Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Adam Meyers, SVP Counter Adversarydi Crowdstrike, ha presentato in anteprima il GTR 2026 ad un insieme di addetti ai lavori tra i quali anche noi di Red Hot Cyber.
Nel 2025 il panorama delle minacce informatiche non è cambiato per l’emergere di una tecnologia rivoluzionaria o di un malware particolarmente sofisticato. È cambiato perché gli attaccanti hanno compreso qualcosa di molto più potente: il vero perimetro non è più la rete, ma la fiducia.
Fiducia nei partner della supply chain. Fiducia nei sistemi cloud. Fiducia nelle identità digitali. Fiducia nei processi di aggiornamento software. Fiducia nei workflow SaaS. E, sempre più spesso, fiducia negli strumenti di intelligenza artificiale.
Il quadro che emerge dal Global Threat Report di Crowdstrike racconta un anno in cui gli avversari hanno perfezionato la loro capacità di muoversi silenziosamente tra domini tecnologici differenti, comprimendo drasticamente i tempi operativi e sfruttando ogni punto cieco organizzativo. Non è stata l’epoca del malware appariscente, di effetto… È stata l’epoca di quello invisibile.
Il dato che più colpisce è la riduzione del breakout time medio: 29 minuti tra l’accesso iniziale e il movimento laterale. Nel 2024 servivano ancora 48 minuti. Nel 2025 il breakout più rapido osservato è stato di 27 secondi. Questo significa che la finestra utile per intercettare un attaccante prima che comprometta asset critici si è ridotta a un intervallo quasi incompatibile con i processi difensivi frammentati o comunque lenti.
Parallelamente, l’82% delle rilevazioni ha riguardato attività prive di malware tradizionale. È una trasformazione silenziosa ma profonda: Gli attori malevoli non hanno più bisogno di caricare eseguibili sospetti quando possono utilizzare strumenti legittimi, credenziali valide e funzioni amministrative native, poiché l’intrusione moderna è interattiva, manuale, quasi amministrativa. È l’abuso sistematico di ciò che è già consentito.
In questo scenario, l’identità è diventata il nuovo campo di battaglia. Oltre un terzo degli incidenti cloud osservati nel 2025 ha avuto origine dall’abuso di account validi. Non brute force, non exploit complessi, ma autenticazioni perfettamente legittime. Le configurazioni ibride tra ambienti on-premise e cloud, in particolare quelle basate su sistemi di single sign-on, si sono rivelate un punto cardine sfruttabile. La compromissione di un help desk, la manipolazione di un reset password, una policy modificata silenziosamente possono aprire porte che nessun exploit zero-day riuscirebbe a forzare con altrettanta eleganza.
L’evoluzione del ransomware è forse l’esempio più emblematico di questa trasformazione difatti i gruppi più attivi del 2025 hanno dimostrato una crescente avversione per gli endpoint monitorati. Non perché non possano colpirli, ma perché non è più necessario farlo. Invece di distribuire payload su host protetti da EDR, gli attaccanti hanno preferito colpire infrastrutture di virtualizzazione, eseguire cifrature remote via SMB o sfruttare macchine non gestite. In esempi di alcuni casi documentati, l’intero processo di esfiltrazione e preparazione alla cifratura si è svolto interagendo con un singolo endpoint monitorato, mentre il resto dell’operazione si è consumato in ambienti meno visibili. È un ransomware che evita lo scontro diretto con le difese e sceglie scientemente di aggirarle.
Questa logica di evasione si estende alla supply chain, probabilmente il vettore più critico del 2025. L’anno ha visto attacchi in cui la compromissione di un singolo sviluppatore o maintainer ha innescato una catena di infezioni capace di propagarsi attraverso ecosistemi software utilizzati da milioni di utenti. Repository pubblici, pacchetti NPM, dipendenze open source: la fiducia automatica nei meccanismi di aggiornamento è stata trasformata in un moltiplicatore di impatto. In uno dei casi più clamorosi, una compromissione a monte ha consentito la manipolazione di codice JavaScript e smart contract, culminando in un furto di criptovaluta da 1,46 miliardi di dollari. Non si è trattato di un attacco rumoroso, ma di una modifica chirurgica, eseguita e poi ripristinata per ridurre le tracce.
Il fenomeno non si limita agli ecosistemi open source. Anche i processi di aggiornamento di software legittimo sono stati sfruttati per distribuire payload mirati a una percentuale minima ma strategicamente selezionata di vittime. Questa selettività rende l’individuazione ancora più complessa: quando solo lo 0,1% delle installazioni riceve codice malevolo, l’anomalia tende a perdersi nel rumore statistico.
In parallelo, l’intelligenza artificiale ha assunto un ruolo ambiguo ma significativo perché non ha generato una nuova categoria di minacce radicalmente inedite, ma ha funzionato da acceleratore. Gli attori meno sofisticati hanno potuto migliorare la qualità delle campagne di phishing, tradurre contenuti in modo credibile, generare script di post-exploitation, sviluppare varianti di malware con maggiore rapidità. Gli attori più strutturati inoltre hanno sperimentato l’integrazione di modelli linguistici direttamente nei propri strumenti, utilizzandoli per generare comandi di ricognizione o automatizzare porzioni dell’intrusione. In alcuni casi sono stati osservati tentativi di manipolare sistemi difensivi basati su AI tramite tecniche di prompt injection, incorporando contenuti nascosti in email di phishing per confondere i sistemi di triage automatizzato.
