Des pirates utilisent un script PowerShell généré par IA contre l’Active Directory
Début juin 2026, un cybercriminel a déployé un script PowerShell vibe-codé pour cartographier un annuaire Active Directory, avant que les données récoltées ne soient exfiltrées. L’entreprise de cybersécurité Huntress, qui a analysé l’incident, y voit un exemple concret de vibe coding appliqué à la cybercriminalité. Voici ce que l’on sait sur cet outil.
Un accès RDP, un script maison, et l’annuaire à nu
L’attaque décrite par Huntress remonte au 3 juin 2026, et sur le fond, elle n’a rien de révolutionnaire : une intrusion suivie d’un vol de données. Ce qui est intéressant dans cette attaque, c’est l’un des outils employés : un script PowerShell sur-mesure généré par IA.
Mais avant de parler de ce script en lui-même, prenons un moment pour regarder le déroulé de l’attaque et ainsi bien comprendre à quel moment il a été utilisé. Voici le chemin d’exploitation retracé par les chercheurs Jevon Ang et Dray Agha :
- L’attaquant établit une connexion RDP sur un serveur Windows joint au domaine, à l’aide d’identifiants préalablement compromis. D’après Huntress, le contexte suggère un accès initial obtenu via le VPN.
- Les outils sont déposés dans le répertoire , une zone de stockage courante pour ce type d’opération.
- Quelques minutes plus tard, le script est exécuté pour cartographier l’Active Directory. Notre fameux script PowerShell.
- L’attaquant a ensuite déployé , un outil légitime dédié aux opérations sur Amazon S3, que les pirates aiment bien détourner pour exfiltrer des données.
- Un outil d’énumération nommé et permettant d’identifier des partages réseau, est utilisé pour repérer d’autres espaces de stockage de données accessibles aux utilisateurs.
En s’appuyant sur l’Event ID 4104 du journal , qui conserve les blocs de scripts PowerShell exécutés (cette capacité de journalisation est activable nativement sur Windows), ils sont parvenus à accéder au code de script.
Ce script PowerShell cherche d’abord à identifier le contrôleur de domaine à l’aide d’un mécanisme de plusieurs techniques (DNS, , le module Active Directory, les variables d’environnement, puis une valeur codée en dur). Il enchaîne ensuite avec une collecte massive de données, exportant utilisateurs, ordinateurs, groupes, unités d’organisation et relations d’approbation vers une série de fichiers CSV. Puis, il génère enfin un rapport HTML mettant en évidence l’état de l’Active Directory (aucun exemple partagé). En l’état, ce script semble se concentrer uniquement sur l’énumération de l’annuaire.
Un script PowerShell généré par l’IA pour énumérer l’AD
Comment Huntress conclut-elle à une génération de ce script par une IA ? Plusieurs détails, disséminés dans le code, vont dans ce sens.
- Le titre lui-même : 100% Working AD Information Gathering Script – FULLY FIXED. Il évoque un aller-retour typique entre un utilisateur et un chatbot IA. L’utilisateur a probablement renvoyé les erreurs au modèle IA jusqu’à obtenir une version corrigée.
- Un nom de serveur d’exemple, laissé tel quel dans le bloc de code chargé de trouver le contrôleur de domaine. Selon Huntress, l’attaquant a copié-collé le code sans adapter cette variable.
- La sur-ingénierie du script, avec cinq méthodes distinctes pour localiser le contrôleur de domaine, là où un développeur humain en retiendrait certainement une ou deux. Ici, ça ratisse large.
- Un soin esthétique inhabituel, avec un affichage console coloré (cyan, vert, rouge, jaune) via des commandes , une manie fréquente des modèles cherchant à bien faire.

“Les LLM adorent embellir la sortie de la console (moi aussi, pour être honnête, mais je ne suis pas une IA). L’utilisation excessive des couleurs cyan, vert, rouge et jaune dans les sorties Write-Host est une caractéristique courante chez une IA qui cherche à se montrer « utile » à celui qui lui donne les instructions.”, expliquent les chercheurs.
Pour les défenseurs, ce type de script généré par une IA est par nature unique. Le script PowerShell n’avait jamais existé auparavant et ne sera sans doute jamais exécuté à l’identique, ce qui met en défaut les méthodes de détection par signature.
“L’IA peut modifier la syntaxe du code, mais elle ne peut pas facilement changer les mécanismes fondamentaux de l’énumération Active Directory.”, expliquent les chercheurs. Autrement dit, même si le code change, les interactions réelles avec le système resteront les mêmes.
Vous pouvez consulter le rapport d’Huntress pour obtenir des détails supplémentaires et notamment avoir accès à ce fameux script PowerShell.