Dans une nouvelle analyse consacrée à l’évolution des opérations du groupe APT36 (également connu sous le nom de Transparent Tribe), Bitdefender documente l’émergence d’un modèle de développement de malwares assisté par l’IA que ses chercheurs qualifient de « vibeware ».

L’intelligence artificielle n’a pas encore produit le cyberattaquant omniscient que certains redoutaient. Ce qu’elle produit, en revanche, est peut-être plus insidieux : une chaîne de production automatisée de logiciels malveillants médiocres, jetables, et suffisamment nombreux pour saturer les défenses.

Un nouveau modèle industriel de la menace

Le vibeware désigne une approche du développement de malwares pilotée par l’IA qui privilégie la quantité sur la qualité. L’idée n’est pas de concevoir une cyberattaque brillante, mais d’en produire des dizaines, chaque jour, de manière automatisée.

Des groupes comme APT36, groupe de cybercriminels pakistanais bien documenté, seraient désormais capables de maintenir une cadence d’un nouveau variant de malware par jour. Ce rythme industriel permet de « saturer » la télémétrie défensive standard. Chaque nouveau binaire nécessite une analyse, chaque nouvelle signature doit être établie. Les équipes de sécurité se retrouvent à courir après un flot continu de menaces mineures, au risque de manquer l’essentiel.

Les chercheurs ont qualifié cette stratégie de DDoD pour Distributed Denial of Detection, ou déni de détection distribué. Par analogie avec les attaques DDoS classiques qui submergent un serveur par le volume de requêtes, le DDoD submerge les capacités d’analyse et de détection des équipes cyber avec un flux constant de codes renouvelés. L’objectif n’est pas de surpasser les défenses par le génie technique, mais d’épuiser les défenseurs.

Des langages exotiques pour réinitialiser les détections

L’un des leviers techniques les plus efficaces du vibeware réside dans le recours à des langages de programmation inhabituels. Les moteurs de détection sont, pour la plupart, optimisés pour analyser du code écrit en C++, C# ou .NET. Les attaquants l’ont bien compris.

Grâce aux LLM, il est désormais possible de porter la logique d’un malware existant vers un langage de niche sans disposer d’une expertise préalable. Les langages favorisés par APT36 incluent notamment :

• Nim : représentant moins de 0,1 % de l’indice TIOBE, ce langage compile en C ou C++ mais utilise un moteur d’exécution unique. Les scanners de sécurité le classent souvent comme « inconnu » plutôt que « malveillant ». Il est utilisé comme enveloppe (wrapper) furtive pour masquer des charges utiles plus anciennes.
• Zig : utilisé pour des outils comme ZigShell ou ZigLoader, ce langage offre des performances élevées tout en échappant aux signatures comportementales des solutions EDR.
• Crystal : également trop rare pour disposer de signatures établies dans de nombreux outils de détection de terminaux.

À ces langages de niche s’ajoutent Rust et Go, plus connus mais appréciés pour leur stabilité mémoire lors de tâches intensives comme l’exfiltration massive de données.

L’effet stratégique est double : réinitialisation de la détection ( chaque nouveau langage oblige les outils de sécurité à repartir de zéro) et accessibilité simplifiée par l’IA, qui permet à des attaquants sans expertise spécifique de générer du code fonctionnel dans ces langages.

Living Off Trusted Services : se cacher dans le trafic légitime

Le vibeware excelle également dans l’exploitation des services cloud légitimes pour ses canaux de commande et de contrôle. Cette technique, désignée sous le terme de Living Off Trusted Services (LOTS), consiste à utiliser des plateformes comme Google Sheets, Discord, Slack ou Supabase comme infrastructure C2.

L’exemple le plus documenté est SheetCreep, un malware écrit en C# qui transforme une feuille de calcul Google Drive en véritable tableau de bord d’administration. Son fonctionnement est précis :

• Le malware interroge régulièrement une feuille de calcul spécifique pour y récupérer des instructions.
• Les commandes sont encodées en Base64 puis chiffrées via un algorithme DES (mode ECB).
• Les résultats d’exécution sont renvoyés dans les cellules du tableur via l’API Google Drive.
• L’infrastructure est organisée en onglets dédiés : unenc_requests, unenc_outputs, unenc_heartbeats, unenc_systems.

D’autres outils de la flotte APT36 s’appuient sur Discord (CrystalShell), Slack (ZigShell), Firebase et Supabase pour la gestion des sessions et le stockage des données volées, ou encore sur Microsoft Graph API via l’infostealer MailCreep.
Azure Front Door est également utilisé pour masquer les communications malveillantes dans du trafic HTTPS légitime.

