Immagine di DC Studio su Freepik
Con il suo primo report In the Wild, i Threat Labs di Hpe fotografano un ecosistema criminale che replica le strutture organizzative delle grandi imprese: catene di comando, divisione del lavoro, deepfake per le frodi e persino attività di ricerca e sviluppo sulle vulnerabilità dei bersagli. Analizzate 1.186 campagne attive in un anno, nessun settore è immune. Il report si basa su un approccio multi-fonte. La maggior parte dei dati statistici proviene dalla telemetria dei clienti del servizio Juniper Advanced Threat Prevention Cloud e da una rete privata globale di honeypot — sistemi-esca progettati per attrarre e registrare l’attività degli attaccanti — che include varianti Tcp, Ssh e Smb distribuite in diverse aree geografiche. Dove opportuno, la ricerca è integrata con dati contestuali provenienti da archivi di threat intelligence open source e da associazioni di settore di terze parti, tra cui la Cyber Threat Alliance di cui Hpe è membro attivo. I dati coprono l’intero anno 2025 e il perimetro di osservazione include 1.186 campagne di minaccia attive a livello globale. La rete di honeypot ha registrato numeri che danno la misura del fenomeno: 44,5 milioni di tentativi di connessione provenienti da 372.800 indirizzi IP unici. Di questi, 36.600 richieste corrispondono a firme di attacco note, originate da appena 8.200 IP distinti e concentrate su soli cinque IP di destinazione — un dato che evidenzia quanto il traffico malevolo tenda a concentrarsi su servizi vulnerabili specifici.
Cybercrime, strutture industriali per ottimizzare gli attacchi
Il dato più significativo del report non è quantitativo, ma qualitativo: gli attori delle minacce nel 2025 hanno condotto le proprie operazioni replicando il modello organizzativo delle grandi imprese. Strutture gerarchiche con catene di comando, team specializzati per malware, finanza e negoziazione dei riscatti, coordinamento rapido e una conoscenza approfondita delle applicazioni aziendali più diffuse. Un’organizzazione che rende gli attacchi più prevedibili nell’esecuzione, ma paradossalmente più difficili da contrastare: smantellare una componente dell’operazione equivale a chiudere una singola filiale di un franchising.
Il caso del malware Pxa Stealer è emblematico. Una volta infettato il dispositivo della vittima, il malware invia automaticamente le credenziali e i file sottratti a un canale Telegram privato, in un flusso che funziona come una catena di montaggio industriale: i dati vengono estratti, confezionati e resi disponibili per la vendita o l’estorsione in tempo reale. Non meno significativo l’approccio del gruppo Akira, che prima di colpire conduce vere e proprie attività di ricerca di mercato sulle vulnerabilità Vpn delle organizzazioni bersaglio, calibrando gli strumenti di attacco sull’infrastruttura specifica — un processo analogo a quello di un’azienda che studia il mercato prima di lanciare un prodotto.
Deepfake, vishing e GenAI , nuove armi di social engineering
L’intelligenza artificiale generativa trova applicazione concreta nelle operazioni di frode. Gli attaccanti utilizzano strumenti GenAI per produrre voci sintetiche e video deepfake destinati al video-phishing mirato e alle frodi tramite impersonificazione di dirigenti. La capacità di clonare una voce a partire da brevi campioni audio e condurre interazioni dal vivo convincenti consente di aggirare i controlli basati sulla conoscenza e aumenta significativamente i tassi di successo delle truffe Bec (Business Email Compromise). Per i difensori, la sfida è duplice: da un lato cresce l’efficacia delle frodi, dall’altro diminuisce la capacità degli operatori umani di individuare l’inganno.
Hpe In The Wild, verticali nel mirino e tipologie di attacco
Le organizzazioni governative sono risultate il bersaglio principale con 274 campagne che hanno coinvolto enti federali, statali e municipali in tutto il mondo.
