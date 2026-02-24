Il supporto dell’AI costituisce un valore aggiunto per il crimine informatico, anche per i meno esperti.

L’AI, in particolare quella generativa, è uno straordinario vettore per di illeciti cyber, come ha dimostrato il recente caso di un hacker criminale russo “principiante“. Sfruttando la GenAI, infatti, costui avrebbe violato centinaia di firewall.

Dal caso, all’attenzione di un gruppo di analisti cyber, è emerso come il protagonista della vicenda abbia potuto con l’AI automatizzare ricognizione, parsing dei dati e movimenti laterali all’interno delle reti. L’azione è cominciata con una scansione sistematica delle interfacce di gestione esposte su varie porte.

Dopo aver trovato un potenziale bersaglio, l’hacker criminale ha forzato l’accesso con un attacco “brute force“. Ha provato innumerevoli combinazioni di credenziali comunemente usate e deboli, fino a quando una ha funzionato.

Una volta attivati, gli attacchi hanno consentito l’estrazione di configurazioni complete contenenti informazioni sensibili sugli utenti in possesso di VPN, sulle policy e sull’architettura interna. Una volta in possesso dei dati, li ha analizzati, decifrati e organizzati, utilizzando lo script Python.

“Strumenti che mancano di robustezza“

C. J. Moses, CISO di Amazon Integrated Security ha spiegato: “L’analisi del codice sorgente rivela chiari indicatori di sviluppo assistito dall’AI. Ci sono tanti elementi che indicano questo aspetto. Tra questi, commenti ridondanti che si limitano a ripetere i nomi delle funzioni, un’architettura semplicistica con un’attenzione sproporzionata alla formattazione rispetto alla funzionalità“.

Poi, ha aggiunto: “Pur risultando funzionali per il caso d’uso specifico dell’attore della minaccia, questi strumenti mancano di robustezza e falliscono in presenza di casi limite. Sono tutte caratteristiche tipiche del codice generato dall’AI e utilizzato senza un significativo processo di revisione e raffinamento”.

La tempistica dell’operazione

L’attaccante ha preso di mira in modo specifico anche i server Veeam Backup & Replication. Secondo gli analisti avrebbe proceduto a sfruttare vulnerabilità note del prodotto.

Tutte le attività si sono svolte in un arco temporale molto ristretto, tra l’11 gennaio e il 18 febbraio 2026, un altro elemento indicativo del fatto che l’autore dell’attacco non fosse esperto.

Nel corso delle operazioni, infatti, ha provato a sfruttare diverse Common Vulnerabilities and Exposures (CVE). Spesso però ha fallito quando i sistemi bersaglio risultavano aggiornati o adeguatamente rafforzati. Di fronte ad ambienti ben protetti, la tendenza era quella di “abbandonare il tentativo per spostarsi verso obiettivi più facili“.

