SnakeStealer : l’infostealer et la riposte par l’IA

En 2025, les infostealers ne sont pas « un malware de plus » : ce sont des aspirateurs à identifiants industrialisés. Un chiffre résume bien le problème : au 1er semestre 2025, SnakeStealer a représenté près d’un cinquième des détections mondiales d’infostealers observées via la télémétrie d’un grand éditeur de sécurité. Ce niveau d’adoption n’arrive jamais par hasard.

SnakeStealer ne brille pas par une invention spectaculaire. Il brille par sa capacité à voler vite, discrètement, et à grande échelle — puis à alimenter, derrière, des fraudes, des compromissions de messagerie, des attaques sur les accès cloud et parfois même des ransomwares. Dans cette série « Intelligence artificielle dans la cybersécurité », c’est un cas d’école : une menace “banale” sur le papier, mais redoutable dans la vraie vie, et précisément le type d’adversaire que des défenses dopées à l’IA savent mieux repérer.

SnakeStealer : pourquoi il grimpe si vite dans les stats

SnakeStealer monte parce qu’il répond parfaitement à la demande du cybercrime : voler des données monétisables avec un produit facile à opérer.

Apparu vers 2019 (souvent détecté sous des noms du type MSIL/Spy.Agent.AES), il a été associé à un rebranding d’outils initialement promus sous d’autres noms sur des forums clandestins. Les premières vagues massives ont été observées en 2020–2021, puis le malware a connu une nouvelle accélération en 2025.

L’effet « succession » dans l’écosystème criminel

Quand un infostealer populaire perd du soutien côté développeurs, le marché ne ralentit pas : il bascule. La baisse de dynamique d’anciens acteurs (ex. Agent Tesla) a laissé un vide, rapidement comblé. Sur les canaux clandestins (souvent via messageries chiffrées), SnakeStealer a été présenté comme un remplaçant crédible : stable, rentable, et déjà “prêt à l’emploi”.

Résultat : davantage d’opérateurs, davantage de campagnes, davantage d’infections. Le malware devient un standard de fait.

Un modèle “malware-as-a-service” qui change l’échelle

SnakeStealer s’inscrit dans le MaaS (malware-as-a-service) : vous payez, vous avez l’outil, des mises à jour, parfois du support, et une chaîne complète d’exfiltration.

Ce modèle a une conséquence directe pour les entreprises : le niveau technique moyen des attaquants baisse, mais la fréquence des campagnes explose. On ne parle plus d’attaques “artisanales”, mais d’un flux continu.

Comment SnakeStealer vole vos données (et ce qu’il vise vraiment)

SnakeStealer vise d’abord les identifiants. Mais l’objectif réel, c’est la capacité d’agir à votre place : se connecter, détourner des paiements, récupérer des codes, vider un wallet crypto, ou rebondir vers votre organisation.

Chaînes d’infection : l’e-mail, mais pas seulement

Le scénario le plus courant reste l’attaque par pièce jointe (phishing), souvent déguisée et parfois protégée par mot de passe pour contourner des contrôles basiques.

On rencontre typiquement :

• Archives ZIP (parfois chiffrées)
• Fichiers RTF piégés
• Images disque ISO
• PDF malveillants
• Logiciels piratés ou “cracks”
• Fausses applications et clones d’apps

Ce point est essentiel : tout ne commence pas par un e-mail. Les téléchargements “hors circuits officiels” restent une porte d’entrée majeure, surtout en période de tension budgétaire (fin d’année, achats de dernière minute, renouvellements de licences…).

Capacités clés : efficace, modulaire, orienté vol

SnakeStealer est souvent décrit comme « poli » : pas forcément le plus sophistiqué, mais fiable. Ses modules couvrent les besoins classiques d’un infostealer professionnel :

• Évasion : arrêt de processus liés à certains outils de sécurité/analyse, détection d’environnements virtuels
• Persistance : modifications de paramètres de démarrage Windows pour rester installé
• Vol d’identifiants : récupération de mots de passe enregistrés (navigateurs, clients mail, bases locales), tokens d’apps (dont certaines messageries), Wi‑Fi
• Surveillance : presse-papiers, captures d’écran, keylogging
• Exfiltration : envoi des données volées via HTTP/FTP, e-mail ou bots de messagerie

Phrase à retenir : un infostealer ne “vole pas un mot de passe”, il vole votre session et votre capacité d’accès.

Pourquoi l’IA est particulièrement efficace contre les infostealers

Les infostealers vivent de répétition : mêmes familles de comportements, mêmes chaînes d’exfiltration, mêmes tactiques de contournement. C’est exactement le terrain où l’IA en cybersécurité apporte un avantage concret.

Détection comportementale : repérer l’intention, pas seulement la signature

Les défenses traditionnelles excellent quand l’échantillon est déjà connu. Le problème : les opérateurs MaaS livrent des variantes en continu.

