IA et APT : détecter wipers et partage de malwares

Fin 2024 et début 2025, plusieurs campagnes APT ont illustré une réalité que je vois souvent sur le terrain : les attaquants avancés n’ont pas besoin d’innover tout le temps. Ils gagnent aussi en réutilisant, en partageant et en améliorant à la marge des outils déjà éprouvés. Résultat : l’attribution devient plus floue, les signaux faibles se multiplient, et les équipes SOC se retrouvent à courir après des indices fragmentés.

Le rapport d’activité APT Q4 2024–Q1 2025 d’ESET met le doigt sur trois tendances qui comptent vraiment pour les entreprises : la persistance extrême (UnsolicitedBooker), le brouillage par partage d’outils (Worok et “quartermasters”), et la montée des wipers (Sandworm et ZEROLOT), sans oublier les exploits ciblant des webmails (Sednit/Operation RoundPress). La bonne nouvelle ? L’IA en cybersécurité est précisément conçue pour absorber ce chaos, corréler des signaux hétérogènes, et accélérer la réponse.

Ce billet s’inscrit dans notre série « Intelligence artificielle dans la cybersécurité » : on part des tactiques APT observées, puis on traduit ça en mesures concrètes et cas d’usage IA que vous pouvez activer dans un SOC moderne.

Ce que les APT nous apprennent : la menace “industrielle”

Réponse directe : les APT se comportent de plus en plus comme une industrie : spécialisation, mutualisation d’outils, optimisation du temps d’accès, et opérations destructrices ciblées.

Le rapport met en avant des groupes alignés Chine, Russie, Corée du Nord et Iran. Mais au-delà des drapeaux, on observe surtout une logique opérationnelle :

• Même cible, plusieurs tentatives : UnsolicitedBooker est décrit comme particulièrement persistant, tentant à plusieurs reprises d’implanter sa backdoor (MarsSnake) sur la même organisation. C’est le “P” de APT, au sens littéral.
• Attribution brouillée : des ensembles d’outils se retrouvent chez plusieurs acteurs (Worok, LuckyMouse, TA428). Quand les malwares et loaders circulent, les TTP se ressemblent, et les enquêtes se complexifient.
• Destruction chirurgicale : Sandworm déploie un wiper (ZEROLOT) capable d’effacer des répertoires et fichiers précis sans faire tomber immédiatement le système, pour maximiser l’impact.

Ce schéma a une conséquence pratique : les indicateurs classiques (IOC) expirent vite. L’approche “hash + blocage” ne suffit plus. Il faut comprendre les comportements.

Partage de malwares et attribution : l’IA change la règle du jeu

Réponse directe : quand les outils sont partagés, l’IA aide à passer de la “signature” à la signature comportementale, et à l’attribution probabiliste.

Le “tool-sharing” (partage d’outils) agit comme un brouillard : même binaire, infrastructures qui se recoupent, morceaux de code réutilisés. Pour un SOC, ça se traduit par des alertes qui “se ressemblent”, mais ne racontent pas la même histoire.

Ce que l’IA fait mieux que nous, à grande échelle

1. Regrouper des campagnes par grappes (clustering)

   • Similarité de chaînes d’exécution
   • Patterns de persistance
   • Séquences de commandes
   • Similarité de structures de fichiers et artefacts

2. Construire une “timeline” multi-sources

   • EDR + logs d’authentification
   • Proxy/DNS
   • Webmail (journaux applicatifs)
   • SIEM et données d’inventaire

3. Réduire le bruit sur la base de contexte

   • Un script PowerShell n’est pas “malveillant” en soi
   • Mais PowerShell + tâche planifiée + accès à un webmail compromis + exfiltration : là, le risque explose

Phrase à retenir : l’attribution parfaite est rare, mais la décision défensive doit être rapide. L’IA sert d’abord à trancher “que faire maintenant ?”.

Bon réflexe SOC : viser l’intention, pas le drapeau

Au lieu de chercher “qui”, cherchez “comment” et “jusqu’où” :

• Quels comptes ont été utilisés ?
• Quelles machines ont servi de rebond ?
• Quel système détient la donnée la plus critique ?
• L’attaquant a-t-il déjà une capacité de destruction (wiper) ?

L’IA est utile ici pour calculer un score de risque de trajectoire (kill chain) et déclencher des actions graduées.

Webmails ciblés : pourquoi Sednit force à automatiser la détection

Réponse directe : les services de webmail sont des points d’entrée “silencieux” ; l’IA est efficace pour détecter les anomalies d’usage et les chaînes d’exploitation.

Le rapport décrit l’évolution de l’opération RoundPress attribuée à Sednit : d’un ciblage initial de Roundcube vers d’autres plateformes (Horde, MDaemon, Zimbra), avec exploitation de failles et usage de techniques type XSS, visant notamment des organisations de défense en Bulgarie et en Ukraine.

Le problème opérationnel

Les webmails concentrent :

• l’identité (sessions, cookies, MFA contourné si session volée)
• la donnée (pièces jointes, fils de discussion, contacts)
• la capacité de rebond (phishing interne “légitime”)

Et ils génèrent souvent des logs volumineux, hétérogènes, rarement surveillés au même niveau que les endpoints.

