I ricercatori di Unit 42 hanno documentato il 30 giugno 2026 un vettore di attacco inedito: gli avversari registrano proattivamente domini web allucinati dai modelli linguistici di intelligenza artificiale per intercettare traffico generato da sistemi AI integrati nei workflow di sviluppo. Il fenomeno, battezzato phantom squatting, trasforma la predictability delle allucinazioni LLM in una superficie di attacco strutturale che le difese tradizionali per reputazione non rilevano.
- Unit 42 ha analizzato 913 brand globali attraverso 685.339 query LLM, generando 2,1 milioni di URL: oltre 13.229 URL malevoli confermati, circa 250.000 domini allucinati rimangono non registrati e disponibili per avversari.
- Il sistema di monitoraggio ha predetto registrazioni avversarie con 18-51 giorni di anticipo; nel caso Montana Empire, il dominio target è stato identificato come high-risk 23 giorni prima della campagna.
- I domini fantasma bypassano le difese basate su reputazione perché nascono senza storia: sono generati dal vocabolario interno del LLM, non da infrastrutture compromesse precedentemente.
- L'LLM funge da meccanismo di consegna dell'attacco: il delivery è il trusted AI assistant già integrato nel workflow dell'utente, non richiede phishing tradizionale.
Come i LLM generano domini che nessuno ha mai registrato
I modelli linguistici di grandi dimensioni, interrogati per produrre codice, documentazione o risposte informative, allucinano sistematicamente domini web per brand legittimi. Questo non è un difetto occasionale: Unit 42 ha costruito un dataset di 685.339 query eseguite su due configurazioni di due LLM distinti, ottenendo 2,1 milioni di URL. Il 30% circa di questi puntava a domini inesistenti, plausibili linguisticamente ma mai registrati.
Il meccanismo è radicato nella natura stessa dei transformer. I modelli predicono token sequenziali basandosi su pattern statistici del corpus di addestramento. Quando un utente chiede l'URL ufficiale di un servizio o una dipendenza software, l'LLM ricostruisce una forma plausibile: sostituisce suffissi, inverte parole composte, inventa sottodomini che suonano istituzionali. L'output è coerente sintatticamente, sbagliato ontologicamente.
La ricerca di Unit 42 ha campionato 913 brand globali attraverso settori diversi. I pattern di allucinazione non sono random: emergono correlazioni tra struttura del nome brand e tipo di errore generato, con preferenza per varianti che mimetizzano CDN, portali di documentazione e repository di pacchetti software. Gli avversari, monitorando questi pattern, possono prevedere con mesi di anticipo quali domini un LLM genererà per un dato brand.
Il ciclo d'attacco: dalla predizione alla weaponization in ore
Il phantom squatting estende la logica adversaria del typosquatting e del brandjacking a un dominio invisibile per le infrastrutture difensive. L'avversario non deve più indovinare errori di battitura umani: sfrutta la predictability meccanica di un sistema AI per registrare domini che l'AI stessa produrrà in futuro.
Unit 42 ha documentato che i domini transitano da registrazione a contenuto malevolo attivo in poche ore. La velocità è funzionale all'invisibilità: il dominio esiste per un intervallo troppo breve per popolare i threat feed, troppo pulito per innescare alert euristici basati su reputazione storica. Quando un utente o un agente AI autonomo esegue la richiesta HTTP al dominio fantasma, lo considera autoritativo perché è stato generato dalla stessa AI di cui si fida.
Il caso Montana Empire illustra il ciclo completo. Un kit di phishing è stato costruito con l'assistenza di un AI coding assistant; il dominio target era stato identificato dal sistema di Unit 42 come high-risk 23 giorni prima della campagna effettiva. La fonte non specifica la data esatta di registrazione del dominio né l'identità dell'attaccante. Non emergono sovrapposizioni infrastrutturali che colleghino l'operatore a attori threat noti allo stato attuale.
