Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il report

Cyber security: perché gli attaccanti corrono più veloci dei difensori

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il rapporto Cisco Talos 2025 Year in Review offre un’analisi di tattiche, tecniche e procedure che hanno caratterizzato le operazioni degli hacker a livello globale. Ne emerge un ecosistema in cui la velocità di reazione dei difensori è inferiore a quella degli attaccanti, e dove l’identità digitale è il bersaglio primario di ogni campagna offensiva

Pubblicato il 8 apr 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

Vulnerability management; Cisco Talos 2025: i rischi maggiori sono la rapida weaponizzazione delle vulnerabilità e la pluriennale persistenza di falle mai sanate
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il panorama delle minacce informatiche nel 2025 ha registrato una trasformazione profonda nelle modalità con cui gli attori ostili conducono le proprie operazioni, combinando la rapidità senza precedenti nella weaponizzazione delle vulnerabilità con la persistenza pluriennale di falle mai sanate.

Il report annuale di Cisco Talos, pubblicato all’inizio del 2026, offre un quadro
sistematico e documentato di questi fenomeni, analizzando vulnerabilità, ransomware, attacchi all’autenticazione a più fattori, minacce via mail, attività degli attori statali e impatto dell’intelligenza artificiale.

Ne emerge un ecosistema in cui la velocità di reazione dei difensori è strutturalmente inferiore a quella degli attaccanti, e in cui l’identità digitale è diventata il bersaglio primario di ogni campagna offensiva.

Rapporto Clusit 2026: cresce l’impatto degli attacchi cyber, ma anche le difficoltà di analisi

Il report Cisco Talos 2025

Sul fronte delle vulnerabilità più sfruttate, il 2025 è stato definito dall’ascesa fulminea di React2Shell, registrata come CVE-2025-55182 e relativa ai React Server Components.

Nonostante la sua divulgazione pubblica sia avvenuta solo a dicembre, si è classificata come la vulnerabilità più bersagliata dell’intero anno. Ciò testimonia come la weaponizzazione automatizzata e la diffusione massiva di tooling offensivo abbiano azzerato praticamente il tempo intercorrente tra la disclosure e lo sfruttamento attivo.

Sul podio figurano anche le quattro vulnerabilità di Microsoft SharePoint, note collettivamente come ToolShell, che pur divulgate a metà anno sono entrate rapidamente nella top five, sfruttate da ransomware gang, botnet e attori allineati a stati nazionali.

Nella top 10 compaiono anche PHPUnit, Adobe ColdFusion e tre varianti di Log4Shell, quest’ultima divulgata nel 2021 e ancora ampiamente presente nei sistemi aziendali per via della sua profonda integrazione in applicazioni Enterprise, servizi di terze parti e asset shadow IT.

L’analisi delle prime cento vulnerabilità rivela dinamiche strutturali che meritano attenzione.

Il 40% impatta dispositivi giunti a fine vita, per i quali le patch non sono disponibili o non vengono applicate perché l’hardware non è più supportato. Il 25% riguarda framework e librerie largamente diffuse, come Log4j, Spring e OpenSSL, che costituiscono la colonna vertebrale di innumerevoli applicazioni e il cui aggiornamento richiede interventi coordinati e spesso invasivi.

Il 23% colpisce direttamente dispositivi di rete perimetrali come VPN appliance, firewall di nuova generazione e load balancer, ossia i sistemi che più frequentemente fungono da gateway verso le reti interne.

L’80% delle vulnerabilità in esame è di tipo Remote Code Execution, la categoria preferita dagli attaccanti per la sua capacità di aggirare i controlli identitari, eliminare la necessità del phishing come vettore iniziale e prestarsi all’automazione massiva.

L’identità come campo di battaglia

Il tema dell’identità come campo di battaglia primario percorre trasversalmente ogni capitolo del report.

In ambito ransomware, il settore manifatturiero si conferma il più colpito, per la sua bassa tolleranza ai tempi di inattività, la coesistenza di ambienti IT e OT, budget di cyber security storicamente inferiori rispetto ad altri settori e il frequente ricorso a sistemi legacy.

Il gruppo Qilin si afferma come il più attivo per volume di attacchi e post sui data leak site, con oltre quaranta vittime al mese tranne a gennaio, mese che si conferma il più quieto dell’anno probabilmente per via delle festività nel calendario ortodosso dell’Europa orientale.

Questa finestra temporale rappresenta, secondo Talos, un’opportunità strategica per i team di difesa: testare le proprie difese, verificare la tenuta dei sistemi di backup, affinare la segmentazione di rete e consolidare le procedure di risposta agli incidenti prima del tradizionale picco primaverile.

Sul versante degli strumenti impiegati nei ransomware engagement documentati da Talos Incident Response, si segnala la prevalenza di RDP, PsExec e PowerShell, tutti strumenti che richiedono credenziali utente valide per operare, a conferma del ruolo centrale dell’identità compromessa nell’intera catena d’attacco.

