Le Google Threat Intelligence Group publie une mise à jour de son “AI Threat Tracker”. Le constat n’est pas surprenant: l’IA générative n’a pas bouleversé l’équilibre des forces, mais elle accélère, industrialise et professionnalise l’ensemble du cycle d’attaque.
Distillation : le vol de modèle devient un risque stratégique
Premier enseignement du rapport : la montée en puissance des « attaques par distillation ». En 2025, Google DeepMind et le Google Threat Intelligence Group (GTIG) ont identifié une augmentation des tentatives d’extraction de modèles visant à reproduire des capacités propriétaires.
Le principe est technique mais redoutable. Un acteur utilise un accès API légitime pour sonder un modèle, en extraire des informations sur son raisonnement et transférer ces connaissances vers un autre système. Une pratique qui, lorsqu’elle est non autorisée, s’apparente à une forme de vol de propriété intellectuelle.
« Le vol de modèle et la distillation des connaissances permettent à un attaquant d’accélérer très vite le développement de modèles d’IA, pour un coût nettement inférieur », souligne le rapport.
En 2025, Google indique ne pas avoir observé d’attaques directes contre des modèles de pointe attribuées à des groupes APT. En revanche, des campagnes d’extraction émanant d’entreprises privées internationales et de chercheurs ont été détectées et perturbées, notamment autour des capacités de raisonnement de Gemini. Une campagne recensait plus de 100 000 requêtes destinées à contraindre le modèle à révéler ses chaînes de raisonnement internes.
Google affirme avoir détecté ces tentatives en temps réel et renforcé ses mécanismes de protection, en ajustant à la fois les classificateurs et le modèle lui-même.
Une IA intégrée à toutes les étapes de l’attaque
Si les modèles restent protégés, leur détournement opérationnel est désormais bien installé. Le GTIG observe une utilisation de l’IA « à toutes les étapes du cycle de vie d’une attaque » : reconnaissance, ingénierie sociale, développement d’outils, post-compromission.
Les groupes soutenus par des États exploitent les LLM pour automatiser la collecte d’informations, analyser des vulnérabilités publiques, générer du code ou concevoir des leurres de phishing plus crédibles. L’IA agit comme un multiplicateur de productivité.
APT42, lié à l’Iran, a ainsi utilisé Gemini pour rechercher des adresses e-mail officielles et construire des scénarios d’approche personnalisés. « En fournissant à Gemini la biographie d’une cible, APT42 a détourné l’outil pour construire un personnage ou un scénario crédible afin d’obtenir une interaction », précise le rapport.
UNC2970, associé à la Corée du Nord, a de son côté utilisé Gemini pour synthétiser des renseignements en sources ouvertes et profiler des cibles à forte valeur, en cartographiant notamment des rôles techniques et des informations salariales. Une démarche qui brouille la frontière entre recherche professionnelle légitime et reconnaissance malveillante.
Le rapport reste mesuré : aucun acteur n’a encore démontré de « capacité de rupture » modifiant fondamentalement le paysage de la menace. L’IA n’introduit pas de paradigme inédit, mais elle supprime des frictions. Elle permet de générer des leurres culturellement adaptés, d’effacer les maladresses linguistiques autrefois révélatrices et de mener des campagnes de phishing conversationnel sur plusieurs échanges pour instaurer la confiance avant la compromission.
Google indique avoir désactivé les actifs associés à ces activités et intégré ces enseignements dans ses protections.
Malware augmenté et économie clandestine des API
L’autre évolution documentée concerne l’expérimentation autour de malwares intégrant l’IA. Le GTIG a identifié HONESTCUE, un framework qui exploite l’API Gemini pour générer dynamiquement du code C# servant à télécharger et exécuter une seconde charge malveillante.
L’objectif : externaliser certaines fonctionnalités afin de compliquer la détection réseau et l’analyse statique. Le second stade est compilé et exécuté en mémoire via des mécanismes .NET légitimes, sans laisser d’artefacts sur disque. Pris isolément, le prompt codé en dur ne paraît pas malveillant, illustrant la capacité des attaquants à dissimuler l’intention dans un ensemble plus large.
Dans le domaine du phishing, le kit COINBAIT marque une montée en sophistication. Déguisé en plateforme d’échange de cryptomonnaies, il a probablement été accéléré par des outils de génération de code IA. Construit comme une application React complète, avec gestion d’état complexe et messages de journalisation détaillés préfixés « ? Analytics: », il illustre une professionnalisation des outils et l’usage de services cloud légitimes pour héberger contenus et images, augmentant les chances de contourner les filtres de sécurité.
Un marché clandestin d’outils IA offensifs se structure aussi. « Xanthorox », présenté comme une IA autonome sur mesure pour générer malwares et campagnes de phishing, reposait en réalité sur des modèles commerciaux existants, dont Gemini, via des serveurs intermédiaires. Le rapport met en avant un vecteur d’abus récurrent : le vol et la revente de clés API, facilité par des vulnérabilités d’outils open source et une demande persistante sur les forums clandestins.
Sécuriser l’IA par conception
Face à cette intégration progressive de l’IA dans les opérations offensives, Google insiste sur sa stratégie : détection et désactivation des comptes abusifs, renforcement des garde-fous, amélioration continue des modèles.
« Nous estimons que notre approche de l’IA doit être à la fois ambitieuse et responsable », affirme le groupe.
Le rapport met en avant le Secure AI Framework (SAIF), des mécanismes d’évaluation automatisée contre les injections de prompt, ainsi que des initiatives comme Big Sleep, agent IA capable d’identifier des vulnérabilités inédites, ou CodeMender, destiné à corriger automatiquement des failles critiques.
Le constat final est sans ambiguïté : l’IA générative ne révolutionne pas encore la menace, mais elle en accélère tous les paramètres. Vitesse d’exécution, personnalisation des attaques, hybridation avec des services légitimes et industrialisation des campagnes. La ligne de défense ne peut plus se limiter à la réaction : elle doit désormais s’inscrire dans l’architecture même des systèmes d’IA.
