Barracuda full logo

WolfGPT: A "IA Avançada" para Malware

Argomenti:
28 ago 2025
|
Adam Khan

Mentre il panorama della criminalità informatica continua a evolversi, WolfGPT è uno strumento che si è imposto come un attore fenomenale nel regno dell'IA dannosa. Un post sul canale Telegram del gruppo "KEP TEAM" ha pubblicizzato WolfGPT come una "versione aggiornata dell'IA per lo sviluppo di strumenti non etici e di hacking". Il post riporta il vero e proprio arsenale di funzionalità di WolfGPT, tra cui la creazione di malware crittografato, l'iniezione di codici di processo, testi di phishing e la garanzia di una totale riservatezza.

WolfGPT ha rapidamente guadagnato popolarità tra i cybercriminali alla ricerca di capacità avanzate per le loro attività illecite. Questa schermata (risalente al 28 luglio 2023) spiega come gli attori delle minacce commercializzano questi strumenti in canali chiusi, con branding accattivante e art logo ASCII.

Screenshot del marketing per WolfGPT

Didascalia: Fonte immagine: FalconFeeds/X

Funzionalità di WolfGPT

WolfGPT viene descritto come una variante dannosa di ChatGPT che pone un forte accento sulla creazione di malware. Sfrutta la programmazione Python per generare malware crittografico e codici dannosi sofisticati, presumibilmente attingendo ad "ampi set di dati di malware esistenti" per farlo. In pratica, questo significa che WolfGPT potrebbe aiutare gli attaccanti a sviluppare routine di crittografia per ransomware, virus polimorfici o altri codici che incorporano crittografia e offuscamento.

Una capacità eccezionale inclusa in WolfGPT è una funzione di offuscamento che rende più difficile il rilevamento del codice generato da parte di antivirus o scanner di sicurezza. Inoltre, WolfGPT può produrre contenuti di phishing "astutamente ingannevoli" e persino facilitare campagne di phishing avanzate con un maggiore anonimato degli attaccanti. L'attenzione all'anonimato e alla riservatezza suggerisce che WolfGPT può contribuire alla sicurezza operativa (OpSec). Ad esempio, può generare testi di social engineering o malware con funzionalità tese a evitare l'attribuzione e la registrazione. Tutte queste funzionalità fanno sì che WolfGPT venga visto come un aiuto poliedrico per l'hacking, di fatto un co-pilota IA per le campagne di cybercriminalità.

Promozione e branding

WolfGPT è comparso per la prima volta alla fine di luglio 2023, quando diversi attori delle minacce hanno iniziato a promuoverlo sui forum del dark web e su Telegram. In particolare, un annuncio su un canale Telegram in lingua araba ha presentato WolfGPT in termini teatrali, descrivendolo come "un'IA inquietante... che surclassa sia WormGPT sia ChatGPT", per attirare gli acquirenti. Si diceva che lo strumento fosse scritto in Python, come Evil-GPT, e che garantisse "assoluta riservatezza" nelle sue operazioni.

Almeno un annuncio sul dark web per WolfGPT includeva un esempio di codice come dimostrazione della sua abilità, mostrando l'iniezione di processi in C++. Il marketing aggressivo, oltre ai riferimenti relativo al miglioramento di WormGPT, indica che i creatori di WolfGPT volevano sfruttare l'hype e presentarlo come "la prossima grande novità" nell'IA illecita.

Sebbene le informazioni sui prezzi non siano state ampiamente pubblicizzate nelle open source, la rapida comparsa di WolfGPT subito dopo WormGPT suggerisce che potrebbe essere stato gratuito o a basso costo, o addirittura un rebranding di una tecnologia simile per conquistare un segmento di mercato. Posizionandola come una "IA aggiornata", i venditori hanno fatto leva sulla paura dei criminali informatici di perdere l'ultimo strumento.

Utilizzo e aggiornamenti nel mondo reale

Nonostante la sua promozione aggressiva, ci sono scarse prove pubbliche sull'uso di WolfGPT in specifici incidenti informatici. Questo potrebbe essere dovuto al suo debutto di nicchia e alla possibilità che fosse più un concetto che una sostanza. I ricercatori nell'ambito della sicurezza hanno notato che nel 2023, oltre agli screenshot iniziali di Telegram e ai post sul forum, "non si riesce a trovare altro su questo strumento." È emerso un repository GitHub, che sembra essere un rudimentale wrapper di app web per l'API di ChatGPT, il che solleva la questione se WolfGPT fosse un modello personalizzato completamente addestrato o semplicemente un'interfaccia riconfezionata per l'IA esistente.

All'inizio del 2024, WolfGPT continuava a essere citato come parte della linea dei GPT dannosi nei rapporti sulle minacce, ma con scarso seguito sull'utilizzo attivo. Tuttavia, le sue funzionalità sono in linea con le reali esigenze osservate nel crimine informatico, in particolare quando i criminali cercavano dei modi per generare automaticamente malware e phishing più evasivi su larga scala. Anche se lo stesso WolfGPT ha mantenuto un basso profilo, il concetto che incarna, un'IA che produce malware offuscati e attacchi personalizzati, è molto attuale.

Le aziende devono prepararsi alla possibilità che gli attaccanti abbiano a disposizione o sviluppino strumenti con il set di funzionalità di WolfGPT, anche se con nomi diversi. Ogni nuovo ceppo di malware altamente evasivo o nuova esca di phishing potrebbe aver avuto un aiutante IA nella sua creazione. La lezione di WolfGPT è chiara: non appena un'IA dannosa viene disattivata o semplicemente si estingue, ne spunteranno altre per sostituirla, ognuna delle quali imparerà dall'altra.

Conclusione

WolfGPT spiega bene la costante evoluzione degli strumenti di IA dannosi e il loro potenziale impatto sulla sicurezza informatica. Sempre in questa serie, esploreremo poi DarkBard, un altro attore importante nel campo dell'IA generativa impiegato per i crimini informatici. Conoscere questi strumenti e le loro implicazioni è fondamentale per le organizzazioni che tentano di rafforzare le proprie difese contro il numero crescente di minacce guidate dall'IA. Rimani aggiornato sul nostro prossimo post, in cui approfondiremo DarkBard e le sue funzionalità come il "gemello malvagio" di Google Bard.

e-book: Una guida al ruolo dell'IA nella sicurezza informatica
Adam Khan

Adam Khan è il VP, Global Security Operations presso Barracuda MSP. Attualmente guida un Team di Sicurezza Globale composto da membri altamente qualificati dei team Blue, Purple e Red. In precedenza ha lavorato per oltre 20 anni in aziende come Priceline.com, BarnesandNoble.com e Scholastic. L'esperienza di Adam è focalizzata sull'automazione delle applicazioni/infrastrutture e sulla sicurezza. È appassionato di proteggere le PMI dagli attacchi informatici, che sono il cuore dell'innovazione americana.

Post correlati:
Threat Spotlight: Analisi di un nuovo kit di phishing furtivo che prende di mira Microsoft 365
Threat Spotlight: Analisi di un nuovo kit di phishing furtivo che prende di mira Microsoft 365
 Affrontare il lato oscuro del GenAI: raccomandazioni per leader aziendali, CISO e team di sicurezza
Affrontare il lato oscuro del GenAI: raccomandazioni per leader aziendali, CISO e team di sicurezza
 I criminali informatici stanno diventando più giovani — e più pericolosi
I criminali informatici stanno diventando più giovani — e più pericolosi
Lazarus Group: Un sindacato criminale con una bandiera
Lazarus Group: Un sindacato criminale con una bandiera
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.