Un nuovo rapporto del Threat Analysis Group (GTAG) di Google ha dimostrato che gli hacker finanziati da stati provenienti da Corea del Nord, Iran e Cina stanno sperimentando e ottimizzando attivamente gli attacchi informatici con strumenti di intelligenza artificiale (IA), che in questo caso è stato Gemini di Google.
Google ha affermato di aver osservato diversi gruppi affiliati allo Stato utilizzare i suoi grandi modelli linguistici per attività di ricognizione, ingegneria sociale, sviluppo di malware e miglioramento di "tutte le fasi delle loro operazioni, dalla ricognizione e creazione di esche di phishing allo sviluppo di comando e controllo (C2) e all'esfiltrazione dei dati".
Il rapporto ha rilevato prove di nuovi e sofisticati attacchi basati sull'intelligenza artificiale. Ha inoltre evidenziato che l'intelligenza artificiale generativa sta riducendo le barriere tecniche per le operazioni dannose, aiutando gli aggressori a lavorare più velocemente e con maggiore precisione.
Il rapporto si basa su avvertimenti simili di Microsoft e OpenAI , che hanno rivelato sperimentazioni analoghe da parte dello stesso trio di attori sostenuti dalla nazione.
Inoltre, Anthropic, la società dietro Claude AI, ha pubblicato un rapporto su come ha individuato e contrastato l'uso dell'intelligenza artificiale per gli attacchi; i gruppi legati alla Corea del Nord sono stati i principali attori malintenzionati menzionati nel rapporto.
Gli attori statali nordcoreani si rivolgono all'intelligenza artificiale
Nel suo ultimo aggiornamento sulle minacce, Google ha spiegato nei dettagli come un gruppo iraniano noto come TEMP.Zagros, noto anche come MuddyWater, abbia utilizzato Gemini per generare e correggere codice dannoso camuffato da ricerca accademica, con l'obiettivo finale di sviluppare malware personalizzato.
Così facendo, ha inavvertitamente rivelato dettagli operativi chiave che hanno consentito a Google di interrompere parti della sua infrastruttura.
È stato scoperto che alcuni criminali informatici legati alla Cina utilizzavano Gemini per migliorare le esche di phishing, effettuare ricognizioni sulle reti prese di mira e studiare tecniche di movimento laterale una volta all'interno dei sistemi compromessi. In alcuni casi, hanno utilizzato Gemini in modo improprio per esplorare ambienti non familiari, come infrastrutture cloud, Kubernetes e vSphere, a dimostrazione di un tentativo di espandere la propria portata tecnica.
Nel frattempo, sono stati osservati operatori nordcoreani mentre testavano strumenti di intelligenza artificiale per potenziare campagne di ricognizione e phishing. Un gruppo criminale nordcoreano noto per il suo ruolo nelle campagne di furto di criptovalute che sfruttano l'ingegneria sociale ha anche tentato di utilizzare Gemini per scrivere codice che gli avrebbe consentito di rubare criptovalute.
Google è riuscita a mitigare questi attacchi e a chiudere gli account coinvolti.
Una nuova frontiera per la difesa informatica
Il rapporto di Anthropic è stato pubblicato nell'agosto 2025 e fornisce prove a sostegno dell'abuso dell'IA da parte di attori legati allo Stato. L'azienda ha scoperto che agenti nordcoreani avevano utilizzato il suo modello Claude per spacciarsi per sviluppatori di software in cerca di lavoro.
Si dice che abbiano utilizzato Claude per generare curriculum, campioni di codice e risposte a colloqui tecnici per assicurarsi contratti freelance all'estero.
Sebbene le scoperte di Anthropic abbiano portato alla luce l'azione fraudolenta di utilizzare l'intelligenza artificiale per ottenere posti di lavoro, che avrebbe portato a un'operazione di hacking più grande nelle organizzazioni che assumono, concordano anche con la conclusione di Google secondo cui gli strumenti di intelligenza artificiale vengono sistematicamente testati da malintenzionati per ottenere un vantaggio aggiuntivo.
I risultati rappresentano un nuovo grattacapo per la comunità globale della sicurezza informatica. Le stesse caratteristiche che rendono i modelli e le applicazioni di intelligenza artificiale potenti strumenti di produttività vengono utilizzate anche per creare potenti strumenti di danno, come dimostrano i report, e con i progressi compiuti, anche questi aggressori si adatteranno e i loro attacchi diventeranno più sofisticati.
I governi e le aziende tecnologiche stanno iniziando a reagire e la continua collaborazione tra tutte le parti interessate per mitigare queste azioni sarà la strada da seguire.
Iscriviti subito a Bybit e richiedi un bonus di 50 $ in pochi minuti