Rapporto Google Zero-Day 2025: 90 Vulnerabilità Sfruttate, Attacchi alle Aziende in Aumento
L'analisi annuale sulle zero-day del Google Threat Intelligence Group rivela 90 vulnerabilità sfruttate in natura durante il 2025 — con quasi la metà mirate a prodotti di sicurezza aziendale, apparati di rete e infrastrutture cloud. I fornitori di spyware e gli APT cinesi dominano l'attribuzione. Nel frattempo, una violazione sanitaria che ha colpito 3,4 milioni di pazienti e nuove campagne di malware fileless dimostrano perché la scansione continua delle vulnerabilità non è più opzionale.
📊 Panorama Zero-Day 2025 di Google: Numeri Chiave
💡 Monitoraggio Annuale Zero-Day del GTIG
Il Google Threat Intelligence Group (GTIG) monitora le vulnerabilità zero-day sfruttate in natura ogni anno. Il rapporto 2025 segna uno degli anni più alti mai registrati, con 90 zero-day confermati come sfruttati — in aumento rispetto ai 73 del 2024 e vicino al picco di 97 del 2021.
La Svolta verso le Aziende
Il dato più significativo: circa 45 delle 90 zero-day (50%) hanno preso di mira direttamente prodotti aziendali piuttosto che endpoint consumer. Questo rappresenta un cambiamento drastico rispetto agli anni precedenti, quando browser e sistemi operativi mobili dominavano il panorama dello sfruttamento zero-day.
| Categoria | Zero-Day (2025) | Percentuale | Tendenza vs 2024 |
|---|---|---|---|
| Prodotti di Sicurezza Aziendale | ~20 | 22% | 🔺 In forte aumento |
| Apparati di Rete/VPN | ~15 | 17% | 🔺 In aumento |
| Piattaforme Cloud/SaaS | ~10 | 11% | 🔺 In aumento |
| OS Mobile (iOS/Android) | ~18 | 20% | 🔻 In calo |
| Browser | ~12 | 13% | 🔻 In calo |
| OS Desktop | ~15 | 17% | ➡️ Stabile |
Attribuzione: Chi Sfrutta le Zero-Day?
Meno della metà delle 90 zero-day è stata attribuita a specifici attori di minaccia, ma i gruppi principali delineano un quadro chiaro:
⚠️ Principali Sfruttatori di Zero-Day nel 2025
1. Fornitori commerciali di spyware — NSO Group, Intellexa e nuovi operatori continuano a dominare lo sfruttamento delle zero-day, rappresentando circa il 30% delle zero-day attribuite.
2. Gruppi APT legati alla Cina — Molteplici gruppi statali cinesi (Salt Typhoon, Volt Typhoon, APT41) hanno sfruttato zero-day focalizzate sulle aziende, prendendo di mira apparati di rete e piattaforme cloud.
3. Gruppi legati alla Russia — Focalizzati principalmente su obiettivi ucraini ed europei utilizzando zero-day nei prodotti Microsoft.
4. Corea del Nord — Sempre più sofisticati, prendono di mira piattaforme di criptovalute e strumenti per sviluppatori.
Perché i Prodotti Aziendali Sono Ora il Bersaglio Principale
Diversi fattori spiegano lo spostamento verso gli obiettivi aziendali:
- ROI più alto per exploit — Una singola vulnerabilità in un'appliance VPN fornisce accesso a intere reti aziendali
- Visibilità EDR limitata — Molti apparati aziendali non dispongono di agenti di rilevamento e risposta degli endpoint
- Cicli di patching lenti — I prodotti aziendali spesso richiedono settimane o mesi per il deployment delle patch
- Presupposti di fiducia — I prodotti di sicurezza stessi sono implicitamente fidati, rendendo lo sfruttamento devastante
- Leva sulla supply chain — Compromettere un singolo fornitore aziendale può fornire accesso a migliaia di clienti a valle
🏥 Violazione Sanitaria TriZetto: 3,4 Milioni di Pazienti Esposti
⚠️ Massiccia Esposizione di Dati Sanitari
TriZetto Provider Solutions (una sussidiaria di Cognizant) ha divulgato una violazione dei dati che ha colpito 3.433.965 individui. Gli aggressori hanno avuto accesso non autorizzato per quasi un anno — da novembre 2024 a ottobre 2025.
Cronologia della Violazione
| Data | Evento |
|---|---|
| 19 novembre 2024 | Inizio dell'accesso non autorizzato |
| 2 ottobre 2025 | Rilevata attività sospetta |
| 9 dicembre 2025 | Fornitori interessati notificati |
| Febbraio 2026 | Inizio notifiche ai clienti |
| 6 marzo 2026 | Deposito presso il Maine AG conferma 3,4M di persone coinvolte |
Tipi di Dati Esposti
- Identificativi personali — Nomi completi, indirizzi, date di nascita, numeri di previdenza sociale
- Cartelle sanitarie — ID beneficiari Medicare, numeri di tessera assicurativa, nomi dei fornitori
- Dati assicurativi — Nomi degli assicuratori sanitari, record di verifica dell'idoneità
- Dati demografici — Informazioni demografiche e sanitarie aggiuntive
Il tempo di permanenza di 317 giorni (dall'accesso iniziale al rilevamento) è particolarmente allarmante e sottolinea la necessità di monitoraggio continuo e rilevamento automatico delle minacce. Cognizant era già stata sotto esame dopo l'incidente ransomware Maze del 2020 e una violazione legata a Scattered Spider attraverso il suo help desk.
