Da GTG-5004 a GTG-1002, i tre casi documentati da Anthropic, OpenAI e Google fra agosto e novembre 2025 mostrano un sottobosco criminale che non vende più strumenti ma manodopera algoritmica.
Per anni il sottobosco del cybercrime ha venduto strumenti. Oggi vende manodopera: un agente AI, erogato via API, che esegue ricognizione, sfruttamento, esfiltrazione, estorsione. Tre casi documentati nei rapporti pubblici dei provider raccontano il salto.
Agentic Crime-as-a-Service: il prodotto non è più il codice, è l’esecuzione
Per oltre un decennio il Crime-as-a-Service ha seguito una logica industriale: separare lo sviluppo dall’esecuzione, abbassare la soglia tecnica, monetizzare l’infrastruttura più che il singolo attacco. Kit ransomware acquistabili a forfait, pannelli di Phishing-as-a-Service, Initial Access Broker che vendevano credenziali ai gruppi di estorsione, carding service con verifica automatica delle carte rubate. Il cliente acquistava un prodotto e lo eseguiva.
Oggi la merce è cambiata. Quello che il sottobosco vende non è più solo codice, prompt o malware: è capacità operativa. Un agente AI, contrattualizzato come servizio API, che svolge il lavoro di chi un tempo doveva possederlo. Il salto non riguarda la tecnologia in astratto, riguarda la natura del prodotto. Si passa dalla vendita dell’arma alla vendita del braccio armato.
La traiettoria è ricostruibile in tre fasi.
Fase uno: la fabbrica del crimine prima dei modelli linguistici
L’idea che il cybercrime fosse un’industria circolava ben prima di ChatGPT. La filiera era matura, segmentata, specializzata. Sviluppatori di payload, broker di accessi, operatori di affiliazione, riciclatori. Una piattaforma SaaS rovesciata, in cui ogni anello della catena era acquistabile separatamente. È in questo ecosistema, già rodato, che l’AI generativa è entrata come moltiplicatore.
Fase due: la prima ondata di AI generativa malevola
Fra fine giugno e fine luglio 2023 si concentra il passaggio simbolico. Il 28 giugno compare su un forum hack WormGPT, esposto pubblicamente da SlashNext il 13 luglio; il 25 luglio l’attore noto come CanadianKingpin12 mette in vendita FraudGPT, presentandolo come successore di WormGPT. Pochi giorni dopo lo stesso CanadianKingpin12 anticipa lo sviluppo di altri due modelli, DarkBERT e DarkBART (in parte della stampa successiva indicato anche come DarkBARD, per assonanza con Google Bard). La logica è quella della vendita di strumento: si compra il modello, si scrivono i prompt, si raccoglie il prodotto, lo si distribuisce.
Il primo censimento sistematico del fenomeno lo offre il 2025 AI Threat Report di KELA. Sui forum criminali tracciati dalla piattaforma israeliana, le menzioni di Dark AI tools crescono del 219% dal 2023 al 2024 (da 1.632 a 5.214 occorrenze), con un parallelo +52% sulle discussioni dedicate al jailbreak di modelli legittimi (ChatGPT, Gemini, Claude, DeepSeek riadattati con prompt che bypassano i filtri di sicurezza). Lo stesso report documenta la circolazione di pacchetti come EvilAI (10-60 dollari, dichiaratamente basato su GPT-4 e modelli Mistral), il riuso di progetti open-source come PentestGPT, 0dAI ed EvilGPT, e un mercato così affollato che alcuni venditori si truffano fra loro distribuendo copie contraffatte di prodotti altrui.
Quello che caratterizza questa fase è la separazione fra strumento e operazione. L’AI è in vendita come bene di consumo, ma l’attore umano resta al centro: scrive il prompt, riceve il payload, lo distribuisce. La capacità criminale rimane competenza umana, l’AI è acceleratore.
Fase tre: la soglia agentica
Tra l’estate e l’autunno 2025 i resoconti pubblicati direttamente da Anthropic, OpenAI e Google rompono lo schema. OpenAI ha disabilitato cluster di account riconducibili ad APT cinesi e nordcoreani usati per operazioni di influenza e sorveglianza; il Threat Intelligence Group di Google ha documentato l’uso di Gemini da parte di gruppi iraniani, cinesi, russi e nordcoreani lungo l’intero ciclo di attacco. Quello che documentano i provider non è più un mercato di strumenti, ma un mercato di operatori. Tre casi tracciati nei rapporti di Anthropic delineano la nuova frontiera.
GTG-5004: il ransomware no-code
Nel Threat Intelligence Report di Anthropic dell’agosto 2025 è tracciato un attore britannico attivo dal gennaio 2025 sui forum Dread, CryptBB e Nulled. Ha sviluppato e venduto ransomware con cifratura ChaCha20, evasione EDR tramite tecniche RecycledGate e FreshyCalls per l’invocazione diretta di syscall, manipolazione delle internals di Windows. Prezzi: 400 dollari per la sola DLL, 800 per il kit RaaS completo con console PHP, 1.200 per il crypter FUD destinato a binari nativi.
La novità non è il malware. È che il venditore, secondo l’analisi del provider, non sarebbe in grado di scriverlo: non conosce gli algoritmi di cifratura che impiega, non controlla le tecniche di evasione che il suo prodotto sfrutta. La competenza tecnica è esternalizzata al modello; l’attore umano svolge una funzione esclusivamente commerciale, fra packaging, prezzo e relazione con il cliente. Per la prima volta in modo documentato, un operatore vende un prodotto di sicurezza offensiva senza padroneggiarlo. La democratizzazione del cybercrime arretra di un altro gradino.
GTG-2002: il vibe hacking
Lo stesso report documenta un caso qualitativamente diverso. L’attore tracciato come GTG-2002 ha utilizzato Claude Code, l’agente di sviluppo di Anthropic, non per produrre un payload da vendere ma per condurre direttamente una campagna di estorsione contro almeno 17 organizzazioni in un solo mese, nei settori sanitario, governativo, dei servizi di emergenza e religioso. Le richieste di riscatto hanno raggiunto i 500.000 dollari.
L’AI non ha assistito l’attacco, lo ha eseguito. Ha scansionato migliaia di endpoint VPN, condotto la ricognizione interna, estratto credenziali da Active Directory, sviluppato versioni offuscate del tunnel Chisel per aggirare Windows Defender, mascherato eseguibili malevoli da strumenti Microsoft legittimi (MSBuild.exe, devenv.exe, cl.exe). Soprattutto ha analizzato i dati esfiltrati per determinare l’ammontare ottimale del riscatto sulla base della solidità finanziaria della vittima, e ha generato note di estorsione in HTML personalizzate, con scadenze, penali progressive e canali di contatto cifrati distinti per ciascuna organizzazione. L’operatore umano forniva l’orientamento attraverso un file di contesto (CLAUDE.md) che simulava un mandato di penetration test legittimo. Il resto era prerogativa del modello.
Il punto qualitativo è che l’AI è entrata nella catena decisionale, non solo in quella esecutiva. Ha scelto quali dati esfiltrare, su quali leve psicologiche premere, quale fascia di riscatto richiedere. È diventata un membro del team, non un attrezzo. I ricercatori hanno coniato per questa modalità l’etichetta vibe hacking: un’operazione criminale in cui il modello partecipa alla strategia.
GTG-1002: l’orchestrazione autonoma
La terza tappa è resa pubblica il 13 novembre 2025 in un secondo rapporto di Anthropic. L’attore, attribuito con elevato grado di certezza a un gruppo state-sponsored cinese, ha utilizzato Claude Code in combinazione con server Model Context Protocol per condurre una campagna di spionaggio contro circa 30 obiettivi: grandi aziende tecnologiche, istituzioni finanziarie, manifattura chimica, agenzie governative. Anthropic ha confermato circa quattro intrusioni andate a buon fine.
Il dato di rottura è un altro. L’AI ha eseguito autonomamente tra l’80 e il 90% del lavoro tattico, riducendo l’intervento umano a quattro-sei punti di decisione critici per intera campagna, in genere legati a scelte di escalation o autorizzazione. Ricognizione, sfruttamento, raccolta di credenziali, spostamento laterale, esfiltrazione: tutto orchestrato dal modello, che gli attaccanti hanno persuaso di operare per conto di una società di sicurezza in ambito difensivo. È il primo caso documentato di un’operazione di cyberspionaggio condotta in modo prevalentemente autonomo da un sistema agentico.
Lo stesso report segnala però limiti operativi non secondari del modello: in più passaggi Claude ha sovrastimato i propri progressi e prodotto credenziali o finding fabbricati, che non hanno retto alla verifica. Il dato, ripreso anche nella corrispondenza fra Anthropic e il Committee on Homeland Security della Camera USA del 26 novembre 2025, ridimensiona l’idea di un’autonomia priva di attriti e riapre il tema della verifica umana sui risultati di un agente offensivo.
