Prospettive della Cyber Threat Intelligence sul 2025

03 Mar 2025

Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale.

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.

In questo articolo viene ricostruita per voci tematiche una panoramica su alcune delle prospettive verso le quali si sta indirizzando la Cyber Threat Intelligence nel 2025.

L’AI come minaccia e come risorsa

La protagonista di tutti i report previsionali in tema Cyber Threat Intelligence rilasciati nei mesi a cavaliere fra 2024 e 2025 è l’intelligenza artificiale (AI). A partire dalle prime scoperte di minacce come FraudGPT e WormGPT – risalenti ormai al 2023 – e delle prime segnalazioni dell’uso di deepfake nelle frodi e nelle campagne di influenza, l’uso dell’AI si è andato attestando in numerose forme di minaccia cyber.

La casistica degli utilizzi è ampia, ma si può concentrare nei più eclatanti. Gli attaccanti possono affinare le tecniche di Social Engineering, soprattutto nelle frodi BEC e del CEO, selezionando sempre meglio i target e aumentando la credibilità dei messaggi col deepfake. Inoltre, possono incrementare il volume delle campagne di phishing, automatizzando sia la creazione di e-mail ed SMS, sia la loro distribuzione.

Gli LLM (Large Language Model), che già vengono utilizzati per compilare codice legittimo, saranno sempre più utilizzati per compilare malware o per migliorare quello già esistente. È prevedibile che i criminali addestrino modelli LLM su database di credenziali compromesse per generare quelle verosimilmente utilizzate da specifici target (brute forcing e password spraying).

Inoltre, l’uso del deepfake nelle campagne di influenza, ormai sistematico per quelle russe e cinesi, potrebbe divenire pervasivo. Infine, sarà facilitata la scoperta di vulnerabilità sfruttabili a fini malevoli.

Per contro, e per fortuna, l’AI si sta già ponendo come soluzione “omeopatica” in numerosi frangenti. Un esempio su tutti, proprio la scoperta legale di vulnerabilità.

A novembre scorso, Google ha presentato il progetto Big Sleep, nato dalla collaborazione tra il Project Zero e DeepMind, nell’ambito del quale è stato utilizzato un modello linguistico di grandi dimensioni per rilevare una vulnerabilità in SQLite. E inoltre, nel Patch Tuesday di Microsoft uscito a gennaio si segnalava che alcune delle falle pubbliche, ma non sfruttate – le Remote Code Execution CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 di Microsoft Access – sono state scoperte da Unpatched.ai, una piattaforma guidata dall’intelligenza artificiale.

D’ora in poi, la corsa alle 0-day si disputerà fra più soggetti, umani e tecnologici, su tutti e due i versanti della legalità.

Attacchi ransomware: un fenomeno fluido e in espansione

Il contesto degli avversari che operano con fini estorsivi si va facendo sempre più articolato ed è prevista una crescita di questa minaccia, sia in termini quantitativi che qualitativi.

Nuove realtà che rivendicano attacchi su siti attivati nell’underground compaiono quasi quotidianamente ed alcune di esse riescono ad affermarsi come minaccia dai contorni ben definiti. Nel corso di tutto il 2024 sono stati segnalati nuovi operatori ransomware, come ad esempio RansomHub Team e Lynx Team e Fog Team.

Inoltre, operazioni di Polizia internazionale indirizzate contro alcuni dei maggiori attori di questo settore, come LockBit Team, hanno portato alla scoperta di complesse reti di collaborazioni e scambi, questi ultimi più o meno amichevoli, fra gruppi.

In alcuni casi sono state rilevate interconnessioni o contiguità fra APT e avversari ransomware – fatto già noto da tempo e in crescita negli ultimi mesi – che complica le attività di prevenzione e difesa.

Gli avversari state-sponsored, fra spionaggio, autofinanziamento e disinformazione

Dei quattro grandi attori statali che si oppongono dichiaratamente al blocco NATO – Russia, Cina, Corea del Nord e Iran – la Russia è al momento osservato speciale, essendo forse giunto a un momento di snodo nel conflitto con l’Ucraina. Alla luce della recente vicenda DeepSeek, sarà cruciale seguire l’evoluzione delle strategie di Pechino, in stretta dialettica con il nuovo corso che stanno imprimendo il Presidente Trump ed Elon Musk alla politica internazionale degli USA.

