L’utilizzo dell’intelligenza artificiale nelle operazioni di cyber attacco da parte di gruppi hacker russi contro l’Ucraina sta segnando una nuova era della guerra digitale. Secondo il rapporto pubblicato dal Servizio Statale per le Comunicazioni Speciali e la Protezione dell’Informazione ucraino, nel primo semestre del 2025 sono stati registrati 3018 incidenti informatici, in netto aumento rispetto ai 2575 della seconda metà del 2024. Questo incremento è attribuito in gran parte all’adozione di strumenti di intelligenza artificiale da parte dei cyber criminali, che non si limitano più a generare semplici messaggi di phishing, ma realizzano anche malware sofisticati sfruttando AI avanzata.

Attacchi e gruppi coinvolti

Uno degli episodi più rilevanti è stato l’attacco condotto dal gruppo UAC-0219 che ha utilizzato il malware WRECKSTEEL per colpire enti amministrativi e infrastrutture critiche in Ucraina. Le analisi suggeriscono che parte del codice malevolo sia stato generato tramite strumenti di intelligenza artificiale, indicando un’evoluzione nella capacità tecnica degli aggressori. Oltre a questo, vari altri gruppi come UAC-0218, UAC-0226, UAC-0227 e UAC-0125 hanno orchestrato campagne di phishing mirate contro forze di difesa, enti governativi e settori strategici, diffondendo stealer e backdoor come HOMESTEEL, GIFTEDCROOK, Amatera Stealer, Strela Stealer e Kalambur.

Sfruttamento delle vulnerabilità e tecniche di attacco

Un altro elemento di preoccupazione è rappresentato dallo sfruttamento di vulnerabilità zero-click in software di webmail come Roundcube e Zimbra, con vulnerabilità identificate da CVE recenti. Attraverso queste falle, i gruppi russi, tra cui il noto APT28, sono riusciti a iniettare codice malevolo, ottenere credenziali e deviare le email verso caselle controllate dagli aggressori. In alcuni casi, sono stati creati campi nascosti nei form di login per esfiltrare dati salvati nei browser delle vittime.

Nuove strategie e abuso di servizi legittimi

La strategia russa combina anche le offensive cyber con azioni cinetiche sul campo, come evidenziato dall’attività del gruppo Sandworm contro settori dell’energia, della ricerca e dei provider di servizi internet. Si osserva inoltre un crescente abuso di servizi legittimi come Dropbox, Google Drive, OneDrive e Telegram, usati per ospitare malware, pagine di phishing o canali di esfiltrazione dati, rendendo più difficile il rilevamento delle minacce.

La tendenza mostra come i gruppi di cyber criminali russi stiano raffinando strumenti, tattiche e infrastrutture, sfruttando sia l’innovazione tecnologica dell’intelligenza artificiale sia la vasta gamma di piattaforme digitali disponibili, con l’obiettivo di massimizzare l’impatto delle loro operazioni e superare le difese ucraine.