Dans un article publié le 5 novembre 2025, Google Threat Intelligence dévoile ses dernières analyses sur les menaces cyber. Le rapport met en avant un nouveau type de malwares exploitant les IA génératives pour renforcer leurs attaques. Parmi eux, PROMPTFLUX, un logiciel capable de réécrire son code source chaque heure pour échapper à la détection.

Si les sociétés qui développent des modèles de langage (LLM) suivent de près leurs réussites, et les habitudes de leurs utilisateurs, elles surveillent également les usages malveillants de leurs outils d’IA générative.

À l’instar d’OpenAI ou d’Anthropic, Google publie régulièrement sur son blog des articles recensant les détournements de son assistant conversationnel Gemini. Le dernier en date, publié le 5 novembre 2025, se concentre sur l’intégration de ses modèles LLM dans des logiciels malveillants.

La liste présentée dans le rapport couvre un large spectre de menaces. Parmi lesquelles un ransomware capable d’exploiter l’IA pour générer et exécuter des scripts de chiffrement, ou encore un shell inversé accessible à distance, capable de contourner les systèmes de sécurité en suivant les recommandations des modèles.

Mais un malware en particulier retient l’attention. Baptisé PROMPTFLUX, ce dernier intègre, dans certaines versions, une fonction ordonnant à l’API Gemini de réécrire l’intégralité de son code source toutes les heures afin d’échapper à la détection.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
Le malware PROMPTFLUX repose sur le modèle Gemini 1.5 Flash de Google // Source : Google Threat Intelligence
Le malware PROMPTFLUX repose sur le modèle Gemini 1.5 Flash de Google // Source : Google Threat Intelligence

PROMPTFLUX, en constante renaissance

PROMPTFLUX est un data mining malware, autrement dit un logiciel malveillant conçu pour infiltrer un système et y collecter de grandes quantités de données.

Au-delà de son objectif final, l’élément le plus novateur de PROMPTFLUX réside dans son module baptisé « Thinking Robot ». Ce composant interroge périodiquement Gemini afin d’obtenir du code lui permettant de contourner les logiciels antivirus.

Cette stratégie d’auto‑modification « juste à temps » permet au malware, programmé en VBScript, d’interagir avec l’API de Gemini pour demander en temps réel des techniques d’obfuscation et d’évasion adaptées à l’outil de détection rencontré.

Les équipes de chercheurs de Google Threat Intelligence ont identifié plusieurs variantes de PROMPTFLUX, dont certaines incluent un prompt capable de réécrire l’intégralité du code source du malware chaque heure afin d’échapper à la détection.

Un phénomène en phase de développement

Dans le prompt découvert par les chercheurs, l’assaillant demande au LLM d’agir comme un « expert en obfuscation VBScript ». Le rapport de Google souligne d’ailleurs l’importance de l’ingénierie sociale dans la conception de ce nouveau type de malware : « Les acteurs malveillants utilisent des techniques proches de l’ingénierie sociale pour contourner les garde‑fous de sécurité de l’IA. Nous avons observé des individus se faisant passer pour des étudiants participant à un jeu de type capture du drapeau ou pour des chercheurs en cybersécurité, afin de persuader Gemini de fournir des informations qui seraient autrement bloquées. »

Ce n’est pas la première fois qu’un groupe de chercheurs en cybersécurité lève le voile sur un logiciel malveillant capable de générer son propre code grâce à l’IA. En août 2025, les équipes d’ESET avaient déjà présenté PromptLock, une preuve de concept de ransomware entièrement autonome, capable de s’adapter à son environnement.

Si certains malwares dopés à l’IA découverts par Google sont déjà opérationnels, l’analyse approfondie des échantillons de PROMPTFLUX suggère que cette famille de code est encore en phase de développement ou de test. Dans son état actuel, le logiciel ne permet donc pas de compromettre un réseau ou un appareil, mais le phénomène est suivi de très près.

Google indique avoir pris des mesures pour désactiver les comptes associés au développement de ces nouvelles armes cyber.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !