Des centaines d’applications Android malveillantes ont été téléchargées plus de 40 millions de fois sur Google Play entre juin 2024 et mai 2025, alerte ZScaler.

The post 239 applications Android malveillantes cumulent plus de 40 millions de téléchargements ! first appeared on IT-Connect.

Des chercheurs en cybersécurité ont découvert neuf paquets malveillants disséminés dans la bibliothèque de codes NuGet. Certains de ces pièges, destinés à compromettre les projets des développeurs qui les téléchargent, ont été programmés pour délivrer la charge offensive parfois plusieurs années après leur création. Explications.

Des chercheurs en cybersécurité ont découvert neuf paquets malveillants disséminés dans la bibliothèque de codes NuGet. Certains de ces pièges, destinés à compromettre les projets des développeurs qui les téléchargent, ont été programmés pour délivrer la charge offensive parfois plusieurs années après leur création. Explications.

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

PROMPTFLUX est malware codé en VBScript qui a une particularité : il se connecte à l'API de Google Gemini pour réécrire son code automatiquement.

The post PROMPTFLUX : ce malware utilise l’IA de Google pour réécrire son code toutes les heures ! first appeared on IT-Connect.

Les équipes de recherche de Bitdefender ont mis en lumière les nouveaux outils utilisés par le groupe cybercriminel Curly COMrades. Soupçonnés d’agir pour le compte des intérêts du Kremlin, ces hackers auraient infiltré de manière durable les réseaux de leurs victimes en semant des machines virtuelles sur des machines Windows.

Les équipes de recherche de Bitdefender ont mis en lumière les nouveaux outils utilisés par le groupe cybercriminel Curly COMrades. Soupçonnés d’agir pour le compte des intérêts du Kremlin, ces hackers auraient infiltré de manière durable les réseaux de leurs victimes en semant des machines virtuelles sur des machines Windows.

Plusieurs failles dans Teams, désormais corrigées par Microsoft, permettaient d’usurper l’identité d'utilisateurs et de modifier discrètement des messages.

The post Ces vulnérabilités dans Microsoft Teams permettaient l’usurpation d’identité et l’édition discrète de messages first appeared on IT-Connect.

Le cambriolage au musée du Louvre a révélé des failles importantes au niveau du système informatique, avec des mots de passe faibles et des systèmes obsolètes.

The post Cybersécurité du Louvre : des mots de passe inacceptables et des systèmes obsolètes ! first appeared on IT-Connect.

OpenAI a dévoilé Aardvark, un chercheur en sécurité agentique propulsé par le LLM GPT-5. Il est capable de détecter et de corriger les failles de sécurité.

The post OpenAI dévoile Aardvark, un chercheur en sécurité agentique pour détecter et patcher les vulnérabilités first appeared on IT-Connect.

Le 30 octobre 2025, OpenAI dévoilait Aarvark, un nouvel agent IA basé sur GPT-5. L'outil, destiné aux développeurs, doit permettre d'identifier les vulnérabilités présentes dans le code et proposer des solutions pour les corriger. L'outil est encore en version bêta privée.

Le 30 octobre 2025, OpenAI dévoilait Aarvark, un nouvel agent IA basé sur GPT-5. L'outil, destiné aux développeurs, doit permettre d'identifier les vulnérabilités présentes dans le code et proposer des solutions pour les corriger. L'outil est encore en version bêta privée.

La CISA confirme qu’une faille de sécurité (CVE-2024-1086) affectant le noyau Linux est désormais activement exploitée dans le cadre d’attaques par ransomware.

The post Une faille dans le noyau Linux exploitée dans des attaques par ransomware, alerte la CISA first appeared on IT-Connect.

Un jeu, mis en ligne par la société de cybersécurité Lakera, propose de tester la capacité d’un grand modèle de langage (LLM) à protéger un mot de passe confidentiel qui lui a été confié. Une manière ludique d’explorer les limites de sécurité de l’outil.

Un jeu, mis en ligne par la société de cybersécurité Lekara, propose de tester la capacité d’un grand modèle de langage (LLM) à protéger un mot de passe confidentiel qui lui a été confié. Une manière ludique d’explorer les limites de sécurité de l’outil.

Dans un article de blog publié le 30 octobre 2025, un expert en cybersécurité raconte comment sa passion pour Halloween l'a poussé à concevoir un outil permettant de pirater les masques LED. Un travail qu'il a rendu disponible au téléchargement sur Github.

Dans un article de blog publié le 30 octobre 2025, un expert en cybersécurité raconte comment sa passion pour Halloween l'a poussé à concevoir un outil permettant de pirater les masques LED. Un travail qu'il a rendu disponible au téléchargement sur Github.

On décrypte les points clés du guide ANSSI pour vous aider à concevoir une architecture robuste et efficace d'un système de journalisation.

The post Sécu’ en bref – ANSSI : bien architecturer un système de journalisation first appeared on IT-Connect.