Arkanix Stealer, malware promosso nel dark web tra ottobre e dicembre 2025, è stato analizzato da Kaspersky come un possibile esperimento di sviluppo assistito da modelli linguistici (LLM). Il progetto, durato circa due mesi, combinava tecniche avanzate di esfiltrazione dati, architettura modulare e funzionalità anti-analisi, prima di scomparire improvvisamente.
Secondo il report tecnico pubblicato dai ricercatori di Kaspersky il 22 febbraio 2026, il codice di Arkanix presenta “tracce tipiche di output generato o rifinito da LLM”, suggerendo che l’intelligenza artificiale possa aver ridotto tempi e costi di sviluppo. Gli esperti parlano di un progetto “più simile a un prodotto software pubblico che a un tradizionale stealer clandestino”.
Funzionalità e struttura modulare
Arkanix era offerto in due versioni: una base in Python e una “premium” in C++ con protezione VMProtect, evasione antivirus e tecniche anti-debug. Il malware era in grado di:
- Sottrarre credenziali e cookie da 22 browser.
- Estrarre token OAuth2 da browser Chromium.
- Rubare dati da Telegram e Discord, propagandosi via API.
- Colpire wallet crypto come Exodus e Atomic.
- Aggirare la protezione App-Bound Encryption (ABE) di Google tramite lo strumento ChromElevator.
La variante premium includeva anche furto di credenziali RDP e targeting di piattaforme gaming come Epic Games e Battle.net.
Un esperimento AI nel cybercrime?
Gli analisti ritengono che Arkanix possa essere stato un test per valutare quanto rapidamente un LLM possa generare o aggiornare codice malevolo. La breve durata dell’operazione – pannello di controllo e server Discord rimossi senza preavviso – rende più complesso il tracciamento.
Kaspersky ha pubblicato un elenco completo di indicatori di compromissione (IoC), inclusi hash, domini e indirizzi IP, invitando le organizzazioni a verificare eventuali infezioni.
Approfondimento e cronologia
- Ottobre 2025: promozione di Arkanix nei forum dark web (Fonte: Kaspersky – Securelist, 2026)
- Dicembre 2025: chiusura improvvisa di dashboard e server Discord
- Febbraio 2026: pubblicazione analisi tecnica e IoC
Fonti:
Kaspersky Securelist – Report Arkanix Stealer (2026)
Europol – Internet Organised Crime Threat Assessment 2024: https://www.europol.europa.eu
ENISA – Threat Landscape Report: https://www.enisa.europa.eu
Consigli di approfondimento:
- ENISA Threat Landscape 2024
- Europol IOCTA Report
- MITRE ATT&CK Framework: https://attack.mitre.org
Abstract – Impatti etici e sociali
L’uso di LLM nello sviluppo di malware accelera l’innovazione criminale e riduce le barriere tecniche d’ingresso. I vantaggi per i cybercriminali includono scalabilità e aggiornamenti rapidi; i rischi sociali comprendono aumento di attacchi automatizzati e difficoltà di attribuzione. Senza adeguate misure di governance e sicurezza dei modelli AI, l’evoluzione verso malware “AI-native” potrebbe intensificare la minaccia globale, imponendo nuovi standard di cooperazione tra industria, governi e comunità di ricerca.
