C’era un tempo in cui un errore grammaticale in una mail di phishing, un pattern di codice ricorrente o una struttura stilistica riconoscibile permettevano agli analisti di risalire all’origine di un attacco. Quell’epoca sta finendo. Gli esperti del Global Research and Analysis Team (GReAT) di Kaspersky segnalano una trasformazione profonda nel modo in cui i cybercriminali operano: l’AI generativa sta eliminando sistematicamente le “impronte digitali” umane che per anni hanno supportato i processi di attribuzione.
Il codice scritto da un essere umano porta con sé tracce riconoscibili — scelte stilistiche, errori caratteristici, strutture ricorrenti. Il codice generato da un modello linguistico, invece, è neutro, standardizzato, privo di quei marcatori. Per gli analisti della sicurezza questo cambia radicalmente il punto di partenza delle indagini: infrastruttura, sovrapposizioni tra strumenti utilizzati e indicatori comportamentali diventano le nuove leve su cui fare affidamento, in assenza di elementi più diretti.
Malware scritto dall’AI: casi già documentati
Non si tratta di scenari futuri. I ricercatori di Kaspersky hanno già osservato forme concrete di sviluppo assistito dall’AI in campagne attive. Il gruppo FunkSec ha distribuito malware basato su Rust capace di sottrarre dati, crittografare informazioni e manipolare processi — con parti del codice generate da modelli linguistici. Nella campagna RevengeHotels del 2025, gli autori delle minacce hanno usato LLM per generare porzioni del codice di infezione e del downloader, riducendo i tempi di sviluppo e abbassando la soglia tecnica necessaria per operare.
La tendenza, secondo Kaspersky, è destinata ad accelerare. I modelli generativi sono già in grado di produrre parti sostanziali di malware — dalla struttura iniziale ai moduli funzionali — e possono riscrivere il codice in diversi linguaggi o architetture, sostituendo progressivamente i tradizionali strumenti di offuscamento. Come ha sottolineato Georgy Kucherin, Senior Security Researcher del GReAT: riducendo tempi e costi necessari per sviluppare e adattare strumenti dannosi, l’AI consente agli aggressori di iterare più rapidamente e ampliare la portata delle operazioni. I difensori devono prepararsi a cambiamenti più rapidi nelle tattiche.
Cinque tendenze da tenere sotto osservazione
Oltre all’attribuzione e allo sviluppo di malware, Kaspersky delinea altri quattro vettori in evoluzione. L’esfiltrazione dei dati attraverso servizi cloud e piattaforme legittime di file sharing sta diventando una tecnica sempre più diffusa per mimetizzare il traffico malevolo in quello ordinario, rendendo più difficile il rilevamento.
Le operazioni ransomware si stanno affinando: alcuni gruppi non si limitano più a crittografare i dati ma interrompono direttamente i processi produttivi e aziendali per aumentare la pressione sul pagamento del riscatto — un cambio di approccio che sposta il danno dal dato al business.
Sul fronte degli agenti AI, il rischio è sottile ma rilevante: queste soluzioni dispongono spesso di accesso ampio ai sistemi su cui operano. Se compromessi, gli aggressori potrebbero alterarne la configurazione o il prompt di sistema, trasformandoli in meccanismi di persistenza capaci di scaricare payload a ogni avvio senza destare sospetti.
