Des pirates utilisent un script PowerShell généré par IA contre l'Active Directory

Des pirates utilisent un script PowerShell généré par IA contre l’Active Directory

Début juin 2026, un cybercriminel a déployé un script PowerShell vibe-codé pour cartographier un annuaire Active Directory, avant que les données récoltées ne soient exfiltrées. L’entreprise de cybersécurité Huntress, qui a analysé l’incident, y voit un exemple concret de vibe coding appliqué à la cybercriminalité.

Un accès RDP, un script maison, et l’annuaire à nu

L’attaque décrite par Huntress remonte au 3 juin 2026, et sur le fond, elle n’a rien de révolutionnaire : une intrusion suivie d’un vol de données. Ce qui est intéressant dans cette attaque, c’est l’un des outils employés : un script PowerShell sur-me généré par IA.

Les chercheurs Jevon Ang et Dray Agha ont retracé le déroulé de l’attaque :

  1. L’attaquant établit une connexion RDP sur un serveur Windows joint au domaine, à l’aide d’identifiants préalablement compromis. D’après Huntress, le contexte suggère un accès initial obtenu via un VPN.
  2. Les outils sont déposés dans le répertoire C:\ProgramData\, une zone de stockage courante pour ce type d’opération.
  3. Quelques minutes plus tard, le script Untitled1.ps1 est exécuté pour cartographier l’Active Directory.
  4. L’attaquant a ensuite déployé s5cmd.exe, un outil légitime dédié aux opérations sur Amazon S3, détourné pour exfiltrer des données.
  5. Un outil d’énumération nommé SharpShares.exe est utilisé pour identifier des partages réseau accessibles aux utilisateurs.

En s’appuyant sur l’Event ID 4104 du journal Microsoft-Windows-PowerShell/Operational, qui conserve les blocs de scripts PowerShell exécutés, les chercheurs ont pu accéder au code de script.

Ce script cherche d’abord à identifier le contrôleur de domaine à l’aide de plusieurs techniques (DNS, nltest, le module Active Directory, les variables d’environnement, puis une valeur codée en dur). Il enchaîne ensuite avec une collecte massive de données, exportant utilisateurs, ordinateurs, groupes, unités d’organisation et relations d’approbation vers des fichiers CSV, et génère un rapport HTML sur l’état de l’Active Directory.

Un script PowerShell généré par l’IA pour énumérer l’AD

Huntress conclut à la génération de ce script par une IA en raison de plusieurs détails dans le code :

  • Le titre du script : 100% Working AD Information Gathering Script – FULLY FIXED, suggère un ajustement typique entre un utilisateur et un chatbot IA.
  • Un nom de serveur d’exemple laissé tel quel, indiquant que l’attaquant a copié-collé le code sans adaptation.
  • La sur-ingénierie du script, avec cinq méthodes distinctes pour localiser le contrôleur de domaine, là où un développeur humain en retiendrait probablement une ou deux.
  • Un soin esthétique inhabituel, avec un affichage console coloré, une pratique fréquente chez les modèles IA.

Les chercheurs soulignent que ce type de script généré par une IA est unique et que le script Untitled1.ps1 n’avait jamais existé auparavant, ce qui complique la détection par signature. Ils ajoutent que même si l’IA modifie la syntaxe du code, elle ne peut pas changer les mécanismes fondamentaux de l’énumération Active Directory.

Pour plus de détails, il est possible de consulter le rapport d’Huntress.

Source : Huntress

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *