Cosa sono gli attacchi di distillazione nel panorama della sicurezza AI
Nel febbraio 2026, il Google Threat Intelligence Group (GTIG) ha pubblicato un rapporto che fa tremare la comunità di cybersecurity. I threat actor non solo utilizzano l’intelligenza artificiale come arma, ma iniziano a colpirla direttamente. Questi attacchi, chiamati ‘model extraction attacks’ o attacchi di distillazione, rappresentano una nuova frontiera dell’attività malevola digitale.
Non stiamo parlando di hacker dilettanti. I governi di Cina, Russia, Iran e Corea del Nord hanno operazionalizzato l’intelligenza artificiale alla fine del 2025. Usano strumenti come Gemini per accelerare i loro cicli di attacco, migliorando ricognizione, social engineering e sviluppo di malware. Ma la parte preoccupante arriva quando osserviamo come tentano di estrarre i modelli stessi.
Un attacco di distillazione, in termini semplici, è il furto di proprietà intellettuale attraverso estrazione sistematica delle capacità di un modello di machine learning maturo. L’avversario accede legittimamente all’API, lo interroga ripetutamente con prompt mirati e raccoglie le risposte per addestrare un proprio modello replica. È come avere accesso agli appunti di studio di Einstein e usarli per creare il vostro corso di fisica.
Il caso studio che ha fatto scattare l’allarme rosso
GTIG ha identificato un attacco specifico che illustra perfettamente il rischio. Un avversario ha lanciato oltre 100.000 prompt contro Gemini per tentare di replicare le sue eccezionali capacità di ragionamento, specificamente nelle lingue target non inglesi. L’obiettivo era copiare qualcosa di estremamente prezioso: le tracce di ragionamento interno del modello, i processi mentali che rendono Gemini così efficace nella risoluzione di problemi complessi.
I sistemi di Google hanno riconosciuto l’attacco in tempo reale e ridotto il rischio. Ma il messaggio è arrivato chiaramente: se potevano tentarlo, altri lo faranno. E non sempre verremo fermati in tempo.
Come gli attori APT abusano di intelligenza artificiale nel ciclo di attacco completo
Qui arriviamo al cuore del problema. L’intelligenza artificiale non è più un esperimento per i governi ostili. È diventata parte strutturale delle loro operazioni.
Ricognizione e targeting aumentati da AI
UNC6418, un attore non attribuito, ha utilizzato Gemini per raccogliere informazioni di intelligence mirata. Cercare credenziali di account sensibili, trovare indirizzi email, mappare individui ad alto valore. Subito dopo, il threat actor ha lanciato una campagna di phishing focalizzata su Ucraina e settore della difesa. Non era casualità. Era precisione algoritmicamente potenziata.
Temp.HEX dalla Repubblica Popolare Cinese ha fatto praticamente la stessa cosa ma su scala globale. Ha abusato di Gemini per compilare informazioni dettagliate su individui specifici in Pakistan, raccogliere dati operativi su organizzazioni separatiste in vari paesi. Una ricognizione che, manualmente, avrebbe richiesto mesi. Con intelligenza artificiale, giorni.
Social engineering potenziato da LLM
APT42, collegato all’Iran, ha sfruttato modelli AI generativi per aumentare significativamente il proprio impatto nel social engineering. Cercano email ufficiali reali, conducono ricognizione su potenziali partner commerciali, creano personas convince e scenari credibili per ingannare i target. Usano Gemini per tradurre in lingue locali. Il risultato è phishing che sembra provenire da qualcuno che conosce davvero il vostro settore, la vostra cultura, i vostri problemi.
UNC2970 dalla Corea del Nord si è concentrata sul targeting del settore della difesa, impersonando recruiter aziendali. Ha utilizzato Gemini per sintetizzare intelligence open source, profilare target ad alto valore, mappare ruoli tecnici specifici e informazioni salariali. Se ricevete un’offerta di lavoro entusiasmante da un recruiter che sa tutto di voi, chiedetevi: è umano o è stato generato da un modello?
Intelligenza artificiale e sviluppo di malware: la fusione temuta
Finora abbiamo parlato di intelligence gathering e social engineering. Ma cosa succede quando i threat actor usano l’intelligenza artificiale per sviluppare codice malevolo?
APT e codice offensivo automatizzato
APT31 dalla Cina ha adottato un approccio strutturato e allarmante. Chiede a Gemini di assumere il ruolo di esperto di cybersecurity e di automatizzare l’analisi delle vulnerabilità. Ha utilizzato uno strumento MCP (Model Context Protocol) chiamato Hexstrike per analizzare tecniche RCE, WAF bypass e SQL injection contro target specifici negli USA.
UNC795, sempre dalla Cina, si è affidata pesantemente a Gemini per l’intero ciclo di attacco. Più giorni a settimana impegnati con il modello per debugging, ricerca e sviluppo di capacità tecniche per attività di intrusione.
