Nel mondo della cyber security, il tempo non è più un alleato. Secondo il report CyOps ECHO 2H 2025 pubblicato da Cynet, le finestre di attacco si stanno comprimendo drasticamente: ciò che prima richiedeva giorni oggi si consuma in poche ore.
Non è solo una questione di velocità. A cambiare è la natura stessa degli attacchi: più silenziosi, più mirati e sempre più spesso costruiti per sfruttare le stesse tecnologie pensate per proteggere i sistemi.
L’AI accelera il ciclo dell’attacco
Uno dei segnali più evidenti riguarda la crescita delle vulnerabilità critiche realmente sfruttate. Nel 2025, oltre il 40% delle vulnerabilità inserite nel catalogo KEV della CISA erano zero-day, un dato che segna un punto di svolta. In pratica, le falle vengono utilizzate prima ancora che le organizzazioni abbiano il tempo di intervenire. In questo scenario, l’intelligenza artificiale agisce come moltiplicatore di forza, consentendo agli attaccanti di ridurre al minimo il tempo tra scoperta e sfruttamento. Le tecniche si stanno evolvendo rapidamente. Il phishing, ad esempio, non è più un’operazione generica: grazie all’AI, diventa altamente personalizzato, capace di adattarsi in tempo reale alla vittima e di imitare comunicazioni legittime con un livello di credibilità difficilmente distinguibile.
Allo stesso modo, lo sviluppo di malware si è trasformato. Strumenti automatizzati permettono di generare e modificare rapidamente nuove varianti, rendendo sempre meno efficaci le difese basate su firme statiche. Ma il cambiamento più rilevante riguarda la velocità di sfruttamento: oggi è possibile individuare sistemi vulnerabili, generare exploit e lanciare attacchi nel giro di poche ore dalla divulgazione di una falla. Un’accelerazione che mette in crisi i modelli tradizionali di patch management.
Dal cybercrime individuale ai cartelli organizzati
Parallelamente, anche l’organizzazione degli attaccanti sta cambiando. Il modello del singolo hacker lascia spazio a strutture molto più complesse, che operano come vere e proprie organizzazioni aziendali. Il report di Cynet evidenzia la crescita dei cosiddetti “cartelli cyber”: ecosistemi in cui diversi gruppi collaborano, condividendo infrastrutture, competenze e accessi. In questo contesto, ogni attore svolge un ruolo preciso, dalla compromissione iniziale alla monetizzazione.
Questa evoluzione rende il cybercrime più resiliente e scalabile. Anche quando alcune infrastrutture vengono smantellate, il sistema nel suo complesso continua a funzionare, adattandosi rapidamente.
Identità e accessi: il nuovo campo di battaglia
Un altro cambiamento profondo riguarda il bersaglio degli attacchi. Non sono più solo i sistemi a essere presi di mira, ma le identità digitali. Gli attaccanti stanno progressivamente abbandonando tecniche rumorose come il credential stuffing, preferendo approcci più discreti, basati sull’abuso di funzionalità legittime. È il caso dell’identity-bending, in cui strumenti di collaborazione come Microsoft Teams vengono utilizzati per simulare interazioni autentiche e ottenere accessi privilegiati.
Ancora più insidioso è il fenomeno delle “zombie sessions”: sessioni cloud che restano attive anche dopo il logout dell’utente, grazie alla manipolazione dei token. In questo modo, anche meccanismi avanzati come l’autenticazione multi-fattore possono essere aggirati. A supporto di queste tecniche operano infostealer sempre più automatizzati, capaci di raccogliere credenziali e token su larga scala e di abilitare movimenti laterali quasi immediati all’interno delle infrastrutture.
Attacchi invisibili: quando tutto sembra normale
Le evidenze raccolte dal team CyOps mostrano come gli attacchi più efficaci siano quelli che non appaiono come tali. In un caso reale, un dipendente ha ricevuto una richiesta apparentemente legittima tramite Microsoft Teams. L’interazione ha portato all’installazione di strumenti di accesso remoto e alla distribuzione di webshell, senza generare segnali di allarme evidenti.
In un altro scenario, una vulnerabilità su un firewall non aggiornato ha aperto la strada a un compromesso completo. Una volta all’interno, gli attaccanti non hanno utilizzato malware sofisticati, ma strumenti già presenti nel sistema operativo, come WMI e RDP, mimetizzandosi nelle normali attività amministrative.
Questo approccio, basato sull’uso di strumenti legittimi, rende gli attacchi estremamente difficili da individuare e richiede un cambio di prospettiva nella difesa.
Difendersi oggi: velocità, contesto e controllo delle identità
Di fronte a minacce sempre più rapide e sofisticate, le strategie di difesa devono evolvere. La prevenzione, da sola, non è più sufficiente. Diventa fondamentale affiancarla a una capacità di rilevazione basata sul comportamento, in grado di individuare anomalie anche quando le attività sembrano legittime. Allo stesso tempo, assume un ruolo centrale la gestione delle identità. In un contesto in cui gli attaccanti sfruttano accessi validi, la capacità di revocare rapidamente la fiducia diventa un elemento decisivo.
Anche la threat intelligence cambia funzione: non si tratta più solo di raccogliere informazioni, ma di renderle operative, identificando le vulnerabilità realmente sfruttabili e le esposizioni più critiche. Infine, la velocità di risposta diventa determinante. Con finestre di attacco ridotte a poche ore, è necessario integrare automazione e supervisione umana continua, per reagire in tempo reale.
Una nuova fase per la cyber security
Il quadro che emerge è chiaro: la cybersecurity sta entrando in una fase in cui il vantaggio non dipende più solo dalla solidità delle difese, ma dalla rapidità con cui si riesce ad adattarle.
Gli attaccanti hanno già compiuto questo salto, combinando AI, automazione e modelli organizzativi evoluti. Per le aziende, la sfida è tenere il passo, adottando un approccio dinamico, capace di leggere il contesto e intervenire immediatamente.
Perché oggi, più che mai, la differenza tra sicurezza e compromissione si misura in ore.