Phantom squatting: quando l'AI allucina il dominio d'attacco

Circa 250.000 domini web inventati dai modelli AI restano liberi e pronti a essere registrati da un attaccante, che può così trasformare in trappola i suggerimenti degli assistenti.

Autore: Redazione SecurityOpenLab

I modelli linguistici inventano circa 250.000 domini web che nessuno ha registrato, quindi disponibili per chiunque voglia occuparli in anticipo. Altri 13.229 indirizzi generati dagli stessi modelli risultano invece già riconducibili a infrastrutture malevole. Sono due dei numeri che emergono dalla ricerca Phantom Squatting della Unit 42 di Palo Alto Networks.

La logica di fondo è quella che seguiamo da tempo su questo sito con gli attacchi alla supply chain veicolati dall'AI: un assistente di codice suggerisce un pacchetto che non esiste, l'attaccante registra quel nome su un repository pubblico e vi inserisce codice ostile, lo sviluppatore lo installa fidandosi del suggerimento. Il phantom squatting sposta lo stesso meccanismo dai pacchetti software agli indirizzi web: un modello che inventa il nome di una libreria può, con la stessa facilità, generare il dominio di un portale aziendale, l'endpoint di una API o l'URL di un webhook mai esistiti. Quando quell'indirizzo è plausibile e ricorre con regolarità, un attaccante può registrarlo prima del legittimo proprietario e trasformarlo in una trappola.

È il canale di consegna l’elemento di novità che distingue il phantom squatting dal phishing tradizionale. In un attacco classico, la vittima arriva sul sito ostile tramite una email ingannevole, un annuncio malevolo o un sito compromesso. In questo caso il tramite è lo stesso assistente AI che l'organizzazione ha adottato e autorizzato; chiunque ponga al modello una domanda capace di innescare l'allucinazione riceve, con tono sicuro e autorevole, l'indicazione di raggiungere proprio l'indirizzo controllato dall'attaccante. Nessuna esca da riconoscere, nessun messaggio sospetto, solo un consiglio che appare affidabile perché arriva da uno strumento interno al flusso di lavoro. Ritroviamo quindi il tema ricorrente dell’abuso di fiducia nel contesto di uno strumento lecito e implicitamente ritenuto affidabile.

Le quattro fasi dell’attacco

A rendere il vettore particolarmente sfuggente è la natura del dominio appena registrato: le difese fondate sulla reputazione (blocklist, feed di threat intelligence, ranking di rischio) presuppongono che un'infrastruttura malevola lasci tracce nel tempo. Tuttavia, un dominio nato da un'allucinazione non compare in alcuna lista nera, non ha un punteggio di reputazione, non è mai apparso in una campagna. È il motivo per il quale gli esperti della Unit 42 lo definiscono un bypass a reputazione zero: il dominio nasce pulito e quando i sistemi di intelligence si allineano, ormai gli utenti sono già stati indirizzati al sito malevolo.

La catena di attacco

La catena dell'attacco si articola in quattro momenti. Il primo è la scoperta, quando l'attaccante interroga in modo sistematico i modelli con richieste che imitano le operazioni quotidiane di un utente, così da mappare quali domini un certo marchio tende a far allucinare, sfruttando le debolezze note dei modelli. Nella fase di occupazione registra quelli più promettenti, che è un’operazione economica e pressoché istantanea; dalla telemetria risulta che alcuni domini sono passati dalla registrazione al contenuto malevolo attivo nel giro di poche ore. La terza fase è quella in cui il modello lavora, involontariamente, come meccanismo di consegna. Nell’ultimo step la reputazione zero del dominio aggira i controlli.

Gli attaccanti più sofisticati mantengono il vantaggio con tecniche di evasione, mostrando contenuti innocui ai crawler automatici e riservando la pagina ostile ai visitatori umani, oppure proteggendo l'infrastruttura con i CAPTCHA.

