L'intelligenza artificiale sta rivoluzionando il panorama della cybersecurity, trasformandosi contemporaneamente in uno strumento potente per i difensori e in un'arma sofisticata nelle mani degli attaccanti. Nel 2025, il Google Threat Intelligence Group ha identificato un cambiamento significativo: gli avversari non utilizzano più l'IA solo per aumentare la produttività, ma stanno distribuendo malware innovativi abilitati dall'IA in operazioni attive, segnando una nuova fase dell'abuso dell'intelligenza artificiale.
L'Evoluzione delle Tecniche di Offuscamento Potenziata dall'IA
I malware offuscati, progettati appositamente per eludere il rilevamento, rappresentano una delle sfide più complesse per i sistemi di sicurezza informatica. Tradizionalmente, gli attaccanti hanno utilizzato tecniche come il packing, il polimorfismo per nascondere le proprie tracce e eludere i sistemi di sicurezza. Tuttavia, l'integrazione dell'intelligenza artificiale ha portato queste tecniche a un livello del tutto nuovo.
Le tecniche di evasione intelligenti stanno diventando sempre più sofisticate. Gli attaccanti possono ora utilizzare l'apprendimento automatico per sviluppare e implementare tecniche di offuscamento avanzate basate sui dati delle campagne precedenti e sull'analisi degli strumenti di sicurezza. Il malware potenziato dall'IA può adattarsi all'ambiente in cui viene eseguito, sfruttando le vulnerabilità o mascherandosi come elementi affidabili del sistema, grazie all'apprendimento di informazioni contestuali.
Malware Autonomo: La Prossima Generazione di Minacce
Con il supporto dell'intelligenza artificiale, la nuova generazione di malware sta diventando più intelligente e capace di operare in modo autonomo. È ragionevole aspettarsi che, nel prossimo futuro, i malware abbiano consapevolezza dell'ambiente in cui vengano rilasciati e prendano decisioni mirate su cosa fare in base alla situazione.
Un malware autonomo potrebbe propagarsi basandosi su una sequenza di decisioni personalizzate in base ai parametri del sistema vittima e al comportamento degli utenti. Questo tipo di malware non si comporterebbe in modo diverso dagli algoritmi di predizione, oggi impiegati in molti settori. Esattamente come questi algoritmi sfruttano i dati acquisiti per migliorare le predizioni, il malware potrebbe scegliere tecniche di movimento laterale in base al proprio ambiente: a seconda delle vulnerabilità rilevate, potrebbe passare al brute-force delle credenziali o persino installare un keylogger per catturare le credenziali.
L'IA contro l'IA
Le tecniche di intelligenza artificiale, in particolare il machine learning e il deep learning, svolgono un ruolo cruciale nel rilevamento del malware, esaminando una vastità di dati per individuare pattern difficili da rilevare per gli esseri umani. Tecniche come le Support Vector Machines (SVM) eccellono nell'identificazione dei pattern del malware offuscato grazie a confini decisionali complessi. Algoritmi come il C4.5 utilizzano il guadagno di informazioni per classificare il codice offuscato, mentre il Random Forest aggrega più alberi decisionali per una maggiore accuratezza.
Le reti neurali, in particolare le Convolutional Neural Networks (CNN), sono tra le più diffuse nel rilevamento del malware. I primi strati di una CNN sono responsabili dell'identificazione delle caratteristiche di basso livello del malware, mentre gli strati di convoluzione successivi combinano tali caratteristiche in una rappresentazione più completa del malware. L'analisi rivela che le reti neurali sono il modello più frequentemente impiegato, rappresentando la porzione più grande, pari al 33% degli approcci, seguita dall'ensemble learning al 20%.
Le tecniche di deep learning sono state ampiamente applicate per rilevare malware offuscati, con molti approcci che combinano reti neurali convoluzionali e metodi basati sulla visualizzazione per identificare i pattern nel comportamento del malware. I modelli sono comunemente addestrati su caratteristiche come le chiamate API, gli attributi dei file XML e le chiamate di sistema e sfruttano tali indicatori per riconoscere l'offuscamento.
Altre tecniche, come la memory forensics, consentono invece di effettuare l'analisi in tempo reale della memoria volatile di un sistema, notoriamente difficile da preservare durante l'analisi di una scena del crimine virtuale, e al tempo stesso cruciale per ricostruire gli eventi. I ricercatori hanno sfruttato caratteristiche della memoria virtuale per sventare tentativi di offuscamento statico, ad esempio la crittografia.
Gli strumenti avanzati come Volatility, insieme a plugin come Rekall e imgmalfind, possono essere utilizzati per rilevare pagine di memoria modificate e individuare esatte modifiche malevole e aree di memoria nascoste. Questi strumenti sono particolarmente utili in scenari in cui il malware impiega memoria condivisa per eludere il rilevamento, migliorando così la capacità di rilevare il malware offuscato. La raccolta di più dump di memoria nel tempo può facilitare un'analisi completa e migliorare l'accuratezza del rilevamento dei processi malevoli.
Il Panorama delle Minacce
L'Europa rappresenta un obiettivo primario per gli attori eCrime, probabilmente a causa della redditività relativa delle entità europee, del quadro normativo della regione e delle motivazioni politiche degli attori eCrime. Secondo i dati dei siti di leak dedicati, dal 1° gennaio 2024, gli attori di minaccia BGH (Big Game Hunting) hanno nominato circa 2.100 vittime europee su più di 100 siti di estorsione di dati e ransomware.
