ESET Threat Report: in aumento gli attacchi AI-driven

L’ultima edizione del Threat Report di ESET illustra le tendenze delle minacce osservate nella telemetria ESET e analizzate dagli esperti di threat detection. La ricerca si riferisce al periodo compreso tra giugno e novembre 2025. Si osserva che, nella seconda metà dello scorso anno, il malware AI-based è passato dalla teoria ai fatti: ESET ha infatti scoperto PromptLock, il primo ransomware AI-driven noto, che può generare script malevoli dinamicamente. Anche se l’AI viene ancora utilizzata soprattutto per creare contenuti di phishing e truffe più convincenti, PromptLock – insieme ad altre poche minacce AI-driven identificate finora – segnala l’inizio di una nuova era delle minacce.

 “Le truffe di investimento Nomani hanno mostrato un’evoluzione significativa delle tecniche utilizzate: sono stati osservati deepfake di qualità superiore, segnali di siti di phishing generati dall’AI e campagne pubblicitarie sempre più brevi, progettate per ridurre le possibilità di individuazione”, afferma Jiří Kropáč, Director di ESET Threat Prevention Labs. Nella telemetria ESET, le rilevazioni delle truffe Nomani sono cresciute del 62% su base annua, con un lieve calo del trend nella seconda metà del 2025. Le truffe Nomani si stanno inoltre espandendo da Meta ad altre piattaforme, tra cui YouTube.

Cresce il numero delle vittime del ransomware

Facendo riferimento al ransomware, il numero di vittime è stato superiore al 2024 molto prima che l'anno volgesse al termine: le proiezioni di ESET Research segnalano una crescita del 40% su base annua. Akira e Qilin dominano il mercato del ransomware-as-a-service, mentre il recente  Warlock, anche se a basso profilo, ha introdotto tecniche di evasione innovative. E' proseguita la diffusione degli EDR killer e questo conferma che gli strumenti di endpoint detection and response sono ancora un importante ostacolo per gli operatori ransomware.

Nuovi vettori di attacco

Sulla piattaforma mobile, le minacce basate sulla tecnologia Near Field Communication (NFC) hanno continuato a crescere in scala e sofisticazione, con un aumento dell’87% nella telemetria ESET e diversi aggiornamenti e campagne rilevanti osservati nella seconda metà del 2025. NGate, pioniere tra le minacce NFC e scoperto per la prima volta da ESET, ha ricevuto un aggiornamento sotto forma di furto dei contatti, probabilmente ponendo le basi per attacchi futuri. RatOn, malware completamente nuovo nello scenario delle frodi NFC, ha introdotto una rara combinazione di funzionalità da remote access trojan (RAT) e attacchi di relay NFC, dimostrando la determinazione dei cybercriminali a esplorare nuovi vettori di attacco. RatOn è stato distribuito tramite finte pagine Google Play e annunci che imitavano una versione per adulti di TikTok e un servizio di identità digitale bancaria. PhantomCard, nuovo malware basato su NGate e adattato al mercato brasiliano, è stato osservato in più campagne in Brasile nella seconda metà del 2025.

Dopo l’interruzione globale di maggio, l’infostealer Lumma Stealer è riemerso per sole due volte. Le rilevazioni sono crollate dell’86% nella seconda metà del 2025 rispetto al primo semestre dell’anno, e un importante vettore di distribuzione di Lumma Stealer – il trojan HTML/FakeCaptcha utilizzato negli attacchi ClickFix – è quasi scomparso dalla telemetria ESET.

Nel frattempo, CloudEyE, noto anche come GuLoader, è salito rapidamente alla ribalta, con un aumento di quasi trenta volte secondo la telemetria ESET. Distribuito tramite campagne email malevole, questo downloader e cryptor malware-as-a-service viene utilizzato per distribuire altri malware, inclusi ransomware e infostealer come Rescoms, Formbook e Agent Tesla. La Polonia è risultata il paese più colpito, con il 32% dei tentativi di attacco CloudEyE rilevati nella seconda metà del 2025.