Prima di procedere
Il Google Threat Intelligence Group (GTIG) ha rilevato un preoccupante aumento nell'utilizzo di vulnerabilità zero-day nel corso del 2025. Ben 90 vulnerabilità attivamente sfruttate sono state individuate, con una particolare concentrazione (quasi la metà) nel software e nei dispositivi aziendali. Questo dato rappresenta un incremento del 15% rispetto alle 78 vulnerabilità zero-day utilizzate nel 2024, sebbene rimanga inferiore al picco di 100 registrato nel 2023.
Le vulnerabilità zero-day rappresentano falle di sicurezza nei software che vengono sfruttate dagli attaccanti prima che il fornitore ne sia a conoscenza e rilasci una correzione. La loro pericolosità risiede nel fatto che offrono agli hacker un vantaggio significativo, permettendo loro di accedere ai sistemi, bypassare l'autorizzazione, eseguire codice da remoto o aumentare i privilegi senza che vi siano difese immediate.
Secondo il rapporto del GTIG, delle 90 vulnerabilità zero-day sfruttate nel 2025, 47 hanno preso di mira le piattaforme degli utenti finali, mentre 43 hanno colpito i prodotti aziendali. I sistemi aziendali, inclusi dispositivi di sicurezza, infrastrutture di rete, VPN e piattaforme di virtualizzazione, sono risultati particolarmente vulnerabili. Microsoft è stata la preda principale, con 25 attacchi basati su vulnerabilità zero-day, seguita da Google (11), Apple (8), Cisco e Fortinet (4), e infine Ivanti e VMware (3).
Il rapporto di Google evidenzia che i problemi di sicurezza della memoria hanno rappresentato il 35% di tutte le vulnerabilità zero-day sfruttate nell'anno. Le falle nei sistemi operativi sono state la categoria più sfruttata, con 24 vulnerabilità zero-day utilizzate negli attacchi a sistemi operativi desktop e 15 a piattaforme mobili.
Un dato interessante è la diminuzione degli exploit zero-day nei browser web, scesi a otto, un calo significativo rispetto agli anni precedenti. Questo potrebbe essere attribuito al miglioramento della sicurezza in questa categoria di software, ma non si può escludere che gli attaccanti stiano adottando tecniche più sofisticate per eludere le difese e nascondere le proprie attività dannose. Si pensi, per esempio, all'utilizzo di tecniche di offuscamento del codice sempre più avanzate o allo sfruttamento di vulnerabilità lato server per compromettere i browser in modo indiretto.
Per la prima volta da quando Google ha iniziato a monitorare lo sfruttamento delle vulnerabilità zero-day, i fornitori commerciali di spyware sono diventati i principali utilizzatori di queste vulnerabilità non documentate, superando i gruppi di spionaggio governativi. Tuttavia, è possibile che anche questi ultimi stiano affinando le proprie tecniche di occultamento. "Questo riflette una tendenza che abbiamo osservato negli ultimi anni: una quota crescente dello sfruttamento di vulnerabilità zero-day è effettuata da fornitori di spyware e/o dai loro clienti, il che dimostra un lento ma inesorabile spostamento in questo ambito", si legge nel rapporto GTIG.
Tra gli attori statali, i gruppi di spionaggio legati alla Cina rimangono i più attivi, avendo sfruttato 10 vulnerabilità zero-day nel 2025. Gli attacchi erano principalmente rivolti a dispositivi perimetrali, dispositivi di sicurezza e apparecchiature di rete, con l'obiettivo di mantenere un accesso a lungo termine. Questa persistenza è spesso utilizzata per raccogliere informazioni sensibili, condurre attività di spionaggio industriale o preparare il terreno per futuri attacchi più ampi.
Un'altra tendenza degna di nota è l'aumento dei casi di sfruttamento di vulnerabilità zero-day da parte di soggetti con motivazioni finanziarie, come operatori di ransomware ed estorsioni di dati, responsabili di nove di queste vulnerabilità. La crescente sofisticazione degli attacchi ransomware, unita alla minaccia di divulgazione di dati sensibili, rende queste attività particolarmente dannose per le aziende colpite.
Il GTIG prevede che l'utilizzo di strumenti di Intelligenza Artificiale (IA) contribuirà ad automatizzare l'individuazione delle vulnerabilità e ad accelerare lo sviluppo di exploit, il che potrebbe mantenere elevato il livello di sfruttamento delle vulnerabilità zero-day nel 2026. Per rilevare e contrastare lo sfruttamento di queste vulnerabilità, Google raccomanda di ridurre la superficie di attacco e i privilegi degli utenti, monitorare costantemente i comportamenti anomali dei sistemi e mantenere processi rapidi di aggiornamento e risposta agli incidenti. Un approccio proattivo alla sicurezza, che includa test di penetrazione regolari e una cultura aziendale orientata alla sicurezza informatica, è fondamentale per mitigare i rischi associati alle vulnerabilità zero-day.
