剣 KENSAI
← All posts · security · 2026-03-07 · 8 min

Rapporto Google Zero-Day 2025: 90 Vulnerabilità Sfruttate, Attacchi alle Aziende in Aumento

L'analisi annuale sulle zero-day del Google Threat Intelligence Group rivela 90 vulnerabilità sfruttate in natura durante il 2025 — con quasi la metà mirate a prodotti di sicurezza aziendale, apparati di rete e infrastrutture cloud. I fornitori di spyware e gli APT cinesi dominano l'attribuzione. Nel frattempo, una violazione sanitaria che ha colpito 3,4 milioni di pazienti e nuove campagne di malware fileless dimostrano perché la scansione continua delle vulnerabilità non è più opzionale.


📊 Panorama Zero-Day 2025 di Google: Numeri Chiave

💡 Monitoraggio Annuale Zero-Day del GTIG

Il Google Threat Intelligence Group (GTIG) monitora le vulnerabilità zero-day sfruttate in natura ogni anno. Il rapporto 2025 segna uno degli anni più alti mai registrati, con 90 zero-day confermati come sfruttati — in aumento rispetto ai 73 del 2024 e vicino al picco di 97 del 2021.

La Svolta verso le Aziende

Il dato più significativo: circa 45 delle 90 zero-day (50%) hanno preso di mira direttamente prodotti aziendali piuttosto che endpoint consumer. Questo rappresenta un cambiamento drastico rispetto agli anni precedenti, quando browser e sistemi operativi mobili dominavano il panorama dello sfruttamento zero-day.

Categoria Zero-Day (2025) Percentuale Tendenza vs 2024
Prodotti di Sicurezza Aziendale ~20 22% 🔺 In forte aumento
Apparati di Rete/VPN ~15 17% 🔺 In aumento
Piattaforme Cloud/SaaS ~10 11% 🔺 In aumento
OS Mobile (iOS/Android) ~18 20% 🔻 In calo
Browser ~12 13% 🔻 In calo
OS Desktop ~15 17% ➡️ Stabile

Attribuzione: Chi Sfrutta le Zero-Day?

Meno della metà delle 90 zero-day è stata attribuita a specifici attori di minaccia, ma i gruppi principali delineano un quadro chiaro:

⚠️ Principali Sfruttatori di Zero-Day nel 2025

1. Fornitori commerciali di spyware — NSO Group, Intellexa e nuovi operatori continuano a dominare lo sfruttamento delle zero-day, rappresentando circa il 30% delle zero-day attribuite.
2. Gruppi APT legati alla Cina — Molteplici gruppi statali cinesi (Salt Typhoon, Volt Typhoon, APT41) hanno sfruttato zero-day focalizzate sulle aziende, prendendo di mira apparati di rete e piattaforme cloud.
3. Gruppi legati alla Russia — Focalizzati principalmente su obiettivi ucraini ed europei utilizzando zero-day nei prodotti Microsoft.
4. Corea del Nord — Sempre più sofisticati, prendono di mira piattaforme di criptovalute e strumenti per sviluppatori.

Perché i Prodotti Aziendali Sono Ora il Bersaglio Principale

Diversi fattori spiegano lo spostamento verso gli obiettivi aziendali:


🏥 Violazione Sanitaria TriZetto: 3,4 Milioni di Pazienti Esposti

⚠️ Massiccia Esposizione di Dati Sanitari

TriZetto Provider Solutions (una sussidiaria di Cognizant) ha divulgato una violazione dei dati che ha colpito 3.433.965 individui. Gli aggressori hanno avuto accesso non autorizzato per quasi un anno — da novembre 2024 a ottobre 2025.

Cronologia della Violazione

Data Evento
19 novembre 2024 Inizio dell'accesso non autorizzato
2 ottobre 2025 Rilevata attività sospetta
9 dicembre 2025 Fornitori interessati notificati
Febbraio 2026 Inizio notifiche ai clienti
6 marzo 2026 Deposito presso il Maine AG conferma 3,4M di persone coinvolte

Tipi di Dati Esposti

Il tempo di permanenza di 317 giorni (dall'accesso iniziale al rilevamento) è particolarmente allarmante e sottolinea la necessità di monitoraggio continuo e rilevamento automatico delle minacce. Cognizant era già stata sotto esame dopo l'incidente ransomware Maze del 2020 e una violazione legata a Scattered Spider attraverso il suo help desk.


🦠 VOID#GEIST: Campagna Malware Fileless Multi-Stadio

⚠️ Catena d'Attacco Fileless Avanzata

I ricercatori di Securonix hanno documentato VOID#GEIST, una sofisticata campagna malware multi-stadio che distribuisce XWorm, AsyncRAT e Xeno RAT attraverso tecniche di esecuzione fileless.

