Selon Microsoft et OpenAI, au moins cinq groupes de cyberattaquants financés par des États utilisent ChatGPT dans le cadre de leurs opérations malveillantes. Voici les principaux.

L’IA comme arme. Dans deux longs billets de blog, Microsoft et OpenAI reconnaissent avoir repéré et bloqué des agissements malveillants de cyberattaquants opérés par le truchement de ChatGPT. L’IA est un outil… qui peut aussi être utilisé comme une arme.

« Notre analyse de l’utilisation actuelle de la technologie LLM par les acteurs de la menace a révélé des comportements cohérents avec ceux qui utilisent l’IA comme autre outil de productivité dans le paysage offensif », peut-on lire. Microsoft et OpenAI n’ont pas encore observé de techniques d’attaque ou d’abus particulièrement nouvelles ou uniques basées sur l’IA résultant de l’utilisation de l’IA par les acteurs malveillants. Cependant, Microsoft et ses partenaires continuent d’étudier ce paysage de près.

Interventions conventionnelles et cyber-opérations en Ukraine

Dans leur étude, Microsoft et OpenAI mettent ainsi en avant Forest Blizzard (STRONTIUM), un acteur du renseignement militaire russe lié à l’unité 26165 du GRU, qui a ciblé des victimes présentant un intérêt à la fois tactique et stratégique pour le gouvernement russe. Leurs activités couvrent une variété de secteurs, notamment la défense, le transport et la logistique, le gouvernement, l’énergie, les organisations non gouvernementales et les technologies de l’information.

Forest Blizzard a été extrêmement actif dans le ciblage des organisations liées à la guerre russe en Ukraine tout au long du conflit. Microsoft estime que les opérations de Forest Blizzard jouent un rôle de soutien important dans la politique étrangère et les objectifs militaires de la Russie, tant en Ukraine que dans le reste du pays. L’utilisation des LLM par Forest Blizzard a impliqué des recherches sur diverses technologies satellitaires et radar susceptibles d’être liées aux opérations militaires conventionnelles en Ukraine, ainsi que des recherches génériques visant à soutenir leurs cyber-opérations.

Fort active, bien que silencieuse, la Corée du Nord

En deuxième position dans le blog, Emerald Sleet (THALLIUM). Cet acteur menaçant nord-coréen est resté très actif tout au long de l’année 2023. Ses récentes opérations reposaient sur des courriels de spear phishing pour compromettre et recueillir des renseignements auprès de personnalités ayant une expertise sur la Corée du Nord. Microsoft a observé Emerald Sleet se faire passer pour des institutions universitaires et des ONG réputées pour inciter les victimes à répondre avec des idées d’experts et des commentaires sur la politique étrangère liée à la Corée du Nord. Emerald Sleet chevauche des acteurs menaçants suivis par d’autres chercheurs comme Kimsuky et Velvet Chollima.

L’utilisation des LLM par Emerald Sleet a soutenu cette activité et a impliqué des recherches auprès de groupes de réflexion et d’experts sur la Corée du Nord, ainsi que la génération de contenu susceptible d’être utilisé dans des campagnes de spear phishing. Emerald Sleet a également interagi avec les LLM pour comprendre les vulnérabilités connues publiquement, pour résoudre les problèmes techniques et pour obtenir de l’aide sur l’utilisation de diverses technologies Web.

Iran, Chine…

Troisième acteur cité, Crimson Sandstorm (CURIUM), d’origine iranienne serait lié au corps des gardiens de la révolution islamique. Actif depuis au moins 2017, Crimson Sandstorm a ciblé plusieurs secteurs, notamment la défense, le transport maritime, les transports, la santé et la technologie. Ces opérations s’appuient souvent sur des attaques par points d’eau et sur l’ingénierie sociale pour diffuser des logiciels malveillants. Des recherches antérieures ont également identifié des logiciels malveillants Crimson Sandstorm personnalisés utilisant des canaux de commande et de contrôle par courrier électronique. Crimson Sandstorm chevauche l’acteur menaçant suivi par d’autres chercheurs comme Tortoiseshell, Imperial Kitten et Yellow Liderc. L’utilisation de LLM par Crimson Sandstorm reflète les comportements plus larges que la communauté de la sécurité a observés de la part de cet acteur menaçant. Les interactions ont impliqué des demandes d’assistance en matière d’ingénierie sociale, d’assistance pour le dépannage des erreurs, le développement .NET et les moyens par lesquels un attaquant pourrait échapper à la détection lorsqu’il se trouve sur une machine compromise.

Microsoft et IOpenAI citent encore Charcoal Typhoon (Chromium / Aquatic Panda). Cet acteur affilié à la Chine utilise l’IA d’OpenAI pour réaliser des recherches sur diverses entreprises et outils de cybersécurité, déboguer du code, générer des scripts, et créer du contenu susceptible d’être utilisé dans des campagnes de ransomware. ChatGPT a aussi été utilisé pour générer des commandes avancées permettant d’obtenir des accès plus profonds dans les systèmes.

Autre affilié à la Chine, Salmon Typhoon (Maverick Panda / APT4) utilise ChatGPT et GPT-4 pour traduire des documents techniques, récupérer des informations accessibles au public sur plusieurs agences de renseignement, mais aussi sur des acteurs régionaux de la menace, aider au codage et rechercher des moyens courants de dissimuler des processus sur un système. L’IA a aussi été utilisé comme arme pour identifier et résoudre des erreurs dans leurs codes sources et pour aider au développement de codes malveillants (des requêtes qui ont déclenché les protections du chatbot et évité la génération du code demandé).