Allarme Cyber Threats: Settembre 2025 segna un’escalation senza precedenti

Il panorama della cybersicurezza e delle minacce informatiche 2025 vive un momento di profonda trasformazione, e purtroppo la direzione è preoccupante. I dati raccolti nel primo semestre del 2025 parlano chiaro: gli attacchi informatici sono in costante crescita, sempre più mirati e sofisticati. In Italia, ad esempio, si contano già oltre 1.500 attacchi registrati (+53% rispetto allo stesso periodo del 2024) e quasi 350 incidenti gravi (+98%). Pubblica amministrazione, sanità ed energia restano nel mirino, segno che i cyber criminali puntano alle infrastrutture più critiche, soprattutto tramite terze parti.

Ma quali sono le minacce più pericolose emerse negli ultimi mesi?

Stealerium: il malware che “ruba tutto”

Tra maggio e agosto 2025 si è diffuso Stealerium, un infostealer open-source nato con finalità educative ma trasformato rapidamente in un’arma criminale. Questo malware sottrae credenziali da browser, portafogli crypto, configurazioni VPN e persino profili Wi-Fi. Ancora più pericoloso, cattura screenshot e immagini dalla webcam, che possono essere sfruttate per ricatti e blackmailing.

Stealerium utilizza script PowerShell offuscati per bypassare Windows Defender e garantirsi la persistenza sul sistema tramite attività pianificate. È modulare, quindi facilmente personalizzabile da chiunque lo scarichi da repository pubblici. Dispone di capacità anti-sandbox per sfuggire agli analisti e viene spesso distribuito tramite file compressi allegati a email, link su forum underground o siti compromessi. La semplicità d’uso e l’assenza di costi lo rendono uno strumento ideale per criminali meno esperti, aumentando esponenzialmente il numero di campagne attive.

Phishing 2.0: minacce informatiche 2025 su larga scala

Secondo Proofpoint, nel primo semestre 2025 gli URL dannosi hanno superato gli allegati email come principale vettore di infezione. Nel periodo gennaio–giugno sono stati osservati 3,7 miliardi di attacchi via URL a livello globale, solo 8,3 milioni di questi contenevano un vero e proprio payload malware: la maggior parte era finalizzata al furto di credenziali tramite phishing.

A titolo di confronto, Proofpoint rileva in media oltre 4,5 milioni di URL malevoli unici al giorno, distribuiti attraverso email, SMS e campagne multi-canale. Questo dato conferma la portata industriale del fenomeno e dimostra come le minacce informatiche nel 2025 siano evolute verso campagne sempre più automatizzate e pervasive.

Parallelamente, gli attacchi smishing hanno registrato un incremento del 2.534% anno su anno, mentre le campagne basate su malware della famiglia ClickFix sono cresciute del 400%

Tecnicamente, questi URL spesso reindirizzano a siti clone costruiti con kit di phishing preconfezionati, in grado di replicare fedelmente portali bancari, sistemi di posta aziendali o interfacce cloud. L’infezione può avvenire tramite drive-by download, senza che l’utente se ne accorga. Alcuni domini sono configurati con geofencing: funzionano solo se l’utente proviene da specifici Paesi, complicando le attività di analisi. Inoltre, i criminali utilizzano sistemi di cloaking che mostrano contenuti diversi agli analisti rispetto alle vittime reali.

Intelligenza artificiale al servizio del crimine

Non meno allarmante è l’uso crescente dell’IA da parte degli attaccanti. Trend Micro ha segnalato la tecnica del cosiddetto vibe coding, che consente ai criminali di trasformare report di sicurezza in codice malevolo tramite modelli linguistici. Anche i grandi LLM vengono sfruttati per sviluppare ransomware, campagne di phishing e frodi di impiego.

In pratica, un criminale fornisce a un modello AI indicatori di compromissione (IoC) o descrizioni di tecniche di attacco prese da report pubblici, e ottiene script eseguibili già pronti all’uso. Alcuni LLM sono stati addestrati per generare loader che scaricano altro malware o per produrre varianti offuscate di codice già noto, rendendo inefficaci gli antivirus basati su firme statiche. È stato osservato anche l’uso dell’intelligenza artificiale per generare in automatico testi di phishing localizzati in più lingue, abbattendo le barriere linguistiche che in passato tradivano l’origine di molte campagne.

Ancora più inquietante, Anthropic ha ammesso che il suo modello Claude è stato utilizzato per attività di ransomware, campagne di estorsione e persino per aggirare sanzioni internazionali tramite falsi profili lavorativi legati ad hacker nord-coreani.

Deepfake e dirigenti sotto attacco

Un altro fronte in crescita è quello dei deepfake, sempre più raffinati e utilizzati per truffe che prendono di mira i vertici aziendali. Secondo il Ponemon Institute, il 51% dei professionisti IT ha rilevato un aumento degli attacchi verso dirigenti e top manager (era 43% nel 2023).

