Il report riepilogativo pubblicato dal CERT-AgID sulle campagne malevole analizzate nel corso del 2025 offre un panorama dettagliato dell’ecosistema delle cyber minacce.

L’analisi, focalizzata sul contesto italiano e in particolare su soggetti della Pubblica Amministrazione e servizi critici, evidenzia una crescita significativa sia in termini quantitativi sia qualitativi delle attività malevole osservate.

Dal report emerge come gli attaccanti abbiano dimostrato una notevole capacità di adattamento, sfruttando vettori consolidati e introducendo tecniche di ingegneria sociale sempre più raffinate.

Campagne malevole in Italia: i numeri del CERT-AgID

Nel corso dell’anno il CERT-AgID ha censito diverse migliaia di campagne malevole (3.620), accompagnate dalla condivisione di decine di migliaia di indicatori di compromissione (51.530).

Il dato più rilevante riguarda l’equilibrio tra campagne di phishing e campagne di distribuzione malware spesso riconducibili a servizi di Phishing as a Service e Malware as a Service, indicando un mercato criminale strutturato ma purtroppo anche accessibile ad attori con competenze tecniche limitate.

Il report segnala inoltre un uso sempre più frequente dell’intelligenza artificiale a supporto delle campagne malevole.

L’IA viene impiegata per generare testi più credibili, adattare i contenuti al contesto linguistico e culturale delle vittime e aumentare la scalabilità degli attacchi.

Questo trend contribuirebbe a ridurre la distinzione tra comunicazioni legittime e fraudolente, complicando le attività di rilevamento sia per gli utenti sia per i sistemi di sicurezza.

Phishing tematico e abuso di brand istituzionali

Una delle tendenze più significative del 2025 è stato l’uso sistematico di esche tematiche legate a servizi pubblici e a brand ampiamente riconosciuti dagli utenti italiani.

In questo contesto spiccano le campagne che sfruttano falsi avvisi di pagamento e presunte sanzioni, spesso costruite per imitare comunicazioni ufficiali PagoPa (328 campagne). Il report inoltre sottolinea come tali campagne siano state diffuse su larga scala e abbiano colpito sia cittadini sia organizzazioni.

Per quanto riguarda lo smishing, a fronte di una diminuzione complessiva nel ricorso allo scopo dei messaggi SMS (è stato comunque permanente l’abuso di denominazioni di enti e servizi di interesse pubblico come INPS, Autostrade per l’Italia e INAIL) di contro sono cresciute (+55%) le campagne smishing orientate alla distribuzione di malware tramite APK malevoli (Copybara, Irata e SpyNote).

Fonte: CERT-AgID.

La PEC come vettore di attacco malware

Un elemento di particolare rilievo emerso dall’analisi riguarda l’abuso crescente della Posta Elettronica Certificata.

Nel 2025 l’utilizzo di caselle PEC compromesse o create ad hoc per finalità malevole avrebbe registrato un aumento marcato rispetto all’anno precedente diventando un vettore estremamente efficace non solo per il phishing ma anche per la distribuzione di allegati infetti e link malevoli, contribuendo alla diffusione di loader (MintsLoader) di prima fase progettati per eludere i controlli di sicurezza tradizionali.

Tecniche di social engineering e ClickFix

Tra le tecniche di ingegneria sociale, il report evidenzia in particolare modo quella nota come ClickFix, che induce la vittima a eseguire manualmente comandi o script apparentemente legittimi.

Nell’arco del 2025 sarebbero state censite una settantina di campagne riconducibili a questo tipo di tecnica impiegata in particolare per la diffusione di malware come AsycRat, Lumma Stealer e XWorm.

Con tale approccio gli attaccanti riuscirebbero ad aggirare alcune misure di protezione automatica, sfruttando direttamente l’interazione umana a conferma di come il fattore umano resti centrale nella catena di attacco.

Predominanza di infostealer e RAT

Dal punto di vista delle famiglie malware osservate, il 2025 ha confermato la predominanza di infostealer (60%) e Remote Access Trojan (30%).

La diffusione di tali malware è stata favorita da infrastrutture di comando e controllo flessibili e da campagne di distribuzione altamente automatizzate, spesso supportate da tecniche di offuscamento avanzate.

Nel corso del 2025, FormBook è stato il malware più diffuso in Italia, seguito da Remcos e AgentTesla.

Fonte: CERT-AgID.

Nel 2025 si sono registrati anche numerosi episodi di trafugazione di dati riconducibili a campagne malevole o a compromissioni di sistemi esposti in rete.

Il report ha evidenziato decine di casi di esposizione di informazioni sensibili, tra cui credenziali, documentazione e database contenenti dati personali di utenti italiani.

In diversi scenari le informazioni sottratte sono state successivamente pubblicate o messe in vendita su canali underground, alimentando ulteriori attività fraudolente.

Questo fenomeno conferma ancora una volta come gli infostealer costituiscano un forte rischio per l’intero ecosistema digitale, facilitando accessi non autorizzati, frodi finanziarie e campagne di attacco successive.

Temi e tipi di file ricorrenti come vettore

L’analisi delle esche utilizzate nel corso dell’anno scorso evidenzia una forte ricorrenza di messaggi legati a ordini commerciali, fatture, notifiche di pagamento e comunicazioni di natura bancaria.

Inoltre, sul fronte della distribuzione malware, gli attaccanti hanno privilegiato allegati in formati compressi, documenti Office con macro, file PDF con link incorporati e script mascherati da documentazione amministrativa. In diversi casi sono stati osservati archivi contenenti eseguibili o file JavaScript, nonché collegamenti che attivano loader di prima fase.

Secondo il report questa varietà di formati dimostrerebbe una continua sperimentazione tecnica volta a eludere i controlli di sicurezza e a sfruttare la fiducia dell’utente con documenti di uso comune.

Fonte: CERT-AgID.

Controllo e formazione

Dal punto di vista tecnico, le evidenze raccolte dal CERT-AgID indicano la necessità di un rafforzamento strutturale delle misure di difesa.

È fondamentale migliorare i controlli sui canali di posta elettronica, inclusa la PEC, integrare analisi comportamentali, sandboxing e una gestione efficace degli IoC (Indicatori di Compromissione) condivisi.

Ma la formazione continua degli utenti, con focus particolare alle più recenti tecniche di social engineering, rimane sempre e comunque un altro degli elementi chiave per la difesa.