Plus de 2 millions d’Européens piégés par de fausses publicités IA sur Facebook et LinkedIn

Créer des vidéos IA bluffantes à partir d’un simple prompt ? Sur Facebook et LinkedIn, les publicités le promettent avec des visuels léchés et des noms bien connus : Luma AI, Canva Dream Lab, Kling AI. Mais derrière cette vitrine séduisante, c’est un tout autre décor qui se cache : un véritable traquenard numérique, orchestré depuis le Vietnam.

Le groupe UNC6032, un collectif de pirates vietnamiens, est à la manœuvre. Selon les analyses publiées par Mandiant, la filiale cybersécurité de Google, cette campagne de malvertising a déjà ciblé plus de 2,3 millions d’internautes européens, rien que sur Facebook. LinkedIn est également concerné, bien que dans une moindre mesure.

Les hackers imitent parfaitement les interfaces des outils IA populaires. L’internaute curieux pense générer une vidéo et patiente devant une barre de chargement bien connue. Puis vient l’instant clé : un bouton « Télécharger la vidéo » s’affiche. Mais le fichier ZIP téléchargé cache en réalité un exécutable malveillant, aux extensions camouflées avec des caractères Braille invisibles. Une astuce qui déjoue facilement la vigilance, même des utilisateurs avertis. Une fois ouvert, le logiciel malveillant s’installe discrètement dans le système. Dans un premier temps, il copie ses outils dans un dossier système, puis les active au redémarrage.

Parmi les logiciels embarqués :

• FROSTRIFT, qui vise 48 extensions de navigateur liées aux crypto-monnaies,
• XWORM, un enregistreur de frappes clavier,
• GRIMPULL, qui utilise le réseau Tor et l’API Telegram pour exfiltrer les données en toute discrétion.

La force de cette campagne réside dans son agilité. Comme le souligne Mandiant dans son rapport, UNC6032 ,le groupe des hackers crée quotidiennement de nouveaux noms de domaine frauduleux, renouvelle ses publicités, et adapte ses visuels pour éviter toute détection automatique. Au total, ce sont des milliers de publicités malveillantes qui ont été diffusées depuis fin 2024, principalement sur Facebook.



Leur diffusion est massive, mais aussi extrêmement ciblée. D’après Mandiant, les pirates s’appuient sur une « logique d’optimisation algorithmique » pour diffuser leurs pubs aux profils les plus susceptibles de cliquer : développeurs, créatifs, étudiants, professionnels du numérique. Et le succès est là : certains domaines frauduleux ont enregistré jusqu’à 10 000 clics uniques en une seule journée.

Ces malwares (logiciels malveillants ) s'inscrivent dans une mutation profonde de la menace numérique : des attaques toujours plus ciblées, crédibles et adaptatives, qui exploitent à la fois l’attrait pour l’innovation et les failles de vigilance.

Comment se prémunir ?

Face à ce type de menace, la prudence est la meilleure protection:

• Évitez de cliquer sur les publicités, même si elles semblent légitimes.
• Tapez directement l’URL du service dans votre navigateur.
• Méfiez-vous des fichiers compressés (ZIP) contenant des exécutables, même s’ils viennent de sources apparemment fiables.
• Utilisez un antivirus à jour et activez les protections de votre navigateur.

Mandiant assure coopérer avec Meta et LinkedIn pour démanteler l’infrastructure du groupe des pirates UNC6032. Mais les plateformes sont confrontées à une criminalité numérique de plus en plus fluide et organisée, capable d’adapter ses tactiques en temps réel.