilisation des vulnérabilités sont plus rapides. Nous n’observons pas une simple accélération du processus ; nous constatons une accélération depuis des années. Les attaquants sont impitoyables et les défenseurs ne peuvent pas se dérober. » 

Cette évolution survient alors que l’IA n’agit pas seulement comme un multiplicateur de force pour la divulgation et l’exploitation des vulnérabilités, mais permet également aux attaquants de développer des logiciels malveillants polymorphes et de mener des opérations de logiciels malveillants autonomes, comme observé dans le cas de PromptSpy , un logiciel malveillant Android qui exploite Gemini pour analyser l’écran actuel et lui fournir des instructions pour épingler l’application malveillante dans la liste des applications récentes.

Des investigations plus poussées sur la porte dérobée ont révélé un ensemble de capacités plus étendu permettant au logiciel malveillant de naviguer dans l’interface utilisateur Android et de surveiller et d’interpréter de manière autonome l’activité de l’utilisateur en temps réel afin de déterminer la prochaine action à entreprendre à l’aide d’un module d’agent autonome.

PromptSpy est également capable de capturer les données biométriques de la victime afin de reproduire ses gestes d’authentification, comme le code PIN ou le schéma de verrouillage de l’écran, et ainsi récupérer l’accès à un appareil compromis. De plus, il peut empêcher la désinstallation grâce à un module « AppProtectionDetector » qui repère les coordonnées du bouton « Désinstaller » à l’écran et superpose une zone invisible à ce bouton pour bloquer les interactions tactiles de la victime et donner l’impression que le bouton est inactif.

« Bien que PromptSpy s’initialise à l’aide d’une infrastructure et d’identifiants par défaut codés en dur, le logiciel malveillant est conçu avec une grande résilience opérationnelle, permettant aux adversaires de faire tourner les composants critiques en cours d’exécution sans redéployer la charge utile de PromptSpy », a déclaré Google.

« Plus précisément, l’infrastructure de commande et de contrôle (C2) du logiciel malveillant, notamment les clés API Gemini et le serveur relais VNC, peut être mise à jour dynamiquement via le canal C2. Ce modèle de configuration démontre que les développeurs ont anticipé les contre-mesures défensives et conçu la porte dérobée pour maintenir sa présence même si certains points d’accès à l’infrastructure sont identifiés et bloqués par les équipes de défense. »

Google a déclaré avoir pris des mesures contre PromptSpy en désactivant tous les éléments liés à cette activité malveillante. Aucune application contenant le logiciel malveillant n’a été détectée sur le Play Store. Voici quelques autres cas d’utilisation abusive de Gemini repérés par Google :

• Un groupe d’espionnage informatique soupçonné d’être lié à la Chine, baptisé UNC2814, a incité Gemini à assumer le rôle d’expert en sécurité réseau pour déclencher un jailbreak basé sur une identité et soutenir la recherche de vulnérabilités sur des cibles de dispositifs embarqués, notamment le firmware TP-Link et les implémentations du protocole de transfert de fichiers Odette (OFTP).
• Le groupe de menaces nord-coréen connu sous le nom d’ APT45 (alias Andariel et Onyx Sleet) a envoyé des « milliers de messages répétitifs » qui analysent de manière récursive différentes CVE et valident des exploits de preuve de concept (PoC).
• Un groupe de pirates informatiques chinois connu sous le nom d’ APT27 a utilisé Gemini pour accélérer le développement d’une application de gestion de flotte dans le but probable de gérer un réseau de boîtes de relais opérationnelles (ORB).
• Un groupe d’activités d’intrusion liées à la Russie a ciblé des organisations ukrainiennes pour diffuser des logiciels malveillants utilisant l’IA, baptisés CANFAIL et LONGSTREAM, qui utilisent tous deux un code leurre généré par LLM pour dissimuler leur fonctionnalité malveillante.

Des acteurs malveillants ont également été découverts en train d’expérimenter avec un dépôt GitHub spécialisé nommé « wooyun-legacy », conçu comme un plugin de compétences de code Claude présentant plus de 5 000 cas de vulnérabilités réelles collectées par la plateforme chinoise de divulgation de vulnérabilités WooYun entre 2010 et 2016.