Le due direttrici degli attacchi contro l’autenticazione a più fattori

Gli attacchi contro l’autenticazione a più fattori si sono intensificati su due direttrici distinte.

Da un lato, le campagne di MFA spray hanno preso di mira soprattutto le applicazioni di Identity and Access Management, con una crescita di sei punti percentuali rispetto al 2024, portandosi al 30% del totale.

Si tratta di attacchi a bassa intensità ma ad alto volume, che provano un insieme ristretto di password su migliaia di account in cerca di quello più debole.

Dall’altro, gli attacchi di device compromise, in cui l’attaccante registra il proprio dispositivo come fattore MFA fidato senza che la vittima ne sia consapevole, hanno registrato una crescita del 178% rispetto all’anno precedente.

In questo caso, nel 77% dei casi documentati gli attaccanti hanno sfruttato il flusso di registrazione gestito dagli amministratori IT, spesso tramite vishing, con l’obiettivo di far registrare un dispositivo malevolo attraverso i canali di assistenza interni.

Una volta ottenuto tale accesso, l’attaccante dispone di un’identità fidata da cui condurre movimenti laterali, accedere a sistemi sensibili e lanciare campagne di phishing interno.

Il rischio phishing e email esca nel report di Cisco Talos 2025

Sul fronte email, l’anno ha visto una significativa evoluzione nelle esche utilizzate. Le righe oggetto delle email di phishing si sono spostate dai classici messaggi clickbait verso comunicazioni che imitano fedelmente i flussi di lavoro aziendali ordinari: richieste di fatture e pagamenti, aggiornamenti su trasferte e prenotazioni, avvisi tecnici relativi a configurazioni e server.

Di particolare rilievo è l’abuso della funzionalità Direct Send di Microsoft 365, che consente a dispositivi interni come stampanti e scanner di inviare email senza autenticarsi come utenti reali.

Gli attaccanti hanno sfruttato questa funzionalità per effettuare spoofing di indirizzi interni all’organizzazione, aggirare i controlli SPF e DKIM e recapitare messaggi altamente convincenti a destinatari di profilo elevato, con esche relative a bonus, dettagli retributivi e approvazioni urgenti.

L’escalation del panorama delle minacce geopolitiche

Il panorama delle minacce geopolitiche mostra un’escalation significativa. Le indagini di Cisco Talos su campagne 2025 riconducibili ad attori cinesi sono aumentate del 74% rispetto al 2024, con gruppi che hanno sfruttato sia zero-day che vulnerabilità note, spesso nelle prime ore successive alla disclosure pubblica.

La Russia ha mantenuto un ritmo operativo elevato, con APT28 che ha utilizzato una vulnerabilità di WinRAR con patch disponibile da due anni per colpire entità logistiche occidentali coinvolte nel supporto all’Ucraina.

La Corea del Nord ha portato a termine il più grande furto di criptovalute della storia sottraendo 1,5 miliardi di dollari in Ethereum all’exchange Bybit, mentre migliaia di finti lavoratori IT che utilizzano identità rubate e profili generati con l’ausilio dell’intelligenza artificiale continuano a infiltrarsi in aziende Fortune 500 e contractor governativi.

L’Iran ha puntato sulla persistenza stealth nelle reti di operatori di telecomunicazioni del Medio Oriente e ha amplificato la propria influenza attraverso collettivi hacktivisti la cui attività è aumentata del 60% nel corso del 2025, con picchi strettamente correlati alle escalation del conflitto israelo-palestinese.

La fase di transizione dell’AI

Quanto all’intelligenza artificiale, il 2025 ha rappresentato una fase di transizione.

I sistemi di AI non hanno ancora automatizzato l’intero ciclo di un attacco, ma hanno abbassato significativamente la soglia d’accesso per attori meno esperti e potenziato le capacità degli attori avanzati, soprattutto nella produzione di deepfake e nella generazione di infrastrutture di phishing su larga scala.

Le organizzazioni si trovano oggi a dover difendersi da rischi AI-specifici come il context poisoning e il prompt injection, integrando al contempo l’AI nei propri processi difensivi per il triage degli alert e la correlazione dei comportamenti anomali.

La velocità con cui il paradigma agentivo si sta affermando, già visibile in alcune piattaforme mobile e nei framework modulari di nuova generazione, suggerisce che nel prossimo futuro le operazioni offensive potranno contare su un livello crescente di automazione e su agenti autonomi per attività ripetitive, liberando risorse umane per le attività più critiche.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Sicurezza strategica: ogni scelta tecnologica fa parte dell'ecosistema di governance aziendale; Cos'è la logica nel mondo della protezione digitale

  • La compliance

    Dal ragionamento all’accountability: la logica come prova documentata

    28 Nov 2025

    di Giuseppe Alverone

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Prenotare voli con una VPN per ottenere prezzi più bassi

  • LA GUIDA

    Caccia al biglietto aereo: ecco come prenotare voli con una VPN e ottenere il prezzo più basso

    16 Ott 2025

    di redazione affiliazioni Nextwork360

    Condividi
0
Lascia un commento, la tua opinione conta.x