Cryptojacking via chatbots IA : l'alerte de Microsoft en 2026
Microsoft révèle une campagne de cryptojacking exploitant les chatbots IA comme ChatGPT et Copilot pour recommander des logiciels malveillants. Comment se protéger.
Quand votre assistant IA devient le meilleur allié de l'attaquant
Pendant des années, les moteurs de recherche ont été le champ de bataille principal de la distribution de malwares. Vous tapez "télécharger HWMonitor", vous cliquez sur le premier résultat, et vous priez pour que ce soit le bon. En 2026, ce champ de bataille s'est déplacé et le nouveau gardien, c'est votre chatbot IA.
Le 26 mai 2026, Microsoft a révélé que les chercheurs de Defender suivent une campagne active de cryptojacking utilisant des résultats de recherche empoisonnés et des liens malveillants recommandés par des chatbots IA pour distribuer de faux utilitaires Windows. Le constat est brutal : les outils sur lesquels des millions d'utilisateurs s'appuient désormais pour obtenir rapidement des recommandations logicielles ChatGPT, Copilot, Grok et consorts sont devenus un nouveau vecteur d'ingénierie sociale.
Et les attaquants ne visent pas tout le monde. Ils vous ciblent spécifiquement si vous possédez un PC gaming ou une station de travail créative.
Ce qui se passe réellement : la chaîne d'attaque
Étape 1 : L'appât des noms d'utilitaires reconnus
La campagne n'imite pas des applications quelconques. Elle imite exactement les outils que les passionnés téléchargent en permanence : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack et PDFgear.
Pourquoi ceux-là ? Parce que "Le choix de ces marques est délibéré. Chaque application est privilégiée par les passionnés de PC et les utilisateurs orientés hardware, précisément le public le plus susceptible de posséder une carte graphique discrète haute performance, le matériel qui rend le minage GPU économiquement viable".
Autrement dit : si vous cherchez DDU, vous avez probablement une RTX 4070, 4080, 5090 ou équivalent. Et c'est exactement ce sur quoi les attaquants veulent miner.
Étape 2 : La livraison du SEO poisoning à l'empoisonnement d'IA
Traditionnellement, les attaquants utilisaient le SEO poisoning manipuler le classement Google pour faire remonter de faux sites de téléchargement au-dessus des vrais.
Mais quelque chose de nouveau a commencé en avril 2026. Microsoft a identifié des cas où des utilisateurs étaient redirigés vers des sites malveillants via des interactions avec des chatbots basés sur des LLM, plutôt que via les résultats de recherche traditionnels. "Dans ces cas, les utilisateurs qui demandaient à un chatbot IA des recommandations de téléchargement de logiciels se voyaient proposer des liens vers des domaines contrôlés par les attaquants au sein des réponses générées".
En clair : vous demandez à un chatbot IA "Où télécharger HWMonitor en toute sécurité ?" et il vous tend en toute confiance un lien vers un domaine malveillant.
L'analyse des scans VirusTotal associés à ces domaines a identifié des métadonnées de trafic faisant référence à des interactions de chatbot comme contexte de référence potentiel. "Bien que ce comportement repose sur des modèles observés et des sources de données corrélées, il est cohérent avec les techniques émergentes d'empoisonnement des résultats de recherche par IA, représentant une extension du SEO poisoning traditionnel au-delà des moteurs de recherche classiques".
Étape 3 : La charge utile le vrai logiciel + le poison caché
Une fois le ZIP téléchargé, la victime obtient exactement ce qu'elle voulait : l'utilitaire légitime plus une DLL malveillante (autorun.dll) à côté. Quand l'utilisateur lance la vraie application, le DLL sideloading entre en jeu l'exécutable légitime charge involontairement la DLL malveillante.
Pas d'exploit. Pas de CVE. Juste de la confiance.
Étape 4 : La persistance vivre des outils légitimes
C'est là que ça devient malin. Le malware installe silencieusement ScreenConnect un outil d'accès à distance parfaitement légitime, utilisé par les services informatiques du monde entier déguisé en redistribuable Visual C++. ScreenConnect appelle ensuite le serveur de l'attaquant (193.42.11[.]108), lui donnant un accès persistant à votre machine.
Vient ensuite la charge utile de minage. Un binaire "est chargé d'établir la persistance sur l'hôte via les clés d'exécution du registre et les tâches planifiées, de configurer les exclusions Microsoft Defender, d'effectuer des vérifications anti-analyse, et d'employer le process hollowing pour lancer le code de minage avec des binaires Microsoft signés et de confiance".
Les mineurs eux-mêmes gminer, lolMiner ou SRBMiner-MULTI sont injectés dans des binaires .NET signés par Microsoft comme InstallUtil.exe et MSBuild.exe via le process hollowing. Pour vos outils de sécurité, ce sont des processus Microsoft qui tournent. En réalité, votre GPU déverse de l'électricité dans le portefeuille crypto de quelqu'un d'autre.
