ROMA (Public Policy) – Il Google threat intelligence group ha identificato quello che definisce il primo caso noto di hacker che utilizzano malware basati sull’IA in un attacco informatico reale.
Lo si apprende da una nota diffusa da Google Cloud. I ricercatori dell’azienda hanno scoperto due nuovi ceppi dei malware PromptFlux e PromptSteal che si servono di Gemini – LLM della stessa Google – per riscrivere il proprio codice ogni ora.
“Gli autori delle minacce – si legge nel comunicato – stanno adottando pretesti di ‘ingegneria sociale’ nei loro messaggi per aggirare le barriere di sicurezza dell’IA. Abbiamo osservato autori che si fingevano studenti” di cybersecurity “o ricercatori di sicurezza informatica per convincere Gemini a fornire informazioni che altrimenti sarebbero state bloccate”.
“Questi strumenti – prosegue la nota – generano dinamicamente script dannosi, offuscano il proprio codice per eludere il rilevamento e sfruttano modelli di IA per creare funzioni dannose su richiesta, anziché codificarle in modo rigido nel malware. Sebbene ancora agli albori, ciò rappresenta un passo significativo verso un malware più autonomo e adattivo”.
Google, inoltre, sottolinea che “attori statali, tra cui Corea del Nord, Iran e Repubblica popolare cinese, continuano a utilizzare Gemini in modo improprio per potenziare tutte le fasi delle loro operazioni, dalla ricognizione e creazione di esche di phishing allo sviluppo di comandi e controlli (C2) e all’esfiltrazione dei dati”.
