Global Threat Report 2025 di CrowdStrike: In crescita la minaccia Cinese e l’utilizzo malevolo delle AI

CrowdStrike (NASDAQ: CRWD) ha pubblicato oggi il “Global Threat Report 2025”, che rivela la crescente aggressività delle operazioni cyber della Cina, un aumento dell’ingegneria sociale basata su GenAI, la ricerca e l’utilizzo delle vulnerabilità da parte di gruppi sponsorizzati dagli Stati, e un netto incremento degli attacchi privi di malware basati sull’identità.

Il report rivela che gli avversari legati alla Cina hanno intensificato del 150% le operazioni cyber sponsorizzate dallo Stato, con attacchi mirati nei settori dei servizi finanziari, dei media, manifatturiero e dell’industria, che hanno registrato un’impennata fino al 300%.

Allo stesso tempo, gli avversari di tutto il mondo si stanno avvalendo di tecniche di inganno e manipolazione generate con l’uso dell’intelligenza artificiale, sfruttando credenziali rubate ed eseguendo sempre più spesso attacchi cross-domain – approfittando delle lacune tra endpoint, cloud e identità – per eludere i controlli di sicurezza e agire inosservati nell’ombra.

Il passaggio a intrusioni prive di malware basate sull’abuso di accessi legittimi, unito a tempi di breakout mai registrati prima, lascia ai difensori pochissimo margine di errore. Per fermare gli attacchi moderni, i team di sicurezza devono eliminare i gap di monitoraggio (punti ciechi nella sicurezza), rilevare i movimenti degli avversari in tempo reale e bloccare gli attacchi prima che si intensifichino, perché una volta che gli avversari riescono ad entrare è già troppo tardi.

Principali risultati emersi nel Global Threat Report di CrowdStrike

La ricerca di CrowdStrike, che ha analizzato più di 250 avversari conosciuti e 140 cluster di attività emergenti, rivela:

• Lo spionaggio informatico cinese diventa sempre più aggressivo: nel 2024 CrowdStrike ha identificato sette nuovi gruppi di avversari legati alla Cina, contribuendo ad un aumento del 150% delle operazioni di spionaggio informatico. I settori più critici hanno registrato un’impennata fino al 300% negli attacchi mirati.
• La GenAI potenzia l’ingegneria sociale: le tecniche di phishing e impersonificazione basate sull’intelligenza artificiale hanno alimentato un aumento del 442% del voice phishing (vishing) tra il primo ed il secondo semestre del 2024. Gruppi di eCrime avanzati come CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno sfruttato l’ingegneria sociale per rubare credenziali, stabilire sessioni remote di supporto help desk ed eludere il rilevamento.
• L’Iran utilizza la GenAI per individuare e sfruttare le vulnerabilità: nel 2024, gli attori legati all’Iran hanno sperimentato in misura crescente la GenAI per la ricerca di vulnerabilità, lo sviluppo di exploit e la gestione delle patch sulle reti nazionali, in linea con le iniziative governative sull’AI.
• Dall’intrusione all’accesso – Boom di attacchi senza l’utilizzo di malware: il 79% degli attacchi per ottenere l’accesso iniziale avviene ormai senza l’uso di malware, mentre gli annunci di access broker sono aumentati del 50% su base annua. Gli avversari sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati attraverso attività dirette di tipo hands-on keyboard.
• Le minacce interne continuano a crescere: l’avversario DPRK-nexus il gruppo  FAMOUS CHOLLIMA, legato alla Corea del Nord (DPKR) è stato responsabile di 304 attacchi scoperti nel 2024. Il 40% di questi incidenti ha riguardato operazioni di minaccia interna, con gli avversari che si sono infiltrati nei sistemi aziendali spacciandosi per dipendenti legittimi al fine di ottenere accesso ai sistemi e condurre attività malevole.
• Tempo di breakout a velocità record: il tempo medio di breakout negli attacchi eCrime è sceso a 48 minuti, con il caso più veloce registrato a 51 secondi, lasciando ai difensori pochissimo tempo per reagire.
• Ambienti cloud sotto assedio: le intrusioni cloud di nuova origine e non attribuite a specifici attaccanti sono aumentate del 26% su base annua. L’abuso di account validi è la principale tecnica di accesso iniziale e rappresenta il 35% degli incidenti cloud nel primo semestre 2024.
• Le vulnerabilità non corrette restano un obiettivo chiave: il 52% delle vulnerabilità osservate era legato all’accesso iniziale, evidenziando la necessità critica di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi.

“Il cyber spionaggio cinese, sempre più aggressivo, unito alla rapida diffusione di strumenti di inganno basati sull’intelligenza artificiale, sta costringendo le organizzazioni a ripensare il proprio approccio alla sicurezza”, ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Gli avversari sfruttano le lacune nell’identità, fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni è necessaria una piattaforma unificata, basata su intelligence e threat hunting in tempo reale, che metta in correlazione identità, cloud e attività degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversari”.

CrowdStrike ha rivoluzionato la cybersecurity con un approccio basato sugli avversari grazie alla piattaforma CrowdStrike Falcon®, che rappresenta il gold standard della sicurezza informatica, offrendo protezione potenziata dall’AI, threat intelligence in tempo reale e threat hunting avanzato per proteggere identità, cloud ed endpoint. Grazie all’Intelligenza Artificiale comportamentale e al machine learning addestrati sulla base della threat intelligence e di trilioni di eventi di sicurezza, CrowdStrike offre una protezione in tempo reale contro le minacce avanzate, fornendo visibilità e protezione complete lungo l’intero ciclo di vita dell’attacco.

Ulteriori risorse

• Scarica il Global Threat Report 2025 di CrowdStrike.
• Visita l’Adversary Universe di CrowdStrike per conoscere la fonte online completa sugli avversari.
• Ascolta il podcast Adversary Universe per ottenere approfondimenti sugli attori delle minacce e raccomandazioni per amplificare le pratiche di sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.