DeafNews
// 3 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
Ransomware

The Gentlemen: LLM riducono sviluppo ransomware a 3 giorni

Published: Updated: By DeafSuite team 7 min read Ransomware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CERT-AGID: il gruppo The Gentlemen usa LLM per sviluppare piattaforme in 3 giorni, personalizzare estorsioni e replicare tattiche da leak di Black Basta.

Il CERT-AGID ha pubblicato un'analisi sul gruppo ransomware The Gentlemen che documenta l'integrazione sistemica di modelli linguistici nelle operazioni criminali. Il dossier descrive come un singolo operatore abbia sviluppato una piattaforma di negoziazione in tre giorni sfruttando assistenti di codifica basati su LLM. La notizia segnala un punto di svolta concreto: l'intelligenza artificiale generativa smette di essere strumento difensivo per diventare moltiplicatore offensivo misurabile nel ciclo di vita del malware.

Punti chiave
  • La piattaforma di negoziazione è stata sviluppata in 3 giorni da un singolo operatore usando assistenti di codifica LLM, contro tempi tradizionali di settimane.
  • I modelli linguistici alimentano la personalizzazione delle comunicazioni di estorsione, estraendo dati OSINT per identificare punti deboli specifici della vittima.
  • Il gruppo ha utilizzato manuali interni sottratti ad altre organizzazioni cybercriminali, tra cui Black Basta, per il fine-tuning dei propri LLM.
  • La variante in Go del ransomware include il parametro --spread, che converte il payload in worm autoreplicante per la cifratura automatizzata dell'intera rete.
  • Il modello RaaS offre il 90% del riscatto agli affiliati, con circa 500 vittime globali rivendicate in meno di un anno.

Un singolo operatore, tre giorni di sviluppo

Secondo l'analisi del CERT-AGID, "la piattaforma di negoziazione è stata interamente sviluppata in soli tre giorni dall'operatore". Il meccanismo documentato prevede l'uso di assistenti di codifica basati su LLM per accelerare la costruzione dell'infrastruttura di contatto con le vittime. La fonte non specifica quali modelli linguistici siano stati impiegati né fornisce dettagli tecnici sull'architettura della piattaforma.

Il dato temporale è centrale: la compressione da settimane a 3 giorni altera il rapporto costo-beneficio per gli operatori criminali. Questo pattern indicherebbe una riduzione sostanziale della barriera all'ingresso nel mercato del ransomware-as-a-service, dove The Gentlemen opera offrendo agli affiliati il 90% del riscatto. Il modello economico, segnalato anche da FortiGuard, sposta il rischio operativo verso l'affiliato mantenendo al gruppo centrale il margine tecnologico.

OSINT e personalizzazione delle estorsioni

Il CERT-AGID documenta una seconda applicazione dei LLM nella fase di engagement con la vittima. "I dati estratti dall'AI alimentano i prompt per strutturare e personalizzare le e-mail di ricatto e i tentativi di contatto telefonico, identificando autonomamente i punti deboli della vittima". Il meccanismo combina raccolta automatizzata di informazioni con generazione contestuale di messaggi di pressione.

La personalizzazione non si limita al testo: la fonte menziona esplicitamente i tentativi di contatto telefonico, indicando un'estensione dell'attacco dallo spazio digitale a quello vocale. Questo elemento suggerisce un'integrazione tra pipeline di dati OSINT e canali multicanale di comunicazione.

Il mercato secondario delle tattiche: fine-tuning su leak concorrenti

Il terzo vettore documentato è il più rilevante per la dinamica competitiva tra gruppi criminali. Secondo il CERT-AGID, The Gentlemen ha "utilizzato i dati confidenziali e i manuali interni sottratti ad altre organizzazioni cybercriminali (come Black Basta) per fare fine-tuning o alimentare il contesto dei propri modelli LLM". Il meccanismo trasforma i data leak interni di gruppi avversari in materiale primario per l'apprendimento automatico, creando un circuito di riproduzione accelerata delle tattiche.

