L'analisi zero-day annuale di Google Threat Intelligence Group rivela 90 vulnerabilità sfruttate in natura nel corso del 2025, di cui quasi la metà sarà destinata a prodotti per la sicurezza aziendale, dispositivi di rete e infrastrutture cloud. I fornitori di spyware e gli APT legati alla Cina dominano l’attribuzione. Nel frattempo, un Violazione sanitaria da 3,4 milioni di pazienti e nuovo campagne malware senza file dimostrare perché la scansione continua delle vulnerabilità non è più facoltativa.
Google Threat Intelligence Group (GTIG) tiene traccia ogni anno delle vulnerabilità zero-day sfruttate in natura. Il rapporto del 2025 segna uno degli anni più alti mai registrati, con 90 giorni zero confermato di sfruttamento: in aumento rispetto ai 73 del 2024 e prossimi al picco di 97 del 2021.
Il risultato più significativo: circa 45 dei 90 prodotti zero-day (50%) erano direttamente mirati alle imprese piuttosto che endpoint del consumatore. Ciò rappresenta un cambiamento drammatico rispetto agli anni precedenti, quando browser e sistemi operativi mobili dominavano il panorama dello sfruttamento zero-day.
| Categoria | Giorni Zero (2025) | Percentuale | Tendenza rispetto al 2024 |
|---|---|---|---|
| Prodotti per la sicurezza aziendale | ~20 | 22% | 🔺 In forte aumento |
| Apparecchi di rete/VPN | ~15 | 17% | 🔺Su |
| Piattaforme Cloud/SaaS | ~10 | 11% | 🔺Su |
| Sistema operativo mobile (iOS/Android) | ~18 | 20% | 🔻 Giù |
| Browser | ~12 | 13% | 🔻 Giù |
| Sistema operativo desktop | ~15 | 17% | ➡️ Stabile |
Meno della metà dei 90 zero-day potrebbe essere attribuita a specifici autori di minacce, ma i gruppi principali dipingono un quadro chiaro:
1. Fornitori di spyware commerciali — NSO Group, Intellexa e i nuovi entranti continuano a dominare lo sfruttamento zero-day, rappresentando all'incirca 30% degli zero-day attribuiti.
2. Gruppi APT collegati alla Cina — Diversi gruppi cinesi sostenuti dallo Stato (Salt Typhoon, Volt Typhoon, APT41) hanno sfruttato gli zero-day focalizzati sulle imprese prendendo di mira apparecchiature di rete e piattaforme cloud.
3. Gruppi legati alla Russia — Focalizzato principalmente sugli obiettivi ucraini ed europei che utilizzano gli zero-day nei prodotti Microsoft.
4. Corea del Nord — Sempre più sofisticato, rivolto a piattaforme di criptovaluta e strumenti di sviluppo.
Diversi fattori spiegano lo spostamento verso il targeting aziendale:
Soluzioni per fornitori TriZetto (una controllata di Cognizant) ha rivelato una violazione dei dati che ha interessato 3.433.965 individui. Attackers had unauthorized access for nearly a year — from novembre 2024 to ottobre 2025.
| Data | Evento |
|---|---|
| 19 novembre 2024 | Inizia l'accesso non autorizzato |
| 2 ottobre 2025 | Rilevata attività sospetta |
| 9 dicembre 2025 | I fornitori interessati sono stati informati |
| febbraio 2026 | Iniziano le notifiche ai clienti |
| 6 marzo 2026 | La dichiarazione della Maine AG conferma che 3,4 milioni di persone sono interessate |
Il Tempo di permanenza di 317 giorni (dall’accesso iniziale al rilevamento) è particolarmente allarmante e sottolinea la necessità di un monitoraggio continuo e di un rilevamento automatizzato delle minacce. Cognizant ha già affrontato un esame accurato dopo l’incidente del ransomware Maze del 2020 e una violazione correlata a Scattered Spider attraverso il suo help desk.
I ricercatori di Securonix hanno documentato VUOTO#GEIST, una sofisticata campagna malware in più fasi che distribuisce XWorm, AsyncRAT e Xeno RAT tramite tecniche di esecuzione senza file.
-WindowStyle Hiddenexplorer.exeLa campagna VOID#GEIST rappresenta un cambiamento più ampio del settore dagli eseguibili autonomi verso framework di distribuzione modulari e basati su script. Ciascuna fase appare innocua isolatamente, imitando l’attività amministrativa legittima. L'uso di un runtime Python incorporato legittimo da python.org elimina le dipendenze ed elude la lista consentita delle applicazioni.
| RATTO | Capacità | File crittografato |
|---|---|---|
| XWorm | Accesso remoto completo, keylogging, cattura schermo, persistenza | nuovo.bin |
| AsincRAT | Comunicazione asincrona C2, estensibilità dei plugin, furto di credenziali | pul.bin |
| RATTO Xeno | RAT open source con HVNC, accesso microfono/webcam | xn.bin |
Cisco ha confermato che due vulnerabilità Catalyst SD-WAN sono state recentemente corrette: CVE-2026-20128 e CVE-2026-20122 - vengono ora attivamente sfruttati in natura. Le organizzazioni che eseguono configurazioni SD-WAN interessate devono applicare immediatamente le patch o implementare le soluzioni alternative consigliate.
Una vulnerabilità di Rockwell Automation originariamente rilevata e mitigata nel 2021 è stata confermata come attivamente sfruttato in attacchi contro sistemi di controllo industriale. Ciò evidenzia una sfida persistente negli ambienti OT/ICS: anche quando esistono patch, spesso non vengono applicate a causa di vincoli operativi e problemi di inattività.
Se la tua organizzazione utilizza controllori logici programmabili (PLC) Rockwell, verifica immediatamente lo stato della patch. Lo sfruttamento remoto dei sistemi ICS può portare alla manipolazione dei processi fisici, all'esclusione dei sistemi di sicurezza e all'interruzione operativa.
In uno sviluppo positivo, il LeakBase forum sulla criminalità informatica è stato chiuso dalle forze dell'ordine e i sospetti sono stati arrestati. Il mercato delle credenziali rubate era attivo dal 2021 e ospitava 142.000 utenti registrati che scambiavano credenziali, dati personali e database di violazioni compromessi.
Sebbene le rimozioni causino interruzioni temporanee, la storia mostra che gli utenti sfollati in genere migrano verso forum alternativi nel giro di poche settimane. Le organizzazioni dovrebbero utilizzare questa finestra per:
Il pentesting automatico e continuo di KENSAI scansiona la tua infrastruttura 24 ore su 24, individuando le vulnerabilità prima che gli aggressori le sfruttino, compresi gli zero-day nei prodotti aziendali.
Avvia la scansione di sicurezza gratuitaRimani vigile. Rimani protetto.
🗡️KENSAI Threat Intelligence Team