Analisi della Catena d'Attacco

  1. Accesso iniziale — Script batch scaricato dal dominio TryCloudflare tramite email di phishing
  2. Esca visiva — Chrome apre un falso PDF finanziario a schermo intero come distrazione visiva
  3. Esecuzione nascosta — PowerShell riesegue lo script batch con -WindowStyle Hidden
  4. Persistenza — Posizionamento nella directory di avvio (nessuna modifica al registro, nessuna escalation di privilegi)
  5. Scaricamento del payload — Archivi ZIP scaricati contenenti shellcode crittografato e un loader Python
  6. Esecuzione in memoria — Il runtime Python decripta e inietta lo shellcode tramite Early Bird APC injection in explorer.exe

💡 Perché È Importante

La campagna VOID#GEIST rappresenta un più ampio spostamento dell'industria dagli eseguibili autonomi verso framework di distribuzione modulari e basati su script. Ogni stadio appare innocuo se isolato, imitando attività amministrative legittime. L'uso di un runtime Python legittimo incorporato da python.org elimina le dipendenze ed elude le allowlist delle applicazioni.

Payload Distribuiti

RAT Capacità File Crittografato
XWorm Accesso remoto completo, keylogging, cattura schermo, persistenza new.bin
AsyncRAT Comunicazione C2 asincrona, estensibilità tramite plugin, furto credenziali pul.bin
Xeno RAT RAT open-source con HVNC, accesso a microfono/webcam xn.bin

🌐 Cisco SD-WAN e Rockwell ICS: Altri Exploit Attivi

Cisco Catalyst SD-WAN

Cisco ha confermato che due vulnerabilità di Catalyst SD-WAN recentemente corrette — CVE-2026-20128 e CVE-2026-20122 — sono ora attivamente sfruttate in natura. Le organizzazioni con configurazioni SD-WAN interessate dovrebbero applicare le patch immediatamente o implementare le soluzioni alternative raccomandate.

Vulnerabilità ICS Rockwell Automation

Una vulnerabilità di Rockwell Automation originariamente divulgata e mitigata nel 2021 è stata confermata come attivamente sfruttata in attacchi mirati ai sistemi di controllo industriale. Questo evidenzia una sfida persistente negli ambienti OT/ICS: anche quando le patch esistono, spesso non vengono applicate a causa di vincoli operativi e preoccupazioni per i tempi di inattività.

⚠️ Rischio ICS/OT

Se la vostra organizzazione utilizza controllori logici programmabili (PLC) Rockwell, verificate immediatamente lo stato delle patch. Lo sfruttamento remoto dei sistemi ICS può portare alla manipolazione dei processi fisici, al bypass dei sistemi di sicurezza e all'interruzione operativa.


🔒 Forum LeakBase Chiuso — 142.000 Utenti

In uno sviluppo positivo, il forum di cybercrimine LeakBase è stato chiuso dalle forze dell'ordine, con sospetti arrestati. Il marketplace di credenziali rubate era attivo dal 2021 e ospitava 142.000 utenti registrati che commerciavano credenziali compromesse, dati personali e database di violazioni.

Sebbene le chiusure forniscano un'interruzione temporanea, la storia dimostra che gli utenti sfollati tipicamente migrano verso forum alternativi nel giro di settimane. Le organizzazioni dovrebbero sfruttare questa finestra per:


🛡️ Azioni Raccomandate

Per i Team di Sicurezza Aziendale

  1. Dare priorità al patching dei prodotti aziendali — Appliance VPN, firewall e prodotti di sicurezza sono ora i principali bersagli zero-day
  2. Implementare la scansione automatica continua — Le valutazioni manuali delle vulnerabilità non riescono a tenere il passo con oltre 90 zero-day all'anno
  3. Monitorare i pattern di esecuzione fileless — Cercare finestre PowerShell nascoste, download di runtime Python e firme di iniezione APC
  4. Ridurre il tempo di permanenza — Il tempo di permanenza di 317 giorni della violazione TriZetto mostra il costo del rilevamento ritardato
  5. Aggiornare i sistemi ICS/OT — Vecchie vulnerabilità nei sistemi Rockwell e simili vengono attivamente sfruttate anni dopo la divulgazione

Per le Organizzazioni Sanitarie

  1. Verificare la sicurezza dei portali web — La violazione di TriZetto è avvenuta attraverso un portale web che gestiva dati di idoneità assicurativa
  2. Implementare la segmentazione della rete — Limitare il raggio d'azione di qualsiasi singola compromissione
  3. Implementare analisi comportamentale — Rilevare pattern di accesso non autorizzato, specialmente per database contenenti PHI
  4. Verificare la sicurezza dei fornitori terzi — La postura di sicurezza del vostro fornitore è la vostra postura di sicurezza