google détecte le malware promptflux, qui utilise l'ia gemini pour réécrire son code toutes les heures, rendant sa détection et suppression particulièrement difficiles.

Google détecte le malware PROMPTFLUX : il s’appuie sur l’IA Gemini pour réécrire son code toutes les heures

Comment Google a décelé PROMPTFLUX : un malware qui exploite l’IA Gemini pour se réinventer

Une découverte récente signée Google a secoué la sphère cybernétique : un malware novateur nommé PROMPTFLUX se révèle intelligent, au sens propre du terme. Écrit en Visual Basic Script, il est capable de dialoguer avec l’API de l’IA Gemini pour générer son propre code source, lui permettant ainsi d’échapper constamment aux détections traditionnelles. Cette technologie, qualifiée de « just-in-time » par Google, confère au logiciel malveillant une aptitude rare — il modifie son identité toutes les heures afin de brouiller les pistes des antivirus.

L’initiative provient du Google Threat Intelligence Group (GTIG), qui a dévoilé les premiers détails à chatgpt-fausses-url/ »>The Hacker News. La particularité de PROMPTFLUX réside dans son composant baptisé « Thinking Robot », une sorte d’architecte qui, à intervalles réguliers, interroge Gemini — version 1.5 Flash ou ultérieure — pour recevoir un code VBScript obfusqué et hautement spécialisé. Ce prompt, conçu pour une compréhension automatique, demande un nouveau script que le malware sauvegarde dans le dossier de démarrage de Windows, assurant ainsi sa persistance. La prouesse ? Utiliser une clé API codée en dur pour envoyer ces requêtes à Gemini sans éveiller les soupçons.

Parfaitement taillé pour contourner les signatures statiques des antivirus, PROMPTFLUX illustre une tendance inquiétante : le passage de l’IA comme simple outil de productivité à son usage dans la création dynamique de menaces. En prenant exemple, certains malveillants s’inspirent de méthodes que l’on pensait encore réservées aux chercheurs en cybersécurité — une sorte de miroir aux alouettes à double tranchant.

  • Auto-modification du code toutes les heures grâce à l’IA.
  • Utilisation d’une clé API intégrée pour communiquer avec Gemini.
  • Stockage dans le dossier de démarrage Windows pour garantir la persistence.
  • Capacité à se propager par clé USB et partages réseaux mappés.

Une autre nuance à souligner : même si une fonction d’auto-mise à jour est désactivée dans le code actuel, sa présence démontre sans équivoque la volonté d’évoluer continuellement. Les experts en sécurité comme ceux de OpenAI ne cessent d’alerter sur ce type de menace capable d’adapter ses stratégies en temps réel, compliquant drastiquement la tâche des défenses informatiques classiques.

google identifie le malware promptflux, qui utilise l'ia gemini pour réécrire automatiquement son code chaque heure, compliquant ainsi sa détection et sa suppression.

Les autres cybermenaces alimentées par l’intelligence artificielle : évolution majoritaire en 2025

La détection de PROMPTFLUX n’est qu’un indice parmi d’autres sur le champ de bataille numérique : les acteurs malveillants exploitent désormais des variantes sophistiquées de malware liées à des modèles de langage puissants. Le spectre de logiciels comme FRUITSHELL, un reverse shell codé en PowerShell, ou encore PROMPTLOCK, un ransomware innovant générant à la volée des scripts Lua malveillants, illustre clairement cette montée en puissance.

Ce qui frappe dans ce nouveau paradigme, c’est que ces outils embrassent la modularité et l’adaptabilité pour un impact maximal. Les malwares écrivent leur code en temps réel, s’adaptant aux filtres ou techniques d’analyse de la défense. Par exemple, PROMPTSTEAL (aussi connu sous le nom de LAMEHUG) est un mineur de données déployé en Ukraine par le groupe APT28. Il soumet des requêtes à des API d’IA afin de générer des commandes précises, rendant son exploitation plus furtive et redoutable.

  • Malwares modulaires comme FRUITSHELL et PROMPTLOCK utilisant des scripts dynamiques.
  • Exploitation de modèles LLM via API pour changer le comportement en continu.
  • Adoption globale par des groupes cybercriminels étatiques et financiers.
  • Techniques avancées d’évasion et d’obfuscation en temps réel.

Plus encore, le recours à des assistants puissants comme Gemini permet à ces malwares d’intégrer des leurres convaincants dans leurs mécanismes d’ingénierie sociale pour des campagnes de phishing ou d’exfiltration de données. Ces pratiques, décryptées par des entités de cybersécurité reconnues telles que Kaspersky, Microsoft ou Sophos, sont devenues monnaie courante dans les arsenaux malveillants contemporains.

Avec de tels exemples, la vigilance s’impose : il ne s’agit plus simplement d’éliminer un malware, mais de comprendre et de contrer un organisme cybernétique qui, en pleine expansion, repense sa propre nature. Une lutte de titans s’engage, où les défenseurs doivent intégrer en urgence des systèmes d’analyse de comportement AI-friendly.

