38 victimes revendiquées en un peu plus d’un an, un chiffrement hybride à résistance post-quantique, et une note de rançon qui menace de prévenir les régulateurs et d’alerter les concurrents de la victime. Repéré pour la première fois en mars 2025, AiLock se distingue moins par sa taille que par cette mécanique d’extorsion à trois étages, là où la plupart des opérateurs apparus depuis début 2025 s’en tiennent à la menace de publication. En un peu plus d’un an d’activité documentée, le groupe a revendiqué des victimes réparties sur trois continents, avec une concentration nette aux États-Unis.
Découvert en mars 2025, suivi seulement à partir de 2026
Zscaler ThreatLabz a été le premier à mentionner publiquement AiLock, en mars 2025, après avoir repéré une note de rançon inédite signée du groupe. À ce stade, ni les échantillons du malware ni le site de fuite n’étaient accessibles. La première analyse technique complète n’est arrivée qu’en juillet 2025, signée Huiseong Yang (S2W TALON), chercheur de la société sud-coréenne de cybersécurité S2W, à partir d’échantillons que S2W avait obtenus de son côté.
À cette date, cinq victimes seulement figuraient sur le site de fuite du groupe. La cadence s’est ensuite accélérée. Selon les données de ransomware.live relevées début juin 2026, AiLock comptait 38 victimes revendiquées, la première enregistrée le 3 mars 2026 et la plus récente le 4 juin 2026. Selon S2W, le groupe a par ailleurs relocalisé son infrastructure à plusieurs reprises depuis sa découverte, ouvrant de nouveaux sites de fuite.
Un chiffrement hybride ChaCha20 couplé à un algorithme post-quantique
L’analyse de Yang met en évidence un schéma de chiffrement atypique. Développé en C/C++, AiLock combine ChaCha20 et NTRUEncrypt256 : ChaCha20 chiffre le contenu des fichiers, tandis que NTRUEncrypt256 protège les métadonnées, à commencer par la clé ChaCha20 elle-même. NTRUEncrypt est un algorithme à résistance post-quantique, un choix peu courant dans les familles de ransomware analysées à ce jour.
La mise en œuvre exploite les IOCP (I/O Completion Ports) pour un traitement multithreadé qui accélère le chiffrement sur les systèmes multicœurs. Le ransomware lance deux types de threads en parallèle : un thread de parcours (Path Traversal Thread) qui identifie les fichiers à chiffrer et les transmet, et un thread de chiffrement (Encryption Thread) qui exécute l’opération, construit un pied de page de fichier et renomme l’extension. La stratégie varie selon la taille : chiffrement intégral en dessous de 100 Mo, partiel au-delà. Ce chiffrement partiel des gros fichiers, répandu dans les ransomwares récents, suffit à les rendre inutilisables tout en réduisant le temps d’exécution, donc la fenêtre de détection.
Le malware complique aussi son analyse statique. Ses chaînes de caractères sont obfusquées par une opération XOR à clé répétée de 8 octets, et toutes ses fonctions système sont résolues dynamiquement à l’exécution via LoadLibrary() et GetProcAddress(), plutôt qu’inscrites en clair dans le binaire. La configuration embarquée dans la section .data est elle-même chiffrée en ChaCha20 avec une clé et un nonce codés en dur ; un marqueur (DE AD BA BE / BA BE DE AD) et un hash SHA-256 de vérification en garantissent l’intégrité avant le démarrage du chiffrement.
À l’exécution, AiLock arrête les services et processus qui verrouillent des fichiers (via ControlService() et TerminateProcess()), vide la corbeille et crée un mutex nommé FAUST pour éviter les exécutions en double. Il remplace l’icône des fichiers chiffrés et le fond d’écran, puis dépose une note de rançon ReadMe.txt dans chaque répertoire touché. Plusieurs options de ligne de commande étendent son action : avec -del, il efface ses propres traces via une séquence ping 127.0.0.1 suivie d’une commande del ; en mode -full, il parcourt tous les lecteurs montés ; avec -shares, il résout les chemins des ressources réseau partagées via les API WNet et les chiffre également.
Trois leviers de pression : publication, régulateur, concurrent
La note de rançon d’AiLock (ReadMe.txt) structure explicitement ses menaces. Au-delà du chiffrement des systèmes et de l’exfiltration des données, le groupe annonce trois actions en cas de non-paiement : la publication des données sur le site de fuite, la notification à l’autorité de protection des données du pays concerné, et l’alerte aux concurrents de la victime par email et sur les réseaux sociaux. La note invoque explicitement les lois de protection des données personnelles (PDPL) de chaque pays, misant sur la crainte des sanctions réglementaires qu’entraînerait une violation déclarée.
Le chercheur en cybersécurité Graham Cluley en cite un extrait, traduit ici de l’anglais : « Chaque pays a ses propres réglementations PDPL (Personal Data Protection Law). Si vous ne trouvez pas d’accord avec nous, les informations concernant vos entreprises et les données de vos clients seront publiées sur internet, et l’autorité de protection des données personnelles du pays concerné en sera informée. »
Les délais sont courts : 72 heures pour entamer les négociations, 5 jours pour finaliser le paiement. Passés ces délais, le groupe menace de publier les données et de détruire les outils de récupération. En échange d’un paiement, il promet la confidentialité, des « journaux de suppression » (deletion logs) censés attester de l’effacement des données, et même des conseils en sécurité informatique, autant de promesses invérifiables.
Cette combinaison accroît la pression sur des organisations qui, autrement, pourraient se passer de la clé de déchiffrement grâce à leurs sauvegardes. Le levier réglementaire est surtout opérant face aux entités soumises au RGPD en Europe ou au CCPA (California Consumer Privacy Act) en Californie. C’est une variante de la double extorsion classique, à laquelle s’ajoutent deux canaux de pression externes plutôt que la seule menace de publication.
Des PME variées, une majorité de victimes américaines
Sur les 38 victimes revendiquées début juin 2026, la géographie est nettement déséquilibrée : 21 aux États-Unis, 3 au Royaume-Uni, 2 en Allemagne, 2 au Canada, le reste des victimes se répartissant entre les Pays-Bas, Taïwan, la Suisse, la Pologne, la Norvège, la Corée du Sud et la Chine. Les secteurs les plus touchés sont les services aux entreprises (9 victimes), la fabrication (7 victimes), les services aux consommateurs et la technologie (5 victimes chacun) et la construction (4 victimes).
Le profil des victimes affichées illustre cette diversité : l’entreprise suisse de menuiserie Schneebeli AG, le fabricant de technologies médicales de rééducation Restorative Therapies Inc., le fabricant taïwanais de mobilier ergonomique Artso International, Accretech America Inc. (filiale américaine de Tokyo Seimitsu), mais aussi un cabinet de juristes américain (Aaronson Rappaport Feinstein & Deutsch), un opérateur de télécommunications régional (Eeyou Communications Network), un distributeur de produits de santé animale (Revival Animal Health) ou un producteur alimentaire (Raw Seafoods).
L’incident ayant reçu le plus d’écho médiatique reste la revendication contre England Hockey en mars 2026, couverte notamment par BleepingComputer. AiLock a affirmé avoir exfiltré 129 Go de données de l’organisation, responsable de la gouvernance du hockey sur gazon en Angleterre (plus de 800 clubs, environ 150 000 joueurs licenciés, 15 000 entraîneurs, arbitres et officiels). England Hockey a confirmé mener une enquête avec des spécialistes externes et en coopération avec les autorités, sans confirmer à ce stade l’exfiltration effective des données.
Un modèle RaaS adossé à un blanchiment en peel chain
AiLock se présente comme une opération RaaS (Ransomware-as-a-Service) et recrute des affiliés chargés du déploiement du malware en échange d’une part des rançons. Le groupe se commercialise comme « IA-assisté » (AI-assisted), sans qu’aucune analyse technique publiée à ce jour ne précise en quoi consiste cette composante dans les opérations ou dans le malware lui-même.
En octobre 2025, TRM Labs, spécialiste de l’analyse blockchain appliquée à la criminalité financière, a documenté les flux financiers du groupe. AiLock recourt à un schéma dit de « peel chain », où les fonds reçus sont transférés par petites fractions successives pour brouiller leur traçabilité. La majeure partie est acheminée vers le mélangeur Bitcoin Wasabi, une fraction plus modeste transitant par FixedFloat, une plateforme d’échange non-dépositaire à risque élevé. Les fonds sont ensuite fréquemment convertis en Monero avant de poursuivre leur circuit.
Le recours à Wasabi et à Monero est cohérent avec les pratiques d’autres opérateurs cherchant à compliquer le traçage par les enquêteurs, à l’image de groupes établis comme Qilin.
Indicateurs de compromission et détection
Yang a publié les indicateurs de compromission (IOC) et des règles YARA associées à AiLock. Les empreintes du binaire analysé sont le MD5 2a728d98ae8280efeaa674783181f3fa et le SHA-256 3c7c91cd4dc336db8082e07ab7549556f05d80acbc778afc2dade67c02002f69 ; la liste complète et les règles de détection sont disponibles sur le dépôt GitHub de S2W TALON.
Côté comportement, plusieurs signatures trahissent une exécution AiLock : l’extension .AiLock appliquée aux fichiers chiffrés, la note ReadMe.txt déposée dans chaque répertoire, le mutex FAUST, la modification de la clé de registre HKCR/.AiLock/DefaultIcon (icône de cadenas vert) et des clés HKCU/Control Panel/Desktop relatives au fond d’écran. S’y ajoutent l’arrêt de services via ControlService() et TerminateProcess(), le vidage de la corbeille, et les appels aux API GetLogicalDrives() et WNet pour la propagation réseau.
Le mutex FAUST mérite une remarque : c’est le même terme qu’emploie une variante du ransomware Phobos. Yang n’établit toutefois aucun lien de filiation entre AiLock et la famille Phobos, et il s’agit vraisemblablement d’une coïncidence de nommage. Côté MITRE ATT&CK, les techniques documentées incluent T1059.003 (Windows Command Shell), T1134.001 (Token Impersonation/Theft), T1027 (Obfuscated Files or Information), T1480 (Execution Guardrails), T1082 (System Information Discovery), T1135 (Network Share Discovery), T1486 (Data Encrypted for Impact) et T1489 (Service Stop).
Réduire l’exposition face aux tactiques d’AiLock
Aucun vecteur d’accès initial n’est confirmé pour AiLock, mais ses leviers de pression dictent les priorités de défense. L’accès distant constitue la première barrière : restreindre l’exposition de RDP et des VPN, fermer les ports inutiles et imposer l’authentification multifacteur (MFA) ferme la porte d’entrée la plus probable des opérateurs RaaS.
Des sauvegardes hors réseau ou immuables désamorcent la menace centrale du groupe : sans capacité à détruire les outils de récupération, l’extorsion perd son principal point d’appui, et avec lui l’essentiel du pouvoir de négociation de l’attaquant. La propagation d’AiLock aux partages réseau rend par ailleurs la segmentation et la restriction des droits d’accès déterminantes pour contenir une infection.
Côté détection, les empreintes, le mutex FAUST et les règles YARA de Yang alimentent les outils EDR et SIEM, à condition de récupérer les indicateurs à jour sur le dépôt du groupe de recherche.
Reste l’angle réglementaire, le plus spécifique à AiLock. Il pèse d’autant plus que l’organisation ignore ses propres obligations : savoir à l’avance quelle autorité notifier, et dans quel délai, retire à l’attaquant une partie de son emprise. En Europe, le RGPD impose de notifier l’autorité compétente dans les 72 heures suivant la découverte de la violation, soit le délai même qu’AiLock laisse pour la négociation.
Un groupe encore jeune, mais régulier
Avec 38 victimes revendiquées en un peu plus d’un an (ransomware.live, juin 2026), AiLock reste un opérateur de taille modeste face aux groupes dominants du secteur, mais sa trajectoire est régulière. IronGate Security a relevé une hausse sensible des incidents AiLock au premier trimestre 2026, et la cadence de revendications confirme une activité continue depuis mars 2026, avec des victimes identifiées chaque mois.
Le point à surveiller reste l’angle réglementaire de l’extorsion. Là où la plupart des opérateurs s’en tiennent à la menace de publication des données, AiLock fait de la notification aux régulateurs et de l’alerte aux concurrents un axe central de sa communication, dont l’efficacité réelle sur les victimes n’est pas documentée publiquement. TRM Labs cite le groupe parmi les opérateurs émergents à surveiller. À ce stade, AiLock se présente comme un opérateur cybercriminel à motivation financière, structuré en modèle RaaS avec recrutement d’affiliés, dans la même lignée que d’autres entrants récents comme The Gentlemen ou NightSpire, dont la trajectoire paraît reposer davantage sur la méthode que sur le volume. Pour l’heure, c’est moins son volume que sa façon de transformer la conformité réglementaire de ses victimes en levier de chantage qui fait d’AiLock un cas à suivre.
Sources :
S2W BLOG (Medium) : Detailed Analysis of AiLock Ransomware
Zscaler : Zscaler CXO Monthly Roundup | March 2025
BleepingComputer : England Hockey investigating ransomware data breach
Fortra : AiLock ransomware: What you need to know
Ransomware.live : AiLock group profile
TRM Labs : Nine Emerging Groups Shaping the Ransomware Landscape
IronGate Security : AiLock Ransomware
