Il Report si fonda su dati raccolti tra giugno e novembre 2025 e segnala un’evoluzione delle tecniche utilizzate nelle truffe, con un crescente ricorso a deepfake e contenuti generati dall’AI. Alcune minacce note hanno invece registrato un netto calo delle rilevazioni nella seconda metà dell’anno
ESET, leader globale nel mercato della cybersecurity, ha pubblicato l’ultima edizione del Threat Report, che riassume le tendenze delle minacce osservate nella telemetria ESET e analizzate dagli esperti di threat detection e ricerca nel periodo compreso tra giugno e novembre 2025. Nella seconda metà dell’anno il malware AI-based è passato dalla teoria alla realtà: ESET ha infatti scoperto PromptLock, il primo ransomware AI-driven noto, in grado di generare script malevoli dinamicamente. Sebbene l’AI venga ancora utilizzata principalmente per creare contenuti di phishing e truffe più convincenti, PromptLock – insieme ad altre poche minacce AI-driven identificate finora – segnala l’inizio di una nuova era delle minacce.
“Le truffe di investimento Nomani hanno mostrato un’evoluzione significativa delle tecniche utilizzate: sono stati osservati deepfake di qualità superiore, segnali di siti di phishing generati dall’AI e campagne pubblicitarie sempre più brevi, progettate per ridurre le possibilità di individuazione”, afferma Jiří Kropáč, Director di ESET Threat Prevention Labs. Nella telemetria ESET, le rilevazioni delle truffe Nomani sono cresciute del 62% su base annua, con un lieve calo del trend nella seconda metà del 2025. Le truffe Nomani si stanno inoltre espandendo da Meta ad altre piattaforme, tra cui YouTube.
Per quanto riguarda il ransomware, il numero di vittime ha superato i livelli del 2024 ben prima della fine dell’anno, con proiezioni di ESET Research che indicano un aumento del 40% su base annua. Akira e Qilin dominano ora il mercato del ransomware-as-a-service, mentre il nuovo arrivato Warlock, seppur a basso profilo, ha introdotto tecniche di evasione innovative. La diffusione degli EDR killer è proseguita, a dimostrazione del fatto che gli strumenti di endpoint detection and response continuano a rappresentare un ostacolo rilevante per gli operatori ransomware.
Sulla piattaforma mobile, le minacce basate sulla tecnologia Near Field Communication (NFC) hanno continuato a crescere in scala e sofisticazione, con un aumento dell’87% nella telemetria ESET e diversi aggiornamenti e campagne rilevanti osservati nella seconda metà del 2025. NGate, pioniere tra le minacce NFC e scoperto per la prima volta da ESET, ha ricevuto un aggiornamento sotto forma di furto dei contatti, probabilmente ponendo le basi per attacchi futuri. RatOn, malware completamente nuovo nello scenario delle frodi NFC, ha introdotto una rara combinazione di funzionalità da remote access trojan (RAT) e attacchi di relay NFC, dimostrando la determinazione dei cybercriminali a esplorare nuovi vettori di attacco. RatOn è stato distribuito tramite finte pagine Google Play e annunci che imitavano una versione per adulti di TikTok e un servizio di identità digitale bancaria. PhantomCard, nuovo malware basato su NGate e adattato al mercato brasiliano, è stato osservato in più campagne in Brasile nella seconda metà del 2025.
Inoltre, dopo l’interruzione globale di maggio, l’infostealer Lumma Stealer è riuscito a riemergere brevemente – due volte – ma il periodo di massimo splendore appare ormai concluso. Le rilevazioni sono crollate dell’86% nella seconda metà del 2025 rispetto al primo semestre dell’anno, e un importante vettore di distribuzione di Lumma Stealer – il trojan HTML/FakeCaptcha utilizzato negli attacchi ClickFix – è quasi scomparso dalla telemetria ESET.
Nel frattempo, CloudEyE, noto anche come GuLoader, è salito rapidamente alla ribalta, con un aumento di quasi trenta volte secondo la telemetria ESET. Distribuito tramite campagne email malevole, questo downloader e cryptor malware-as-a-service viene utilizzato per distribuire altri malware, inclusi ransomware e infostealer come Rescoms, Formbook e Agent Tesla. La Polonia è risultata il paese più colpito, con il 32% dei tentativi di attacco CloudEyE rilevati nella seconda metà del 2025.