"Phantom squatting extends this adversarial logic from software packages to web infrastructure" — Unit 42 researchers
Perché le difese per reputazione falliscono
Le architecture di sicurezza enterprise si affidano ampiamente a indicatori di reputazione: un dominio esiste da quanto tempo, quanti utenti vi accedono, se è stato segnalato in passato. Il dominio fantasma neutralizza ogni segnale. È originale per definizione: nato dal vocabolario interno del LLM, non da infrastrutture compromesse precedentemente. Non ha storia perché non è mai esistito prima dell'allucinazione che lo ha generato.
Come osservano i ricercatori di Unit 42, "the fake domain is born clean because it comes from the LLM's own internal vocabulary". Questo cambia la geometria del rischio. Il filtro URL aziendale, il DNS filtering, il threat intelligence feed: tutti guardano indietro, verso domini già visti. Il phantom squatting guarda avanti, verso domini che esisteranno solo dopo che un LLM li avrà inventati.
La conseguenza è una asimmetria strutturale a favore dell'attaccante. Le difese richiedono tempo per accumulare segnali; l'avversario, sapendo in anticipo quali domini saranno allucinati, comprime quella finestra a zero. Il brief non documenta tassi di falsi positivi nel sistema predittivo di Unit 42 né quali LLM specifici siano stati testati oltre ai "two distinct LLM models" menzionati.
Perche e importante
Il dossier non specifica misure correttive specifiche che le organizzazioni possano adottare per mitigare il phantom squatting. La fonte non documenta se esistano controlli tecnici in grado di intercettare un dominio prima che venga allucinato da un LLM, né se i vendor di sicurezza stiano sviluppando signature dedicate per questo vettore.
Il brief non elenca settori specifici dei "multipli settori" dove si sono rilevate registrazioni avversarie, rendendo impossibile profilare la distribuzione geografica o settoriale del rischio. Non è documentata alcuna entità del danno economico o di dati effettivamente causato dal caso Montana Empire o da altre campagne identificate.
Il dossier non specifica inoltre se altri vendor di sicurezza abbiano rilevato il fenomeno indipendentemente da Unit 42. Questa mancanza di corroborazione esterna costituisce un limite sostanziale: il phantom squatting, nella sua attuale formulazione, resta un concetto definito e documentato da una singola fonte primaria.
Ciò che il brief documenta con chiarezza è il rischio strutturale. Le aziende che integrano LLM in CI/CD, documentazione e workflow di sviluppo espongono la supply chain a un vettore che non esisteva nei modelli di minaccia precedenti. Ogni query a un coding assistant genera potenzialmente un endpoint che nessuna difesa tradizionale può valutare prima che esista.
La ricerca di Unit 42 stabilisce che questo "non è più un rischio teorico". Le 13.229 URL malevoli confermate e i ~250.000 domini allucinati non registrati quantificano una superficie di attacco concreta, misurabile, in espansione. Il sistema predittivo, con la sua finestra di 18-51 giorni, offre una metrica di anticipo che nessun altro vettore di supply chain attuale può replicare con precisione comparabile.
Domande frequenti
Cos'è un dominio "allucinato" in questo contesto?
Un dominio allucinato è un nome di sito web generato da un LLM che suona plausibile e istituzionale ma non corrisponde a nessun dominio realmente registrato. A differenza di un typo creato da errore umano, l'allucinazione segue pattern linguistici interni al modello: è predicibile e replicabile sistematicamente.
Perché i domini fantasma bypassano i filtri di sicurezza tradizionali?
Perché le difese basate su reputazione richiedono storia e segnali accumulati nel tempo. Un dominio appena registrato, generato da un LLM e weaponizzato in poche ore, non ha né storia né segnali. È semanticamente coerente con l'output atteso dall'utente, che lo percepisce come autoritativo.
Il caso Montana Empire dimostra che l'attacco è già in corso?
Unit 42 documenta che un kit di phishing è stato costruito con assistenza AI e che il dominio target era stato predetto 23 giorni prima. La fonte afferma che "questo vettore è attualmente attivo nel mondo reale", ma non quantifica danni o diffusione della campagna specifica.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Fonti
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.