Nel 2025 il cybercrime ha si strutturato come un sistema industriale che attraversa l'intero ciclo di vita dell'attacco a velocità macchina. È quanto emerge dal 2026 Global Threat Landscape Report pubblicato dai FortiGuard Labs di Fortinet. I due dati che aprono il quadro sono di per sé eloquenti: i tentativi di sfruttamento globali hanno raggiunto 121,99 miliardi nel 2025 (+25,49% rispetto all'anno precedente), mentre le vittime confermate di ransomware sono passate da circa 1.600 a 7.831 (+389%). Questi numeri descrivono un modello operativo continuo, in cui l'esposizione viene mappata, validata e attivata senza dipendere da cicli di campagna o interventi manuali. I nuovi fattori discriminanti sono la velocità e il riuso.

Uno degli indicatori più significativi dell'edizione 2026 riguarda la compressione del time-to-exploit (TTE), ossia il tempo che intercorre tra la divulgazione pubblica di una vulnerabilità e il primo tentativo di sfruttamento osservato nella telemetria globale. Nei cicli precedenti questo intervallo si collocava mediamente attorno a 4,76 giorni. Nel 2025 FortiGuard Labs ha rilevato in modo sistematico TTE nell'arco di 24-48 ore, con numerosi outbreak critici in cui lo sfruttamento è avvenuto il giorno stesso della divulgazione o il giorno seguente.

Questo significa che gli attaccanti ora valutano le nuove vulnerabilità come input da inserire immediatamente in pipeline di sfruttamento automatizzate. La disponibilità pubblica di codice exploit è il fattore abilitante: delle 635 vulnerabilità osservate sotto sfruttamento attivo nel 2025, il 53,86% disponeva di proof-of-concept pubblicamente accessibile e il 31,18% di codice exploit pienamente funzionante.

Fonte: https://www.fortinet.com/resources/reports/threat-landscape-report

L'identità da cui parte tutto

La telemetria FortiRecon ha registrato 4,62 miliardi di stealer log scambiati o condivisi sul darknet nel 2025, con un aumento del 79,07% rispetto al 2024. Si tratta ormai di un'industria a sé che produce inventario di identità su scala. Nei mercati underground i log degli stealer dominano i dataset pubblicizzati con una quota del 67,12%, ben distanziati dalle combolist (16,47%) e dalle credenziali esfiltrate (5,96%). I log aggregano materiale identitario con artefatti contestuali, inclusi dati residenti nel browser, abbassando drasticamente lo sforzo necessario per convertire le credenziali in accesso valido.

Il malware infostealer che alimenta questa filiera vede RedLine in testa con 911.968 infezioni (50,80%), seguito da Lumma con 499.784 (27,84%) e Vidar con 236.778 (13,19%). Le credenziali più frequenti nei log riguardano Single Sign On (35,4 milioni), GitHub (6,6 milioni) e webmail (6,1 milioni).

Nel cloud, l'identità è il vettore dominante di intrusione confermato dai FortiGuard Labs: la maggior parte degli incidenti cloud nel 2025 ha avuto origine da credenziali rubate, esposte o mal gestite, non dallo sfruttamento di infrastrutture. Con credenziali valide, un attaccante può aggirare i controlli incentrati sulla rete, abusare di API legittime per discovery e privilege escalation e operare in modo indistinguibile dal traffico normale, senza alcun malware deployato.

La telemetria IPS di FortiGate ha rilevato 67,65 miliardi di tentativi di brute force nel 2025 (-22% anno su anno), equivalenti a circa 185 milioni al giorno. La riduzione indica una ottimizzazione operativa. Gli attaccanti effettuano un numero inferiore di tentativi contro obiettivi selezionati con maggiore precisione, per aumentare la probabilità di successo per ogni credenziale testata. I servizi sotto pressione più intensa sono SMB con 25,1 miliardi di eventi (37,9%), SSH con 14,8 miliardi (22,4%), MySQL con 7,3 miliardi (11,1%) e RDP con 6,7 miliardi (10,1%).

Una volta ottenuto l'accesso, gli attaccanti attivano una pipeline precostruita. FortiGate ha registrato 7,10 miliardi di rilevamenti di botnet C2 nel corso del 2025, equivalenti a circa 19,4 milioni al giorno. Il command-and-control è diventato un processo in background a scala industriale che mantiene l'accesso, abilita il lateral movement e supporta la monetizzazione. La telemetria EDR mostra che il 48,96% dell'attività sospetta è riconducibile all'abuso di applicazioni legittime (LOLbins), confermando che la scala si ottiene attraverso strumenti nativi e automazione, non tramite malware bespoke.

Fonte: https://www.fortinet.com/resources/reports/threat-landscape-report

Ransomware e AI

Le 7.831 vittime confermate nel 2025 si distribuiscono lungo tutto l'anno senza interruzioni significative, con picchi nei mesi di ottobre, marzo e settembre. I mesi meno intensi registrano comunque centinaia di vittime, il che fa dedurre l'esecuzione continuativa delle attività. I tre gruppi più attivi sono Qilin, Akira e Safepay, affiancati da operatori con maturità consolidata come Play, Clop-Leaks, Lynx e RansomHub, a conferma del fatto che l'ecosistema sta iterando, con nuovi gruppi che si aggiungono continuamente a barriere d'ingresso basse.

I settori più colpiti sono il manifatturiero (1.284 vittime), i servizi alle imprese (824) e il retail (682), con una coda estesa che include finanza, istruzione, governo ed energia. La concentrazione geografica vede in testa USA, Canada e Germania; Italia, Francia, Spagna e UK compaiono tra i Paesi europei colpiti con continuità.

FortiRecon ha documentato sul darknet strumenti offensivi basati sull'AI e pubblicizzati come servizi, tra cui versioni potenziate di WormGPT e FraudGPT, HexStrike AI per la generazione automatizzata di percorsi di attacco e BruteForceAI, uno strumento di penetration testing che integra LLM per l'analisi intelligente di form e l'esecuzione di attacchi multithread. Questi strumenti comprimono il tempo necessario per validare e attivare la superficie di rischio, ampliando il gap di velocità tra attaccanti e difensori.