← Torna al Blog
Ricerca e analisi 7 marzo 2026 9 min di lettura

Report Zero-Day di Google 2025: 90 difetti sfruttati, aumento del targeting aziendale

L'analisi zero-day annuale di Google Threat Intelligence Group rivela 90 vulnerabilità sfruttate in natura nel corso del 2025, di cui quasi la metà sarà destinata a prodotti per la sicurezza aziendale, dispositivi di rete e infrastrutture cloud. I fornitori di spyware e gli APT legati alla Cina dominano l’attribuzione. Nel frattempo, un Violazione sanitaria da 3,4 milioni di pazienti e nuovo campagne malware senza file dimostrare perché la scansione continua delle vulnerabilità non è più facoltativa.


📊 Il panorama Zero-Day di Google per il 2025: numeri chiave

💡 Monitoraggio annuale Zero-Day di GTIG

Google Threat Intelligence Group (GTIG) tiene traccia ogni anno delle vulnerabilità zero-day sfruttate in natura. Il rapporto del 2025 segna uno degli anni più alti mai registrati, con 90 giorni zero confermato di sfruttamento: in aumento rispetto ai 73 del 2024 e prossimi al picco di 97 del 2021.

Il cambiamento aziendale

Il risultato più significativo: circa 45 dei 90 prodotti zero-day (50%) erano direttamente mirati alle imprese piuttosto che endpoint del consumatore. Ciò rappresenta un cambiamento drammatico rispetto agli anni precedenti, quando browser e sistemi operativi mobili dominavano il panorama dello sfruttamento zero-day.

Categoria Giorni Zero (2025) Percentuale Tendenza rispetto al 2024
Prodotti per la sicurezza aziendale ~20 22% 🔺 In forte aumento
Apparecchi di rete/VPN ~15 17% 🔺Su
Piattaforme Cloud/SaaS ~10 11% 🔺Su
Sistema operativo mobile (iOS/Android) ~18 20% 🔻 Giù
Browser ~12 13% 🔻 Giù
Sistema operativo desktop ~15 17% ➡️ Stabile

Attribuzione: chi sfrutta gli zero-day?

Meno della metà dei 90 zero-day potrebbe essere attribuita a specifici autori di minacce, ma i gruppi principali dipingono un quadro chiaro:

⚠️ I migliori sfruttatori zero-day nel 2025

1. Fornitori di spyware commerciali — NSO Group, Intellexa e i nuovi entranti continuano a dominare lo sfruttamento zero-day, rappresentando all'incirca 30% degli zero-day attribuiti.
2. Gruppi APT collegati alla Cina — Diversi gruppi cinesi sostenuti dallo Stato (Salt Typhoon, Volt Typhoon, APT41) hanno sfruttato gli zero-day focalizzati sulle imprese prendendo di mira apparecchiature di rete e piattaforme cloud.
3. Gruppi legati alla Russia — Focalizzato principalmente sugli obiettivi ucraini ed europei che utilizzano gli zero-day nei prodotti Microsoft.
4. Corea del Nord — Sempre più sofisticato, rivolto a piattaforme di criptovaluta e strumenti di sviluppo.

Perché i prodotti aziendali sono ora l'obiettivo primario

Diversi fattori spiegano lo spostamento verso il targeting aziendale:


🏥 Violazione sanitaria TriZetto: esposti 3,4 milioni di pazienti

⚠️ Esposizione massiccia di dati sanitari

Soluzioni per fornitori TriZetto (una controllata di Cognizant) ha rivelato una violazione dei dati che ha interessato 3.433.965 individui. Attackers had unauthorized access for nearly a year — from novembre 2024 to ottobre 2025.

Cronologia della violazione

Data Evento
19 novembre 2024 Inizia l'accesso non autorizzato
2 ottobre 2025 Rilevata attività sospetta
9 dicembre 2025 I fornitori interessati sono stati informati
febbraio 2026 Iniziano le notifiche ai clienti
6 marzo 2026 La dichiarazione della Maine AG conferma che 3,4 milioni di persone sono interessate

Tipi di dati esposti

Il Tempo di permanenza di 317 giorni (dall’accesso iniziale al rilevamento) è particolarmente allarmante e sottolinea la necessità di un monitoraggio continuo e di un rilevamento automatizzato delle minacce. Cognizant ha già affrontato un esame accurato dopo l’incidente del ransomware Maze del 2020 e una violazione correlata a Scattered Spider attraverso il suo help desk.


🦠 VOID#GEIST: campagna antimalware multifase senza file

⚠️ Catena di attacco avanzata senza file

I ricercatori di Securonix hanno documentato VUOTO#GEIST, una sofisticata campagna malware in più fasi che distribuisce XWorm, AsyncRAT e Xeno RAT tramite tecniche di esecuzione senza file.

