L'essor des outils de piratage basés sur l'IA a suscité des inquiétudes quant à l'exploitation automatisée généralisée des vulnérabilités. Cependant, une menace plus immédiate est l'utilisation de l'IA pour amplifier les capacités des pirates moins sophistiqués. Un groupe nord-coréen a été découvert en train d'utiliser l'IA pour automatiser divers aspects de ses opérations, leur permettant de cibler des milliers de victimes et de voler des cryptomonnaies. ### Cybercriminalité alimentée par l'IA Mercredi, **Expel** a révélé une opération de cybercriminalité parrainée par l'État nord-coréen, **HexagonalRodent**, qui a déployé des malwares de vol d'identifiants sur plus de 2 000 ordinateurs. Le groupe a spécifiquement ciblé les développeurs travaillant sur des projets de cryptomonnaies, NFT et Web3. En tirant parti des outils d'IA d'entreprises comme **OpenAI**, **Cursor** et **Anima**, **HexagonalRodent** a automatisé des tâches allant de la création de malwares à la construction de faux sites Web pour des campagnes de phishing. Cette approche basée sur l'IA a permis au groupe de voler environ 12 millions de dollars en cryptomonnaies en trois mois. ### L'IA amplifie les pirates peu sophistiqués Le chercheur en sécurité **Marcus Hutchins**, connu pour avoir désactivé le ver ransomware **WannaCry**, souligne que l'aspect le plus important de la campagne **HexagonalRodent** n'est pas sa sophistication, mais la manière dont les outils d'IA ont permis à un groupe relativement peu qualifié d'exécuter une opération de vol rentable. « Ces opérateurs n'ont pas les compétences pour écrire du code. Ils n'ont pas les compétences pour mettre en place l'infrastructure. L'IA leur permet en fait de faire des choses qu'ils ne pourraient pas faire autrement », déclare **Hutchins**. ### Code écrit par IA, truffé d'emojis L'opération de **HexagonalRodent** a consisté à tromper les développeurs de crypto avec de fausses offres d'emploi dans de fausses entreprises technologiques, avec des sites Web générés par IA. Les victimes étaient invitées à réaliser un devoir de codage infecté par un malware conçu pour voler des identifiants, leur accordant potentiellement l'accès à leurs portefeuilles de crypto. Malgré leur efficacité, les pirates ont commis plusieurs erreurs, notamment en laissant leur infrastructure non sécurisée et en exposant les invites utilisées pour générer des malwares avec des outils comme **ChatGPT** et **Cursor**. Ils ont également divulgué une base de données suivant les portefeuilles des victimes, permettant à **Expel** d'estimer la quantité totale de cryptomonnaies volées. **Hutchins** a analysé le malware et a trouvé d'autres preuves de l'implication de l'IA, y compris des commentaires anglais étendus et l'utilisation inhabituelle d'emojis dans le code. « C'est un signe assez bien documenté de code écrit par IA », note **Hutchins**. ### Exploiter une niche Selon **Hutchins**, le code écrit par IA aurait dû être détectable par les outils standard de détection et de réponse des terminaux. Cependant, **HexagonalRodent** a ciblé des victimes individuelles qui manquaient souvent de ces mesures de sécurité. « Ils ont trouvé une niche où l'on peut s'en tirer avec des malwares entièrement générés par IA », explique **Hutchins**. **Hutchins** suggère que l'IA est particulièrement bénéfique pour la Corée du Nord, qui dispose d'un bassin limité de pirates qualifiés mais peut facilement recruter des travailleurs informatiques moins qualifiés. « Ils ont des centaines de personnes envoyées à la frontière pour travailler dans les opérations informatiques, et seulement quelques-unes d'entre elles savent vraiment ce qu'elles font », dit **Hutchins**. « Mais ensuite, ils sont capables d'utiliser l'IA générative pour prendre de l'avance et mener des campagnes de piratage assez réussies. » **Expel** estime qu'il y avait jusqu'à 31 pirates individuels impliqués dans **HexagonalRodent**, indiquant que l'IA élargit, et non réduit, la taille des opérations cybernétiques nord-coréennes. ### L'adoption de l'IA par la Corée du Nord L'activité **HexagonalRodent** n'est qu'une petite partie des activités cybercriminelles plus larges de la Corée du Nord, qui comprennent le vol de cryptomonnaies, les ransomwares, l'espionnage et l'infiltration d'organisations occidentales. Ces opérations sont souvent comparées à un « syndicat du crime sanctionné par l'État » qui finance le programme nucléaire et les infrastructures de la nation. La Corée du Nord intègre activement l'IA générative dans ses flux de travail de piratage et de fraude. La création du Centre de recherche 227, sous le Bureau général de reconnaissance de l'armée, démontre une concentration sur les outils de piratage basés sur l'IA. Cependant, les opérateurs cybernétiques nord-coréens tirent également parti des outils d'IA commerciaux. **Michael “Barni” Barnhart** de **DTEX** note que « la Corée du Nord utilise l'IA comme un multiplicateur de force, et elle aide à tous les aspects – la création de CV, la création de sites Web, la création d'exploits, le test de vulnérabilités – et ils le font à la vitesse et à l'échelle. »