Il Regno Unito, la Germania, l'Italia, la Francia e la Spagna sono stati i paesi europei più colpiti. Questi paesi rappresentano le più grandi economie europee, escludendo la Russia. Tra gennaio 2024 e settembre 2025, i settori più colpiti sono stati la produzione, i servizi professionali, la tecnologia, l'ingegneria industriale e il commercio al dettaglio.
Gli attori di minaccia sponsorizzati dallo Stato provenienti dalla Corea del Nord, dall'Iran e dalla Repubblica Popolare Cinese continuano a utilizzare in modo improprio gli strumenti di IA generativa, inclusi Gemini, per migliorare tutte le fasi delle loro operazioni, dalla ricognizione e creazione di esche di phishing allo sviluppo di C&C ed esfiltrazione di dati. Questa tendenza sottolinea come l'intelligenza artificiale stia diventando uno strumento standard nell'arsenale degli attori di minaccia di stato-nazione.
Oltre all'abuso di strumenti e servizi abilitati dall'IA esistenti in tutto il settore, c'è un crescente interesse e un mercato per strumenti e servizi di IA progettati appositamente per abilitare attività illecite. Nel 2025, il mercato del crimine informatico per strumenti abilitati dall'IA si è maturato, con il GTIG che ha identificato molteplici offerte di strumenti multifunzionali progettati per supportare le fasi del ciclo di vita dell'attacco.
Gli strumenti e i servizi offerti tramite forum sotterranei possono consentire ad attori di basso livello di aumentare la frequenza, la portata, l'efficacia e la complessità delle loro intrusioni nonostante la loro limitata competenza tecnica e le risorse finanziarie. Quasi ogni strumento notevole pubblicizzato nei forum sotterranei ha menzionato la sua capacità di sostenere campagne di phishing. I modelli di prezzo per i servizi di IA illeciti riflettono anche quelli degli strumenti convenzionali, con molti sviluppatori che inseriscono pubblicità nella versione gratuita dei propri servizi e offrono abbonamenti per aggiungere funzionalità tecniche più avanzate.
Raccomandazioni per la Difesa
Per contrastare efficacemente le minacce potenziate dall'intelligenza artificiale, le organizzazioni dovrebbero adottare un approccio multilivello. L'adozione di agenti IA per scalare le operazioni di sicurezza è fondamentale. Man mano che gli attori di minaccia adottano l'IA per colpire più rapidamente, scalare le operazioni ed eludere il rilevamento, i difensori affrontano una pressione crescente per tenere il passo. I team di sicurezza dovrebbero operazionalizzare l'IA agentica, agenti specializzati capaci di ragionare, adattarsi e agire all'interno di guardrail definiti e politiche organizzative.
La protezione dell'intero ecosistema delle identità è essenziale, poiché gli avversari mirano sempre più alle identità utilizzando il furto di credenziali, il bypass dell'autenticazione a più fattori e l'ingegneria sociale. Le organizzazioni dovrebbero adottare soluzioni di autenticazione a più fattori resistenti al phishing, come chiavi di sicurezza hardware, per prevenire l'accesso non autorizzato.
L'eliminazione dei gap di visibilità tra domini è cruciale. Le soluzioni come i SIEM di nuova generazione forniscono visibilità unificata su endpoint, reti, ambienti cloud e sistemi di identità, consentendo agli analisti di correlare comportamenti sospetti e di vedere il percorso completo dell’attacco. Il triage e le indagini potenziate dall'IA agentica possono estendere queste capacità, analizzando autonomamente i segnali all'interno dei rispettivi domini per far emergere insight ad alta fedeltà e dare priorità alle minacce reali.
Conclusione
L'intelligenza artificiale sta trasformando radicalmente il panorama della cybersecurity, fungendo sia da potente strumento difensivo sia da sofisticata arma offensiva. L'emergere del malware potenziato dall'IA, capace di auto-modificarsi e operare autonomamente, rappresenta un cambiamento paradigmatico nella natura delle minacce informatiche. Mentre le tecniche tradizionali di rilevamento continuano a evolversi, l'integrazione dell'intelligenza artificiale, del machine learning e di tecnologie emergenti, come i digital twins, offre nuove opportunità per contrastare queste minacce avanzate.
Tuttavia, la corsa agli armamenti tra attaccanti e difensori continua senza sosta. Gli attaccanti sfruttano l'IA per creare malware sempre più sofisticati e difficili da rilevare, mentre i difensori devono costantemente innovare e adattare le proprie strategie. La memory forensics, spesso sottovalutata, emerge come un'area cruciale per l'analisi in tempo reale e il rilevamento del malware offuscato avanzato. L'approccio ibrido, che combina i punti di forza di varie metodologie, si rivela una soluzione robusta per il rilevamento del malware offuscato.
Il futuro della cybersecurity richiederà non solo tecnologie avanzate, ma anche una comprensione profonda delle capacità e delle limitazioni dell'intelligenza artificiale. Le organizzazioni devono investire in soluzioni scalabili e sostenibili, bilanciando prestazioni ed efficienza. La collaborazione tra ricercatori, professionisti della sicurezza e sviluppatori di IA sarà essenziale per affrontare le sfide emergenti e garantire un ambiente digitale sicuro per tutti. Solo attraverso un approccio olistico, che integri tecnologia avanzata, intelligence sulle minacce e formazione continua, sarà possibile contrastare efficacemente le minacce informatiche potenziate dall'intelligenza artificiale nel panorama della sicurezza digitale in rapida evoluzione.
