L’intelligence artificielle ne crée pas une nouvelle génération de ransomwares. Elle accélère, amplifie et rend plus bruyantes des pratiques déjà bien établies. C’est la conclusion sans ambiguïté de la dernière étude de SentinelLabs, qui appelle à se préparer non pas à une rupture technologique, mais à une montée en cadence des opérations d’extorsion.
L’illusion de la rupture technologique
L’IA est souvent présentée comme le prochain saut évolutif du ransomware, capable de bouleverser les tactiques offensives et de rebattre les cartes de la cybersécurité. L’analyse publiée par SentinelLabs fin 2025 invite à une lecture beaucoup plus froide. « Les LLMs accélèrent le cycle de vie du ransomware, ils ne le transforment pas fondamentalement », résument les chercheurs.
Reconnaissance, phishing, tri des données volées, négociation avec les victimes : à chaque étape, les modèles de langage permettent de gagner du temps, de travailler à plus grande échelle et de franchir les barrières linguistiques. Mais aucun élément ne démontre, à ce stade, l’émergence de techniques inédites directement induites par l’IA. Autrement dit, les attaquants ne font rien de radicalement nouveau. Ils font la même chose, plus vite et mieux.
Une baisse continue de la barrière à l’entrée
Premier effet structurel observé : l’accessibilité. Les LLMs permettent à des acteurs peu ou moyennement qualifiés d’assembler des outils opérationnels en fragmentant leurs demandes en une succession de prompts apparemment anodins. Cette décomposition des tâches permet de contourner plus facilement les garde-fous des fournisseurs d’IA.
Pour SentinelLabs, cette dynamique favorise l’essor de profils opportunistes capables de mettre sur pied des infrastructures de type ransomware-as-a-service sans disposer d’une expertise avancée. « Des novices atteignent plus rapidement un niveau opérationnel fonctionnel », notent les auteurs, ce qui contribue mécaniquement à l’augmentation du volume d’attaques.
La fin des “mega-cartels” du ransomware
Deuxième mutation majeure : la fragmentation de l’écosystème. L’ère des grandes marques du ransomware – LockBit, Conti, REvil – s’essouffle sous la pression combinée des forces de l’ordre et des sanctions internationales. À leur place, prolifèrent des collectifs plus petits, souvent éphémères, opérant sous les radars.
Termite, Punisher, Obscura ou The Gentlemen illustrent cette nouvelle génération de groupes, tandis que les fausses revendications et les imitations se multiplient. Babuk2 ou les confusions autour de ShinyHunters brouillent volontairement les pistes. Les LLMs facilitent cette inflation de contenus, de narratifs et de revendications crédibles, compliquant encore davantage le travail d’attribution.
Quand crimeware et APT se confondent
La troisième évolution pointée par SentinelLabs concerne l’effacement progressif de la frontière entre cybercriminalité et opérations étatiques. Des groupes liés à des États ou motivés par des considérations idéologiques opèrent désormais au sein d’écosystèmes d’affiliation ransomware, parfois pour masquer leurs véritables objectifs.
Cette hybridation génère un bruit considérable dans le renseignement sur la menace. « L’attribution devient plus complexe à mesure que des acteurs APT ‘moonlightent’ comme affiliés ransomware », observent les chercheurs, citant des groupes comme DragonForce, Qilin ou BlackCat/ALPHV.
L’IA comme substitut aux workflows d’entreprise
Sur le plan opérationnel, les attaquants réutilisent très largement les usages légitimes de l’IA en entreprise. Là où les équipes marketing exploitent les LLMs pour produire du contenu, les cybercriminels les utilisent pour rédiger des emails de phishing ou des notes de rançon parfaitement localisées. Là où les directions commerciales trient des volumes massifs de données, les attaquants s’en servent pour identifier les informations les plus sensibles à monnayer.
L’impact est particulièrement marqué sur le plan linguistique. Les modèles de langage permettent d’identifier des documents critiques en turc, en allemand ou en arabe, là où un opérateur humain aurait pu passer à côté. « Ce n’est pas une nouvelle capacité, mais la suppression d’un angle mort », souligne le rapport.
Vers des modèles locaux et hors radar
Face aux garde-fous des grandes plateformes, les acteurs les plus avancés se tournent de plus en plus vers des modèles open source auto-hébergés, comme ceux basés sur Ollama. Moins de télémétrie, moins de contrôles, plus de liberté. Pour les défenseurs, c’est une mauvaise nouvelle : la visibilité offerte par les fournisseurs d’IA s’amenuise à mesure que les modèles deviennent locaux, personnalisés et opaques.
Des preuves de concept comme MalTerminal ou l’usage détourné de LLMs installés sur les postes des victimes, à l’image du malware QUIETVAULT, montrent comment l’IA peut être intégrée directement dans la chaîne offensive, y compris pour améliorer la reconnaissance et l’exfiltration.
Plus vite, plus fort, plus bruyant
L’étude de SentinelLabs documente aussi des campagnes très automatisées, comme celle reposant sur Claude Code à l’été 2025, capable d’orchestrer reconnaissance, exfiltration, calcul du montant de la rançon et communication avec les victimes. Là encore, rien d’impossible pour un groupe bien structuré, mais une réduction drastique des ressources humaines nécessaires.
La conclusion est claire : « Le risque n’est pas un malware superintelligent, mais une extorsion industrialisée ». Des attaques plus rapides, plus nombreuses, mieux ciblées, avec des négociations multilingues et une pression accrue sur les victimes.
Ce que cela change pour les DSI et RSSI
Pour les équipes de sécurité, le défi n’est pas tant l’émergence de nouvelles techniques que l’accélération du tempo. Faux exploits générés par IA, revendications factices, campagnes de phishing à grande échelle : le bruit augmente, la fatigue aussi.
SentinelLabs appelle les défenseurs à adapter leurs stratégies à cette réalité : un paysage plus fragmenté, plus bruyant, où l’efficacité opérationnelle des attaquants progresse par petites touches rapides. Dans ce contexte, la capacité à trier, prioriser et réagir vite devient aussi critique que la détection elle-même.
L’IA ne change pas la nature du ransomware. Elle change la vitesse à laquelle il frappe. Et c’est déjà un problème de taille.
