Comprendere come evolvono le minacce informatiche oggi è indispensabile, per qualsiasi azienda che utilizzi infrastrutture digitali. Questo vale in modo particolare per il tessuto imprenditoriale italiano, composto in larga parte da aziende di piccole e medie dimensioni che devono proteggere sistemi informativi spesso complessi ma con risorse limitate dedicate alla cybersecurity.
Una fonte utile per osservare queste dinamiche è l’Internet Security Report H2 2025, pubblicato da WatchGuard. Il report analizza i dati raccolti attraverso il Firebox Feed, il flusso di telemetria generato dai firewall installati nelle organizzazioni di tutto il mondo. L’analisi di questa base informativa consente di identificare le tecniche di attacco più diffuse, le vulnerabilità maggiormente sfruttate e le tipologie di malware che stanno circolando con maggiore intensità.
Attacchi di rete: web shell e vulnerabilità applicative
Una prima area di analisi riguarda le firme di attacco rilevate dai sistemi IPS dei firewall WatchGuard. Nel secondo semestre del 2025 cinque tipologie di attacco risultano particolarmente diffuse a livello globale.
| Firma di attacco | Vulnerabilità sfruttata | Paesi più colpiti | AMER | EMEA | APAC |
| dotCMS Access Control Weakness (CVE-2020-6754) | Debolezza di autorizzazione nel CMS dotCMS | Germania, Brasile, Spagna | 12,9% | 35,0% | 9,6% |
| Web Remote Shell Command Execution | Comandi remoti tramite web shell | USA, Italia, Francia | 38,8% | 23,5% | 10,3% |
| Web Directory Traversal | Accesso non autorizzato al filesystem | Germania, Portogallo, Italia | 11,8% | 19,6% | 22,4% |
| HAProxy Empty Header Bypass (CVE-2023-25725) | Bypass controllo accessi | Regno Unito, USA, Canada | 19,2% | 14,1% | 20,5% |
| JavaScript Obfuscation | Codice offuscato utilizzato negli exploit kit | USA, Regno Unito, Brasile | 31,9% | 9,2% | 13,5% |
Tra questi dati emerge un elemento particolarmente significativo per il contesto italiano: la presenza della firma Web Remote Shell Command Execution tra le principali rilevazioni. Secondo il report, circa il 43,7% dei firewall italiani ha intercettato almeno un tentativo di attacco di questo tipo nel periodo analizzato.
Le web shell sono strumenti utilizzati dagli attaccanti per ottenere il controllo remoto di un server compromesso. Una volta installata, la web shell consente di eseguire comandi, caricare file o muoversi lateralmente all’interno della rete.
La frequenza con cui questo tipo di attacco viene rilevato indica due possibili criticità:
- presenza di server web esposti su Internet
- sistemi applicativi non aggiornati o configurati in modo non ottimale
Una dinamica simile emerge anche dall’analisi della firma Web Directory Traversal, che interessa circa il 20% dei sistemi italiani rilevati nel report. In questo caso l’attacco sfrutta vulnerabilità applicative per accedere a file e directory che dovrebbero essere protetti.
Nel complesso, questi dati suggeriscono che una parte consistente delle minacce attuali si concentra ancora sulle vulnerabilità applicative e sui server web esposti, spesso attraverso exploit relativamente semplici.
Malware: il ruolo centrale dei droppers
Accanto agli attacchi di rete, il report analizza le famiglie malware più diffuse osservate durante il semestre. Riportiamo qui le principali, anche per sottolineare quanto i dropper siano diventati rilevanti:
| Malware | Categoria | Rilevazioni |
| Heur.BZC.PZQ.Boxter | Dropper | 705.396 |
| Trojan.Generic.38935134 | Dropper | 238.280 |
| Application.Agent.IIQ | Dropper | 109.371 |
| Application.Generic.4048548 | Dropper | 61.288 |
| Application.Proxy.OTN | Proxy | 49.226 |
| Generic.Application.Impacket | Script post-exploitation | 46.123 |
| Trojan.Linux.Generic | Hacktool Linux | 45.954 |
| Variant.Application.Linux.PNScan | Hacktool Linux | 45.941 |
| Trojan.GenericKDZ | Dropper | 45.897 |
| Generic.Botget | Dropper | 45.897 |
Come possiamo vedere, infatti rappresentano sei delle dieci minacce più rilevate.
