ESET Research a mis en lumière PromptLock, un ransomware inédit qui s’appuie sur l’intelligence artificielle générative pour automatiser la production de scripts Lua malveillants. Contrairement aux ransomwares traditionnels, ce malware intègre un modèle de langage local capable de générer du code à la volée et de prendre des décisions autonomes sur l’exfiltration ou le chiffrement des données.
Génération automatisée de scripts Lua
Le cœur du fonctionnement de PromptLock repose sur un LLM (Large Language Model) intégré, qui produit des scripts Lua compatibles avec Windows, Linux et macOS. Ces scripts analysent les fichiers locaux et, en fonction de prompts prédéfinis, déterminent s’il faut exfiltrer les données ou les chiffrer.
Une fonction destructrice existe également dans le code, bien qu’elle soit inactive dans cette version.
Architecture et chiffrement
Le malware est développé en Golang, un langage apprécié pour sa portabilité et sa performance. Pour le chiffrement, PromptLock utilise SPECK 128 bits, un algorithme léger développé initialement par la NSA. Bien que critiqué pour sa vulnérabilité potentielle face aux attaques cryptanalytiques, SPECK reste efficace pour des malwares visant la rapidité et la faible consommation de ressources.
Automatisation via API et modèles gratuits
Un point particulièrement préoccupant est l’utilisation par PromptLock d’un modèle d’IA accessible gratuitement via API. Cette approche réduit considérablement les barrières techniques à l’élaboration de ransomwares sophistiqués. En pratique, le malware ne nécessite plus de pipeline de développement complexe : un LLM configuré suffit pour générer du code malveillant directement sur l’appareil infecté.
Indicateurs de compromission et détection
PromptLock a déjà été détecté sur VirusTotal et est référencé par ESET sous l’appellation Filecoder.PromptLock.A. La note de rançon inclut une adresse Bitcoin associée de manière provocatrice à Satoshi Nakamoto, sans certitude quant à son authenticité.
Pour les équipes de sécurité, les indicateurs à surveiller incluent :
- Génération anormale de scripts Lua en environnement local.
- Exécution de code Go compilé exploitant SPECK.
- Communications sortantes vers des services API suspects.
Implications pour la cybersécurité
Selon Anton Cherepanov, chercheur senior chez ESET, l’IA abaisse le coût et la complexité du développement de malwares : « Un modèle bien configuré suffit pour concevoir des ransomwares adaptatifs, difficiles à détecter et capables d’évoluer rapidement. »
Cette évolution pose un défi majeur pour les SOC (Security Operations Centers), qui doivent désormais intégrer des capacités de détection comportementale et de monitoring des appels API IA.
Une preuve de concept aux conséquences réelles
Bien que présenté comme une preuve de concept, PromptLock illustre la manière dont l’IA peut transformer le paysage des menaces. L’automatisation complète des phases de génération, de décision et de déploiement de code malveillant pourrait inaugurer une nouvelle ère de ransomwares auto-évolutifs et difficilement détectables.
ESET publie ses recherches afin d’alerter la communauté sur l’urgence d’adapter les défenses face à cette nouvelle génération de cyberattaques.
