Il punto centrale dell’analisi pubblicata da Trend Micro il 23 febbraio 2026 non riguarda una tecnica del tutto nuova. Il vero elemento di novità riguarda la scala. Secondo i ricercatori Numaan Huq e David Sancho, l’OSINT non richiede più necessariamente tempi lunghi, competenze elevate e grande lavoro manuale. La combinazione tra raccolta automatica dei dati, analisi multimodale e strumenti AI accessibili ha cambiato in profondità il costo della ricognizione digitale.
L’esperimento condotto da Trend Micro
Trend Micro descrive una proof of concept nata come esercizio interno di intelligence open source. La domanda di partenza era semplice: capire quanto velocemente fosse possibile costruire un sistema in grado di raccogliere dati pubblici da LinkedIn, arricchirli con analisi contestuale e trasformarli in materiale altamente personalizzato per attacchi di spear phishing. Il risultato, secondo il report, è un sistema costruito in poco più di 24 ore e capace di produrre contenuti mirati in meno di 30 minuti.
Da post e immagini a profili dettagliati
Il sistema descritto dai ricercatori parte da post pubblici, immagini e metadati associati ai profili dei dipendenti. Da questo materiale costruisce una gerarchia dell’organizzazione, ordina i contenuti per persona, analizza il rapporto tra testo e immagini e individua temi ricorrenti, interessi professionali, eventi frequentati e possibili aree di influenza. Il passaggio successivo consiste nell’uso di queste informazioni per creare messaggi credibili e coerenti con il ruolo del bersaglio.
Gli strumenti usati nella proof of concept
Nel test, Trend Micro spiega di avere usato Claude Code per lo sviluppo locale, Supabase in Docker e strumenti ospitati su Apify per raccogliere dati pubblici da LinkedIn senza login e senza cookie. I ricercatori citano inoltre attori dedicati alla ricerca di profili e alla raccolta dei post recenti, con l’obiettivo di automatizzare la costruzione di un archivio strutturato per singolo dipendente e per singolo contenuto pubblicato.
Il ruolo centrale dell’analisi contestuale
Una parte importante del sistema riguarda l’analisi delle immagini nel contesto del post che le accompagna. Secondo Trend Micro, il modello non osserva soltanto ciò che compare nella foto, ma prova a ricostruire il messaggio professionale che l’autore intende trasmettere, i temi che considera rilevanti e il tipo di rete professionale che emerge da quell’attività pubblica. Questo consente di ottenere un livello di intelligence più ricco rispetto alla sola lettura del testo o alla sola analisi visuale.
Dalla profilazione ai messaggi personalizzati
Una volta creato il profilo del singolo target, il tool aggiunge altre funzioni: ricerca web della persona, identificazione degli argomenti che potrebbero interessarla di più, generazione di bozze di email personalizzate e stima del formato più probabile dell’indirizzo email aziendale. In questa fase, il sistema passa dalla semplice raccolta di informazioni alla loro trasformazione in materiale operativo. Ed è qui che la ricognizione smette di essere il collo di bottiglia tradizionale degli attacchi mirati.
Il sito fittizio costruito in pochi minuti
Trend Micro mostra anche la creazione di un sito promozionale fittizio, sviluppato in pochi minuti con un assistente AI per il coding. Nel caso citato, il sito faceva riferimento a temi cari a professionisti della sicurezza AI, con richiami a framework reali come MITRE ATLAS e OWASP e con statistiche plausibili utili a rendere il risultato più credibile. Il dato che emerge è chiaro: la personalizzazione non richiede più tempi lunghi e competenze particolarmente rare.
Dato pubblico non significa uso consentito
Su questo punto serve una distinzione importante. Trend Micro precisa di avere limitato l’attività a profili e post pubblici. Questo, però, non significa che scraping e automazione siano consentiti dalla piattaforma. LinkedIn vieta espressamente l’uso di bot, crawler, script, estensioni e altri strumenti automatici destinati a raccogliere o copiare dati dal servizio. Allo stesso tempo, la piattaforma conferma che un profilo pubblico può comparire anche fuori da LinkedIn, per esempio nei motori di ricerca, e che i post pubblici possono circolare anche al di fuori del social in base alle impostazioni di visibilità.
La nuova superficie d’attacco per le aziende
Per le imprese il tema non riguarda soltanto la protezione di rete, endpoint e credenziali. Riguarda anche la presenza pubblica dei dipendenti, soprattutto quando i contenuti pubblicati espongono dettagli su progetti, partnership, conferenze, tecnologie adottate, clienti o priorità strategiche. La somma di molti elementi apparentemente innocui può offrire a un attore ostile un quadro molto preciso dell’organizzazione e delle persone che ne fanno parte.
Perché la sola awareness non basta più
Secondo Trend Micro, la risposta difensiva non può fermarsi alla sola formazione del personale. Serve una strategia di exposure management che includa policy, educazione e controlli costruiti sull’ipotesi che un attaccante possa già vedere moltissimo dall’esterno. Questo implica una revisione della visibilità pubblica dei profili, delle immagini condivise, delle attività esposte e delle informazioni che aiutano a ricostruire ruoli, relazioni e priorità aziendali. Anche LinkedIn mette a disposizione opzioni specifiche per limitare la visibilità del profilo pubblico e di alcune attività associate.
Non una tecnica nuova, ma una nuova base di partenza
Il messaggio finale del report è netto. Questa ricerca non introduce una tecnica inedita, ma mostra una nuova linea di base. Con strumenti accessibili e tempi ridotti, un singolo operatore può automatizzare una quota rilevante di attività che fino a pochi anni fa richiedevano molte più risorse. Per chi difende aziende e organizzazioni, il rischio non appartiene a un futuro lontano. È una capacità già disponibile oggi, e richiede un aggiornamento delle ipotesi su velocità, volume e qualità della ricognizione avversaria.
