IA et spearphishing : détecter Gamaredon avant l’impact

En 2024, certaines équipes SOC ont eu l’impression de jouer en défense permanente : des vagues d’e-mails très ciblés, des pièces jointes qui ressemblent à des documents “normaux”, puis… une exécution PowerShell qui part vers une infrastructure difficile à bloquer parce qu’elle se cache derrière des services légitimes. Le groupe APT Gamaredon, connu pour ses campagnes de cyberespionnage contre l’Ukraine, illustre parfaitement cette réalité.

Ce qui change la donne (et qui inquiète franchement), ce n’est pas seulement la persistance de l’attaque. C’est sa cadence et sa capacité à se fondre dans le bruit : LNK, HTA, HTML smuggling, tunnels Cloudflare, DNS-over-HTTPS, exfiltration via Dropbox… On n’est plus dans “un malware” isolé, mais dans une chaîne d’attaque pensée pour contourner les contrôles traditionnels.

Dans notre série « Intelligence artificielle dans la cybersécurité », cet exemple est utile parce qu’il met le doigt sur un point clé : face à des APT qui industrialisent le spearphishing et l’évasion réseau, l’IA est surtout une arme de détection comportementale et de priorisation. Pas une baguette magique. Mais un accélérateur décisif si elle est correctement intégrée.

Gamaredon en 2024 : ce qui a vraiment évolué

Réponse directe : Gamaredon a augmenté la fréquence du spearphishing, diversifié les vecteurs (liens, LNK), et amélioré la furtivité via des services tiers et des tunnels.

D’après l’analyse technique publiée par ESET Research (article daté du 02/07/2025 sur l’activité 2024), Gamaredon a recentré ses opérations exclusivement sur des institutions gouvernementales ukrainiennes. Cette focalisation est cohérente avec un objectif d’espionnage de long terme, et un contexte géopolitique où l’accès à l’information vaut parfois autant qu’un avantage militaire.

Côté opérations, la seconde moitié de 2024 montre une intensification nette : des campagnes courtes (1 à 5 jours), répétées, avec des livraisons par archives (RAR/ZIP/7z), fichiers XHTML (HTML smuggling), puis charge utile via HTA ou LNK.

Le détail qui mérite d’être retenu par n’importe quel RSSI : le groupe a aussi testé des e-mails avec hyperliens malveillants, et surtout l’exécution PowerShell directement depuis des domaines générés via Cloudflare (plus difficile à discriminer par simple réputation de domaine).

Pourquoi les défenses “classiques” souffrent

Réponse directe : parce que l’attaque ressemble à de l’usage normal (PowerShell, Cloudflare, Telegram, DoH), et que les IOC périment très vite.

Les organisations qui misent principalement sur :

• le blocage par liste noire de domaines,
• des signatures statiques,
• et des règles e-mail “si pièce jointe suspecte alors quarantine”,

se retrouvent vite dépassées dès que l’adversaire change un paramètre (nouvel hébergeur, nouveau format, nouvelle obfuscation). Et Gamaredon a précisément investi dans l’obfuscation, la rotation et l’évasion.

L’attaque en chaîne : du mail à l’exfiltration discrète

Réponse directe : le spearphishing n’est que l’amorce ; la valeur de Gamaredon vient de la persistance, du mouvement latéral et de l’exfiltration.

Quand on regarde les techniques décrites, on retrouve une chaîne typique, mais optimisée pour la discrétion :

1. Accès initial : e-mail ciblé, archive ou fichier HTML smuggling.
2. Exécution : HTA ou LNK, souvent pour lancer des scripts (VBScript/PowerShell).
3. Téléchargement : downloaders VBScript qui récupèrent de nouveaux composants.
4. Persistance : tâches planifiées, méthodes atypiques (ex. add-ins Excel dans certaines versions), ou stockage de code ailleurs (registre, ADS).
5. Mouvement latéral : supports amovibles (USB), lecteurs réseau mappés, détournements de scripts.
6. Exfiltration : collecte ciblée, envoi via services tiers (ex. Dropbox).
7. Masquage réseau : tunnels Cloudflare, DoH, services publics pour résoudre/contourner les blocages.

Ce point est crucial pour une stratégie IA : si vous ne modélisez que l’e-mail, vous verrez l’amorce… mais pas l’opération.

Les outils qui disent beaucoup sur l’intention

Réponse directe : les nouveaux outils et mises à jour de 2024 montrent une obsession de furtivité et d’efficacité.

Parmi les éléments marquants :

• Des downloaders VBScript capables de stocker du code dans des Alternate Data Streams (ADS), ce qui complique la visibilité.
• Des évolutions pour rendre l’exfiltration plus ciblée (ex. détection d’insertion USB via WMI event subscriptions).
• Des versions qui stockent du code uniquement dans des clés de registre, réduisant les artefacts sur disque.
• Un usage accru de services tiers (Telegram/Telegraph/Cloudflare/Dropbox/Codeberg) pour rendre l’infrastructure C2 plus résiliente.

Même l’apparition d’une charge “propagande” (ouverture automatisée d’un canal Telegram) a une lecture opérationnelle : les groupes APT testent, expérimentent, et réutilisent des chaînes de livraison. Ce qui semble “hors sujet” un mois peut devenir une capacité “standard” le mois suivant.

Là où l’IA aide vraiment : détection comportementale et corrélation

Réponse directe : l’IA est efficace quand elle relie des signaux faibles (endpoint + e-mail + réseau) pour détecter un comportement anormal, pas quand elle remplace les contrôles de base.

Parler d’« IA dans la cybersécurité » n’a d’intérêt que si on traduit ça en décisions concrètes. Sur des campagnes type Gamaredon, l’apport IA se situe surtout à trois niveaux.

