Il Threat Intelligence Group di Google (GTIG) ha pubblicato il 5 novembre 2025 un nuovo rapporto, da cui emerge la scoperta di cinque famiglie di AI-driven malware che sfruttano gli LLM in esecuzione.

Si tratta di un cambiamento significativo nel panorama della criminalità informatica, anche dopo il caso HexStrike. Infatti, gli autori degli attacchi non utilizzano più l’intelligenza artificiale esclusivamente per incrementare la produttività, ma stanno ora impiegando direttamente malware AI-driven ovvero basati sull’IA nelle operazioni attive.

“Da tempo si sapeva che un certo tipo di criminalità aveva ben capito come utilizzare l’IA”, commenta Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity: “L’automazione delle piattaforme ransomware è ormai un dato di fatto. La scoperta di questa tipologia di malware è una prevedibile evoluzione della specie“.

Ecco qual è il nuovo salto di qualità delle minacce e come mitigare i rischi per aziende e PMI, sapendo che “Google conferma quello che nel settore sappiamo da mesi ma che molti fingono di ignorare – aggiunge Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0 -: l’AI è già nelle mani degli attaccanti e non per scrivere phishing più carini, ma per generare malware che si adatta, si offusca e impara“.

Il report di Google sui malware AI-driven

Il rapporto, dal titolo AI Threat Tracker: Advances in Threat Actor Usage of AI Tools del GTIG (progressi nell’uso degli strumenti di IA da parte degli autori delle minacce, ndr), evidenzia come i gruppi criminali e quelli sponsorizzati dallo Stato stiano sfruttando modelli linguistici di grandi dimensioni come Gemini ed altri sistemi disponibili al pubblico per automatizzare, adattare ed ampliare gli attacchi durante l’intero ciclo di vita.

Per la prima volta, i ricercatori di Google hanno identificato famiglie di malware, tra cui PromptFlux, PromptSteal e PromptLock, che integrano l’intelligenza artificiale durante l’esecuzione per generare dinamicamente codice malevolo e nascondere il proprio comportamento.

Sono famiglie di malware che sfruttano gli LLM, modelli linguistici di grandi dimensioni, durante l’esecuzione.

Secondo il report di Google, sono strumenti che “generano dinamicamente script malevoli, offuscano il proprio codice per eludere il rilevamento e sfruttano modelli di IA per creare funzioni dannose su richiesta, anziché codificarle in modo rigido nel malware. Sebbene sia ancora agli albori, ciò rappresenta un passo significativo verso un malware più autonomo e adattivo”.

PromptFlux e PromptSteal: cosa sappiamo degli AI-driven malware

Per esempio, PromptFlux interagisce con l’interfaccia di programmazione dell’applicazione Gemini per riscrivere il proprio VBScript ogni ora, creando un “robot pensante” in continua evoluzione che muta continuamente per evitare il rilevamento da parte degli antivirus.

PromptSteal, utilizzato dal gruppo di minaccia APT28 legato alla Russia, interroga i modelli linguistici open source su Hugging Face per generare comandi Windows che raccolgono file e dati di sistema prima dell’esfiltrazione.

I rischi cyber degli attacchi AI just-in-time

Il rapporto afferma che l’aumento degli attacchi AI “just-in-time” rappresenta una nuova pietra miliare nell’uso ostile dei modelli generativi e segna un passo avanti verso malware autonomi e auto-modificabili.

Secondo i ricercatori, sebbene molti esempi rimangano sperimentali, questa tendenza indica che presto gli aggressori combineranno il ragionamento AI e l’automazione per superare le difese tradizionali.

“Mentre le aziende discutono di ‘policy etiche sull’AI’, i criminali la stanno già addestrando sul campo. La vera domanda non è se l’AI verrà usata per attaccare, ma quanto in ritardo arriveranno le nostre difese”, mette in guardia Sandro Sana.

Il social engineering per bypassarre le misure dell’AI

Un altro motivo di preoccupazione sollevato nel rapporto è il social engineering finalizzato ad aggirare le misure di sicurezza dell’IA.

Alcuni attori malevoli provenienti dall’Iran e, presumibilmente, dalla Cina si sono finti studenti, ricercatori o partecipanti a concorsi di sicurezza informatica “capture-the-flag”, per indurre Gemini a fornire dati riservati su vulnerabilità o sfruttamenti.

In un caso, MuddyCoast, avente il sostegno dell’Iran, ha accidentalmente rivelato la propria infrastruttura di comando e controllo mentre utilizzava Gemini per eseguire il debug di uno script malware, un errore che ha permesso a Google di smantellare le sue operazioni.

Il mercato delle minacce via AI

Anche l’economia sommersa degli strumenti di hacking basati sull’intelligenza artificiale è maturata rapidamente.

I ricercatori hanno scoperto decine di offerte multifunzionali pubblicizzate in forum in lingua inglese e russa, che vendono funzionalità quali la generazione di email di phishing, la creazione di deepfake e lo sviluppo automatizzato di malware.

Analogamente alle offerte di software-as-a-service (Saas), gli strumenti sono offerti tramite modelli di abbonamento, riducendo così il costo di ingresso.

I gruppi sponsorizzati dallo Stato sono risultati essere i più prolifici utilizzatori. Masan e Pukchong della Corea del Nord hanno utilizzato Gemini per campagne di furto di criptovalute e sviluppo di exploit, mentre APT42 dell’Iran ha sperimentato un “agente di elaborazione dati” che trasformava le richieste in linguaggio naturale in query Sql per estrarre informazioni personali.

Come mitigare i rischi legati ai malware AI-driven

Google afferma di aver disattivato gli account e le risorse associate a queste attività malevole e di aver utilizzato le informazioni raccolte per rafforzare i propri modelli e classificatori contro ulteriori abusi.

“Il potenziale dell’IA, in particolare dell’IA generativa, è immenso”, conclude il rapporto: “Con il progredire dell’innovazione, il settore ha bisogno di standard di sicurezza per sviluppare e implementare l’IA in modo responsabile”.

“In combinazione con i recenti rapporti di Anthropic sull’uso di Claude da parte degli aggressori e di OpenAI sull’uso di ChatGPT, il rapporto odierno di GTIG conferma che gli aggressori stanno sfruttando l’IA per aumentare la loro produttività e sofisticazione”, ha dichiarato Evan Powell, amministratore delegato della piattaforma di difesa informatica DeepTempo, a SiliconAngle.

“La produttività degli hacker sta aumentando rapidamente, con altri rapporti come quello di Anthropic che dimostrano che stanno persino pianificando ed eseguendo intere campagne con una velocità e un’intelligenza che gli esseri umani non possono eguagliare”.

“Adesso si tratta di capire se anche sul fronte dei ‘buoni’ siamo capaci di evolverci con analoga rapidità“, mette in evidenza Curioni.

Saif per mitigare i rischi legati al MUAI

Per affrontare il rischio crescente, legato al MUAI (Malicious use of AI ovvero l’utilizzo malevolo dell’AI), Google offre Secure AI Framework (Saif), un progetto fondamentale volto ad aiutare le organizzazioni a progettare, costruire e implementare sistemi di IA in modo responsabile.

SAIF funge da guida sia tecnica che etica per stabilire principi di sicurezza che abbracciano l’intero ciclo di vita dell’IA, dalla raccolta dei dati e l’addestramento dei modelli all’implementazione e al monitoraggio.

Ma “il futuro non è ‘AI contro umani’, ma ‘AI contro AI’. Chi pensa di difendersi con le stesse strategie del 2020 ha già perso, solo che non se n’è accorto ancora”, conclude Sandro Sana.