Des pirates informatiques ukrainiens utilisent l'IA pour cibler les défenses russes.
Intezer rapporte que le groupe de pirates informatiques Paper Werewolf, soupçonné d'être pro-ukrainien, a utilisé des documents falsifiés générés par l'IA pour attaquer des entreprises de défense russes dans des domaines sensibles de la défense aérienne et de l'électronique.
La société américaine de cybersécurité Intezer a signalé une cyberattaque visant des entreprises russes opérant dans les secteurs de la défense aérienne, de l'électronique sensible et d'autres applications de défense, utilisant des documents falsifiés générés par intelligence artificielle. Cette campagne serait l'œuvre d'un groupe de pirates informatiques pro-ukrainien appelé Paper Werewolf (également connu sous le nom de GOFFEE).
Selon Intezer, cet incident démontre la facilité avec laquelle les outils d'intelligence artificielle accessibles peuvent être exploités pour des activités à haut risque, et offre un aperçu rare des campagnes de cyberattaques ciblant des entités liées à l'industrie de la défense russe dans le contexte du conflit russo-ukrainien.
Aperçu de l'opération Paper Werewolf ciblant la défense russe
Nicole Fishbein, chercheuse principale en sécurité chez Intezer, a déclaré que la campagne de cyberattaques visant plusieurs entreprises de défense russes avait très probablement été menée par Paper Werewolf. Ce groupe, actif depuis 2022, aurait des sympathies pro-ukrainiennes et concentrerait la quasi-totalité de ses efforts sur des cibles en Russie.
Des informations concernant cette opération ont été révélées alors que des négociations sont en cours sur une possible fin du conflit entre la Russie et l'Ukraine. La Russie a menacé de s'emparer de davantage de territoire par la force si l'Ukraine et ses alliés européens ne participent pas aux propositions de paix américaines. Les ambassades de Russie et d'Ukraine à Washington n'ont pas répondu aux demandes de commentaires.
Nicole Fishbein est l'auteure principale de l'analyse menée par Intezer. Elle souligne qu'il s'agit d'un des rares cas permettant une étude relativement détaillée d'une campagne de cyberattaques ciblant des entités russes du secteur de la défense.
Comment exploiter l'IA dans les campagnes d'attaque.
Faux documents créés par l'IA.
Selon Intezer, Paper Werewolf utilise des documents générés par IA comme appât. Ces documents, rédigés en russe, sont présentés comme des invitations ou de la correspondance officielle afin de gagner la confiance du destinataire.
Dans un cas, de faux documents invitaient de hauts gradés russes à assister à un concert. Dans un autre, les documents étaient présentés comme une correspondance du ministère russe de l'Industrie et du Commerce, demandant des explications sur les prix conformément à la réglementation gouvernementale en la matière.
Nicole Fishbein souligne que l'élément notable est l'utilisation par le groupe de faux documents générés par l'IA, démontrant ainsi la facilité avec laquelle les outils d'IA accessibles peuvent être détournés à des fins malveillantes. Elle suggère que les technologies émergentes peuvent faciliter les attaques sophistiquées et que le problème fondamental réside dans le mésusage de la technologie, et non dans la technologie elle-même.
Capacités de suivi et d'analyse limitées.
Fishbein a souligné que cette campagne était remarquable non pas parce que les attaques contre des entités russes sont rares, mais parce que les capacités de les détecter sont limitées. La capacité d'Intezer à observer et analyser cette campagne permet à la communauté de la cybersécurité de mieux comprendre comment les groupes pro-ukrainiens utilisent l'IA dans des cyberattaques en temps de guerre.
La cible de l'attaque et son importance pour l'industrie de la défense russe.
D'après Oleg Shakirov (Russie), chercheur en politiques de cybersécurité, les cibles de cette campagne étaient toutes de grands groupes d'armement. Cela témoigne d'un intérêt généralisé des pirates informatiques pour l'industrie militaire russe.
Oleg Shakirov soutient que l'accès aux entreprises de défense permet de mieux comprendre la production d'une vaste gamme d'équipements, « des systèmes de visée aux systèmes de défense aérienne », ainsi que la chaîne d'approvisionnement et les processus de recherche et développement. Ce type d'information revêt une grande valeur militaire, notamment dans le contexte d'un conflit prolongé.
Il a estimé qu'il n'était pas rare que des pirates informatiques pro-ukrainiens tentent d'espionner des entreprises de défense russes en temps de guerre. Selon lui, Paper Werewolf aurait pu étendre ses cibles au-delà des secteurs traditionnels tels que les agences gouvernementales, l'énergie, la finance et les télécommunications, à d'autres domaines industriels.
Débat sur les origines et les affiliations de Paper Werewolf
Intezer attribue cette campagne de cyberattaques à Paper Werewolf, compte tenu de l'infrastructure sous-jacente. Cependant, les vulnérabilités logicielles exploitées et la méthode de création des documents leurres ne permettent pas de déterminer si Paper Werewolf collabore avec un pays en particulier ou avec d'autres groupes de pirates informatiques.
D'autres avis suggèrent que Paper Werewolf est lié à des campagnes de cyberattaques déjà connues, menées par des groupes de pirates informatiques pro-ukrainiens. Un rapport de septembre 2025 de la société russe de cybersécurité Kaspersky indique que Paper Werewolf présente de nombreuses similitudes et est potentiellement lié à Cloud Atlas, un groupe de pirates informatiques pro-ukrainiens actif depuis plus de dix ans.
D'après la société israélienne de cybersécurité Check Point, Cloud Atlas est connu pour cibler des organisations pro-russes en Europe de l'Est et en Asie centrale. Ces évaluations suggèrent que Paper Werewolf pourrait faire partie d'un écosystème plus vaste de groupes de pirates informatiques pro-ukrainiens, même si l'étendue précise de ce lien reste floue.
Le rôle d'Intezer et de la technologie d'IA dans la cybersécurité.
Intezer est une entreprise de cybersécurité spécialisée dans les technologies de sécurité automatisées, utilisant l'IA pour aider les organisations à détecter les cybermenaces et à y répondre. Fondée en 2015, la société a son siège social à New York (États-Unis) et des bureaux en Israël. Elle compte parmi ses clients de nombreuses grandes entreprises, dont des sociétés du classement Fortune 500.
Le classement Fortune 500 répertorie les 500 premières entreprises américaines en termes de chiffre d'affaires, parmi lesquelles des sociétés des secteurs de la technologie, de l'énergie, de la distribution, de la finance et de l'automobile. Intezer vise à pallier la pénurie de personnel en cybersécurité en développant des systèmes automatisés qui aident les équipes de sécurité à détecter et analyser plus rapidement les alertes, à gérer automatiquement les menaces mineures et à ne transmettre les cas critiques à une intervention humaine que.
Selon Intezer, ce modèle permet aux équipes de sécurité de se concentrer sur les menaces réellement sérieuses au lieu d'être submergées par des milliers d'alertes quotidiennes. Dans un contexte où les groupes de pirates informatiques peuvent facilement exploiter les outils d'IA pour intensifier et perfectionner leurs attaques, l'application de l'IA à la défense est perçue comme un moyen de rétablir l'équilibre dans le cyberespace.
