La nuova edizione del report IBM X-Force rivela che lo sfruttamento di vulnerabilità è il primo vettore di ingresso. Le credenziali delle piattaforme di AI sono diventate un bersaglio di punta nel dark web.
Autore: Redazione SecurityOpenLab
Nel 2025 gli attaccanti hanno cambiato marcia: lo sfruttamento di applicazioni esposte è diventato il principale vettore di ingresso, mentre gli attacchi che partono da vulnerabilità su sistemi pubblici sono cresciuti del 44%. A questo si somma una pressione senza precedenti sulle credenziali: il report X-Force Threat Intelligence Index 2026 di IBM segnala oltre 300.000 account ChatGPT finiti nei marketplace del cybercrime e conferma che, in termini di rischio, le piattaforme di AI sono ormai sullo stesso piano delle applicazioni SaaS core aziendali.
Come da tradizione, il report si basa su incident response, attività di threat intelligence, monitoraggio del dark web e campagne di penetration test, e mostra un dato di fatto importante di cui prendere atto: l’AI non inventa nuove tecniche, rende più efficaci quelle esistenti. La combinazione tra un numero record di vulnerabilità (quasi 40.000 tracciate nel 2025) e la possibilità di analizzarle in modo automatizzato ha portato i threat actor (opportunisti per definizione, alla ricerca del massimo risultato con il minimo sforzo) a privilegiare percorsi di compromissione che non richiedono nessuna interazione dell’utente. Non sorprende quindi che oltre la metà delle falle sfruttate non necessiti autenticazione: è sufficiente che il servizio sia esposto.
Questo cambio di prospettiva si riflette in modo diretto sulla graduatoria dei vettori iniziali. Per due anni l’abuso di credenziali valide è stato il canale di ingresso preferito; nel 2025 viene superato dallo sfruttamento di applicazioni pubbliche, che arriva al 40% dei casi e rende marginalmente meno rilevante l’uso di account legittimi, fermo al 32%. Alla base di questo sorpasso c’è anche la crescita strutturale della superficie applicativa, fatta di sistemi sempre più complessi, ambienti cloud distribuiti e un’adozione massiccia di servizi SaaS. In parallelo, è esploso il numero di vulnerabilità sfruttabili con un semplice scanner potenziato dall’AI, capace di individuare in tempi rapidissimi host esposti e configurazioni sbagliate che aprono la porta all’intrusione.
Il report X-Force mette anche in relazione questa tendenza con l’aumento degli attacchi alla supply chain software e alle terze parti, che negli ultimi cinque anni sono quasi quadruplicati. Più che l’endpoint, gli attaccanti cercano i punti in cui il software viene costruito e distribuito: repository, registri NPM e PyPI, pipeline CI/CD, piattaforme di automazione. Compromettere un account sviluppatore o un workflow di build significa potenzialmente inquinare a monte il codice che finirà in decine o centinaia di clienti. Quindi il confine tra singola vulnerabilità e rischio sistemico si assottiglia: una chiave di accesso lasciata in chiaro in un repository o un token CI/CD con permessi eccessivi possono scatenare un incidente su larga scala.
Gli strumenti di sviluppo basati su AI agiscono da moltiplicatore. Il report mette in evidenza come questi tool, preziosi per accelerare la produttività, aprano però una nuova superficie d’attacco perché possono introdurre frammenti di codice non verificato, pattern insicuri o dipendenze aggiuntive difficili da controllare. Se a questo si somma l’utilizzo di librerie open source provenienti da ecosistemi sempre più grandi e poco governati, la probabilità che una falla critica entri in produzione aumenta sensibilmente. È il terreno ideale per campagne che combinano supply chain compromessa, vulnerabilità non autenticate e automazione dell’exploit.
Sul fronte delle identità, il quadro è altrettanti preoccupante. La diffusione degli infostealer continua a mettere al centro i dati di autenticazione: il report di IBM evidenzia che la raccolta di credenziali è stata l’impatto più ricorrente negli incidenti analizzati e che, in parallelo, nei forum sotterranei si consolidano mercati specializzati nella rivendita di log rubati. In questo flusso compaiono sempre più spesso account legati a chatbot e strumenti di AI generativa e, nel solo caso di ChatGPT, gli analisti hanno osservato oltre 300.000 credenziali in vendita nel 2025. La compromissione degli account AI ha anche una specificità che va oltre il semplice account takeover. Gli attaccanti possono scavare nelle cronologie delle conversazioni alla ricerca di dati sensibili incollati dagli utenti, e possono manipolare il comportamento dei modelli, alterare le risposte, iniettare istruzioni persistenti che cambiano il modo in cui gli agenti si interfacciano con gli altri servizi aziendali.
Parallelamente, l’ecosistema ransomware vive una trasformazione evidente. Nel 2025 IBM ha identificato 109 gruppi ransomware attivi, contro i 73 dell’anno precedente (+49%): un dato che rivela una frammentazione spinta, con molti operatori piccoli, specializzati, spesso transitori. I grandi nomi continuano a operare, ma una parte crescente degli eventi pubblicati sui leak site è riconducibile a sigle nuove o a rebrand di gruppi esistenti. Le barriere all’ingresso si sono abbassate e l’AI potenzia la fase di preparazione e orchestrazione.
Il risultato è un modus operandi in cui le campagne di estorsione sono meno concentrate su pochi attori dominanti e più distribuite tra molti gruppi che colpiscono a basso volume, spesso target di dimensioni medio‑piccole, con difese meno strutturate e maggiore sensibilità alla continuità operativa. Le vittime pubblicate sui siti di rivendicazione sono aumentate di circa il 12% e la tattica prevalente resta quella della doppia estorsione.
I threat actor sperimentano modelli generativi per costruire email di phishing iper‑contestualizzate, script di social engineering coerenti con il linguaggio e le abitudini della vittima, e per analizzare velocemente i dati sottratti, identificando quali asset hanno maggior valore per l’estorsione. Man mano che i modelli multimodali si affinano, la stessa logica viene estesa alla ricognizione tecnica: parsing automatizzato di configurazioni, topologie di rete, log di sicurezza, documentazione interna rubata, con l’obiettivo di individuare in tempi ridotti i percorsi di escalation più promettenti.
Il report insiste sul fatto che, al di là delle innovazioni, molti attacchi passano ancora da errori basilari. Permangono sistematicamente controlli di accesso mal configurati, password deboli o riciclate, logging incompleto, mancanza di una gestione rigorosa delle vulnerabilità. Nella tassonomia CAPEC, ricorrono in particolare pattern legati a livelli di accesso impostati in modo errato, brute forcing di password, scansione di software vulnerabile, injection ed escalation di privilegi. Si tratta di criticità che non richiedono exploit sofisticati, ma solo pazienza, automazione e capacità di orchestrazione fornita dall’AI.
La fotografia delle vittime conferma una forte concentrazione in alcuni settori e aree geografiche. Il manufacturing è per il quinto anno il settore più colpito, con il 27,7% degli incidenti, seguito da finanza e assicurazioni. L’interconnessione tra IT e OT, la presenza di ambienti legacy e la dipendenza dalla continuità operativa fanno sì che questi contesti siano particolarmente appetibili sia per il ransomware sia per campagne di furto dati. Sul piano regionale, il Nord America è l’area più bersagliata, con il 29% dei casi (in crescita rispetto al 24% del 2024), mentre l’Asia‑Pacifico scende al 27% e l’Europa si mantiene su valori comunque significativi.