CrowdStrike: l’AI sta comprimendo la finestra di reazione agli attacchi

L’intelligenza artificiale sta cambiando radicalmente il panorama della cybersicurezza globale. È quanto emerge dal Global Threat Report 2026 pubblicato da CrowdStrike (che fotografa un 2025 segnato da attacchi più rapidi, sofisticati e difficili da individuare. Secondo il report, il breakout time medio dell’eCrime (il tempo necessario agli attaccanti per muoversi lateralmente dopo l’accesso iniziale) è sceso a 29 minuti, con un record minimo di appena 27 secondi. Un’accelerazione del 65% rispetto al 2024 che dimostra come l’AI stia comprimendo drasticamente la finestra di reazione per i team di sicurezza.

Nel corso del 2025, gli avversari hanno inserito prompt malevoli in strumenti di GenAI all’interno di oltre 90 organizzazioni, sfruttando piattaforme legittime per generare comandi destinati al furto di credenziali e criptovalute. Non solo: sono state individuate vulnerabilità nelle piattaforme di sviluppo AI utilizzate per stabilire persistenza e distribuire ransomware, oltre alla creazione di falsi server AI presentati come servizi legittimi con l’obiettivo di intercettare dati sensibili. I prompt, di fatto, diventano il nuovo malware.

Attacchi più veloci e invisibili

L’AI consente agli attaccanti di automatizzare ricognizione, evasione e furto di credenziali. Le operazioni malevole che sfruttano l’intelligenza artificiale sono aumentate dell’89% su base annua. Le intrusioni si basano sempre più su identità legittime compromesse, applicazioni SaaS e ambienti cloud, rendendo le attività dannose quasi indistinguibili da quelle normali. In un caso documentato, l’esfiltrazione dei dati è iniziata appena quattro minuti dopo l’accesso iniziale: un segnale chiaro di quanto si stia riducendo il margine di intervento per i difensori.

Tra gli attori che hanno integrato l’AI nelle proprie strategie figurano gruppi riconducibili a Stati nazionali e organizzazioni eCrime. Il collettivo russo FANCY BEAR ha distribuito malware basato su modelli linguistici di grandi dimensioni (LLM), denominato LAMEHUG, per automatizzare la raccolta di documenti e le attività di ricognizione. Il gruppo criminale PUNK SPIDER ha utilizzato script generati dall’AI per accelerare il credential dumping e cancellare tracce forensi. Dal fronte nordcoreano, FAMOUS CHOLLIMA ha impiegato identità fittizie create con l’AI per ampliare operazioni di insider threat, mentre PRESSURE CHOLLIMA è responsabile del più grande furto singolo di criptovalute mai registrato: 1,46 miliardi di dollari. Nel complesso, l’attività riconducibile alla Cina è cresciuta del 38%, con il settore logistico che ha registrato un incremento fino all’85% degli attacchi. Il 67% delle vulnerabilità sfruttate da attori legati a Pechino garantiva accesso immediato ai sistemi, mentre il 40% colpiva dispositivi di rete esposti su Internet.

Zero-day e cloud nel mirino

Il report segnala inoltre che il 42% delle vulnerabilità è stato sfruttato prima della divulgazione pubblica, confermando l’uso sistematico di Zero-day per ottenere accesso iniziale, eseguire codice da remoto ed elevare privilegi. Le intrusioni orientate al cloud sono aumentate del 37%, con un picco del 266% attribuito ad attori statali impegnati in operazioni di intelligence.

“Stiamo assistendo a una vera corsa agli armamenti nell’AI -, ha dichiarato Adam Meyers, responsabile delle Counter Adversary Operations di CrowdStrike -. Gli avversari passano dall’accesso iniziale al movimento laterale in pochi minuti. L’AI sta trasformando i sistemi aziendali in bersagli e comprimendo il tempo tra pianificazione ed esecuzione. I team di sicurezza devono operare più velocemente dell’avversario per vincere”.