L’IA joue ici un rôle d’accélérateur décisif : ces plateformes disposent de documentations publiques abondantes et de SDK bien référencés dans les données d’entraînement des LLM. Générer du code d’intégration stable pour Google Sheets ou Discord est devenu trivial, même pour un attaquant sans compétence technique approfondie.

Les limites du vibeware

Il serait inexact de présenter le vibeware comme une rupture technologique car le code généré par l’IA est souvent dérivé, incohérent, et sujet à des erreurs logiques critiques.

Plusieurs cas documentés illustrent ces failles :

• Des binaires déployés avec l’URL du serveur C2 laissée en « placeholder » (modèle vide), rendant l’exfiltration de données impossible.
• Des composants qui s’effondrent dès que la logique atteint un niveau de complexité modéré.
• Dans le cas de CrystalShell, l’absence de protocole de communication entre les bots aurait généré des « broadcast storms » inutiles, et la commande de statut réinitialisait la métrique qu’elle était censée mesurer.
• Des outils incapables de supprimer leurs propres fichiers temporaires après exécution, facilitant l’analyse forensique post-attaque.

Cette fragilité structurelle explique pourquoi les groupes comme APT36 continuent d’utiliser des frameworks classiques et éprouvés (Cobalt Strike ou Havoc) comme filet de sécurité. Les outils « vibe-coded » ne sont pas encore assez fiables pour porter seuls la responsabilité d’une opération critique.

Par nature, les LLM sont entraînés sur des dépôts publics comme GitHub : ils réorganisent des patterns existants sans inventer de nouvelles méthodologies d’attaque. Ils manquent de véritable compréhension du contexte de sécurité.

Comment se défendre : passer du statique au comportemental

Face au vibeware, une défense basée sur les signatures est structurellement inadaptée. Les recommandations convergent vers une approche dynamique et comportementale.

> Prioriser l’analyse comportementale. L’injection de processus ou le process hollowing restent des constantes, quel que soit le langage utilisé. Les solutions EDR/XDR doivent surveiller ces comportements plutôt que les signatures de binaires. La surveillance des répertoires d’écriture utilisateur (%APPDATA%, %TEMP%) et le scan régulier de la mémoire complètent ce dispositif.

> Auditer les services cloud. Les connexions persistantes vers Discord, Slack ou Google Sheets provenant de binaires non vérifiés doivent être traitées comme des indicateurs de compromission potentiels. Un monitoring strict de ces plateformes s’impose dans les environnements sensibles.

> Compliquer la phase post-intrusion. Les opérations de piratage proprement dites restent manuelles. Réduire la surface d’attaque pour introduire de la friction lors du mouvement latéral, filtrer rigoureusement les fichiers LNK, ZIP ou ISO reçus par email, et maintenir les navigateurs à jour pour bénéficier de mécanismes comme l’App-Bound Encryption (ABE) sont autant de mesures qui forcent l’attaquant à utiliser des méthodes plus lourdes et donc plus détectables.

> S’appuyer sur des SOC ou MDR matures. Compte tenu de la cadence de production des variants (parfois un par jour), seule une surveillance 24/7 permet de distinguer le « bruit » généré par le vibeware des véritables intrusions critiques.

Le vibeware n’est pas l’avènement du cyberattaquant surhumain. C’est l’industrialisation du cyber-médiocre. Et c’est précisément pour cette raison qu’il mérite une attention soutenue.

*Image : © DR
*L’analyse des chercheurs de Bitdefender a révélé la présence récurrente du pseudonyme  « Nightmare  » sur plusieurs systèmes. Ce personnage semble jouer un rôle central dans le développement des malwares assistéw par l’IA

The post Vibeware : quand l’IA industrialise la cybercriminalité médiocre appeared first on Silicon.fr.

Cette fraude est en train de prendre de l’ampleur en France.

Le Parlement européen désactive l’IA sur ses tablettes, faute de garanties sur les données envoyées au cloud, rappelé par la fuite NSW via ChatGPT.

Cyberattaque chez un producteur de volailles, livraisons stoppées, la filière volaille expose sa dépendance numérique.

NSW lance ID Support NSW pour aider les seniors à déjouer les arnaques et renforcer leurs compétences de cybersécurité.

Faux VPN, chantage et iPhone bloqué : identifiant Apple compromis, profil iOS piégé, mode Perdu et extorsion.

Une fonctionnalité discrète d’Apple promet un niveau de protection inédit contre les attaques informatiques les plus sophistiquées. Pourtant, malgré son efficacité potentielle, elle reste largement méconnue et presque jamais activée par les utilisateurs.