HP Inc. publie son dernier rapport Threat Insights, qui met en évidence une tendance marquée : les attaquants utilisent de plus en plus l’IA pour industrialiser et accélérer leurs campagnes, en privilégiant la rapidité, le coût et l’efficacité plutôt que la sophistication. Bien que souvent standardisées et peu élaborées, ces attaques assistées par l’IA parviennent à contourner les dispositifs de défense des entreprises.
Le rapport analyse des cyberattaques réelles afin d’aider les organisations à suivre les dernières techniques utilisées par les cybercriminels pour échapper à la détection et compromettre les PC, dans un contexte de cybercriminalité en constante évolution. Sur la base de données recueillies auprès de millions de terminaux protégés par HP Wolf Security*, les chercheurs ont notamment identifié les campagnes suivantes :
- Des scripts d’infections exploitant des redirections Booking.com : les cybercriminels utilisent l’IA pour générer des scripts d’infection prêts à l’emploi, une approche appelée « vibe hacking », afin d’automatiser la diffusion de malwares. Dans l’une des campagnes observées, un lien intégré dans une fausse facture au format PDF déclenche en arrière-plan le téléchargement silencieux depuis un site compromis, avant de rediriger la victime vers une plateforme de confiance, comme Booking.com, pour ne pas éveiller les soupçons.
- Des kits de malwares prêts à l’emploi composés de modules à assembler : de nombreuses attaques sont désormais fabriquées à partir de composants standards et peu coûteux, probablement achetés sur des forums spécialisés. Si les leurres et les charges finales varient, les scripts intermédiaires et les programmes d’installation sont réutilisés. Cela leur permet de créer, personnaliser et déployer rapidement les campagnes avec un effort minimal. Ces “briques” technologiques ne sont pas l’apanage d’un seul groupe, mais sont réutilisées par plusieurs acteurs distincts, ce qui illustre une forme d’industrialisation du cybercrime.
Un malware dissimulé dans un faux installateur Microsoft Teams : des campagnes ont été identifiées exploitant le référencement frauduleux sur les moteurs de recherche et des publicités malveillantes pour promouvoir de faux sites Microsoft Teams. Les victimes téléchargent un programme d’installation malveillant dans lequel le malware Oyster Loader est dissimulé, et s’exécute en parallèle du processus d’installation de Teams. L’application légitime fonctionne normalement, tandis que l’infection agit en arrière-plan, donnant à l’attaquant un accès à distance à l’appareil.
Alex Holland, Principal Threat Research au sein du HP Security Lab, explique : « C’est le triangle classique de la gestion de projet : rapidité, qualité, coût. Ce que nous observons, c’est que de nombreux attaquants privilégient la rapidité et le coût, pas la qualité. Ils n’utilisent pas l’IA pour élever le niveau de leurs attaques : ils l’utilisent pour aller plus vite et réduire leurs efforts. Les campagnes sont certes simplistes, mais elles continuent de fonctionner. »
En isolant les menaces ayant échappé aux outils de détection traditionnels, tout en permettant au malware de s’exécuter en toute sécurité dans des environnements isolés, HP Wolf Security dispose d’une visibilité sur les dernières techniques utilisées par les cybercriminels. À ce jour, les clients HP Wolf Security ont cliqué sur plus de 60 milliards de pièces jointes, pages web et fichiers téléchargés, sans qu’aucune compromission n’ait été signalée.
Le rapport, qui porte sur la période d’octobre et décembre 2025, détaille la manière dont les cybercriminels diversifient leurs méthodes pour contourner les solutions de sécurité :
- Au moins 14 % des menaces diffusées par e-mail identifiées par HP Sure Click ont échappé à un ou plusieurs dispositifs de filtrage des passerelles de messagerie.
- Les fichiers exécutables constituent le principal vecteur d’infection (37 %), suivis des fichiers compressés .zip (11 %) et des documents Word .docx (10 %).
Dr Ian Pratt, Global Head of Security for Personal Systems chez HP Inc., conclut : « Les attaques assistées par l’IA mettent en lumière les limites de sécurité basées uniquement sur la détection. Quand les cyberattaquants peuvent générer et modifier des malwares en quelques minutes, les défenses fondées sur la seule détection ne peuvent pas suivre. Plutôt que d’essayer d’identifier chaque variante, les organisations doivent réduire leur exposition. En contenant les activités à risque, comme l’ouverture de pièces jointes non fiables ou le clic sur des liens inconnus, dans un environnement isolé, les entreprises peuvent stopper les menaces avant qu’elles ne causent des dommages et éliminer toute une catégorie de risques. »
