Le 10 Gruppi di Hacker Più Popolari al Mondo nel 2025

Poiché la cybersicurezza è in continua evoluzione, i gruppi di hacker continuano a generare minacce digitali globali mescolando spionaggio sponsorizzato dallo stato, hacktivismo e crimine informatico. Nel 2025, il regno cibernetico ha vissuto maggiori tensioni geopolitiche, con attori statali che utilizzano minacce persistenti avanzate (APT) mentre i furti di criptovalute e gli attacchi hacktivisti aumentano in risposta a eventi in Medio Oriente e Asia. Utilizzando la copertura mediatica, i rapporti sulla cybersicurezza e l'intelligence sulle minacce, questa lista classifica i 10 gruppi di hacker più noti in base a quanto tempo sono attivi, quanto hanno influenzato la storia e cosa hanno fatto di recente. La popolarità qui si basa su quanto una persona sia conosciuta, quanto spesso venga menzionata nei media e quanto influisca sulla conversazione sulla cybersicurezza, non solo su quanto siano bravi in tecnologia. Questi gruppi, che vanno da collettivi decentralizzati a operazioni statali segrete, ci ricordano che il mondo digitale è ancora una battaglia.

Elenco dei 10 gruppi di hacker più popolari al mondo nel 2025

1. Anonymous

Anonymous, fondato nel 2008 su 4chan, è il classico collettivo hacktivista. Con le maschere di Guy Fawkes e il motto “Noi siamo Anonymous. Noi siamo Legione,” l'organizzazione mira a combattere le ingiustizie percepite attraverso attacchi DDoS, dump di dati e defacement di siti web. Da campagne anti-corruzione a proteste globali, le loro operazioni servono obiettivi sociali.
I gruppi splinter di Anonymous sono aumentati nel 2025. Anonymous VNLBN ha lanciato un grande attacco informatico a siti governativi e infrastrutture in Vietnam ad aprile, in mezzo a tensioni regionali. Prima del 7 aprile, gli hacktivisti hanno utilizzato inondazioni DDoS e dump di dati per protestare contro i conflitti in corso come parte di OpIsrael 2025. Le minacce di febbraio includevano fughe di notizie contro regimi autocratici.

2. Lizard Squad

Lizard Squad, una giovane e aggressiva gang di black hat che prende di mira le reti di gioco con attacchi DDoS, è emersa nel 2014. I ragazzi britannici e canadesi hanno rivendicato il titolo di “Re del DDoS” utilizzando booters (servizi DDoS a pagamento) per interrompere i servizi per fama e profitto.
Lizard Squad è praticamente scomparso nel 2025, con il fondatore “Ryan Cleary” precedentemente arrestato e perseguito. A giugno 2025, Wired ha rivisitato l'interruzione di Xbox Live e PlayStation Network del giorno di Natale 2014, che ha lasciato milioni offline ed esposto vulnerabilità nei dispositivi elettronici di consumo. Anche se non sono stati rivendicati nuovi attacchi, i loro metodi influenzano le attuali squadre DDoS.

3. APT28 (Fancy Bear)

APT28, noto anche come Fancy Bear o Pawn Storm, è un gruppo sponsorizzato dallo stato russo altamente avanzato, collegato al 85° Centro Servizi Speciali Principale del GRU. Sono attivi almeno dal 2007 e sono molto bravi nel spear-phishing, nella diffusione di malware e nell'interferenza con le elezioni. I loro obiettivi sono governi, forze armate e partner della NATO. Fancy Bear è cambiato dal 2025 con l'uso di app criptate. A luglio, hanno utilizzato Signal Messenger per controllare attacchi a dissidenti e autorità, aggirando i metodi di rilevamento tradizionali. Il NCSC del Regno Unito li ha incolpati per la campagna malware “Authentic Antics” nello stesso mese, che ha portato a multe contro gli operatori per aver spiato infrastrutture importanti.

4. Lazarus Group

Il Lazarus Group, noto anche come APT38, è la principale forza cibernetica della Corea del Nord. Dal 2009, ha spaventato il mondo mescolando spionaggio e crimine finanziario per finanziare lo stato. Collaborano con il Bureau Generale di Ricognizione per utilizzare wipers come WannaCry e malware avanzato per rubare beni. Lazarus ha rubato criptovalute per un valore di 1,5 miliardi di dollari dall'exchange Bybit il 21 febbraio 2025. L'FBI afferma che si è trattato del furto più grande di sempre, effettuato hackando portafogli freddi nella catena di approvvigionamento. Entro marzo, avevano ripulito centinaia di milioni di dollari attraverso mixer, evitando punizioni in un gioco ad alto rischio con i monitor.

