Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- L’intelligenza artificiale aiuta gli aggressori a sfruttare le vulnerabilità più velocemente che mai.
- La maggior parte degli attacchi cloud ora prendono di mira software program deboli di terze parti.
- Per tenere il passo, le aziende hanno bisogno di difese automatizzate e basate sull’intelligenza artificiale.
Non è ancora chiaro se la maggior parte delle aziende tragga benefici misurabili dall’implementazione dell’intelligenza artificiale nelle proprie organizzazioni, ed è probabile che il dibattito diventi più controverso nel tempo.
Ma almeno un settore sta ottenendo enormi guadagni di produttività nell’period dell’intelligenza artificiale: i criminali informatici hanno più successo che mai nello sfruttare le vulnerabilità per attaccare le aziende nel cloud, dove sono più vulnerabili.
Anche: Agenti IA del caos? Una nuova ricerca mostra come i robotic che parlano con i robotic possano andare lateralmente velocemente
Questa è la conclusione di a rapporto appena pubblicato dall’esercito di investigatori e ingegneri della sicurezza di Google che ho potuto esaminare prima della sua pubblicazione. Sulla base delle sue osservazioni della seconda metà del 2025, Google Cloud Safety ha concluso: “La finestra tra la divulgazione delle vulnerabilità e lo sfruttamento di massa è crollata di un ordine di grandezza, da settimane a giorni”.
Il rapporto conclude che il modo migliore per combattere gli attacchi basati sull’intelligenza artificiale è con difese potenziate dall’intelligenza artificiale: “Questa attività, insieme ai tentativi assistiti dall’intelligenza artificiale di sondare gli obiettivi per ottenere informazioni e alla continua enfasi degli attori delle minacce sul furto incentrato sui dati, indica che le organizzazioni dovrebbero rivolgersi a difese più automatiche”.
Intrufolarsi attraverso codice di terze parti
In questi giorni, osserva il rapporto di Google, le minacce alla sicurezza non prendono di mira l’infrastruttura principale di servizi come Google Cloud, Amazon Net Companies e Microsoft Azure. Questi obiettivi di alto valore sono ben garantiti. Invece, gli autori delle minacce (un nome educato che embrace sia bande criminali che agenti sponsorizzati dallo stato, in particolare dalla Corea del Nord) mirano advert attaccare le vulnerabilità senza patch nel codice di terze parti.
Anche: L’intelligenza artificiale renderà la sicurezza informatica obsoleta o la Silicon Valley tornerà a confabulare?
Il rapporto contiene numerosi esempi dettagliati di questi attacchi, con le vittime non menzionate per nome. Uno riguardava lo sfruttamento di una vulnerabilità critica RCE (Distant Code Execution) in React Server Parts, una popolare libreria JavaScript utilizzata per creare interfacce utente in siti Net e app mobili; tali attacchi sono iniziati entro 48 ore dalla divulgazione pubblica della vulnerabilità (CVE-2025-55182comunemente indicato come React2Shell).
Un altro incidente ha coinvolto una vulnerabilità RCE nella popolare piattaforma XWiki (CVE-2025-24893) che consentiva agli aggressori di eseguire codice arbitrario su un server remoto inviando una stringa di ricerca specifica. Il bug è stato corretto nel giugno 2024, ma la patch non è stata ampiamente distribuita e gli aggressori (comprese le bande di mining di criptovalute) hanno iniziato sfruttandolo sul serio nel novembre 2025.
Anche: Il nuovo spaventoso trucco dell’intelligenza artificiale: condurre attacchi informatici invece di limitarsi a dare una mano
Un resoconto particolarmente succoso riguarda una banda di aggressori sponsorizzati dallo stato noti come UNC4899, probabilmente provenienti dalla Corea del Nord, che hanno preso il controllo dei carichi di lavoro di Kubernetes per rubare milioni di dollari in criptovaluta. Ecco come è avvenuto l’exploit:
UNC8499 ha preso di mira e indotto uno sviluppatore ignaro a scaricare un file di archivio con il pretesto di una collaborazione su un progetto open supply. Lo sviluppatore subito dopo ha trasferito lo stesso file dal proprio dispositivo personale alla propria workstation aziendale tramite Airdrop. Utilizzando l’ambiente di sviluppo integrato (IDE) assistito dall’intelligenza artificiale, la vittima ha quindi interagito con i contenuti dell’archivio, eseguendo infine il codice Python dannoso incorporato, che ha generato ed eseguito un file binario mascherato da strumento da riga di comando Kubernetes. Il codice binario si dirigeva verso i domini controllati dall’UNC4899 e fungeva da backdoor che consentiva agli autori della minaccia di accedere alla workstation della vittima, garantendo loro di fatto un punto d’appoggio nella rete aziendale.
