Model Context Protocol (MCP) come arma: stealer log e profilazione comportamentale delle vittime

Il Model Context Protocol offensivo è l’ultima frontiera dell’integrazione tra intelligenza artificiale e cybercrime. Non perché rappresenti una tecnica di attacco inedita, ma perché trasforma radicalmente ciò che accade dopo il furto dei dati, nel momento in cui le informazioni rubate cessano di essere materiale grezzo e diventano intelligence operativa strutturata.

Fino a ieri, analizzare milioni di credenziali rubate era un lavoro manuale, lento, costoso. I broker di accesso iniziale su forum come xss.is e exploit.in setacciavano stealer log alla ricerca di credenziali aziendali con la stessa fatica con cui un cercatore d’oro scava nella ghiaia. L’AI ha cambiato le proporzioni di quello sforzo. Ma è il Model Context Protocol – il protocollo aperto creato da Anthropic nel novembre 2024 per connettere i modelli linguistici a strumenti e fonti dati esterni – ad aver fornito l’architettura che ha reso possibile la trasformazione dei dati rubati in profili comportamentali delle vittime. Un passaggio qualitativo che merita un’analisi dedicata.

Nel Threat Intelligence Report di agosto 2025, Anthropic ha documentato un threat actor operante sul forum russofono xss.is che ha utilizzato MCP e Claude per analizzare stealer log e costruire profili dettagliati delle vittime. L’attore non si limitava a estrarre credenziali: categorizzava i domini visitati, analizzava pattern di navigazione, e assegnava punteggi di priorità per attacchi successivi. È il primo caso documentato pubblicamente di uso offensivo del Model Context Protocol, e le sue implicazioni ridefiniscono il rapporto tra dato rubato e azione criminale.

Cos’è il Model Context Protocol e perché è al centro di questa analisi

Per comprendere la portata dell’uso offensivo, è necessario chiarire cosa sia MCP e perché la sua architettura si presta a un impiego che i progettisti non avevano previsto.

Il Model Context Protocol è uno standard aperto, rilasciato da Anthropic nel novembre 2024 e adottato in meno di un anno da OpenAI, Google DeepMind, Microsoft e centinaia di sviluppatori. Funziona come un adattatore universale tra modelli linguistici e sistemi esterni: database, API, file system, strumenti di sviluppo. L’analogia più utilizzata è quella con l’USB-C: un’unica interfaccia che sostituisce decine di connettori proprietari.

L’architettura è basata su un modello client-server. Il client MCP risiede all’interno dell’applicazione AI (Claude Desktop, un agente autonomo, un IDE) e stabilisce connessioni con uno o più server MCP, ciascuno dei quali espone risorse, strumenti o prompt in modo standardizzato. Il client interroga i server, riceve dati strutturati, e li utilizza come contesto per le risposte del modello. È un meccanismo elegante e potente: consente a un agente AI di leggere file, interrogare database, eseguire funzioni e coordinare workflow complessi attraverso un’unica interfaccia.

A dicembre 2025, Anthropic ha donato MCP alla Agentic AI Foundation (AAIF) sotto la Linux Foundation, sancendone il ruolo di standard de facto per l’integrazione degli agenti AI. La specifica 2025-11-25 ha introdotto operazioni asincrone, gestione dell’identità dei server, e un registro comunitario per la scoperta dei server MCP.

Il problema è che questa stessa architettura – progettata per consentire agli agenti AI di accedere a informazioni strutturate e agire su di esse – funziona altrettanto bene quando le “informazioni strutturate” sono credenziali rubate e l'”azione” è la profilazione delle vittime per attacchi mirati.

Il caso: stealer log come materia prima, MCP come raffineria

Il caso documentato da Anthropic descrive un threat actor che operava su xss.is, uno dei forum underground russofoni più attivi nel commercio di credenziali e accessi compromessi. L’attore ha sviluppato un sistema che integra MCP e Claude per processare stealer log su scala, trasformando dati grezzi in intelligence azionabile.

L’operazione si articolava su tre livelli funzionali.