L’aspetto più interessante, tuttavia, è che l’IA ha aumentato il volume delle operazioni più che la loro originalità. Gli attacchi condotti da attori che integrano l’IA sono cresciuti dell’89% rispetto all’anno precedente. Non si tratta di macchine autonome che sostituiscono l’operatore umano, ma di operatori umani che lavorano più velocemente e con meno attrito.
Sul fronte geopolitico seguendo l’analisi del report, il 2025 ha confermato la centralità delle operazioni attribuite a gruppi legati alla Cina. L’attività complessiva è cresciuta sensibilmente, con un marcato interesse per telecomunicazioni, logistica, finanza e tecnologia. Ciò che distingue queste campagne non è solo l’ampiezza del targeting, ma la rapidità con cui vengono rese sfruttabili e letali nuove vulnerabilità. In diversi casi, exploit pubblicati o divulgati sono stati integrati in operazioni reali entro pochi giorni dalla disclosure. L’obiettivo non è tanto l’eleganza operativa quanto la velocità: sfruttare la finestra temporale tra pubblicazione e patching.
I dispositivi edge come VPN, firewall, gateway, server di posta, sono diventati il punto di ingresso privilegiato. Spesso meno monitorati, talvolta privi di EDR, esposti per definizione a Internet, offrono un accesso diretto e persistente. In alcune intrusioni è stata documentata una permanenza di quasi due anni prima della scoperta. Questo tipo di compromissione non mira a un impatto immediato, ma ad una presenza silenziosa e prolungata.
L’aumento del 42% nello sfruttamento di vulnerabilità zero-day prima della divulgazione pubblica si inserisce in questo contesto. Gli exploit non sono più appannaggio esclusivo di attori isolati o di campagne sporadiche: sono parte integrante di strategie operative sia per intrusioni mirate sia per gruppi finanziariamente motivati. Alcuni gruppi ransomware hanno dimostrato di utilizzare zero-day in modo sistematico per distinguersi e aumentare la probabilità di successo contro organizzazioni ben protette.
Anche il cloud, ormai colonna portante dell’infrastruttura digitale globale, è stato oggetto di un’attenzione crescente. Le intrusioni “cloud-conscious” sono aumentate significativamente, con un incremento ancora più marcato tra attori statali. Le tecniche includono pagine di phishing adversary-in-the-middle per intercettare token di autenticazione, abuso dei flussi di autenticazione Entra ID, compromissione di account SaaS per ricognizione e raccolta dati. La migrazione costante verso servizi gestiti non ha ridotto la superficie di attacco: l’ha semplicemente spostata.
Nel frattempo, sul piano più “tradizionale” della criminalità informatica, si è osservata una crescita massiccia delle campagne di spam e delle esche basate su falsi CAPTCHA. È un dettaglio che potrebbe sembrare marginale, ma racconta una realtà importante: gli attaccanti continuano a ottimizzare anche i vettori più semplici quando producono risultati. L’ingegneria sociale rimane un pilastro, e la sua industrializzazione è tutt’altro che conclusa.
Guardando al 2026, il quadro non suggerisce una rottura improvvisa ma un consolidamento delle tendenze. L’automazione basata su AI probabilmente diventerà più sofisticata, soprattutto per gli attori dotati di risorse significative. Gli attacchi alla supply chain continueranno a evolvere verso forme più stealth e autoreplicanti. I dispositivi edge resteranno un bersaglio privilegiato finché non diventeranno oggetto di una disciplina di patching e monitoraggio equivalente a quella degli endpoint. Il ransomware continuerà a evitare gli ambienti più monitorati, cercando varchi laterali e infrastrutture meno presidiate.
La lezione più importante del 2025 non riguarda una singola tecnologia, ma un principio. L’avversario moderno non ha bisogno di superare frontalmente le difese quando può sfruttare relazioni di fiducia preesistenti. La sicurezza non può più essere pensata come una serie di controlli isolati, ma come un sistema integrato capace di correlare identità, endpoint, cloud, edge e SaaS in tempo reale.
In un contesto in cui il tempo di breakout si misura in minuti e la maggior parte delle attività malevole utilizza strumenti legittimi, la differenza non la fa soltanto la capacità di rilevare, ma quella di collegare rapidamente segnali deboli e trasformarli in decisioni operative. L’era dell’avversario evasivo è iniziata. E non sarà la potenza di un singolo strumento a determinarne l’esito, ma la capacità delle organizzazioni di ripensare la sicurezza come un ecosistema dinamico, capace di reagire con la stessa fluidità con cui l’attaccante si muove tra i domini della fiducia digitale.
Il 2025 non è stato l’anno del malware sofisticato ma è stato l’anno dell’abuso della fiducia. Nel 2026 vincerà chi riuscirà a ridurre il tempo tra: telemetria, correlazione, decisione, azione.
Il report non dice che il 42% delle vulnerabilità è stato sfruttato prima della disclosure.
Dice che c’è stato un aumento del 42% anno su anno del numero di zero-day sfruttati prima della disclosure.