Il settore finanziario segue con 211 campagne, quello tecnologico con 179, la difesa con 98 e il manifatturiero con 75. Telecomunicazioni, sanità, istruzione e trasporti completano il quadro, ciascuno con oltre 60 campagne. Una distribuzione che conferma come gli attaccanti stiano dando priorità strategica ai settori legati a infrastrutture nazionali, dati sensibili e stabilità economica. Per quanto riguarda la tipologia delle campagne, il ransomware e gli infostealer si confermano le categorie dominanti, rispettivamente al 22% e al 19% del totale, seguiti dal phishing (17%), dai remote access trojan (11%) e da altre forme di malware (9%).
L’arsenale complessivo dispiegato nel 2025 include oltre 147mila domini malevoli, circa 58mila file di malware, oltre 65mila Url dannosi e 549 vulnerabilità attivamente sfruttate. Tra queste ultime, un dato particolarmente significativo: le cinque Cve più sfruttate nelle reti di honeypot erano tutte vulnerabilità note da anni, pubblicate dal Nist tra il 2014 e il 2023. Dalla Cve-2017-17215 relativa ai router Huawei HG532 alla Cve-2023-1389 per i TP-Link Archer, passando per vulnerabilità in Realtek Sdk, PhpUnit e router LB-Link. Un promemoria potente di quanto il patching, per quanto spesso percepito come oneroso, resti fondamentale.
Le minacce sponsorizzate dagli Stati e la geografia degli attacchi
Il report dedica attenzione particolare alle campagne sponsorizzate da Stati nazionali. Il caso di Apt36, gruppo legato al Pakistan, illustra come questi attori compromettano le infrastrutture critiche utilizzando backdoor come Poseidon, con un approccio che sfrutta dispositivi consumer — router domestici e dispositivi personali — come trampolini di lancio per raggiungere i sistemi governativi. Un modello che dimostra come un’intrusione originata dalla rete domestica di un funzionario possa rapidamente trasformarsi in una crisi di sicurezza nazionale.
La geolocalizzazione della telemetria riserva una sorpresa: le Seychelles, con una popolazione di appena 120mila abitanti, si posizionano al secondo posto per volume di IP sorgente degli attaccanti, subito dopo gli Stati Uniti e prima della Cina. Il fenomeno è riconducibile ai servizi di hosting “bulletproof” che operano nel Paese, sfruttando vuoti giurisdizionali e difficoltà di enforcement. Un dato che ricorda ai difensori come il blocco basato sulla geolocalizzazione sia una strategia insufficiente: il traffico malevolo può originarsi da qualsiasi punto del pianeta, e la sicurezza deve basarsi su indicatori comportamentali e threat intelligence, non sulla presunta innocuità di una provenienza geografica.
Vulnerabilità vecchie e password deboli, fallimento sistemico
I dati delle reti di deception confermano una realtà scomoda: gli attaccanti continuano a fare affidamento su password e username deboli e comuni.
Le famiglie di malware prevalenti — Dynamer, Eldorado, Variant, oltre all’intramontabile Emotet — sono note da anni, eppure le infrastrutture critiche restano vulnerabili a ceppi vecchi di un decennio. Un fallimento che non è tecnologico, ma di processo: i difensori conoscono queste minacce e sanno come proteggersi, ma l’applicazione delle contromisure resta insufficiente. Il messaggio di Hpe Threat Labs, lo declina David Hughes, Svp & GM, Sase and Security for Networking di Hpe è chiaro: “La difesa efficace non si misura dal numero di strumenti adottati, ma dalla capacità di fermare le minacce in modo decisivo attraverso l’intero tessuto di rete. In un panorama dove il cybercrime opera con la disciplina e l’efficienza di un’impresa globale, la risposta richiede lo stesso livello di strategia, integrazione e rigore operativo”. Cinque le raccomandazioni operative: approccio Sase, patch di Vpn/SharePoint/dispositivi periferici, Zero Trust con Ztna , rilevamento basato su AI e deception, estensione della sicurezza a reti domestiche e supply chain.
© RIPRODUZIONE RISERVATA
