Il tempo medio tra la divulgazione di una vulnerabilità e il suo sfruttamento attivo si è ridotto da 32 a soli 5 giorni; oltre il 40% delle vulnerabilità aggiunte al CISA KEV (Known Exploited Vulnerabilities) nel corso del 2025 erano zero-day. A rilevarlo è il CyOps ECHO Report 2H 2025 di Cynet, frutto dell’analisi sulle catene di attacco reali investigate dal team CyOps Incident Response.

Sono tre le dinamiche di base individuate dal report: la crescita dell'AI come moltiplicatore per gli attacchi, l'evoluzione del crimine informatico verso strutture quasi aziendali, e lo spostamento del perimetro d'attacco dall'infrastruttura all'identità. Tre fenomeni che, combinati, producono attacchi con velocità, scala e sofisticazione che i modelli difensivi tradizionali non sono attrezzati ad assorbire.

Partiamo con l’AI: il problema non è che gli attaccanti la usano, ma come la usano. È ormai di fatto un componente integrato nelle attività di ricognizione, social engineering, sviluppo di malware e sfruttamento delle vulnerabilità. Ne sono la dimostrazione le campagne ClickFix, che nel 2025 sono cresciute del 500%: la personalizzazione contestuale in tempo reale, con esche adattate a linguaggio, branding e contesto della vittima, rende questi attacchi sostanzialmente invisibili ai programmi di awareness tradizionali.

Sul fronte del malware, l'AI ha abbassato la barriera d'ingresso per attaccanti meno esperti, accelerando la creazione e la variazione di credential stealer e loader come XaXa, StealerX e Protector, progettati per eludere i sistemi di rilevamento grazie a un continuo cambio di forma. La conseguenza più concreta è sul time-to-exploit, ossia il tempo che intercorre fra la pubblicazione di una falla e quella dell’attacco che la sfrutta: grazie a scanning automatizzato e generazione di exploit guidata dall'AI, sono bastate poche ore per sfruttare bug ad alta diffusione come React2Shell (CVE-2025-55182) e Oracle EBS (CVE-2025-61882).

Fra i fenomeni di maggiore interesse evidenziati da Cynet c'è l’industrializzazione  del cybercrime, trasversale alla maggior parte dei report di sicurezza in circolazione. Più che il fenomeno in sé, contano le conseguenze operative: per quanto le Forze dell'Ordine si adoperino per smantellare i threat actor, questi si riorganizzano in tempo reale grazie a strutture consolidate e full-stack, con ruoli definiti, catene di approvvigionamento, modelli di supporto e incentivi sulle prestazioni, che rendono i singoli takedown sempre meno risolutivi.

C’è poi la terza dinamica, ossia l’identità come perimetro. Cynet evidenzia che la tendenza dominante del 2025 è stata l'abuso di sistemi fidati e permessi legittimi. In questo schema gli infostealer hanno assunto un ruolo centrale come motore di initial access, spostandosi da malware opportunistici a piattaforme industrializzate capaci di raccogliere token di sessione, credenziali OAuth e segreti di accesso su larga scala, spesso senza attivare i controlli di sicurezza convenzionali. Il fenomeno delle zombie session completa il quadro: attraverso manipolazioni di token, i cartelli creano sessioni cloud che persistono anche dopo il logout dell'utente, rendendo inefficace l’MFA. A questo si aggiunge la rapida proliferazione di identità non umane, service account, API key, autorizzazioni delegate e token di sessione persistenti, spesso scarsamente inventariate e governate con rigore inferiore rispetto agli utenti umani.

Cosa cambia per chi difende

I casi di incident response documentati nel report tracciano con precisione le tattiche dominanti del periodo, che convergono sull’abuso di strumenti e canali legittimi. Microsoft Teams come vettore di social engineering, strumenti Windows nativi per il movimento laterale, firewall non aggiornati come punto d'accesso iniziale. Persino il gruppo Akira ha abbandonato la cifratura optando per la sola esfiltrazione dei dati, confermando la transizione verso un modello di estorsione in cui la velocità del furto vale quanto la disruption.

La prospettiva per il 2026 che emerge dal report è quella di un'ulteriore industrializzazione: i cartelli ransomware destineranno una quota crescente dei loro profitti all'acquisto di Zero Day privati, costruendo pipeline di attacco che trasformano l'accesso a vulnerabilità critiche in un vantaggio competitivo sistematico. La risposta difensiva richiede l’adozione di modelli operativi di Zero-Day Response progettati per rispondere in tempo reale allo sfruttamento immediato delle vulnerabilità, con la capacità di revocare la fiducia a identità, sessioni, token e percorsi di accesso privilegiato a velocità macchina.