Un nuovo attacco malware multi-stage è stato recentemente individuato, con la distribuzione di famiglie di malware come varianti di Agent Tesla, Remcos RAT e XLoader. Gli aggressori stanno utilizzando meccanismi di consegna complessi per eludere il rilevamento, aggirare le sandbox tradizionali e garantire la consegna e l'esecuzione dei payload, secondo un ricercatore di Palo Alto Networks Unit 42.

Negli ultimi mesi del 2024 e nei primi mesi del 2025, diversi gruppi di hacker sponsorizzati dallo stato provenienti da Iran, Corea del Nord e Russia hanno utilizzato una tattica di ingegneria sociale nota come ClickFix per distribuire malware. Questa tecnica è stata adottata in campagne di phishing condotte da gruppi come TA427 (noto anche come Kimsuky), TA450 (noto come MuddyWater), UNK_RemoteRogue e TA422 (conosciuto anche come APT28).

Una nuova campagna di malware sta prendendo di mira gli utenti di criptovalute utilizzando Node.js per distribuire payload dannosi per il furto di informazioni e l'esfiltrazione dei dati. Microsoft ha lanciato l'allerta su questa attività, rilevata per la prima volta nell'ottobre 2024, che sfrutta esche legate al trading di criptovalute per indurre gli utenti a installare un installer fraudolento da siti Web che simulano software legittimi come Binance o TradingView.

Mustang Panda, un attore malevolo noto per essere legato alla Cina, è stato collegato a un attacco informatico contro un'organizzazione non specificata in Myanmar utilizzando strumenti innovativi. L'attacco evidenzia gli sforzi continui del gruppo per aumentare la sofisticazione e l'efficacia del loro malware.