La cybersecurity entra in una fase di forte turbolenza. Il nuovo rapporto Netscout Unmasking the Swarm fotografa un contesto in cui gli attacchi DDoS si intensificano e diventano più complessi. Tra luglio e dicembre 2025 sono stati rilevati oltre 8 milioni di attacchi in 203 Paesi, alcuni con picchi da 30 Tbit/s. La crescita non riguarda solo il volume, ma soprattutto la natura delle offensive, ormai guidate da botnet evolute, logiche multi‑vettore e strumenti basati su AI capaci di amplificare la portata delle minacce. Il settore delle telecomunicazioni emerge come uno dei bersagli privilegiati, mentre i modelli difensivi tradizionali mostrano limiti sempre più evidenti.
Netscout parla di una “intensa accelerazione nel panorama delle minacce DDoS”, attribuendola all’integrazione dell’intelligenza artificiale, all’aumento delle reti botnet e alla proliferazione dei servizi DDoS‑for‑hire. Una miscela che, secondo gli analisti, inaugura una fase di rischio strutturale per le infrastrutture digitali globali e la cybersecurity.
Indice degli argomenti
Una pressione crescente sulle reti e sulle infrastrutture critiche
Il report indica che gli attori malevoli puntano con decisione alle infrastrutture a maggiore valore: DNS, Ntp, servizi finanziari, piattaforme governative e reti telco. Le campagne mostrano una capacità di adattamento dinamico, con attacchi che cambiano configurazione in corso d’opera e sfruttano fino a cinque vettori distinti. La componente outbound crea ulteriori criticità: dispositivi compromessi generano flussi superiori a 1 Tbit/s, saturando nodi di accesso e segmenti di rete.
Il settore delle telecomunicazioni rimane uno dei più colpiti sul fronte cybersecurity. Le reti fisse e broadband risultano le più esposte, seguite dagli operatori mobili. L’incremento dei dispositivi IoT vulnerabili alimenta botnet sempre più vaste e aggressive, con impatti diretti sulla disponibilità del servizio e sulla qualità dell’esperienza utente.
Botnet ad alta capacità e tecniche di “carpet‑bombing”
La crescita delle botnet di nuova generazione, come le varianti TurboMirai, rappresenta uno dei fattori più destabilizzanti. Queste reti, osserva Netscout, integrano capacità multi‑Tbps e usano soprattutto flussi direct‑path anziché riflessioni, rendendo più complesso il contenimento dell’attacco. La botnet Aisuru ha prodotto attacchi fino a 30 Tbit/s, con picchi outbound superiori a 1 Tbit/s generati da dispositivi compromessi in reti broadband.
Nel periodo analizzato le offensive di tipo carpet‑bombing mostrano un trend in aumento costante. La loro natura distribuita consente di colpire interi intervalli di indirizzi, mettendo sotto pressione infrastrutture di trasporto, apparati di core e sistemi di mitigazione.
L’escalation favorita dall’AI e dai servizi DDoS‑for‑hire
Il report segnala una trasformazione radicale nell’ecosistema criminale. I servizi DDoS‑for‑hire diventano più accessibili grazie all’uso di LLm e tool basati su conversazione. L’integrazione di queste tecnologie permette anche a soggetti privi di competenze tecniche di orchestrare attacchi complessi tramite semplici richieste in linguaggio naturale.
La conseguenza è una democratizzazione del rischio, con un aumento significativo delle minacce generate da attori meno sofisticati ma in grado di sfruttare infrastrutture automatizzate. Netscout osserva che le discussioni su strumenti AI malevoli nella dark web community sono aumentate del 219% nella seconda metà del 2025, segnale di un ecosistema in piena espansione.
In questo scenario, i gruppi hactivist restano estremamente attivi. NoName057(16), ad esempio, ha rivendicato più di 200 attacchi solo nel mese di luglio, confermando una capacità operativa intatta nonostante gli interventi delle forze dell’ordine.
La richiesta di un cambio di paradigma nella difesa
Secondo Netscout, gli operatori non possono più basare la propria strategia sulla reattività. I tempi di risposta e le logiche tradizionali risultano insufficienti di fronte a offensive che combinano potenza, velocità e capacità di elusione. L’azienda afferma nel report: “Le organizzazioni devono eguagliare l’innovazione degli avversari con difese intelligenti e autonome, oppure rischiano livelli di interruzione operativa che in passato erano considerati solo teorici”.
La necessità di architetture distribuite e resilienza by design diventa centrale. Le telco devono considerare scenari di “extreme‑scale events” e predisporre capacità di mitigazione che prevedano saturazioni improvvise, attacchi multivettore e compromissioni simultanee di migliaia di apparati IoT. Anche i sistemi anycast dimostrano la loro utilità per smistare volumi di traffico anomali e mantenere continuità operativa.
Verso un nuovo equilibrio tra attacco e difesa
La testimonianza di Netscout segnala che l’equilibrio tra attacco e difesa si sta spostando. “Le difese di sicurezza tradizionali non funzionano più”, ribadisce Richard Hummel, direttore Threat Intelligence di Netscout, sottolineando che l’adozione di strategie proattive rappresenta ormai “un obbligo di rischio a livello di business – non solo una preoccupazione tecnica per i professionisti della sicurezza”.
Il quadro che emerge è quello di un ecosistema in cui le minacce crescono più rapidamente della capacità difensiva. La cybersecurity deve evolvere seguendo lo stesso ritmo dei gruppi criminali, introducendo automazione, monitoraggio continuo e un approccio predittivo alle anomalie.
