Il nuovo Threat Hunting Report 2025 di CrowdStrike mette in luce una trasformazione radicale nel panorama della cybersecurity: gli avversari informatici stanno sfruttando l’intelligenza artificiale generativa per amplificare le proprie operazioni e prendere di mira i sistemi autonomi aziendali. Più di 320 aziende sono già state colpite da campagne riconducibili a gruppi legati alla Corea del Nord, mentre emergono nuove minacce da attori russi, iraniani e cinesi.
Gli avversari usano l’AI come arma
Il report rivela come l’uso dell’AI non sia più confinato alla difesa, ma sia entrato a pieno titolo nelle tattiche degli aggressori. FAMOUS CHOLLIMA, collegato alla Corea del Nord, ha sfruttato l’AI generativa per automatizzare attacchi interni, dalla creazione di curriculum falsi alla conduzione di colloqui con deepfake, fino all’esecuzione di compiti tecnici sotto identità fittizie. EMBER BEAR, di matrice russa, ha usato l’AI per diffondere propaganda filorussa, mentre CHARMING KITTEN, legato all’Iran, ha lanciato campagne di phishing basate su LLM per colpire organizzazioni negli Stati Uniti e in Europa.
La nuova superficie di attacco: gli agenti AI
Un aspetto particolarmente critico è l’evoluzione della superficie di attacco: gli aggressori stanno prendendo di mira direttamente gli strumenti utilizzati per sviluppare agenti AI autonomi, sfruttando vulnerabilità, rubando credenziali e distribuendo malware e ransomware. La crescente diffusione di sistemi agentici nelle aziende li rende obiettivi di alto valore, comparabili a piattaforme SaaS, console cloud e account privilegiati.
Malware generato dall’AI e nuove tattiche di intrusione
Il report conferma inoltre che il malware creato con AI generativa non è più un rischio teorico. Strumenti come Funklocker e SparkCat dimostrano che anche attori con basse competenze tecniche possono generare codice dannoso e automatizzare attività complesse. Parallelamente, il gruppo SCATTERED SPIDER è riemerso con attacchi basati sull’identità sempre più rapidi, sfruttando vishing e impersonificazione per aggirare l’MFA e diffondere ransomware in meno di 24 ore.
Cloud nel mirino degli avversari cinesi
Gli attacchi al cloud hanno registrato un aumento del 136% nel 2025. Secondo CrowdStrike, gli avversari legati alla Cina sono responsabili del 40% di questa crescita. Gruppi come GENESIS PANDA e MURKY PANDA hanno aggirato i sistemi di rilevamento sfruttando errori di configurazione e accessi trusted, confermando il cloud come uno dei punti più vulnerabili dell’infrastruttura aziendale.
Una guerra cibernetica ridisegnata dall’AI
“Ogni agente AI è un’identità sovrumana: autonoma, veloce e profondamente integrata, che lo rende un obiettivo di alto valore. Proteggere la stessa AI che alimenta il business è il nuovo terreno della guerra cibernetica”, ha commentato Adam Meyers, head of counter adversary operations di CrowdStrike.
Il Threat Hunting Report 2025 sottolinea dunque la necessità per le aziende di rafforzare le proprie strategie di difesa non solo contro gli attacchi tradizionali, ma anche contro le nuove minacce che sfruttano e prendono di mira l’AI stessa.
