Google détecte des pirates informatiques parrainés par des États utilisant l'IA dans des cyberattaques

Des pirates informatiques parrainés par des États exploitent des outils très sophistiqués pour accélérer leurs types particuliers de cyberattaques, avec acteurs menaçants originaires d'Iran, de Corée du Nord, de Chine et de Russie en utilisant des modèles comme Gemini de Google pour faire progresser leurs campagnes. Ils sont capables de concevoir des campagnes d'hameçonnage sophistiquées et de développer des logiciels malveillants, selon un nouveau rapport de Groupe de renseignement sur les menaces de Google (GTIG).

Le trimestriel Rapport AI Threat Tracker, publié aujourd'hui, révèle comment des attaquants soutenus par des gouvernements ont commencé à utiliser l'intelligence artificielle dans le cycle de vie des attaques – reconnaissance, ingénierie sociale et, finalement, développement de logiciels malveillantsCette activité a été mise en évidence grâce au travail du GTIG au cours du dernier trimestre 2025.

« Pour les acteurs malveillants soutenus par des gouvernements, les grands modèles de langage sont devenus des outils essentiels pour la recherche technique, le ciblage et la génération rapide d'appâts de phishing nuancés », ont déclaré les chercheurs du GTIG dans leur rapport.

🎯 Des opérations de reconnaissance menées par des pirates informatiques parrainés par des États ciblent le secteur de la défense

Le groupe de menace iranien APT42 Le groupe aurait utilisé Gemini pour renforcer ses opérations de reconnaissance et d'ingénierie sociale ciblées. Il aurait eu recours à une intelligence artificielle pour créer des adresses électroniques officielles pour des entités spécifiques, puis mené des recherches afin d'établir des prétextes crédibles pour contacter ses cibles.

APT42 a élaboré des profils et des scénarios conçus pour mieux susciter l'engagement de leurs cibles. traduire entre les langues et utiliser des expressions naturelles et spontanées cela lui a permis de contourner les signaux d'alarme traditionnels du phishing, tels qu'une mauvaise grammaire ou une syntaxe maladroite.

L'acteur UNC2970, soutenu par le gouvernement nord-coréenCe groupe, spécialisé dans le ciblage de la défense et l'usurpation d'identité de recruteurs d'entreprises, a utilisé Gemini pour identifier des cibles de grande valeur. Les opérations de reconnaissance du groupe comprenaient notamment : recherche d'informations sur les principales entreprises de cybersécurité et de défense, cartographie des rôles techniques spécifiques et collecte d'informations salariales.

« Cette activité brouille la frontière entre la recherche professionnelle de routine et la reconnaissance malveillante, car l'acteur rassemble les éléments nécessaires pour créer des profils d'hameçonnage sur mesure et de haute fidélité », a noté GTIG.

⚠️ Les attaques par extraction de modèles explosent

Les derniers renseignements révèlent une augmentation significative de attaques d'extraction de modèles, où les adversaires tentent de reproduire ou de voler les capacités des modèles d'IA. Ces opérations sophistiquées représentent un évolution du paysage des menaces où des acteurs étatiques adaptent sans cesse leurs techniques pour exploiter les technologies de pointe à des fins malveillantes.

Les experts en sécurité avertissent que les organisations doivent rester vigilantes et mettre en œuvre mesures de sécurité robustes pour l'IA pour se protéger contre ces menaces persistantes avancées qui exploitent l'intelligence artificielle à des fins de reconnaissance, d'ingénierie sociale et de développement de logiciels malveillants.