Infostyler dans un dépôt OpenAI frauduleux, chantage Mistral AI et autres événements de cybersécurité - ForkLog : cryptomonnaies, IA, singularité, avenir

# Infostyler dans un dépôt OpenAI factice, chantage de Mistral AI et autres événements en cybersécurité

Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité de la semaine.

• ZachXBT a révélé l’identité de l’organisateur des attaques de phishing de 19 millions de dollars.
• Trois suspects ont été inculpés pour une série d’« attaques à la clé à molette » en Californie.
• Un dépôt OpenAI factice distribuait un infostyler.
• « Déchets IA » ont envahi les plateformes pour hackers et cyberescrocs.

ZachXBT a révélé l’identité de l’organisateur des attaques de phishing de 19 millions de dollars

L’enquêteur en chaîne ZachXBT a dévoilé les détails de l’enquête sur le vol de cryptomonnaies par phishing pour plus de 19 millions de dollars

1/ Rencontre Dritan Kapllani Jr, un acteur de menace basé aux États-Unis lié à $19M provenant de vols par ingénierie sociale ciblant les détenteurs de crypto.

Dritan exhibe des voitures de luxe, des montres, des jets privés et des clubs sur les réseaux sociaux.

Récemment, il a été enregistré lors d’un appel montrant un portefeuille avec des fonds volés. pic.twitter.com/iDKyUjUm4M

— ZachXBT (@zachxbt) 12 mai 2026

Le principal suspect était un hacker américain, Dritan Kapllani Jr. La dé-anonymisation de l’attaquant a commencé par sa propre négligence.

Le 23 avril 2026, lors d’un appel vidéo sur Discord, Kapllani a eu une dispute avec un utilisateur au sujet de la taille de son capital (band 4 band). En guise de preuve, il a montré l’écran de son portefeuille Exodus avec un solde de 3,68 millions de dollars.

ZachXBT a analysé la chaîne de transactions de l’adresse Ethereum. Il s’est avéré que les fonds étaient liés au vol de 185 BTC survenu le 14 mars 2026. L’enquête a montré que le 15 mars, la part de Kapllani — 5,3 millions de dollars — a été créditée sur son portefeuille. Au moment de l’appel vidéo en avril, le hacker avait déjà dépensé ou blanchi environ 1,6 million de dollars.

Au cours de l’enquête, le détective a également découvert un lien entre Kapllani et des incidents antérieurs. Cela a été facilité par le cybercriminel John Dagita, arrêté auparavant pour avoir volé plus de 40 millions de dollars au gouvernement américain. En représailles à de précédents conflits, il a publié dans Telegram l’une des anciennes adresses de Kapllani.

ZachXBT a confirmé son affiliation : l’algorithme de retrait des fonds correspondait entièrement à celui utilisé lors du vol de 185 BTC. Il a également été découvert qu’à l’automne 2025, plus de 5,85 millions de dollars, volés lors de cinq attaques de phishing, avaient transité par ce portefeuille.

L’expert a aidé une des parties victimes dans l’enquête, mais n’a pas publié ses conclusions avant l’action officielle des autorités.

Le 11 mai 2026, les documents judiciaires concernant le vol de 185 BTC ont été déclassifiés.

Les accusations ont déjà été portées contre :

• Trenton Johnson — pour participation directe au vol. Il risque jusqu’à 40 ans de prison ;
• le crypto-influenceur sous le pseudonyme yelotree — pour aide au blanchiment d’argent via une entreprise de location de voitures à Miami (jusqu’à 30 ans de prison).

Kapllani mène une vie publique et luxueuse, exhibant dans les réseaux sociaux des avions privés et des voitures coûteuses. Il a longtemps évité l’arrestation — le détective relie cette « invulnérabilité » à la pratique courante de retard dans la poursuite judiciaire des mineurs. Étant donné que Kapllani a récemment fêté ses 18 ans, ZachXBT suppose qu’il sera bientôt inculpé.

Trois suspects inculpés pour une série d’« attaques à la clé à molette » en Californie

Le procureur américain a inculpé Elijah Armstrong, Nino Chindavan et Jaden Raker pour vol, enlèvement et complot liés à une série de vols de cryptomonnaies.

Selon les documents, les suspects ont déménagé du Tennessee en Californie. Pour pénétrer dans les maisons des victimes, ils se sont fait passer pour des livreurs.

