Google lancia l'allarme: attenzione ai malware che riscrivono il codice in tempo reale con l’AI

Google Threat Intelligence Group (GITG) ha individuato una nuova e pericolosa dinamica nel mondo delle minacce informatiche: gli attori di minanccia non usano più l’AI solo per l'efficienza produttiva (creare malware più facilmente, ottimizzare campagne di phishing, eccetera), ma hanno iniziato ad utilizzare  malware AI‑enabled in operazioni reali, con capacità di alterarsi dinamicamente a durante l'esecuzione per evadere rilevazioni statiche e ampliare la versatilità operativa.

Questa tecnica, che Google chiama, molto eloquentemente, “just-in-time self-modification”, consente generazione dinamica di script, offuscamento adattivo e creazione di funzioni su richiesta, avvicinando i campioni a comportamenti metamorfici difficili da contrastare con firme tradizionali.

GIGT porta l'esempio di una serie di malware che ha potuto analizzare, a partire da PROMPTFLUX, un dropper sperimentale in VBScript che conversa con l’API di Gemini (1.5 Flash o successivi) per ottenere tecniche di offuscamento ed evasione, riscrivendo il proprio codice in modo periodico per mutare impronta e aggirare le firme. Il modulo “Thinking Robot” interroga l’LLM con prompt altamente specifici e machine-parsable, richiedendo esclusivamente output di codice. In questo modo il nuovo script offuscato viene salvato nella cartella Startup per la persistenza e tenta la propagazione su unità rimovibili e share di rete mappate. GTIG rileva tracce dell’obiettivo di un “metamorphic script”; pur essendo in fase iniziale e non ancora distruttivo, Google ha revocato l’accesso all’API Gemini e rimosso gli asset associati, indicando TTP da gruppo a finalità finanziarie ma senza attribuzione certa.

Vi sono poi altri esempi identificati dai ricercatori di sicurezza di Google:

• PromptSteal (LameHug) è un data miner osservato in Ucraina che interroga via API il modello Qwen2.5‑Coder‑32B‑Instruct su Hugging Face per generare comandi Windows monoriga eseguiti per la raccolta ed esfiltrazione dati; è attribuito a operazioni legate ad APT28.
• FruitShell è una reverse shell PowerShell per C2 e comandi arbitrari, pubblicamente disponibile, con prompt hard‑coded pensati per aggirare analisi di sicurezza basate su LLM secondo i ricercatori.
• QuietVault è uno stealer in JavaScript che mira a token GitHub/NPM, esfiltrandoli su repository GitHub pubblici creati al volo e sfruttando prompt e tool AI CLI on‑host per scovare e portar via ulteriori segreti.
• PromptLock è un ransomware sperimentale che usa script Lua per sottrarre e cifrare dati su Windows, macOS e Linux, segnalato tra i casi di malware abilitati all’AI nel perimetro analizzato.

Nell'analisi di queste minacce GTIG ha potuto documentare attori con legami statali che hanno impiegato Gemini in fasi multiple: dalla ricognizione allo sviluppo C2, fino a esfiltrazione, phishing e traduzioni, con casi di bypass dei filtri mascherandosi da CTF participant o studenti per ottenere dettagli di exploit o aiuto al debugging.

Il gruppo APT41 ha usato Gemini per assistenza al codice, migliorando il framework C2 OSSTUN e ricorrendo a librerie di offuscamento per accrescere la sofisticazione del malware; APT42 lo ha impiegato per phishing, analisi dati e un “Data Processing Agent” che traduce linguaggio naturale in SQL per mining di dati personali. Nel panorama citato emergono anche attori nordcoreani come Masan (UNC1069), per furti crypto, phishing multilingue e deepfake lure, e Pukchong (UNC4899), per sviluppo di codice verso dispositivi edge e browser, con conseguente disabilitazione degli account coinvolti e rafforzamento delle salvaguardie del modello.

GTIG osserva nei mercati underground anglofoni e russofoni un aumento d’interesse per tool e servizi AI malevoli che abbassano la barriera tecnica: dagli strumenti per deepfake e generazione immagini, fino a sviluppo malware, phishing, ricerca, ricognizione ed exploit. Molte inserzioni riprendono linguaggi e retoriche del marketing legittimo, enfatizzando efficienza dei flussi di lavoro e il supporto clienti, con i ricercatori che hanno potuto osservare bundle con API e accesso Discord a livelli di prezzo superiori e feature AI promosse persino nelle versioni gratuite.

Google ribadisce un approccio “audace e responsabile” all’AI e afferma di indagare segnali di abuso dei propri servizi, collaborando con le forze dell’ordine quando opportuno e riversando le evidenze nei propri prodotti per irrobustire classificatori e modelli contro i vettori di bypass osservati. La società segnala di aver disattivato asset e account associati ai casi individuati e di aggiornare con continuità le difese in funzione delle tattiche emerse, per rendere più difficile l’uso improprio e interrompere le operazioni avversarie.