Il dropper è un componente malware che ha il compito di scaricare e installare il payload finale, che può essere ransomware, trojan bancari o strumenti di furto delle credenziali. Questa architettura consente agli attaccanti di modificare facilmente il malware distribuito senza cambiare la fase iniziale dell’infezione.
Il report evidenzia anche la presenza crescente di strumenti di post-exploitation, come quelli basati su Impacket, una libreria utilizzata per operazioni di movimento laterale nelle reti Windows.
La presenza di hacktool Linux e scanner di rete suggerisce inoltre che gli attaccanti stanno puntando sempre più spesso su:
- server esposti su Internet
- dispositivi IoT
- infrastrutture di rete poco protette
Distribuzione geografica delle minacce
L’analisi geografica delle rilevazioni mostra differenze significative tra le varie aree del mondo.
| Regione | Esposizione malware media |
| APAC | 41,45% |
| AMER | 35,31% |
| EMEA | 23,24% |
L’area EMEA, che include anche l’Italia, presenta un livello medio di rilevazioni inferiore rispetto alle altre regioni. Questo dato non significa necessariamente che le realtà europee siano meno esposte, in particolare per quanto riguarda l’Italia che, da molti anni, è al centro degli attacchi, ma riflette differenze nei modelli di utilizzo delle infrastrutture digitali e nella diffusione dei sistemi di protezione.
All’interno dell’area EMEA esistono infatti differenze significative tra Paesi, con alcune tipologie di attacco, per esempio le web shell, che risultano particolarmente diffuse anche nel contesto italiano.
Implicazioni per le imprese italiane
Le evidenze del report permettono di individuare alcune indicazioni operative utili per le imprese italiane e che operano in Italia.
La prima riguarda la gestione delle vulnerabilità. Molti degli exploit identificati sfruttano vulnerabilità note da tempo. Questo significa che il patch management rimane uno degli strumenti più efficaci per ridurre la superficie di attacco.
Un secondo elemento riguarda l’utilizzo di firewall di nuova generazione con sistemi IPS e capacità di analisi del traffico applicativo. Queste tecnologie consentono di bloccare tentativi di exploit anche quando utilizzano varianti leggermente modificate.
Un terzo aspetto riguarda l’ispezione del traffico cifrato. Una quota crescente di malware utilizza connessioni HTTPS per nascondere il payload. Senza sistemi di analisi del traffico TLS, molte minacce passano inosservate.
Infine, il report conferma l’importanza della formazione degli utenti, dal momento che molte infezioni iniziano con documenti malevoli distribuiti via email.
Cybersecurity e digitalizzazione: una sfida per le PMI
Per il mercato più vicino a noi di Competition Srl, composto principalmente da aziende che operano nell’IT, nella digitalizzazione dei processi e nell’automazione industriale, questi dati assumono un significato particolare.
Molte imprese italiane stanno infatti affrontando percorsi di trasformazione digitale che includono:
- integrazione dei sistemi informativi
- utilizzo di piattaforme cloud
- interconnessione tra sistemi IT e sistemi industriali
Un processo che, inevitabilmente, amplia la superficie di attacco: la sicurezza informatica diventa quindi una componente strutturale dell’innovazione tecnologica. In questo contesto la disponibilità di dati aggiornati sulle minacce, come quelli raccolti da WatchGuard, consente alle aziende di orientare meglio le proprie strategie di protezione.
Perché formazione e sicurezza oggi sono indispensabili
L’analisi del WatchGuard Internet Security Report H2 2025 mostra come le minacce informatiche continuino a sfruttare vulnerabilità note, tecniche di offuscamento e infrastrutture web esposte.
Nel caso italiano emerge in particolare la diffusione di attacchi basati su web shell e directory traversal, che indicano la presenza di sistemi applicativi non aggiornati o configurati in modo non ottimale.
Per le aziende impegnate nella digitalizzazione, o che hanno già processi digitali consolidati, la cybersecurity deve quindi essere considerata parte integrante dell’architettura tecnologica. Firewall evoluti, gestione delle vulnerabilità, controllo del traffico cifrato e formazione degli utenti costituiscono le principali linee di difesa. Comprendere l’evoluzione delle minacce, insomma, rappresenta il primo passo per costruire infrastrutture digitali affidabili e resilienti.
Competition Srl