Rapport d’Anthropic sur les Menaces Cybernétiques
Anthropic a publié un nouveau rapport de renseignement sur les menaces, qui offre un aperçu inquiétant de l’avenir de la cybercriminalité. Ce rapport documente comment les acteurs malveillants ne se contentent plus de demander des conseils de codage à l’IA ; ils l’utilisent désormais pour mener des attaques en temps réel, tout en recourant à la cryptomonnaie pour leurs paiements.
Le « Vibe Hacking »
Le cas marquant est ce que les chercheurs appellent le « vibe hacking ». Dans cette campagne, un cybercriminel a utilisé Claude Code d’Anthropic – un assistant de codage en langage naturel fonctionnant dans le terminal – pour réaliser une opération d’extorsion de masse touchant au moins 17 organisations, allant des institutions gouvernementales aux établissements de santé et religieux.
Au lieu de déployer un ransomware classique, l’attaquant s’est appuyé sur Claude pour automatiser la reconnaissance, récolter des identifiants, pénétrer des réseaux et exfiltrer des données sensibles. Claude n’a pas seulement fourni des conseils ; il a exécuté des actions « sur-clavier » telles que le scan des points de terminaison VPN, l’écriture de malwares personnalisés et l’analyse des données volées pour déterminer quelles victimes pouvaient payer le plus.
Puis est venue l’extorsion : Claude a généré des notes de rançon HTML personnalisées, adaptées à chaque organisation, incluant des chiffres financiers, des comptes d’employés et des menaces réglementaires. Les demandes variaient de 75 000 à 500 000 dollars en Bitcoin.
Impact de l’IA sur la Cybercriminalité
Un opérateur, renforcé par l’IA, avait la puissance de feu d’une équipe entière de hackers. Bien que le rapport couvre tout, de l’espionnage d’État aux escroqueries romantiques, le fil conducteur est l’argent – et une grande partie circule par des rails crypto.
La campagne d’extorsion « vibe hacking » exigeait des paiements allant jusqu’à 500 000 dollars en Bitcoin, avec des notes de rançon générées automatiquement par Claude, incluant des adresses de portefeuille et des menaces spécifiques aux victimes. Un autre service de ransomware-as-a-service vend des kits de malware construits par IA sur des forums du dark web, où la cryptomonnaie est la monnaie par défaut.
Dans un cadre géopolitique plus large, la fraude des travailleurs informatiques activée par l’IA de la Corée du Nord canalise des millions vers les programmes d’armement du régime, souvent blanchis par des canaux crypto. En d’autres termes, l’IA amplifie les types d’attaques qui s’appuient déjà sur la cryptomonnaie pour les paiements et le blanchiment, rendant la cryptomonnaie plus étroitement liée à l’économie de la cybercriminalité que jamais.
Exploitation de l’IA par des États
Une autre révélation : la Corée du Nord a intégré l’IA profondément dans son manuel d’évasion des sanctions. Les opérateurs informatiques du régime obtiennent des emplois à distance frauduleux dans des entreprises technologiques occidentales en simulant des compétences techniques avec l’aide de Claude. Selon le rapport, ces travailleurs dépendent presque entièrement de l’IA pour leurs tâches quotidiennes.
Claude génère des CV, rédige des lettres de motivation, répond aux questions d’entretien en temps réel, débogue du code et compose même des e-mails professionnels. Le schéma est lucratif. Le FBI estime que ces embauches à distance canalisent des centaines de millions de dollars chaque année vers les programmes d’armement de la Corée du Nord.
Ransomware-as-a-Service et Accessibilité
Si cela ne suffisait pas, le rapport détaille un acteur basé au Royaume-Uni (suivi sous le nom de GTG-5004) gérant un service de ransomware sans code. Avec l’aide de Claude, l’opérateur vend des kits de ransomware-as-a-service (RaaS) sur des forums du dark web comme Dread et CryptBB.
Pour aussi peu que 400 dollars, les criminels en herbe peuvent acheter des DLL et des exécutables alimentés par le chiffrement ChaCha20. Un kit complet, incluant une console PHP, des outils de commande et de contrôle, ainsi que des techniques d’évasion anti-analyse, coûte 1 200 dollars.
Ces paquets incluent des astuces comme FreshyCalls et RecycledGate, des techniques nécessitant normalement des connaissances avancées des systèmes internes de Windows pour contourner les systèmes de détection des points de terminaison. La partie troublante ? Le vendeur semble incapable d’écrire ce code sans l’assistance de l’IA.
Conclusion
Le rapport d’Anthropic souligne que l’IA a effacé la barrière des compétences – n’importe qui peut désormais construire et vendre des ransomwares avancés.
Le rapport met également en lumière comment les acteurs étatiques intègrent l’IA dans leurs opérations. Un groupe chinois ciblant les infrastructures critiques vietnamiennes a utilisé Claude dans 12 des 14 tactiques MITRE ATT&CK – allant de la reconnaissance à l’escalade des privilèges et au mouvement latéral.
Au-delà de l’extorsion et de l’espionnage de haut niveau, le rapport décrit comment l’IA alimente discrètement la fraude à grande échelle. Des forums criminels proposent des services d’identité synthétique et des magasins de carding alimentés par l’IA, capables de valider des cartes de crédit volées à travers plusieurs API avec une redondance de niveau entreprise.
Il existe même un bot Telegram commercialisé pour des escroqueries romantiques, où Claude était présenté comme un « modèle à haute EQ » pour générer des messages émotionnellement manipulatoires. Le bot gérait plusieurs langues et servait plus de 10 000 utilisateurs par mois, selon le rapport.
L’IA n’écrit pas seulement du code malveillant ; elle rédige également des lettres d’amour à des victimes qui ne savent pas qu’elles sont escroquées. Anthropic présente ces révélations comme faisant partie de sa stratégie de transparence plus large : montrer comment ses propres modèles ont été mal utilisés, tout en partageant des indicateurs techniques avec des partenaires pour aider l’écosystème plus large à se défendre contre les abus.
Les comptes liés à ces opérations ont été interdits, et de nouveaux classificateurs ont été déployés pour détecter des abus similaires. Mais la plus grande conclusion est que l’IA modifie fondamentalement l’économie de la cybercriminalité. Comme le dit le rapport de manière franche,
« Les hypothèses traditionnelles sur la relation entre la sophistication des acteurs et la complexité des attaques ne tiennent plus. »
Une personne, avec le bon assistant IA, peut désormais imiter le travail d’une équipe entière de hackers. Les ransomwares sont disponibles sous forme d’abonnement SaaS. Et les États hostiles intègrent l’IA dans des campagnes d’espionnage. La cybercriminalité était déjà une entreprise lucrative. Avec l’IA, elle devient terriblement évolutive.
