Proposta con cadenza trimestrale, l’ultima edizione del Threat Insights Report di HP fotografa un panorama caratterizzato dal fatto che i cybercriminali non puntano sulla sofisticazione, ma sulla velocità e sull’economicità nei loro attacchi. Con l’aiuto dell’intelligenza artificiale, assemblano campagne malevole come fossero kit di montaggio con un risultato finale che, per quanto grezzo, funziona.

Il report, pubblicato a marzo 2026, analizza le minacce rilevate nel quarto trimestre 2025 (ottobre-dicembre) dalla tecnologia HP Wolf Security, che isola le minacce che sono riuscite ad eludere gli strumenti di rilevamento tradizionali e ad arrivare sugli endpoint. Anziché bloccare preventivamente i file sospetti, la proposta HP li lascia “detonare” in sicurezza all’interno di micro-macchine virtuali, raccogliendo dati forensi dettagliati sulle tecniche effettivamente utilizzate dai criminali informatici. I dati provengono dai clienti HP Wolf Security che hanno acconsentito alla condivisione della telemetria, e sono stati analizzati dal team HP Threat Research. Fino ad oggi, gli utenti della piattaforma hanno interagito con oltre 60 miliardi tra allegati email, pagine web e file scaricati senza alcuna violazione segnalata.

Le evidenze di HP Threat Insights Report

Tra i dati di contesto più rilevanti del trimestre: il 14% delle minacce email intercettate da HP Sure Click ha superato almeno un gateway di posta elettronica.

I vettori principali delle infezioni
I vettori principali delle infezioni (fonte: HP Threat Insights Report, marzo 2026)

Script ed eseguibili si confermano il vettore di distribuzione più utilizzato, con il 38% delle minacce (in crescita di 8 punti rispetto al trimestre precedente), seguiti dagli archivi compressi al 36%. L’email resta il principale canale di consegna del malware con il 58% delle minacce, mentre i download da browser sono saliti al 23%, in crescita di 7 punti percentuali.
Il fenomeno più significativo emerso dal report è l’approccio modulare alla costruzione delle campagne malevole (flat-pack). I ricercatori HP osservano che nel Q4 2025 diversi attori, e tra loro non collegati, utilizzano gli stessi componenti intermedi per distribuire malware diversi. Il meccanismo ricorda un kit di montaggio: i singoli pezzi possono essere acquistati nei forum underground a basso costo e richiedono solo aggiustamenti minimi, come la sostituzione dell’Url del payload o del binario finale.

Lo schema ricorrente prevede il download di immagini da archive.org contenenti codice malevolo nascosto in formato Base64, estratto e caricato tramite un loader .Net attraverso tecniche di reflective loading. L’utilizzo di archive.org offre agli attaccanti tre vantaggi: elimina la necessità di mantenere un’infrastruttura propria, evita di lasciare tracce riconducibili e sfrutta la reputazione di un dominio affidabile, meno soggetto ai filtri di sicurezza.

Alex Holland
Alex Holland, principal threat research di HP Security Lab

Nonostante le variazioni nelle esche e nei file iniziali — dagli archivi contenenti script offuscati ai file Svg che simulano pagine bancarie, con campagne mirate particolarmente all’America Latina — la fase intermedia dell’infezione resta identica. I payload finali variano da DarkCloud, un infostealer con controllo remoto via Telegram, ad AsyncRat per il mantenimento dell’accesso persistente. Come sintetizza Alex Holland, principal threat research di HP Security Lab, si tratta del classico triangolo del project management — velocità, qualità e costo — in cui gli attaccanti sacrificano la qualità. Non stanno usando l’AI per alzare l’asticella, ma per muoversi più rapidamente e ridurre lo sforzo.

Vibe hacking, quando l’AI scrive gli script di infezione

Il report introduce un concetto particolarmente interessante: il “vibe hacking”, ovvero l’utilizzo dell’AI generativa per produrre script di infezione pronti all’uso. In una campagna analizzata dai ricercatori, le vittime ricevono Pdf fraudolenti che, una volta cliccato il link contenuto, avviano un download silenzioso da un sito compromesso prima di reindirizzarle verso piattaforme legittime come Booking.com, creando l’impressione che il download provenisse dal sito affidabile. L’aspetto più rivelatore riguarda la qualità del codice intermedio. A differenza degli script JavaScript iniziali, pesantemente offuscati, la fase PowerShell successiva risulta priva di offuscazione e riccamente commentata, con istruzioni che indicano all’operatore quali parametri modificare. Un codice che mostra chiari tratti di produzione assistita dall’AI o di toolkit acquistato e personalizzabile, in linea con una tendenza crescente che il report definisce appunto “vibe coding” — script a template con commenti verbosi che consentono anche a operatori privi di competenze tecniche approfondite di assemblare catene di infezione funzionanti. I payload finali di queste campagne sono Formbook e XWorm, entrambi capaci di sottrarre credenziali, cookie e informazioni di sistema, oltre a fornire accesso remoto.

Falso Microsoft Teams, è una backdoor 

Il terzo filone di attacco documentato nel report riguarda la distribuzione di malware attraverso siti Web che imitano applicazioni note, in particolare Microsoft Teams. Le vittime raggiungono questi siti tramite motori di ricerca, grazie a tecniche di Seo poisoning e malvertising che spingono le pagine malevole ai primi posti dei risultati. Il meccanismo è particolarmente insidioso: l’installer scaricato contiene l’applicazione Teams autentica insieme a componenti malevoli aggiuntivi. Tra questi, un eseguibile legittimo di CapCut firmato digitalmente che, attraverso Dll sideloading, carica una libreria modificata contenente il codice malevolo. L’utente vede installarsi regolarmente Microsoft Teams, senza sospettare che in parallelo è distribuito OysterLoader, una backdoor che garantisce il controllo completo del dispositivo e che, secondo il report, è frequentemente osservata come precursore di attacchi ransomware.

Malware e macro, tema ancora attuale

Il report segnala infine che i documenti Office con macro Vba non sono scomparsi dal panorama delle minacce, nonostante il calo generale. Nella regione Asia Pacifico, in particolare, campagne basate su documenti Word e fogli Excel continuano a distribuire loader PowerShell che installano Agent Tesla, un malware configurato per raccogliere i contatti email dai dispositivi compromessi e comunicare con gli operatori attraverso canali Telegram.

Giampiero Savorelli
Giampiero Savorelli

Le policy aggiornate che bloccano le macro da fonti non attendibili riducono l’efficacia di questi attacchi, ma le organizzazioni che non hanno adottato queste configurazioni restano esposte.
Il messaggio trasversale del report è chiaro: la velocità con cui l’AI consente di generare e riconfezionare malware sta mettendo in crisi le difese basate esclusivamente sul rilevamento.

Come sottolinea Giampiero Savorelli, VP e AD HP Italy: “In un contesto in cui l’AI viene utilizzata per automatizzare e velocizzare la creazione di attacchi informatici, le aziende devono ripensare il proprio approccio alla cybersecurity. Non è più sufficiente affidarsi esclusivamente a strumenti di rilevamento: occorre contenere il rischio, isolare le attività potenzialmente pericolose e proteggere gli endpoint, pc e printing, fin dal livello hardware. Solo così è possibile contrastare minacce sempre più rapide, scalabili e accessibili”.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE