IA en cybersécurité : contrer Gamaredon et le spearphishing

En 2024, un groupe APT peut mener des campagnes de spearphishing sur plusieurs jours, multiplier les variantes de fichiers piégés (LNK, HTA, archives), et masquer presque toute son infrastructure de commande et contrôle derrière des services légitimes. C’est exactement ce qu’a fait Gamaredon, acteur d’espionnage très actif, en affinant ses outils et ses techniques d’évasion.

Ce constat dérangeant a une conséquence simple pour les organisations publiques et parapubliques (mais aussi pour les opérateurs d’infrastructures critiques et leurs prestataires) : les contrôles “classiques” ne suffisent plus. Les attaquants ne misent pas sur une seule faille spectaculaire ; ils gagnent par accumulation — un email bien ciblé, un LNK discret, un PowerShell banal en apparence, un tunnel réseau qui ressemble à du trafic normal.

Dans cette série « Intelligence artificielle dans la cybersécurité », je prends Gamaredon comme cas d’école : non pour faire peur, mais pour montrer où l’IA défensive apporte un avantage concret — détection des signaux faibles, corrélation multi-sources, et réponse plus rapide face à des campagnes qui évoluent au fil des semaines.

Ce que Gamaredon dit de l’état réel de la menace APT

Réponse directe : Gamaredon illustre une cybermenace “industrielle” qui itère vite, contourne les blocages réseau, et rentabilise l’ingénierie sociale. On n’est pas face à un malware isolé, mais à un système complet : livraison, persistance, mouvement latéral, exfiltration, et camouflage.

D’après l’analyse d’activités observées sur 2024, Gamaredon a refocalisé ses attaques sur des institutions gouvernementales ukrainiennes, en augmentant la cadence et la taille de ses campagnes de spearphishing. Les campagnes durent typiquement 1 à 5 jours consécutifs, ce qui est intéressant : cela laisse une fenêtre de réaction… à condition de détecter tôt.

Autre point très parlant : l’attaquant a varié ses modes de livraison.

• Pièces jointes (RAR/ZIP/7z), fichiers XHTML avec HTML smuggling
• Dépôts de charges via HTA ou LNK
• Un cas plus rare : hyperliens malveillants dans l’email (au lieu d’une pièce jointe)
• Exécution de PowerShell depuis des domaines générés/relayés par un grand fournisseur d’infrastructure web (tunnels), ce qui brouille la frontière entre “trafic normal” et “trafic hostile”

Le message est clair : l’attaquant travaille votre zone grise. C’est précisément là que l’IA est utile.

Spearphishing moderne : pourquoi les filtres email ne suffisent plus

Réponse directe : le spearphishing APT n’essaie plus seulement d’être “non détecté”, il essaie d’être “crédible” techniquement. L’email ressemble à une interaction banale, et le fichier ressemble à un artefact bureautique normal.

LNK + PowerShell : le combo qui passe (trop) souvent

Les fichiers LNK (raccourcis Windows) restent sous-estimés. Beaucoup d’organisations contrôlent mieux les macros Office que les LNK, alors que ces raccourcis peuvent lancer des commandes, dont PowerShell. Dans le cas observé, Gamaredon a utilisé des LNK pour exécuter du PowerShell en s’appuyant sur des domaines “jetables” associés à une infrastructure de tunnel.

Ce que ça change côté défense :

• La détection basée sur la réputation de domaine est moins efficace
• Le script PowerShell peut être obfusqué, fragmenté, ou reconstruit à l’exécution
• L’attaque peut rester “low noise” si elle évite les scans et privilégie des déclencheurs événementiels

HTML smuggling : quand le malware voyage “dans” le navigateur

Le HTML smuggling contourne certains contrôles de passerelle en livrant une charge qui se reconstitue côté poste, via des mécanismes HTML/JS. Les équipes sécurité voient alors un téléchargement qui ressemble à une action utilisateur normale.

L’approche IA pertinente ici, ce n’est pas uniquement “bloquer un fichier”. C’est d’identifier une séquence suspecte : email → ouverture XHTML → création d’un fichier → exécution HTA/LNK → PowerShell → contact réseau atypique.

Outils, persistance, mouvement latéral : le vrai terrain de jeu

Réponse directe : Gamaredon investit dans la persistance discrète et le mouvement latéral, car ce sont les étapes qui transforment une infection en espionnage durable.

En 2024, plusieurs nouveaux outils ont été observés (PowerShell et VBScript notamment), avec un objectif commun : faire moins de bruit et tenir plus longtemps.

Quelques enseignements utiles pour une organisation :

1) La persistance “bureautique” et les tâches planifiées

Certains outils ont exploré des méthodes de persistance peu banales (ex. mécanismes proches d’add-ins), puis ont basculé vers des méthodes plus “standard” comme des tâches planifiées. C’est un rappel important :

• Les attaquants testent, mesurent, abandonnent vite ce qui coûte trop cher
• Les défenseurs doivent surveiller les changements, pas seulement les IOC

2) Exfiltration ciblée et déclencheurs événementiels

Une évolution marquante : remplacer des scans permanents (bruyants) par des déclencheurs plus discrets (ex. surveillance d’événements, détection d’USB via mécanismes systèmes). L’attaquant vole moins, mais mieux.

Pour la défense, ça implique de surveiller :

• Accès aux répertoires sensibles corrélé à l’identité, au poste, et au contexte
• Activité anormale autour des périphériques amovibles
• Apparition de comportements “collecte puis envoi” vers des services tiers

3) Mouvement latéral : lecteurs réseau et supports amovibles

Gamaredon a renforcé des capacités de propagation via lecteurs réseau mappés et supports amovibles. C’est exactement le genre de tactique qui exploite les habitudes réelles : échanges de fichiers, clés USB, dossiers partagés.

