Nell’ultima pubblicazione del Three Report, a firma ESET, sono state evidenziate le tendenze delle minacce osservate nella telemetria ESET e analizzate dagli esperti di threat detection e ricerca nel periodo compreso tra giugno e novembre 2025.
Il malware AI-based
Nella seconda metà dell’anno il malware AI-based è passato dalla teoria alla realtà: ESET ha infatti scoperto PromptLock, il primo ransomware AI-driven noto, in grado di generare script malevoli dinamicamente. Sebbene l’AI venga ancora utilizzata principalmente per creare contenuti di phishing e truffe più convincenti, PromptLock – insieme ad altre poche minacce AI-driven identificate finora – segnala l’inizio di una nuova era delle minacce.
Per quanto riguarda il ransomware, il numero di vittime ha superato i livelli del 2024 ben prima della fine dell’anno, con proiezioni di ESET Research che indicano un aumento del 40% su base annua. Akira e Qilin dominano ora il mercato del ransomware-as-a-service, mentre il nuovo arrivato Warlock, seppur a basso profilo, ha introdotto tecniche di evasione innovative. La diffusione degli EDR killer è proseguita, a dimostrazione del fatto che gli strumenti di endpoint detection and response continuano a rappresentare un ostacolo rilevante per gli operatori ransomware.
Il grave problema NFC
Sulla piattaforma mobile, le minacce basate sulla tecnologia Near Field Communication (NFC) hanno continuato a crescere in scala e sofisticazione, con un aumento dell’87% nella telemetria ESET e diversi aggiornamenti e campagne rilevanti osservati nella seconda metà del 2025. NGate, pioniere tra le minacce NFC e scoperto per la prima volta da ESET, ha ricevuto un aggiornamento sotto forma di furto dei contatti, probabilmente ponendo le basi per attacchi futuri.
RatOn, malware completamente nuovo nello scenario delle frodi NFC, ha introdotto una rara combinazione di funzionalità da remote access trojan (RAT) e attacchi di relay NFC, dimostrando la determinazione dei cybercriminali a esplorare nuovi vettori di attacco. RatOn è stato distribuito tramite finte pagine Google Play e annunci che imitavano una versione per adulti di TikTok e un servizio di identità digitale bancaria. PhantomCard, nuovo malware basato su NGate e adattato al mercato brasiliano, è stato osservato in più campagne in Brasile nella seconda metà del 2025.