Unit 42 ha analizzato 913 marchi globali in sette settori verticali fra cui tecnologia, finanza, sanità, ecommerce e pubblica amministrazione. I modelli sono stati sottoposti a 685.339 richieste costruite per farne emergere i limiti, ottenendo 2,1 milioni di URL, di cui poco più di un terzo puntava a domini inesistenti. Dopo la normalizzazione, quegli indirizzi si condensano nei circa 250.000 domini liberi che compongono la superficie di rischio.

Dei 2,1 milioni di partenza, i 13.229 già classificati come malevoli non sono un dettaglio marginale, perché dimostrano che i modelli stanno raccomandando infrastrutture ostili reali e non solo potenziali. Due terzi di questi indirizzi (67,2%) veicolano malware, il 16,2% è phishing per la raccolta di credenziali, il resto si divide tra grayware e server di comando e controllo (3% dei casi).

Il caso concreto

Il caso più eloquente è un attacco reale contro un marketplace di e-commerce riconducibile a un servizio postale nazionale. L'8 marzo 2026 la pipeline di Unit 42 aveva previsto tredici URL allucinati per un dominio molto simile a quello legittimo. Il 31 marzo, ventitré giorni dopo, un attaccante lo ha registrato e vi ha caricato un kit di phishing che clonava il marketplace.

La pipeline di scoperta multi-agente

Analizzando l'archivio del kit di phishing è emersa una cartella di lavoro lasciata da un assistente AI per la scrittura di codice. È il segnale incontrovertibile che l'attaccante aveva costruito lo strumento d'attacco con l'aiuto dell'AI e lo aveva puntato proprio contro il dominio che l'AI, dal lato degli utenti, stava già indicando come autentico. I log della sessione mostrano che l'assistente era servito a clonare le vetrine del sito legittimo, a scrivere il back-end in PHP e ad allestire un canale di comando e controllo su Telegram con cui sottrarre le credenziali via via che le vittime le inserivano. Il kit rubava in un colpo solo i dati delle carte, i bonifici (con gli IBAN di destinazione cambiati al volo tramite comandi al bot Telegram), i documenti di identità, e includeva un pannello da cui l'operatore inoltrava a mano i codici usa e getta necessari a completare le frodi. La stessa AI spingeva anche la vittima verso la trappola.

Pan per focaccia

L’aspetto positivo è che la stessa proprietà che rende possibile il phantom squatting è anche l'arma migliore contro di esso: appurato che l'allucinazione dei modelli è prevedibile, un dominio che ricompare in modo insistente sarà quasi certamente suggerito agli utenti spacciandolo per reale. Quando poi modelli diversi, addestrati da aziende diverse, allucinano lo stesso indirizzo per la stessa richiesta, quel dominio diventa un bersaglio talmente probabile da poter essere sorvegliato in anticipo.

Su questa base i ricercatori hanno costruito una finestra di vantaggio, che consiste nell'intervallo tra la prima allucinazione rilevata e la registrazione da parte dell'attaccante: nei casi osservati andava da 18 a 51 giorni. È un margine importante che avvantaggia la difesa.

Un aspetto importante di cui tenere conto è che il bersaglio a più alto impatto non è l'utente umano, è l'agente AI autonomo. I sistemi agentici eseguono catene di operazioni che comprendono il recupero di pagine, le chiamate a API e il download di componenti, tutte a partire da URL generati dal modello che orchestra il flusso. Una persona che segue un link allucinato dovrebbe compiere un gesto, inserire le credenziali, scaricare un file, eseguire del codice. Un agente che recupera l'URL e ne elabora la risposta può esfiltrare segreti, eseguire istruzioni ostili o propagare una dipendenza compromessa lungo la pipeline senza alcun passaggio di decisione umana. In uno scenario in cui gli attaccanti comprimono a meno di un'ora il tempo tra accesso iniziale ed esfiltrazione, la consegna via agente elimina l'ultimo punto di attrito rimasto. Si riconferma quindi la necessità di un monitoraggio attivo, in tempo reale e capillare degli agenti AI per comprendere se le attività che svolgono, seppur in ambito lecito, siano manovrate da parti terze malintenzionate.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.