L'envolée de l'intelligence artificielle a un revers sombre : l'émergence de modèles de langage spécifiquement conçus ou modifiés à des fins malveillantes. Des outils comme WormGPT 4 et KawaiiGPT, analysés par les chercheurs de Palo Alto Networks Unit 42, en sont une illustration.
Comment WormGPT 4 commercialise-t-il la cybercriminalité ?
WormGPT 4 s'est imposé comme une référence sur les forums clandestins, se présentant comme " votre clé vers une IA sans limites ". Contrairement à des versions jailbreakées de modèles publics, il s'agit d'un service commercialisé avec une stratégie claire. Les abonnements sont proposés à des tarifs accessibles : 50 dollars par mois, 175 dollars par an ou 220 dollars pour un accès à vie, code source inclus.
Sa principale force réside dans sa capacité à générer du code malveillant fonctionnel et du texte de phishing d'une qualité redoutable. Les chercheurs de l'Unit 42 ont démontré qu'en une seule requête, le modèle pouvait produire un script PowerShell complet pour un ransomware.
Ce script, utilisant un chiffrement AES-256, est capable de verrouiller des fichiers et intègre même une option pour exfiltrer les données via le réseau Tor.
KawaiiGPT est-il une menace aussi sérieuse ?
Si WormGPT 4 représente la commercialisation du cybercrime-as-a-service, KawaiiGPT en est la version gratuite et open source. Disponible sur GitHub, son installation sur un système Linux ne prendrait que moins de cinq minutes. Cette accessibilité supprime toute barrière financière ou technique pour les attaquants novices.
KawaiiGPT excelle dans la création de messages de spearphishing et peut générer des scripts Python pour des phases critiques d'une attaque, comme le déplacement au sein d'un réseau via SSH ou l'exfiltration de fichiers.
Le modèle peut également produire instantanément des notes de rançon complètes, avec instructions de paiement en Bitcoin.
Quelles sont les implications de cette nouvelle vague de menaces ?
L'impact le plus significatif de ces LLM malveillants est la démocratisation de la cybercriminalité. Des attaques nécessitant auparavant une expertise technique et linguistique sont désormais à la portée de presque n'importe qui. Le cycle d'une attaque, qui pouvait prendre des jours, est dorénavant compressé à quelques minutes de requêtes.
Cette nouvelle réalité oblige les défenseurs à repenser leurs stratégies. Par exemple, les signes classiques d'une tentative de phishing, comme les fautes de grammaire, disparaissent.
Bien que le code généré nécessite quelques ajustements humains pour être pleinement efficace, ces outils sont le socle d'attaques assistées par IA.
N.B. : Source images : Palo Alto Networks.
