Il Threat Hunting Report 2025 di CrowdStrike mette in luce un cambiamento epocale nel mondo della cybersicurezza, con l’IA generativa che non è più soltanto uno strumento a disposizione delle aziende, ma è ormai diventata un’arma nelle mani degli avversari. Secondo l’analisi, i criminali informatici stanno infatti sfruttando l’IA generativa per ampliare le loro capacità operative, accelerare gli attacchi e soprattutto colpire i nuovi protagonisti del digitale come gli agenti IA autonomi, che stanno trasformando i processi aziendali.

Gli esperti di CrowdStrike sottolineano come la superficie di attacco si stia ridefinendo. Non si parla più soltanto di sistemi cloud, account privilegiati o infrastrutture SaaS, ma anche le identità non umane, create e gestite da agenti autonomi, sono ormai diventate bersagli strategici.

L’IA generativa come arma a disposizione degli avversari

Il report si basa sulle attività di monitoraggio di oltre 265 avversari identificati a livello globale. Emergono casi emblematici di come gruppi sponsorizzati da Stati o con fini geopolitici stiano adottando la GenAI per automatizzare e ampliare campagne di attacco su larga scala.

L’avversario FAMOUS CHOLLIMA, legato alla Corea del Nord, ha utilizzato l’IA generativa per gestire ogni fase di un programma di attacchi interni, dalla creazione di curriculum falsi fino alla conduzione di colloqui tramite deepfake, arrivando a eseguire compiti tecnici con identità contraffatte. In questo modo, le classiche minacce interne si trasformano in operazioni strutturate, scalabili e persistenti.

Il gruppo EMBER BEAR, di matrice russa, ha invece impiegato la GenAI per amplificare messaggi e narrative filorusse, mentre CHARMING KITTEN, legato all’Iran, ha sfruttato LLM per creare esche di phishing più sofisticate da impiegare contro enti negli Stati Uniti e nell’Unione Europea.

IA cybercriminali

Gli agenti IA come nuova superficie di attacco

Uno dei segnali più allarmanti evidenziati da CrowdStrike è la rapida emersione della cosiddetta IA agentica come nuova frontiera della cybersicurezza. I criminali hanno iniziato a colpire direttamente gli strumenti usati per sviluppare e gestire agenti di intelligenza artificiale, ottenendo accessi senza autenticazione, rubando credenziali e distribuendo malware e ransomware.

Questi attacchi dimostrano che gli agenti autonomi, essendo integrati nei flussi di lavoro e dotati di identità operative proprie, sono percepiti dagli avversari come asset di altissimo valore, da trattare alla stregua di account cloud o sistemi SaaS.

Malware creato dall’IA: dalla teoria alla pratica

Un altro punto chiave del report è la conferma che il malware generato da IA non è più un’ipotesi accademica, ma una realtà concreta. Gruppi di eCrime e hacktivisti con competenze tecniche limitate stanno infatti sfruttando la GenAI per scrivere script, risolvere problemi e sviluppare software malevolo.

CrowdStrike cita i casi di Funklocker e SparkCat come prime evidenze di malware interamente sviluppati con l’ausilio dell’intelligenza artificiale, rendendo accessibili attività criminali che fino a pochi anni fa richiedevano skill avanzate.

Il report segnala inoltre una crescita esponenziale delle intrusioni nel cloud, aumentate del 136% rispetto all’anno precedente. Una quota significativa, circa il 40%, è attribuibile ad avversari legati alla Cina. I gruppi GENESIS PANDA e MURKY PANDA si distinguono per la capacità di eludere i sistemi di rilevamento sfruttando errori di configurazione e accessi trusted, consolidando la tendenza a colpire infrastrutture cloud sempre più complesse.

Come sottolineato da Adam Meyers, head of counter adversary operations di CrowdStrike, ci troviamo di fronte a una trasformazione profonda: “Ogni agente IA è un’identità sovrumana autonoma, veloce e profondamente integrata, che lo rende un obiettivo di alto valore. Gli avversari trattano questi agenti come infrastrutture da compromettere, esattamente come piattaforme SaaS, console cloud e account privilegiati. Proteggere la stessa IA che alimenta il business è il nuovo terreno della guerra cibernetica di oggi”.

(Immagine in apertura: Shutterstock)