Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA

Les cybercriminels exploitent de plus en plus l’intelligence artificielle pour compromettre des actifs critiques de l’entreprise, marquant une évolution alarmante du paysage des menaces. Le rapport 2025 sur la sécurité liée à l’IA de Check Point Research met en lumière l’utilisation de l’IA par les attaquants pour l’usurpation d’identité par deepfake, la génération automatique de malwares, le contournement de LLMs bridés, ainsi que la création de campagnes de désinformation générative. Après les campagnes exploitant des leurres IA pour propager les malwares CyberLock, Lucky_Gh0$t et Numero, les experts en cybersécurité ont récemment identifié une nouvelle menace basée sur l’IA. Baptisé **Koske**, ce malware sophistiqué semble avoir été largement développé à l’aide de l’intelligence artificielle, illustrant ainsi la militarisation croissante de l’IA dans les cyberattaques modernes.

Détection des attaques par le malware Koske

Selon une étude de Netacea, 93 % des entreprises estiment qu’elles feront face à des attaques pilotées par l’IA au quotidien dans l’année à venir. Le Rapport 2025 sur l’état de la sécurité de Splunk révèle que les responsables sécurité constatent une utilisation croissante de l’IA générative par les acteurs malveillants pour améliorer l’efficacité des attaques existantes (32 %), en accroître le volume (28 %), créer de nouvelles méthodes d’attaque (23 %) et mener des phases de reconnaissance (17 %). Ces données soulignent le potentiel croissant de l’IA en tant qu’arme offensive, avec une multiplication attendue de menaces avancées comme le malware Koske.

Inscrivez-vous à la plateforme SOC Prime pour bénéficier des capacités défensives de l’IA et détecter les attaques Koske dès leurs premières phases. La plateforme fournit une veille de menace en temps réel et du contenu de détection exploitable, appuyée par une suite complète d’outils pour l’ingénierie de détection assistée par IA, la chasse aux menaces automatisée et la détection avancée. Cliquez sur le bouton Explorer les détections ci-dessous pour accéder à une sélection de règles de détection conçues spécifiquement pour identifier et contrer les activités malveillantes liées à Koske, ou utilisez le tag “Koske” dans le Threat Detection Marketplace.

Explorer les détections

Toutes les détections sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake, et sont alignées sur le cadre MITRE ATT&CK®. Chaque règle comprend des métadonnées détaillées, incluant des références en renseignement sur les menaces, des chronologies d’attaque, des recommandations de triage, et plus encore.

Les experts peuvent également accélérer leurs investigations à l’aide d’Uncoder AI, un IDE privé et copilote pour l’ingénierie de détection basée sur les menaces. Il permet de générer des algorithmes de détection à partir de rapports bruts, de lancer rapidement des balayages d’IOC, de prédire des balises ATT&CK, d’optimiser le code avec des conseils IA, et de traduire les requêtes dans différents langages SIEM, EDR et Data Lake. Par exemple, les professionnels peuvent s’appuyer sur les détails de la recherche Aqua Nautilus pour générer un Attack Flow v3 grâce aux nouvelles fonctionnalités d’Uncoder AI exploitant le MITRE ATT&CK® v17.1 avec moteur RAG.

Analyse du malware Koske sur Linux

L’IA donne naissance à une nouvelle génération de cybermenaces, les attaquants l’utilisant pour affiner et étendre massivement leurs tactiques. Simultanément, l’IA devient un pilier des stratégies de défense moderne. Le futur de la cybersécurité dépendra de l’intégration efficace de l’IA avec d’autres technologies émergentes. Pourtant, les cybercriminels ne cessent d’innover pour détourner ces outils à leur avantage.