Ce que l’IA peut détecter (et que les règles ratent)

• Anomalies de session : géolocalisation impossible, changement brutal d’agent utilisateur, fréquence d’accès atypique
• Comportements de boîte aux lettres : recherche massive, export, téléchargement en rafale
• Signaux d’exploitation : séquences de requêtes, patterns d’erreurs, paramètres inhabituels, tentatives répétées

Action concrète : mettez en place une détection “UEBA” (User and Entity Behavior Analytics) sur vos accès webmail, et reliez-la à des playbooks SOAR (désactivation session, reset tokens, durcissement MFA, inspection des règles de transfert).

Wipers comme ZEROLOT : l’IA doit servir à “prévenir la perte”, pas seulement à détecter

Réponse directe : face aux wipers, l’objectif n’est pas d’identifier l’échantillon, mais d’empêcher la destruction en détectant la préparation et en isolant vite.

Le rapport souligne un point inquiétant : le wiper ZEROLOT efface de manière ciblée, sans forcément provoquer immédiatement un crash. C’est un détail technique qui change tout : la destruction peut progresser pendant que l’équipe pense être en phase de “simple investigation”.

Indicateurs de préparation à l’effacement

Dans la pratique, la phase “pré-wiper” ressemble souvent à :

• escalade de privilèges
• reconnaissance de volumes partagés
• désactivation ou altération des mécanismes de sauvegarde
• suppression de journaux
• modifications de services (EDR, agents)

L’IA est pertinente pour détecter des combinaisons : par exemple, arrêt d’un service de sécurité + accès admin à un serveur de fichiers + commandes de suppression en masse.

Playbook anti-wiper (concret et testable)

1. Isoler automatiquement le poste/serveur si le score de risque dépasse un seuil
2. Geler les identités : rotation des secrets, révocation tokens, verrouillage comptes à privilèges
3. Protéger le stockage : bascule en lecture seule sur certains partages critiques (si possible), surveillance renforcée des ACL
4. Sauvegardes : vérifier l’immutabilité (WORM), tester une restauration rapide (objectif : < 4 h sur périmètre critique)

Je prends position : si votre stratégie wiper repose sur “on restaurera”, vous êtes en retard. La restauration est la ceinture de sécurité. La détection précoce est le freinage d’urgence.

La bonne approche IA en SOC : 4 capacités à exiger en 2025

Réponse directe : pour contrer des APT qui partagent des outils et alternent espionnage et destruction, votre IA doit corréler, expliquer, automatiser et apprendre.

1) Corrélation multi-domaines

Sans corrélation, vous avez des alertes. Avec, vous avez une histoire. Exigez des corrélations entre : endpoints, identité, email/webmail, réseau, cloud, vulnérabilités.

2) Détection par comportement (pas seulement par IOC)

• modèles sur séquences d’événements
• détection d’anomalies
• graphes d’attaque (chemins probables)

3) Automatisation maîtrisée via SOAR

Automatiser ne veut pas dire “tout bloquer”. Ça veut dire :

• réponses graduées (isolation partielle, collecte forensique, challenge MFA)
• validation humaine sur les actions irréversibles
• temps de réaction réduit (objectif réaliste : passer de l’heure à la minute)

4) Explicabilité utile aux analystes

Une IA qui dit “risque élevé” sans justification ne sert à rien à 02h17. Il faut :

• les signaux contributifs (top 5)
• la chronologie
• les entités touchées
• une recommandation de réponse

Questions fréquentes (et réponses sans détour)

« L’IA suffit-elle à arrêter un APT ? »

Non. L’IA accélère et fiabilise la détection/réponse, mais elle ne remplace ni l’hygiène (patching, segmentation), ni la gouvernance des identités.

« Quel est le premier cas d’usage IA à déployer ? »

Si je devais choisir : UEBA sur identités + corrélation EDR. Les APT passent par les comptes et la latéralisation ; c’est là que le signal est exploitable.

« Comment mesurer le ROI ? »

Mesurez :

• baisse du MTTD/MTTR
• réduction du volume d’alertes “faible valeur”
• temps moyen d’investigation par incident
• taux de détection sur scénarios simulés (purple team)

Prochain pas : transformer ces tendances en plan d’action

Les enseignements Q4 2024–Q1 2025 sont limpides : persistance, partage d’outils, exploitation applicative, wipers. Si votre SOC s’appuie principalement sur des règles statiques, vous verrez les attaques… tard. Et avec un wiper, “tard” se paie en jours d’arrêt.

La voie la plus solide, en 2025, consiste à industrialiser la défense au même rythme que les attaquants : IA pour corréler et prioriser, automatisation pour répondre vite, et exercices réguliers pour vérifier que les playbooks tiennent sous pression.

Si vous deviez renforcer une seule chose avant la rentrée 2026 : êtes-vous capable d’identifier, en moins de 10 minutes, une trajectoire qui ressemble à une préparation de wiper, et d’isoler automatiquement le périmètre ?