‘vib-hacking’: Ai en tant que cybercriminal autonomi présente le terme «hacking vibe» comme une méthodologie qui représente une évolution préoccupante dans la cybercriminalité assistée par l’IA. Cette approche voit l’IA servir à la fois de consultant technique et d’opérateur actif, permettant des attaques qui seraient beaucoup plus difficiles à exécuter pour un individu. Il marque un passage fondamental de l’IA en tant qu’outil simple à l’IA en tant que partenaire dans l’opération.
Détails anthropiques (suivi comme GTG-2002) où un seul acteur a utilisé son agent de code Claude pour mener une campagne d’extorsion de données à l’échelle. En seulement un mois, l’opération a compromis au moins 17 organisations distinctes dans des secteurs comme les soins de santé, les services d’urgence et le gouvernement.
L’IA ne suivait pas simplement un script. Alors que l’acteur a fourni un fichier guide avec des tactiques privilégiées, l’agent était toujours exploité pour prendre des décisions tactiques et stratégiques. Il a déterminé comment pénétrer au mieux les réseaux, quelles données exfiltrat et comment élaborer des exigences d’extorsion ciblées psychologiquement.
L’opération a démontré une intégration sans précédent de l’IA sur tout le cycle de vie de l’attaque. Dans la phase de reconnaissance, l’agent a automatisé le balayage de milliers de points de terminaison VPN pour identifier les systèmes vulnérables. Pendant l’intrusion, il a fourni une assistance en temps réel, identifiant des systèmes critiques comme les contrôleurs de domaine et l’extraction des informations d’identification.
Le code Claude a également été utilisé pour le développement de logiciels malveillants personnalisés. Il a créé des versions obscurcies des outils de tunneling existants pour échapper à Windows Defender et a même développé un code proxy TCP entièrement nouveau à partir de zéro. Lorsque les tentatives d’évasion initiales ont échoué, l’IA a suggéré de nouvelles techniques telles que le chiffrement des cordes et le nom de fichier se faisant passer pour déguiser ses exécutables malveillants.
Après avoir exfiltrant des données sensibles, y compris les dossiers financiers, les informations d’identification du gouvernement et les informations sur les soins de santé-le rôle de l’IA est passé à la monétisation. Il a analysé les données volées pour créer des stratégies d’extorsion à plusieurs niveaux, générant des «plans de bénéfices» détaillés qui comprenaient le chantage organisationnel direct, les ventes de données à d’autres criminels et la pression ciblée sur les individus dont les données ont été compromises.
Jacob Klein, le chef de l’intelligence des menaces d’Anthropic, a déclaré à The Verge .”L’IA a calculé des montants de rançon optimaux en fonction de son analyse, avec des demandes dépassant parfois 500 000 $.
Cette nouvelle capacité signifie que «… maintenant, un seul individu peut mener, avec l’aide de systèmes agentiques». Cela modifie fondamentalement le paysage des menaces, ce qui rend plus difficile l’évaluation de la sophistication d’un attaquant basé sur la complexité de leur opération seule.
[Contenu embarqué]
La démocratisation de la cybercriminalité: une autre tendance alarmante a mis en évidence le
une autre tendance alarmante a mis en évidence dans le Rapport anthropic est la montée en puissance de la teneur en cy d’offre. Le rapport indique: «L’IA réduit les obstacles à la cybercriminalité sophistiquée». Ce n’est pas un risque théorique; La société a identifié un acteur basé au Royaume-Uni (GTG-5004) qui incarne parfaitement ce nouveau paradigme.
Cet individu, actif sur des forums Web sombres comme Dread et CryptBB depuis au moins janvier 2025, a démontré une «dépendance apparemment complète sur l’IA pour développer des logiciels malinés fonctionnels». L’acteur ne semblait pas en mesure de mettre en œuvre des problèmes techniques de chiffrement ou de dépannage complexes sans l’aide de Claude, mais a réussi à commercialiser et à vendre des ransomwares compétents.
L’opération était structurée comme une entreprise professionnelle de ransomware en tant que service (RAAS) avec un modèle commercial à plusieurs niveaux. Une DLL de base de ransomware et un exécutable ont été proposées pour 400 $, un kit Raas complet avec une console PHP sécurisée et des outils de commandement et de contrôle pour 800 $, et un crypter entièrement indétectable (FUD) pour les binaires Windows pour 1 200 $.
