Il Global Research and Analysis Team (GReAT) di Kaspersky ha delineato le previsioni relative alle minacce APT (Advanced Persistent Threat) per il 2025 evidenziando cambiamenti significativi, tra cui un aumento delle alleanze tra i gruppi di hacktivisti, l’uso sempre più diffuso di strumenti basati sull’IA, spesso con backdoor integrate, da parte di attori affiliati a uno Stato, un aumento degli attacchi alla supply chain di progetti open-source e una crescita nello sviluppo di malware che utilizzano Go e C++.
Ogni anno nell’ambito del Kaspersky Security Bulletin, il GReAT fornisce approfondimenti sulle attività APT più sofisticate e sulle minacce emergenti. Grazie al monitoraggio di oltre 900 gruppi e operazioni APT a livello globale, il team offre ad aziende e professionisti della sicurezza informatica una guida per affrontare le sfide del prossimo anno.
L’utilizzo sempre più frequente dell'AI da parte di attori affiliati a uno Stato
Nel 2024, i cybercriminali e i gruppi APT hanno fatto ricorso sempre più spesso all'intelligenza artificiale per realizzare attacchi efficaci. Ad esempio, il gruppo Lazarus ha utilizzato immagini generate dall'AI per sfruttare una vulnerabilità zero-day di Chrome e rubare criptovalute.
Un'altra tendenza preoccupante riguarda i gruppi APT che distribuiscono versioni compromesse di modelli di AI. Questi possono colpire modelli e dataset AI open-source popolari, inserendo codici dannosi o aggiungendo lievi errori che sono difficili da rilevare ma ampiamente diffusi. Gli esperti del GReAT prevedono che gli LLM diventeranno strumenti standard per la ricerca, l’automazione del rilevamento delle vulnerabilità e la generazione di script dannosi, con l’obiettivo di aumentare il tasso di successo degli attacchi.
“L'intelligenza artificiale è un'arma a doppio taglio: se i cybercriminali la utilizzano per potenziare i loro attacchi, chi si occupa della difesa può sfruttarla per rilevare più rapidamente le minacce e rafforzare i protocolli di sicurezza. Tuttavia, gli esperti di cybersicurezza devono usare questa tecnologia con cautela, per evitare che, involontariamente, apra nuove porte per gli attacchi”, ha commentato Maher Yamout, Lead Security Researcher di GReAT di Kaspersky.
Inoltre, gli esperti prevedono che i gruppi APT adotteranno sempre più frequentemente la tecnologia deepfake per fingersi un’altra persona. Ciò potrebbe tradursi nella creazione di messaggi o video estremamente convincenti per ingannare i dipendenti, rubare informazioni sensibili o compiere altre azioni dannose.
Altre previsioni ATP per il 2025 includono:
· Aumento degli attacchi alla supply chain dei progetti open-source: il noto caso XZ ha fatto emergere un problema significativo, ma ha anche accresciuto la consapevolezza della community di cybersecurity e ha spinto le aziende a migliorare il monitoraggio degli ecosistemi open-source. Non è previsto un incremento significativo nella frequenza di questi attacchi ma è probabile che aumenteranno quelli in corso che saranno scoperti grazie al miglioramento delle attività di rilevamento.
· Malware in C++ e Go si adatteranno all'ecosistema open-source: con l’adozione delle versioni recenti di C++ e Go nei progetti open-source, gli attori delle minacce dovranno adattare i malware a questi linguaggi ampiamente diffusi. Nel 2025, è previsto un aumento significativo dei gruppi APT e dei cybercriminali che migreranno alle ultime versioni di C++ e Go, sfruttando la loro crescente presenza nei progetti open-source.
· L’IoT come vettore di attacco APT in crescita nel 2025: i dispositivi IoT potrebbero raggiungere i 32 miliardi entro il 2030 e i rischi per la sicurezza sono destinati ad aumentare. Molti dispositivi si appoggiano a server non sicuri e firmware obsoleti, rendendoli vulnerabili. I cybercriminali sfrutteranno le debolezze delle applicazioni e delle supply chain, introducendo malware durante la fase di produzione. Poiché la visibilità sulla sicurezza IoT è ancora limitata, sarà difficile tenere il passo e la situazione potrebbe peggiorare ulteriormente nel 2025.
· Le alleanze tra hacktivisti cresceranno nel 2025: i gruppi di hacktivisti stringono sempre più spesso alleanze, condividendo strumenti e risorse utili a raggiungere gli obiettivi più ampi e di maggiore impatto. Nel 2025, queste alleanze aumenteranno la loro portata, realizzando campagne sempre più coordinate e dannose, dal momento che i gruppi si alleano per raggiungere obiettivi socio-politici comuni.
· Gli exploit BYOVD nelle campagne APT: la tecnica BYOVD (Bring Your Own Vulnerable Driver) è diventata una consuetudine nel 2024 e si prevede che continuerà anche nel 2025. Con il miglioramento delle abilità dei cybercriminali nello sfruttare le vulnerabilità di basso livello, è probabile che la complessità di questi attacchi aumenti, portando a tecniche sempre più sofisticate, come l'uso di driver obsoleti o di terze parti, che solitamente non vengono sottoposti a controlli di sicurezza per individuare eventuali falle di sicurezza.
Le previsioni APT sono state sviluppate grazie ai servizi di Threat Intelligence di Kaspersky utilizzati in tutto il mondo. Il report completo è disponibile su Securelist.com.
