Milano, 21 ottobre 2025 —WatchGuard® Technologies, leader globale nella cybersecurity unificata per i fornitori di servizi gestiti (MSP), ha pubblicato i risultati del suo ultimo Internet Security Report, un’analisi trimestrale che descrive le principali minacce malware, di rete ed endpoint osservate dai ricercatori del WatchGuard Threat Lab nel secondo trimestre del 2025, tra aprile e giugno.
I principali risultati del report mostrano un aumento del 40% (su base trimestrale) di malware avanzato ed evasivo. I dati evidenziano che i canali crittografati, in particolare quelli che utilizzano il protocollo TLS (Transport Layer Security), sono stati il vettore d’attacco preferito dagli attaccanti. Sebbene TLS sia essenziale per proteggere gli utenti, gli attaccanti lo sfruttano sempre più per camuffare payload malevoli.
In generale, le rilevazioni di malware sono aumentate del 15% nel Q2, spinte da un incremento dell’85% rilevato da Gateway AntiVirus (GAV) e da un aumento del 10% da IntelligentAV (IAV), evidenziando il ruolo crescente di IAV nel rilevare minacce sofisticate. Con il 70% di tutto il malware ora distribuito attraverso connessioni crittografate, i dati evidenziano l’affidamento crescente degli attaccanti su offuscamento e attacchi stealth, e la necessità per le organizzazioni di migliorare la visibilità nel traffico crittografato e adottare strategie di protezione flessibili.
Il Threat Lab ha inoltre osservato un leggero aumento degli attacchi di rete, pari all’8,3%. Allo stesso tempo, la varietà degli attacchi si è ridotta, con 380 firme uniche rilevate rispetto alle 412 del trimestre precedente. Degna di nota è la comparsa di una nuova rilevazione di JavaScript malevolo, “WEB-CLIENT JavaScript Obfuscation in Exploit Kits”, a conferma della rapidità con cui nuove minacce possono diffondersi utilizzando tecniche di offuscamento per eludere i controlli legacy. I risultati mostrano che, pur emergendo nuovi exploit, gli attaccanti continuano a fare ampio uso di vulnerabilità più vecchie e diffuse in browser, framework web e strumenti open-source.
“Per tutto il Q2, i dati del report indicano un aumento di malware evasivo su canali crittografati, con gli attaccanti che si impegnano a bypassare i sistemi di rilevamento e massimizzare l’impatto,” ha dichiarato Corey Nachreiner, Chief Security Officer di WatchGuard Technologies. “Per gli MSP con risorse limitate e i team IT ridotti, questa evoluzione implica la necessità di adattarsi rapidamente con misure efficaci. Patch costanti, difese consolidate e tecnologie avanzate di rilevamento e risposta in grado di reagire tempestivamente restano le contromisure più efficaci.”
Ulteriori risultati chiave dell’Internet Security Report Q2 2025 di WatchGuard includono:
- Le nuove minacce malware uniche sono aumentate del 26%, segnalando quanto sia diffuso l'uso della cifratura di packing, una tecnica di evasione, tra gli attori delle minacce. Queste minacce polimorfe eludono il rilevamento basato su firme, causando un aumento delle rilevazioni da parte di servizi avanzati come WatchGuard APT Blocker e IntelligentAV.
- Il Threat Lab ha individuato inaspettatamente due minacce malware veicolate tramite USB: PUMPBENCH, una backdoor per accesso remoto, e HIGHREPS, un loader. Entrambi hanno distribuito un coin miner, XMRig, per il mining di Monero (XMR), probabilmente legato all’uso di hardware wallet tra i possessori di criptovalute.
- I ransomware sono diminuiti del 47%, riflettendo un passaggio verso meno attacchi, ma più mirati e impattanti su obiettivi di alto profilo, con conseguenze più gravi. Tuttavia, è aumentato il numero di gruppi di estorsione attivi, tra cui Akira e Qilin tra i più aggressivi.
- I “dropper” hanno dominato il malware di rete. Sette delle prime dieci rilevazioni sono payload di prima fase, tra cui Trojan.VBA.Agent.BIZ e il ladro di credenziali PonyStealer, che sfruttano macro abilitate dagli utenti per il compromesso iniziale. Anche la famigerata botnet Mirai è riemersa dopo cinque anni, soprattutto nella regione APAC. La predominanza dei dropper indica la preferenza degli attaccanti per infezioni multi-stadio.
- I malware zero-day continuano a dominare, rappresentando oltre il 76% di tutte le rilevazioni e quasi il 90% del malware trasmesso tramite connessioni crittografate. Ciò sottolinea la necessità di capacità avanzate di rilevamento oltre le firme, in particolare per le minacce nascoste nel traffico TLS.
- Le minacce basate su DNS persistono, incluse quelle legate al trojan di accesso remoto DarkGate, un malware loader che agisce anche come RAT, confermando il DNS filtering come un livello difensivo critico.
In linea con i precedenti aggiornamenti trimestrali del Threat Lab, i dati analizzati in questo report sono basati su intelligence sulle minacce aggregata e anonima proveniente da prodotti di rete ed endpoint WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
Per una visione più approfondita della ricerca di WatchGuard, è possibile scaricare l’Internet Security Report del Q2 2025.