Un incubo digitale sta cambiando forma: un virus che impara, riscrive se stesso e mette a rischio l’intera catena dei nostri dispositivi.
Negli ultimi mesi la comunità della sicurezza informatica ha registrato un salto di livello nelle capacità offensive: non più semplici worm o trojan con regole fisse, ma codice che durante l’esecuzione consulta modelli di linguaggio avanzati per reinventarsi “al volo”, aggirando firme e euristiche.
Questa tendenza non è teoria, anzi: i team di threat intelligence hanno documentato casi in cui malware si avvalgono di LLM per generare variazioni di codice e tecniche di offuscamento in tempo reale, trasformando la rilevazione statica in un gioco di specchi.
Questo virus si riprogramma da solo: è un incubo
Il nome che è circolato negli ambienti specialistici per descrivere una prima istanza di questa classe di minacce è PROMPTFLUX. Si tratta di una famiglia di payload che non si limita a cambiare piccoli dettagli.
Durante la sua fase di runtime il componente malevolo può interrogare servizi LLM esterni — nelle analisi citate viene fatto l’esempio di Gemini come tipo di modello avanzato — per ottenere suggerimenti su come riscrivere blocchi di codice, riorganizzare flussi di controllo o generare condizioni di offuscamento “just-in-time” allo scopo di eludere scanner e sandboxes. In parole povere, il malware non è più una stringa statica ma un processo semi-autonomo che apprende e si adatta mentre viene eseguito.
Da un punto di vista tecnico la novità è duplice: il modello linguistico fornisce una capacità generativa sofisticata (ristrutturazione del codice, variazioni sintattiche ed elementi di offuscamento) e il malware incorpora meccanismi di telemetria che valutano l’efficacia delle varianti prodotte, iterando sulle versioni più “stealth”. Questo rompe i presupposti tradizionali degli antivirus basati su firme e rende le detection statiche rapidamente obsolete. È una forma di mutazione guidata che unisce tecniche di offuscamento classiche a suggerimenti contestuali prodotti da LLM.
Significa prima di tutto, che le difese devono spostarsi dalla semplice lista di firme a sistemi in grado di analizzare il comportamento in tempo reale e correlare telemetrie eterogenee.
Le strategie difensive efficaci comprendono l’adozione di soluzioni EDR/ XDR con capacità di analisi comportamentale, l’integrazione di threat intelligence aggiornata per riconoscere pattern emergenti, il monitoraggio delle connessioni outbound verso API di LLM e provider esterni e l’implementazione di policy di least privilege sul piano dei processi e degli account di servizio. Inoltre, occorre segmentare le reti operative e isolare i sistemi critici per limitare la perimetrazione di eventuali esecuzioni malevole.
Consigli su come difendersi
A livello operativo pratico, ma senza entrare in dettagli che possano essere male utilizzati, è fondamentale mantenere aggiornati firmware e software, abilitare l’autenticazione a più fattori per accessi remoti e proteggere le chiavi/API che potrebbero essere sfruttate per comunicare con servizi di generazione automatica.
È consigliabile predisporre backup offline e testati, piani di recovery e playbook di incident response che includano la possibilità di “kill switch” per isolare sistemi sospetti. Gli operatori dei servizi di telefonia dovrebbero infine collaborare con i provider cloud e i vendor di LLM per ottenere log e garanzie sui pattern anomali di utilizzo delle API, perché la telemetria fornita dai provider può essere cruciale per ricostruire catene di attacco basate su modelli esterni.
PROMPTFLUX e i suoi fratelli concettuali rappresentano una sfida seria: non solo perché il codice diventa dinamico, ma perché la linea tra automazione legittima e abuso si fa sottile. Per questo la risposta non può essere solo tecnica, ma organizzativa: formazione continua del personale, esercitazioni, investimento in strumenti di detection comportamentale e una postura di sicurezza che presuppone che l’attaccante possa sfruttare l’intelligenza artificiale. Solo così potremo ridurre la superficie d’attacco di un incubo digitale che sta già cambiando forma.
