Aller au contenu
LaMinuteCyber

🚹 PromptLock : le premier ransomware boostĂ© Ă  l’IA

·
Ransomware IA ESET Cybersécurité Malware
Sommaire

ESET a mis la main sur PromptLock, le premier ransomware documenté intégrant une IA générative locale pour créer du code malveillant.
Plus qu’un simple malware, il inaugure une nouvelle Ăšre oĂč l’IA est au cƓur mĂȘme des cyberattaques.

đŸ€– Une IA embarquĂ©e comme moteur

  • DĂ©veloppĂ© en Golang, PromptLock embarque le modĂšle gpt-oss:20b tournant via Ollama.
  • Contrairement aux malwares classiques, il ne dĂ©pend pas d’un service cloud → pas de trace cĂŽtĂ© fournisseur d’IA.
  • À partir de prompts codĂ©s en dur, l’IA gĂ©nĂšre en temps rĂ©el des scripts Lua polymorphes adaptĂ©s Ă  l’environnement de la victime.

👉 Chaque exĂ©cution produit un code unique, rendant les indicateurs de compromission (IoC) quasi impossibles Ă  fixer.

🔎 Comment il s’adapte à sa cible

PromptLock ne suit pas un plan figĂ© : il observe son environnement avant d’agir.

  • 📂 Scan des fichiers pour dĂ©tecter le type de donnĂ©es.
  • đŸ–„ïž Distinction entre poste utilisateur, serveur critique ou systĂšme industriel.
  • đŸ› ïž GĂ©nĂ©ration de scripts personnalisĂ©s :
    • Exfiltration de bases de donnĂ©es.
    • Chiffrement de documents bureautiques.
    • Ciblage de systĂšmes industriels.

💣 CapacitĂ©s observĂ©es (et Ă  venir)

D’aprùs l’analyse d’ESET :

  • 🔐 Chiffrement via l’algorithme SPECK 128 bits.
  • đŸ“€ Exfiltration des fichiers sensibles pour double extorsion.
  • đŸ’„ Suppression/destruction de donnĂ©es (fonctionnalitĂ© en prĂ©paration).
  • 📝 Notes de rançon personnalisĂ©es, rĂ©digĂ©es par IA, adaptĂ©es Ă  la victime et au contexte.

đŸ§Ș Encore un PoC
 mais un signal fort

  • Les artefacts PromptLock ont Ă©tĂ© dĂ©couverts sur VirusTotal le 25 aoĂ»t 2025 (USA).
  • Pas encore de propagation massive confirmĂ©e → considĂ©rĂ© comme une preuve de concept.
  • Mais c’est un avertissement : les cybercriminels savent dĂ©sormais intĂ©grer l’IA dans leurs ransomwares.

🌍 Pourquoi c’est un tournant

Jusqu’ici, l’IA servait aux attaquants pour :

  • amĂ©liorer le phishing,
  • gĂ©nĂ©rer du code ponctuel,
  • automatiser l’ingĂ©nierie sociale.

Avec PromptLock :

  • L’IA devient le moteur du malware, capable de gĂ©nĂ©rer des charges adaptatives et polymorphes.
  • Les consĂ©quences cĂŽtĂ© dĂ©fense :
    • ❌ Signatures statiques : obsolĂštes.
    • ⚠ IoC classiques : de moins en moins fiables.
    • ✅ Besoin de dĂ©tection comportementale avancĂ©e (EDR, sandbox, corrĂ©lations rĂ©seau/hĂŽte).
  • Une course IA vs IA s’annonce entre attaquants et dĂ©fenseurs.

🚹 Conclusion

PromptLock marque un tournant majeur :

👉 Un ransomware qui se gĂ©nĂšre lui-mĂȘme via une IA locale, qui s’adapte Ă  son environnement et qui peut chiffrer, voler ou dĂ©truire des donnĂ©es.

L’IA n’est plus un outil secondaire pour les cybercriminels.
Elle devient un composant central des malwares de demain.

Auteur
Lucas Thietart
Blue Team Analyst chez Chanel, passionnĂ© par la cybersĂ©curitĂ© et l’innovation. AnimĂ© par l’envie de partager et d’apprendre avec une communautĂ© de passionnĂ©s, je m’engage Ă  crĂ©er une plateforme d’actualitĂ©s pertinente et collaborative. Mon ambition est de rendre la cybersĂ©curitĂ© accessible pour tous les niveaux d’expertise.
chanel logo