Nel 2025 l'Italia ha subìto in media 2.334 attacchi informatici a settimana, il 18% in più rispetto al 2024 e il 18% al di sopra della media globale; nella sola PA la cifra sale a 4.764 attacchi settimanali. Sono i dati con cui si apre il report Panorama delle minacce in Italia pubblicato dal team Check Point Exposure Management, che si focalizza sul nostro Paese fornendo un quadro particolarmente interessante delle attività ransomware, operazioni APT e campagne hacktiviste.

La situazione descritta è quella di un Paese sotto pressione su più fronti simultaneamente. Il primo fronte è quello dell'hacktivismo geopolitico. Il gruppo NoName057(16) di matrice filo-russa ha dominato la scena degli attacchi DDoS contro obiettivi europei nel 2025. Con una stima di circa 4.000 supporter attivi, NoName opera attraverso un modello di reclutamento gamificato in cui i partecipanti interagiscono con un bot Telegram chiamato DDoSia, ricevono un client ID univoco, scaricano un attack client da un repository privato e avviano attacchi contro target predefiniti. Ogni operazione genera dCoin, la valuta proprietaria del gruppo convertibile in criptovaluta, e le ricompense crescono proporzionalmente al volume di traffico generato. Il sistema include leaderboard, badge e task diversificati, che spaziano dall'esecuzione diretta degli attacchi al sabotaggio di canali Telegram avversari, remunerati 25 dCoin a operazione.

Questo modello ha reso NoName uno dei maggiori threat actor attivi in Europa per numero di attacchi, con attacchi ripetuti contro portali governativi, infrastrutture di trasporto e istituzioni finanziarie italiane. L'attività si intensifica in corrispondenza di dichiarazioni politiche, sanzioni UE o eventi di visibilità internazionale, il che la rende parzialmente prevedibile, ma comunque difficile da contenere strutturalmente.

A luglio 2025 le autorità europee hanno risposto con l'Operazione Eastwood, coordinata da Europol ed Eurojust, che ha portato all'abbattimento di oltre 100 server in tutto il mondo, neutralizzando porzioni significative dell'infrastruttura di comando e controllo del gruppo. Due persone sono state arrestate in Francia e Spagna; la Germania ha emesso sei mandati di arresto contro cittadini russi, inclusi due identificati come orchestratori centrali. Le autorità hanno condotto 24 perquisizioni domiciliari in Repubblica Ceca, Francia, Germania, Italia, Polonia e Spagna; tredici sospetti sono stati interrogati e oltre 1.000 supporter, inclusi 15 amministratori, hanno ricevuto notifiche per la loro responsabilità legale. Cinque sospetti principali sono stati inseriti nella lista Most Wanted di Europol.

La risposta del gruppo non si è fatta attendere. Il 23 luglio NoName ha avviato la campagna FuckEastwood, con contenuti propagandistici diffusi sui propri canali Telegram e azioni vandaliche fisiche in città europee, inclusa l'apposizione di tag con il nome del gruppo sulla segnaletica pubblica. Nonostante tutto, la capacità operativa è risultata ridotta dall’operazione Eastwood, ma non annullata.

Il secondo fronte riguarda il ransomware industrializzato. I gruppi più attivi sul panorama italiano e europeo nel periodo analizzato sono i ben noti LockBit, Cl0p, Akira, Qilin e Medusa. Il vettore preferito è rimasto quello delle VPN mal configurate, degli ESXi hypervisors non aggiornati e delle applicazioni enterprise senza patch. Le campagne combinano cifratura e furto di dati, e siti di rivendicazione come leva estorsiva aggiuntiva nel caso in cui la vittima non paghi.

Un episodio particolarmente rilevante riguarda lo sfruttamento della CVE-2025-61882, una vulnerabilità critica di remote code execution in Oracle E-Business Suite con un punteggio CVSS 9.8 e nessun requisito di autenticazione. Sfruttandola, Cl0p ha condotto una campagna di exploitation massiva che ha colpito oltre 100 organizzazioni, con broad scanning, exploitation simultanea ed esfiltrazione multi-terabyte. A suo tempo, le analisi di CrowdStrike e Mandiant attribuirono a Cl0p il ruolo di principale driver della campagna, con le prime exploitation osservate intorno al 9 agosto 2025. Oracle ha pubblicato la patch di emergenza il 4 ottobre per la CVE-2025-61882 e l'11 ottobre per la correlata CVE-2025-61884.

