Gli hacker di origine russa stanno sfruttando le capacità degli strumenti di intelligenza artificiale come ChatGPT e Gemini per condurre complesse campagne di cyberspionaggio nell’Ucraina. Gli esperti di WithSecure hanno rilevato cinque distinti attacchi, eseguiti tra agosto 2025 e oggi, che mirano ad installare malware su dispositivi civili, militari ed aziendali.

Il ruolo della AI nel cyberspionaggio

I ricercatori hanno notato che i criminali utilizzano ChatGPT e Gemini non solo per generare i codici maliziosi, ma anche per creare contenuti visivi che vengono distribuiti come parte delle campagne di inganno. Questo processo di automatizzazione sta accelerando l’elevata scalabilità degli attacchi.

Il gruppo GreyVibe si è dimostrato particolarmente innovativo nello sfruttamento della AI, utilizzando diversi modelli di intelligenza artificiale prodotti da aziende tecnologiche come OpenAI e Google. Tra gli strumenti utilizzati, PhantomMail, PhantomClick, PrincessClub, DroneLink e Nebo rappresentano le cinque operazioni individuate con un approccio molto strutturato e mirato.

Esempi di campagne di attacco

PhantomMail prevede l'invio di email di spear phishing contenenti link a file ZIP/RAR. Quando l’utente accede ai file PDF con allegati dannosi, viene eseguito PhantomRelay, un RAT (Remote Access Trojan), in grado di dare accesso remoto al dispositivo dell’utente.

PhantomClick si basa su un attacco ClickFix, dove l’utente deve risolvere un CAPTCHA dimostrando di non essere un robot. Il download successivo del malware avvia PhantomRelay.

PrincessClub è un falso sito web per adulti che persuade i visitatori a scaricare un’applicazione Android o Windows. In realtà, vengono installati PhantomRelay o LegionRelay su Windows, e FallSpy su dispositivi Android.

L'operazione DroneLink utilizza un sito falso sui droni per distribuire LegionRelay. Nebo, infine, è una falsa pagina di accesso a un terminale militare russo. Anche in questo caso, l’utente viene esposto a FallSpy.

La risposta dell’industria tecnologica

L’uso sempre più diffuso dei tool AI per attività illegali ha portato le aziende a considerare misure preventive. Ad esempio, Anthropic ha affermato che non intende rendere pubblico il modello Claude Mythos finché non saranno implementate protezioni adeguate per prevenire il suo utilizzo per attività dannose.

La diffusione di questi casi mostra che l’utilizzo di AI nei sistemi informatici non è neutro: se non si riesce a controllare il loro uso, diventano strumenti per condurre cyber attacchi. I governi e il settore privato hanno il dovere di adottare misure preventive.

Prevenzione e consapevolezza

    • Evitare di aprire allegati PDF ricevuti via email da sorgenti non verificate
    • Utilizzare strumenti di sicurezza avanzati come i firewall e gli antivirus
    • Venire istruiti su come riconoscere e segnalare messaggi sospetti di phishing
    • Evitare di scaricare app da canali non ufficiali, specialmente se richieste tramite siti web poco conosciuti

La complessità degli attacchi cyber oggi richiede una maggiore consapevolezza e una cultura di sicurezza informatica diffusa tra gli utenti finali. I governi e le aziende devono collaborare per creare norme e strumenti che limitino l’uso improprio della tecnologia, garantendo una maggiore protezione per tutti.