Le piège courant : traiter ça comme un problème “utilisateur”. En pratique, c’est surtout un problème de visibilité (qui copie quoi, où, et pourquoi) et de segmentation.

Infrastructure masquée et services légitimes : la bataille se déplace

Réponse directe : quand l’attaquant cache son C2 derrière des services grand public et du chiffrement DNS, il force la défense à passer du “blocage” à “l’investigation comportementale”.

Gamaredon a cherché à dissimuler son infrastructure via :

• Tunnels réseau (avec domaines générés)
• Services tiers (messagerie, hébergement, stockage)
• DNS over HTTPS (DoH) pour compliquer le filtrage et l’observation
• Rotation d’infrastructure (fast-flux à moindre échelle)

Dans beaucoup d’environnements, la politique “on bloque les domaines malveillants” est nécessaire… mais insuffisante. Ce qui marche mieux :

• Des modèles de détection sur les profils de communication (fréquence, heures, taille des échanges)
• La chasse aux enchaînements (processus → réseau → écriture disque → persistance)
• La priorisation des alertes par score de risque plutôt que par signature

Et c’est typiquement là que l’IA (et le machine learning) fait gagner du temps.

Comment l’IA améliore vraiment la détection (et où elle échoue)

Réponse directe : l’IA est efficace quand elle corrèle des signaux faibles à grande échelle ; elle échoue quand on lui demande de “deviner” sans données fiables ou sans cadre opérationnel.

Ce que l’IA sait faire (très bien) contre un APT

1. Détection d’anomalies sur les endpoints

   • PowerShell lancé depuis des contextes inhabituels (LNK, dossiers temporaires)
   • Chaînes de commandes obfusquées ou reconstruites
   • Créations suspectes de tâches planifiées, écritures registre atypiques

2. Corrélation email → poste → réseau

   • L’IA excelle à relier des événements qui, séparés, semblent banals.

3. Réduction du bruit et triage

   • Un SOC se noie vite si tout remonte “au même niveau”. Un bon modèle aide à prioriser : ce poste est-il vraiment en compromission, ou juste bruyant ?

4. Détection de campagnes

   • Si une campagne dure 1 à 5 jours, le bon réflexe est de regrouper les alertes en incidents de campagne (mêmes artefacts, même thème d’email, même technique d’exécution). L’IA aide à faire ce regroupement.

Là où ça casse : trois erreurs fréquentes

• Données incomplètes : pas de télémétrie PowerShell, logs Windows insuffisants, visibilité DNS faible… l’IA ne peut pas corréler ce qu’elle ne voit pas.
• Absence de boucle de retour : si les analystes ne “requalifient” pas les alertes (vrai/faux positif), le système n’apprend pas.
• Déploiement sans playbooks : détecter sans savoir contenir (isoler un poste, réinitialiser des identifiants, nettoyer persistance) laisse l’attaquant gagner quand même.

Phrase à retenir : une IA de cybersécurité sans réponse opérationnelle, c’est une sirène d’alarme sans extincteur.

Plan d’action concret : 10 mesures adaptées aux tactiques de 2024

Réponse directe : la combinaison gagnante, c’est une hygiène robuste + une détection comportementale pilotée par l’IA + des procédures de réponse testées.

1. Durcir l’exécution de PowerShell : journalisation avancée, contraintes, surveillance des commandes encodées.
2. Contrôler les LNK : détection de LNK lançant powershell.exe, wscript.exe, mshta.exe ; blocage/isolement selon le contexte.
3. Réduire l’usage de HTA/VBScript quand c’est possible ; sinon, monitorer strictement.
4. Surveiller les dossiers temporaires : créations + exécutions dans %TEMP% et répertoires utilisateurs.
5. Détecter la persistance : tâches planifiées, clés registre d’auto-démarrage, abonnements WMI.
6. Segmenter les partages réseau : droits minimaux, monitoring d’accès, détection de copies massives.
7. Gérer les supports amovibles : politiques d’usage, journalisation, alertes sur accès à documents sensibles après insertion.
8. Contrôler le DoH : politique claire (autoriser via proxy/solution centralisée ou interdire), et visibilité sur résolutions.
9. Mettre en place une corrélation “campagne” : regrouper par thème d’email, hash, comportements, hôtes touchés.
10. Tester des playbooks (au moins trimestriellement) : isolement poste, chasse aux tâches/registre, rotation d’identifiants, communication interne.

Ces mesures ne demandent pas toutes un budget énorme. Elles demandent surtout une décision : arrêter de traiter le spearphishing comme un simple sujet “messagerie”. C’est un problème endpoint + identité + réseau.

Ce que ce cas change pour les DSI, RSSI et acteurs publics

Gamaredon n’est pas seulement “un groupe de plus”. Il montre une tendance durable : les APT industrialisent des chaînes d’attaque qui exploitent les outils natifs (PowerShell, scripts) et les infrastructures légitimes. Tant que la défense repose uniquement sur des signatures et des listes de blocage, l’attaquant garde l’initiative.

Dans une démarche Intelligence artificielle dans la cybersécurité, le bon objectif n’est pas de “prédire l’attaque”. C’est de réduire le temps de détection et de containment quand l’attaque se produit, et de limiter l’impact quand elle a réussi un premier point d’entrée.

Si vous deviez choisir un indicateur opérationnel à suivre en 2025 : le délai entre le premier signal (email/endpoint) et l’isolement de la machine. C’est là que l’IA bien intégrée fait une différence mesurable.

Et vous, votre organisation est-elle capable d’identifier une campagne de spearphishing en moins d’une journée… ou seulement une fois que des fichiers ont déjà quitté le réseau ?