L’AI accelera attacchi, ransomware e attività APT, riducendo la finestra di difesa e trasformando identità, edge e supply chain in bersagli critici.
Autore: Redazione SecurityOpenLab
L’ultima edizione del Global Threat Report di CrowdStrike certifica che il 2025 è stato l’anno dell’evasione a velocità di macchina: gli attacchi che sfruttano l’AI sono aumentati dell’89% anno su anno, mentre il breakout time medio è sceso a 29 minuti, con un record di 27 secondi tra compromissione iniziale e movimento laterale. Due numeri che raccontano meglio di qualsiasi slogan come l’AI sia diventata al tempo stesso acceleratore e bersaglio, imponendo ai team di sicurezza un cambio di passo radicale nella capacità di osservare, correlare e reagire in tempi sempre più compressi.
Il dato sul breakout time è il segnale più chiaro di come stia cambiando la dinamica delle intrusioni: in cinque anni il tempo medio che separa l’accesso iniziale dall’espansione dell’attacco si è ridotto di circa il 70%. In casi estremi, come evidenzia CrowdStrike, il tempo tra il primo foothold e l’avvio dell’esfiltrazione dati è sceso a quattro minuti, lasciando ai difensori uno spazio di manovra pressoché simbolico se i controlli non sono altamente automatizzati e profondamente integrati. “Il grande salto è iniziato quando sono emersi gli access broker e il furto di identità è diventato un modello industriale”, ha spiegato a SecurityOpenLab Luca Nilo Livrieri, senior director sales engineering southern Europe di CrowdStrike: “spesso gli attaccanti entrano con le chiavi di casa, quindi l’iniziale riduzione del breakout time è figlia dell’abuso di identità legittime; l’AI sta comprimendo ulteriormente i tempi perché automatizza la ricognizione iniziale, il dumping di credenziali, l’escalation di privilegi e la cancellazione delle evidenze”.
Questo salto è dovuto in gran parte all’uso sistematico di AI e automazione per orchestrare ricognizione, movimenti laterali e sfruttamento delle credenziali, oltre che per ridurre gli errori operativi degli attaccanti meno sofisticati.
Anche per questo, il report descrive il 2025 come l’inizio dell’era dell’AI adversary: chi integra l’AI negli attacchi ha incrementato il volume di attività dell’89% rispetto al 2024, grazie ai modelli generativi per la scrittura di codice, l’automatizzazione delle fasi di ricognizione, la generazione di payload, la gestione di infrastrutture e l’ottimizzazione delle campagne di social engineering. “Già oggi vediamo che tutta la fase di accesso iniziale e di conoscenza dell’ambiente è fortemente automatizzata”, osserva Livrieri, “e si sta andando verso quello che nel report chiamiamo agentic adversary, cioè un avversario che usa gli agent AI per rendere l’attacco il più possibile autonomo, con il cyber criminale che resta nel loop solo per le decisioni critiche”.
Stando ai dati analizzati da CrowdStrike, l’AI si è rivelata uno strumento rilevante più che altro per gli attaccanti di fascia intermedia, che non dispongono di grandi team di sviluppo ma possono colmare parte del gap tecnico delegando all’AI. CrowdStrike sottolinea, però, che questa scorciatoia espone i criminali meno esperti a errori operativi: la mancanza di capacità per validare l’output dei modelli porta talvolta a campagne rumorose, bug nei loader e tracce forensi più evidenti, che possono essere sfruttate in analisi post‑incident. “L’AI oggi è un supporto, un’arma in più in mano all’attaccante, ma non elimina l’errore umano”, spiega Livrieri: “molti sbagli avvengono proprio nella parte agentic, cioè negli strumenti che orchestrano i flussi. Nella creazione di contenuti o nella ricognizione, invece, l’AI è già molto forte e riduce parecchio lo sforzo manuale del criminale”.
