CrowdStrike ha pubblicato il “Financial Services Threat Landscape Report 2026“, dal quale emerge che nel 2025 gli avversari legati alla Corea del Nord (DPRK-nexus) hanno sottratto miliardi in asset digitali, industrializzando al tempo stesso il cybercrime attraverso tecniche di inganno basate sull’intelligenza artificiale. Le intrusioni di tipo hands-on-keyboard contro gli istituti finanziari hanno registrato un’impennata del 43% a livello globale e del 48% in Nord America negli ultimi due anni, poiché gli avversari hanno sfruttato identità ritenute affidabili e applicazioni SaaS per eludere le difese di tipo legacy.
Principali risultati del Financial Services Threat Landscape Report di CrowdStrike
Sulla base dell’intelligence raccolta dagli specialisti del team di Counter Adversary Operations di CrowdStrike, che monitora oltre 280 avversari identificati, il report rileva:
- Il furto di asset digitali raggiunge livelli record: attori di matrice nordcoreana (DPRK-nexus) sono i principali responsabili di un aumento del 51% su base annua dei furti di asset digitali nel 2025, avendo sottratto, secondo i dati del report, 2,02 miliardi di dollari in tutto il settore. Il gruppo PRESSURE CHOLLIMA ha condotto il più grande furto finanziario mai registrato: 1,46 miliardi di dollari in criptovalute attraverso software “trojanizzato” – ovvero software apparentemente legittimo compromesso e modificato per includere codice malevolo – distribuito tramite una compromissione della supply chain. GOLDEN CHOLLIMA ha utilizzato esche a tema “recruitment” per dirottare fondi in criptovaluta e accedere agli ambienti cloud di società fintech nel sud-est asiatico e in Canada.
- Gli attori nord coreani potenziano le tecniche di inganno con l’AI: gli attori legati alla Corea del Nord hanno utilizzato l’AI per potenziare le operazioni contro il settore. FAMOUS CHOLLIMA ha raddoppiato le proprie attività utilizzando identità generate dall’AI per infiltrarsi in piattaforme di scambio di criptovalute, piattaforme fintech e banche consumer. STARDUST CHOLLIMA ha triplicato l’intensità delle proprie attività, impiegando profili di recruiter generati dall’AI e ambienti di videoconferenza falsi generati digitalmente, con l’obiettivo di colpire società fintech in Nord America, Europa e Asia.
- Lo spionaggio riconducibile alla Cina si espande a livello globale: gli avversari di matrice cinese hanno rappresentato la minaccia più significativa per le attività di intelligence e raccolta di informazioni strategiche. HOLLOW PANDA ha condotto intrusioni presso istituti finanziari nelle Filippine, in Indonesia e in Brasile. MURKY PANDA ha dispiegato una rete operativa di “relay box” in oltre 150 endpoint in 36 paesi, prendendo di mira 340 organizzazioni in più di 30 settori, tra cui i servizi finanziari risultano tra i bersagli più colpiti.
- La pressione dell’eCrime sul settore si intensifica: 423 organizzazioni in ambito servizi finanziari sono apparse su siti di leak dedicati, segnando un aumento del 27% su base annua. MUTANT SPIDER è responsabile del maggior volume di intrusioni perpetuate attraverso campagne di vishing, e di aver venduto successivamente l’accesso a gruppi ransomware, consentendo attacchi più rapidi e scalabili. Nella prima metà del 2025, dopo una pausa di quattro mesi, SCATTERED SPIDER ha intrapreso operazioni ransomware aggressive contro enti assicurativi.
“Le società che operano nel settore dei servizi finanziari devono far fronte a minacce provenienti da più fronti che l’AI sta rendendo più difficile fermare. Il costo per creare identità credibili, automatizzare le attività di ricognizione, e accelerare il furto di credenziali è ormai prossimo allo zero”, ha affermato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Gli avversari utilizzano l’AI per ridurre il tempo tra l’accesso iniziale e l’impatto, muovendosi attraverso percorsi ritenuti affidabili più velocemente di quanto le difese tradizionali siano in grado di fare per rispondere. Per colmare questo divario, i difensori devono contrastare l’AI con l’AI, combinando l’intelligence con l’attività di threat hunting per anticipare gli avversari”.
