Report Google 2026: 90 zero-day nel 2025, record enterprise al 48%
Il report GTIG di Google rileva 90 zero-day sfruttate nel 2025: il 48% contro tecnologie enterprise. Cresce il ruolo dei gruppi cinesi e l'AI accelera
Contenuto
Il Google Threat Intelligence Group ha pubblicato a marzo 2026 il suo censimento annuale: 90 vulnerabilità zero-day sfruttate nel 2025, in crescita rispetto alle 78 del 2024. Il dato che cambia la partita non è il totale, ma la distribuzione. Gli exploit su browser sono crollati sotto il 10% dell’attività rilevata, mentre i sistemi operativi registrano 39 flaw e le tecnologie enterprise 43, pari al 48% del totale. Il GTIG spiega il motivo con una sola frase: «As vendor mitigations evolve and increasingly prevent more simplistic exploitation, threat actors have been forced to expand or adjust their techniques». Il risultato è uno spostamento strategico irreversibile: il campo di battaglia si è spostato dai browser, dove difensori e vendor avevano imparato a correre, ai sistemi operativi e alle appliance edge, dove la visibilità si assottiglia e i cicli di patching rallentano. La posta in gioco è la cecità difensiva: dove l’EDR non arriva, l’attaccante avanza senza essere visto.
Per un CISO, questo significa che la superficie di attacco primaria non è più l’utente che clicca, ma il server che gira silenzioso nel perimetro. Quando il 48% delle zero-day colpisce l’enterprise stack e la categoria OS è la prima per volume, il modello difensivo costruito attorno all’endpoint rischia di guardare nella direzione sbagliata.
- L'offensiva si sposta su infrastrutture opache: sistemi operativi e appliance enterprise concentrano il fuoco zero-day.
- Gli APT cinesi raddoppiano l’attività e sfruttano per primi il nuovo campo di battaglia, sostenuti da un ecosistema strutturato di sviluppo.
- L’AI nel 2026 comprimerà il disclosure-to-exploit: la visibilità totale su OS e appliance sta diventando un requisito di sopravvivenza, non una best practice.
Il report GTIG: 90 zero-day e il record enterprise
Il report del Google Threat Intelligence Group, pubblicato a marzo 2026, conferma nel dettaglio la dinamica descritta nel lead. Le tecnologie enterprise hanno assorbito una quota record, pari al 48% del totale censito. I sistemi operativi si attestano come categoria più colpita, mentre gli exploit su browser — storicamente predominanti — hanno ceduto il passo, scendendo sotto la soglia del 10%. Gli attacchi su mobile OS hanno raggiunto 15 casi. L’incremento rispetto alle 78 zero-day del 2024 è evidente, ma il segnale strategico risiede nella concentrazione del fuoco.
Questa concentrazione non è casuale. I browser hanno beneficiato di anni di hardening e di risposte vendor coordinate che hanno ridotto la finestra di exploit. Spostare il fuoco sui sistemi operativi enterprise e sulle appliance di rete significa colpire dove il difensore ha meno telemetria e meno agilità. Il record del 48% segnala che gli attaccanti hanno scelto di investire vulnerabilità ad alto costo di sviluppo contro obiettivi ad alto rendimento: le infrastrutture che reggono le operazioni aziendali.
43 zero-day su 90, pari al 48%, hanno colpito tecnologie enterprise nel 2025: una quota record rilevata dal Google Threat Intelligence Group.
Perché l'edge aziendale concentra il fuoco degli attaccanti
Firewall, VPN, router e appliance di sicurezza restano obiettivi primari per la mancanza di visibilità EDR, come rileva il report GTIG. Questi dispositivi operano spesso come scatole nere all’interno della rete, privi degli agenti di rilevamento che espongerebbero un’intrusione. Sono inoltre soggetti a cicli di aggiornamento più lenti rispetto agli endpoint tradizionali.
Il cambiamento per un CISO è profondo. Fino a ieri, il browser era il fulcro del modello di minaccia: patch frequenti, visibility granulare, sandboxing maturo. Oggi la prima compromissione avviene spesso su appliance perimetrali dove non esiste l’agent EDR, con i sistemi operativi che raccolgono il maggior numero di flaw. Questa assenza di telemetria consente agli attori avanzati di mantenere persistenza, installare implant e muoversi lateralmente verso asset critici senza lasciare le tracce che un endpoint moderno registrerebbe.
Le catene di exploit non partono più solo dal browser dell’utente, ma da appliance perimetrali non protette dalle soluzioni endpoint, propagandosi all’interno dell’infrastruttura. La concentrazione del fuoco su questi sistemi indica che i difensori devono estendere la visibilità oltre gli endpoint tradizionali, trattando ogni appliance edge come un potenziale punto di ingresso primario.