Interruzione della catena di attacchi

  1. Accesso iniziale — Script batch recuperato dal dominio TryCloudflare tramite e-mail di phishing
  2. Visualizzazione dell'esca — Chrome apre un falso PDF finanziario a schermo intero come distrazione visiva
  3. Esecuzione nascosta — PowerShell riesegue lo script batch con -WindowStyle Hidden
  4. Persistenza — Posizionamento della directory di avvio (nessuna modifica al registro, nessuna escalation dei privilegi)
  5. Recupero del carico utile — Archivi ZIP scaricati contenenti codice shell crittografato e un caricatore Python
  6. Esecuzione in memoria — Il runtime Python decodifica e inserisce lo shellcode tramite l'iniezione APC Early Bird in explorer.exe

💡 Perché è importante

La campagna VOID#GEIST rappresenta un cambiamento più ampio del settore dagli eseguibili autonomi verso framework di distribuzione modulari e basati su script. Ciascuna fase appare innocua isolatamente, imitando l’attività amministrativa legittima. L'uso di un runtime Python incorporato legittimo da python.org elimina le dipendenze ed elude la lista consentita delle applicazioni.

Carichi utili consegnati

RATTO Capacità File crittografato
XWorm Accesso remoto completo, keylogging, cattura schermo, persistenza nuovo.bin
AsincRAT Comunicazione asincrona C2, estensibilità dei plugin, furto di credenziali pul.bin
RATTO Xeno RAT open source con HVNC, accesso microfono/webcam xn.bin

🌐 Cisco SD-WAN e Rockwell ICS: altri exploit attivi

Cisco Catalyst SD-WAN

Cisco ha confermato che due vulnerabilità Catalyst SD-WAN sono state recentemente corrette: CVE-2026-20128 e CVE-2026-20122 - vengono ora attivamente sfruttati in natura. Le organizzazioni che eseguono configurazioni SD-WAN interessate devono applicare immediatamente le patch o implementare le soluzioni alternative consigliate.

Vulnerabilità ICS di Rockwell Automation

Una vulnerabilità di Rockwell Automation originariamente rilevata e mitigata nel 2021 è stata confermata come attivamente sfruttato in attacchi contro sistemi di controllo industriale. Ciò evidenzia una sfida persistente negli ambienti OT/ICS: anche quando esistono patch, spesso non vengono applicate a causa di vincoli operativi e problemi di inattività.

⚠️ Rischio ICS/OT

Se la tua organizzazione utilizza controllori logici programmabili (PLC) Rockwell, verifica immediatamente lo stato della patch. Lo sfruttamento remoto dei sistemi ICS può portare alla manipolazione dei processi fisici, all'esclusione dei sistemi di sicurezza e all'interruzione operativa.


🔒 Forum LeakBase chiuso: 142.000 utenti

In uno sviluppo positivo, il LeakBase forum sulla criminalità informatica è stato chiuso dalle forze dell'ordine e i sospetti sono stati arrestati. Il mercato delle credenziali rubate era attivo dal 2021 e ospitava 142.000 utenti registrati che scambiavano credenziali, dati personali e database di violazioni compromessi.

Sebbene le rimozioni causino interruzioni temporanee, la storia mostra che gli utenti sfollati in genere migrano verso forum alternativi nel giro di poche settimane. Le organizzazioni dovrebbero utilizzare questa finestra per:


🛡️ Azioni consigliate

Per i team di sicurezza aziendale

  1. Dare priorità all'applicazione di patch ai prodotti aziendali — Le apparecchiature VPN, i firewall e i prodotti per la sicurezza sono ora i principali obiettivi zero-day
  2. Distribuire la scansione automatizzata continua — Le valutazioni manuali delle vulnerabilità non possono tenere il passo con oltre 90 zero-day all'anno
  3. Monitora i modelli di esecuzione senza file — Cerca finestre nascoste di PowerShell, download di runtime Python e firme di injection APC
  4. Ridurre il tempo di permanenza — Il tempo di permanenza di 317 giorni della violazione TriZetto mostra il costo di un rilevamento ritardato
  5. Applicare patch ai sistemi ICS/OT — Vecchie vulnerabilità in Rockwell e sistemi simili vengono sfruttate attivamente anni dopo la divulgazione

Per le Organizzazioni Sanitarie

  1. Controllare la sicurezza del portale web — La violazione di TriZetto ha avuto origine attraverso un portale web che trattava i dati di ammissibilità assicurativa
  2. Implementare la segmentazione della rete — Limitare il raggio di esplosione di ogni singolo compromesso
  3. Distribuire l'analisi comportamentale — Rileva modelli di accesso non autorizzati, in particolare per i database contenenti PHI
  4. Esaminare la sicurezza dei fornitori di terze parti — Il livello di sicurezza del tuo fornitore è il tuo livello di sicurezza

Non aspettare 317 giorni per rilevare una violazione

Il pentesting automatico e continuo di KENSAI scansiona la tua infrastruttura 24 ore su 24, individuando le vulnerabilità prima che gli aggressori le sfruttino, compresi gli zero-day nei prodotti aziendali.

Avvia la scansione di sicurezza gratuita

Rimani vigile. Rimani protetto.

🗡️KENSAI Threat Intelligence Team