5. Equation Group

Il Equation Group, che molti pensano sia una sezione d'élite della NSA, è stato il primo a utilizzare zero-day e rootkit per spionaggio informatico nei primi anni 2000. Sono stati definiti i “creatori della corona” di strumenti come Stuxnet e si sono concentrati su impianti a lungo termine per spionaggio. A febbraio 2025, i ricercatori cinesi hanno esaminato i loro metodi e li hanno chiamati “APT-C-40,” rivelando TTP di monitoraggio in corso in Asia. Non ci sono nuove fughe di notizie, ma i loro strumenti vengono ancora utilizzati in modi strani.

6. Shadow Brokers

Gli Shadow Brokers (TSB) sono apparsi nel 2016 e sono stati misteriosi leakatori che hanno rilasciato strumenti di hacking della NSA, tra cui EternalBlue, che ha portato a ondate di attacchi ransomware in tutto il mondo. Non è chiaro quali siano i loro obiettivi, anche se potrebbero essere legati alla Russia e includere richieste di riscatto e attacchi geopolitici. Non ci sono azioni note nel 2025, ma il loro lascito è ancora un argomento caldo di conversazione, e le loro tecnologie vengono ancora utilizzate negli attacchi. Un riepilogo sulla cybersicurezza del 2025 li definisce “influencer” delle fughe moderne. Il dump di TSB ha danneggiato le economie per trilioni di dollari attraverso WannaCry e NotPetya. Sono ancora popolari come esempi di whistleblower, il che dimostra i pericoli di avere molti zero-day nel periodo di zero-trust del 2025.

7. APT1 (Comment Crew)

APT1, noto anche come Comment Crew, è un'organizzazione associata all'Esercito Popolare di Liberazione Cinese e basata nell'Unità 61398 di Shanghai. È attiva dal 2006. Sono esperti nel rubare proprietà intellettuale e utilizzano malware specializzati per infiltrarsi in aziende nei settori aerospaziale e tecnologico in campagne come l'Operazione Aurora. Un rapporto interno del 2025 ha rivelato che stavano ancora spiando aziende statunitensi e rubando progetti per aiutare l'ascesa tecnologica della Cina. Studi più approfonditi mostrano come influenzano i colpi alla catena di approvvigionamento.

8. Syrian Electronic Army (SEA)

Dal 2011, il SEA è composto da hacker pro-Assad che hanno condotto una guerra digitale contro ribelli e detrattori attraverso defacement, attacchi DDoS e phishing. Hanno attaccato la BBC e il New York Times, che sono collegati all'intelligence siriana.
Non ci sono stati arresti dal 2016 e non sono state registrate operazioni nel 2025, anche se le loro tecniche vengono utilizzate in dispute nella regione. Ci sono ancora fughe storiche, inclusi email dalla Lega Araba.

9. Carbanak (Anunak)

Carbanak, noto anche come Anunak o FIN7, è un gruppo di crimine informatico russo che ruba denaro dalle banche dal 2013, utilizzando RAT e manipolazione SWIFT per rubare più di 1 miliardo di dollari. Fingono di essere risorse umane per accedere a siti di phishing. Alla fine del 2024 e all'inizio del 2025, IDATLOADER ha distribuito il loro malware, come ASYNCRAT, e ha colpito nuovamente il settore finanziario. L'arresto del leader nel 2018 non li ha completamente distrutti.

10. DarkHotel

Dal 2004, DarkHotel, che si crede sia legato all'intelligence sudcoreana (o a una combinazione di attori), ha preso di mira le élite asiatiche attraverso le reti Wi-Fi degli hotel. Eseguono sorveglianza su funzionari governativi e dirigenti utilizzando backdoor personalizzate. Sono stati segnalati 33 minacce persistenti avanzate (APT) nei rapporti pubblicati da NSFOCUS a giugno 2025, e queste includevano echi di DarkHotel nelle operazioni dell'Asia orientale. Non ci sono state violazioni significative, ma gli impianti furtivi continuano a essere un problema.