Netcrook Logo
👤 KERNELWATCHER
🗓️ 06 Mar 2026   🌍 Asia

Blitz Zero-Day: come gli hacker del 2025 hanno superato i difensori e cambiato le regole del cybercrimine

Un’ondata da record di attacchi furtivi ha colpito obiettivi enterprise e mobile, imponendo una resa dei conti alla cybersecurity.

Quando l’anno scorso gli allarmi hanno iniziato a suonare nei security operations center di tutto il mondo, in pochi hanno capito quanto a fondo gli hacker si fossero insinuati nel tessuto digitale del 2025. Il Threat Intelligence Group (GTIG) di Google ha ora sollevato il velo: 90 vulnerabilità zero-day sono state trasformate in armi da cybercriminali e spie, prendendo di mira non solo i browser ma la stessa infrastruttura che sostiene la vita moderna, professionale e personale. Il panorama delle minacce sta cambiando - e i difensori faticano a tenere il passo.

Dai browser alla spina dorsale: un cambio strategico

Nel sottobosco del cybercrimine, adattarsi significa sopravvivere. Se negli anni passati gli hacker correvano per sfruttare le sandbox dei browser, il 2025 ha segnato una svolta netta: quasi la metà di tutti gli zero-day sfruttati ha preso di mira sistemi enterprise, dispositivi edge e piattaforme mobile. I nuovi preferiti? Appliance di sicurezza, host di virtualizzazione e apparati di rete - dispositivi che spesso non dispongono di un monitoraggio endpoint robusto, diventando punti d’ingresso silenziosi in vaste reti aziendali.

Il report del GTIG rivela che gli attaccanti - dai gruppi cinesi sostenuti dallo Stato agli affiliati ransomware a caccia di profitto - stanno sfruttando vulnerabilità in profondità nello stack. Famigerate squadre di spionaggio come UNC3886 e UNC5221 hanno sfruttato falle nei router Juniper (CVE-2025-21590) e nelle VPN Ivanti (CVE-2025-0282) per sottrarre dati sensibili. Nel frattempo, bande motivate dal guadagno come FIN11 e CL0P hanno concatenato exploit in Oracle E-Business Suite (CVE-2025-61882) e WinRAR (CVE-2025-8088) per installare trojan ed estorcere le aziende.

Ascesa del mercato commerciale dello spyware

Per la prima volta, i fornitori privati di sorveglianza hanno superato gli Stati nella corsa agli armamenti zero-day. Queste aziende hanno progettato bypass delle protezioni dei sistemi operativi mobile, scatenando un record di 15 incidenti zero-day su mobile. Un attacco particolarmente significativo ha usato file immagine inviati via WhatsApp per sfruttare una falla in una libreria Samsung (CVE-2025-21042), concedendo agli attaccanti accesso completo ai file multimediali del dispositivo - senza alcuna azione da parte dell’utente.

Attacchi a strati, meno difese

Gli attaccanti hanno concatenato exploit multi-fase, combinando bypass dell’autenticazione, bug di deserializzazione ed escalation di privilegi. I dispositivi edge, spesso trascurati nei cicli di patching, sono diventati terreno ideale per compromissioni di lungo periodo. L’assenza di tradizionali sistemi di endpoint detection su questi apparati ha permesso alle intrusioni di persistere per mesi, senza essere rilevate.

Il GTIG avverte che l’intelligenza artificiale sta iniziando a potenziare sia la scoperta di vulnerabilità sia lo sviluppo di exploit, restringendo ulteriormente la finestra di reazione per i difensori.

Cosa ci aspetta: sopravvivere nell’era delle minacce accelerate

Il messaggio degli analisti di Google è chiaro: la sicurezza reattiva è una strategia perdente. Le aziende devono adottare una difesa in profondità, segmentare le reti, imporre controlli rigorosi sui driver e mantenere un chiaro Software Bill of Materials per restare avanti. Per i singoli, aggiornamenti tempestivi, modalità di protezione avanzate e persino riavvii regolari dei dispositivi sono ormai difese di prima linea.

Con il 2026 alle porte, il panorama del cybercrimine è più volatile che mai. L’unica certezza: gli attaccanti stanno evolvendo - e dobbiamo farlo anche noi.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
  • Dispositivo edge: Un dispositivo edge è un hardware, come un router o un firewall, che collega le reti private a Internet e funge da barriera di sicurezza fondamentale.
  • Bug di deserializzazione: Un bug di deserializzazione è una falla software in cui una gestione impropria dei dati consente agli attaccanti di iniettare ed eseguire codice dannoso durante la ricostruzione dei dati.
  • Escalation di privilegi: L’escalation di privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
  • Software Bill of Materials (SBOM): Un Software Bill of Materials (SBOM) è un elenco dettagliato di tutto il codice e i componenti presenti in un prodotto software, utile a garantire trasparenza e sicurezza.
Zero-Day Vulnerabilities Cybersecurity Reckoning Commercial Spyware
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news