Il Report si fonda su dati raccolti tra giugno e novembre 2025 e segnala un’evoluzione delle tecniche utilizzate nelle truffe, con un crescente ricorso a deepfake e contenuti generati dall’AI. Alcune minacce note hanno invece registrato un netto calo delle rilevazioni nella seconda metà dell’anno
Milano, 8 gennaio 2026 – ESET, leader globale nel mercato della cybersecurity, ha pubblicato l’ultima edizione del Threat Report, che riassume le tendenze delle minacce osservate nella telemetria ESET e analizzate dagli esperti di threat detection e ricerca nel periodo compreso tra giugno e novembre 2025. Nella seconda metà dell’anno il malware AI-based è passato dalla teoria alla realtà: ESET ha infatti scoperto PromptLock, il primo ransomware AI-driven noto, in grado di generare script malevoli dinamicamente. Sebbene l’AI venga ancora utilizzata principalmente per creare contenuti di phishing e truffe più convincenti, PromptLock – insieme ad altre poche minacce AI-driven identificate finora – segnala l’inizio di una nuova era delle minacce.
“Le truffe di investimento Nomani hanno mostrato un’evoluzione significativa delle tecniche utilizzate: sono stati osservati deepfake di qualità superiore, segnali di siti di phishing generati dall’AI e campagne pubblicitarie sempre più brevi, progettate per ridurre le possibilità di individuazione”, afferma Jiří Kropáč, Director di ESET Threat Prevention Labs. Nella telemetria ESET, le rilevazioni delle truffe Nomani sono cresciute del 62% su base annua, con un lieve calo del trend nella seconda metà del 2025. Le truffe Nomani si stanno inoltre espandendo da Meta ad altre piattaforme, tra cui YouTube.
Per quanto riguarda il ransomware, il numero di vittime ha superato i livelli del 2024 ben prima della fine dell’anno, con proiezioni di ESET Research che indicano un aumento del 40% su base annua. Akira e Qilin dominano ora il mercato del ransomware-as-a-service, mentre il nuovo arrivato Warlock, seppur a basso profilo, ha introdotto tecniche di evasione innovative. La diffusione degli EDR killer è proseguita, a dimostrazione del fatto che gli strumenti di endpoint detection and response continuano a rappresentare un ostacolo rilevante per gli operatori ransomware.
Sulla piattaforma mobile, le minacce basate sulla tecnologia Near Field Communication (NFC) hanno continuato a crescere in scala e sofisticazione, con un aumento dell’87% nella telemetria ESET e diversi aggiornamenti e campagne rilevanti osservati nella seconda metà del 2025. NGate, pioniere tra le minacce NFC e scoperto per la prima volta da ESET, ha ricevuto un aggiornamento sotto forma di furto dei contatti, probabilmente ponendo le basi per attacchi futuri. RatOn, malware completamente nuovo nello scenario delle frodi NFC, ha introdotto una rara combinazione di funzionalità da remote access trojan (RAT) e attacchi di relay NFC, dimostrando la determinazione dei cybercriminali a esplorare nuovi vettori di attacco. RatOn è stato distribuito tramite finte pagine Google Play e annunci che imitavano una versione per adulti di TikTok e un servizio di identità digitale bancaria. PhantomCard, nuovo malware basato su NGate e adattato al mercato brasiliano, è stato osservato in più campagne in Brasile nella seconda metà del 2025.
Inoltre, dopo l’interruzione globale di maggio, l’infostealer Lumma Stealer è riuscito a riemergere brevemente – due volte – ma il periodo di massimo splendore appare ormai concluso. Le rilevazioni sono crollate dell’86% nella seconda metà del 2025 rispetto al primo semestre dell’anno, e un importante vettore di distribuzione di Lumma Stealer – il trojan HTML/FakeCaptcha utilizzato negli attacchi ClickFix – è quasi scomparso dalla telemetria ESET.
Nel frattempo, CloudEyE, noto anche come GuLoader, è salito rapidamente alla ribalta, con un aumento di quasi trenta volte secondo la telemetria ESET. Distribuito tramite campagne email malevole, questo downloader e cryptor malware-as-a-service viene utilizzato per distribuire altri malware, inclusi ransomware e infostealer come Rescoms, Formbook e Agent Tesla. La Polonia è risultata il paese più colpito, con il 32% dei tentativi di attacco CloudEyE rilevati nella seconda metà del 2025.
Per ulteriori informazioni è possibile consultare l’ESET Threat Report H2 2025 su WeLiveSecurity.com.
Gli aggiornamenti di ESET Research possono essere seguiti anche su Twitter (oggi X), BlueSky e Mastodon.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
A proposito di ESET
ESET®, fondata in Europa, è il punto di riferimento per la cybersecurity nella regione, con una rete di uffici presente in tutto il mondo. Offre soluzioni di sicurezza digitale all’avanguardia per prevenire gli attacchi prima che si verifichino. Combinando la potenza dell’intelligenza artificiale con l’expertise umana, ESET è in grado di anticipare le minacce informatiche globali, note ed emergenti, proteggendo aziende, infrastrutture critiche e utenti finali. Che si tratti di protezione endpoint, cloud o mobile, le soluzioni e i servizi AI-native e cloud-first di ESET si distinguono per prestazioni elevate e semplicità d’uso. La tecnologia ESET è “Made in the EU” e include funzionalità avanzate di rilevamento e risposta, crittografia ultra-sicura e autenticazione a più fattori. Con una protezione in tempo reale attiva 24/7 e un solido supporto locale, le soluzioni ESET garantiscono la continuità operativa di utenti e organizzazioni. In un contesto digitale in continua evoluzione, la sicurezza richiede un approccio innovativo: ESET investe costantemente in ricerca di eccellenza e threat intelligence, supportata dai propri centri di ricerca e sviluppo e da una solida rete di partner globali. Per maggiori informazioni, visitate il sito www.eset.com o seguite ESET sui social media, podcast e blog.