Ingestione e parsing automatizzato. Gli stealer log – archivi prodotti da malware come Lumma, RedLine e Raccoon Stealer contenenti credenziali salvate nel browser, cookie di sessione, cronologia di navigazione, dati di compilazione automatica e informazioni sul sistema della vittima – venivano caricati nel sistema attraverso server MCP configurati per leggere e strutturare i dati. L’AI processava ogni log estraendo non solo le credenziali, ma l’intero contesto comportamentale della vittima.

Categorizzazione dei domini. L’aspetto più innovativo del sistema era la classificazione automatica dei siti web visitati dalle vittime in categorie semantiche definite dall’attaccante. Secondo quanto riportato da Anthropic e analizzato da IronScales, il sistema classificava i domini in cluster come social media, darknet, gaming, servizi finanziari, piattaforme di criptovalute e altri raggruppamenti funzionali. Questa tassonomia non era un esercizio accademico: serviva a costruire profili multidimensionali delle vittime basati sui loro comportamenti online reali.

Profilazione comportamentale e ranking. Il terzo livello integrava le credenziali, le categorie di navigazione e i metadati dei dispositivi in profili strutturati per ciascuna vittima. L’AI assegnava punteggi di priorità basati su indicatori di valore: accesso a piattaforme finanziarie o wallet di criptovalute, presenza di credenziali aziendali, profilo di attività che suggerisse una posizione professionale rilevante. I profili ad alto valore venivano evidenziati per attacchi successivi.

L’attore ha presentato il sistema sul forum xss.is, mostrandone le capacità come dimostrazione tecnica e potenziale servizio commerciale. Il dettaglio è significativo: non si tratta di un uso privato e circoscritto, ma di una tecnologia offerta – o quantomeno pubblicizzata – alla comunità criminale come strumento replicabile.

Dall’estrazione alla profilazione: il salto qualitativo

Per apprezzare cosa cambia con il Model Context Protocol offensivo, è utile confrontare il workflow tradizionale di sfruttamento degli stealer log con quello abilitato dall’integrazione MCP-AI.

Nel modello tradizionale, i broker di accesso iniziale acquistano lotti di log su marketplace come 2easy o canali Telegram dedicati, li filtrano manualmente per credenziali di alto valore (accessi VPN aziendali, caselle email corporate, pannelli di amministrazione), e rivendono gli accessi validati su forum come xss.is ed exploit.in. È un processo laborioso, che richiede competenze specifiche nella valutazione del valore dei dati rubati e nella validazione delle credenziali. Secondo le analisi di Flare, i broker più efficaci stimano che circa l’1% dei log contenga accesso a infrastrutture aziendali – il che significa che il 99% del materiale è rumore.

Il modello MCP-AI inverte questa proporzione di sforzo. L’intelligenza artificiale non cerca solo credenziali: ricostruisce il profilo dell’individuo dietro ogni log. I siti visitati raccontano chi è la vittima. L’accesso a piattaforme di home banking rivela patrimoni approssimabili. Le credenziali su portali aziendali identificano il datore di lavoro e il livello di accesso probabile. La presenza nei forum di criptovalute suggerisce wallet da compromettere. I pattern di navigazione notturna su siti di gioco online possono indicare vulnerabilità psicologiche sfruttabili in operazioni di estorsione.

In altri termini, l’AI non si limita a separare il grano dalla paglia: trasforma la paglia in informazione. Ogni log, anche quelli privi di credenziali aziendali ad alto valore, contribuisce alla costruzione di un profilo comportamentale che ha un suo mercato e una sua operatività.

Profiling comportamentale come servizio criminale

La dimensione commerciale del caso è ciò che lo distingue da un esperimento tecnico. L’attore non ha sviluppato il sistema per uso esclusivo: lo ha presentato su un forum con una comunità attiva e sofisticata, suggerendo la possibilità che il profiling comportamentale basato su AI diventi un servizio standardizzato nell’ecosistema criminale.

Questo sviluppo si inserisce in un contesto più ampio. Il Verizon DBIR 2025 ha documentato che il 54% delle vittime di ransomware aveva credenziali aziendali presenti in marketplace di stealer log prima dell’attacco. Flashpoint ha stimato che nel primo semestre 2025 sono state rubate 1,8 miliardi di credenziali da 5,8 milioni di dispositivi infetti, con un incremento dell’800% rispetto al semestre precedente. IBM ha riportato un aumento dell’84% anno su anno delle email di phishing che distribuiscono infostealer.

