Negli ultimi mesi il panorama delle minacce informatiche sta assistendo a una rapida evoluzione, con nuovi kit di phishing avanzati che sfruttano l’intelligenza artificiale e tecniche avanzate di elusione delle difese come il bypass dell’autenticazione a più fattori (MFA). Tra i più recenti strumenti individuati dagli esperti di sicurezza ci sono BlackForce, GhostFrame, InboxPrime AI e Spiderman, ognuno dei quali mostra capacità sofisticate per il furto di credenziali su larga scala.

BlackForce

BlackForce, emerso nell’agosto 2025, è progettato per rubare credenziali e OTP, riuscendo a superare i sistemi MFA grazie ad attacchi Man-in-the-Browser. Questo kit, facilmente reperibile su forum Telegram per cifre intorno ai 200-300 euro, è in continua evoluzione e ha già preso di mira brand molto noti come Disney, Netflix e DHL. Grazie a tecniche di evasione, filtra i visitatori tramite una blocklist e aggiorna costantemente i suoi script malevoli tramite meccanismi di cache busting, garantendo l’efficacia delle campagne di phishing. Le credenziali rubate vengono inviate in tempo reale a bot Telegram e pannelli di comando remoti, consentendo agli attaccanti di gestire ogni fase dell’attacco.

GhostFrame

GhostFrame si distingue per la sua architettura che sfrutta semplici file HTML con iframe nascosti, in grado di mostrare pagine di login fasulle per Microsoft 365 o Google, eludendo molti controlli di sicurezza. Il kit adotta anti-analisi, anti-debugging e genera domini casuali per ogni visita, rendendo difficile il blocco delle campagne e facilitando la personalizzazione degli attacchi.

InboxPrime AI

InboxPrime AI rappresenta un ulteriore passo avanti: integra funzionalità di intelligenza artificiale per automatizzare la generazione e l’invio massivo di email di phishing. Questo toolkit, offerto in modalità malware-as-a-service, simula il comportamento umano nell’invio di email e sfrutta la webmail di Gmail per aggirare i filtri. Tra le sue funzioni troviamo la generazione di email personalizzate tramite IA, la creazione di template riutilizzabili e la randomizzazione dell’identità del mittente. Un modulo diagnostico aiuta a ottimizzare i messaggi per evitare i filtri antispam.

Spiderman

Spiderman, invece, consente attacchi mirati a clienti di banche europee replicando in modo fedele le pagine di login di decine di istituti finanziari. Offre strumenti per la gestione delle sessioni rubate, la raccolta di codici OTP, seed di wallet crypto e dati di carte di credito. Viene distribuito tramite gruppi Signal, con particolare attenzione a Germania, Austria, Svizzera e Belgio.

La tendenza attuale mostra anche la nascita di kit ibridi, come Salty-Tycoon 2FA, che combinano diverse tecniche per aggirare le difese, rendendo più difficile l’attribuzione e il rilevamento. Questi strumenti industrializzano il phishing, abbassando la barriera d’ingresso per i criminali informatici e aumentando notevolmente la scala e la qualità delle campagne di attacco.