Il Google Threat Intelligence Group (GTIG), la divisione di intelligence sulle minacce di Google, ha presentato il suo ultimo rapporto AI Threat Tracker, in cui analizza come diversi attori stiano attaccando e sfruttando le piattaforme di intelligenza artificiale generativa. Il rapporto rivela che l'IA ha smesso di essere solo uno strumento per accelerare gli attacchi: ora è anche un obiettivo in sé, con tentativi di replicarne le capacità. Allo stesso tempo, il settore della difesa è diventato un bersaglio più ampio, con campagne che mirano al furto di informazioni e alla sostituzione del personale militare tramite accessi indiretti. GTIG evidenzia la crescita dei tentativi di estrazione di modelli, una tecnica che cerca di replicare il comportamento di modelli proprietari —incluso il loro ragionamento— osservando le loro risposte. Questi tentativi provengono non solo da criminali informatici, ma anche da aziende private e ambienti accademici interessati a clonare la logica di modelli avanzati come Gemini, noto per la sua capacità di ragionamento. Per quanto riguarda gli attori statali, il rapporto sottolinea che l'IA viene impiegata in tutte le fasi del ciclo di attacco, specialmente per creare campagne di ingegneria sociale più sofisticate. Esempi citati includono APT42 (collegato all'Iran), che utilizza l'IA per identificare email ufficiali e raccogliere informazioni su potenziali obiettivi, e UNC2970 (collegato alla Corea del Nord), che utilizza Gemini per sintetizzare intelligence da fonti aperte (OSINT) e profilare obiettivi di alto valore, sostituendo reclutatori in campagne mirate al settore della difesa. Il rapporto documenta anche l'integrazione dell'IA in nuove varianti di malware. Alla fine del 2025, GTIG ha rilevato attori che sperimentavano con l'IA per aggiungere funzionalità inedite a famiglie di malware. Un caso è HONESTCUE, che utilizza l'API di Gemini per esternalizzare la generazione di funzioni, rendendo difficile la rilevazione tramite analisi di rete o statica. Nel campo delle frodi, GTIG ha identificato il kit di phishing COINBAIT, il cui sviluppo è stato accelerato grazie a strumenti di generazione di codice basati su IA. Questo kit simula di essere un importante exchange di criptovalute per rubare credenziali, e il suo dispiegamento è diventato più agile grazie all'automazione di modelli e flussi. Il rapporto segnala anche l'esistenza di un mercato clandestino dove vengono offerti presunti servizi di IA per attività malevole. Sebbene ci sia una domanda costante in forum in inglese e russo, molti attori dipendono da modelli esistenti e cercano chiavi API rubate. Un esempio è 'Xanthorox', promosso come IA personalizzata per generare malware e phishing, ma che in realtà funzionava come un "involucro" di prodotti commerciali e di terzi. Il secondo rapporto di Google, Beyond the Battlefield, si concentra sul settore militare. GTIG avverte riguardo agli attacchi a aziende che sviluppano tecnologie all'avanguardia, in particolare UAS/droni utilizzati nel conflitto tra Russia e Ucraina. Attori legati alla Russia non solo attaccano aziende, ma sostituiscono anche prodotti di difesa per compromettere il personale militare, sfruttando processi di assunzione, email personali e lavoro remoto per eludere i controlli aziendali. In Europa, GTIG evidenzia campagne attribuite a UNC5976, che da gennaio 2025 hanno effettuato phishing sostituendosi a appaltatori della difesa e fornitori di telecomunicazioni, utilizzando infrastrutture che imitano aziende del Regno Unito, Germania, Francia, Svezia e Norvegia. Infine, il rapporto menziona l'ascesa dell'hacktivismo prorusso, che alla fine del 2025 ha concentrato parte della sua attività sui droni e sul loro impatto sul campo di battaglia.