La découverte de PromptLock montre comment l’utilisation malveillante de modèles d’IA pourrait surcharger les ransomwares et autres menaces.
26 août 2025
•
,
2 minutes. lire
Cela conforte notre conviction selon laquelle PromptLock était une preuve de concept plutôt qu’un malware pleinement opérationnel déployé dans la nature. Néanmoins, nos conclusions restent valables : les échantillons découverts représentent le premier cas connu de ransomware alimenté par l’IA.
Les chercheurs d’ESET ont découvert le premier ransomware connu basé sur l’IA. Le malware, qu’ESET a nommé PromptLock, a la capacité d’exfiltrer, de crypter et peut-être même de détruire des données, bien que cette dernière fonctionnalité ne semble pas encore avoir été implémentée dans le malware.
Bien que PromptLock n’ait pas été repéré dans des attaques réelles et soit plutôt considéré comme une preuve de concept (PoC) ou un travail en cours, la découverte d’ESET montre comment l’utilisation malveillante d’outils d’IA accessibles au public pourrait surcharger les ransomwares et autres cybermenaces omniprésentes.
“Le malware PromptLock utilise localement le modèle gpt-oss-20b d’OpenAI via l’API Ollama pour générer des scripts Lua malveillants à la volée, qu’il exécute ensuite. PromptLock exploite les scripts Lua générés à partir d’invites codées en dur pour énumérer le système de fichiers local, inspecter les fichiers cibles, exfiltrer les données sélectionnées et effectuer le cryptage. ” » ont déclaré les chercheurs d’ESET.
“Le ransomware PromptLock est écrit en Golang et nous avons identifié des variantes Windows et Linux téléchargées sur VirusTotal”, ont ajouté les chercheurs. Golang est un langage de programmation multiplateforme très polyvalent qui a également gagné en popularité parmi les auteurs de logiciels malveillants ces dernières années.
Cela va sûrement arriver
Les modèles d’IA ont fait de la création de modèles convaincants un jeu d’enfant messages de phishingainsi que des images, audio et vidéo deepfakes. La disponibilité immédiate de ces outils réduit également considérablement la barrière à l’entrée pour les attaquants moins experts en technologie, leur permettant ainsi de frapper au-dessus de leur poids.
Pendant ce temps, le fléau des ransomwares a, au fil des années, mis à l’épreuve le courage d’innombrables organisations, ce type de malware étant également de plus en plus déployé par les groupes APT. L’IA étant déjà utilisée à des degrés divers par tous les types d’acteurs malveillants, elle devrait également contribuer à accroître le volume et l’impact des attaques de ransomwares.
Quelle que soit l’intention derrière PromptLock, sa découverte montre comment les outils d’IA peuvent être utilisés pour automatiser différentes étapes des attaques de ransomwares, de la reconnaissance à l’exfiltration de données, à une vitesse et à une échelle que l’on croyait auparavant impossibles. La perspective de logiciels malveillants basés sur l’IA, capables, entre autres, de s’adapter à l’environnement et de modifier leurs tactiques à la volée, pourrait généralement représenter une nouvelle frontière en matière de cyberattaques.
IoC
Fichiers
| SHA-1 | Détection | Description |
| 24BF7B72F54AA5B93C66 | Linux/Filecoder.PromptLock.A | Exemple de PromptLock |
| AD223FE2BB4563446AEE | Linux/Filecoder.PromptLock.A | Exemple de PromptLock |
| BB8FB75285BCD151132A | Linux/Filecoder.PromptLock.A | Exemple de PromptLock |
| F3F4C40C344695388E10 | Linux/Filecoder.PromptLock.A | Exemple de PromptLock |
| 639DBC9B365096D63471 | WinGo/Filecoder.PromptLock.A | Exemple de PromptLock |
| 161CDCDB46FB8A348AEC | WinGo/Filecoder.PromptLock.A | Exemple de PromptLock |
| 8C7BCAFCE90F5FB12113 | WinGo/Filecoder.PromptLock.A | Exemple de PromptLock |