Video e audio sintetici vengono usati per impersonare CEO e dirigenti, chiedendo trasferimenti di denaro o azioni urgenti. Gli attacchi non si limitano alla sfera professionale: anche le famiglie dei dirigenti sono prese di mira.

I modelli di sintesi vocale riescono ormai a replicare un timbro con pochi minuti di registrazione. Piattaforme di video deepfake permettono di animare un volto in tempo reale, rendendo possibile una videoconferenza con un falso dirigente che appare e parla come l’originale. Sono stati osservati casi in cui i deepfake vengono combinati con spoofing biometrico, simulando impronte vocali o facciali per ingannare sistemi bancari o procedure di verifica remota. Questo rende gli attacchi estremamente credibili e difficili da smascherare senza strumenti di detection avanzata.

L’Italia nel mirino: ransomware e DDoS in crescita

Il rapporto TIM–Cyber Security Foundation (giugno 2025) non si limita a fotografare l’aumento numerico delle minacce informatiche 2025, ma mette in evidenza come il nostro Paese sia diventato un bersaglio privilegiato per la criminalità organizzata digitale. L’Italia, infatti, è oggi il secondo Paese più colpito in Europa da ransomware, con un picco di richieste di riscatto in ambito sanitario e nella pubblica amministrazione. Le gang cyber criminali prediligono realtà con infrastrutture spesso eterogenee, legacy e difficili da aggiornare, dove il livello di patch management rimane disomogeneo.

Parallelamente, gli attacchi DDoS sono aumentati del 36% rispetto al 2023, con una media di 18 al giorno. Nel 40% dei casi hanno superato i 20 Gbps, saturando rapidamente reti aziendali e servizi pubblici.

I ransomware adottano sempre più spesso il modello di double extortion: cifrano i dati e minacciano di pubblicarli se non viene pagato il riscatto. L’accesso iniziale avviene tramite vulnerabilità non patchate o credenziali sottratte in precedenza, mentre le gang sfruttano piattaforme di Ransomware-as-a-Service (RaaS), che abbassano la soglia d’ingresso al crimine e moltiplicano gli attori coinvolti.

Quanto ai DDoS, non si tratta più di semplici attacchi volumetrici: oggi sono spesso multi-vettore, combinando saturazione di banda, attacchi a livello applicativo e a livello di protocollo per aggirare le difese tradizionali. Gran parte delle offensive sfrutta botnet IoT composte da migliaia di dispositivi compromessi (telecamere IP, router, NAS), spesso distribuiti in reti domestiche e catena di fornitura. Non di rado vengono colpite anche infrastrutture industriali e OT, come sistemi SCADA/ICS, troppo spesso esposti a Internet senza segmentazione adeguata e con software legacy non aggiornato, rendendoli facili bersagli per campagne mirate.

Conclusioni: come difendersi

Il quadro che emerge è chiaro: Stealerium, phishing avanzato, deepfake e AI criminale stanno ridefinendo il concetto stesso di minacce informatiche nel 2025. L’Italia, come il resto del mondo, si trova davanti a una sfida epocale che richiede non solo tecnologie di difesa sempre più robuste, ma anche una cultura diffusa della sicurezza, dalla dirigenza alle famiglie, fino al singolo cittadino.

Di fronte a minacce sempre più sofisticate, serve una difesa all’altezza. Security Architect sta lavorando a una nuova soluzione avanzata per innalzare ulteriormente il livello di protezione. Intanto, le organizzazioni possono adottare strategie e misure concrete per rafforzare la propria resilienza, prima che il danno sia fatto:

• Monitoraggio IoT e supply chain: controlli costanti su dispositivi connessi e fornitori, punti d’ingresso sempre più sfruttati dai criminali.
• Riduzione dei privilegi e revisione continua: applicare rigorosamente il principio del “least privilege”, rivedendo periodicamente ruoli e permessi per minimizzare i danni in caso di compromissione.
• EDR/XDR e Threat Hunting: soluzioni avanzate di rilevamento e risposta che analizzano i comportamenti, intercettando malware come Stealerium anche in assenza di firme.
• Email Security & Web Gateway: filtri con sandboxing per bloccare allegati e URL malevoli, oltre al controllo dei QR code.
• Formazione continua: programmi di awareness e simulazioni di phishing per ridurre l’errore umano, ancora la prima causa di compromissioni.
• Autenticazione multifattore (MFA) e gestione sicura delle credenziali per limitare i danni da furto di password.
• Protezione anti-deepfake: awareness e strumenti di rilevamento per verificare autenticità di audio/video, soprattutto nelle comunicazioni con dirigenti.
• Piani di continuità e incident response: test regolari di disaster recovery, readiness ICT e procedure di risposta per ridurre tempi di fermo e impatto reputazionale.

ATTIVA SUBITO IL SOC PER MONITORARE LA TUA AZIENDA