Les chercheurs d’Aqua Nautilus ont récemment découvert une campagne adversaire inédite impliquant une menace avancée sur Linux, dotée de techniques d’évasion particulièrement élaborées. **Koske** est un nouveau malware généré par IA, conçu pour des opérations de minage de cryptomonnaies. Ses capacités d’adaptation indiquent un développement via LLMs ou frameworks d’automatisation. Koske installe des mineurs optimisés pour CPU et GPU, exploitant les systèmes infectés pour extraire plus de 18 cryptomonnaies. Doté de charges utiles modulaires, de rootkits furtifs, et distribué via des fichiers images piégés, Koske incarne une nouvelle génération de malwares persistants et hautement adaptatifs. Sa propagation a été observée via des environnements JupyterLab mal configurés.

La chaîne d’infection débute par l’exploitation d’un serveur JupyterLab mal sécurisé, permettant l’installation de portes dérobées et le téléchargement de deux images JPEG depuis des URLs raccourcies. Ces fichiers polyglottes contiennent des charges malveillantes qui s’exécutent directement en mémoire, contournant ainsi les antivirus. Une des charges est un code C compilé en rootkit, l’autre un script shell discret utilisant des utilitaires système pour maintenir la persistance.

L’accès initial provient d’une adresse IP serbe (178.220.112.53). Une fois dans le système, les attaquants utilisent des techniques de persistance et d’évasion dopées à l’IA, telles que la modification des fichiers .bashrc et .bash_logout pour appeler un script personnalisé, la manipulation du démarrage via /etc/rc.local et des services systemd personnalisés, ainsi que la planification de tâches cron. Les charges sont dissimulées dans des images apparemment inoffensives hébergées sur des plateformes légitimes. Les fichiers polyglottes exploitent des images de pandas pour dissimuler du shellcode malveillant, rendant leur détection particulièrement difficile.

Une charge secondaire, extraite d’une image de panda, contient du code C brut pour un rootkit en espace utilisateur qui détourne la fonction readdir() via le mécanisme LD_PRELOAD. Ce rootkit masque fichiers, dossiers et processus en filtrant les noms spécifiques, en utilisant un PID stocké dans /dev/shm/.hiddenpid. En interceptant les listings des outils ls, ps ou top, il rend les composants malveillants invisibles. Chargé via LD_PRELOAD ou /etc/ld.so.preload, il assure une persistance furtive tout en évitant les analyses forensiques.

Koske manipule la configuration réseau en réinitialisant les variables proxy, en réinitialisant les règles iptables, en forçant l’usage des DNS Cloudflare/Google et en verrouillant les modifications via chattr +i, assurant une communication C2 stable tout en contournant les défenses DNS. Le malware supporte 18 cryptomonnaies, déployant des mineurs CPU/GPU adaptés selon le matériel détecté, et bascule automatiquement vers d’autres pièces ou pools si nécessaire.

Les commentaires détaillés du script, sa structure modulaire et la syntaxe obfusquée d’origine serbe laissent penser à un développement assisté par LLM, conçu pour paraître générique et compliquer l’analyse. Pour mitiger Koske, les défenseurs doivent surveiller les modifications non autorisées de bash, les réécritures DNS, les nouveaux services systemd, et l’usage anormal du CPU/GPU. Par ailleurs, l’implémentation de protections containers contre les payloads polyglottes, la prévention de l’injection de rootkits cachés, et le renforcement des contrôles réseau sont essentiels. Enfin, l’usage de détection d’anomalies pilotée par IA peut permettre d’identifier des scripts présentant des signes caractéristiques des LLMs, tels que des commentaires détaillés ou des structures modulaires.

Koske représente un tournant inquiétant dans l’évolution des malwares — automatisé, furtif, persistant et propulsé par l’intelligence artificielle. Pour rester à la hauteur de cette escalade, les organisations doivent adopter des mesures de sécurité comportementales et contextuelles adaptées aux environnements Linux modernes. SOC Prime propose une suite complète de produits combinant expertise IA, automatisation, renseignement en temps réel et capacités avancées pour aider les entreprises à devancer les attaques sophistiquées.