Deepfakes en temps réel, faux CV… Comment les hackers s'améliorent grâce à l'IA générative

Les infrastructures cloud sont de plus en plus prises pour cible par les cybercriminels. Dans son “Threat Hunting Report”, publié ce 4 août, l'américain CrowdStrike explique que les intrusions malveillantes dans les environnements cloud ont augmenté de 136% au premier semestre 2025. Une étude basée sur le suivi de 265 groupes cybercriminels identifiés et plus de 150 entités suspectes.

Les hackers chinois en tête des attaques sur le cloud

CrowdStrike explique en partie cette forte augmentation par une activité plus intense (+40%) de la part d'acteurs liés à l'État chinois. Des techniques reposant surtout sur l'exploitation de mauvaises configurations et l'utilisation abusive d'instances de métadonnées pour réaliser des mouvements latéraux.

C'est le cas de Murky Panda ainsi que de Genesis Panda, un acteur ciblant les secteurs de la finance, des médias, de la tech et des télécoms dans 11 pays différents. “Depuis au moins mars 2024, Genesis Panda s'est révélé capable d'utiliser les services cloud pour soutenir le déploiement d'outils, de communications de contrôle et de commande (C2) et d'exfiltration, appuie CrowdStrike. Il a également ciblé les comptes des fournisseurs de services cloud afin d'étendre son accès et établir d'autres formes de persistance.”

Famous Chollima, le nord-coréen qui crée de faux CV avec des outils d'IA

De manière générale, CrowdStrike relève une utilisation massive des outils d'IA générative par certains cybercriminels liés à un État, afin d'aller plus vite dans leurs opérations mais aussi de passer sous les radars. La société de cybersécurité mentionne notamment Famous Chollima, un groupe présumé lié à la Corée du Nord ayant infiltré 320 entreprises au cours des 12 derniers mois (+220% sur un an).

“Chollima utilise l'IA générative pour créer des CV attrayants pour les entreprises, a recours aux deepfakes en temps réel pour masquer leur identité et à des outils de codage d'IA pour effectuer le travail”, poursuit CrowdStrike. Ceci leur permettrait ainsi de générer de l'argent pour financer le programme d'armement nucléaire du pays. L'année dernière, Microsoft avait découvert un référentiel public contenant des données appartenant à de faux travailleurs nord-coréens, contenant notamment des CV améliorés par IA et des images réelles modifiées.

Les outils d'IA vulnérables aussi visés

Les solutions d'IA générative sont également utilisées par certains groupes pour véhiculer des discours propres à un État. Les Russes d'Ember Bear (affilié au renseignement) et de Charming Kitten en font partie. Ils mènent également des campagnes de phishing avec des leurres conçus par des grands modèles de langage. 

De l'autre côté, la société américaine a repéré de multiples attaques visant les failles d'outils d'IA. “En avril, CrowdStrike a observé l'exploitation de CVE-2025-3248, une vulnérabilité d'injection de code non authentifié dans Langflow AI, un outil utilisé pour créer des agents et workflows IA. Les attaquants peuvent exploiter CVE-2025-3248 à l'aide de requêtes HTTP pour obtenir une exécution de code à distance”.

Une explosion des attaques par phishing vocal

Crowdstrike souligne enfin un déferlement d'attaques par phishing vocal, aussi appelé vishing, qui ont augmenté de 442% entre le premier et le second semestre 2024. À l'issue du premier semestre, elles étaient aussi nombreuses que durant toute l'année 2024. “Ces attaques sont efficaces car elles exploitent les vulnérabilités humaines et tirent parti des identifiants compromis et de techniques d'ingénierie sociale pour contourner les mesures de sécurité traditionnelles, obtenir un accès initial et se déplacer rapidement au sein des organisations.”

L'un des plus importants groupes de ransomware à se servir de ces méthodes n'est autre que Scattered Spider, soupçonné d'être à l'origine des cyberattaques contre le britannique Marks & Spencer, la compagnie aérienne australienne Qantas ou encore MGM. “Lorsque Scattered Spider se fait passer pour des employés légitimes lors d'interventions auprès du service d'assistance, ils fournissent des identifiants exacts et répondent à des questions de vérification”. Les auteurs expliquent que dans un cas, Scattered Spider est passé au chiffrement… en moins de 24 heures.