Récemment, les chercheurs en sécurité de Cato Network ont découvert deux nouvelles versions de WormGPT sur des forums clandestins. Cet outil malveillant avait attiré une grande attention en 2023 et était considéré comme ayant été fermé. Ces deux nouvelles versions portent respectivement les noms de keanu-WormGPT et xzin0vich-WormGPT. Elles utilisent respectivement les modèles d'IA commerciaux xAI’s Grok et Mistral’s Mixtral, avec pour objectif d’aider les criminels cybernétiques à créer des courriers électroniques de phishing, rédiger du code malveillant et contourner les mesures de sécurité des plates-formes d’IA légales.

Hackers

Crédit image : Image générée par IA, service d’autorisation Midjourney

L'original de WormGPT avait été créé par un pirate portugais surnommé « Last », qui utilisait le modèle open-source GPT-J pour contourner les limites éthiques des outils d’IA populaires. Bien que cet outil ait été fermé en 2023, cela n’a pas marqué la fin de son influence ; au contraire, cela a suscité une nouvelle tendance. Vitaly Simonovich, chercheur en intelligence menaçante chez Cato Networks, a noté que « WormGPT » est désormais devenu une marque identifiable, représentant une nouvelle catégorie de modèles de langage linguistique sans restrictions.

Le keanu-WormGPT a été publié le 25 février 2025 par un utilisateur via un bot de chat Telegram basé sur le modèle Grok. Les chercheurs ont utilisé une technique de contournement pour analyser le fonctionnement du keanu-WormGPT et ont découvert que ses invites système étaient manipulées pour indiquer à Grok d’ignorer ses protections éthiques, générant ainsi des scripts pour des e-mails de phishing et le vol de credentials.

L'autre version, xzin0vich-WormGPT, a été publiée le 26 octobre 2024 par l’utilisateur « xzin0vich » et utilise le modèle Mixtral d’IA Mistral. Comme sa version Grok, cette version opère également via Telegram et répond aux requêtes immorales ou illégales. L’équipe de Cato a obtenu les invites système en utilisant une méthode similaire de contournement, confirmant que cette version fonctionne sur l'architecture Mixtral.

La reprise de WormGPT souligne comment les acteurs malveillants s’adaptent aux technologies d’IA en constante évolution. Alors que les plateformes légales renforcent leurs frontières éthiques, les criminels cybernétiques exploitent les mêmes outils à des fins malveillantes. Depuis la fermeture de l'originale WormGPT, d'autres modèles comme FraudGPT, DarkGPT et EvilGPT sont apparus. « Ces nouvelles versions de WormGPT ne sont pas des modèles personnalisés mais plutôt le résultat de la transformation astucieuse par les acteurs malveillants des modèles de langage linguistique existants », a déclaré Simonovich.

Face à ces nouveaux développements, les experts en cybersécurité soulignent la nécessité d'améliorer les stratégies de défense. Cato Networks recommande plusieurs bonnes pratiques, y compris le renforcement de la détection et de la réponse aux menaces, la mise en œuvre de contrôles d'accès plus stricts et l'amélioration de la sensibilisation et de la formation en matière de sécurité.

Points clés :

🌐 ** Nouvelle découverte ** : Cato Network a découvert deux nouvelles versions de WormGPT, aidant les cybercriminels.

🔒 ** Mise à niveau des outils ** : Les nouvelles versions reposent respectivement sur Grok et Mixtral, capables de contourner les protections de sécurité de l’IA.

🛡️ ** Conseils de sécurité ** : Les experts appellent à renforcer les mesures de protection contre les menaces en constante évolution.