Cetcratie effectivement démocratie les cybercriminaux avancés, la mise en place d’outils potentiels et préparés dans les mains des mains moins skèlées. L’acteur a maintenu la sécurité opérationnelle en distribuant via un site.onion et en utilisant des e-mails cryptés, affirmant trompeusement que les produits étaient”pour une utilisation éducative et de la recherche uniquement”tout en faisant de la publicité sur les forums criminels.
malgré le manque apparent de l’expertise approfondie de l’opérateur, le malveillant généré par l’AI-Généré était très sophistiqué. Ses caractéristiques de base comprenaient un chiffrement Chacha20 Stream pour le chiffrement des fichiers, l’utilisation de l’API Windows CNG pour la gestion des clés RSA et les mécanismes anti-récupération comme la suppression de copies fantômes de volume pour empêcher une restauration facile.
Pour l’évasion, les logiciels malveillants ont utilisé des techniques avancées comme Recycledgate et Freshylels. Ces méthodes utilisent une invocation système directe pour contourner les crochets API en mode utilisateur couramment utilisés par EDR Solutions. Cela représente une transformation opérationnelle significative où la compétence technique est externalisée en IA plutôt qu’acquise par expérience.
Cet incident n’est qu’un exemple d’une tendance plus large de l’industrie de l’armement de l’IA. Comme les rapports précédents de Winbuzzer l’ont détaillé, ce changement est visible à travers le paysage des menaces, des attaquants qui ont utilisé V0 de Vercel pour des sites de”phishing instantané”à l’évolution d’outils comme Wormgpt, qui détournent désormais des modèles légitimes comme Grok et Mixtral. Une campagne systématique et sophistiquée des travailleurs informatiques nord-coréens qui tirent parti de Claude pour obtenir et maintenir frauduleusement des emplois technologiques bien rémunérés dans les entreprises du Fortune 500. Selon l’enquête anthropique, ces opérations sont conçues pour échapper aux sanctions internationales et générer des centaines de millions de dollars par an pour financer les programmes d’armes du pays.
La conclusion la plus frappante est la «dépendance complète des agents à l’IA pour fonctionner dans les rôles techniques». Ces personnes semblent incapables d’écrire du code de base, de déboguer des problèmes ou même de communiquer professionnellement sans assistance constante d’IA. Cela crée un nouveau paradigme où la compétence technique n’est pas possédée, mais entièrement simulée.
L’opération d’emploi frauduleuse suit un cycle de vie multiphasé, avec l’aide de l’IA à chaque étape. Dans la phase initiale de «développement de la personnalité», les opérateurs utilisent Claude pour générer des antécédents professionnels convaincants, créer des portefeuilles techniques avec des histoires de projet et rechercher des références culturelles pour apparaître authentique.
Pendant le processus «application et entretien», l’IA est utilisée pour adapter les résumées à des descriptions de travail spécifiques, artisanal obligeant les lettres d’accompagnement et fournit une assistance en temps réel pendant les évaluations techniques. Cela leur permet de passer avec succès des entretiens pour des rôles pour lesquels ils ne sont pas qualifiés.
Une fois embauchés, la dépendance s’intensifie. Dans la phase de «maintenance de l’emploi», les agents comptent sur l’IA pour livrer des travaux techniques réels, participer aux communications d’équipe et répondre aux examens de code, en maintenant l’illusion de compétence. Les données d’Anthropic montrent qu’environ 80% de l’utilisation du Claude des agents est conforme à l’emploi actif.
Cette approche compatible AI contourne le goulot d’étranglement traditionnel de nécessiter des années de formation spécialisée dans des établissements d’élite comme Kim Il Sung University. Historiquement, cela a limité le nombre d’agents que le régime pourrait déployer. Maintenant, l’IA a effectivement supprimé cette contrainte, permettant aux personnes ayant des compétences limitées pour sécuriser et occuper des positions d’ingénierie lucratives.
Le rapport note qu’un seul opérateur peut atteindre l’impact d’une équipe cybercriminale entière par l’aide de l’IA.”Cette armement de l’IA ne se produit pas dans le vide. Microsoft a déjà averti que «l’IA a commencé à abaisser le bar technique pour les acteurs de fraude et de cybercriminalité… ce qui rend plus facile et moins cher de générer un contenu crédible pour les cyberattaques à un rythme de plus en plus rapide.»
Cette tendance plus large est évidente dans la récente augmentation des outils AI assistés par AI. En réponse à ses résultats, Anthropic a interdit les comptes malveillants et amélioré son outillage pour corréler les indicateurs connus de compromis. L’entreprise partage également des indicateurs techniques avec des partenaires de l’industrie pour aider à prévenir les abus à travers l’écosystème.
