Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
Il report GTIG evidenzia un cambio strutturale: il 48% delle vulnerabilità ha colpito l'enterprise, i commercial surveillance vendor sono diventati i principal…
Contenuto
Scopri anche
- Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
- L'intelligenza artificiale può replicare la personalità umana con due ore di conversazione
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
- Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
- Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
- Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
- CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
- Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
- Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
- Intelligenza artificiale e cybersecurity: il doppio fronte tra attacchi e difese
- Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
- Marathon: Bungie adotta tolleranza zero contro i cheater con ban permanenti immediati
- iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
- Vulnerabilità informatiche: assessment e penetration test a confronto per una difesa efficace
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- Samsung Galaxy: aggiornamenti sicurezza febbraio 2026 per serie S24, S23 ed S25
- Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
- Le chiavi BootROM della PlayStation 5 trapelano online: una vulnerabilità hardware irreversibile
- Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
- La transizione verso l'enterprise
- L'ascesa dei fornitori di sorveglianza commerciale
- I gruppi cinesi e l'evoluzione delle tattiche
- La crisi del patch management
- Lo zero-day Chrome del febbraio 2026
- La vulnerabilità Apple e le catene di exploit
- L'impatto dell'intelligenza artificiale
- Le tendenze nell'exploit mobile e browser
- Raccomandazioni operative
- Implicazioni e scenari
- Cosa monitorare
- Fonti
Il Google Threat Intelligence Group ha tracciato 90 vulnerabilità zero-day sfruttate concretamente nel corso del 2025. Il volume è inferiore rispetto al record di 100 zero-day registrato nel 2023, ma superiore alle 78 vulnerabilità del 2024, confermando una stabilizzazione del fenomeno nella fascia 60-100 osservata negli ultimi cinque anni. Per la prima volta dal momento in cui Google tiene traccia delle vulnerabilità zero-day, gli exploit sono stati attribuiti principalmente a fornitori di sorveglianza commerciale piuttosto che a gruppi di spionaggio sponsorizzati da stati nazionali.
La transizione verso l'enterprise
⬆ Torna suDei 90 zero-day tracciati, 43 (il 48%) hanno colpito software e dispositivi enterprise, tra cui router, switch, firewall, VPN e piattaforme di virtualizzazione. Sia il numero assoluto che la proporzione hanno raggiunto il massimo storico, rappresentando quasi la metà del totale delle vulnerabilità sfruttate. I casi più rilevanti hanno riguardato Cisco, Fortinet, Ivanti e VMware, con intrusioni causate da mancata validazione degli input e procedure di autorizzazione incomplete.
Il rimanente 52% delle vulnerabilità (47) era presente in software e piattaforme consumer: 24 nei sistemi operativi desktop, 15 nei sistemi operativi mobile e 9 nei browser. Windows è il bersaglio principale. Microsoft è il vendor con il maggior numero di zero-day (25), seguita da Google (11) e Apple (8). Gli exploit sono stati utilizzati principalmente per eseguire codice remoto e ottenere privilegi elevati.
I dispositivi edge e le appliance di sicurezza sono diventati punti di accesso privilegiati per gli attori statali, permettendo accesso prolungato e movimento laterale all'interno delle infrastrutture. Questi dispositivi si trovano sul perimetro delle organizzazioni e spesso non dispongono di sistemi di rilevamento e risposta endpoint, rappresentando un punto cieco per i difensori.
L'ascesa dei fornitori di sorveglianza commerciale
⬆ Torna suI commercial surveillance vendor (CSV) hanno assunto un ruolo primario nello sfruttamento delle vulnerabilità zero-day. Su 42 zero-day distinti tracciati nel 2026 secondo il report "Look what you made us patch: 2026 zero-days in review", 15 sono attribuiti in modo chiaro a fornitori di spyware commerciali e 12 risultano riconducibili ad attori statali. I CSV forniscono exploit avanzati a clienti che includono agenzie governative, ampliando la platea di soggetti con accesso a zero-day e aumentando il rischio per giornalisti, attivisti e dissidenti.
Intellexa, un attore prolifico nell'acquisizione e utilizzo di zero-day, ha adattato le proprie operazioni e la suite di strumenti continuando a fornire spyware ad alta capacità a clienti con elevata disponibilità economica. I CSV hanno mantenuto interesse per lo sfruttamento di dispositivi mobile e browser, adattando ed espandendo le catene di exploit per aggirare le nuove barriere di sicurezza implementate sui dispositivi mobili.