« En initialisant le modèle avec des données de vulnérabilité, on facilite l’apprentissage en contexte pour orienter le modèle vers une analyse de code similaire à celle d’un expert chevronné et identifier les failles logiques que le modèle de base pourrait autrement ne pas prioriser », a expliqué Google.

Ailleurs, un acteur malveillant présumé, lié à la Chine, aurait déployé des outils d’automatisation tels que Hexstrike AI et Strix lors d’une attaque ciblant une entreprise technologique japonaise et une importante plateforme de cybersécurité d’Asie de l’Est, afin de mener des investigations automatisées avec une supervision humaine minimale.

Google a également déclaré qu’il continue de constater que des acteurs des opérations d’information (OI) de Russie, d’Iran, de Chine et d’Arabie saoudite utilisent l’IA pour des tâches de productivité courantes telles que la recherche, la création de contenu et la localisation, tout en dénonçant une activité menaçante liée à la Chine de la part d’UNC6201 qui impliquait l’utilisation d’un script Python disponible publiquement pour enregistrer automatiquement et annuler immédiatement des comptes LLM premium.

« Ce processus met en lumière les méthodes utilisées par les adversaires pour se procurer à grande échelle des capacités d’IA de haut niveau tout en protégeant leurs activités malveillantes des suspensions de compte », a souligné GTIG.

« Les acteurs malveillants recherchent désormais un accès anonymisé et privilégié aux modèles grâce à des intergiciels professionnels et des systèmes d’enregistrement automatisés afin de contourner illicitement les limites d’utilisation. Cette infrastructure permet un usage abusif à grande échelle des services tout en finançant les opérations par le biais d’abus de périodes d’essai et de la gestion automatisée des comptes. »

Une autre activité liée à la Chine signalée par Google provient de UNC5673 (alias TEMP.Hex), qui a utilisé divers outils commerciaux disponibles publiquement et des projets GitHub pour faciliter probablement l’abus à grande échelle de LLM.

Ces conclusions corroborent des rapports récents  faisant état d’un marché parallèle florissant de plateformes de relais d’API permettant à des développeurs locaux en Chine d’accéder illégalement aux logiciels Anthropic Claude et Gemini. Ces relais acheminent l’accès à ces modèles d’IA via des serveurs proxy hébergés hors de Chine continentale. Ces services sont proposés sur les plateformes de vente en ligne chinoises Taobao et Xianyu.

Dans une étude publiée en mars 2026, des chercheurs du CISPA Helmholtz Center for Information Security ont découvert 17 API fantômes prétendant offrir un accès indirect aux services de modèles officiels, sans restriction géographique. Une évaluation des performances de ces services a mis en évidence des cas de substitution de modèles, exposant ainsi les applications d’IA à des risques de sécurité imprévus.

« Sur des référentiels médicaux à haut risque comme MedQA, la précision du modèle Gemini-2.5-flash chute brutalement, passant de 83,82 % avec l’API officielle à environ 37,00 % sur l’ensemble des API non officielles examinées », ont déclaré les chercheurs dans l’article.

De plus, les services proxy peuvent capturer chaque requête et réponse qui transite par leurs serveurs, offrant ainsi aux opérateurs un accès illégal à une mine d’or de données qui pourraient ensuite être utilisées pour affiner les modèles et procéder à  une distillation illicite des connaissances . 

Ces derniers mois, les environnements d’IA sont également devenus la cible d’adversaires comme  TeamPCP (alias UNC6780), exposant les développeurs à des attaques de la chaîne d’approvisionnement et permettant aux attaquants de s’infiltrer plus profondément dans les réseaux compromis pour une exploitation ultérieure.

« Par exemple, des acteurs malveillants ayant accès aux systèmes d’IA d’une organisation pourraient exploiter des modèles et outils internes pour identifier, collecter et exfiltrer des informations sensibles à grande échelle, ou encore effectuer des missions de reconnaissance pour s’infiltrer plus profondément au sein d’un réseau », a déclaré Google. « Bien que le niveau d’accès et l’utilisation spécifique dépendent fortement de l’organisation et de la dépendance compromise, cette étude de cas illustre l’étendue des menaces pesant sur la chaîne d’approvisionnement logicielle des systèmes d’IA. »