CrowdStrike ha pubblicato lunedì il suo Global Threat Report 2026, documentando un aumento dell’89% su base annua delle operazioni degli avversari basate sull’intelligenza artificiale. Il rapporto afferma che l’intelligenza artificiale sta ora conducendo attacchi più rapidi e furtivi e allo stesso tempo diventando essa stessa un bersaglio. L’intelligence raccolta da oltre 280 autori di minacce nominati rivela che il “tempo di breakout” medio, ovvero il periodo dalla violazione iniziale al movimento laterale attraverso una rete, è sceso a 29 minuti nel 2025.
Ciò rappresenta un aumento della velocità del 65% rispetto al 2024. Il breakout più veloce osservato ha richiesto solo 27 secondi e, in un caso specifico, l’estrazione dei dati è iniziata entro quattro minuti dall’accesso iniziale. Inoltre, l’82% dei rilevamenti era privo di malware, confermando la tendenza verso il furto di credenziali e le intrusioni basate sull’identità.
Gli avversari prendono di mira direttamente i sistemi di intelligenza artificiale. Sono stati introdotti suggerimenti dannosi negli strumenti di intelligenza artificiale generativa di oltre 90 organizzazioni per rubare credenziali e criptovaluta. Gli aggressori hanno sfruttato le vulnerabilità nelle piattaforme di sviluppo dell’intelligenza artificiale per distribuire ransomware e pubblicare server IA non autorizzati per intercettare dati sensibili. Sul lato offensivo, il gruppo legato alla Russia FANCY BEAR ha implementato LAMEHUG, un malware abilitato per LLM identificato dal CERT-UA ucraino nel luglio 2025. LAMEHUG utilizza il modello Qwen2.5-Coder-32B-Instruct per generare dinamicamente comandi di ricognizione.
Il gruppo criminale informatico PUNK SPIDER ha utilizzato script generati dall’intelligenza artificiale per accelerare il dumping delle credenziali e distruggere le prove forensi. FAMOUS CHOLLIMA, legato alla Corea del Nord, ha sfruttato i personaggi generati dall’intelligenza artificiale per ampliare le operazioni di minaccia interna.
L’attività degli stati-nazione è aumentata in modo significativo. Le operazioni informatiche legate alla Cina sono aumentate del 38% nel 2025, con il settore logistico che ha registrato un aumento dell’85% negli obiettivi. Il 67% delle vulnerabilità sfruttate dagli attori del nesso cinese hanno consentito un accesso immediato al sistema, mentre il 40% ha preso di mira i dispositivi edge affacciati su Internet.
Gli incidenti legati alla Corea del Nord sono aumentati di oltre il 130%, con l’attività di FAMOUS CHOLLIMA più che raddoppiata. Il furto di criptovaluta da 1,46 miliardi di dollari di PRESSURE COLLIMA è stato segnalato come la più grande rapina finanziaria mai segnalata.
Le intrusioni focalizzate sul cloud sono aumentate complessivamente del 37%, incluso un aumento del 266% da parte di attori sostenuti dallo Stato che hanno preso di mira gli ambienti cloud. Il 42% delle vulnerabilità sono state sfruttate prima della divulgazione pubblica, poiché gli aggressori hanno utilizzato come armi le vulnerabilità zero-day. Il presidente di CrowdStrike Michael Sentonas ha dichiarato: “I prompt saranno il nuovo malware”.
