Secondo l’ultimo Threat Insights Report di HP Inc., relativo al periodo ottobre-dicembre 2025, gli attacchi assistiti dall’intelligenza artificiale stanno superando con successo le difese aziendali tradizionali, nonostante la loro natura spesso schematica e a basso sforzo. La tendenza emergente vede i cybercriminali privilegiare la velocità e il risparmio economico, utilizzando l’AI per scalare e automatizzare campagne che, pur non essendo di alta qualità, risultano estremamente efficaci nel colpire gli endpoint.
Vibe-hacking e l’abuso dei domini fidati
Tra le tecniche più insidiose identificate dai ricercatori di HP Wolf Security figura il cosiddetto
“vibe-hacking”
. In questa modalità, gli aggressori utilizzano l’intelligenza artificiale per generare script di infezione pronti all’uso. Un esempio emblematico riguarda una campagna che sfrutta fatture PDF contraffatte: il documento attiva un download silenzioso da un sito compromesso, per poi reindirizzare l’utente su piattaforme legittime e conosciute come Booking.com. Questo stratagemma serve a rassicurare la vittima sulla liceità dell’operazione, mentre il codice malevolo è già in fase di esecuzione sul dispositivo. Alex Holland, Principal Threat Research presso HP Security Lab, spiega la dinamica: “È il classico triangolo del project management: velocità, qualità e costo. Spesso se ne sacrifica uno. Quello che stiamo vedendo è che molti attaccanti stanno ottimizzando velocità e costi, non la qualità. Non usano l’AI per alzare l’asticella; la usano per muoversi più velocemente e ridurre lo sforzo”.
La modularità del malware Flat-Pack e gli attacchi Piggyback
Un altro fronte critico è rappresentato dal malware “flat-pack”. Gli attori delle minacce stanno assemblando campagne utilizzando componenti modulari ed economiche, spesso acquistate su forum specializzati. Questo approccio consente di riutilizzare script e programmi di installazione intermedi, permettendo anche a gruppi non correlati tra loro di personalizzare e scalare gli attacchi con un impegno minimo. Parallelamente, si registra un aumento degli attacchi “piggyback”, che sfruttano il search engine poisoning per promuovere falsi siti di Microsoft Teams. Gli utenti, convinti di scaricare l’applicativo ufficiale, installano in realtà un pacchetto che contiene l’Oyster Loader: mentre il vero software Teams viene installato correttamente, il malware opera nell’ombra garantendo agli hacker un accesso backdoor al sistema.
Superare il paradigma del rilevamento
I dati raccolti indicano che il 14% delle minacce via email identificate da HP Sure Click ha superato uno o più scanner gateway. I file eseguibili rimangono il tipo di consegna più diffuso (37%), seguiti da archivi .zip (11%) e documenti .docx (10%). Di fronte a questa velocità di rigenerazione del malware, il dottor Ian Pratt, Global Head of Security for Personal Systems di HP Inc., avverte: “Gli attacchi assistiti dall’AI stanno mettendo in luce i limiti della sicurezza basata sul rilevamento. Quando gli aggressori possono generare e riconfezionare malware in pochi minuti, le difese basate sul rilevamento non riescono a stare al passo”. La soluzione indicata risiede nell’isolamento delle attività ad alto rischio all’interno di ambienti protetti a livello hardware. In Italia, la prospettiva è confermata da Giampiero Savorelli, VP e AD HP Italy: “Non è più sufficiente affidarsi esclusivamente a strumenti di rilevamento: occorre contenere il rischio, isolare le attività potenzialmente pericolose e proteggere gli endpoint, PC e printing, fin dal livello hardware”.
