C’è un momento, nella ricerca delle minacce informatiche, in cui l’intuizione umana incontra la potenza brutale dell’automazione. Ed è esattamente ciò che è successo nei lab di VirusTotal poche ore dopo aver implementato una nuova funzionalità di analisi del codice basata su intelligenza artificiale.
La feature si chiama Code Insight, e il suo compito è semplice ma ambizioso: dare un senso al codice. Non importa se sia offuscato, compilato, nascosto o camuffato da altro. L’obiettivo è restituire all’analista una spiegazione chiara, in linguaggio naturale, di cosa fa un file e perché potrebbe essere maligno. L’ultimo aggiornamento ha aggiunto il supporto per due formati vettoriali, apparentemente agli antipodi: l’SWF di Adobe Flash, un relitto dell’era dei plugin, e l’SVG, moderno, open e onnipresente sul web.
Quasi per scherzo del destino, una delle prime submission dopo il deploy in production è stata un file SVG. A prima vista, innocuo. Zero detection su 63 motori antivirus. Pulito. Ma Code Insight ha visto oltre. Ha analizzato il codice, ha interpretato il JavaScript offuscato al suo interno e ha restituito un verdetto allarmante: il file conteneva una campagna di phishing sofisticata che impersonava il sistema giudiziario colombiano, progettata per scaricare silenziosamente un archivio ZIP malevolo.
Era il classico ago in un pagliaio, ma l’IA lo aveva trovato. E non si trattava di un caso isolato.
Il ritorno: SWF e il peso del sospetto
Partiamo dall’inizio. Flash è morto, ucciso da Adobe nel 2020 e sepolto dai browser poco dopo. Eppure, come un fantasma, i file SWF continuano a presentarsi ai cancelli di VirusTotal. Negli ultimi 30 giorni, la piattaforma ha processato quasi 48 mila file SWF unici mai visti prima. Di questi, 466 sono stati flaggati come malicious da almeno un antivirus.
Il problema con gli SWF è che sono binari e compilati. Code Insight deve quindi fare un lavoro di archeologia digitale: spacchettare il container, spesso compresso con zlib o LZMA, parsare la struttura interna di tag e estrarre gli script embedded, scritti in ActionScript. Solo a quel punto, dopo una decompilazione o un disassemblaggio in uno pseudocodice leggibile, l’LLM (Large Language Model) entra in gioco per sintetizzare il comportamento del file.
Spesso, il risultato è la risoluzione di un falso positivo. Come nel caso di uno SWF analizzato, che tre antivirus avevano segnalato come sospetto per l’uso di funzioni crittografiche come RC4 e AES e per la raccolta di dati di sistema. Code Insight ha rivelato la verità: non era malware, ma un complesso gioco ActionScript con rendering 3D, gestione dell’audio e un editor di livelli integrato. Quelle tecniche, sospette in altri contesti, servivano per meccanismi di DRM e anti-tampering. L’IA ha fornito il contesto, trasformando un alert ambiguo in una spiegazione razionale, salvando ore di analisi inversa manuale.
SVG: il moderno
Se gli SWF sono un ricordo del passato, gli SVG sono il presente e il futuro del web. Sono aperti, basati su testo (XML) e supportati nativamente da ogni browser. Proprio per questo sono anche un vettore di attacco ideale. Nell’ultimo mese, VirusTotal ha visto oltre 140 mila file SVG unici, con 1.442 marcati come maligni. Una percentuale simile a quella degli SWF, ma con volumi tre volte superiori.
L’inganno degli SVG risiede nella loro semplicità. Essendo di testo, non c’è bisogno di decompilare. La sfida è trovare il codice malevolo nascosto in piena vista all’interno di tag <script>, attributi di eventi come onload o onclick, o redirect camuffati da URL javascript:.
Ed è qui che il caso colombiano diventa interessante. Quell’SVG a zero detection, il primo analizzato dalla nuova feature, era tutto fuorché innocuo. Code Insight ha scoperto che, una volta renderizzato, il file eseguiva un payload JavaScript che decodificava una pagina di phishing in Base64. La pagina impersonava alla perfezione un portale governativo della Colombia, completo di numeri di caso, token di sicurezza e una barra di progresso che simulava il download di un documento. Mentre l’utente era distratto dalla finzione, in secondo piano il codice decodificava una seconda stringa Base64, un enorme archivio ZIP malevolo, e ne forzava il download.
Da un file a una campagna
La scoperta di un campione così eclatante ha acceso la curiosità degli analisti. Era un caso isolato o la punta di un iceberg? Grazie a VirusTotal Intelligence, è stato possibile rispondere alla domanda in pochi secondi con una ricerca per parametri avanzati: type:svg AND codeinsight:"Colombian".
Il risultato è stato illuminante: 44 file SVG unici, tutti a zero detection, tutti flaggati da Code Insight come parte della stessa campagna. Analizzando il codice sorgente, è emerso un pattern di offuscamento, polimorfismo e l’inclusione di grandi quantità di codice “dummy” per aumentare l’entropia e sfuggire ai controlli statici.
Ma gli attaccanti hanno commesso un errore da principianti: hanno lasciato commenti in spagnolo nel codice. Frasi come “POLIFORMISMO_MASIVO_SEGURO” (polimorfismo massivo sicuro) e “Funciones dummy MASIVAS” (funzioni dummy massive) sono apparse identiche in tutti i campioni. Un’impronta digitale perfetta per una regola YARA.
Una regola semplicissima, basata su quelle stringhe, ha restituito 523 match in un retrohunt sull’ultimo anno. Il primo campione risaliva al 14 agosto 2025, sottoposto da un IP colombiano e, anche allora, completamente non rilevato. Nel tempo, i campioni sono diventati più piccoli e raffinati, evolvendosi per essere più efficaci e meno appariscenti. Il vettore di distribuzione principale era l’email, il che ha permesso di tracciare mittenti, oggetti e nomi degli allegati, dipingendo un quadro completo della campagna.
Questo caso è un archetipo di come l’analisi moderna delle minacce stia evolvendo. Code Insight non è una bacchetta magica che sostituisce l’analista, ma una leva che ne moltiplica l’efficacia. Di fronte a un file SWF sospetto, ha fornito il contesto per scartare un falso positivo. Di fronte a un SVG pulito, ha smascherato una campagna attiva e sofisticata.