1) Détecter le spearphishing par signaux non évidents

Réponse directe : le ML en messagerie repère des anomalies de style, de contexte et de relation, au-delà des pièces jointes.

Les attaques modernes alternent pièces jointes et liens, changent de formats, et jouent sur le contexte. Les approches IA côté messagerie (classification, graphes de relation, réputation enrichie) peuvent signaler :

• une rupture dans les habitudes d’échange (nouveau correspondant “proche” mais jamais vu),
• une escalade soudaine (urgences, demandes inhabituelles, ton administratif),
• des “empreintes” de campagnes (templates, structure HTML, en-têtes atypiques),
• des liens vers des domaines éphémères ou masqués par des services légitimes.

Ce n’est pas parfait. Mais c’est exactement ce que les règles statiques ratent quand l’attaquant “colle” aux usages.

2) Détecter l’exécution LNK/HTA/PowerShell par comportement endpoint

Réponse directe : l’EDR avec modèles comportementaux repère les séquences anormales (chaîne parent-enfant, scripts, persistance) même si le code est obfusqué.

Un SOC gagne du temps quand il peut détecter une séquence plutôt qu’un hash :

• explorer.exe → ouverture d’un .lnk depuis un dossier utilisateur,
• .lnk → exécution de powershell.exe avec paramètres d’obfuscation,
• PowerShell → accès à des emplacements temporaires, écriture dans registre, création de tâche planifiée,
• puis connexions sortantes atypiques.

Les approches IA (détection d’anomalies, classification de chaînes d’exécution, scoring) servent surtout à prioriser ce qui mérite une investigation immédiate.

Phrase à retenir : « Un APT peut changer d’outils ; il change beaucoup moins vite de comportements. »

3) Comprendre l’évasion réseau (Cloudflare tunnels, DoH) sans tout bloquer

Réponse directe : l’IA aide à distinguer un usage normal de services “grand public” d’un usage de commande-et-contrôle camouflé.

Bloquer Cloudflare, Telegram ou DoH “par principe” est rarement réaliste. En revanche, on peut surveiller :

• les nouveaux profils de flux sortants (volume, horaires, fréquences),
• les clients DoH inattendus sur postes bureautiques,
• les corrélations endpoint+r réseau (PowerShell juste avant une résolution DoH),
• les échecs répétés suivis d’un succès (fallback typique d’infrastructure C2).

L’IA est utile pour faire ressortir l’exception dans un océan de trafic légitime.

Playbook concret : 10 contrôles “anti-Gamaredon” pilotés par IA

Réponse directe : vous réduisez fortement le risque en combinant durcissement, visibilité et détection comportementale, avec des automatisations raisonnables.

Voici une base pragmatique (secteur public ou privé), compatible avec une stratégie IA/automatisation :

1. Isoler et surveiller PowerShell : mode Constrained Language (quand possible), journalisation script block, alertes sur encodage/obfuscation.
2. Bloquer/contrôler HTA : réduire l’usage de mshta.exe, règles d’ASR (Attack Surface Reduction) adaptées.
3. Surveiller les LNK : exécution depuis archives/dossiers temporaires, LNK avec arguments PowerShell.
4. Détecter la persistance : nouvelles tâches planifiées, modifications suspectes du registre, WMI event subscriptions.
5. Contrôler les ADS : détection d’écriture/lecture d’Alternate Data Streams sur fichiers “bénins”.
6. Gestion stricte des macros et add-ins : surtout Excel, et chargements non attendus.
7. Hygiène USB : politiques, journalisation insertion, contrôle d’accès, alertes sur copie/collecte soudaine.
8. DoH sous gouvernance : autoriser des résolveurs connus, alerter sur DoH “shadow IT”.
9. Corrélation SOC : l’IA doit croiser e-mail + endpoint + réseau (sinon elle rate le film).
10. Automatisation SOAR mesurée : isolement poste + collecte forensique + blocage temporaire d’indicateurs, puis validation humaine.

Ce qui marche bien en pratique : mettre des seuils et des scores. Exemple : “LNK + PowerShell obfusqué + création tâche planifiée” = sévérité haute immédiate, même si le domaine de sortie est “réputé”.

Questions fréquentes que les équipes se posent (et réponses nettes)

« Si l’attaquant passe par Cloudflare, je suis aveugle ? »

Non. Vous perdez des signaux de réputation, mais vous gagnez des signaux comportementaux. L’endpoint (processus, persistance, accès fichiers) reste votre meilleure source.

« L’IA réduit-elle le spearphishing à zéro ? »

Non. Son intérêt est de réduire le temps de détection et d’augmenter la probabilité d’arrêter la chaîne tôt. Le “zéro clic” n’existe pas sur des organisations grandes et humaines.

« Par quoi commencer si je manque de maturité ? »

Par la journalisation PowerShell/EDR, des règles sur LNK/HTA, et une corrélation simple. L’IA n’apporte rien si les logs sont incomplets.

Ce que Gamaredon nous apprend sur 2025 : l’IA doit être opérationnelle

Les campagnes 2024 de Gamaredon rappellent une évidence parfois inconfortable : les APT ne cherchent pas l’exploit rare ; ils cherchent le chemin le plus fiable. Et ce chemin passe encore très souvent par l’e-mail, les scripts et les services cloud.

Si vous travaillez votre posture “Intelligence artificielle dans la cybersécurité”, visez un objectif concret : détecter plus tôt, trier mieux, répondre plus vite. Les organisations qui y arrivent ne sont pas celles qui empilent des outils, mais celles qui alignent IA, SOC et contrôle des surfaces d’attaque.

La question utile à se poser avant 2026 n’est pas “Avons-nous de l’IA ?” mais : “Quels comportements APT pouvons-nous stopper en moins de 10 minutes, et lesquels nous échappent encore ?”