Sempre nel perimetro del cybercrime organizzato, il report documenta la parabola di Scattered Spider attraverso la figura del suo admin Rey, smascherato a novembre 2025 da KrebsOnSecurity come Saif Al Din Khader, un 15enne residente ad Amman, Giordania, che per mesi Rey aveva coordinato alcune delle intrusioni più significative del gruppo in Europa: Marks & Spencer, Air France, IKEA, Vodafone, JLR. Dopo l'esposé, Rey ha dichiarato su Telegram di collaborare con le Forze dell'Ordine e si è ritirato dalle attività di breach a settembre. Il gruppo ha nel frattempo sviluppato ShinySp1d3r, un kit ransomware proprietario che segna il passaggio da una dipendenza da encryptor in affitto a un'infrastruttura RaaS autonoma.

Il terzo fronte è quello dello spionaggio sponsorizzato da Stati. L'Italia, in quanto membro centrale di UE e NATO, è diventata un obiettivo prioritario di intelligence per gruppi APT di diverse matrici geografiche. Il report documenta due casi specifici.

Il primo riguarda il gruppo DoNot APT, di matrice indiana, che ha condotto una campagna di spear-phishing mirata al Ministero degli Affari Esteri italiano usando una backdoor modulare per esfiltrare  file, fare screenshot ed eseguire comandi da remoto. Il secondo caso è attribuito a Salt Typhoon, APT allineata allo Stato cinese, che ha compromesso un importante provider europeo di telecomunicazioni attraverso l'exploitation di vulnerabilità Citrix.

Il quarto fronte riguarda la supply chain. Nel corso del 2025 il settore hospitality italiano è stato colpito da un incidente che ha compromesso piattaforme di prenotazione di terze parti, portando alla circolazione nel dark web di decine di migliaia di scansioni di passaporti e documenti di identità. A differenza degli attacchi ransomware classici, questo incidente ha sfruttato la dipendenza da software terzi mediante la compromissione di un'integrazione ritenuta affidabile: un modello analogo a quello del celebre Solar Winds. Il report segnala che gli attacchi alla supply chain sono aumentati del 40% a livello globale nel 2025, con tre vettori principali: phishing e malware potenziati dall'AI, injection di aggiornamenti malevoli su piattaforme SaaS e codice polimorfico progettato per aggirare i sistemi di rilevamento basati su firma.

Il quinto fronte è quello dell'AI offensiva. I cosiddetti malicious large language model circolano apertamente nei forum underground. Ricordiamo a titolo di esempio WormGPT 4, disponibile a partire da 50 dollari al mese; KawaiiGPT che produce script di lateral movement su Linux e template per attacchi BEC. Oltre alla generazione di payload statici, i ricercatori hanno osservato malware come PROMPTFLUX e PROMPTSTEAL richiamare LLM API esterni in fase di esecuzione, sfruttando servizi come Google Gemini per riscrivere dinamicamente il codice ed eludere la detection. Sul piano delle kill chain ransomware, nel 2025 gruppi come Scattered Spider hanno ridotto i tempi di breach da 36 a 24 ore. Gli ambienti cloud-native VMware ESXi restano target privilegiati, con hypervisor non protetti e credential dumping dai database di backup come vettori di accesso rapido.

Una vulnerabilità specifica merita attenzione per le sue implicazioni italiane: la CVE-2025-9491relativa ai file Windows Shell Link (.lnk) attiva dal 2017 e riemersa nel 2025 in campagne di spear-phishing a tema NATO ed eventi della Commissione Europea. L'exploit è costruttivamente semplice e i destinatari in Italia includono istituzioni diplomatiche e agenzie governative. La risposta di Microsoft si è limitata a migliorare la visibilità del campo Target senza neutralizzare la vulnerabilità alla radice. L'ACN ha nel frattempo invitato le organizzazioni a diversificare i fornitori IT e rafforzare le strategie di cloud procurement.

Per il 2026, Check Point prevede che la pressione sul panorama italiano resti sostenuta su tutti e cinque questi fronti. Le Olimpiadi Invernali di Milano-Cortina hanno già rappresentato un periodo di rischio elevato per campagne DDoS, credential harvesting e spionaggio mirato a logistica, hospitality e reti governative. È atteso un incremento dell'attività hacktivist in correlazione con le decisioni di politica estera dell’UE.