Dai finti tecnici “assunti” in azienda sorretti da identità fasulle alla generazione industriale di ransomware. Il nuovo volto della cybercriminalità secondo CrowdStrike
Deepfake che entrano nelle imprese come se fossero dipendenti veri, attacchi lampo orchestrati con efficienza industriale e un confine sempre più sottile tra truffa psicologica e tecnologia avanzata. Benvenuti nel 2025 della cybercriminalità. Un anno in cui tecnica e fantasia degli hacker hanno trovato un alleato formidabile: l’AI. A raccontarlo è il nuovo Threat Hunting Report di CrowdStrike, che tratteggia uno scenario di minacce tanto sofisticato quanto inquietante. Gli “enterprising adversaries” adottano la stessa logica di un’azienda tech, solo che al posto di prodotti mettono in pipeline furti di credenziali, ransomware e spionaggio industriale.
L’ondata AI-powered
L’AI non sostituisce l’ingegno criminale: lo accelera e rafforzandolo, lo industrializza. È il fenomeno dell’AI trasformata in arma. Strumenti e tecniche, nati per scopi legittimi, come scrivere codice, generare testi o immagini, automatizzare processi, riutilizzati in chiave offensiva da criminali informatici o da attori statali. «Esempi concreti sono email generate senza errori grammaticali, adattate al contesto della vittima. Deepfake in tempo reale: video o audio falsi usati per impersonare dirigenti, colleghi o candidati a un colloquio. Codice malevolo scritto o modificato da AI per eludere le difese e la capacità di lanciare campagne di attacco su larga scala con tempi e costi ridotti» spiega Luca Nilo Livrieri, Senior Director, Sales Engineering – Southern Europe, CrowdStrike.
Nel Report sono riportati numerosi esempi. Una delle storie più inquietanti riguarda FAMOUS CHOLLIMA, gruppo criminale nordcoreano che ha trasformato il lavoro a distanza in un cavallo di Troia, infiltrando oltre 320 aziende in 12 mesi. Il trucco è un mix inquietante di AI e inganno. Curricula scritti da chatbot, identità digitali fasulle, colloqui superati grazie a deepfake creati in tempo reale. «L’AI ha aiutato ad automatizzare la generazione di curriculum e identità false. Una volta all’interno dell’azienda, i finti dipendenti utilizzavano assistenti AI per lavorare su più incarichi contemporaneamente, mascherando la loro identità» afferma Livrieri.
Il nuovo campo di battaglia
Dal rapporto emerge un mondo in cui i confini tra tecnologia e psicologia, software e inganno, codice e voce si fanno sempre più sfumati. Gli hacker usano l’AI per sembrare più umani, mentre i difensori devono insegnare agli umani a diffidare anche delle voci più credibili.
L’81% delle intrusioni avviene senza l’utilizzo di malware. Il Threat Hunting Report 2025 lascia presagire che la criminalità informatica forse a breve non avrà nemmeno più bisogno di inventarsi nuovi virus, ma solo nuove storie convincenti: un curriculum perfetto, una voce rassicurante al telefono, un volto senza difetti su uno schermo.
Che fare?
Per contrastare questa nuova generazione di attacchi, il report suggerisce un approccio multilivello a partire dal reclutamento dei propri collaboratori. Servono procedure di assunzione più rigorose, con verifiche d’identità approfondite, controlli incrociati sui curriculum e sui profili online. Un secondo fronte è la protezione delle identità digitali.
CrowdStrike consiglia di adottare sistemi di MFA più resistenti al phishing e di separare con attenzione gli account privilegiati. Fondamentale è il monitoraggio continuo dei sistemi con strumenti che segnalino in tempo reale accessi anomali, capaci di intercettare comportamenti sospetti nelle piattaforme cloud e SaaS. Infine, la preparazione alle emergenze: disporre di backup isolati e testati, piani di risposta agli incidenti aggiornati e, soprattutto, personale formato a riconoscere e respingere i tentativi di social engineering.
Agent e AI sotto controllo
La sfida per le difese aziendali – osserva Livrieri – si gioca soprattutto sulla velocità di risposta. «Il modus operandi di Scattered Spider, uno dei gruppi cybercriminali più aggressivi in circolazione, dimostra che i tempi per il deploy di ransomware sono in continua discesa. Le tecniche di phishing sono sempre più sofisticate e difficili da intercettare.
Per colmare questo divario – continua Livrieri – serve un’intelligenza artificiale sicura by design, che includa fin dall’inizio una gestione attenta delle configurazioni e delle vulnerabilità. È fondamentale che gli agenti AI siano associati ad identità digitali tracciabili, da monitorare costantemente. Per capire a quali risorse accedono e quali operazioni compiono. Occorre poi sviluppare una vera expertise sull’uso dell’AI, che sappia integrarsi nelle attività quotidiane di difesa. Alcune realtà più strutturate stanno già facendo questo passo, ma non tutte».
