Le 5 novembre 2025, Google Threat Intelligence a publié un état des lieux inédit. Des groupes utilisent désormais des LLM en cours d’exécution pour générer, réécrire et obfusquer du code malveillant en temps réel.
PROMPTFLUX, un malware VBScript qui interagit avec l’API Gemini pour muter son propre code toutes les heures. Une stratégie “just-in-time” destinée à contourner les antivirus et l’EDR.
Ce que change l’IA dans les malwares
–Génération à la volée : au lieu d’embarquer toutes ses fonctions, le code demande au LLM d’écrire ce dont il a besoin au moment opportun (chiffrement, persistance, évasion).
–Obfuscation continue : PROMPTFLUX réécrit son code à intervalles réguliers (≈ 1 h), ce qui brise les YARA/IOC fondées sur des empreintes statiques.
–Contournement des garde-fous : les attaquants s’appuient sur des prétextes de social engineering (“étudiant CTF”, “chercheur sécu”) pour désamorcer les protections des modèles.
PROMPTFLUX : anatomie rapide
–Langage / vecteur : VBScript, exécution locale, appels API Gemini (clé embarquée dans certaines variantes).
–Module “Thinking Robot” : boucle qui interroge périodiquement Gemini pour obtenir du code d’évasion adapté à l’environnement (obfuscation, anti-analyse).
–Finalité : data mining (collecte massive), avec variantes encore en développement/test selon Google.
Google indique avoir désactivé des comptes liés à ces expérimentations et renforcé ses garde-fous.
Un écosystème qui s’accélère : l’exemple PromptLock
Ce n’est pas le premier signal. En août 2025, ESET a documenté PromptLock, un ransomware piloté par IA, preuve de concept qui démontre la faisabilité opérationnelle d’une attaque orchestrée par LLM.
À retenir
–PROMPTFLUX illustre une bascule : des malwares “assistés par LLM” capables de se réécrire en continu pour casser la détection.
-Les attaquants contournent les garde-fous des modèles par ingénierie sociale dans leurs prompts (Google).
-Les défenses doivent passer du statique au comportemental, avec un egress control strict sur les API d’IA.
Merci d’avoir lu. Si ce sujet vous a été utile, partagez l’article et abonnez-vous à nos actus. Pour aller plus loin : lisez nos derniers articles:
–La cybersécurité du Louvre en alerte.
–Le mode adulte débarque sur ChatGPT.
Votre avis compte. Dites-nous en commentaire ce que vous pensez du sujet et des garde-fous à mettre en place.
Partagez l’article si vous l’avez trouvé utile — ça nous aide beaucoup.