Secondo l’ultimo Global Threat Index di Check Point Research, il panorama delle minacce cyber nel mese di giugno 2025 conferma un mix ormai familiare ma in continua evoluzione: FakeUpdates resta il malware più diffuso a livello globale e in Italia, mentre AsyncRAT guadagna posizioni, spinto da nuove campagne che sfruttano canali “legittimi” come Discord per infiltrarsi nei sistemi. L’analisi, pubblicata oggi, mostra come i cybercriminali stiano adottando strategie sempre più raffinate, rendendo la sicurezza un esercizio costante di aggiornamento e reazione.
In Italia, FakeUpdates, il downloader basato su JavaScript spesso associato al gruppo Evil Corp, colpisce ancora il 7,24% delle organizzazioni, pur registrando un calo del 16% rispetto al mese precedente. Dietro di lui, Androxgh0st (+14,8%) e il già citato AsyncRAT (+2,3%) completano un podio che riflette le tendenze globali ma con impatti locali ancora più marcati.
A livello mondiale, la classifica è simile: FakeUpdates mantiene il primato (4,22%), ma cresce la preoccupazione per AsyncRAT (2,26%), che nelle ultime settimane ha intensificato la distribuzione sfruttando inviti Discord modificati, veicolando payload dannosi con discrezione e alta efficacia. Una mossa che sfrutta la fiducia nell’app, molto usata in ambienti gaming e aziendali.
Discord nel mirino: la strategia “silenziosa” di AsyncRAT
Il nome potrebbe non dire molto al pubblico generalista, ma per chi si occupa di cybersecurity, AsyncRAT è oggi una delle minacce più subdole. Questo Remote Access Trojan consente agli aggressori un controllo completo delle macchine infette: può raccogliere dati, installare plugin, terminare processi, aggiornarsi in autonomia e addirittura catturare schermate.
Il dato più preoccupante? La tecnica di distribuzione. Gli attaccanti stanno sfruttando link di invito a Discord (in apparenza legittimi) per eseguire download malevoli in background. Una volta installato, il malware stabilisce una comunicazione con server remoti, da cui riceve comandi per espandere l’infezione.
“AsyncRAT dimostra come l’ecosistema delle minacce stia evolvendo verso l’uso di piattaforme di fiducia come vettori d’attacco”, spiega Lotem Finkelstein, Director of Threat Intelligence di Check Point. “Questo impone un ripensamento dell’approccio alla sicurezza, che deve essere multi-livello e basata sull’intelligence in tempo reale.”
Ransomware Qilin, la costante che preoccupa
Parallelamente, il gruppo Qilin continua a rappresentare uno dei volti più pericolosi del ransomware-as-a-service. Responsabile del 17% degli attacchi ransomware globali, Qilin prende di mira in particolare i settori ad alto valore strategico come sanità e istruzione, utilizzando tattiche di doppia estorsione: crittografia dei dati + furto delle informazioni sensibili.
Il gruppo, noto anche come Agenda, utilizza email di phishing altamente personalizzate per compromettere le reti aziendali, e si è affermato come uno dei protagonisti della scena ransomware, assieme a SafePay e Akira.
Minacce mobile e settori nel mirino: la superficie d’attacco si allarga
Anche i dispositivi mobili restano sotto attacco. Anubis, un banking trojan avanzato capace di bypassare l’autenticazione a due fattori, è attualmente il malware mobile più diffuso. Seguito da AhMyth, RAT Android camuffato da app legittima, e Necro, che trasforma gli smartphone in nodi botnet.
I settori più bersagliati nel mondo? Istruzione, pubblica amministrazione e telecomunicazioni. Tre ambiti dove l’infrastruttura critica, l’ampia base utenti e la mole di dati sensibili rendono le difese più complesse da mantenere.