In questa massa di dati, la sfida per l’ecosistema criminale non è la raccolta: è la selezione. E la profilazione AI-driven risolve esattamente quel collo di bottiglia. Se il vibe hacking (analizzato nel secondo articolo di questa serie) ha dimostrato che l’AI può condurre un attacco, e il no-code malware (analizzato nel terzo articolo) che l’AI può costruire gli strumenti offensivi, il Model Context Protocol offensivo dimostra che l’AI può selezionare le vittime ottimali e calibrare l’attacco in base al loro profilo. È il tassello mancante nella catena del valore del cybercrime AI-driven: l’intelligence pre-attacco.

La convergenza è inquietante. Un attaccante può oggi acquistare stealer log per pochi dollari, processarli con un sistema MCP-AI per identificare vittime ad alto valore, e poi utilizzare strumenti come quelli descritti nel caso GTG-2002 per condurre operazioni di estorsione personalizzate. Ogni anello della catena è potenziato dall’AI, e il Model Context Protocol è il connettore che tiene insieme l’infrastruttura.

MCP legittimo e MCP offensivo: stesso protocollo, usi opposti

Un aspetto che merita attenzione critica è la natura dual-use del Model Context Protocol. Le stesse caratteristiche che lo rendono prezioso per gli sviluppatori legittimi lo rendono efficace per gli attaccanti.

L’uso legittimo prevede un agente AI che accede, tramite server MCP, a database aziendali, repository di codice, CRM e strumenti di produttività. L’agente legge, elabora e agisce su dati autorizzati, all’interno di un framework governato e monitorato.

L’uso offensivo prevede un agente AI che accede, tramite server MCP, a repository di stealer log, database di credenziali rubate, e strumenti di analisi dei dati compromessi. L’agente legge, elabora e profila vittime all’interno di un framework configurato per scopi criminali.

L’architettura è identica. Cambiano i dati, cambiano gli obiettivi, cambiano i server connessi. Ma il protocollo funziona esattamente come progettato. Questa simmetria strutturale tra uso legittimo e offensivo è ciò che rende il Model Context Protocol offensivo particolarmente difficile da contrastare a livello di protocollo: non esiste una distinzione tecnica intrinseca tra un server MCP che legge dati di vendita e uno che processa log rubati.

Il problema è amplificato dalla crescita esplosiva dell’ecosistema MCP. Con migliaia di server MCP in circolazione e un modello di sicurezza che, come hanno documentato i ricercatori di CyberArk e Cyata, presenta ancora lacune significative in termini di autenticazione, autorizzazione e audit logging, la superficie di attacco è destinata ad ampliarsi.

Implicazioni per la difesa: quando i dati rubati diventano intelligence

Per i professionisti della sicurezza, il Model Context Protocol offensivo ha implicazioni che trascendono il singolo caso documentato e investono l’intero approccio alla protezione post-breach.

Il valore dei dati rubati non è più statico. Tradizionalmente, la gravità di un breach si misurava in funzione del tipo e della quantità di dati sottratti: credenziali, PII, dati finanziari. Con la profilazione AI-driven, anche dati apparentemente innocui (cronologia di navigazione, preferenze di intrattenimento, orari di attività online) acquisiscono valore operativo. Un log che contiene solo credenziali di servizi consumer e una cronologia browser non è più “a basso valore”: è un profilo comportamentale incompleto che l’AI può arricchire e monetizzare. Questo impone una revisione delle metriche di impatto utilizzate nell’incident response e nella classificazione degli incidenti ai sensi dell’articolo 23 della Direttiva NIS2.

Il monitoraggio delle credenziali esposte diventa insufficiente. I servizi di dark web monitoring che notificano le organizzazioni quando le loro credenziali appaiono nei marketplace operano su un modello di detection basato sulla presenza o assenza di dati specifici. La profilazione comportamentale aggiunge una dimensione che quei servizi non catturano: il contesto in cui le credenziali sono inserite, e il valore derivato dalla correlazione con i pattern di navigazione. Monitorare se le credenziali aziendali sono in vendita è necessario ma non sufficiente; occorre valutare se i profili dei dipendenti sono stati costruiti e classificati per attacchi mirati.

