Ad aprile 2025 il panorama delle minacce informatiche in Italia conferma una tendenza ormai consolidata: FakeUpdates si mantiene al primo posto tra i malware più diffusi, rafforzando ulteriormente la sua presenza rispetto al mese precedente. Secondo il Global Threat Index pubblicato da Check Point Research, la percentuale di organizzazioni italiane colpite da FakeUpdates è salita al 10,79%, segnando un incremento dell’1,7% rispetto a marzo e mantenendo un impatto nettamente superiore rispetto alla media globale, che invece registra una flessione del malware. Al secondo posto si consolida Androxgh0st, mentre Remcos scalza Formbook dal podio e si attesta come terza minaccia più diffusa.

Sono questi i dati che evidenziano la dinamicità dello scenario cyber italiano, in cui strumenti consolidati vengono costantemente riadattati e integrati in campagne sempre più sofisticate. Non a caso il report di aprile mostra come le campagne di attacco stiano evolvendo verso modelli più complessi e furtivi. I ricercatori hanno individuato operazioni a più stadi che combinano malware di base, come AgentTesla e Remcos, con tecniche avanzate di elusione dei controlli di sicurezza. Queste campagne iniziano spesso con email di phishing camuffate da conferme d’ordine, che inducono le vittime ad aprire archivi 7-Zip contenenti file JScript Encoded (.JSE). L’esecuzione di questi file avvia script PowerShell codificati che, a loro volta, rilasciano ulteriori payload malevoli.

Il malware finale viene iniettato all’interno di processi Windows legittimi, come RegAsm.exe o RegSvcs.exe, aumentando così la difficoltà di detection da parte degli strumenti di sicurezza tradizionali. Questa convergenza tra strumenti tradizionali e tattiche avanzate tipiche degli APT sta ridefinendo i confini tra cybercrime a scopo finanziario e minacce di matrice geopolitica.

Data la staticità della classifica ci concentriamo sull’unica reale novità di aprile, che è Remcos, in risalita dal settimo al terzo posto con un balzo del 202,5% rispetto al mese precedente. Non è un new entry, anzi, è un RAT spesso presente nelle campagne di phishing e apprezzato dai criminali per la sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC). Una volta installato, Remcos consente il controllo remoto del sistema infetto, il furto di dati e l’installazione di ulteriori minacce. Versatilità e facilità di personalizzazione lo rendono uno strumento privilegiato per campagne di attacco mirate e persistenti.

Anche a livello globale FakeUpdates si conferma il malware più diffuso, anche se registra una flessione del 26,3% rispetto a marzo. Il podio mondiale resta invariato: Remcos e AgentTesla seguono FakeUpdates, confermando la tendenza alla convergenza tra strumenti tradizionali e tattiche avanzate.

Ransomware

Sul fronte ransomware, aprile 2025 segna il consolidamento di Akira come gruppo più attivo a livello globale, responsabile dell’11% degli attacchi pubblicati sui cosiddetti “siti della vergogna”. Akira, operativo dal 2023, colpisce sistemi Windows e Linux utilizzando crittografia simmetrica e campagne di phishing mirate, spesso sfruttando vulnerabilità nei sistemi VPN. Una volta infettato il sistema, i file vengono crittografati e contrassegnati dall’estensione .akira, con successiva richiesta di riscatto.

Al secondo posto si piazza SatanLock, una nuova operazione emersa ad aprile che ha già pubblicato 67 vittime, sebbene oltre il 65% di queste fossero già state segnalate da altri gruppi, a dimostrazione della crescente competizione e sovrapposizione tra operatori ransomware. Qilin, noto anche come Agenda, si conferma tra i principali attori criminali del settore, con particolare attenzione ai settori sanità e istruzione, e una predilezione per attacchi tramite phishing e movimenti laterali nelle infrastrutture delle vittime.