Le recenti evidenze investigative delineano un sensibile cambio di paradigma nelle strategie operative dei gruppi ransomware, guidato dall’adozione dei modelli di linguaggio (LLM). Il caso di riferimento riguarda “The Gentlemen”, un threat actor che in meno di un anno ha rivendicato circa 500 vittime globali ottimizzando i propri flussi di lavoro tramite intelligenza artificiale.

L’integrazione degli LLM nelle operazioni criminali

L’analisi evidenzia come l’adozione dell’intelligenza artificiale non sia più solo teorica, ma agisca come un vero e proprio moltiplicatore di efficacia per le attività della gang, ottimizzando quattro fasi chiave del ciclo di attacco:

Analisi automatizzata dei dati

Fino a poco tempo fa, l’analisi di centinaia di gigabyte di dati esfiltrati richiedeva giorni o settimane di lavoro manuale da parte degli operatori, ritardando la fase di ricatto e limitando la scalabilità degli attacchi. Oggi, il gruppo supera questo vincolo impiegando varianti ottimizzate di modelli open-weight (tra cui Qwen), capaci di elaborare enormi dataset in pochi minuti. Il modello isola all’istante credenziali, cookie di sessione validi e informazioni sensibili, aumentando drasticamente la velocità e la pericolosità dell’estorsione.

Vibe-coding

In linea con la progressiva e ormai prevedibile adozione di assistenti di codifica basati su LLM da parte del cybercrimine, la piattaforma di negoziazione è stata interamente sviluppata in soli tre giorni dall’operatore. Questo approccio consolida la capacità dei piccoli gruppi di azzerare i tempi di implementazione del software, riducendoli da settimane a poche ore.

Ingegneria sociale

I dati estratti dall’AI alimentano i prompt per strutturare e personalizzare le e-mail di ricatto e i tentativi di contatto telefonico, identificando autonomamente i punti deboli della vittima.

Apprendimento e riuso tattico dai leak concorrenti

Invece di sviluppare da zero le procedure operative, il gruppo ha utilizzato i dati confidenziali e i manuali interni sottratti ad altre organizzazioni cybercriminali (come Black Basta) per fare fine-tuning o alimentare il contesto dei propri modelli LLM. L’AI ha così permesso di assimilare all’istante le migliori tattiche di negoziazione, i flussi di lavoro e le metodologie di attacco della concorrenza, ottimizzandole e industrializzandole senza richiedere una fase preliminare di sperimentazione sul campo.

Dinamiche di attacco e modello operativo

Il gruppo adotta un modello Ransomware-as-a-Service (RaaS) offrendo agli affiliati il 90% del riscatto. Il vettore di acesso iniziale primario è rappresentato dall’acquisto di credenziali legittime sottratte tramite malware infostealer. In assenza di credenziali, gli attori scansionano la rete a caccia di vulnerabilità note e non patchate su apparati Cisco e Fortinet.

La minaccia si concretizza con l’esecuzione del ransomware, distribuito in cinque varianti (Windows, Linux, ESXi). La versione scritta in Go include il parametro --spread che converte il payload in un worm autoreplicante, capace di automatizzare la cifratura dell’intera rete aziendale sfruttando i movimenti laterali.

Raccomandazioni e strategie di mitigazione

L’evoluzione di “The Gentlemen” dimostra come l’intelligenza artificiale e l’agilità strategica consentano alle gang criminali di superare i vecchi limiti logistici e di sicurezza. Quando un data leak ha esposto le loro chat interne nel maggio 2026, il gruppo ha reagito all’istante, migrando l’intera infrastruttura di comunicazione verso piattaforme decentralizzate. Questa capacità di riorganizzarsi e sviluppare tool in tempi record azzera i tempi morti degli attaccanti, riducendo drasticamente la finestra temporale per difendersi. Di conseguenza, la semplice reazione all’incidente non è più sufficiente: diventa indispensabile una difesa proattiva basata su tre azioni immediate.

1. Patch management tempestivo: Implementare politiche di aggiornamento reattive per tutti i dispositivi esposti direttamente su internet. I sistemi non aggiornati costituiscono il bersaglio primario delle scansioni automatizzate del gruppo.
2. IoC sempre aggiornati: Integrare feed di Threat Intelligence automatizzati all’interno dei sistemi di monitoraggio. Il controllo costante degli Indicatori di Compromissione (IoC) aggiornati permette di intercettare le comunicazioni con i server di comando e controllo (C2) e bloccare le attività prima che venga avviata l’esfiltrazione o la cifratura.
3. Bonifica immediata: Qualsiasi infezione da infostealer va trattata come una violazione di perimetro già avvenuta: è necessario invalidare immediatamente tutte le sessioni web attive, revocare i token di autenticazione e forzare il reset di tutte le credenziali memorizzate sul sistema compromesso, implementando l’autenticazione a più fattori (MFA).