Deux campagnes ciblées, analysées par les chercheurs de Kaspersky, montrent comment l’intelligence artificielle combinée à la manipulation psychologique redéfinit les contours des cyberattaques. En s’appuyant sur les scénarios GhostCall et GhostHire, le groupe nord-coréen BlueNoroff (affilié à Lazarus) démontre la capacité de l’IA à rendre inopérantes les méthodes classiques de détection fondées sur la seule télémétrie.
La division GReAT (Global Research & Analysis Team) de Kaspersky a publié récemment une analyse approfondie sur Securelist concernant les récentes opérations du groupe APT BlueNoroff. Ce document met en évidence une mutation structurelle dans les attaques sophistiquées. Il ne s’agit plus de simples campagnes d’hameçonnage ou d’intrusion technique, mais d’approches hybrides, multi-composantes, articulant IA, interactions humaines simulées et ciblage comportemental. Les mécanismes classiques de supervision, fondés sur les journaux système, les signatures de maliciels ou l’analyse d’anomalies, s’avèrent aujourd’hui insuffisants face à ces nouvelles tactiques.
Dans GhostCall, les victimes reçoivent une invitation via Telegram, souvent émise depuis des comptes compromis de professionnels ou d’investisseurs. Elles sont conviées à une réunion vidéo, dont l’interface imite parfaitement Zoom ou Teams. Une fois connectées, elles sont invitées à appliquer une mise à jour censée renforcer la sécurité. En réalité, cette opération déclenche l’exécution d’un script malveillant conçu pour compromettre le poste de travail.
Ce qui distingue cette attaque, ce n’est pas la charge utile mais le scénario de mise en scène. Les assaillants diffusent des séquences vidéo d’anciennes victimes pour simuler une interaction en direct. Ce stratagème s’appuie sur un biais cognitif bien connu. Ce qui paraît familier est interprété comme légitime. La réunion devient ainsi une scène de confiance artificielle, où les mécanismes de vigilance sont neutralisés par la « normalité » de la scène.
GhostHire, l’appât d’une promesse de recrutement Web3
La seconde campagne, nommée GhostHire, cible des développeurs spécialisés dans la blockchain et les projets Web3. Les attaquants prennent l’apparence de recruteurs légitimes et proposent une mission à haute valeur ajoutée. Ils transmettent alors un test technique à réaliser dans un délai très court. Ce test, hébergé sur GitHub est interactif via un bot Telegram. L’ensemble présente tous les signes d’un processus professionnel bien huilé.
La pression temporelle conjuguée à la valorisation du profil crée un environnement propice à l’erreur. Le développeur, sollicité en tant que professionnel, le cadre psychologique de l’identité technique, abaisse son niveau de vigilance. L’attaque ne passe par aucun vecteur traditionnel. Aucun courriel, aucune pièce jointe, aucun fichier exécutable suspect. Tout repose sur une chorégraphie relationnelle où la véracite de la scène, montée de toutes pièces, combinant des outils qui prolongent l’illusion, et l’urgence, désarment la prudence et deviennent les vecteurs de compromission.
L’IA comme catalyseur d’une tactique adaptative
Les analystes de Kaspersky insistent sur la place désormais stratégique de l’IA dans la préparation, l’exécution et l’ajustement de ces campagnes. Entraînée en véritable détective privé, elle thésaurise tout ce qu’elle peut sur la cible, puis transforme cette matière en scénarios d’adhésion. Les phases de reconnaissance bénéficient de l’automatisation de la recherche d’informations issues des réseaux sociaux, des dépôts de code, des profils publics ou des signatures numériques.
Les messages d’approche sont modulés avec finesse pour s’insérer dans les routines de la cible. Les scripts malveillants s’adaptent dynamiquement à l’environnement technique détecté, selon une logique de polymorphisme cognitif. L’attaque n’est plus un coup de force, mais la patiente construction de la plausibilité, un glissement imperceptible vers la compromission.
Pourquoi la télémétrie classique échoue à détecter ces attaques
Les outils de cybersécurité fondés sur la télémétrie analysent généralement trois sources principales. Les fichiers, les processus et le trafic réseau. Or, GhostCall et GhostHire contournent méthodiquement ces trois vecteurs. L’utilisateur installe de son plein gré un script en pensant appliquer une mise à jour. Le script communique avec des plateformes légitimes et exploite des interfaces usuelles. Aucun flux anormal n’est détecté par défaut.
De plus, la collecte opérée par les scripts inclut des éléments peu surveillés par les outils standards. Informations issues de la caméra et du micro, historique des applications, configuration DevOps, clés API personnelles, notamment pour OpenAI. Ces données sont rarement corrélées ou contextualisées dans les moteurs SIEM. Elles échappent à la logique événementielle car elles relèvent du comportement et non de la transgression. L’attaque devient alors un processus d’observation inversée, où l’assaillant apprend plus que ce qu’il exécute.
Des effets latents qui modifient l’équilibre psychologique et organisationnel
Les conséquences de ces campagnes ne se limitent pas à l’infiltration initiale. Elles provoquent des effets psychologiques persistants. Les utilisateurs perdent confiance dans les plateformes collaboratives. Les canaux professionnels comme GitHub ou Telegram deviennent suspects. Ce brouillage de la normalité engendre une fatigue sécuritaire qui affaiblit les défenses humaines.
Sur le plan technique, la compromission de portefeuilles blockchain, de systèmes de développement ou de clés d’API crée une surface d’exposition difficile à cartographier. L’absence de signaux forts rend ces attaques indétectables pendant des semaines. L’IA joue ici un rôle de démultiplicateur tactique, en adaptant les séquences selon les réactions des cibles, dans un cycle d’ajustement continu, invisible pour les mécanismes de défense. Elle devient une force d’amplification, capable d'étendre les capacités de l’attaquant tout en émoussant les seuils d’alerte de la défense.
La cybersécurité d’entreprise doit désormais intégrer ces nouveaux paramètres. Les solutions de détection doivent inclure des capacités d’analyse comportementale enrichie par l’IA. La formation des utilisateurs devient un enjeu stratégique. Les budgets consacrés aux systèmes de surveillance doivent être réalloués vers la compréhension fine des dynamiques humaines et l’anticipation des scénarios de simulation sociale. Défendre une organisation revient de plus en plus à anticiper les récits qu’on pourrait lui faire croire.
Dans cette optique, l’étude de Kaspersky constitue une alerte de premier ordre sur cette bascule. Elle illustre la nécessité d’un réarmement cyber qui dépasse les périmètres traditionnels. Les interactions humaines numériques deviennent le nouveau champ de bataille, et l’IA en redéfinit les règles, invisible et silencieuse, mais terriblement efficace.
