Tra fine dicembre 2025 e metà febbraio 2026, un singolo operatore ha compromesso nove agenzie governative messicane, accedendo a dati fiscali, anagrafe civile, cartelle cliniche e infrastrutture elettorali, nell'arco di una campagna durata circa due mesi. La peculiarità dell'operazione è che l'attaccante ha sfruttato due sistemi AI commerciali in parallelo: uno per gestire lo sfruttamento delle vulnerabilità in tempo reale, l'altro per elaborare i dati esfiltrati e reimmettere istruzioni nel primo sistema. L'intera catena operativa, che in un attacco tradizionale avrebbe richiesto un team di persone con competenze specializzate, è stata delegata all'AI e ha funzionato in loop per settimane. I comandi AI eseguiti nel corso dell'attacco sono stati oltre 5.000; l'AI non ha svolto un ruolo di supporto cognitivo, aiutando l'operatore a scrivere codice o a formulare query. Ha gestito direttamente la fase di exploitation, scaricando sull'attaccante solo le decisioni di alto livello.  

Il caso, scoperto e monitorato dai ricercatori di Gambit, è finito al centro del Threat Landscape Digest marzo-aprile 2026 di Check Point Research perché segna il confine fra i cyberattacchi AI-enabled a livello sperimentale attuati agli APT, e gli attacchi su larga scala nel mondo reale, portati avanti da cybercriminali motivati economicamente.

L'operazione messicana faceva perno su un metodo di jailbreak che merita attenzione specifica perché rovescia la logica degli approcci precedenti. Anziché tentare di aggirare i controlli di sicurezza dell'AI a livello conversazionale, l'attaccante ha modificato l'ambiente in cui l'AI opera, inserendo istruzioni malevole nei file di configurazione da cui i tool di coding AI leggono automaticamente all'avvio. Così facendo, i threat actor hanno ridefinito il comportamento del modello a livello architetturale: ogni sessione successiva ha ereditato quelle istruzioni bypassando qualsiasi guardrail conversazionale.

In questo modo, l'AI si è trovata a operare sotto le regole dell'attaccante anziché quelle dello sviluppatore, e lo ha fatto in maniera silente, su ogni macchina che caricava il file, incluse quelle di sviluppatori che non sapevano dell'esistenza del file compromesso. Check Point Research segnala questa tecnica come vettore di jailbreak persistente emergente e sottolinea che i file di configurazione degli agent AI diventano di fatto un rischio nella supply chain del software, con lo stesso livello di criticità delle dipendenze di terze parti.

La stessa logica del costruire una volta e replicare ovunque governa la trasformazione dell'AI offensiva in un prodotto di mercato. Ne è un esempio la piattaforma EvilTokens, che fornisce email di phishing generate dall'AI nel registro stilistico delle vittime designate, l’estrazione automatizzata di dati finanziari da migliaia di caselle di posta elettronica e inviti a calendario fasulli progettati per creare pressione psicologica attorno a richieste di bonifici. Chi usa EvilTokens è del tutto all’oscuro della complessità tecnica di questa soluzione perché la selezione del modello, il jailbreaking, la delivery dell'output sono gestiti dal backend. La sofisticazione dell’attacco è stata costruita una volta, e viene replicata automaticamente su ogni cliente, abbassando drasticamente la soglia di ingresso per chiunque voglia condurre attacchi AI avanzati. L'ingegneria sociale è coordinata su canali multipli in modo automatico, inclusa la sincronizzazione temporale degli inviti fraudolenti con l'apertura di finestre di trasferimento.

Un elemento trasversale a più casi documentati nel post di Check Point riguarda la velocità con cui le CVE diventano exploit funzionanti. L'AI applicata all'analisi degli avvisi di vulnerabilità comprime da settimane a ore il tempo tra disclosure pubblica e codice di exploitation operativo, di conseguenza un’azienda con cicli di patching mensili opera su una scala temporale fuori scala.

C’è poi una tendenza importante nella raccolta di credenziali: le API key per Anthropic, OpenAI, Groq, Mistral e altri provider AI vengono ora esfiltrate volutamente insieme alle credenziali tradizionali. Il motivo è che una chiave di questo tipo dà accesso a servizi AI potenti senza richiedere un account, fa apparire le operazioni dell'attaccante come attività di utenti legittimi. Inoltre, questo tipo di chiave è difficile da invalidare rapidamente una volta sottratta.