Il mondo della sicurezza informatica è spesso preoccupato da uno scenario da “giorno del giudizio”: un’intelligenza artificiale avanzata e autonoma in grado di aggirare qualsiasi firewall come una superpotenza digitale. Tuttavia, una recente indagine rivela una minaccia molto più immediata e concreta. Invece di creare “super-hacker”, l’intelligenza artificiale generativa agisce come un moltiplicatore di forza per criminali mediocri e non qualificati, consentendo loro di eseguire operazioni altamente redditizie e su larga scala.
Un recente rapporto della società di sicurezza informatica Expel ha scoperto un gruppo sponsorizzato dallo stato nordcoreano, soprannominato “HexagonalRodent “, che ha utilizzato strumenti commerciali di intelligenza artificiale per rubare circa 12 milioni di dollari in criptovaluta in soli tre mesi.
La campagna “Vibe Coding”.
L’operazione HexagonalRodent non è stata definita dalla genialità tecnica, ma dal suo uso intelligente di strumenti di intelligenza artificiale prontamente disponibili da aziende come OpenAI, Cursor e Anima. Il gruppo ha preso di mira una nicchia specifica: sviluppatori che lavorano su progetti Web3, NFT e criptovaluta su piccola scala.
Gli hacker hanno utilizzato una sofisticata tattica di ingegneria sociale:
1. Reclutamento falso: hanno utilizzato strumenti di web design basati sull’intelligenza artificiale per creare siti Web dall’aspetto professionale per aziende tecnologiche fraudolente.
2. Phishing tramite “Test”: Attiravano le vittime con false offerte di lavoro, chiedendo infine loro di completare un “incarico di codifica”.
3. Iniezione di malware: questi incarichi sono stati infettati da malware per il furto di credenziali progettato per prendere il controllo dei portafogli crittografici.
“Questi operatori non hanno le competenze per scrivere codici… L’intelligenza artificiale consente loro di fare cose che altrimenti non sarebbero in grado di fare”, afferma Marcus Hutchins, il ricercatore di sicurezza che ha scoperto il gruppo.
Impronte digitali: emoji e inglese
Nonostante il loro successo, gli hacker hanno lasciato indizi inequivocabili che il loro lavoro fosse generato dall’intelligenza artificiale. I ricercatori della sicurezza hanno notato diversi “segnali” nel malware:
– Codice pieno di emoji: il malware conteneva un uso frequente di emoji, una stranezza comune dei Large Language Models (LLM) che i programmatori professionisti utilizzano raramente nella codifica manuale.
– Annotazioni insolite: il codice era fortemente annotato con commenti in inglese, cosa atipica per gli operatori nordcoreani ma standard per gli output generati dall’intelligenza artificiale.
– Modelli standard: mentre il malware seguiva modelli prevedibili che i moderni strumenti di sicurezza dovrebbero rilevare, gli hacker sono riusciti a eludere l’attenzione prendendo di mira singoli sviluppatori privi di software EDR (rilevamento e risposta degli endpoint) di livello aziendale.
Un moltiplicatore di forza per un “sindacato del crimine”
Questa scoperta evidenzia un cambiamento fondamentale nel modo in cui la Corea del Nord conduce la guerra informatica. Il regime si trova ad affrontare una sfida strutturale: dispone di un’enorme riserva di lavoratori informatici poco qualificati ma di un numero molto limitato di hacker d’élite.
L’intelligenza artificiale risolve questo problema consentendo allo Stato di dimensionare le proprie operazioni senza aumentare le proprie competenze. Invece di aver bisogno di un team di sviluppo completo, un singolo operatore mediocre può utilizzare l’intelligenza artificiale per scrivere exploit, creare siti Web e perfezionare script di ingegneria sociale. Ciò ha trasformato le operazioni informatiche nordcoreane in qualcosa di simile a un sindacato criminale sanzionato dallo stato, che utilizza fondi rubati per aggirare le sanzioni internazionali e finanziare interessi nazionali, compresi i programmi nucleari.
Il punto cieco del settore
Le implicazioni più ampie per il settore della sicurezza informatica sono significative. Sebbene gran parte del dibattito attuale si concentri sul rischio futuro di un “hacking autonomo dell’intelligenza artificiale”, il vero pericolo si sta verificando proprio ora attraverso l’uso improprio degli strumenti commerciali esistenti.
I principali fornitori di intelligenza artificiale stanno già reagendo. OpenAI e Anthropic hanno entrambi segnalato di aver rilevato e bannato account nordcoreani. Cursor e Anima stanno inoltre lavorando per impedire agli autori malintenzionati di utilizzare le loro piattaforme.
Tuttavia, finché questi strumenti rimarranno accessibili, continueranno ad abbassare le barriere all’ingresso per la criminalità informatica. La minaccia non è un ipotetico “Skynet”; è la capacità degli attori non qualificati di muoversi con velocità e dimensioni senza precedenti.
Conclusione: L’intelligenza artificiale non sta necessariamente creando hacker più sofisticati, ma sta consentendo a quelli mediocri di operare a livello professionale, trasformando la criminalità informatica poco qualificata in un’industria ad alto rendimento sponsorizzata dallo stato.
