Recentemente, i ricercatori di sicurezza informatica hanno rivelato i dettagli di una piattaforma basata su intelligenza artificiale chiamata AkiraBot. Questa piattaforma è utilizzata per inviare messaggi spam a chat di siti web, sezioni di commenti e moduli di contatto, promuovendo servizi di ottimizzazione per motori di ricerca (SEO) di dubbia qualità come Akira e ServicewrapGO. Secondo un rapporto condiviso da SentinelOne, AkiraBot ha preso di mira oltre 400.000 siti web e ha avuto successo nello spammare almeno 80.000 di questi dal settembre 2024. Il bot utilizza OpenAI per generare messaggi personalizzati in base al sito web target.

AkiraBot è particolarmente abile nel superare i filtri antispam grazie alla sua capacità di creare contenuti unici utilizzando modelli di linguaggio su larga scala di OpenAI. Inizialmente noto come "Shopbot", il bot ha ampliato la sua portata per includere siti realizzati con piattaforme come GoDaddy, Wix e Squarespace, oltre a quelli con moduli di contatto generici e widget di chat live.

Il cuore dell'operazione di AkiraBot è l'API di OpenAI, che viene utilizzata per generare contenuti spam. L'interfaccia grafica del bot permette di scegliere i siti da bersagliare e di personalizzare il numero di siti che possono essere attaccati contemporaneamente. L'analisi del codice sorgente ha rivelato che il client di OpenAI utilizza il modello gpt-4o-mini, configurato come "assistente utile" per generare messaggi di marketing.

Un altro aspetto notevole di AkiraBot è la sua capacità di superare i sistemi CAPTCHA, utilizzati per prevenire lo spam su larga scala. Utilizzando un servizio proxy, il traffico web del bot imita quello di un utente autentico, permettendo di eludere le protezioni di rete. I servizi CAPTCHA presi di mira includono hCAPTCHA, reCAPTCHA e Cloudflare Turnstile.

AkiraBot registra le sue attività in un file chiamato "submissions.csv", che annota sia i tentativi di spam riusciti che quelli falliti. Un esame di questi file ha rivelato che più di 420.000 domini unici sono stati bersagliati fino ad oggi. I parametri di successo relativi al superamento dei CAPTCHA e alla rotazione dei proxy vengono raccolti e pubblicati su un canale Telegram tramite API.

In risposta a queste attività, OpenAI ha disabilitato la chiave API e altri asset associati agli attori della minaccia. Questo sviluppo coincide con l'emergere di un altro strumento di cybercriminalità noto come Xanthorox AI, che viene commercializzato come chatbot tutto-in-uno per gestire la generazione di codice, lo sviluppo di malware, lo sfruttamento delle vulnerabilità e l'analisi dei dati. Xanthorox AI è alimentato da cinque modelli distinti, ciascuno ottimizzato per diversi compiti operativi.