PROMPTFLUX: Malware sfrutta l'API Gemini per mascherare il proprio codice

Google ha lanciato un avvertimento su PROMPTFLUX, un tipo di malware alimentato dall'IA che è in grado di scrivere il proprio codice. Il 6 novembre 2025, i ricercatori di cybersicurezza del Google Threat Intelligence Group (GTIG) hanno rilevato un cambiamento significativo nel modo in cui i cybercriminali utilizzano l'intelligenza artificiale. La scoperta del malware sperimentale PROMPTFLUX segna un punto di svolta: gli attaccanti non si limitano più a sfruttare l'IA per aumentare l'efficienza, ma stanno ora sviluppando malware capace di adattare dinamicamente il proprio comportamento durante l'esecuzione.

Identificato per la prima volta all'inizio di giugno 2025, PROMPTFLUX è il primo caso confermato di software malevolo che utilizza un modello di linguaggio di grandi dimensioni (LLM) per riscrivere attivamente il proprio codice sorgente. Il dropper, scritto in VBScript, richiama direttamente l'API Gemini di Google per generare tecniche di offuscamento e aggiramento, presentando ai meccanismi di protezione tradizionali un bersaglio in costante mutamento.

I ricercatori di sicurezza parlano di un'escalation della situazione delle minacce: con il cosiddetto malware "Just-in-Time", il software dannoso si evolve durante l'attacco per eludere i sistemi di rilevamento, rendendo la sua identificazione e neutralizzazione estremamente più difficile rispetto alle minacce statiche.

Caratteristiche chiave e sviluppi osservati

I recenti studi del Google Threat Intelligence Group (GTIG) hanno rivelato diverse tendenze preoccupanti nell'evoluzione del panorama delle minacce cibernetiche legate all'intelligenza artificiale. Queste osservazioni delineano un futuro in cui gli attacchi diventano più sofisticati, evasivi e difficili da prevedere.

Prima adozione di IA "Just-in-Time" nel malware

• Il GTIG ha identificato per la prima volta famiglie di malware, tra cui PROMPTFLUX e PROMPTSTEAL, che utilizzano modelli di linguaggio di grandi dimensioni (LLM) durante l'esecuzione.
• Questi malware generano dinamicamente script malevoli, offuscano il proprio codice e creano funzioni dannose solo quando necessario, anziché incorporarle staticamente.
• Sebbene questa tecnologia sia ancora in una fase iniziale, rappresenta un passo significativo verso minacce più autonome e adattabili, capaci di mutare in tempo reale per sfuggire ai meccanismi di difesa.

Social engineering per eludere le protezioni

• Gli attori delle minacce stanno sfruttando pretesti simili al social engineering nelle loro richieste ai modelli di IA.
• Ad esempio, si presentano come studenti partecipanti a competizioni "Capture-the-Flag" o come ricercatori di cybersicurezza per indurre Gemini a rilasciare informazioni altrimenti bloccate.
• Questo approccio consente lo sviluppo di strumenti e tecniche che sarebbero normalmente impediti dalle salvaguardie dell'IA, sfruttando le vulnerabilità intrinseche nella comprensione contestuale dei modelli linguistici.

Mercato maturo per gli strumenti IA della criminalità informatica

• Nel 2025, il mercato underground degli strumenti IA illegali ha mostrato una notevole evoluzione.
• Sono emerse offerte per strumenti multifunzionali che supportano attività come phishing, sviluppo di malware e ricerca di vulnerabilità.
• Questi strumenti abbassano significativamente la barriera d'ingresso per attori meno esperti, consentendo loro di condurre attacchi complessi con relativamente poca conoscenza tecnica, democratizzando di fatto la capacità di lanciare attacchi sofisticati.