🦠 VOID#GEIST: Campagna Malware Fileless Multi-Stadio
⚠️ Catena d'Attacco Fileless Avanzata
I ricercatori di Securonix hanno documentato VOID#GEIST, una sofisticata campagna malware multi-stadio che distribuisce XWorm, AsyncRAT e Xeno RAT attraverso tecniche di esecuzione fileless.
Analisi della Catena d'Attacco
- Accesso iniziale — Script batch scaricato dal dominio TryCloudflare tramite email di phishing
- Esca visiva — Chrome apre un falso PDF finanziario a schermo intero come distrazione visiva
- Esecuzione nascosta — PowerShell riesegue lo script batch con
-WindowStyle Hidden - Persistenza — Posizionamento nella directory di avvio (nessuna modifica al registro, nessuna escalation di privilegi)
- Scaricamento del payload — Archivi ZIP scaricati contenenti shellcode crittografato e un loader Python
- Esecuzione in memoria — Il runtime Python decripta e inietta lo shellcode tramite Early Bird APC injection in
explorer.exe
💡 Perché È Importante
La campagna VOID#GEIST rappresenta un più ampio spostamento dell'industria dagli eseguibili autonomi verso framework di distribuzione modulari e basati su script. Ogni stadio appare innocuo se isolato, imitando attività amministrative legittime. L'uso di un runtime Python legittimo incorporato da python.org elimina le dipendenze ed elude le allowlist delle applicazioni.
Payload Distribuiti
| RAT | Capacità | File Crittografato |
|---|---|---|
| XWorm | Accesso remoto completo, keylogging, cattura schermo, persistenza | new.bin |
| AsyncRAT | Comunicazione C2 asincrona, estensibilità tramite plugin, furto credenziali | pul.bin |
| Xeno RAT | RAT open-source con HVNC, accesso a microfono/webcam | xn.bin |
🌐 Cisco SD-WAN e Rockwell ICS: Altri Exploit Attivi
Cisco Catalyst SD-WAN
Cisco ha confermato che due vulnerabilità di Catalyst SD-WAN recentemente corrette — CVE-2026-20128 e CVE-2026-20122 — sono ora attivamente sfruttate in natura. Le organizzazioni con configurazioni SD-WAN interessate dovrebbero applicare le patch immediatamente o implementare le soluzioni alternative raccomandate.
Vulnerabilità ICS Rockwell Automation
Una vulnerabilità di Rockwell Automation originariamente divulgata e mitigata nel 2021 è stata confermata come attivamente sfruttata in attacchi mirati ai sistemi di controllo industriale. Questo evidenzia una sfida persistente negli ambienti OT/ICS: anche quando le patch esistono, spesso non vengono applicate a causa di vincoli operativi e preoccupazioni per i tempi di inattività.
⚠️ Rischio ICS/OT
Se la vostra organizzazione utilizza controllori logici programmabili (PLC) Rockwell, verificate immediatamente lo stato delle patch. Lo sfruttamento remoto dei sistemi ICS può portare alla manipolazione dei processi fisici, al bypass dei sistemi di sicurezza e all'interruzione operativa.
🔒 Forum LeakBase Chiuso — 142.000 Utenti
In uno sviluppo positivo, il forum di cybercrimine LeakBase è stato chiuso dalle forze dell'ordine, con sospetti arrestati. Il marketplace di credenziali rubate era attivo dal 2021 e ospitava 142.000 utenti registrati che commerciavano credenziali compromesse, dati personali e database di violazioni.
Sebbene le chiusure forniscano un'interruzione temporanea, la storia dimostra che gli utenti sfollati tipicamente migrano verso forum alternativi nel giro di settimane. Le organizzazioni dovrebbero sfruttare questa finestra per:
- Verificare se le loro credenziali compaiono nei database di violazioni noti
- Forzare il reset delle password per qualsiasi account compromesso
- Abilitare l'MFA su tutti i sistemi critici
🛡️ Azioni Raccomandate
Per i Team di Sicurezza Aziendale
- Dare priorità al patching dei prodotti aziendali — Appliance VPN, firewall e prodotti di sicurezza sono ora i principali bersagli zero-day
- Implementare la scansione automatica continua — Le valutazioni manuali delle vulnerabilità non riescono a tenere il passo con oltre 90 zero-day all'anno
- Monitorare i pattern di esecuzione fileless — Cercare finestre PowerShell nascoste, download di runtime Python e firme di iniezione APC
- Ridurre il tempo di permanenza — Il tempo di permanenza di 317 giorni della violazione TriZetto mostra il costo del rilevamento ritardato
- Aggiornare i sistemi ICS/OT — Vecchie vulnerabilità nei sistemi Rockwell e simili vengono attivamente sfruttate anni dopo la divulgazione
Per le Organizzazioni Sanitarie
- Verificare la sicurezza dei portali web — La violazione di TriZetto è avvenuta attraverso un portale web che gestiva dati di idoneità assicurativa
- Implementare la segmentazione della rete — Limitare il raggio d'azione di qualsiasi singola compromissione
- Implementare analisi comportamentale — Rilevare pattern di accesso non autorizzato, specialmente per database contenenti PHI
- Verificare la sicurezza dei fornitori terzi — La postura di sicurezza del vostro fornitore è la vostra postura di sicurezza