VirusTotal ha deciso di lanciare un nuovo, potente alleato: un endpoint API che promette di rivoluzionare il flusso di lavoro del reverse engineering.
Il nuovo servizio, integrato nella piattaforma Code Insight, si chiama api/v3/codeinsights/analyse-binary e funziona esattamente come ci si aspetterebbe da uno strumento del 2025: invii del codice, e lui ti restituisce una descrizione chiara e analitica della sua funzionalità. Ma non è un semplice motore di analisi statica. È un sistema che impara.
Immagina di avere a che fare con un campione sospetto. Dopo averlo disassemblato in IDA Pro o Ghidra, isoli una funzione critica. Invece di passare minuti (o ore) a tracciare chiamate di sistema e decifrare routine di offuscamento, selezioni il blocco di codice e lo invii all’endpoint di VirusTotal. Il payload è un JSON strutturato che contiene il codice in Base64, arricchito da metadati contestuali.
Ecco un esempio di come potrebbe essere strutturata una richiesta:
{
"code": "aGV4IGR1bXAgb2YgYSBmdW5jdGlvbiBibG9jaw==",
"architecture": "x86",
"history": [
{"approved_summary": "Custom XOR decryption routine with key 0x3F"},
{"approved_summary": "API resolution via hashing (CRC32) of export names"}
]
}La magia non sta solo nella risposta immediata—una overview concisa e una breakdown dettagliata del flusso di controllo, delle API chiamate e delle tecniche di offuscamento—ma nel campo history. Ogni volta che un analista approva o modifica una descrizione generata dall’AI, quel feedback viene incorporato nelle richieste successive. Il sistema, in sostanza, costruisce un modello contestuale che evolve insieme all’investigazione.
Se nella prima analisi il sistema identifica una routine di decrittografia XOR personalizzata, nelle richieste successive sarà in grado di riconoscere pattern simili con maggiore accuratezza, anche se variati o offuscati diversamente. Non è più un’analisi statica e isolata, ma un processo dinamico e iterativo che “ricorda” il lavoro già svolto.
L’integrazione con IDA Pro attraverso il plugin VT-IDA è dove tutto diventa concretamente potente. Gli analisti non devono più abbandonare il proprio ambiente di reverse engineering. Selezionano una funzione, invocano il plugin, e ricevono insight contestuali direttamente nel disassembler. Le descrizioni generate—dall’identificazione di routine di anti-debugging alla scoperta di chiamate di rete sospette—possono essere approvate, modificate o integrate. Tutto viene salvato in un “CodeInsight Notebook” persistente, che rimane associato al progetto IDA anche tra diverse sessioni di lavoro.
Questo non è solo un risparmio di tempo; è un cambiamento di paradigma. Automatizzando la fase preliminare di triage del codice, Code Insight libera gli analisti dai compiti più ripetitivi e permette loro di concentrarsi sull’interpretazione strategica delle minacce e sulla caccia alle campagne più sofisticate.
Sebbene il servizio sia ancora in fase di trial, i feedback dalla comunità sono già positivi. E le implicazioni sono chiare: stiamo entrando in un’era in cui gli strumenti di analisi non sono più solo assistenti passivi, ma veri e propri collaboratori intelligenti, capaci di apprendere e adattarsi al linguaggio specifico di ogni analista e di ogni campagna malevola.
Per chi è nel settore, è un invito a ripensare il proprio workflow. Per i threat actor, è un altro segnale che il divario tra offesa e difesa si sta riducendo, grazie non solo alla forza umana, ma all’intelligenza artificiale applicata in modo pratico, iterativo e — soprattutto — condiviso.