I gruppi cinesi e l'evoluzione delle tattiche
⬆ Torna suI gruppi di spionaggio collegati alla Cina sono rimasti i più prolifici tra gli attori statali, con almeno 10 zero-day attribuiti a gruppi PRC-nexus nel 2025. Questo dato rappresenta il doppio rispetto alle 5 vulnerabilità attribuite nel 2024, sebbene inferiore alle 12 del 2023. Questi gruppi hanno continuato a concentrarsi su dispositivi edge e networking difficili da monitorare, permettendo persistenza a lungo termine nelle reti strategiche.
Il gruppo BRICKSTORM, collegato a operatori di spionaggio cinesi, ha dimostrato un nuovo paradigma nello sfruttamento delle zero-day: il furto di dati è stato impiegato non solo per estorsione ma anche come leva tecnica. L'esfiltrazione di codice sorgente e documentazione tecnica alimenta lo sviluppo di nuovi zero-day, riducendo i tempi di weaponizzazione degli exploit e creando un circolo vizioso in cui più dati esfiltrati significano più opportunità per attacchi mirati.
Un cambiamento significativo riguarda la distribuzione degli exploit: storicamente gli zero-day erano detenuti e utilizzati solo dai gruppi meglio finanziati, mentre nel 2025 un numero crescente di cluster di attività ha sfruttato vulnerabilità sempre più vicine alla divulgazione pubblica, indicando che gli operatori di spionaggio PRC-nexus hanno potenzialmente ridotto i tempi di sviluppo e distribuzione degli exploit tra gruppi separati.
La crisi del patch management
⬆ Torna suLa settimana dall'11 al 17 febbraio 2026 ha evidenziato una crisi strutturale del patch management tradizionale. In sette giorni si sono concentrati: due CVE critiche in Ivanti EPMM con sistemi giudiziari europei compromessi, una vulnerabilità CVSS 9.9 in BeyondTrust sfruttata entro 24 ore dalla pubblicazione del proof-of-concept, il Patch Tuesday Microsoft con 59 vulnerabilità e sei zero-day attivamente sfruttati, uno zero-day Apple descritto come parte di un attacco estremamente sofisticato, 30 estensioni Chrome malevole che hanno colpito oltre 260.000 utenti, una nuova variante ClickFix basata su DNS, e campagne di supply chain poisoning su npm e PyPI collegate a Lazarus Group.
Nessun SOC è dimensionato per gestire simultaneamente patch Ivanti EPMM assumendo compromissione, aggiornamenti BeyondTrust entro 24 ore dal PoC, distribuzione di 59 patch Microsoft con priorità per sei zero-day attivi, aggiornamento dell'intero parco Apple, audit delle estensioni Chrome, verifica add-in Outlook, monitoraggio supply chain npm/PyPI, e aggiornamento regole di detection per ClickFix DNS. La prioritzazione implica che qualcosa resta scoperto, e quella copertura mancante diventa la superficie d'attacco sfruttata dagli avversari.
Lo zero-day Chrome del febbraio 2026
⬆ Torna suGoogle ha corretto CVE-2026-2441, una vulnerabilità ad alta gravità di tipo use-after-free nel sottosistema CSS del motore di rendering di Chrome. La falla è stata sfruttata concretamente in attacchi reali prima del rilascio della patch. Un attaccante può eseguire codice arbitrario all'interno del sandbox del browser inducendo l'utente ad aprire una pagina HTML appositamente costruita.
Le build corrette sono Chrome 145.0.7632.75/76 per Windows e macOS e 144.0.7559.75 per Linux. L'aggiornamento richiede il riavvio del browser per essere applicato. Nel solo 2025, Google ha corretto almeno 8 vulnerabilità zero-day attivamente sfruttate in Chrome. Il researcher Shaheen Fazim ha ricevuto credito per la scoperta e la segnalazione l'11 febbraio 2026, con il fix rilasciato due giorni dopo.
La vulnerabilità Apple e le catene di exploit
⬆ Torna suApple ha rilasciato aggiornamenti per iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3, watchOS 26.3, tvOS 26.3 e visionOS 26.3 correggendo CVE-2026-20700, una vulnerabilità di corruzione della memoria nel componente dyld (Dynamic Link Editor). Apple ha descritto l'attacco come estremamente sofisticato e mirato contro individui specificamente selezionati su versioni di iOS precedenti a iOS 26.
La vulnerabilità è collegata a due CVE precedenti, CVE-2025-14174 e CVE-2025-43529, corrette nel dicembre 2025, suggerendo una catena di exploit multipla in cui gli attaccanti hanno combinato diverse falle per aggirare le difese moderne dei dispositivi mobili. La scoperta è stata attribuita al Google Threat Analysis Group.