Dans certaines compromissions, plutôt que d'utiliser le transfert de fichiers de ScreenConnect, les attaquants utilisent un script PowerShell pour récupérer le binaire depuis un lecteur distant, le stocker localement sous le nom "vlc.exe" pour rester discret, créer une tâche planifiée pour le lancer, puis s'auto-supprimer.
Pourquoi cette campagne est différente (et plus inquiétante)
La plupart des campagnes de malware jouent la quantité : infecter le plus de machines possible et espérer que quelques-unes rapportent. Cet acteur malveillant semble focalisé sur la compromission de systèmes à forte valeur de minage plutôt que sur l'infection massive de machines. Au-delà du minage de cryptomonnaie, la campagne donne aux attaquants un accès distant persistant via des déploiements ScreenConnect détournés.
Ce qui signifie :
Des infections discrètes et chirurgicales moins de victimes, plus de revenus par victime.
Une porte dérobée persistante qui peut évoluer plus tard vers du vol de données ou du ransomware.
Des défenses contournées par la légitimité ScreenConnect et les binaires Microsoft .NET ne déclenchent pas la plupart des alertes.
"L'attaque n'a pas besoin de casser Windows si elle peut détourner le chemin de recherche de l'utilisateur, emprunter un exécutable légitime, installer un client d'accès à distance légitime, se cacher dans des utilitaires signés par Microsoft, et miner uniquement quand le propriétaire a le moins de chances de le remarquer".
Le tableau d'ensemble : la confiance dans l'IA est la nouvelle surface d'attaque
C'est ce que les équipes de sécurité doivent intérioriser : le chatbot IA fait désormais partie du modèle de menace.
Quand un utilisateur tape une question dans Google, il garde au moins un réflexe résiduel pour scanner les URLs, repérer les noms de domaine louches, jeter un œil au snippet. Quand une IA déclare avec confiance "Vous pouvez télécharger HWMonitor depuis [URL]", ce réflexe critique s'effondre. Le format de l'interface conversationnel, autoritaire, serviable court-circuite la méfiance.
"C'est l'avenir que les défenseurs doivent anticiper : non pas des malwares qui paraissent manifestement étrangers, mais des malwares qui maîtrisent les rituels ordinaires de la maintenance Windows au point de disparaître à l'intérieur".
Il faut souligner ce que Microsoft n'a pas dit : ce n'est pas une faille d'un produit IA spécifique. C'est une faille dans la manière dont les attaquants ensemencent désormais le web ouvert commentaires de blogs, posts de forums, sites de "revues" de faible qualité, repos GitHub sachant que les LLM finiront par crawler, résumer et faire remonter ce contenu en tant que recommandations.
Comment vous protéger
Pour les utilisateurs particuliers :
Ne faites jamais aveuglément confiance à un lien de téléchargement fourni par un chatbot. Recoupez l'URL avec la page officielle du projet (par ex. crystalmark.info pour CrystalDiskInfo, cpuid.com pour HWMonitor).
Mettez en favoris les sources officielles des outils que vous utilisez régulièrement.
Surveillez les installations inattendues de ScreenConnect ou ConnectWise Control aucun n'a sa place sur une machine personnelle.
Investiguez les pics soudains d'utilisation GPU, les performances dégradées en jeu, ou les ventilateurs qui tournent quand le système est inactif.
Pour les équipes IT et les professionnels de la sécurité, Microsoft recommande :
Activer la protection cloud dans Microsoft Defender.
Faire tourner l'EDR en mode blocage.
Déployer les règles Attack Surface Reduction (ASR), notamment celles qui bloquent l'abus des LOLBins.
Ajouter les binaires ScreenConnect/ConnectWise à votre liste de surveillance si votre environnement ne les utilise pas légitimement.
Auditer les tâches planifiées et les clés Run du registre à la recherche d'entrées inhabituelles.
Le mot de la fin
"Même en 2026, la plus vieille ruse du manuel des hackers offrir gratuitement quelque chose qui vous coûte secrètement fonctionne toujours aussi bien quand elle est habillée de la confiance générée par l'IA."
La prochaine fois que vous demandez à un assistant IA une recommandation logicielle, traitez sa réponse comme vous traiteriez une clé USB qu'un inconnu vous tendrait dans la rue. Utile ? Peut-être. Fiable ? Vérifiez d'abord.
Votre GPU et votre portefeuille vous remercieront.
Vous voulez la liste complète des IOC, hashes et indicateurs de domaines ? Ils sont disponibles dans la publication officielle de Microsoft sur le Microsoft Security Blog.
Cet article vous a plu ?
Écrit par
Chris
Constructeur de solutions tech · IA agentique & sécurité offensive
Passionné de tech et constructeur de produits, je bâtis Sentinelle — un agent IA autonome de sécurité offensive. J'écris ici sur l'IA agentique, le pentest assisté par IA et ce que j'apprends en construisant des outils offensifs.
