Nel panorama della cybersecurity sta diventando sempre più difficile distinguere tra tecnologia normale e intenzioni malevole. Gli attaccanti non si limitano a forzare accessi, ma cercano di confondersi con i flussi di lavoro quotidiani, sfruttando strumenti legittimi, applicazioni affidabili e persino assistenti basati su intelligenza artificiale. Questo cambio di strategia rende molte campagne più silenziose ma anche più efficaci, perché si appoggiano a interfacce familiari, finti aggiornamenti e codice curato che riduce i sospetti.
Tra i casi più indicativi spicca l’abuso di un tool open source nato per il monitoraggio dei sistemi. Funzioni pensate per gli amministratori come esecuzione di comandi, trasferimento file e sessioni di terminale possono trasformarsi in un accesso remoto post-compromissione, utile per persistenza e movimento laterale. Questa tendenza mostra come il living off the land e l’uso di software legittimo possano aggirare difese basate su firme e controlli superficiali.
Sul fronte mobile cresce la pressione contro frodi e furti di identità. In alcuni contesti si sperimentano verifiche tramite riconoscimento facciale per attivare nuove SIM, con l’obiettivo di limitare registrazioni con documenti rubati o falsificati. In parallelo aumentano le minacce su Android legate a NFC, dove app malevole possono indurre le vittime ad avvicinare carte di pagamento e inserire PIN, combinando tecniche di social engineering con funzioni da trojan di accesso remoto e automazione delle transazioni.
Un altro rischio in espansione riguarda le false proof of concept pubblicate online. Repository apparentemente professionali e ben documentati possono nascondere archivi che installano backdoor e spyware, capaci di disabilitare le difese, elevare privilegi e rubare dati da wallet crypto e account di servizi popolari. Anche i loader multistadio, spesso offuscati e distribuiti via script o installer, continuano a crescere per consegnare payload finali difficili da analizzare.
L’intelligenza artificiale entra in gioco su due livelli. Da un lato emergono vulnerabilità nei chatbot, ad esempio prompt injection che sfrutta la gestione della cronologia e controlli incompleti, con possibili effetti come esfiltrazione dati o script nel browser. Dall’altro, anche strumenti per sviluppatori possono essere manipolati tramite contenuti esterni ritenuti affidabili, dimostrando che le debolezze web e API restano centrali anche quando un LLM è coinvolto.
