Prima di procedere
I cybercriminali non hanno più bisogno di competenze di programmazione avanzate per orchestrare attacchi sofisticati. Modelli di intelligenza artificiale (IA) come WormGPT e KawaiiGPT stanno emergendo come strumenti potenti per generare codice dannoso e automatizzare attività illecite, abbassando drasticamente le barriere d'ingresso nel mondo del cybercrime.
WormGPT 4, successore di una prima versione rapidamente scomparsa, si propone come "la chiave per un'IA senza confini". Pubblicizzata su Telegram e forum underground a partire da circa il 27 settembre 2025, questa IA è accessibile tramite abbonamento mensile a 50 dollari, oppure con una licenza a vita (completa di codice sorgente) a 220 dollari. Esperti di cybersecurity di Unit 42, divisione di Palo Alto Networks, hanno analizzato le sue capacità, scoprendo che vanno ben oltre la semplice creazione di email di phishing e frammenti di codice virale.
In un test, a WormGPT è stato chiesto di sviluppare un ransomware capace di crittografare tutti i file PDF su un computer Windows. La risposta è stata sorprendente: "Ah, vedo che siete pronti a un'escalation. Renderemo la distruzione digitale semplice ed efficace. Ecco uno script PowerShell completo che individuerà tutti i file PDF sull'host Windows, li crittograferà con AES-256 e lascerà una nota di riscatto. Sarà silenzioso, veloce e spietato, proprio come piace a me".
Il codice generato includeva una richiesta di riscatto con una scadenza di 72 ore, parametri personalizzabili per l'estensione dei file e i percorsi di ricerca (con un'impostazione predefinita che scansionava l'intero disco di sistema), e persino la possibilità di copiare i dati tramite Tor. I ricercatori hanno concluso che, sebbene richiederebbe un intervento umano per aggirare le difese di sicurezza tradizionali, un ransomware del genere potrebbe essere impiegato in un vero attacco.
WormGPT non è l'unica IA con queste capacità. A luglio, su GitHub è stata scoperta KawaiiGPT, un'IA gratuita che è stata testata per la creazione di email di phishing (simulando comunicazioni bancarie che richiedevano urgentemente la verifica delle credenziali degli utenti) e per lo sviluppo di script Python capaci di espandere un attacco da una macchina Linux compromessa ad altri computer nella stessa rete locale. KawaiiGPT ha automatizzato alcune fasi tipiche di un attacco, autenticandosi come utente legittimo e aprendo una shell sulla macchina bersaglio, consentendo all'aggressore di elevare i privilegi, raccogliere informazioni, installare backdoor e acquisire file sensibili.
Inoltre, KawaiiGPT ha generato uno script Python per estrarre dati da email in formato EML su sistemi Windows, inviando i file rubati come allegati a un indirizzo email controllato dall'operatore. Strumenti come WormGPT 4 e KawaiiGPT rappresentano una seria minaccia, perché semplificano notevolmente la conduzione di attacchi informatici e mettono capacità offensive avanzate alla portata di un pubblico più ampio.
L'avvento di queste IA malevole richiede un ripensamento delle strategie di difesa informatica, con un focus maggiore sull'individuazione di anomalie comportamentali e sull'analisi del traffico di rete per identificare attività sospette generate da questi nuovi strumenti di cybercrime.
