Il nuovo report CyOps ECHO 2H 2025 di Cynet descrive uno scenario in cui il tempo utile per reagire a una minaccia si assottiglia in modo drastico. Secondo il documento, gli attaccanti riescono a trasformare una vulnerabilità appena divulgata in un attacco concreto nel giro di poche ore, con il supporto dell’AI, di gruppi criminali più organizzati e di tecniche che sfruttano strumenti legittimi invece di forzare i controlli in modo tradizionale. Il report nasce dalle indagini del team CyOps Incident Response di Cynet.
Il quadro tracciato dal vendor si inserisce in una tendenza più ampia. Google Threat Intelligence Group ha contato 90 zero-day sfruttate in the wild nel 2025, un dato superiore alle 78 del 2024, e ha rilevato che 43 vulnerabilità, pari al 48%, hanno colpito tecnologie enterprise come software aziendali, appliance di sicurezza e dispositivi di rete. Per Google, l’espansione della superficie enterprise e il valore strategico degli apparati edge spiegano buona parte di questa pressione crescente.
L’AI accorcia il tempo tra divulgazione e sfruttamento
Uno dei punti più forti del report riguarda il ruolo dell’intelligenza artificiale come acceleratore offensivo. Cynet afferma che nel 2025 oltre il 40% delle vulnerabilità aggiunte al catalogo CISA KEV risultava composto da zero-day confermate e sostiene che gli attori malevoli usano l’AI per tre compiti chiave: campagne di phishing più credibili, sviluppo più rapido di malware e sfruttamento quasi immediato delle falle più critiche. Nel report compaiono esempi come ClickFix, varianti di loader e credential stealer come XaXa e Protector, e casi di sfruttamento rapido legati a React2Shell e Oracle EBS. (GlobeNewswire)
Anche Google arriva a una conclusione simile sul trend generale, pur con una base dati diversa. Nel suo bilancio sugli zero-day del 2025, GTIG prevede che l’AI accelererà ricognizione, ricerca delle vulnerabilità e sviluppo di exploit nel corso del 2026. Nel Cloud Threat Horizons Report H1 2026, Google scrive inoltre che, nella seconda metà del 2025, la finestra tra divulgazione e sfruttamento in ambiente cloud è scesa da settimane a giorni e cita proprio React2Shell come esempio di attacchi partiti pochi giorni dopo la disclosure.
Il perimetro non è più il firewall, ma l’identità
Nel report Cynet compare un messaggio netto: il nuovo perimetro è l’identità. Gli attaccanti, secondo l’azienda, riducono l’uso di tecniche rumorose come password spraying e credential stuffing e puntano invece su metodi più discreti, che sfruttano permessi legittimi, token di sessione e piattaforme di collaborazione già presenti in azienda. In questa logica rientrano le tecniche di identity-bending, le cosiddette zombie sessions, che restano attive anche dopo il logout, e gli infostealer industrializzati capaci di raccogliere token e credenziali OAuth su larga scala.
Il passaggio è importante perché cambia anche il modo in cui si misura il rischio. Se l’attacco si appoggia a sessioni già autorizzate o a strumenti di supporto remoto fidati, il problema non è più soltanto impedire l’accesso iniziale. Conta soprattutto la velocità con cui un’organizzazione riesce a revocare fiducia, invalidare token, bloccare sessioni anomale e distinguere un’azione amministrativa lecita da un abuso. È la stessa logica che Google collega all’aumento degli attacchi verso software enterprise e dispositivi edge, che spesso offrono visibilità più bassa ai difensori.
Dai gruppi ransomware ai “cartelli cyber”
L’altro asse del report riguarda l’evoluzione organizzativa del cybercrime. Cynet descrive strutture criminali sempre più simili a imprese, con ruoli distinti, supply chain, supporto agli affiliati e modelli di incentivo. In questo contesto cita il caso di DragonForce e i legami operativi con LockBit e Qilin, letti come un segnale di consolidamento e di maggiore resilienza dopo le operazioni di contrasto delle forze dell’ordine.
Questa lettura trova riscontri anche altrove. ReliaQuest ha documentato nel suo report sul ransomware del terzo trimestre 2025 una partnership tra DragonForce, Qilin e LockBit, con possibile condivisione di tecniche, risorse e infrastrutture. Trend Micro, dal canto suo, ricorda che DragonForce ha annunciato il passaggio a un modello di cartello il 19 marzo 2025, con affiliati liberi di costruire propri brand appoggiandosi però agli strumenti e ai servizi del gruppo. In altre parole, il cybercrime adotta logiche di scala, filiera e specializzazione che fino a pochi anni fa si associavano più facilmente a un’azienda che a una gang ransomware.
I casi concreti: Teams, FortiGate e strumenti di sistema
La parte più utile del report sta forse nei casi reali esaminati dal team CyOps. In un episodio citato da Cynet, un dipendente del manifatturiero riceve su Microsoft Teams una chiamata che sembra arrivare dal supporto IT. L’attaccante usa uno strumento remoto ritenuto affidabile, ottiene accesso, distribuisce webshell e prova a stabilire persistenza senza attivare i sospetti più comuni. Qui il punto non è la sofisticazione del malware, ma la capacità di sfruttare un contesto che l’utente considera normale.
Un secondo caso riguarda invece una compromissione partita da un firewall FortiGate non aggiornato in un’azienda retail. Anche qui gli aggressori evitano strade vistose: niente malware custom, ma uso di strumenti già presenti in Windows per enumerare gli amministratori di dominio, modificare chiavi di registro legate all’accesso RDP e tentare movimento laterale via WMI. Il messaggio è chiaro: oggi l’attaccante cerca sempre più spesso di confondersi con l’operatività quotidiana. Per questo il valore della difesa si sposta verso telemetria comportamentale, controllo delle identità, protezione degli apparati esposti su internet e risposta continua, non solo verso il classico antivirus o il patching periodico.
Cosa lascia questo report
Il report di Cynet non va letto come una fotografia totale dell’intero panorama, ma come una raccolta di lezioni operative tratte da incidenti osservati direttamente dal vendor. Proprio per questo il documento ha un interesse concreto: mostra dove oggi gli attaccanti trovano i vantaggi maggiori, cioè identità, sessioni, strumenti leciti, apparati perimetrali e tempi di reazione troppo lenti. La conseguenza, per le aziende, è piuttosto chiara: la prevenzione da sola non basta più; servono priorità di remediation più precise, visibilità sulle attività anomale e capacità di invalidare rapidamente accessi e fiducia quando qualcosa devia dal comportamento atteso.
