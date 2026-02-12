Il Google Threat Intelligence Group (GTIG) ha rilevato un uso crescente di Gemini per eseguire attacchi informatici. I cybercriminali di Cina, Iran, Russia e Corea del Nord sfruttano il modello AI per varie attività illecite, dalla ricognizione iniziale all’esfiltrazione dei dati. Gli esperti dell’azienda di Mountain View hanno descritto alcune tecniche scoperte a fine 2025.

Abuso di Gemini per numerosi attacchi

Una delle tecniche più recenti si chiama MEA (Model Extraction Attack). I cybercriminali sfruttano l’accesso legittimo tramite API per ottenere le informazioni usate durante l’addestramento del modello. Ciò consente di sviluppare un modello simile a costo inferiore. Questa attività rappresenta un furto di proprietà intellettuale vietata dai termini di servizio di Gemini.

Il GTIG ha individuato altri tipi di abusi. In due casi, Gemini è stato utilizzato per cercare credenziali di account, indirizzi email e informazioni su specifici target da sfruttare successivamente per attacchi di phishing. Grazie alle capacità di Gemini, i cybercriminali iraniani e cinesi hanno rimosso le barriere linguistiche e generato email più convincenti per ingannare le vittime.

Cybercriminali cinesi, iraniani e nordcoreani hanno invece sfruttato le capacità agentiche e di programmazione per analizzare le vulnerabilità dei software, sviluppare tecniche di intrusione e scrivere il codice degli exploit (malware). Gemini è stato inoltre usato per generare articoli (fake news) a scopo di propaganda.

Google ha rilevato anche l’uso del modello per migliorare malware e kit di phishing esistenti. In pratica ha permesso di velocizzare la generazione del codice. Ovviamente non poteva mancare l’ennesima variante dell’attacco ClickFix per macOS.

I cybercriminali hanno manipolato Gemini per generare istruzioni che dovrebbero risolvere un problema software. Il link a queste istruzioni è stato condiviso pubblicamente tramite inserzioni nei risultati dei motori di ricerca. L’ignara vittima trova la chat con le istruzioni e copia il comando nel terminale. Viene così scaricato ed eseguito il noto infostealer AMOS.

Google ha bloccato tutte queste attività illecite disattivando gli account Gemini. Ha inoltre implementato maggiori protezioni per evitare l’abuso del modello.