Arkanix Stealer : le malware créé avec l’IA qui a tout volé… puis disparu — faut‑il craindre une résurgence ?

Un malware baptisé « Arkanix Stealer » a récemment attiré l’attention des chercheurs en sécurité : apparu en octobre 2025, il a été développé avec une aide significative de l’intelligence artificielle, selon l’analyse de Kaspersky. Le phénomène illustre deux tendances inquiétantes et complémentaires : la professionnalisation du cybercrime via des offres « Malware‑as‑a‑Service » (MaaS) et l’emploi d’outils d’IA pour accélérer la création d’outils malveillants. Bien que l’opération d’affiliation autour d’Arkanix ait été stoppée par son auteur après à peine deux semaines d’activité publique, l’examen du code et de l’infrastructure révèle un outil sophistiqué, modulable et potentiellement dangereux.

Arkanix : un malware conçu comme un service

Arkanix Stealer n’était pas un trojan bricolé dans un sous‑sol : il s’agissait d’une offre structurée selon le modèle MaaS. Autrement dit, l’auteur proposait le malware via un système d’affiliation : les affiliés pouvaient louer l’outil ou s’inscrire à un modèle de paiement où l’auteur prenait une commission sur le gain de chaque attaque réussie. Le package comprenait non seulement le binaire malveillant (deux versions : Python et C++), mais aussi un panneau de contrôle (C2) et un canal de communication (un serveur Discord) pour coordonner les affiliés.

Fonctions et modules : l’arsenal d’un voleur d’informations

La richesse fonctionnelle d’Arkanix en faisait un véritable infostealer :

exfiltration d’informations système et de données stockées dans les navigateurs (historique, cookies, mots de passe) ;

vol de données issues d’applications de messagerie comme Telegram et de plateformes communautaires telles que Discord ;

compromission de clients VPN populaires (Mullvad, NordVPN, ExpressVPN, ProtonVPN) ;

extraction de fichiers depuis répertoires ciblés ;

modules additionnels téléchargeables depuis le panneau C2 : grabber Chrome, patcher de wallets (Exodus, Atomic), capture d’écran, HVNC (Hidden VNC), stealer pour FileZilla et Steam.

La version premium, écrite en C++, ajoutait le vol de credentials RDP et la collecte de données depuis des clients gaming (Steam, Epic Games, Ubisoft Connect). Des outils anti‑détection (sandbox/antidebugging) figuraient également parmi les modules, tout comme un outil baptisé ChromElevator visant à contourner la protection App‑Bound Encryption de Chrome.

Le rôle de l’intelligence artificielle dans le développement

Plus remarquable encore : l’analyse du code montre que l’auteur a utilisé l’IA pour accélérer le développement. Des modèles grand public de type chatbot ont été employés pour générer des portions de code, résoudre des problèmes d’intégration et écrire des scripts utiles au malware. Ce recours à l’IA pose un double défi : d’un côté il réduit la barrière technique d’entrée dans la création de malwares (des acteurs moins expérimentés peuvent obtenir des outils performants), de l’autre il permet de prototyper rapidement des fonctionnalités avancées, rendant les logiciels malveillants plus complexes en moins de temps.

Pourquoi Arkanix a‑t‑il disparu aussi vite ?

L’opération d’affiliation a été interrompue au bout d’environ deux mois, et la trace publique d’Arkanix s’est rapidement estompée. Plusieurs hypothèses peuvent expliquer cette disparition : pression interne (l’auteur a jugé le risque trop élevé), riposte des forces de l’ordre ou d’acteurs privés, ou encore défaillances techniques ou financières du service. Le fait que le code ait été néanmoins capturé et étudié par Kaspersky indique que l’impact réel peut avoir dépassé la courte durée d’activité apparente : même un outil éphémère peut avoir été exploité avec succès par des affiliés déterminés.

Les implications pour la sécurité et les défenses

Accessibilité accrue aux malwares : l’utilisation d’IA pour la génération de code facilite la montée en capacités d’acteurs malveillants peu expérimentés ;

Modularité et MaaS : la modularité d’Arkanix permet d’adapter l’outil à divers scénarios (cryptojacking, vol de credentials, fraude) et d’étendre rapidement ses capacités via des modules téléchargeables ;

Importance du renseignement et du partage : l’analyse publique par des firmes comme Kaspersky est cruciale pour permettre à l’écosystème (éditeurs, entreprises, CERT) de déployer des signatures, indicateurs de compromission (IoC) et contre‑mesures ;

Protection des wallets et services sensibles : l’existence de patchers de wallets et du vol de credentials VPN souligne la nécessité d’une vigilance renforcée pour tout ce qui touche aux accès et aux clés privées.

Mesures concrètes à adopter pour les entreprises et les utilisateurs

Renforcer la détection endpoint et la télémétrie réseau afin d’identifier comportements anormaux (exfiltration, connexions RDP inhabituelles, lancement d’outils HVNC) ;

Surveiller et durcir les accès aux clients VPN et aux gestionnaires de mots de passe ;

Mettre en place des politiques de least privilege et de segmentation réseau pour limiter la surface d’attaque ;

Former les équipes à la détection d’ingénierie sociale, vecteur principal d’injection initiale pour ce type de malwares ;

Collaborer avec des threat hunters et partager les IoC via les canaux CERT pour accélérer la prévention collective.

Un avertissement : l’IA au service du cybercrime

Arkanix Stealer est un exemple concret de la manière dont l’intelligence artificielle, déjà utilisée massivement pour des tâches bénéfiques, peut aussi accélérer et industrialiser la cybercriminalité. Même si ce malware particulier a connu une « vie courte », il marque une étape dans l’évolution des menaces : la normalisation du MaaS couplé à des outils d’IA crée un environnement où les capacités offensives se diffusent plus rapidement qu’auparavant. La réponse doit être technique, organisationnelle et collective : renforcement des défenses, meilleure régulation des outils d’IA potentiellement abusables et coopération internationale pour traquer les infrastructures criminelles.