Les chercheurs de chez ESET ont identifié PromptLock, le premier ransomware capable d’utiliser un grand modèle de langage (LLM) pour générer dynamiquement ses scripts malveillants. Voici ce que l’on sait à son sujet.
Bien qu’il s’agisse pour l’instant d’une preuve de concept, cette découverte marque une étape potentiellement dangereuse dans l’évolution des cybermenaces, en offrant une flexibilité et une capacité d’évasion accrues.
PromptLock : l’IA comme moteur de script malveillant
Découvert sur VirusTotal par les experts en sécurité d’ESET, PromptLock est un malware écrit en langage Go, conçu pour être multiplateforme puisqu’il est capable de cibler Windows, macOS et Linux. Il a une particularité : il génère ses scripts malveillants en langage Lua grâce à l’intelligence artificielle, en s’appuyant sur des prompts codés en dur.
Pour ce faire, PromptLock se connecte via un proxy tunnel à un serveur distant hébergeant le LLM gpt-oss:20b. Ce modèle est l’un des deux modèles open‑weight récemment publiés par OpenAI, ce qui le rend plus facilement exploitable depuis une instance locale (moins de ressources nécessaire).
Il interroge le modèle par l’intermédiaire de l’API d’Ollama, ce qui signifie que c’est une instance auto-hébergée. Les scripts sont conçus pour exécuter plusieurs actions malveillantes sur la machine infectée :
Énumération du système de fichiers local.
Inspection des fichiers à la recherche d’informations sensibles.
Exfiltration des données vers un serveur contrôlé par l’attaquant.
Chiffrement des fichiers à l’aide de l’algorithme SPECK 128-bit.
Les chercheurs ont également noté la présence d’une fonctionnalité de destruction de données, bien que celle-ci ne soit pas encore implémentée. Le choix de l’algorithme de chiffrement SPECK 128-bit est d’ailleurs surprenant, car il est considéré comme peu robuste.
Un ransomware expérimental
Selon ESET, PromptLock n’est pas encore une menace active, il s’agirait d’une preuve de concept (PoC) ou d’un projet en cours de déploiement. ESET l’a repéré uniquement sur VirusTotal, et non pas par l’intermédiaire de la télémétrie de ses produits. D’ailleurs, suite à la publication d’ESET, un chercheur en sécurité a affirmé qu’il s’agissait de son projet personnel qui aurait fuité…
Malgré tout, le ransomware PromptLock démontre une chose : il est possible d’intégrer l’IA pour rendre les malwares plus flexibles et plus difficiles à détecter. La génération dynamique de code malveillant peut potentiellement contourner les solutions de sécurité, en particulier celles basées sur les signatures statiques.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.