En novembre 2025, à San Francisco, un « livreur » avec une boîte a attaqué un client à l’entrée d’un appartement. La victime a été liée avec du scotch, battue avec la poignée d’un pistolet et menacée pour transférer 10 millions de dollars en Bitcoin et 3 millions en Ethereum.

Dans un autre incident d’« attaque à la clé à molette », la victime a perdu pour 6,5 millions de dollars en cryptomonnaies.

Armstrong et Raker ont été arrêtés à Los Angeles le 31 décembre 2025, et Chindavan à Sunnyvale le 22 décembre 2025. Ils risquent :

• jusqu’à 20 ans de prison pour vol et tentative d’enlèvement ;
• une peine à perpétuité pour complot en vue d’enlèvement ;
• des amendes de 250 000 dollars pour chaque chef d’inculpation.

Selon CertiK, en 2025, 72 cas d’« attaques à la clé à molette » ont été enregistrés dans le monde, soit une augmentation de 75 % par rapport à l’année précédente. Le montant total des pertes liées à ces crimes a atteint un record de 41 millions de dollars.

Un dépôt OpenAI factice distribuait un infostyler

Un dépôt malveillant sur Hugging Face imitait le projet Privacy Filter d’OpenAI pour distribuer un infostyler. C’est ce que rapportent les chercheurs de HiddenLayer.

La plateforme Hugging Face permet aux développeurs et chercheurs d’échanger des modèles d’IA, des ensembles de données et des outils d’apprentissage automatique.

Selon les experts, les escrocs ont utilisé une écriture similaire dans le dépôt Open-OSS/privacy-filter, contenant un fichier loader.py qui lance un infostyler malveillant pour voler des données sous Windows.

Source : HiddenLayer. Le script Python comprenait un code falsifié lié à l’IA pour paraître inoffensif. Cependant, en arrière-plan, il désactivait la vérification des clés SSL, décodait une URL pointant vers une ressource externe, puis extrayait et exécutait une commande PowerShell.

Le code exécuté dans une fenêtre invisible téléchargeait un fichier batch start.bat. Il élevait les privilèges du système et téléchargeait la charge utile finale, en l’ajoutant aux exceptions de Microsoft Defender. Il s’agissait d’un infostyler écrit en Rust, capable de faire des captures d’écran. Le programme volait :

• cookies, mots de passe enregistrés, clés de chiffrement, historique de navigation dans les navigateurs Chromium et Gecko ;
• tokens Discord, bases de données locales et clés maîtresses ;
• portefeuilles cryptographiques et leurs versions navigateur ;
• identifiants et fichiers de configuration SSH, FTP et VPN, y compris FileZilla ;
• informations sur le système.

Les chercheurs ont noté que la majorité des 667 comptes ayant aimé le dépôt malveillant semblent générés automatiquement. De plus, le nombre de téléchargements, 244 000, pourrait également être artificiellement gonflé.

« Déchets IA » ont envahi les plateformes pour hackers et cyberescrocs

Dans le darknet, les plaintes concernant « déchets IA » qui envahissent les discussions, guides et posts techniques deviennent de plus en plus fréquentes. Wired rapporte cela en citant une étude menée par des chercheurs de l’Université de Cambridge et de l’Université de Strathclyde.

Les experts ont analysé environ 98 000 chaînes sur des forums de hackers liés à l’IA, depuis la sortie de ChatGPT en 2022 jusqu’à fin 2025. Sur cette période, la perception des modèles génératifs dans la communauté cybercriminelle a considérablement changé.

Selon l’étude, alors qu’auparavant, les hackers discutaient de comment les réseaux neuronaux pouvaient aider à écrire du code malveillant ou à trouver des vulnérabilités, ils se plaignent désormais de l’afflux de « déchets IA » : posts inutiles et guides primitifs sur des sujets de base.

De plus, certains participants aux forums sont mécontents que les réponses des LLM dans les résultats de recherche Google réduisent la fréquentation des sites eux-mêmes, ce qui nuit au marketing des plateformes de hackers.

Les chercheurs n’ont pas observé d’impact sérieux de l’IA sur l’activité des escrocs peu expérimentés. Elle n’a pas encore abaissé le seuil d’entrée pour les débutants ni entraîné des changements radicaux dans l’industrie de la cybersécurité.