L’igiene delle credenziali del browser è una priorità operativa sottovalutata. Gli infostealer estraggono ciò che il browser salva: password, cookie, dati di compilazione automatica, cronologia. Le policy aziendali che vietano il salvataggio delle password nel browser, richiedono l’uso di password manager dedicati, e implementano la cancellazione periodica dei cookie e della cronologia riducono drasticamente il valore dei log prodotti in caso di infezione. È una misura che costa poco e mitiga un rischio la cui portata, alla luce della profilazione AI, è cresciuta significativamente.

La segmentazione delle identità digitali diventa un controllo di sicurezza. Se l’AI ricostruisce profili basandosi sulla coesistenza di credenziali aziendali e personali nello stesso browser, la separazione rigorosa tra profili browser aziendali e personali riduce la superficie di profilazione. Questa raccomandazione, che potrebbe sembrare marginale, acquisisce rilevanza strategica in un contesto in cui l’AI è in grado di correlare automaticamente identità digitali separate sulla base di fingerprint del dispositivo e pattern di navigazione condivisi.

Il quadro normativo: MCP e le implicazioni di compliance

L’uso offensivo del Model Context Protocol introduce questioni di compliance che intersecano più regimi normativi.

Sul versante della NIS2, l’articolo 21 della Direttiva (recepita in Italia con il D.lgs. 138/2024) impone misure di gestione del rischio che includono la sicurezza della supply chain. Le organizzazioni che integrano server MCP nelle proprie infrastrutture AI devono valutare il rischio che quei server possano essere compromessi, sostituiti o manipolati. Come hanno dimostrato le vulnerabilità scoperte da Cyata nel server Git MCP ufficiale di Anthropic (CVE-2025-68143, CVE-2025-68144, CVE-2025-68145), anche le implementazioni di riferimento possono contenere difetti sfruttabili tramite prompt injection.

Sul versante dell’AI Act (Regolamento UE 2024/1689), la questione si complica ulteriormente. I sistemi AI che utilizzano MCP per accedere a dati esterni operano in un regime di trasparenza e governance che l’uso offensivo viola per definizione. Ma la domanda più insidiosa riguarda le organizzazioni legittime: come si garantisce che i server MCP connessi ai propri agenti AI non vengano compromessi o sostituiti con versioni malevole? Come evidenziato dalla ricerca pubblicata su arXiv nel 2025, la tassonomia delle minacce MCP include 16 scenari distinti, dalla tool poisoning alla credential harvesting tramite RAG, configurando una superficie di rischio che i framework di conformità attuali non indirizzano in modo specifico.

Lo scenario prossimo: il futuro dell’MCP offensivo

La traiettoria è identificabile, e non è rassicurante.

Profiling-as-a-Service. Se il caso documentato da Anthropic è un prototipo, l’evoluzione naturale è la commercializzazione: servizi underground che accettano lotti di stealer log e restituiscono profili comportamentali strutturati, con ranking di priorità e raccomandazioni di attacco personalizzate. L’infrastruttura MCP rende questa modularizzazione tecnicamente semplice.

Integrazione con campagne di phishing adattivo. I profili comportamentali prodotti dall’analisi MCP-AI possono alimentare direttamente campagne di social engineering personalizzate. Se il profilo della vittima indica interesse per il trading di criptovalute, la comunicazione di phishing può essere calibrata su quell’interesse specifico. Se la cronologia mostra accesso frequente a siti sanitari, il pretesto può riguardare informazioni mediche. L’AI chiude il cerchio tra profilazione e azione, eliminando il gap temporale e cognitivo che tradizionalmente separava intelligence e operazione.

Convergenza con modelli self-hosted. Come ha osservato IronScales, i casi documentati da Anthropic coinvolgono servizi AI hosted dove il provider può rilevare e bloccare gli abusi. Quando la profilazione viene condotta con modelli self-hosted privi di guardrail – un trend già in corso – il meccanismo di detection basato sul provider viene meno. Il Google Threat Intelligence Group, nel report di febbraio 2026, ha documentato casi di distillazione di modelli, in cui le conoscenze di modelli di frontiera vengono trasferite a modelli locali meno controllati.