Un altro aspetto da monitorare è la crescita di attacchi malware-free: nel 2025 l’82% delle rilevazioni osservate da CrowdStrike è risultato privo di malware, contro il 51% del 2020. Significa che gli attaccanti preferiscono sfruttare identità legittime, strumenti nativi e flussi di autenticazione approvati, con un approccio che consente di passare indenne ai controlli tradizionali e che sposta il baricentro della detection dalla firma al comportamento e dalla singola macchina al contesto complessivo di identità, cloud, SaaS e infrastrutture virtualizzate. “L’82% di detection malware‑free indica che, nella maggior parte dei casi, l’attaccante entra con credenziali legittime già ottenute o acquistate”, ribadisce Livrieri: “quello che vediamo sono interactive intrusion, cioè operatori che agiscono con strumenti legittimi e, sempre più spesso, con script generati o supportati da AI: la parte hands‑on‑keyboard non è più davvero manuale al 100%”.
Uno degli elementi più interessanti è la normalizzazione dell’uso di modelli commerciali e self‑hosted all’interno dei forum frequentati da cybercrime e APT. I nomi che circolano con maggiore frequenza sono quelli dei grandi modelli generali e degli assistenti di coding: Chatgpt, Gemini, Claude, Grok e la famiglia Deepseek, con questi ultimi particolarmente apprezzati per le opzioni di self‑hosting e il minore livello di vincoli percepiti. Esistono anche modelli apertamente orientati al cybercrime, come Wormgpt, che hanno fornito template di cifratura riutilizzati in varianti ransomware quali Funklocker e Ralord. A tale riguardo Livrieri ricorda uno degli esempi più chiari di integrazione profonda fra LLM e tool di attacco: “nel caso del malware Lamehug attribuito all’APT russo Fancy Bear, erano già inclusi i prompt progettati per implementare funzionalità di ricognizione e raccolta di documenti; questo rendeva il malware molto più rapido ed efficace una volta scaricato, perché demandava al modello la generazione dei comandi da eseguire sul sistema bersaglio”.
Nel mondo eCrime, gruppi come Punk Spider e Odyssey Spider hanno adottato un modello operativo ibrido in cui script generati via AI vengono utilizzati per attività mirate post‑exploitation. Punk Spider, per esempio, ha sfruttato script creati con Gemini e DeepSeek per automatizzare il credential dumping da database di backup Veeam e per terminare servizi di database allo scopo di distruggere evidenze forensi e agevolare l’esecuzione del ransomware Akira. Un ulteriore scenario è quello in cui gli attaccanti sfruttano l’AI residente nelle infrastrutture delle vittime. CrowdStrike documenta un attacco in cui pacchetti malevoli su Node Package Manager sono stati progettati per utilizzare gli stessi strumenti AI da riga di comando presenti sugli host delle vittime per generare comandi finalizzati al furto di credenziali e asset in criptovaluta. “In un caso abbiamo visto un attaccante che, dopo aver ottenuto credenziali esposte su Github, ha provato a invocare un modello di Anthropic in sette regioni cloud diverse, proprio usando l’AI in casa della vittima per orchestrare i comandi successivi. È la dimostrazione che l’AI non è solo un tool esterno, ma entra a pieno titolo nel playbook tecnico dell’attaccante” conclude Livrieri.
Finora abbiamo visto come l’AI aumenta la potenza di fuoco degli avversari. Un ulteriore scenario è la trasformazione dei sistemi di AI aziendali in superficie di attacco, con i prompt che assumono il ruolo di nuovo malware perché diventano vettori di iniezione di istruzioni in grado di alterare il comportamento di agenti e workflow automatizzati. Nel 2025 numerosi attaccanti hanno sfruttato vulnerabilità specifiche di piattaforme di sviluppo AI e componenti dell’ecosistema agentico. Un esempio è il caso del server MCP malevolo postmark‑mcp che imitava un servizio legittimo, ma intercettava e inoltrava i messaggi a caselle controllate dagli attaccanti. Chi integrava quel server nei propri agent copilot, confidando nel marchio, apriva un canale di esfiltrazione sistematica di dati sensibili.