Attività di cyberspionaggio e InfoOps continueranno ad essere essenziali per entrambe le Potenze, da un lato per mantenere il controllo sulle aree di interesse, dall’altro per esercitare sulle audience interne ed estere pressioni e soft power. E il Cremlino non rinuncerà ai rinforzi che le giungono dalle formazioni hacktiviste, come NoName057(16).

Dalla Corea del Nord ci si attende la prosecuzione di campagne ormai note, con progressive variazioni, come quelle che hanno preso di mira i lavoratori in ambito IT e quelle basate sulle laptop farm, che mirano alla raccolta di intelligence e fondi. Quanto all’Iran, la complessa e tragica fase di transizione che sta attraversando il Medio Oriente potrebbe determinare nuove dinamiche e parziali riposizionamenti di cui si potrebbero vedere le ripercussioni anche in ambito cyber.

Vulnerabilità 0-day e spyware commerciali

La recente scoperta di presunte attività illecite svolte con strumenti di monitoraggio della società israelo-statunitense Paragon Solutions ha riacceso i riflettori sulle problematiche relative agli spyware commerciali. Ai presunti 90 target di Graphite si sarebbe aggiunto anche un attivista libico che potrebbe essere stato preso di mira con altre soluzioni. Inoltre, resta sullo sfondo la scoperta di una campagna di monitoraggio interno che sarebbe avvenuta in Serbia attraverso lo spyware Pegasus di NSO Group.

Ad aumentare le probabilità di nuove rivelazioni su campagne spyware si aggiungono segnalazioni di peculiari vulnerabilità.

In questo primo scorcio di 2025 sono state corrette almeno due 0-day il cui sfruttamento potrebbe avere a che fare con tool per le attività forensi. Una di esse, la CVE-2024-53104 del kernel Linux, corretta da Google per gli utenti Android, è stata descritta come una Out-of-bounds Write che consentirebbe l’escalation “fisica” dei privilegi. L’altra, recentissima, è la CVE-2025-24200 di Apple, scoperta da un ricercatore del Citizen Lab di Toronto, che impatta proprio USB Restricted Mode, una feature inserita a protezione da eventuali intrusioni non autorizzate via periferiche USB.

Il ruolo della crittografia post-quantistica nella sicurezza informatica

Nel Rapporto 2024 sullo stato della sicurezza informatica nell’Unione, rilasciato dall’ENISA, si sottolinea che, in termini di tecnologie emergenti, oltre all’AI, uno degli argomenti che hanno guadagnato terreno nell’ultimo anno è la crittografia post-quantistica (PQC).

Come si legge nel documento,

La crittografia è una parte fondamentale della sicurezza informatica, con proprietà di sicurezza quali riservatezza, integrità, autenticazione e non ripudio che dipendono fortemente dai meccanismi crittografici. L’introduzione della tecnologia quantistica promette di guidare progressi significativi in più settori, in quanto ha il potenziale per risolvere problemi che le tecnologie attuali non hanno ancora affrontato.

Tuttavia, presenta anche sfide significative per l’infrastruttura di sicurezza, in particolare nel regno della crittografia. L’ascesa del calcolo quantistico solleva preoccupazioni circa l’integrità e la sicurezza delle attuali soluzioni crittografiche, portando allo sviluppo del campo della crittografia post-quantistica.

Questo campo si concentra sulla creazione di soluzioni crittografiche progettate per essere sicure contro le potenziali minacce poste dai computer quantistici. Mentre i computer quantistici hanno il potenziale per violare molti dei sistemi crittografici attualmente in uso, la crittografia post-quantistica mira a fornire alternative sicure che continueranno a funzionare in un mondo con il calcolo quantistico.

Telsy e TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

I servizi di TS-WAY

TS-Intelligence

TS-Intelligence è una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui servizi di TS-WAY.