S’il y a une constante en matière de cybersécurité, c’est que les adversaires innovent toujours. La montée en puissance de l’IA offensive transforme les stratégies d’attaque et les rend plus difficiles à détecter. Le Threat Intelligence Group de Google a récemment signalé que des adversaires utilisaient des modèles de langage étendus (LLM) pour masquer le code et générer des scripts malveillants à la volée, permettant ainsi aux logiciels malveillants de changer de forme en temps réel pour échapper aux défenses conventionnelles. Un examen plus approfondi de ces nouvelles attaques révèle une sophistication et une tromperie sans précédent.
En novembre 2025, Anthropic a rendu compte de ce qu'il a décrit comme la première « campagne de cyberespionnage orchestrée par l'IA » connue. Cette opération faisait intervenir une IA intégrée à toutes les étapes de l’attaque, depuis l’accès initial jusqu’à l’exfiltration, qui était en grande partie exécutée de manière autonome par l’IA elle-même.
Une autre tendance récente concerne les attaques liées à ClickFix qui utilisent des techniques de stéganographie (masquage des logiciels malveillants dans des fichiers image) qui contournent les analyses basées sur les signatures. Ces attaques, intelligemment déguisées en écrans de mise à jour logicielle légitimes ou CAPTCHA, ont incité les utilisateurs à déployer des chevaux de Troie d'accès à distance (RAT), des voleurs d'informations et d'autres charges utiles de logiciels malveillants sur leurs propres appareils.
Les adversaires exploitent également des moyens de déclencher puis de compromettre les règles d'exclusion des antivirus (AV) en utilisant une combinaison de techniques d'ingénierie sociale, d'attaque de l'homme du milieu et d'échange de cartes SIM. Selon une étude menée par l'équipe de menace de Microsoft d'octobre 2025, l'acteur malveillant qu'ils appellent Octo Tempest a convaincu ses victimes de désactiver plusieurs produits de sécurité et de supprimer automatiquement les notifications par courrier électronique. Ces étapes ont permis à leurs logiciels malveillants de se propager sur un réseau d'entreprise sans déclencher d'alertes sur les points finaux. Les acteurs déploient également facilement des outils dynamiques et adaptatifs spécialisés dans la détection et la désactivation des logiciels antivirus sur les points finaux.
Toutes ces techniques partagent un fil conducteur : la capacité d'échapper aux défenses héritées telles que la détection et la réponse des points finaux (EDR), exposant ainsi les limites du recours uniquement à l'EDR. Son succès illustre à quel point l’EDR, agissant seul et sans mesures défensives supplémentaires, peut être vulnérable. Il s’agit de nouvelles attaques dans tous les sens du terme, utilisant l’automatisation et l’intelligence artificielle pour renverser les défenses numériques. Ce moment marque un changement fondamental dans le paysage des cybermenaces et entraîne rapidement un changement de stratégie défensive.
NDR et EDR, travaillant ensemble
À l’ère des menaces basées sur l’IA, il est nécessaire que les deux types de systèmes fonctionnent ensemble, d’autant plus que ces attaques peuvent fonctionner à des vitesses plus élevées et à plus grande échelle. Certains systèmes EDR n’ont pas été conçus pour la vitesse et l’ampleur des attaques basées sur l’IA. NDR peut détecter ces anomalies de réseau, renforcer les défenses et obtenir des informations plus approfondies sur ces données de réseau, en tirant parti de la protection supplémentaire que cette technologie complémentaire peut offrir.
Ce défi est aggravé par le fait que la surface d'attaque actuelle s'étend et devient plus complexe. Acteurs de menace sophistiqués maintenant combiner des menaces qui se déplacent dans une variété de domainescompromettant l’identité, les points finaux, le cloud et l’infrastructure sur site dans une combinaison mortelle. Cela signifie que les systèmes de sécurité correspondants dans chacun de ces domaines prioritaires doivent travailler ensemble, en partageant des métadonnées et d'autres signaux, pour détecter et arrêter ces menaces. Les mauvais acteurs se cachent derrière cette complexité pour maximiser leur portée, augmenter leur rayon d’explosion et fournir une couverture tout en utilisant différents outils de piratage pour assumer différents rôles et se concentrer sur différentes cibles intermédiaires.
