Il panorama delle minacce informatiche ha raggiunto nel 2025 un livello di accelerazione senza precedenti. È quanto emerge da Cisco Talos 2025 Year in Review, che fotografa un ecosistema in cui i criminali informatici sfruttano le vulnerabilità in tempi ridottissimi — spesso nell’arco di minuti dalla divulgazione pubblica — mentre gli attacchi contro i sistemi di autenticazione multifattoriale crescono del 178% e il ransomware si consolida come minaccia strutturale. Il report si basa sulla telemetria di sicurezza su larga scala raccolta attraverso gli ambienti endpoint, rete e email di Cisco, e sulle indagini condotte dal team di incident response Cisco Talos IR nel corso dell’anno.

Vulnerabilità, la partita si gioca sulla velocità 

E’ la velocità con cui gli attaccanti trasformano le vulnerabilità in armi operative il primo rilievo. React2Shell, una falla nei React Server Components, si è affermata come la vulnerabilità più sfruttata dell’anno nonostante sia stata resa nota soltanto a dicembre — a dimostrazione di una capacità di “weaponizzazione” quasi istantanea, alimentata da tool automatizzati e dalla diffusa esposizione dei sistemi su Internet. Altrettanto rapida è stata l’ascesa delle vulnerabilità ToolShell in Microsoft SharePoint, divulgate a metà 2025 e immediatamente entrate nella top cinque delle Cve (Common Vulnerabilities and Exposures) più sfruttate, diventando bersaglio di gang ransomware, botnet e attori legati a Stati nazionali.

La top ten delle vulnerabilità nel mirino del cybercrime nel 2025
La top ten delle vulnerabilità nel mirino del cybercrime nel 2025 (fonte: Cisco Talos 2025 Year in Review)

A questa velocità di sfruttamento delle falle nuove si affianca la persistenza di quelle vecchie. Log4j, a distanza di quattro anni dalla divulgazione, resta tra le dieci vulnerabilità più sfruttate, profondamente radicata in applicazioni enterprise, integrazioni di terze parti e sistemi legacy. L’analisi delle 100 Cve più prese di mira rivela che il 40% riguarda dispositivi a fine vita, il 32% ha almeno un decennio e l’80% consente l’esecuzione di codice da remoto. Vulnerabilità in framework e librerie ampiamente utilizzati — come PhpUnit (2017) e Adobe ColdFusion (2013) — restano nelle prime posizioni perché questi componenti finiscono sepolti all’interno delle applicazioni, fuori dai normali cicli di patch e dagli inventari degli asset.
Il report evidenzia inoltre un cambio di bersaglio nell’infrastruttura di rete: gli attaccanti nel 2025 hanno privilegiato i punti di controllo dell’identità — Vpn, Application Delivery Controller, piattaforme di gestione di rete e firewall di nuova generazione — rispetto ai singoli dispositivi. Compromettere questi sistemi consente di bypassare l’Mfa, sottrarre token di sessione e orchestrare movimenti laterali da un unico punto di controllo.

Autenticazione multifattoriale sotto assedio

L’autenticazione multifattore, considerata fino a poco tempo fa una delle difese più efficaci, è diventata essa stessa un bersaglio primario. Gli attacchi spray contro i flussi di login delle piattaforme di accesso centralizzato sono cresciuti, con il 30% diretto contro applicazioni di identity and access management — sei punti percentuali in più rispetto al 2024. Ma il dato più allarmante riguarda gli attacchi di device compromise, in cui gli attaccanti registrano fraudolentemente un proprio dispositivo come fattore Mfa attendibile: i casi segnalati dagli utenti come frode sono aumentati del 178%.

Tipologia di applicazioni nel mirino nel caso di attacchi ai sistemi Mfa
Tipologia di applicazioni nel mirino nel caso di attacchi ai sistemi Mfa (fonte: Cisco Talos 2025 Year in Review)

Il 77% di questi attacchi ha sfruttato il flusso di registrazione gestito dagli amministratori, con gli attaccanti che hanno ingannato il personale IT — soprattutto attraverso voice phishing — per farsi registrare un dispositivo. Una frequenza tre volte superiore rispetto alle frodi attraverso la registrazione self-service degli utenti. I pattern variano per settore: il comparto tecnologico è il più colpito dagli attacchi spray (36%) a causa dell’infrastruttura Iam standardizzata, mentre l’istruzione superiore domina le compromissioni di dispositivo per via degli ambienti eterogenei e non gestiti. Il manifatturiero risulta esposto a entrambe le tipologie, con forza lavoro basata su turni prevedibili e ecosistemi di dispositivi condivisi.

