I ricercatori TrendAI™, leader globale di AI security e business unit di Trend Micro, hanno scoperto una campagna criminale a opera di un hacker russo solitario che colpiva i cittadini statunitensi impegnati in attività politiche legate al mondo MAGA. Il responsabile è un cybercriminale russo che ha gestito per anni il canale Telegram @americanpatriotus, raggiungendo 17.000 follower, oltre a quello @USGuardianEagle su Truth, con circa 14.000 follower, per poi, a settembre 2025, avviare una campagna di attacco contro la propria base di contatti sui social.
L’hacker utilizzava modelli linguistici di grandi dimensioni (LLM) jailbroken e sfruttava l’intelligenza artificiale per acquisire credenziali private e commettere frodi legate alle criptovalute. Grazie a Google Gemini e ad altri strumenti, il cybercriminale generava contenuti in modo automatizzato, implementava infrastrutture di phishing, rubava credenziali e compiva frodi su larga scala, riducendo drasticamente i costi operativi.
“Questa operazione dimostra come i sistemi di intelligenza artificiale di frontiera abilitino una nuova generazione di attività criminali informatiche scalabili e a basso costo, capaci di combinare furto di informazioni, automazione e frodi finanziarie”. Dichiara Marco Fanuli, Technical Director di TrendAI™, una Business Unit di Trend Micro.
La campagna sottolinea il livello di sofisticazione della comunità hacker russa e il modo in cui gli LLM jailbroken possono essere manipolati per orchestrare un’attività criminale sistemica. L’attacco evidenzia il punto debole di questi modelli, ovvero l’enorme esposizione agli attacchi API, e sottolinea come l’adozione dell’intelligenza artificiale sia più elevata nel Darkweb rispetto a molte grandi aziende.
Inoltre, la ricerca evidenzia ancora una volta come l’intelligenza artificiale generativa consenta a cybercriminali non tecnicamente istruiti, ma finanziariamente 
motivati, di condurre operazioni che in precedenza richiedevano team coordinati e maggiori competenze.