Blockade Spider, un groupe actif depuis avril 2024, utilise ces domaines mixtes pour des attaques de ransomwares. Après avoir obtenu l'accès en recherchant des systèmes non gérés, ils se déplacent latéralement sur un réseau, à la recherche d'un ensemble de fichiers à chiffrer et tentent d'extraire une rançon. L'étendue de leur approche a été découverte en utilisant le NDR pour obtenir une visibilité sur les systèmes virtuels et les propriétés du cloud, puis en utilisant l'EDR dès que l'attaque traversait le réseau jusqu'aux points de terminaison gérés.
L’une des variantes les plus tristement célèbres est celle utilisée lors de l’attaque Volt Typhoon observée par Microsoft en 2023. Elle est attribuée à des acteurs parrainés par l’État chinois qui ont utilisé des techniques de vie hors sol (LoTL) qui les ont aidés à éviter la détection des points finaux. Leurs cibles étaient des périphériques réseau non gérés tels que des routeurs SOHO et d'autres matériels Internet des objets (IoT). Les acteurs ont pu modifier les paquets sources pour les faire apparaître comme provenant d'un modem câble au Texas, plutôt que d'un lien direct vers une adresse IP chinoise. Ce qui a trahi le jeu, c'est le trafic réseau. Bien qu'ils aient réussi à éviter l'EDR, les variations du volume de trafic réseau détectées par le NDR ont indiqué que le trafic du modem câble source cachait en réalité quelque chose de beaucoup plus néfaste. Dans ce cas, NDR a servi de filet de sécurité en détectant les activités malveillantes qui contournaient les systèmes EDR.
L’augmentation du travail à distance ajoute également de la vulnérabilité. Alors que les VPN sont de plus en plus utilisés pour soutenir le travail à distance, ils ouvrent de nouvelles opportunités d’exploitation. Le manque de visibilité sur les réseaux distants signifie qu'un point de terminaison compromis sur une connexion fiable peut nuire à l'environnement de l'organisation. Si un EDR ne détecte pas qu'une machine locale exécutant le VPN est déjà infectée par un logiciel malveillant, celui-ci peut facilement se propager dans toute l'entreprise une fois la machine connectée au réseau de l'entreprise. Les VPN compromis peuvent également masquer les mouvements latéraux du réseau, dissimulés entre les opérations réseau et les outils de gestion classiques. Par exemple, deux violations récentes des chaînes d'approvisionnement de Salesforce ont été réalisées en utilisant l'intelligence artificielle pour récolter les informations d'identification OAuth afin d'obtenir un accès non autorisé à plusieurs comptes clients. NDR peut identifier les points d'entrée et de transit faibles, aidant ainsi à identifier les zones les plus à risque qui doivent être traitées en premier, et EDR peut partager la preuve qu'un compte compromis est utilisé comme point pivot.
Ces exploits et d'autres mettent en évidence les avantages d'une surveillance continue avec EDR et NDR travaillant ensemble, permettant aux défenseurs de détecter des techniques adverses innovantes et de répondre rapidement et de manière décisive aux menaces émergentes. Les adversaires deviendront plus performants à mesure que l'IA évolue, ce qui rend cette approche combinée essentielle pour réduire les risques et améliorer la capacité de votre organisation à réagir rapidement et de manière décisive.
La plateforme Open NDR de Corelight permet aux SOC de détecter de nouveaux types d'attaques, y compris celles qui exploitent les techniques d'intelligence artificielle. Son approche de détection multicouche comprend des détections de comportement et d'anomalies qui peuvent identifier une variété d'activités réseau uniques et inhabituelles. À mesure que les adversaires développent de nouvelles méthodes pour échapper aux systèmes EDR, les équipes de sécurité qui mettent en œuvre le NDR peuvent renforcer le jeu défensif de leur entreprise. Visitez corelight.com/elitedefense pour plus d’informations.