Les acteurs étatiques et géopolitiques tirent les ficelles autour de Gemini

L’usage malveillant de Gemini dépasse la sphère du simple malware autonome. Selon les rapports de Google, plusieurs États ont adopté Gemini pour faciliter espionnage et cyberattaques, innovant leurs méthodes avec un accent sur la furtivité et l’efficacité. Citons au passage la Chine, l’Iran et la Corée du Nord, chacun ayant un modus operandi distinct mais convergent vers la sophistication via l’IA.

Par exemple, une menace affiliée à la Chine aurait détourné Gemini pour élaborer des contenus d’hameçonnage (phishing) très élaborés, créer des infrastructures techniques et concevoir des outils dédiés à l’exfiltration des données. Le stratagème est d’autant plus redoutable qu’ils s’appuient sur des astuces sociales telles que prétendre participer à des exercices de capture de drapeau (CTF). Cette ruse permet de contourner les gardes-fous des IA et obtenir des conseils techniques pour exploiter des vulnérabilités ciblées.

  • Chine : campagne de phishing avec prétextes de CTF pour tromper Gemini.
  • Iran : développement de logiciels complexes et codage obfusqué via Gemini.
  • Corée du Nord : création de leurres et campagnes de vol de cryptomonnaies.
  • Exploitation des capacités de Gemini pour la reconnaissance, le C2 et l’exfiltration de données.

Ces révélations ne sont pas simplement passionnantes, elles traduisent un véritable tournant dans la guerre numérique mondiale. Des acteurs comme CrowdStrike et Palo Alto Networks soulignent une accélération préoccupante de la sophistication des outils cybercriminels, capable de s’adapter en permanence grâce à ces assistances IA.

Cette montée en puissance de Gemini en mains étatiques interroge sur le rôle des géants comme DeepMind et Google dans la sécurisation de leurs technologies. Le défi est immense : protéger les usages légitimes tout en contraignant les abus — un combat souvent comparé à celui d’un éternel Sisyphe numérique.

google découvre le malware promptflux, qui utilise l'ia gemini pour réécrire son code chaque heure, rendant sa détection plus complexe et renforçant les menaces en cybersécurité.

Lutte et prévention : comment Cybermalveillance.gouv.fr et les acteurs de la cybersécurité réagissent face à ce type de menace ?

La menace nouvelle incarnée par PROMPTFLUX et ses cousins boostés à l’IA pousse les organismes de cybersécurité à repenser leurs stratégies. En France, Cybermalveillance.gouv.fr met l’accent sur la sensibilisation des utilisateurs et des entreprises, soulignant la nécessité d’outils capables de détecter non plus des signatures fixes, mais des comportements imprévisibles et évolutifs.

Dans le même mouvement, les entreprises comme Sophos, Check Point, et Kaspersky élaborent des systèmes dotés d’IA pour contrer les malwares à mutation dynamique. Ces outils peuvent analyser en temps réel les interactions suspectes, détecter des patrons anormaux et anticiper les transformations du code malveillant. Cela est vital pour contrecarrer les malwares métamorphes qui réécrivent en continu leur proximité logicielle.

  • Promotion de la détection comportementale au lieu de signature classique.
  • Investissement dans l’analyse IA pour mieux anticiper les évolutions de code.
  • Sensibilisation accrue sur les risques liés aux malwares évolutifs.
  • Collaboration internationale entre acteurs publics et privés.

À noter qu’en complément de la technologie, la vigilance humaine reste un rempart essentiel. Les campagnes de phishing, souvent initiées par ces malwares, requièrent une formation avancée des employés sur les méthodes d’ingénierie sociale. Le mélange de tech et d’humain est donc inévitable pour faire face à ces risques croissants.

Perspectives d’avenir : pourquoi la détection des malwares IA comme PROMPTFLUX va transformer la cybersécurité

Le cas PROMPTFLUX ouvre un nouveau chapitre pour la cybersécurité. Ces malwares capables d’auto-réécriture grâce à Gemini modifient la donne en imposant des modèles de détection et de réaction plus flexibles et intelligents. En 2025, la sécurité informatique ne se résume plus à une lutte statique mais à une véritable course d’innovation technologique et humaine.

L’enjeu majeur tient à la capacité d’orientation des recherches vers des systèmes capables de prévenir plutôt que seulement réagir. Pour cela, le recours croissant à l’IA est incontournable, mais il doit s’accompagner d’une régulation stricte. Des contrôles dans les environnements Microsoft, l’implémentation de normes partagées avec de grands noms comme Palo Alto Networks ou encore la coopération avec des organisations telles que Cybermalveillance.gouv.fr représentent des leviers indispensables.

  • Transition vers une cybersécurité basée sur l’anticipation des comportements malveillants.
  • Renforcement des collaborations entre secteurs technologiques et gouvernementaux.
  • Développement d’outils dynamiques de défense dans l’écosystème informatique.
  • Importance accrue d’une veille constante sur les techniques d’attaque alimentées par l’IA.

Des ressources comme celles que propose The AI Observer permettent de se tenir informé des dernières tendances et décryptages technologiques, une précieuse boussole dans ce paysage numérique complexe où chaque innovation côté malveillant appelle une riposte adaptée. Attention donc à ne pas sous-estimer le potentiel d’une menace qui apprend en permanence et sait se réinventer à la vitesse de l’éclair !

Les autres articles en rapport

Retour en haut
The AI Observer
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.