Dans un article de blog publié le 26 mai 2026, des chercheurs de Microsoft ont mis au jour une campagne malveillante d’un genre nouveau : des pirates détournent les résultats de recherche, et désormais les réponses des chatbots IA, pour infecter les PC puissants et exploiter leurs cartes graphiques à des fins de minage de cryptomonnaies.

C’est une campagne de cryptojacking que les équipes Microsoft Defender suivent depuis plusieurs semaines.

Une forme d’attaque discrète qui ne cherche pas à paralyser un système comme le font les ransomware, mais plutôt à s’installer en silence sur une machine et d’en voler la puissance de calcul pour miner des cryptomonnaies, au profit des attaquants, aux frais de la victime.

Ce qui rend cette campagne particulièrement notable, c’est son niveau de ciblage. Plutôt que de chercher à infecter le maximum de machines possible, les hackers ont construit une stratégie délibérément orientée vers les systèmes équipés de cartes graphiques (GPU) haute performance, celles que l’on trouve typiquement chez les gamers ou les passionnés de hardware. Un GPU puissant vaut bien plus pour miner de la cryptomonnaie qu’une dizaine de machines grand public et les attaquants ont optimisé leur approche en conséquence.

Autre nouveauté inquiétante : la campagne se diffuse non seulement via des résultats de recherche manipulés, mais aussi à travers des recommandations émises par des chatbots IA.

Exemple de réponse générée par LLM contenant des liens vers des domaines ultérieurement identifiés comme malveillants et associés à cette campagne. // Source : Microsoft
Exemple de réponse générée par LLM contenant des liens vers des domaines ultérieurement identifiés comme malveillants et associés à cette campagne. // Source : Microsoft

Un piège bien monté, de la recherche Google au malware

Pour la victime, tout commence par une requête banale sur un moteur de recherche. La campagne usurpe l’identité de plusieurs logiciels de confiance très utilisés par les passionnés de PC : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack ou encore PDFgear.

La stratégie des attaquants repose sur ce qu’on appelle le SEO poisoning, le « référencement empoisonné » : ils manipulent les algorithmes des moteurs de recherche pour faire remonter leurs faux sites en tête des résultats.

Microsoft précise que depuis mars 2026, plus de 150 domaines malveillants ont été identifiés, tous conçus pour imiter des pages de téléchargement légitimes.

Autre vecteur d’attaque, les LLM. En avril 2026, les chercheurs ont également mis la main sur des liens menant vers des chatbots IA manipulés qui pouvaient diriger des utilisateurs vers ces mêmes domaines malveillants lorsqu’ils demandaient des recommandations de logiciels à télécharger.

Ici, il ne s’agit pas d’une faille systémique d’un service IA en particulier, mais d’une technique émergente qui étend le référencement empoisonné au-delà des moteurs de recherche traditionnels.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Une fois que la victime clique et télécharge l’archive ZIP proposée, le piège se referme. Le fichier contient bien l’exécutable du logiciel promis, mais aussi une charge malveillante qui se glisse silencieusement en même temps que le programme légitime, sans déclencher aucune alerte visible.

Ce subterfuge permet aux hackers d’installer ScreenConnect sur la machine de la victime, un outil de prise de contrôle à distance normalement utilisé par les équipes informatiques.

Une campagne toujours active, aux conséquences durables

Une fois le malware installé, il injecte le code de minage, capable de se désactiver automatiquement si l’utilisateur commence à jouer ou à utiliser intensément son GPU, pour ne pas se trahir par une baisse de performance.

L’objectif principal est donc atteint, mais ce n’est pas tout. Une fois le système infecté, l’attaquant dispose d’un accès persistant à la machine via ScreenConnect, ce qui pourrait ultérieurement servir à voler des données, se propager sur d’autres machines du réseau, ou déployer un ransomware.

Microsoft précise que la campagne était toujours en cours au moment de la publication du rapport. Pour se protéger, la recommandation principale reste de ne télécharger des logiciels qu’à partir des sites officiels des éditeurs, et de traiter avec prudence tout lien suggéré par un chatbot IA, même lorsqu’il semble pertinent.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !