Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Une nouvelle menace de sécurité plane dans la sphère crypto. De simples images générées par IA sont devenu le véhicule de déploiement d’une campagne de cryptomining abusive.
Les pirates continuent de faire preuve d’inventivité avec des attaques de type “polyglot abuse” qui installent des instances de minage crypto sur vos appareils sans que vous ne vous en rendiez compte. Découvrez le mécanisme de fonctionnement de cette attaque sophistiquée.
Des images anodines qui asservissent votre système
Koske est un nouveau maliciel qui semble avoir été partiellement développé à l’aide d’une intelligence artificielle. Le malware prend l’apparence d’une simple image de panda générée par intelligence artificielle.
Koske est un maliciel capable de déployer des exécutables variés, dont les méthodes d’infiltration sont particulièrement subtiles et qui se propage à travers des images. Le maliciel Koske est conçu spécifiquement pour transformer les appareils infectés en stations de minage crypto.
Looks like a panda. 🐼 Is malware.
The Aqua Nautilus team uncovered Koske, a stealthy Linux threat disguised as a cute image.
Verbose logic. Multilingual variables. CLI color formatting. All signs of LLM-assisted development.
We put together a short explainer video to walk… pic.twitter.com/gNCE3UadY3
— Aqua Security (@AquaSecTeam) July 30, 2025
Le malware Koske cible spécifiquement les systèmes Linux et MacOS. C’est une menace persistante qui s’adapte continuellement et est particulièrement adepte pour éviter la détection des solutions antivirus courantes.
Un déploiement silencieux, une menace persistante
Le déploiement de Koske part de l’exécution à distance d’un outil JupyterLab mal configuré. Dès lors, la séquence de processus télécharge des images de pandas qui dissimulent du code malveillant.
En plus des données d’image, ces fichiers contiennent des séquences de code exécutables par différents langages système. Une fois exécutés, ces codes transforment l’environnement local en une station optimisée pour le minage crypto.
D’abord, le rootkit d’évasion est installé afin que le maliciel ne soit pas détecté. Ensuite, vient l’optimisation des composants système comme le processeur et la carte graphique. Après quoi, le maliciel interrompt les services et processus superflus, installe un proxy et télécharge les logiciels de minage crypto.
Du malware généré par IA, un nouveau chapitre de la sécurité informatique
En plus d’être une menace considérable, Koske est le symbole d’une nouvelle ère en matière de sécurité informatique. Après tout, le code généré avec l’assistance d’IA permet à Koske d’être particulièrement flexible.
En effet, l’analyse de la logique de minage démontre que le maliciel évalue les performances, choisit dynamiquement les cryptos à miner et s’adapte continuellement. Par exemple, lorsque le minage pour un type de crypto échoue, le maliciel change systématiquement de cible de minage.
Les jetons ciblés par Koske sont Monero, Ravencoin, Zano, Nexa, Tari et d’autres encore. En tout, les analystes de cybersécurité déterminent que Koske supporte le minage pour 18 cryptomonnaies différentes.
Ce qui est particulièrement inquiétant avec Koske, c’est sa capacité d’adaptation. Si cette version sert à installer des portes dérobées dans les systèmes et à les transformer en stations de minage, il y a fort à craindre que des versions plus agressives voient le jour.
En particulier, des maliciels qui pourraient rester dormants et cibler les phrases seed ou les informations sensibles des crypto-enthousiastes à la première occasion.
Sources : aquasec.com
