IA et APT : détecter wipers et exploits plus tôt

Fin 2024 et début 2025, plusieurs équipes APT ont rappelé une vérité un peu brutale : les attaquants ne cherchent plus seulement à entrer, ils cherchent aussi à durer… et parfois à détruire. L’actualité récente — et les retours de terrain partagés par les chercheurs — montre une montée en puissance de trois dynamiques difficiles à contrer avec des outils “classiques” : le partage d’outils (qui brouille l’attribution), les exploits ciblant des services exposés (notamment webmail), et les wipers (malwares de destruction) utilisés de façon plus chirurgicale.

Dans notre série « Intelligence artificielle dans la cybersécurité », ce type de rapport APT sert de boussole : il décrit ce que font les adversaires quand ils ont du temps, des moyens et une stratégie. Et c’est précisément là que l’IA devient utile — pas comme un gadget, mais comme un accélérateur pour détecter plus tôt, corréler mieux, et réduire la fenêtre d’impact.

Phrase à garder en tête : quand les attaquants mutualisent les outils, la défense doit mutualiser le renseignement… et automatiser l’analyse.

Ce que les tendances APT disent vraiment (et pourquoi ça change la défense)

Réponse directe : les APT deviennent plus difficiles à “étiqueter” et plus rapides à industrialiser, ce qui impose une détection centrée sur les comportements, pas sur les signatures.

Le panorama évoque plusieurs familles d’attaques :

• Persistance obsessionnelle : un acteur peut viser la même organisation plusieurs fois, sur plusieurs années, jusqu’à trouver la faille organisationnelle ou technique qui cède.
• Brouillage par partage d’outillage : des groupes alignés sur des États réutilisent des briques (chargeurs, backdoors, frameworks) issues de “fournisseurs” d’outils clandestins. Résultat : des TTP (techniques, tactiques et procédures) qui se ressemblent, des traces qui se superposent.
• Exploitation de services exposés : les plateformes de messagerie et de webmail (souvent indispensables, parfois mal maintenues) deviennent des points d’entrée à fort rendement.
• Destruction sélective : les wipers ne sont pas toujours “bruyants”. Certains effacent juste ce qu’il faut, au bon endroit, au bon moment.

Le problème, c’est que la plupart des organisations défendent encore leurs environnements comme si l’ennemi était stable et facilement identifiable. Or, quand les outils circulent, l’attribution devient secondaire pour l’opérationnel : ce qui compte, c’est de détecter l’activité anormale avant l’escalade.

Partage de malwares : pourquoi l’attribution n’est plus un filet de sécurité

Réponse directe : quand plusieurs groupes utilisent les mêmes outils, les indicateurs “noms de famille” (hash, signature, artefacts connus) perdent de la valeur ; il faut monter d’un cran vers l’analyse de graphe et la détection d’anomalies.

Dans les campagnes récentes, certains acteurs (notamment liés à des écosystèmes chinois) s’appuient sur des outillages partagés, parfois fournis par des “quartermasters” numériques. Cela crée :

1. Des faux amis : le même composant peut apparaître dans deux opérations distinctes.
2. Des recouvrements d’IOC : même infrastructure, même loader, mêmes patterns réseau.
3. Des erreurs d’analyse : on “colle” une étiquette trop vite, puis on rate le comportement réel.

Comment l’IA aide concrètement (sans magie)

L’IA est utile ici parce qu’elle sait traiter des volumes et des relations qu’un humain ne peut pas garder en tête.

• Analyse de graphes (entités & relations) : relier machines, comptes, processus, domaines, certificats, chemins d’exécution. On ne cherche plus “un IOC”, on cherche une constellation.
• Clustering non supervisé : regrouper des événements qui se ressemblent (timing, séquence de commandes, pattern de latéralisation) même si le binaire change.
• Scores de similarité de TTP : mesurer la proximité entre une chaîne d’attaque observée et des chaînes déjà vues.

Ce que j’ai constaté sur le terrain : les équipes qui investissent dans une corrélation comportementale réduisent drastiquement le temps perdu en débats d’attribution. On se concentre sur l’interruption.

Webmail ciblé et exploits : le point faible “utile” de 2025

Réponse directe : les services de webmail et de collaboration exposés restent une cible privilégiée, car ils concentrent identité, contenu sensible et accès quotidien — et parce qu’ils sont souvent patchés tard.

Les opérations observées autour de services comme Roundcube, Horde, MDaemon ou Zimbra illustrent un schéma fréquent :

• approche par email ciblé (social engineering précis),
• exploitation de failles côté serveur ou de faiblesses applicatives,
• techniques web comme la cross-site scripting,
• puis accès à des boîtes aux lettres et échanges internes.

En décembre, beaucoup d’organisations sont en effectifs réduits, avec des changements de planning et des validations plus lentes. C’est une période où les attaquants aiment tenter des choses : la surface reste la même, la vigilance baisse.

Ce que l’IA peut détecter tôt sur ces scénarios

• Anomalies d’authentification : connexions “impossibles” (pays, ASN, horaires), échecs suivis de succès, nouveaux appareils.
• Déviation de session : changement d’agent utilisateur, tokens réutilisés, comportements de navigation atypiques.
• Signaux applicatifs : pics d’erreurs spécifiques, endpoints rarement appelés, tailles de requêtes anormales.

L’idée n’est pas de “remplacer” les règles, mais de les compléter. Une règle attrape le connu. Un modèle d’anomalie attrape le bizarre.

Wipers modernes : la destruction devient “chirurgicale”

Réponse directe : les wipers ne cherchent pas toujours à faire tomber un système immédiatement ; ils effacent des fichiers et répertoires clés pour maximiser le chaos et ralentir la reprise.

Certains acteurs alignés sur la Russie ont intensifié l’usage de malwares de destruction. Un point marquant est l’approche “précise” : au lieu d’un effacement massif qui déclenche instantanément les alarmes, le wiper peut :

• cibler des dossiers spécifiques (configurations, logs, données métiers),
• attendre des conditions (horaires, présence d’un partage monté),
• effacer tout en laissant la machine “vivre” suffisamment longtemps pour finir la mission.

C’est là que beaucoup d’entreprises se font piéger : elles ont des alertes sur “tout est chiffré” (ransomware), mais moins de capteurs sur “des fichiers critiques disparaissent progressivement”.

Les détections IA les plus efficaces contre les wipers

• Analyse comportementale endpoint (EDR/XDR) : séquences de suppression inhabituelles, accès massifs à des répertoires sensibles, modifications de volumes.
• Détection de destruction lente : un modèle peut signaler une hausse anormale d’opérations delete/overwrite, même si le débit reste modéré.
• Corrélation avec la chaîne d’attaque : si une compromission précède des actions de suppression, l’IA relie ces événements et remonte une alerte contextualisée (“destruction probable en cours”).

Une règle simple mais utile : si vos sauvegardes sont bonnes mais que vos journaux disparaissent, votre enquête devient un handicap. Protéger les logs et la télémétrie fait partie de la résilience.

De la veille APT à l’action : une méthode en 5 étapes pour 2026

Réponse directe : traduisez les tendances APT en contrôles mesurables, puis automatisez la détection avec de l’IA là où le volume dépasse l’humain.

Voici une approche pragmatique que je recommande aux équipes sécurité (RSSI, SOC, équipes IT) :

1. Cartographier vos “cibles APT” internes

   • webmail, VPN, outils d’admin, serveurs exposés, AD, outils MDM.
   • objectif : savoir ce qui “vaut” une intrusion.

2. Basculer vos KPI de sécurité sur le temps

   • MTTD (détection), MTTR (remédiation), et surtout temps jusqu’à l’impact (ex. exfiltration, destruction).

3. Mettre l’IA au bon endroit : corrélation et priorisation

   • ingestion SIEM/XDR, scoring de risques, regroupement d’alertes.
   • l’IA doit réduire le bruit, pas en créer.

4. Durcir ce que les wipers ciblent

   • journaux centralisés immuables, sauvegardes hors ligne, contrôles d’accès forts.
   • tests de restauration planifiés (et pas “quand on aura le temps”).

5. Simuler des scénarios “tool-sharing + exploit + wiper”

   • exercices purple team : intrusion via service exposé, puis suppression de logs, puis destruction sélective.
   • mesurez ce qui se voit… et ce qui ne se voit pas.

Questions fréquentes (celles qu’on me pose vraiment)

« Est-ce que l’IA remplace un SOC ? »

Non. Elle réduit le travail mécanique (tri, corrélation, regroupement) et améliore la vitesse. Le jugement humain reste nécessaire, surtout sur la réponse et la gestion de crise.

« Peut-on faire de l’IA sans beaucoup de données ? »

On peut démarrer avec des modèles simples et des règles enrichies. Mais pour de bons résultats en détection d’anomalies, la qualité de la télémétrie (endpoint, identité, réseau, cloud) compte plus que la quantité brute.

« Le partage d’outils rend-il la threat intel inutile ? »

Non, mais il faut la consommer autrement : moins comme une liste d’IOC, plus comme un ensemble de TTP et de relations à corréler.

Ce que ce rapport change pour votre feuille de route IA en cybersécurité

Les tendances APT de fin 2024–début 2025 pointent toutes vers la même direction : l’attaque se joue sur les comportements, la vitesse et la capacité à brouiller les pistes. Répondre avec plus de règles statiques, c’est courir derrière.

L’IA en cybersécurité devient vraiment rentable quand elle sert trois objectifs concrets : détecter plus tôt, prioriser mieux, contenir plus vite — notamment face aux wipers et aux exploits sur services critiques. Si votre organisation a un webmail exposé, des équipes distribuées, et un SI qui ne s’arrête jamais (c’est-à-dire presque tout le monde), ces scénarios ne sont pas “exceptionnels”. Ils sont probables.

La question à se poser pour 2026 n’est pas « est-ce qu’on va adopter l’IA ? », mais plutôt : à quel moment de la chaîne (identité, endpoint, email, SIEM, réponse) l’IA va-t-elle réduire le risque le plus vite ?