Un altro incidente ha coinvolto una serie di passaggi iniziati con un pacchetto Node Bundle Supervisor compromesso che ha rubato il token GitHub di uno sviluppatore e lo ha utilizzato per accedere advert Amazon Net Companies, rubare file archiviati in un bucket AWS S3 e quindi distruggere gli originali. Tutto è successo nel giro di 72 ore.
Identità compromessa
L’altro risultato importante è il passaggio dall’attacco alle credenziali deboli con attacchi di forza bruta a favore dello sfruttamento dei problemi di identità attraverso una varietà di tecniche:
- Il 17% dei casi riguardava ingegneria sociale basata sulla voce (vishing)
- Il 12% ha fatto affidamento sul phishing tramite posta elettronica
- Il 21% ha coinvolto rapporti di fiducia compromessi con terze parti
- Il 21% ha coinvolto attori che sfruttavano identità umane e non umane rubate
- Il 7% è dovuto a soggetti che hanno ottenuto l’accesso tramite applicazioni e risorse infrastrutturali configurate in modo improprio
E gli aggressori non vengono sempre da molto lontano; il rapporto rileva che “interni malintenzionati” – inclusi dipendenti, appaltatori, consulenti e stagisti – inviano dati riservati all’esterno dell’organizzazione. Sempre più spesso, questo tipo di incidenti coinvolge servizi di archiviazione cloud indipendenti dalla piattaforma e incentrati sul consumatore come Google Drive, Dropbox, Microsoft OneDrive e Apple iCloud. Il rapporto lo definisce “il mezzo in più rapida crescita per estrarre dati da un’organizzazione”.
Anche: OpenClaw è un incubo per la sicurezza: 5 segnali d’allarme da non ignorare (prima che sia troppo tardi)
Una nota inquietante è che oggigiorno gli aggressori si prendono tutto il tempo necessario prima di rendere nota la loro presenza. “Il 45% delle intrusioni ha provocato il furto di dati senza immediati tentativi di estorsione al momento dell’intervento, e questi sono stati spesso caratterizzati da tempi di permanenza prolungati e persistenza furtiva.”
Cosa possono fare le imprese per tutelarsi?
Ogni sezione del report embrace raccomandazioni da seguire per i professionisti IT per proteggere l’infrastruttura cloud. Tali linee guida sono nettamente suddivise in due categorie: consigli specifici per i clienti Google Cloud e indicazioni più generali per i clienti che utilizzano altre piattaforme.
Anche: Lanciare l’intelligenza artificiale? 5 tattiche di sicurezza che la tua azienda non può sbagliare e perché
Se sei un amministratore di una grande organizzazione con responsabilità in materia di sicurezza, vale la pena leggere attentamente questo consiglio e aggiungerlo alle misure di sicurezza esistenti. Ma cosa dovrebbero fare le piccole e medie imprese?
- Migliora il tuo gioco di patch assicurandoti che tutte le applicazioni software program, in particolare quelle di sviluppatori di terze parti, vengano aggiornate automaticamente.
- Rafforzare la gestione delle identità e degli accessi, utilizzando l’autenticazione a più fattori e garantendo che solo gli utenti autorizzati abbiano accesso agli strumenti amministrativi.
- Monitora la rete con l’obiettivo di identificare attività insolite e movimenti di dati. Ciò embrace attacchi dall’esterno e minacce interne.
- Preparare un piano di risposta agli incidenti al primo segnale di intrusione. Quelle prime ore possono essere un momento cruciale e il tentativo di raccogliere risorse investigative e di contenimento può richiedere giorni se non sei preparato.
Per le piccole imprese che non dispongono di esperti di sicurezza nel personale, la soluzione migliore è trovare un fornitore di servizi gestiti che abbia le competenze e l’esperienza di cui hai bisogno. Non vuoi iniziare la ricerca dopo che un utente malintenzionato ha già avuto successo.
