PromptLock utilizza un modello AI locale per generare in tempo reale script Lua compatibili con Windows, Linux e macOS. Basandosi su prompt predefiniti, decide autonomamente se esfiltrare o cifrare i dati. Sfrutta un modello accessibile via API e, pur essendo una proof of concept, rappresenta una minaccia concreta
Milano, 28 agosto 2025 – I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto un nuovo tipo di ransomware che sfrutta l’intelligenza artificiale generativa (GenAI) per eseguire attacchi. Chiamato PromptLock, il malware utilizza un modello linguistico AI accessibile in locale per generare script dannosi in tempo reale. Durante l’infezione, l’AI decide in autonomia quali file cercare, copiare o cifrare — segnando un potenziale punto di svolta nelle modalità operative della criminalità informatica.
“La comparsa di strumenti come PromptLock evidenzia un cambiamento significativo nello scenario delle minacce informatiche”, ha dichiarato Anton Cherepanov, senior malware researcher di ESET, che ha analizzato il malware insieme al collega Peter Strýček.
PromptLock genera script in Lua compatibili con diversi sistemi operativi, tra cui Windows, Linux e macOS. Il malware esamina i file locali, ne analizza il contenuto e — in base a prompt testuali predefiniti — stabilisce se esfiltrare o cifrare i dati. Una funzione distruttiva è già presente nel codice, sebbene al momento risulti inattiva.
Il ransomware utilizza l’algoritmo di cifratura SPECK a 128 bit ed è scritto in Golang. Le prime varianti sono già state individuate sulla piattaforma di analisi malware VirusTotal. Sebbene ESET consideri PromptLock una ‘proof of concept’, la minaccia che rappresenta è concreta.
“Con il supporto dell’AI, lanciare attacchi sofisticati è diventato molto più semplice — non è più necessario un team di sviluppatori esperti”, ha aggiunto Cherepanov. “Un modello AI configurato in modo adeguato è ormai sufficiente per creare malware complessi e adattivi. Se implementate correttamente, minacce di questo tipo potrebbero complicare notevolmente il rilevamento e rendere il lavoro dei difensori della cybersecurity ancora più impegnativo”.
PromptLock si appoggia a un modello linguistico liberamente disponibile tramite API, il che significa che gli script malevoli vengono forniti direttamente al dispositivo compromesso. È interessante notare che il prompt contiene anche un indirizzo Bitcoin, presumibilmente collegato al creatore di Bitcoin, Satoshi Nakamoto.
ESET ha pubblicato i dettagli tecnici per sensibilizzare la comunità della cybersecurity. Il malware è stato classificato come Filecoder.PromptLock.A.
Gli aggiornamenti di ESET Research possono essere seguiti anche su Twitter (oggi X), BlueSky e Mastodon.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
A proposito di ESET
ESET®, fondata in Europa, è il punto di riferimento per la cybersecurity nella regione, con una rete di uffici presente in tutto il mondo. Offre soluzioni di sicurezza digitale all’avanguardia per prevenire gli attacchi prima che si verifichino. Combinando la potenza dell’intelligenza artificiale con l’expertise umana, ESET è in grado di anticipare le minacce informatiche globali, note ed emergenti, proteggendo aziende, infrastrutture critiche e utenti finali. Che si tratti di protezione endpoint, cloud o mobile, le soluzioni e i servizi AI-native e cloud-first di ESET si distinguono per prestazioni elevate e semplicità d’uso. La tecnologia ESET è “Made in the EU” e include funzionalità avanzate di rilevamento e risposta, crittografia ultra-sicura e autenticazione a più fattori. Con una protezione in tempo reale attiva 24/7 e un solido supporto locale, le soluzioni ESET garantiscono la continuità operativa di utenti e organizzazioni. In un contesto digitale in continua evoluzione, la sicurezza richiede un approccio innovativo: ESET investe costantemente in ricerca di eccellenza e threat intelligence, supportata dai propri centri di ricerca e sviluppo e da una solida rete di partner globali. Per maggiori informazioni, visitate il sito www.eset.com o seguite ESET sui social media, podcast e blog.