Estensione lungo l'intero ciclo di attacco

• Gruppi sponsorizzati da stati, inclusi quelli provenienti dalla Corea del Nord, dall'Iran e dalla Repubblica Popolare Cinese, continuano a sfruttare Gemini per supportare tutte le fasi delle loro operazioni.
• Questo spazia dalla ricognizione e creazione di esche per il phishing, fino ai sistemi di comando e controllo (C2) e all'esfiltrazione di dati.
• L'IA sta diventando uno strumento onnipresente nell'arsenale di queste entità, rendendo i loro attacchi più efficienti e difficili da tracciare in ogni fase del kill chain.

Attori delle minacce sviluppano nuove capacità IA

Il 2025 ha segnato un'importante rivelazione da parte del Google Threat Intelligence Group (GTIG): l'identificazione di una famiglia di malware che utilizza modelli di IA durante l'esecuzione per alterare dinamicamente il proprio comportamento. Anche se molte implementazioni sono ancora a livello sperimentale, ciò rappresenta un'indicazione precoce di come gli attacchi futuri potrebbero integrare le funzionalità dell'IA direttamente nel loro flusso operativo, rendendoli intrinsecamente più fluidi e resistenti.

All'inizio di giugno 2025, il GTIG ha scoperto il dropper VBScript PROMPTFLUX. Questo malware interroga l'API Gemini per generare codice di offuscamento e aggiramento "just-in-time", rendendo estremamente difficile il rilevamento basato su firme statiche. Le caratteristiche dinamiche di questo approccio permettono al malware di mutare costantemente, evadendo le difese tradizionali che si basano sull'identificazione di schemi noti.

Le analisi sulle varianti di PROMPTFLUX

• Le prime analisi delle campioni di PROMPTFLUX suggeriscono che si tratta ancora di versioni di test: parti del codice sono commentate, le chiamate API sono limitate e, finora, non ci sono prove di compromissioni riuscite.
• Google ha prontamente disattivato le risorse associate, dimostrando una reazione rapida a questa minaccia emergente.
• Il cuore di PROMPTFLUX è il modulo chiamato "Thinking Robot". Questo modulo utilizza richieste POST con una chiave hardcoded per interagire con il modello "gemini-1.5-flash-latest", al fine di generare codice VBScript specifico progettato per eludere le soluzioni antivirus.
• Sebbene la funzione di auto-aggiornamento sia attualmente commentata, i log trovati in "%TEMP%\thinking_robot_log.txt" indicano chiaramente l'obiettivo di creare uno script metamorfico e in continua evoluzione.
• Varianti come la funzione "Thinging", che istruisce la rigenerazione oraria del codice, evidenziano che gli attaccanti stanno attivamente sperimentando cicli di mutazione ricorsivi. Questo suggerisce una ricerca verso una maggiore autonomia e capacità di evasione nel lungo termine.

I nomi dei file e gli esche utilizzati nei campioni di PROMPTFLUX richiamano schemi tipici di attori con motivazioni finanziarie, anche se al momento non è stata effettuata un'attribuzione a gruppi specifici. PROMPTFLUX è evidentemente ancora in fase di sviluppo, ma serve come un chiaro indicatore che l'offuscamento assistito dall'IA è destinato a guadagnare importanza nel panorama delle minacce future.

Misure di mitigazione

Secondo le attuali scoperte, l'attività di PROMPTFLUX si trova ancora in una fase di sviluppo o test e non ha ancora compromesso reti o dispositivi. Google ha intrapreso azioni immediate, disattivando le risorse associate e rafforzando le proprie misure di protezione. Inoltre, sia i classificatori che il modello stesso sono stati migliorati per poter riconoscere e bloccare future richieste volte a supportare tali attacchi, dimostrando un approccio proattivo alla sicurezza.

LLM genera comandi per il furto di documenti e informazioni di sistema

Nel giugno 2025, il Google Threat Intelligence Group (GTIG) ha scoperto che l'attore APT28 (conosciuto anche come FROZENLAKE), supportato dalla Russia, sta utilizzando un nuovo malware contro l'Ucraina: PROMPTSTEAL, riportato dal CERT-UA come LAMEHUG.

