Un groupe criminel de pirates a utilisé des agents d’intelligence artificielle, y compris un Claude model, pour créer et tester plus de 70 moyens de faire passer des logiciels malveillants à travers les principaux logiciels de sécurité.
Points clés :
- Un acteur malveillant a fait tourner des agents d’IA pour développer et tester sous pression des malwares conçus pour esquiver les principaux outils de détection.
- Un agent Claude Opus 4.5 fixait les règles, tandis que d’autres agents géraient les tests, la furtivité et la documentation.
- L’opération affirmait des taux de réussite croissants, mais les enquêteurs indiquent que les preuves ne l’ont jamais confirmé.
Sophos signale un laboratoire d’évasion conçu par IA
La piste a commencé lorsqu’un terminal inhabituel au sein du réseau d’un client a déclenché des alertes à cause de fichiers déposés dans un dossier de test. Les analystes de Sophos ont detected un ensemble d’outils plus large destiné à rester invisible sur les machines compromises. Beaucoup de scripts étaient rédigés en russe et au moins partiellement produits par l’IA plutôt que tapés à la main.
L’attaquant a mis en place un cluster de machines virtuelles, puis a opposé différents systèmes aux produits de CrowdStrike et de Microsoft Defender, en laissant une machine de contrôle sans protection. Un serveur Linux faisait tourner le canal de commande via le framework Sliver, et l’arsenal se cachait derrière du trafic Cobalt Strike, de la messagerie Telegram et un relais Cloudflare qui masquait le serveur réel.
Plusieurs agents se partageaient le travail. Celui qui faisait tourner Claude Opus 4.5 définissait les règles de base pour les autres, pendant qu’ils recherchaient des contournements, renforçaient la sécurité opérationnelle, injectaient du code dans des programmes Windows de confiance et consigna ient chaque résultat.
Also Read: Can Chainlink Hold $8.05? On-Chain Data Says Buyers Are Loading Up
Pourquoi le rôle de Claude inquiète les défenseurs
Le groupe s’appuyait sur Cursor, un outil de programmation par IA, et a relié les agents à ses dépôts via un protocole ouvert, leur permettant d’exploiter la recherche publique et de faire correspondre les techniques à un vaste catalogue d’attaques suivi de près. Au cœur du système se trouvait un outil Python qui enveloppait les charges utiles dans environ 80 modules de chiffrement et de camouflage pour échapper aux scanners. Ces modules ont testé plus de 70 astuces contre trois solutions de défense concurrentes.
Le projet portait une étiquette de « red team ». Des chercheurs ont argued que ce libellé servait surtout à contourner les garde-fous empêchant les IA d’écrire des malwares, une ruse également observée dans des attaques signalées contre des cibles gouvernementales au Mexique.
La menace de la cybercriminalité par IA, replacée dans son contexte
Le détail le plus révélateur pourrait être ce que l’IA n’a pas fait. Les enquêteurs ont stressed qu’aucun modèle n’a agi de manière autonome et que des opérateurs humains ont examiné et validé chaque étape de la conception. Anthropic, qui développe Claude, a été informée de ces conclusions.
Les notes du laboratoire se vantaient d’une amélioration progressive de l’évasion à chaque itération, mais les données de test ne l’ont jamais confirmé, un décalage que les chercheurs ont traced à des hallucinations de l’IA. Sophos a lié l’opération à des campagnes de rançongiciel et de vol de données, et l’un de ses directeurs a décrit cet acteur comme actif dans le monde entier, y compris au sein d’organisations aux États-Unis.
Des outils similaires assistés par IA sont apparus tout au long de 2026 dans des familles de malwares et des kits de rançongiciel, les analystes ayant reporting que ces agents réduisent surtout le coût de vieilles techniques plutôt que d’inventer de nouvelles menaces.
Read Next: Bitcoin Briefly Slips Under $62K As Liquidations Sweep The Market