Raddoppia l'attività dei gruppi cinesi: UNC3886 e UNC5221 nel mirino
L’analisi di Google registra un raddoppio delle zero-day attribuite a gruppi di spionaggio legati alla Cina: 10 nel 2025, il doppio rispetto al 2024 secondo il censimento GTIG. John Hultquist, chief analyst del gruppo, sottolinea che «They have a significant zero-day development ecosystem that includes industry, academia, and government», evidenziando un apparato strutturato e diversificato dietro le operazioni offensive.
Questo ecosistema consente agli attori cinesi di essere i primi a sfruttare lo spostamento su infrastrutture opache. Tra gli attori tracciati, UNC3886 ha sfruttato almeno una zero-day il cui identificativo CVE non risulta completamente riportato nelle fonti disponibili. Il gruppo UNC5221 è stato associato al malware denominato Brickstorm. I dettagli operativi completi della campagna risultano parzialmente inaccessibili nelle fonti consultate.
La direzione è chiara: i gruppi cinesi concentrano vulnerabilità ad alto impatto contro infrastrutture enterprise, sfruttando la stessa mancanza di visibilità che rende l’edge appetibile. La capacità di colpire obiettivi ad alto valore con vulnerabilità sviluppate ad hoc riflette l'ecosistema strutturato descritto da Hultquist. Quando questo apparato si fonderà con l’accelerazione dell’AI, il tempo di reazione difensiva nel 2026 rischia di comprimersi in modo pericoloso.
L'AI accelera discovery e weaponization
Oltre al bilancio del 2025, il report GTIG proietta lo sguardo al 2026 e individua nell’intelligenza artificiale il prossimo acceleratore della catena di attacco. Casey Charrier, senior vulnerability intelligence analyst di Google, avverte che «Vulnerability discovery and weaponization and exploit deployment can all be enhanced with these capabilities, creating potential for exploitation to be faster than ever before».
Per i team di sicurezza, l’accelerazione delle fasi di ricerca, sviluppo e dispiegamento riduce il tempo a disposizione dei difensori. Il GTIG prevede che nel 2026 l’uso dell’intelligenza artificiale renda la catena di exploit più rapida. Quando l’AI potenzia simultaneamente discovery, weaponization e exploit deployment, il gap tra disclosure e sfruttamento in-the-wild potrebbe collassare. Per i CISO, questo implica che il margine tra una vulnerabilità pubblica e un compromise interno si restringerà in modo imprevedibile.
Cosa fare adesso
Priorità 1 – Entro 72 ore: visibilità EDR-less su appliance edge. Le imprese devono mappare firewall, VPN, router e appliance di sicurezza privi di agent EDR. È necessario attivare log di rete, telemetria alternativa e compensating controls per rilevare persistenza e movimento laterale. Questi dispositivi, indicati dal GTIG come obiettivi primari, richiedono monitoraggio dedicato che replica almeno parzialmente la visibilità endpoint.
Priorità 2 – Hardening OS per i 39 flaw. Le procedure di patch management su sistemi operativi server e workstation devono essere accelerate. La riduzione della finestra temporale tra rilascio della correzione e applicazione effettiva è il margine difensivo principale contro l’accelerazione prevista dell’AI. Il CISO deve trattare ogni OS enterprise con la stessa urgenza riservata ai dispositivi edge.
Priorità 3 – Threat hunting su indicatori UNC3886 e UNC5221. I SOC devono integrare nei propri workflow gli indicatori associati ai gruppi cinesi tracciati, sfruttando i feed di threat intelligence per rilevare pattern riconducibili alle zero-day già attribuite. Il raddoppio di questa attività nel 2025 rende il monitoraggio proattivo una priorità assoluta secondo il report.
Il report GTIG sposta il baricentro difensivo dall’endpoint individuale all’infrastruttura aziendale. Nel 2026 l’adozione dell’intelligenza artificiale da parte degli attaccanti comporterà una compressione dei tempi di exploit. Per le organizzazioni, la visibilità totale sui dispositivi edge e sui sistemi operativi enterprise diventa prerequisito per contenere la catena di attacco.
Per il CISO, la domanda non è più se investire in telemetria infrastrutturale, ma se farlo prima che il disclosure-to-exploit collassi a zero. Quando l’AI comprimerà ogni fase della catena offensiva, non esisterà margine per la reazione tardiva: nel 2026, vedere l’intero stack — OS e appliance — non sarà best practice, ma requisito di sopravvivenza.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.