Il report richiama poi l’attenzione su prompt injection, che invece di compromettere direttamente il modello, manipolano i dati in ingresso inserendo istruzioni nascoste che hanno il compito di deviare il comportamento dell’agente che li analizzerà. Inoltre, la fiducia diffusa nelle soluzioni AI offre un nuovo veicolo di ingegneria sociale. Alcuni gruppi hanno mascherato stealer e malware come progetti di AI, librerie per DeepSeek o tool di ottimizzazione per ChatGPT, sfruttando malvertising e risultati sponsorizzati per colpire utenti macOS in cerca di soluzioni legate a questi strumenti. Livrieri avverte: “le tecniche di prompt injection sono difficili da intercettare, ma sono già realtà. Abbiamo visto, per esempio, prompt che tramite l'inserimento di un disclaimer legal apparentemente innocuo riuscivano a far eseguire del codice malevolo all’applicazione; non è un problema teorico, è qualcosa che va testato in profondità sui sistemi AI che le aziende stanno adottando”.
Il ransomware resta uno dei capitoli più importanti del report, sia per l’impatto operativo sulle vittime sia per l’evoluzione delle tattiche degli attori di big game hunting. Nel 2025 gruppi come Scattered Spider, Punk Spider e Blockade Spider hanno consolidato un modello di attacco che riduce al minimo l’esposizione sui sistemi dotati di EDR, privilegiando vettori outband come edge device, infrastrutture di virtualizzazione e ambienti cloud e SaaS. Punk Spider si attesta come il gruppo più attivo dell’anno con 198 intrusioni attribuite (+134% rispetto al 2024) e ha perfezionato l’uso della cifratura remota via SMB per il ransomware Akira. La peculiarità è che gli operatori lanciano il payload da un sistema non gestito, facendo apparire l’attività lato endpoint come un normale accesso ai file da parte di un client legittimo, così da bypassare le tecniche di detection basate su pattern locali.
Blockade Spider rappresenta il paradigma della cross‑domain operation: in diverse intrusioni documentate nel 2025 il gruppo ha sfruttato dispositivi edge non gestiti come punto d’ingresso, ha ottenuto persistenza e movimento laterale attraverso sistemi di identità cloud (Entra ID, SSO, identity provider federati) e ha sferrato l’attacco conclusivo alle infrastrutture di virtualizzazione, in particolare VMware vCenter e ESXi. In fatto di ransomware, un dato interessante riguarda l’andamento dei riscatti: la prima parte del 2025 ha registrato richieste di riscatto medie in calo di oltre l’80% rispetto all’anno precedente, mentre nella seconda metà d’anno l’indice ha superato i livelli del 2024, complice il forte rialzo dei prezzi di Bitcoin (+55%) e Monero (+88%).
Gli attacchi sponsorizzati da stati come Cina e Corea del Nord stanno dimostrando quanto sia fragile la fiducia nelle infrastrutture digitali che sorreggono il business globale. Pechino spinge con forza sui dispositivi edge e sulle appliance di rete, sfruttando vulnerabilità zero‑day e bug di remote code execution per insediarsi su VPN, firewall e gateway perimetrali. Nel 2025 l’attività dei gruppi collegati alla Cina è cresciuta del 38%, con il 40% delle vulnerabilità usate per colpisre proprio questi apparati, e il 67% dei bug in grado di garantire accesso immediato al sistema.
Nel mirino ci sono settori perfettamente allineati con le priorità strategiche di Pechino: logistica (+85% degli attacchi), telecomunicazioni (+30%) e servizi finanziari (+20%), insieme a tecnologia, manufacturing e legal. I gruppi più attivi (come Warp panda, Hollow Panda, Operator Panda, Genesis Panda, Phantom Panda, Vault Panda e Veiled Panda) costruiscono campagne di lungo periodo basate su catene di exploit contro appliance VPN, accessi rapidi a vCenter e malware custom pensati per restare silenti sui sistemi edge per mesi. In almeno un caso, la persistenza è stata mantenuta per 22 mesi consecutivi.
La velocità con cui questi gruppi trasformano le vulnerabilità in armi è uno dei punti chiave del quadro tracciato nel report. Crowdstrike parla esplicitamente di risorse dedicate al monitoraggio delle disclosure e allo sviluppo di exploit, con l’obiettivo di colpire il più possibile nella finestra che separa l’annuncio di una falla zero‑day dalla distribuzione effettiva delle patch. Non stupisce, quindi, che il 42% delle vulnerabilità sfruttate nel 2025 sia stato attaccato prima della disclosure.