APT41 ha sfruttato Gemini per accelerare lo sviluppo e il deployment di malware. Sintesi della conoscenza, troubleshooting in tempo reale, traduzione del codice da un linguaggio all’altro. Automatizzazione di processo che riduce il tempo tra vulnerabilità scoperta e exploit deployato.
Famiglie di malware AI-native emergenti
HONESTCUE rappresenta una categoria completamente nuova di minaccia. È un framework downloader che invia un prompt direttamente all’API Gemini di Google e riceve codice sorgente C# come risposta. Il malware genera dinamicamente il codice della fase successiva ogni volta che viene eseguito. Non c’è payload statico, non c’è binario fisso che gli antivirus possono firmare. Il codice C# viene compilato ed eseguito direttamente in memoria usando CSharpCodeProvider, senza lasciare tracce su disco.
COINBAIT, identificato a novembre 2025, è un phishing kit mascherato da exchange di criptovalute. È probabilmente stato costruito con strumenti di generazione del codice AI, avvolto in una full React Single-Page Application con gestione complessa dello stato. Costruito velocemente, distribuito velocemente, raccogli credenziali.
Il problema dell’ecosistema underground di intelligenza artificiale jailbroken
Una scoperta particolarmente inquietante riguarda Xanthorox, un toolkit che si spaccia come AI personalizzata e privacy-preserving per scopi cyber offensivi. Il marketing prometteva un modello autogestito, completamente privato, costruito da zero per gli attaccanti.
Era una bugia. Xanthorox non era una vera AI. Era una raccolta di wrapper attorno a prodotti commerciali reali: Gemini, attraverso server MCP open-source (Crush, Hexstrike AI, LibreChat-AI e Open WebUI). Gli attaccanti prendevano modelli legittimi, li jailbravano, aggiungevano interfacce personalizzate e li rivendevano come soluzioni proprietarie.
Google Trust & Safety ha disabilitato tutti gli account e progetti AI Studio associati. Ma il pattern è chiaro: mentre i modelli frontier diventano più potenti e più controllati, crescerà un ecosistema sotterraneo di versioni jailbroken.
La campagna ClickFix e l’abuso di piattaforme AI pubbliche
A dicembre 2025, GTIG ha identificato una nuova campagna che sfrutta la condivisione pubblica delle piattaforme AI generative. I threat actor condividono contenuti di social engineering ingannevoli su ChatGPT, CoPilot, DeepSeek, Gemini e Grok. L’utente vede qualcosa che sembra legittimo, copia e incolla un comando nel terminale del sistema.
Quel comando esegue ATOMIC, un information stealer per macOS. Raccoglie dati del browser, wallet di criptovaluta, informazioni di sistema, file. Tutto quello che un avversario vuole sa di voi.
Il genio terribile: le piattaforme AI sono progettate per essere accessibili e facili da condividere. Gli attaccanti lo sanno. Le usano come CDN per malware sociale.
La risposta di Google alla minaccia di intelligenza artificiale
Google non sta aspettando passivamente. Ha introdotto il Secure AI Framework (SAIF), un framework concettuale per proteggere i sistemi AI. Ha sviluppato Big Sleep, un agente AI che trova vulnerabilità di sicurezza sconosciute nei modelli stessi. Ha creato CodeMender, un agente sperimentale per correggere automaticamente vulnerabilità critiche del codice.
Ma qui arriviamo al paradosso: gli stessi strumenti che proteggono l’intelligenza artificiale legittima potrebbero essere usati per cercare debolezze che gli attaccanti possono sfruttare. Quando il gioco dell’offesa e della difesa avviene nel dominio della intelligenza artificiale, entrambe le parti accelerano insieme.
La traiettoria preoccupante che non possiamo ignorare
Osservate la progressione negli ultimi mesi:
- Gennaio 2025: i threat actor usavano Gemini principalmente per guadagni di produttività durante la ricognizione
- Novembre 2025: identificazione di PROMPTFLUX e PROMPTSTEAL, malware che usano LLM durante l’esecuzione
- Febbraio 2026: attacchi di distillazione, integrazione AI nel ciclo di attacco completo, famiglie di malware AI-native
Non è sperimentazione casuale. È integrazione operativa sistematica. I threat actor dai paesi CRINK (Cina, Russia, Iran, Corea del Nord) sono in prima linea, con Iran e Cina che guidano l’innovazione malevola.
John Hultquist, chief analyst di GTIG, ha sottolineato l’importanza critica di un trend specifico: l’adozione di intelligenza artificiale agentiva da parte degli avversari. La capacità di operare autonomamente attraverso l’intera catena di intrusione non è un miglioramento incrementale. È un salto qualitativo. ‘La prossima scarpa che cadrà’, come dice Hultquist, quando gli agenti AI iniziano a prendere decisioni offensive autonomamente, notte e giorno, senza supervisione umana costante.
Finora nessun gruppo APT ha raggiunto capacità breakthrough che alterino fondamentalmente il panorama delle minacce. Ma la traiettoria è preoccupante. Molto preoccupante. Perché il ritmo di innovazione malevola in intelligenza artificiale sta accelerando più velocemente della nostra capacità di difenderci.