Espansione a nuove fonti dati. Il protocollo MCP non è limitato ai log di infostealer. La stessa architettura può connettere l’AI a database di breach pubblici, data leak su Telegram, dump di social media, registri pubblici. La profilazione comportamentale può arricchirsi progressivamente con fonti eterogenee, costruendo dossier sempre più completi che combinano dati rubati, informazioni pubbliche e intelligence derivata.

Limiti dell’analisi e controargomentazioni

Un’analisi equilibrata richiede di considerare anche i limiti della narrazione sul Model Context Protocol offensivo.

Il caso è singolo e di dettaglio limitato. Anthropic ha documentato il caso in una sezione relativamente breve del report di agosto 2025, senza fornire indicatori tecnici specifici (hash, infrastruttura, timeline dettagliata). La portata reale dell’operazione – se il sistema fosse in produzione attiva o in fase dimostrativa – resta parzialmente indeterminata.

L’AI amplifica, non rivoluziona. Come ha osservato il Google Threat Intelligence Group nel report di febbraio 2026, l’AI potenzia tecniche esistenti senza crearne di genuinamente nuove. I broker di accesso iniziale conducevano attività di selezione e prioritizzazione dei log anche prima dell’AI; l’automazione ne aumenta scala e velocità, ma il principio operativo resta lo stesso.

I controlli fondamentali restano efficaci. MFA robusto, gestione delle password tramite manager dedicati, monitoraggio delle credenziali esposte, formazione del personale sui rischi degli infostealer: queste misure riducono sia la probabilità di infezione sia il valore dei dati eventualmente sottratti, indipendentemente dal livello di sofisticazione dell’analisi post-furto.

Queste controargomentazioni non invalidano la rilevanza del caso, ma ne circoscrivono la portata. Il Model Context Protocol offensivo è una minaccia reale e documentata che richiede adattamento difensivo, non un’apocalisse che giustifica il panico.

Il dato rubato non è più il punto di arrivo

Il Model Context Protocol offensivo segna una transizione nella catena del valore del cybercrime. Per un decennio, gli stealer log sono stati trattati come materia prima: le credenziali venivano estratte, validate e rivendute. Il passaggio dalla estrazione alla profilazione comportamentale cambia la natura stessa del prodotto: non si vendono più singole credenziali, ma profili completi di individui, corredati da pattern comportamentali, indicatori di valore economico e vulnerabilità psicologiche sfruttabili.

Per i professionisti della sicurezza informatica – CISO, SOC analyst, threat researcher, specialisti di compliance – la lezione operativa è che la protezione post-breach non può più limitarsi al reset delle password e alla notifica agli interessati. Deve includere una valutazione dell’intelligence che un attaccante può derivare dai dati sottratti, calibrata sulle capacità attuali dell’AI di trasformare dati grezzi in profili azionabili.

La profilazione delle vittime tramite intelligenza artificiale è il tassello che collega la supply chain degli infostealer alle operazioni di attacco mirato. MCP è il protocollo che rende quel collegamento scalabile, replicabile e commercializzabile. Ignorarlo significherebbe sottovalutare un’evoluzione che, come i precedenti articoli di questa serie hanno documentato, procede a una velocità che i modelli di rischio tradizionali non sono progettati per anticipare.

Questo è il sesto articolo della serie “AI offensiva nella cybersecurity”. Il primo articolo ha introdotto il quadro generale delle minacce AI-driven e il framework normativo. Il secondo articolo ha ricostruito l’operazione GTG-2002 e il paradigma del vibe hacking. Il terzo articolo ha analizzato il no-code malware e il caso GTG-5004. Il quarto articolo ha esaminato la frode occupazionale nordcoreana assistita dall’AI. Il quinto articolo ha analizzato l’APT cinese che ha integrato Claude in 12 delle 14 tattiche MITRE ATT&CK. Il prossimo articolo approfondirà le strategie di difesa AI-native contro le minacce AI-driven.