Check Point Research (CPR), divisione di threat intelligence di Check Point Software Technologies, ha individuato un potenziale nuovo modello di abuso informatico: gli assistenti di Intelligenza Artificiale con capacità di navigazione web potrebbero essere riutilizzati come canali di comando e controllo (C2) nascosti.
Al momento non risultano campagne attive che sfruttano questa tecnica. Tuttavia, la crescente integrazione dei servizi IA negli ambienti aziendali amplia la superficie di attacco e introduce nuovi scenari di rischio. Secondo CPR, i servizi di IA potrebbero agire come livello proxy che maschera comunicazioni malevole all’interno di traffico apparentemente legittimo.
Dall’IA come supporto allo sviluppo al malware basato sull’IA
Negli ultimi anni l’IA ha già ridotto la barriera di ingresso nel cybercrime. Gli attaccanti la utilizzano per generare codice malevolo, creare messaggi di phishing più credibili, tradurre esche in più lingue, scrivere script e sintetizzare dati sottratti.
Il cambiamento individuato dalla ricerca riguarda però il ruolo operativo dell’IA. Nel malware tradizionale la logica decisionale è predefinita. Nel malware basato sull’IA, invece, il codice può raccogliere informazioni sull’ambiente compromesso e delegare all’IA la scelta delle azioni successive.
Questo approccio consente di stabilire se un sistema meriti di essere colpito, quali azioni privilegiare, quanto essere aggressivi o quando restare inattivi. Il risultato è un malware più adattivo, meno prevedibile e meno legato a pattern statici che i sistemi difensivi riconoscono con maggiore facilità.
Assistenti IA come relè C2
L’abuso di servizi cloud legittimi per il comando e controllo non è una novità. In passato gli attaccanti hanno sfruttato e-mail, storage cloud e strumenti collaborativi per nascondere le comunicazioni.
Secondo Check Point Research, le piattaforme IA che offrono funzionalità di recupero URL o navigazione web potrebbero essere utilizzate come intermediari tra il malware e l’infrastruttura dell’attaccante. Il meccanismo ipotizzato è semplice: il malware richiede all’assistente IA di recuperare e riassumere il contenuto di uno specifico URL controllato dall’aggressore. In questo modo può inviare dati e ricevere istruzioni senza stabilire una connessione diretta con un server C2 tradizionale.
La tecnica è stata dimostrata in un contesto di ricerca controllato contro Grok e Microsoft Copilot, entrambi dotati di accesso al web tramite interfaccia. L’interazione può avvenire senza l’uso di chiavi API o account autenticati, fattore che riduce l’efficacia dei meccanismi di sospensione basati su credenziali.
Dal punto di vista della rete aziendale, il traffico appare come normale utilizzo di servizi IA. Per l’attaccante, il servizio di intelligenza artificiale diventa un relè che si confonde nelle comunicazioni consentite.
Verso un C2 in stile AIOps
L’elemento più rilevante non è solo il trasporto dei comandi. Una volta utilizzata come livello di comunicazione, l’IA può anche fornire istruzioni operative e suggerimenti strategici.
In uno scenario evoluto, il malware potrebbe inviare una descrizione sintetica del sistema infetto, inclusi contesto utente e configurazione software, e ricevere indicazioni su come procedere. Questo modello consente campagne che si adattano dinamicamente alle vittime senza modifiche al codice.
L’approccio ricorda i modelli AIOps nelle infrastrutture IT legittime, dove l’intelligenza artificiale guida flussi decisionali e ottimizza processi. In ambito malevolo, la stessa logica può supportare la gestione delle infezioni, la priorità degli obiettivi e l’ottimizzazione dell’impatto.
L’impatto nel breve termine
Secondo CPR, il malware basato sull’IA resta in larga parte sperimentale. Tuttavia, il targeting rappresenta un’area dove l’IA può incidere in modo concreto.
Attacchi futuri potrebbero identificare sistemi ad alto valore, selezionare file o database sensibili, evitare ambienti di analisi e ridurre attività rumorose che attivano alert. In ambito ransomware e data exfiltration, un targeting più selettivo può ridurre il numero di eventi osservabili e accorciare la finestra di rilevamento.
Non si tratta di una vulnerabilità software tradizionale, ma di un problema di abuso dei servizi. Qualsiasi piattaforma IA in grado di recuperare contenuti esterni eredita un potenziale di utilizzo improprio.
Mitigazioni e risposta dei fornitori
A seguito di una divulgazione responsabile, Microsoft ha confermato le scoperte e ha implementato modifiche nel flusso di recupero web di Copilot.
Dal punto di vista difensivo, le organizzazioni devono acquisire visibilità e controllo sul traffico diretto verso servizi IA. I domini associati all’intelligenza artificiale vanno considerati punti di uscita ad alto valore e inclusi nelle attività di threat hunting e risposta agli incidenti.
Secondo Check Point, la sicurezza IA richiede controlli più rigorosi sulle funzionalità di recupero web, regole chiare per l’utilizzo anonimo e maggiore visibilità aziendale. Con l’integrazione crescente dell’IA nei flussi di lavoro, il traffico verso tali servizi non può più essere considerato automaticamente benigno.
L’evoluzione della superficie di attacco richiede un adeguamento parallelo dei controlli di sicurezza, così da evitare che piattaforme affidabili si trasformino in nuovi punti ciechi della rete aziendale.
