WatchGuard Internet Security Report 2025 si basa su dati aggregati e anonimizzati raccolti da appliance di rete ed endpoint attivi, installati presso clienti che hanno autorizzato la condivisione delle informazioni per scopi di ricerca. L’analisi di WatchGuard Threat Lab si concentra sulle principali minacce malware, di rete e sul traffico crittografato, in questo caso osservate nel secondo trimestre del 2025, offrendo una lettura tecnica dei vettori d’attacco prevalenti, dell’evoluzione delle tecniche evasive e dell’efficacia dei motori di rilevamento avanzato.
Gli attacchi informatici si confermano sempre più evasivi, distribuiti attraverso canali cifrati e progettati per sfuggire alle tecniche tradizionali di rilevamento. Il report evidenzia in particolare un aumento del 40% di malware evasivo distribuito su connessioni crittografate, con il 70% di tutto il malware ora veicolato tramite Tls (Transport Layer Security). Una tendenza che riflette l’evoluzione delle tattiche di attacco da parte dei cybercriminali, abili nello sfruttare protocolli legittimi a scopo malevolo, soprattutto per superare le difese basate su firma e per colpire realtà con limitata visibilità del traffico cifrato.
Secondo gli analisti del Threat Lab di WatchGuard, il malware trasmesso attraverso Tls rappresenta oggi quasi il 90% di quello classificato come zero-day, un dato che impone alle organizzazioni – e agli Msp che le supportano – un ripensamento delle architetture di detection. Il ricorso massivo a tecniche di offuscamento e polimorfismo complica la capacità di intercettare tempestivamente i payload malevoli, soprattutto quando questi si annidano in file apparentemente legittimi o si diffondono in modalità multi-stage.
Nel periodo analizzato, il numero complessivo di rilevazioni malware è aumentato del 15% rispetto al primo trimestre, spinto principalmente da un incremento dell’85% delle minacce rilevate dal motore Gateway AntiVirus (Gav). Anche l’intelligenza artificiale applicata al rilevamento mostra segnali di consolidamento: il sistema IntelligentAV (Iav), progettato per intercettare attacchi avanzati e mutanti, ha fatto registrare una crescita del 10% nel numero di minacce identificate. All’interno del volume crescente di codice malevolo, il report segnala anche un aumento del 26% delle nuove minacce uniche. Si tratta per lo più di malware polimorfi che sfruttano tecniche di packing cifrato per eludere i sistemi basati su firme statiche. Questa evoluzione ha rafforzato il ruolo di servizi come WatchGuard Apt Blocker e lo stesso IntelligentAV, capaci di analizzare comportamenti anomali e sequenze di istruzioni sospette anche nei file compressi o criptati.
Tra le tecniche di delivery più critiche identificate nel trimestre spicca la diffusione via Usb, vettore spesso sottovalutato ma ancora ampiamente utilizzato. WatchGuard ha rilevato due famiglie di malware – PumpBench, una backdoor di accesso remoto, e HighReps, un loader – impiegate per veicolare Xmrig, un coin miner progettato per estrarre criptovaluta Monero (Xmr). L’origine di queste infezioni potrebbe essere riconducibile a dispositivi USB compromessi, come hardware wallet o chiavette usate per operazioni offline, scenario di rischio particolarmente rilevante nel contesto di crescente diffusione delle criptovalute.
Anche il malware di rete evidenzia dinamiche rilevanti. Nel Q2 2025 gli attacchi di rete sono aumentati dell’8,3%, pur a fronte di una riduzione della varietà di firme rilevate (380 contro le 412 del trimestre precedente). Sette delle prime dieci rilevazioni hanno riguardato dropper, ossia payload di prima fase usati per aprire la strada a infezioni successive. Tra i nomi ricorrenti figurano Trojan.Vba.Agent.Biz, veicolato tramite macro nei documenti Office, e PonyStealer, noto malware per il furto di credenziali. Particolarmente significativa è la riemersione della botnet Mirai, in attività soprattutto nella regione APAC dopo oltre cinque anni di silenzio, a testimonianza della resilienza e riciclabilità di alcune famiglie malware storiche.
Anche se in calo numerico, il ransomware continua a evolversi in direzione di una maggiore efficacia. Secondo il report, gli attacchi ransomware sono diminuiti del 47% rispetto al trimestre precedente, ma questa riduzione apparente riflette un cambio di strategia: meno attacchi generici, più azioni mirate contro obiettivi ad alto impatto. In parallelo, è aumentato il numero di gruppi di estorsione attivi, tra cui WatchGuard segnala i nomi di Akira e Qilin come particolarmente aggressivi. Il cambiamento strategico implica per le aziende un rischio maggiore in termini di danni finanziari e reputazionali, anche in presenza di un numero inferiore di campagne in circolazione.
Sul fronte delle minacce web, è stata segnalata la comparsa di una nuova variante JavaScript rilevata come Web-Client JavaScript Obfuscation in Exploit Kits, tecnica che sfrutta l’offuscamento per eludere i controlli nei browser e nei framework open source. Il dato, seppur isolato, conferma la rapidità con cui gli exploit possono evolvere e integrarsi nei kit di attacco diffusi in ambienti poco controllati.
Un altro fronte di attenzione rimane quello del Dns filtering, che si conferma fondamentale per contrastare minacce che usano il DNS come canale di comando e controllo. WatchGuard segnala tra le minacce persistenti il trojan DarkGate, un malware loader con funzioni da Rat (Remote Access Trojan), che utilizza il DNS per comunicare con i server remoti, aggirando i filtri basati su IP o domini noti.
Nel commentare i dati emersi dal report, Corey Nachreiner, chief security officer di WatchGuard, ha sottolineato come l’adozione di tecniche evasive e canali crittografati da parte degli attaccanti stia alzando l’asticella per la protezione delle infrastrutture digitali. “Per gli Msp con risorse limitate e team IT ridotti – spiega – l’evoluzione attuale implica la necessità di adattarsi rapidamente. Patch costanti, visibilità nel traffico crittografato, tecnologie di rilevamento comportamentale e capacità di risposta automatizzata diventano elementi imprescindibili per affrontare il nuovo scenario”.
© RIPRODUZIONE RISERVATA