L’approche IA (souvent combinée à de la détection comportementale et à des modèles de classification) consiste à surveiller des signaux tels que :

• Processus qui tentent de lire des zones de stockage d’identifiants navigateur
• Accès anormal aux fichiers de profils, cookies, coffres locaux
• Création d’une persistance inhabituelle (clés registre, tâches planifiées, BCD)
• Captures d’écran et hooks clavier non justifiés
• Exfiltration sortante vers des infrastructures atypiques

Ce qui compte : le pattern. Même si le binaire change, l’objectif reste le même.

Corrélation multi-signaux : là où l’humain ne peut pas suivre

Un infostealer “passe” souvent parce que chaque événement isolé semble anodin. L’IA devient utile quand elle corrèle :

1. Un utilisateur ouvre un fichier issu d’un canal risqué
2. Un processus enfant démarre avec des paramètres suspects
3. Des accès à des répertoires de navigateurs se multiplient
4. Une exfiltration sortante démarre dans la foulée

Pris ensemble, ça raconte une histoire claire. Pris séparément, ça ressemble à du bruit.

Prédiction opérationnelle : réduire la fenêtre de vol

Contre SnakeStealer, la bataille se joue sur le temps. Plus l’attaquant conserve l’accès, plus il collecte.

Des systèmes IA bien intégrés peuvent :

• bloquer automatiquement une chaîne de processus
• isoler un poste du réseau (mode containment)
• déclencher une réinitialisation guidée des sessions à risque
• prioriser les incidents (ceux qui ressemblent à un vol d’identifiants passent devant)

Mon avis : sur les infostealers, l’automatisation assistée par IA n’est pas un “plus”, c’est ce qui empêche de courir derrière les dégâts.

Plan d’action concret : réduire le risque SnakeStealer en 7 mesures

Voici ce qui fonctionne vraiment, côté utilisateurs et côté organisations. L’idée n’est pas d’additionner des règles, mais de casser la chaîne d’attaque.

1) Durcir la messagerie et les téléchargements

• Bloquez ou mettez en quarantaine les pièces jointes à risque (ISO, scripts, archives chiffrées non attendues)
• Activez l’analyse en sandbox lorsque c’est possible
• Ajoutez un bandeau “expéditeur externe” et formez au réflexe : vérifier via un autre canal

2) Mettre à jour vite (et prouver que c’est fait)

• Patching OS + navigateurs + lecteurs PDF
• Inventaire des versions (sinon, on pilote à l’aveugle)
• Objectif interne : fenêtres de correction mesurées en jours, pas en mois

3) MFA partout, mais pas “n’importe comment”

• Activez la MFA sur mail, VPN, outils RH/finance, cloud
• Privilégiez des facteurs résistants au phishing quand possible (clés matérielles, passkeys)
• Surveillez les “MFA fatigue” (spam de notifications)

4) Réduire la valeur des secrets stockés

• Désactivez le stockage de mots de passe dans les navigateurs sur postes sensibles
• Utilisez un gestionnaire de mots de passe d’entreprise avec politiques
• Limitez les tokens persistants et durées de session (surtout sur outils critiques)

5) Détecter l’exfiltration, pas seulement l’exécution

• Filtrage sortant (egress) : domaines rares, destinations nouvelles, volumes atypiques
• Alertes sur envoi de données chiffrées vers des services non autorisés
• Journaux centralisés (SIEM) avec règles spécifiques “infostealer”

6) Déployer EDR/XDR avec analytics IA

Cherchez des capacités concrètes, pas des slogans :

• Détection comportementale (accès aux coffres navigateurs, persistance)
• Containment en un clic / automatique
• Chasse proactive (threat hunting) guidée par scores de risque

7) Procédure “suspicion d’infostealer” prête à l’emploi

Quand un poste est suspect, la checklist doit être immédiate :

1. Isoler la machine (réseau)
2. Ne pas changer les mots de passe depuis le poste suspect
3. Depuis un appareil sain : réinitialiser mots de passe critiques + révoquer sessions
4. Forcer la déconnexion globale (mail, SSO, VPN, outils SaaS)
5. Surveiller paiements, règles de boîte mail, redirections, ajouts de MFA

Une règle simple : si un infostealer est probable, considérez que les sessions actives sont compromises.

Ce que SnakeStealer dit du marché : l’industrialisation, et la riposte

SnakeStealer est un symptôme clair : la cybercriminalité s’est structurée comme une chaîne de production. Outils loués, support, mises à jour, recommandations, “packs” d’infection… et un objectif constant : l’accès.

La bonne nouvelle, c’est que la défense s’industrialise aussi — mais du bon côté. L’IA appliquée à la cybersécurité sert à faire ce que les équipes ne peuvent pas faire à la main : corréler, trier, détecter tôt, et contenir vite.

Si vous deviez retenir une seule idée pour 2026 : les infostealers comme SnakeStealer ne disparaîtront pas. La question est plus pragmatique : voulez-vous les détecter au moment où ils s’installent, ou après que les comptes ont commencé à tomber un par un ?

Besoin d’un diagnostic rapide de votre exposition aux infostealers (messagerie, endpoints, MFA, sessions SaaS) et d’un plan de remédiation priorisé ? C’est typiquement le type de chantier où une approche outillée et orientée IA fait gagner des semaines.