Ransomware, il manifatturiero paga il prezzo più alto

Il ransomware si conferma tra le minacce più pervasive, con il settore manifatturiero che resta il più colpito per la bassa tolleranza ai fermi operativi, gli ambienti ibridi IT/OT che ampliano la superficie d’attacco, budget di sicurezza inferiori rispetto ad altri settori e la dipendenza da sistemi legacy. Il gruppo Qilin si è affermato come il più attivo dell’anno con il 17% dei post sui data leak site, superando Akira (10%) e Play (6%), che hanno comunque dimostrato una longevità rara nel panorama ransomware mantenendo la loro presenza nella top cinque per il secondo anno consecutivo. Il successo di Qilin è attribuibile a diversi fattori: percentuali di pagamento agli affiliati fino all’80-85%, capacità multi-piattaforma grazie all’uso di Golang e Rust, e servizi unici come assistenza legale, negoziazione automatizzata e supporto DDoS.

Le industry target degli attacchi ransomware negli anni
Le industry target degli attacchi ransomware negli anni (fonte: Cisco Talos 2025 Year in Review)

Il crollo di LockBit — dalla prima alla trentacinquesima posizione — riflette l’impatto dell’operazione Cronos del 2024. Il report segnala anche un calo stagionale costante dell’attività ransomware a gennaio, probabilmente legato alle festività ortodosse in Europa orientale, che potrebbe rappresentare una finestra utile per i team di sicurezza per testare le difese prima della ripresa primaverile. L’identità resta il filo conduttore: phishing e account validi dominano come metodi di accesso iniziale, mentre Rdp, PsExec e PowerShell — strumenti che richiedono credenziali utente — sono i tre tool più utilizzati nelle indagini di Talos IR.

Email, il phishing parla il linguaggio dell’ufficio

Le minacce via email hanno subito un’evoluzione qualitativa. Il phishing è il vettore di accesso iniziale nel 40% dei casi gestiti da Talos IR e il 35% di questi ha incluso phishing interno post-compromissione, con gli attaccanti che utilizzano account compromessi per estendere l’attacco. Le esche si spostano dallo spam generico e oggi sono i workflow aziendali quotidiani: fatture, richieste di approvazione, itinerari di viaggio e avvisi IT. I temi politici, dominanti nel 2024, sono scomparsi, sostituiti da terminologia tecnica come “configuration”, “troubleshoot”, “server” e “token”.

Il report dedica particolare attenzione all’abuso della funzionalità Direct Send di Microsoft 365, che ha consentito agli attaccanti di inviare email che sembravano provenire da indirizzi interni senza compromettere alcun account, bypassando i controlli Spf e Dkim. Le esche di queste campagne erano particolarmente mirate: dettagli sugli stipendi, timeline di bonus, trascrizioni di messaggi vocali — contenuti pensati per colpire dirigenti e figure apicali.

L’analisi geopolitica

Sul fronte geopolitico, le indagini di Talos su campagne legate alla Cina sono aumentate del 74%, con gruppi che hanno sfruttato sia vulnerabilità zero-day sia falle note per operazioni di spionaggio su scala globale. L’analisi delle prime ondate di sfruttamento di ToolShell ha rivelato Ttp coerenti con attori cinesi, concentrati su governi locali e federali statunitensi e ministeri degli esteri. La Russia ha continuato a sfruttare vulnerabilità datate nei dispositivi di rete, con attività cyber strettamente correlata all’imposizione di sanzioni da parte di Usa e UE — con un aumento quadruplo in corrispondenza del picco sanzionatorio di maggio.

La Corea del Nord ha realizzato il più grande furto di criptovalute mai registrato — 1,5 miliardi di dollari in Ethereum dall’exchange Bybit — e ha continuato a piazzare lavoratori IT fittizi all’interno di aziende Fortune 500 attraverso identità generate con l’AI. L’Iran ha intensificato sia lo spionaggio contro i provider di telecomunicazioni sia l’hacktivism, con un’attività dei gruppi hacktivisti filo-iraniani in aumento del 60% e impennate in corrispondenza delle escalation nel conflitto tra Israele e Hamas.

L’AI moltiplicatore di capacità per il cybercrime

L’intelligenza artificiale si conferma moltiplicatore di capacità per gli attaccanti, abbassando la barriera d’ingresso per il social engineering e potenziando le operazioni degli attori più avanzati attraverso deepfake e identità sintetiche. Ma il report guarda già oltre il 2025: l’integrazione dell’AI agentica nei dispositivi mobili ha portato alla comparsa del primo malware abilitato dall’AI, capace di valutare il contenuto dello schermo e determinare le azioni successive. Framework come VoidLink dimostrano come lo sviluppo stia accelerando al punto che compiti che richiedevano mesi possono essere completati in giorni. In prospettiva, agenti autonomi potrebbero essere impiegati per movimenti laterali, raccolta dati ed esfiltrazione, consentendo agli attaccanti di scalare le operazioni delegando le attività ripetitive all’AI.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE