De la rédaction de mails de phishing parfaits à l'analyse de failles logicielles, Google tire la sonnette d'alarme sur l'usage massif de ses propres outils par des puissances étrangères.
Gemini
Quatre puissances étatiques, dont la Chine et la Russie, industrialisent désormais l’usage des LLM pour automatiser la reconnaissance et le profilage de cibles stratégiques, selon l’analyse de l’équipe de recherche sur les menaces de Google.
Le groupe nord-coréen UNC2970 utilise Gemini pour usurper l’identité de recruteurs du secteur de la défense, créant des avatars ultra-convaincants capables de mener des entretiens d’embauche factices pour piéger des développeurs.
L’émergence de kits comme CoinBait montre une accélération du codage de logiciels malveillants par l’IA, imposant aux dirigeants une réévaluation immédiate de la sécurité des comptes entreprises face au détournement de ressources cloud.
Dans son rapport trimestriel publié en février 2026, l’équipe de recherche sur les menaces de Google révèle que les fameux chatbots d’intelligence artificielle peuvent désormais donner un coup de main aux pirates. Les hackeurs intègrent ces technologies dans toutes les phases de leurs campagnes, de la reconnaissance initiale jusqu’au développement de logiciels malveillants.
Le rapport pointe du doigt plusieurs groupes de hackeurs soutenus par des gouvernements. Selon Google, des acteurs liés à la Corée du Nord, à l’Iran, à la Chine et à la Russie utilisent ces grands modèles de langage (LLM) dans la phase de préparation des attaques.
Les modèles de langage permettent aux hackeurs de générer des mails hyperpersonnalisés, adaptés culturellement et capables d’imiter le ton professionnel d’une organisation cible. Cette évolution marque un tournant vers un « phishing augmenté par l’IA », où la vitesse et la précision des LLM contournent le travail manuel traditionnellement nécessaire pour profiler les victimes.
Un groupe de hackeurs iraniens exploite ainsi Gemini pour rechercher des adresses électroniques officielles et mener des reconnaissances sur des partenaires commerciaux. Ils peuvent ensuite développer une histoire pour tenter de le tromper. Ce même groupe fournit même à Gemini la biographie d’une personne visée pour que l’IA génère un avatar convaincant. L’outil sert également à traduire dans les langues locales, rendant les leurres encore plus efficaces.
Le groupe nord-coréen UNC2970 se concentre lui sur le secteur de la défense en se faisant passer pour des recruteurs. Il utilise Gemini pour profiler les cibles les plus pertinentes, recherchant des données sur les entreprises de cybersécurité et de défense, ainsi que des informations sur les postes techniques et les salaires. Ces pirates peuvent aller jusqu’à mener des entretiens d’embauches avec les développeurs qu’ils ont ciblés.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Dans un autre cas repéré par Google, des hackeurs chinois demandaient à Gemini de prendre le rôle d’expert en cybersécurité pour automatiser l’analyse de vulnérabilités d’un logiciel. Quant aux pirates d’origine russe, leurs campagnes servaient surtout à envoyer massivement de faux messages pour piéger des citoyens ukrainiens.
Dans le milieu de l’arnaque, Google a également repéré CoinBait, un programme de phishing prêt à être déployé, avec un faux site Web se faisant passer pour un service de cryptomonnaie, dont la construction a probablement été accélérée par des outils de génération de code IA.
Pour détourner les modèles d’IA à grande échelle, les hackeurs ont besoin d’avoir un accès à des comptes entreprises. Les hackeurs travaillant pour des organisations étatiques cherchent régulièrement à pirater les comptes de grands groupes pour détourner leurs ressources cloud. Face à ces menaces, les équipes de sécurité de Google insistent sur la nécessité de mettre en place des normes de sécurité. Paradoxalement, les deepfakes et les copies malveillantes de visage sont largement accessibles sur les outils du groupe.
