La ricerca di SentinelOne mette in luce una nuova frontiera del cybercrime: i malware abilitati da LLM, capaci di generare codice malevolo in runtime sfruttando prompt incorporati e chiavi API hardcoded. Queste minacce emergono come varianti dinamiche difficili da rilevare con firme statiche, poiché ogni esecuzione può produrre output diversi. Gli esperti di SentinelLABS, intervenuti a LABScon 2025, descrivono campioni come MalTerminal, potenzialmente il primo malware noto a sfruttare un modello linguistico per costruire logica dannosa. L’uso di LLM integrati consente agli attaccanti di evadere i rilevamenti tradizionali, inserendo prompt che guidano la generazione di codice personalizzato sul dispositivo infetto. Se da un lato questa dipendenza da API rende i malware vulnerabili alla revoca delle chiavi, dall’altro introduce scenari di spionaggio e attacchi mirati con un grado di adattabilità senza precedenti. SentinelOne sottolinea come la difesa debba evolvere verso il monitoraggio del traffico API anomalo e la caccia proattiva basata su indicatori comportamentali.
Cosa leggere
Tecniche di attacco basate su LLM
Gli attaccanti sperimentano più approcci per sfruttare i modelli linguistici. Alcuni distribuiscono falsi assistenti AI come esca, attraendo vittime interessate a tool di tendenza. In altri casi, le campagne sfruttano iniezioni di prompt per manipolare applicazioni con LLM integrati, ampliando la superficie d’attacco. SentinelOne osserva come gli avversari usino i modelli sia come supporto per la generazione di codice malevolo sia per attività collaterali, come email di phishing o tool di penetration testing illegali. I prompt sono trattati come codice eseguibile, definendo ruoli (“esperto cyber”, “amministratore Windows”) e task specifici. Questo rende le varianti altamente adattabili e difficili da bloccare con approcci statici. Le firme antivirus falliscono contro output che cambiano di esecuzione in esecuzione, mentre il traffico verso endpoint API legittimi confonde ulteriormente i sistemi difensivi.
Esempi di malware AI-powered
Tra i campioni analizzati spicca PromptLock, considerato il primo ransomware AI-powered, sviluppato in Golang con compatibilità multipiattaforma (Windows PE e Linux ELF per x64 e ARM). PromptLock sfrutta prompt per bypassare controlli di sicurezza e per generare script Lua finalizzati a ricognizione e raccolta di dati sensibili. Un altro caso riguarda APT28 con le operazioni note come LameHug/PROMPTSTEAL, in cui venivano usate 284 chiavi HuggingFace trapelate per orchestrare comandi shell. Qui i prompt definivano ruoli specifici e producevano comandi JSON-Python per introdurre vulnerabilità (CWE) in codice legittimo. Infine, MalTerminal si distingue come malware che sfrutta GPT-4 per generare codice ransomware e reverse shell tramite script Python. La ricerca evidenzia come questi esempi, seppur ancora sperimentali, dimostrino un’evoluzione verso malware capaci di auto-modificarsi in base al contesto.
Sfide per la difesa e implicazioni cyber
La natura dinamica dei malware abilitati da LLM introduce nuove difficoltà per la cyber difesa. L’output generato runtime rende imprevedibile il comportamento, variando in funzione dell’ambiente. Le chiamate API, confondibili con traffico legittimo, mascherano le attività malevole. Tuttavia, la stessa dipendenza dalle chiavi API rappresenta una vulnerabilità: la revoca centralizzata può neutralizzare alcune varianti. SentinelOne utilizza il pattern matching su chiavi incorporate e strutture dei prompt come indicatori per l’hunting, identificando campioni inediti. La previsione è che queste tecniche diventino più mature man mano che gli attori affinano i metodi, rendendo cruciale la condivisione di IOC e l’analisi comportamentale. L’imprevedibilità dei LLM, capace di generare output diversi anche con prompt identici, obbliga i difensori ad adottare strumenti basati su analisi comportamentale e EDR avanzati.
Evoluzione e hunting proattivo
Secondo SentinelOne, l’evoluzione dei malware AI segue una traiettoria simile a quella osservata per gli infostealer degli anni passati, ma con un salto qualitativo. Gli attacchi si spostano da semplici builder automatizzati a tool che integrano LLM per generazione runtime, con capacità di adattamento in tempo reale. Le campagne di phishing diventano più persuasive grazie a prompt su misura, spesso diffusi tramite LinkedIn o allegati ZIP protetti. Gli attori firmano i binari con certificati legittimi, riducendo ulteriormente i rilevamenti. SentinelOne suggerisce come contromisure la combinazione di sandboxing, MFA, backup offline e monitoraggio delle chiamate API. L’azienda collabora con realtà come CERT-AGID per condividere indicatori e coordinare le difese, mentre i team di threat hunting adottano strategie mirate all’analisi di prompt e chiavi API incorporate. La caratteristica distintiva dei malware abilitati da LLM è la capacità di trattare i prompt come codice eseguibile, delegando la logica malevola al modello. Questo consente un livello di evasione che rende inefficaci le firme statiche, imponendo nuove strategie difensive. La dipendenza da chiavi API hardcoded è al contempo un punto di debolezza e un segnale utile per i difensori, che possono monitorare il traffico per identificare comportamenti anomali. Dal punto di vista tecnico, la sfida più rilevante è l’imprevedibilità ambientale: la stessa sequenza può generare malware diversi su dispositivi differenti. La direzione futura del cybercrime suggerisce la nascita di ransomware ibridi, capaci di fondere AI e payload tradizionali, con impatti devastanti se non affrontati con un approccio proattivo e collaborativo.