La citazione di Black Basta come esempio specifico è l'unica attribuzione di fonte di intelligence concorrente presente nel dossier. Il brief non chiarisce come questi materiali siano stati acquisiti né se il fine-tuning sia stato eseguito su modelli open source o servizi commerciali.

Propagazione worm-like e cinque varianti di payload

La componente tecnica del ransomware comprende 5 varianti per Windows, Linux e ESXi. La versione scritta in Go include il parametro --spread che, secondo la fonte, "converte il payload in un worm autoreplicante, capace di automatizzare la cifratura dell'intera rete aziendale sfruttando i movimenti laterali". Il meccanismo non richiede interazione manuale per la propagazione interna, riducendo il tempo di esposizione della vittima tra primo accesso e cifratura massiva.

Il vettore di accesso iniziale documentato è duplice: acquisto di credenziali tramite infostealer, oppure scansione di vulnerabilità note non patchate su apparati Cisco e Fortinet in assenza di credenziali valide.

"L'adozione dell'intelligenza artificiale non è più solo teorica, ma agisca come un vero e proprio moltiplicatore di efficacia per le attività della gang" — CERT-AGID

Cosa fare adesso

Il CERT-AGID indica tre azioni prioritarie per le organizzazioni esposte alle tattiche documentate di The Gentlemen.

Primo: monitorare il feed IoC del CERT-AGID, accreditandosi al servizio tramite il modulo dedicato per ricevere indicatori di compromissione aggiornati. La fonte cita esplicitamente questo canale come strumento di intelligence difensiva disponibile.

Secondo: verificare la presenza di credenziali compromesse nel proprio perimetro, dato che l'acquisto tramite infostealer rappresenta il vettore di accesso iniziale primario documentato. Il 90% del riscatto agli affiliati nel modello RaaS incentiva la scalata rapida di accessi validi.

Terzo: patchare vulnerabilità note su apparati Cisco e Fortinet, identificati nel brief come target di scansione automatica quando le credenziali non sono disponibili. La variante Go con parametro --spread amplifica il danno di ogni singolo accesso iniziale in cifratura di rete completa.

Discrepanze e limiti del dossier

Il dossier presenta numeri in tensione. Il CERT-AGID riporta circa 500 vittime globali in meno di un anno; FortiGuard documenta invece oltre 200 vittime in più di 50 paesi ad inizio 2026. Le due fonti non sono sovrapponibili temporalmente né metodologicamente: il conteggio CERT-AGID si riferisce a rivendicazioni del gruppo, quello FortiGuard a casi verificati indipendentemente.

Il modello RaaS stesso presenta incertezze. FortiGuard caratterizza come "speculated" l'architettura a servizio e riporta "mixed feedback" sulla sua operatività effettiva, con ipotesi alternativa di un team ristretto. La claim del 90% agli affiliati, presente in entrambe le fonti, non è sufficiente a verificare la struttura organizzativa reale.

Il data leak di maggio 2026, citato dal CERT-AGID come evento che ha spinto il gruppo a migrare verso piattaforme decentralizzate, non è corroborato da fonti indipendenti nel dossier.

La mancanza di corroborazione indipendente sull'uso di LLM costituisce il limite più rilevante: nessun vendor di sicurezza privata citato verifica separatamente le claim del CERT-AGID. La prova tecnica rimane vincolata all'analisi istituzionale italiana.

Il caso The Gentlemen indica comunque una traiettoria: l'AI generativa come layer di automazione inserito in punti specifici della kill chain ransomware, non come sostituzione dell'operatore umano ma come compressore di tempi e amplificatore di scala. La variabile critica per la difesa resta la velocità di bonifica delle credenziali compromesse e di patching delle vulnerabilità note.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • SRG fast flux: botnet IoT globale protegge data leak site
  • HAMLOCK: backdoor AI invisibile tra chip e software
  • ShinyHunters sferza 100+ università con zero-day Oracle

Fonti

Fonti e riferimenti
  1. cert-agid.gov.it
  2. fortiguard.com