Un groupe de hackers lié à la Biélorussie a attaqué des organismes d’État en Ukraine

En mars 2026, une nouvelle campagne du groupe Ghostwriter (également connu sous le nom d’UNC1151 et FrostyNeighbor), ciblant les structures gouvernementales et de défense en Ukraine, a été détectée. C’est ce que rapportent les chercheurs d’ESET.

Le groupe Ghostwriter, spécialisé dans l’espionnage cybernétique en Europe de l’Est, est lié à la Biélorussie.

Selon les experts, les hackers ont distribué des fichiers PDF de phishing imitant des documents de la société « Ukrtelecom ». Les liens malveillants dans le document menaient au téléchargement du logiciel PicassoLoader, qui déployait ensuite l’outil populaire pour les attaques Cobalt Strike.

Les hackers utilisaient une vérification par IP — l’archive infectée ne se téléchargeait que si la victime se trouvait en Ukraine.

Les chercheurs ont souligné la « maturité opérationnelle » du groupe. PicassoLoader peut envoyer une « empreinte » du système aux serveurs des hackers toutes les 10 minutes. Sur la base de ces données, les opérateurs de Ghostwriter décident de poursuivre ou non l’attaque contre une cible spécifique.

Contrairement aux campagnes en Pologne ou en Lituanie, où le groupe choisit une large gamme de cibles allant de la logistique à la médecine, en Ukraine, ses activités sont concentrées exclusivement sur le secteur militaire et gouvernemental.

Les hackers TeamPCP mettent en vente des dépôts Mistral AI

Le groupe de hackers TeamPCP a menacé de divulguer en ligne le code source des projets Mistral AI si aucun acheteur n’est trouvé pour les données volées. C’est ce que rapporte BleepingComputer.

Mistral AI est une entreprise française dans le domaine de l’intelligence artificielle, fondée par d’anciens chercheurs de Google DeepMind et Meta. Elle se spécialise dans le développement de LLM à poids ouverts et de logiciels propriétaires.

Dans leur message sur un forum de hackers, les attaquants ont demandé 25 000 dollars pour un paquet comprenant près de 450 dépôts.

Dans une déclaration officielle à BleepingComputer, des représentants de Mistral AI ont confirmé la compromission du système de gestion du code. Le piratage est le résultat d’une attaque à grande échelle sur la chaîne d’approvisionnement logicielle appelée Mini Shai-Hulud.

Mistral AI affirme que les données affectées ne font pas partie du code source principal.

Selon les informations publiées, l’attaque s’est déroulée en plusieurs étapes. D’abord, les hackers ont obtenu l’accès aux paquets officiels TanStack et Mistral AI à l’aide de données d’identification volées pour CI/CD. Ensuite, la campagne malveillante s’est propagée à des centaines de projets dans les registres npm et PyPI, y compris ceux de UiPath, Guardrails AI et OpenSearch.

Mistral AI a reconnu que les hackers avaient brièvement intégré du code malveillant dans certains SDK de l’entreprise.

Source : BleepingComputer. Le groupe TeamPCP affirme avoir téléchargé près de 5 Go de données internes que Mistral utilise pour l’entraînement, le fine-tuning, les tests comparatifs et les expérimentations.

Les hackers ont déclaré qu’ils mettraient en accès libre ces données si aucun acheteur n’était trouvé dans la semaine.

Sur ForkLog :

• Des hackers ont extrait 10 millions de dollars de THORChain.
• L’alliance Tether, TRON et TRM Labs a gelé pour 450 millions de dollars d’actifs cryptographiques.
• La Fondation Ethereum a lancé un service pour la protection contre la signature aveugle de transactions.
• CertiK a annoncé une « industrialisation » des vols de cryptos par la Corée du Nord.
• Le compte Roaring Kitty a été piraté pour le dump du token RKC.
• Google a enregistré une augmentation de la popularité de l’IA chez les cybercriminels.
• LayerZero a reconnu des erreurs après le piratage de Kelp pour 292 millions de dollars.

Que lire ce week-end ?

Dans un nouveau article, ForkLog a analysé comment le principal prestataire de logiciels du ministère de la Défense des États-Unis et la société Palantir Technologies « assurent la suprématie évidente de l’Occident ».