Mycelium : ce botnet exploite les ressources IA des PC piratés, voici comment se protéger
Le cabinet de renseignement sur les menaces Flare a identifié sur le dark web un nouveau framework de botnet baptisé Mycelium, dont la particularité rompt avec les usages classiques de ce type d'infrastructure malveillante. Compatible avec Windows et Linux, l'outil ne se contente pas de prendre le contrôle des machines infectées : il analyse en détail les ressources disponibles sur chacune d'elles pour leur attribuer une mission adaptée. Les ordinateurs dotés d'une carte graphique performante ou d'un modèle d'IA installé localement sont réquisitionnés pour générer du texte, classer des données ou traiter des contenus en arrière-plan. Ceux disposant d'une session déjà ouverte ou d'une clé API dérobée permettent aux attaquants d'accéder à des services d'IA sans utiliser leurs propres comptes. Les machines les plus puissantes sont réservées aux tâches les plus exigeantes, comme la création de campagnes de phishing hautement personnalisées, tandis que les autres assurent des fonctions plus discrètes : prétraitement de données, routage des opérations, craquage de mots de passe, scans de réseaux ou recherche de services vulnérables. Flare décrit une infrastructure organisée en plusieurs pôles spécialisés, chacun doté d'un rôle précis.
Cette approche change la nature même de ce qu'un pirate peut tirer d'un ordinateur compromis. Une carte graphique puissante, une session de navigateur active ou une clé API valide deviennent des ressources aussi convoitées qu'un mot de passe ou des données bancaires. Plus préoccupant encore, Mycelium embarquerait un moteur capable d'analyser les historiques d'e-mails et les conversations issues de Slack, Discord ou Telegram pour imiter le style d'écriture de la victime, rendant les messages frauduleux qui en résultent nettement plus crédibles et difficiles à repérer. Le framework surveillerait aussi en continu les nouvelles failles publiées dans les bases CVE, sur GitHub ou Exploit-DB, et générerait automatiquement, grâce à l'IA, du code d'exploitation pour scanner de nouvelles cibles et étendre le botnet. Il chercherait également à dissimuler des instructions malveillantes dans du code source ou de la documentation, dans le but de tromper les assistants IA chargés d'analyser ces fichiers.
Ce type de menace illustre un basculement plus large : à mesure que les entreprises et les particuliers déploient des modèles d'IA localement ou s'appuient sur des services cloud via des clés API, ces éléments deviennent des cibles à part entière pour la cybercriminalité. Pour limiter les risques, il est recommandé de maintenir ses logiciels à jour et de surveiller les signaux inhabituels : surchauffe, sollicitation constante du processeur ou du GPU, ralentissements persistants, connexions vers des serveurs inconnus. Dans les entreprises, les clés API, jetons d'accès et sessions ouvertes doivent être protégés avec la même rigueur que les mots de passe, et l'authentification multifacteur reste recommandée pour limiter l'impact d'une éventuelle compromission.
Les entreprises et particuliers europeens deployant des modeles IA en local ou utilisant des cles API cloud sont exposes au meme risque, sans qu'aucune entite francaise ou europeenne specifique ne soit visee dans cette affaire.
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.




