AI-powered threats: dalla teoria alla maturità operativa
In H2 2025 l’AI è diventata un moltiplicatore reale per gli attori offensivi.
La scoperta di PromptLock, il primo ransomware AI-driven capace di generare script malevoli on demand, mostra un salto generazionale: automazione adattiva, agilità nel payload generation e drastica riduzione dei costi per gli operatori. Sebbene l’AI sia ancora impiegata principalmente per migliorare phishing, scam e social engineering, gli AI-driven malware identificati nel semestre indicano l’avvio di una nuova classe di minacce “autogenerative”.
Commodity malware: crolli improvvisi e nuove ascesi
• Lumma Stealer: dopo il takedown globale di maggio, le sue riemersioni sono state brevi. Le rilevazioni sono diminuite dell’86% rispetto a H1 2025, e un vettore critico – il trojan HTML/FakeCaptcha utilizzato negli attacchi ClickFix – è praticamente scomparso.
• CloudEyE / GuLoader: al contrario, torna protagonista con un incremento quasi 30× nei rilevamenti. Spinto da campagne email offensive altamente automatizzate, continua a essere un pilastro nel modello malware-as-a-service, facilitando la distribuzione di ransomware e infostealer come Rescoms, Formbook e Agent Tesla.
Ransomware: escalation continua e nuove capacità offensive Le vittime ransomware hanno superato le cifre del 2024 con largo anticipo, con una proiezione di crescita annua del 40%.
Il mercato RaaS è ora dominato da Akira e Qilin, mentre il nuovo attore Warlock introduce tecniche di evasione che mettono sotto pressione i sistemi di difesa comportamentale. Nel semestre abbiamo inoltre individuato HybridPetya, un inedito derivato di Petya/NotPetya in grado di colpire sistemi UEFI-based moderni: un segnale netto di come alcuni gruppi stiano investendo in capacità con impatto potenzialmente distruttivo. Gli EDR killers continuano a proliferare, confermando che gli operatori ransomware vedono negli EDR/XDR il principale ostacolo operativo.
Mobile & NFC: un nuovo dominio di innovazione per gli attaccanti
Le minacce NFC mostrano una crescita dell’87%, trainata dall’evoluzione di due famiglie chiave:
• NGate, aggiornato con funzionalità di furto contatti, probabilmente in preparazione ad attacchi relay e social engineering più mirati.
• RatOn, nuovo arrivato con una combinazione inusuale di funzionalità RAT + NFC relay, segnale di una crescente sperimentazione all’interno dell’ecosistema mobile fraud.
Fraud & social engineering: AI, deepfake e campagne usa-e-getta
Gli operatori dietro gli scams Nomani hanno migliorato qualità, velocità e evasività: deepfake più realistici, siti di phishing generati da AI e campagne pubblicitarie a vita utilissima sempre più breve.
Le rilevazioni annuali aumentano del 62%, con un lieve rallentamento solo nella parte finale del semestre.