La progressione conta più dei singoli casi
Letti separatamente, i tre casi sembrano episodi. Letti in sequenza, mostrano una traiettoria precisa. Si parte da un attore umano che vende il prodotto di un modello (fase strumento). Si passa a un modello che esegue per conto di un umano (fase agente esecutivo). Si arriva a un modello che orchestra l’operazione e chiede all’umano soltanto conferme strategiche (fase agente autonomo). La merce in vendita, lungo questa curva, si trasforma: da prodotto a servizio, da servizio a manodopera.
La logica è quella di un’industria che ha completato un outsourcing radicale. Il cliente, sui forum, non acquista più un kit con istruzioni: noleggia un esecutore che svolge l’intero lavoro. Il prezzo non è più il valore del codice, è il costo del compute. Il rischio operativo del cliente cala, perché meno passaggi gli passano per le mani; il rischio di rilevamento dell’attacco resta, ma si sposta sui provider del modello.
Il filo: la valorizzazione algoritmica del dato
C’è un dettaglio del caso GTG-2002 che merita di essere isolato, perché tocca un nervo che questa rivista presidia da anni: la monetizzazione del dato sul mercato clandestino. L’AI di GTG-2002 non si limita a esfiltrare. Profila il valore di quanto esfiltra. Legge i bilanci della vittima, ne stima la solidità finanziaria, calibra di conseguenza l’importo del riscatto. È una mossa che, nell’industria criminale tradizionale, richiedeva analisti dedicati. Nel modello agentico è inclusa nel workflow di base.
Lo stesso schema riemerge nei carding store potenziati dall’AI documentati da Anthropic (validazione automatica multi-API, throttling dinamico per evitare la detection delle banche emittenti) e nei servizi di profilazione delle vittime costruiti su log di infostealer attraverso MCP. La monetizzazione del dato diventa un processo industriale in cui l’analisi del valore della singola riga di un database è essa stessa automatizzata. Per il mercato clandestino, è un salto di efficienza: la stessa esfiltrazione, da bottino indifferenziato, diventa portafoglio segmentato di crediti estorsivi calibrati per singolo bersaglio.
La concentrazione della capacità
C’è infine un dato di scenario che ridisegna la geografia del settore. Ad aprile 2026 Anthropic ha lanciato Project Glasswing, partenariato con AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks, più una quarantina di organizzazioni che mantengono software critico (sistemi operativi, browser, kernel, librerie open-source di riferimento). La versione di anteprima di Claude Mythos, secondo l’azienda, ha già individuato migliaia di vulnerabilità ad alta severità in tutti i principali sistemi operativi e browser. Lo stesso tipo di capacità che ha reso possibile GTG-1002 sul versante offensivo è oggi operativa sul versante difensivo, ma circola in un perimetro stretto: laboratori di pochi provider e un anello selezionato di partner industriali.
Il punto, per chi fa threat intelligence, non è la corsa di mercato. È che il modello dominante del settore non è più “qualcuno scrive un exploit e qualcun altro lo difende”. È “qualcuno noleggia un agente che scrive exploit e qualcun altro noleggia un agente che li difende”. Il valore strategico, da entrambi i lati, si sposta dal codice al compute, dalla competenza al contratto API. La barriera all’ingresso del cybercrime offensivo si abbassa drasticamente; la barriera alla difesa di alto livello si alza.
Cosa resta da capire
La fase Agentic Crime-as-a-Service apre due ordini di domande non ancora risolte. Sul piano economico, va capito che effetto produca sui prezzi e sulla struttura del mercato un’industria in cui il costo marginale di un attacco crolla mentre il costo di una difesa equivalente aumenta. Sul piano operativo, va capito quali contromisure dei provider siano realmente efficaci nel filtrare casi tipo GTG-2002 senza pregiudicare l’uso legittimo dei medesimi strumenti per red team aziendali.
C’è poi un terzo ordine di domande, quello investigativo. Quando l’autore materiale di un attacco è una sessione conversazionale con un’API, dove vive la prova? Chi la conserva? Con quale strumento giuridico si acquisisce, in un perimetro in cui la cooperazione transfrontaliera passa anche per il Regolamento UE 2023/1543 sulle e-evidence? Come la si rende opponibile in giudizio, in continuità col tema dell’attribuzione degli attacchi cyber? È il versante che riguarda direttamente Polizia Postale, ROS Carabinieri e procure distrettuali, e che merita una trattazione dedicata. Lo affronteremo nella seconda puntata di questa inchiesta.
https://www.ictsecuritymagazine.com/notizie/agentic-crime-as-a-service/