• Questo malware si distingue per l'uso di un modello di linguaggio di grandi dimensioni (specificamente Qwen2.5-Coder-32B-Instruct) tramite l'API di Hugging Face per generare comandi dinamicamente, invece di codificarli staticamente al suo interno.
• PROMPTSTEAL si maschera come un programma di generazione di immagini, mentre in background raccoglie informazioni di sistema e copia documenti, che vengono poi esfiltrati.
• Le analisi indicano che il malware è in continua evoluzione, con nuove misure di offuscamento e metodi di comando e controllo (C2) adattati, rendendolo una minaccia persistente e mutevole.

Social engineering per eludere le salvaguardie

Gli attori delle minacce stanno sfruttando tattiche di social engineering per aggirare i meccanismi di sicurezza dell'IA. Un esempio lampante è l'uso di pretesti ingannevoli, come spacciarsi per partecipanti a concorsi "Capture-the-Flag", per indurre Gemini a fornire informazioni che possono essere impiegate per attacchi.

• Un attore collegato alla Cina ha utilizzato questo approccio per creare contenuti esca, costruire infrastrutture e sviluppare strumenti per l'esfiltrazione di dati.
• Commenti come "Sto lavorando a un problema CTF" servivano a mascherare lo sfruttamento come un esercizio legittimo, fornendo istruzioni dettagliate per attività come il phishing, la creazione di web-shell e lo sfruttamento di vulnerabilità.
• Questo dimostra una sofisticazione crescente nella capacità di manipolare i modelli di IA per scopi malevoli.

Misure di mitigazione di Gemini

Durante gli attacchi sopra descritti, le salvaguardie di Gemini hanno impedito danni significativi. Google ha disattivato le risorse dell'attore e ha utilizzato le informazioni raccolte per migliorare ulteriormente i classificatori e il modello stesso. In futuro, Gemini sarà in grado di riconoscere tali richieste e non fornirà più supporto per attività malevole, rafforzando la sua resilienza contro questi tipi di manipolazioni.

Mercato crescente per gli strumenti IA nei forum underground

Nel sottobosco della criminalità informatica, sta emergendo un fiorente mercato per strumenti e servizi IA appositamente sviluppati. Questi consentono ai cybercriminali, anche con competenze tecniche limitate, di orchestrare attacchi complessi e automatizzati. Il Google Threat Intelligence Group (GTIG) ha monitorato annunci in lingua inglese e russa per strumenti multifunzionali che supportano diverse fasi del ciclo di attacco, tra cui phishing, sviluppo di malware e altro.

• Molte di queste offerte assomigliano a legittime pubblicità di prodotti, sfruttando modelli "freemium" o basati su abbonamento e vendendo funzionalità aggiuntive come l'accesso a immagini o API.
• Il GTIG prevede che, con la crescente disponibilità di tali servizi, l'uso dell'IA nelle operazioni criminali continuerà ad aumentare in modo esponenziale, rendendo le minacce più pervasive e accessibili a un pubblico più ampio di malintenzionati.

Uso continuativo di Gemini da parte di attori sponsorizzati da stati

Gruppi sponsorizzati da stati provenienti dalla Corea del Nord, dall'Iran e dalla Cina continuano a sfruttare strumenti di IA generativa come Gemini per supportare tutte le fasi dei loro attacchi. Ciò include attività di ricognizione, creazione di esche di phishing, sviluppo di sistemi di comando e controllo (C2) e esfiltrazione di dati, sottolineando l'importanza strategica dell'IA in contesti di cyber-guerra.

• In particolare, un attore cinese ha utilizzato Gemini per campagne di intrusione mirate a sistemi Windows, infrastrutture cloud, vSphere e Kubernetes.
• Le sue ricerche includevano la raccolta di informazioni sulla sicurezza e la preparazione per l'exploit.

Questo dimostra una profonda integrazione dell'IA nelle operazioni avanzate di queste entità, che la usano non solo per l'efficienza ma anche per la sofisticazione e l'adattabilità dei loro attacchi. L'IA, in mani nemiche, sta trasformando radicalmente il panorama della cybersicurezza globale.