L'impatto dell'intelligenza artificiale
⬆ Torna suL'intelligenza artificiale accelera la corsa tra attaccanti e difensori. Gli strumenti basati su AI automatizzano la ricognizione e facilitano la scoperta di vulnerabilità, riducendo i tempi di sviluppo di nuove tecniche d'attacco. Contemporaneamente, le squadre di difesa possono impiegare agenti automatizzati per migliorare il rilevamento e la risposta in tempo reale.
Gli agenti AI possono scoprire proattivamente e aiutare a patchare vulnerabilità di sicurezza precedentemente sconosciute, permettendo ai vendor di neutralizzare le falle prima dello sfruttamento. La ricerca dei bug è stata favorita dai tool AI, che possono essere utilizzati anche per trovare falle di sicurezza nei software e chiuderle prima del loro sfruttamento.
Le tendenze nell'exploit mobile e browser
⬆ Torna suLo sfruttamento dei sistemi operativi mobile è aumentato nel 2025, con 15 zero-day rispetto ai 9 del 2024. L'aumento è dovuto a catene di exploit che includono tre o più vulnerabilità, richiedendo più falle individuali per raggiungere un singolo obiettivo. I ricercatori hanno scoperto catene di exploit più complete rispetto al passato.
I browser hanno rappresentato meno del 10% dello sfruttamento zero-day nel 2025, una diminuzione rispetto agli anni 2021-2022. Questo indica che le misure di browser hardening stanno funzionando, sebbene il miglioramento della operational security degli attaccanti renda le loro azioni più difficili da osservare e tracciare.
Raccomandazioni operative
⬆ Torna suPer le organizzazioni le raccomandazioni includono: assumere che una compromissione sia possibile e progettare sistemi con segmentazione, principi di least privilege e inventario in tempo reale degli asset. Il monitoraggio continuo e l'analisi delle anomalie restano strumenti per individuare attività sospette quando exploit zero-day sfruttano vulnerabilità non ancora note ai vendor.
Le organizzazioni devono aggiornare processi di due diligence e compliance per contrastare il rischio, rafforzare processi di vulnerability management e intensificare la cooperazione tra enti pubblici e operatori privati. La convergenza tra capacità offensive automatizzate e diffusione di materiale sensibile aumenta il rischio sistemico e richiede risposte coordinate a livello industriale e regolamentare.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa stabilizzazione delle zero-day nella fascia 60-100 annuali suggerisce un nuovo equilibrio tra capacità offensive e difensive. L'emergere dei fornitori di spyware commerciale come attori predominanti ridefinisce il panorama delle minacce, con implicazioni per giornalisti, attivisti e dissidenti presi di mira.
- Scenario 1: L'enterprise diventa il bersaglio principale, con dispositivi edge che rimangono punti ciechi per i SOC, permettendo persistenza a lungo termine nelle reti.
- Scenario 2: La diffusione di exploit tra fornitori di sorveglianza amplifica il rischio per target ad alto valore, mentre gruppi statali accelerano i tempi di weaponizzazione.
- Scenario 3: La crisi del patch management strutturale potrebbe costringere le organizzazioni a prioritzioni forzate, lasciando superfici d'attacco scoperte.
Cosa monitorare
⬆ Torna su- L'evoluzione delle tattiche dei gruppi PRC-nexus e il ciclo generato dall'esfiltrazione di codice sorgente per sviluppare nuovi exploit.
- Gli effetti dell'automazione sulla riduzione dei tempi tra disclosure e sfruttamento attivo delle vulnerabilità.
- Le catene di exploit multiple che combinano CVE diverse per aggirare le difese moderne dei dispositivi mobili.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.punto-informatico.it/google-ha-scoperto-90-vulnerabilita-zero-day-nel-2025/
- https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
- https://www.think.it/zero-day-2026-come-i-fornitori-commerciali-hanno-cambiato-il-panorama-delle-vulnerabilita/
- https://therecord.media/google-says-90-zero-days-exploited-apt-spyware-vendors
- https://www.ictsecuritymagazine.com/notizie/zero-day-2026-patch-management/
- https://www.ilsoftware.it/chrome-corretto-il-primo-zero-day-2026-gia-sfruttato-in-attacchi/
- https://socprime.com/blog/cve-2026-14174-vulnerability/
In breve
- zero
- cybersecurity
- exploit
- cve