Il Google Threat Intelligence Group (GTIG) ha pubblicato un rapporto allarmante il 11 maggio: hacker legati a Stati e attori criminali stanno ora armando l'IA su scala industriale. Per la prima volta, il gruppo ha individuato un exploit zero-day che ritiene sia stato sviluppato con l'assistenza dell'IA. E un nuovo malware chiamato PROMPTSPY può osservare il flusso di autenticazione e bypassare l'autenticazione a due fattori in tempo reale. Il messaggio per gli utenti di criptovalute è chiaro — la 2FA standard non è più sufficiente.
Primo exploit zero-day assistito dall'IA
GTIG afferma di aver identificato un attore malevolo che utilizzava un exploit zero-day quasi certamente costruito con IA generativa. L'exploit era pianificato per un evento di sfruttamento di massa, ma una scoperta preventiva potrebbe averne impedito l'implementazione. Il rapporto non nomina la vulnerabilità specifica né l'attore dietro di essa, ma segna un punto di svolta. A febbraio 2026, GTIG descriveva l'attività avversaria assistita dall'IA come nascente e sperimentale. Ora la valutazione è che i modelli generativi sono integrati nei flussi di lavoro offensivi su larga scala.
PROMPTSPY: malware che osserva la tua autenticazione
Il rapporto descrive una capacità chiamata PROMPTSPY — malware abilitato all'IA che interpreta dinamicamente gli stati del sistema e genera comandi in tempo reale per manipolare gli ambienti delle vittime. Tra le sue caratteristiche più allarmanti: la capacità di eseguire attacchi temporali contro l'autenticazione a due fattori basata su SMS e su app durante sessioni live. Ciò significa che un utente potrebbe inserire un codice 2FA e il malware intercetta o dirotta la sessione prima che il codice raggiunga il servizio previsto. Il malware polimorfico che si riscrive per eludere il rilevamento è stato anche collegato a attori malevoli sospettati di avere legami con la Russia.
Perché la 2FA standard non è sufficiente
La scoperta di GTIG sfida direttamente l'assunzione che un codice monouso o una notifica push forniscano una sicurezza adeguata. Se il malware può osservare e rispondere ai flussi di autenticazione mentre accadono, il secondo fattore diventa una responsabilità piuttosto che uno scudo. Il rapporto raccomanda chiavi di sicurezza hardware, dispositivi di firma isolati (air-gapped) e architetture di wallet multi-firma per gli utenti di criptovalute. Questi metodi non si basano su un codice osservabile in rete che può essere intercettato in tempo reale.
Il rapporto nota anche che attori legati a Stati associati a Cina e Corea del Nord hanno mostrato un interesse significativo nell'uso dell'IA per la scoperta di vulnerabilità. Ciò suggerisce che il pipeline di exploit zero-day probabilmente accelererà. Per chiunque detenga criptovalute o gestisca account sensibili, la finestra per aggiornare oltre la 2FA basata su SMS si è appena ristretta notevolmente.
