En bref
- Un nouveau rapport d'Anthropic indique que des cybercriminels utilisent l'IA pour mener des campagnes d'extorsion en temps réel, avec des notes de rançon utilisant le Bitcoin comme moyen de paiement.
- Des agents nord-coréens falsifient leurs compétences techniques grâce à l'IA pour décrocher des emplois technologiques occidentaux, détournant des millions vers des programmes d'armement, souvent blanchis via la crypto.
- Un acteur basé au Royaume-Uni vend des kits de ransomware-as-a-service construits par IA sur des forums du dark web, avec des paiements réglés en crypto.
Anthropic a publié mercredi un nouveau rapport de renseignement sur les menaces qui se lit comme un aperçu du futur de la cybercriminalité.
Son rapport documente comment les acteurs malveillants ne se contentent plus de demander des conseils de codage à l'IA, ils l'utilisent pour mener des attaques en temps réel — et utilisent la crypto comme moyen de paiement.
Le cas le plus marquant est ce que les chercheurs appellent "vibe hacking." Dans cette campagne, un cybercriminel a utilisé Claude Code d'Anthropic — un assistant de codage en langage naturel qui s'exécute dans le terminal — pour mener une opération d'extorsion massive auprès d'au moins 17 organisations, dont des institutions gouvernementales, de santé et religieuses.
Au lieu de déployer un ransomware classique, l'attaquant s'est appuyé sur Claude pour automatiser la reconnaissance, récolter des identifiants, pénétrer des réseaux et exfiltrer des données sensibles. Claude n'a pas seulement fourni des conseils ; il a exécuté des actions "au clavier" comme scanner des points de terminaison VPN, écrire des malwares personnalisés et analyser les données volées pour déterminer quelles victimes pouvaient payer le plus.
Puis vint le chantage : Claude a généré des notes de rançon HTML personnalisées, adaptées à chaque organisation avec des chiffres financiers, des effectifs et des menaces réglementaires. Les demandes allaient de 75 000 à 500 000 dollars en Bitcoin. Un seul opérateur, augmenté par l'IA, disposait de la puissance de feu d'une équipe entière de pirates.
La crypto alimente la criminalité propulsée par l'IA
Bien que le rapport couvre tout, de l'espionnage d'État aux arnaques romantiques, le fil conducteur est l'argent — et une grande partie circule via les rails crypto. La campagne d'extorsion "vibe hacking" exigeait des paiements allant jusqu'à 500 000 dollars en Bitcoin, avec des notes de rançon générées automatiquement par Claude pour inclure des adresses de portefeuille et des menaces spécifiques aux victimes.
Une boutique distincte de ransomware-as-a-service vend des kits de malware construits par IA sur des forums du dark web où la crypto est la devise par défaut. Et dans le tableau géopolitique plus large, la fraude des travailleurs informatiques nord-coréens assistée par IA détourne des millions vers les programmes d'armement du régime, souvent blanchis via des canaux crypto.
En d'autres termes : l'IA amplifie les types d'attaques qui s'appuient déjà sur la cryptomonnaie pour les paiements et le blanchiment, rendant la crypto plus étroitement liée à l'économie de la cybercriminalité que jamais.
Le stratagème des travailleurs informatiques nord-coréens propulsé par l'IA
Autre révélation : la Corée du Nord a profondément intégré l'IA dans son manuel d'évasion des sanctions. Les agents informatiques du régime décrochent des emplois à distance frauduleux dans des entreprises technologiques occidentales en simulant des compétences techniques avec l'aide de Claude.
Selon le rapport, ces travailleurs dépendent presque entièrement de l'IA pour leurs tâches quotidiennes. Claude génère des CV, rédige des lettres de motivation, répond aux questions d'entretien en temps réel, débogue du code et compose même des emails professionnels.
Le stratagème est lucratif. Le FBI estime que ces embauches à distance acheminent des centaines de millions de dollars annuellement vers les programmes d'armement nord-coréens. Ce qui nécessitait auparavant des années de formation technique d'élite dans les universités de Pyongyang peut maintenant être simulé à la volée avec l'IA.