La Corea del Nord si muove su un registro diverso ma altrettanto aggressivo e punta su supply chain e criptovalute come moltiplicatori di impatto. Nel 2025 gli incidenti attribuiti a gruppi collegati a Pyongyang sono aumentati di oltre il 130%, con l’attività di Famous Chollima più che raddoppiata. L’episodio simbolo è il furto di 1,46 miliardi di dollari in criptovalute ai danni dell’exchange Bybit, definito nel report come il più grande colpo finanziario mai riportato. In quel caso, i threat actor hanno compromesso uno sviluppatore di Safewallet, piattaforma per la gestione di asset digitali usata anche da Bybit, probabilmente tramite un progetto Python trojanizzato e tecniche di social engineering. “Questo attacco è emblematico di quanto i gruppi nordcoreani siano attenti alla monetizzazione” e di quanto siano capaci nello sfruttamento della supply chain, per ottenere un impatto immediato e gigantesco” commenta Livrieri.
Social engineering
CrowdStrike conferma una informazione evidenziata da molti report: l’AI consente di aumentare sia la scala sia la credibilità delle campagne basate sul social engineering. Nel 2025 sono stati documentati sia casi di attacchi portati avanti dal cybercrime per motivazione economica, sia di APT con lo scopo di spionaggio. L’integrazione di deepfake video e audio, network di account social generati e gestiti tramite AI e contenuti tradotti in modo fluente ha permesso di abbassare la barriera all’ingresso per operazioni di propaganda mirata di ampia scala, con un costo marginale per contenuto drasticamente ridotto.
Un esempio concreto è quello del gruppo Famous Chollima legato alla Corea del Nord, che ha industrializzato l’uso di AI per operazioni di insider fraud e false assunzioni. Questo attore combina servizi di manipolazione delle immagini per costruire identità fittizie, piattaforme di messaggistica con funzioni di risposta automatica per gestire più profili simultaneamente, e assistenti di coding per svolgere parte del lavoro richiesto da incarichi legittimi ottenuti con credenziali false. L’obiettivo è monetizzare incarichi e accessi, oltre che posizionarsi in aziende di interesse come vettore di intrusione.
Difesa, NIS2 e AI responsabile
Sul versante difensivo, le raccomandazioni del Global Threat Report convergono su alcuni focus: identità, AI, visibilità cross‑domain, supply chain e gestione delle patch. Livrieri precisa che “trattare l’identità e le applicazioni SaaS come prima superficie d’attacco è il punto di partenza, ma non basta più la multifactor authentication: assistiamo a moltissimi attacchi che aggirano il secondo fattore o che passano da social engineering mirato sul personale di help desk”.
Il secondo pilastro è l’adozione consapevole dell’AI: “abbiamo introdotto AI in azienda, spesso senza che la security abbia voce in capitolo”, osserva Livrieri: “bisogna chiedersi quali strumenti AI vengono usati, come vengono usati e come viene protetto il motore stesso, perché casi come l’attacco al cloud che modifica i parametri e fa eseguire comandi in backend dimostrano che il modello è parte integrante della superficie d’attacco”. A questo si aggiunge la necessità di una visibilità trasversale: “avere silos separati per cloud, endpoint, SaaS, strumenti non gestiti e dispositivi di rete non funziona più; serve una visibilità unica che colleghi eventi e identità, altrimenti gli attacchi cross‑domain descritti nel report sono impossibili da fermare in tempo”.
Infine, ci sono due elementi che Livrieri lega direttamente anche al perimetro NIS2: “la gestione della supply chain, che nel 2025 è stata uno dei driver principali di impatto, e la prioritizzazione delle patch in base alla conoscenza dell’avversario”, perché “capire come i gruppi sfruttano le vulnerabilità è l’unico modo per fare azioni proattive invece di inseguire l’ennesima CVE sulla carta; molte delle misure richieste da NIS2 vanno proprio in questa direzione, soprattutto per le realtà più piccole che sono pezzi chiave nelle catene di fornitura dei grandi”.