L’intelligenza artificiale crea un effetto moltiplicatore negli attacchi informatici
ESET, leader mondiale nella sicurezza informatica, ha pubblicato il suo Half-Time Threat Report 2026, che riassume le tendenze del panorama delle minacce osservate nella telemetria ESET da dicembre 2025 a maggio 2026 e gli approfondimenti degli esperti di rilevamento e ricerca delle minacce ESET.

Secondo il rapporto, la prima metà del 2026 mostra come gli aggressori continuano a migliorare l'efficienza e la scalabilità delle loro operazioni. L’intelligenza artificiale (AI) svolge un ruolo sempre più importante in questo sviluppo. ESET ha analizzato quasi 900mila competenze AI, ovvero piccoli componenti funzionali utilizzati dagli agenti AI. Ha rilevato migliaia di campioni chiaramente dannosi con decine di migliaia di sospetti. L'intelligenza artificiale sta iniziando a comparire anche all'interno del malware: i ricercatori di ESET hanno identificato PromptSpy, il primo malware Android noto a utilizzare l'intelligenza artificiale generativa nel flusso di esecuzione.
Jiří Kropáč, direttore dei Threat Prevention Labs di ESET, ha dichiarato: "Invece di fare affidamento su metodi e strumenti completamente nuovi, gli aggressori stanno rapidamente adattando le tecniche consolidate a nuove piattaforme, tecnologie e comportamenti degli utenti. Il numero di funzionalità di intelligenza artificiale in questo nuovo ecosistema è attualmente in rapido aumento, consentendo attacchi." “D’altra parte, PromptSpy dimostra il potenziale per una maggiore resilienza contro le minacce future, anche se le misure di salvaguardia contro l’uso improprio incluse negli LLM stanno probabilmente rallentando l’adozione di questa tecnologia”.
Le funzionalità AI sono piccoli plug-in o serie di istruzioni che indicano a un agente AI come eseguire un'attività specifica, inclusi quali servizi o strumenti utilizzare e a quali dati accedere. Il rapporto pubblicato fornisce dettagli dettagliati sulle abilità di intelligenza artificiale dannose che utilizzano strumenti di hacking di terze parti come Mimikatz o Impacket, nonché sospette capacità di automodificazione progettate per creare un meccanismo di persistenza (file JSON) e uno strumento di automodificazione (codice Python). Ciò può portare a un comportamento imprevedibile dell'agente o ad abusi da parte di un utente malintenzionato. Infine, ci sono anche funzionalità innocue ma problematiche commercializzate come scanner di sicurezza che creano un falso senso di sicurezza ma applicano solo tecniche di scansione di base (come gli strumenti antivirus degli anni '90) o interrogano la reputazione di hash, URL e indirizzi IP su VirusTotal.
ClickFix, una tecnica di ingegneria sociale che sfrutta falsi messaggi di errore, si è espansa oltre i falsi avvisi CAPTCHA in pagine di aiuto a tema AI, estensioni del browser e scenari di autenticazione cloud. AI-fix dimostra come gli aggressori sfruttano la fiducia nell’intelligenza artificiale generativa; Gli aggressori stanno incorporando le catene di attacco ClickFix nei contenuti di risoluzione dei problemi generati dall'intelligenza artificiale per problemi inesistenti su pagine che abusano dei domini dei giganti dell'intelligenza artificiale. ConsentFix, d'altro canto, evidenzia un'evoluzione verso il furto di token, combinando l'interazione in stile ClickFix con l'abuso dell'autorizzazione OAuth per prendere il controllo degli account cloud senza la necessità di rubare credenziali e facendo affidamento su flussi di lavoro di accesso del tutto legittimi, spesso aggirando l'autenticazione a più fattori (MFA). I rilevamenti di questo vettore da parte di ESET sono più che raddoppiati tra la seconda metà del 2025 e la prima metà del 2026, indicando che l'attività continua e gli aggressori si stanno adattando.
Il phishing con codice QR ha raggiunto livelli record
Anche le campagne di phishing si stanno evolvendo in risposta al comportamento degli utenti. Il phishing dei codici QR, noto anche come “quishing”, ha raggiunto livelli record nei dati di telemetria ESET. Gli aggressori stanno inserendo collegamenti dannosi nei codici QR per aggirare i controlli e spostare l’interazione dell’utente sui dispositivi mobili, sfruttando al tempo stesso la fiducia implicita che molte persone ripongono nei codici a barre a forma quadrata. Circa l'11% di tutte le e-mail di phishing rilevate nella prima metà del 2026 utilizzavano codici QR e le minacce di phishing tramite codici QR erano più comuni negli Stati Uniti (19% dei rilevamenti), Spagna (17%) e Messico (6%).
Gli attacchi di riscatto continuano
L'attività ransomware non ha mostrato segni di rallentamento; Hanno continuato a essere utilizzati killer EDR progettati per disabilitare il software di sicurezza durante gli attacchi. La ricerca ESET ha documentato più di 100 diversi killer EDR utilizzati nel mondo reale e nuove varianti continuano ad emergere regolarmente.Sebbene nella prima metà del 2026 il numero degli attacchi ransomware continui ad aumentare, il numero delle vittime disposte a pagare ha raggiunto il minimo storico. Tre recenti rapporti di settore confermano questa tendenza al ribasso, segnalando che la percentuale di vittime paganti è compresa tra il 14 e il 28%.