Ransomware à vendre : No-code, construit par IA
Si cela ne suffisait pas, le rapport détaille un acteur basé au Royaume-Uni (suivi sous le nom GTG-5004) gérant une boutique de ransomware no-code. Avec l'aide de Claude, l'opérateur vend des kits de ransomware-as-a-service (RaaS) sur des forums du dark web comme Dread et CryptBB.
Pour aussi peu que 400 dollars, les criminels en herbe peuvent acheter des DLL et des exécutables alimentés par le chiffrement ChaCha20. Un kit complet avec une console PHP, des outils de commande et contrôle, et d'évasion d'analyse coûte 1 200 dollars. Ces packages incluent des astuces comme FreshyCalls et RecycledGate, des techniques nécessitant normalement une connaissance avancée des mécanismes internes de Windows pour contourner les systèmes de détection des terminaux.
La partie inquiétante ? Le vendeur semble incapable d'écrire ce code sans l'assistance de l'IA. Le rapport d'Anthropic souligne que l'IA a effacé la barrière des compétences — n'importe qui peut désormais construire et vendre des ransomwares avancés.
Opérations soutenues par des États : Chine et Corée du Nord
Le rapport souligne également comment les acteurs étatiques intègrent l'IA dans leurs opérations. Un groupe chinois ciblant les infrastructures critiques vietnamiennes a utilisé Claude à travers 12 des 14 tactiques MITRE ATT&CK — tout, de la reconnaissance à l'élévation de privilèges et aux mouvements latéraux. Les cibles incluaient des fournisseurs de télécommunications, des bases de données gouvernementales et des systèmes agricoles.
Séparément, Anthropic affirme avoir auto-perturbé une campagne de malware nord-coréenne liée au tristement célèbre stratagème "Contagious Interview". Des protections automatisées ont détecté et banni des comptes avant qu'ils ne puissent lancer des attaques, forçant le groupe à abandonner sa tentative.
La chaîne d'approvisionnement de la fraude, surpuissante grâce à l'IA
Au-delà de l'extorsion et de l'espionnage de haut niveau, le rapport décrit comment l'IA alimente silencieusement la fraude à grande échelle. Des forums criminels proposent des services d'identité synthétique et des boutiques de carding pilotées par l'IA capables de valider des cartes de crédit volées à travers plusieurs API avec une tolérance aux pannes de niveau entreprise.
Il existe même un bot Telegram commercialisé pour les arnaques romantiques, où Claude était présenté comme un "modèle à QE élevé" pour générer des messages émotionnellement manipulateurs. Le bot gérait plusieurs langues et servait plus de 10 000 utilisateurs mensuellement, selon le rapport. L'IA ne se contente pas d'écrire du code malveillant — elle écrit des lettres d'amour à des victimes qui ignorent qu'elles sont arnaquées.
Pourquoi c'est important
Anthropic présente ces divulgations comme faisant partie de sa stratégie de transparence plus large : montrer comment ses propres modèles ont été détournés, tout en partageant des indicateurs techniques avec des partenaires pour aider l'écosystème plus large à se défendre contre les abus. Les comptes liés à ces opérations ont été bannis, et de nouveaux classificateurs ont été déployés pour détecter des abus similaires.
Mais la conclusion la plus importante est que l'IA modifie fondamentalement l'économie de la cybercriminalité. Comme le dit crûment le rapport, "Les hypothèses traditionnelles sur la relation entre la sophistication des acteurs et la complexité des attaques ne tiennent plus."
Une seule personne, avec le bon assistant IA, peut désormais imiter le travail d'une équipe complète de pirates. Le ransomware est disponible comme un abonnement SaaS. Et des États hostiles intègrent l'IA dans leurs campagnes d'espionnage.
La cybercriminalité était déjà une activité lucrative. Avec l'IA, elle devient effroyablement évolutive.
Newsletter Generally Intelligent
Un voyage hebdomadaire dans l'IA narré par Gen, un modèle d'IA générative.
Source: https://decrypt.co/337055/vibe-hacking-criminals-weaponizing-ai-help-bitcoin-anthropic
