WolfGPT : l’IA « améliorée » pour les malwares

Alors que le paysage de la cybercriminalité continue d’évoluer, WolfGPT est un outil qui s’est imposé comme un acteur redoutable dans le domaine des IA malveillantes. Un message posté sur une chaîne Telegram par le groupe « KEP TEAM » présente WolfGPT comme une « version améliorée de l’IA pour le développement d’outils de piratage et d’outils contraires à l’éthique ». Le message vante l’arsenal de capacités de WolfGPT, notamment la création de malwares chiffrés, de code d’injection de processus, de textes d’hameçonnage et d’une garantie de confidentialité totale.

WolfGPT s’est rapidement imposé parmi les cybercriminels à la recherche de capacités avancées pour leurs activités illicites. Cette capture d’écran (datée du 28 juillet 2023) montre comment les acteurs de la menace commercialisent ces outils via des canaux fermés, avec une image de marque avant-gardiste et un logo de style Art-ASCII.

Capacités de WolfGPT

WolfGPT est décrit comme une variante malveillante de ChatGPT axée principalement sur la création de malwares. Il utilise la programmation Python pour générer des malwares cryptographiques et du code malveillant sophistiqué, en s’appuyant soi-disant sur de « vastes ensembles de données de malwares existants » pour ce faire. Dans la pratique, WolfGPT pourrait aider les pirates à développer des routines de chiffrement pour les ransomwares, des virus polymorphes ou d’autres codes intégrant la cryptographie et l’obfuscation.

L’une des fonctionnalités remarquables de WolfGPT serait une fonction d’obfuscation pour rendre le code généré plus difficile à détecter par les antivirus ou les scanners de sécurité. En outre, WolfGPT peut produire un contenu d’hameçonnage « astucieusement trompeur » et même faciliter des campagnes d’hameçonnage avancées en renforçant l’anonymat des pirates. La mise en avant de l’anonymat et de la confidentialité suggère que WolfGPT pourrait contribuer à la sécurité opérationnelle (OpSec). Par exemple, il pourrait générer des textes de social engineering ou des malwares dotés de fonctionnalités pour éviter l’attribution et la journalisation. Toutes ces capacités font de WolfGPT un outil d’aide au piratage à multiples facettes, en fait un copilote IA pour les campagnes cybercriminelles.

Promotion et image de marque

WolfGPT est apparu pour la première fois fin juillet 2023, lorsque plusieurs acteurs malveillants ont commencé à le promouvoir sur les forums du dark web et sur Telegram. Une annonce sur une chaîne Telegram en langue arabe a notamment présenté WolfGPT en termes dithyrambiques, « une IA maléfique… surpassant à la fois WormGPT et ChatGPT », afin d’attirer les acheteurs. L’outil aurait été écrit en Python, comme Evil-GPT, et prétendait offrir une « confidentialité absolue » dans ses opérations.

Au moins une annonce sur le dark web pour WolfGPT contenait un exemple de code en démonstration de ses capacités, présentant l’injection de processus en C++. Le marketing agressif, ainsi que les références à la supériorité de WormGPT, indiquent que ses créateurs voulaient capitaliser sur le battage médiatique et le présenter comme le « prochain gros coup » dans le domaine de l’IA illicite.

Bien que les informations sur les prix n’aient pas été largement diffusées dans les sources ouvertes, l’émergence rapide de WolfGPT peu de temps après WormGPT suggère qu’il pourrait être gratuit ou peu coûteux, ou un simple changement de marque d’une technologie similaire pour s’emparer d’un segment du marché. En le positionnant comme une « IA améliorée », les vendeurs ont exploité la crainte des cybercriminels de passer à côté du dernier outil.

Utilisation en situation réelle et actualité

Malgré sa promotion agressive, il existe peu de preuves publiques de l’utilisation de WolfGPT dans des cyberincidents spécifiques. Cela peut s’expliquer par le fait qu’il s’agit d’un début de niche et peut-être plus d’un concept que d’une réalité. Des chercheurs en sécurité ont noté en 2023 qu’au-delà des captures d’écran initiales de Telegram et des messages sur le forum, « rien d’autre ne peut être trouvé sur cet outil ». Un dépôt GitHub a fait surface, semblant être un wrapper d’application web rudimentaire autour de l’API de ChatGPT, ce qui soulève la question de savoir si WolfGPT était un modèle personnalisé entièrement entraîné ou simplement une interface reconditionnée pour l’IA existante.

Début 2024, WolfGPT continuait d’être cité comme faisant partie de la lignée des GPT malveillants dans les rapports de menace, mais avec peu de suivi sur son utilisation active. Cependant, ses capacités correspondent à des besoins réels observés en cybercriminalité, notamment lorsque des criminels cherchent des moyens de générer automatiquement des malwares et des attaques d’hameçonnage mieux camouflés à grande échelle. Même si WolfGPT lui-même est resté discret, le concept qu’il incarne – une IA qui diffuse des malware dissimulés et des attaques sur mesure – est bien présent.

Les entreprises doivent se préparer à la possibilité que des pirates développent ou aient déjà développé des outils avec l’ensemble des fonctionnalités de WolfGPT, même sous des noms différents. Chaque nouvelle souche de malware très évasif ou chaque nouveau leurre d’hameçonnage peut avoir été créé avec l’aide d’une IA. La leçon de WolfGPT est claire : dès qu’une IA malveillante est arrêtée ou disparaît, d’autres surgissent pour prendre sa place, chacune apprenant de la précédente.

Conclusion

WolfGPT illustre l’évolution continue des outils d’IA malveillants et leur impact potentiel sur la cybersécurité. Dans le cadre de cette série, nous explorerons ensuite DarkBard, un autre acteur important dans le domaine de l’IA générative utilisée pour le cybercrime. La compréhension de ces outils et de leurs implications est cruciale pour les organisations qui cherchent à renforcer leurs défenses contre la vague croissante de menaces optimisées par l’IA. Restez à l’écoute de notre prochain article, où nous aborderons DarkBard et ses fonctionnalités en tant que « jumeau maléfique » de Google Bard.