L’anno scorso istituzioni, accademia e settore aerospaziale sono stati i principali obiettivi degli attacchi informatici di attori legati alla Cina nell’Europa meridionale, regionale che comprende anche l’Italia. È quanto emerge dal Global Threat Report 2025, pubblicato dalla società CrowdStrike, che rivela un’escalation delle operazioni informatiche della Cina, un aumento dell’uso dell’intelligenza artificiale generativa per ingegneria sociale e attacchi mirati da parte di attori statali, e una crescita vertiginosa delle intrusioni senza malware basate sull’identità. Il rapporto evidenzia che gli avversari legati a Pechino hanno intensificato le operazioni di cyber spionaggio del 150%, con attacchi mirati nei settori finanziario, mediatico, manifatturiero e industriale aumentati fino al 300%.

Il rapporto racconta come gli attori ostili stiano sfruttando sempre più l’intelligenza artificiale generativa per ingannare le vittime, rubare credenziali e orchestrare attacchi che attraversano diversi domini – endpoint, cloud e identità – per aggirare i sistemi di sicurezza e operare senza essere rilevati. Il passaggio alle intrusioni senza malware, combinate con tempi di compromissione record, riduce drasticamente il margine di reazione per i difensori. Per contrastare queste minacce, i team di sicurezza devono eliminare le lacune di visibilità, rilevare in tempo reale i movimenti degli avversari e bloccare gli attacchi prima che si diffondano. Una volta che gli hacker hanno ottenuto accesso, è già troppo tardi.

Monitorando oltre 250 gruppi noti e 140 cluster emergenti di attività malevola, CrowdStrike ha rilevato: sette nuovi gruppi di attacco legati alla Cina, contribuendo a un aumento del 150% nelle operazioni di cyber spionaggio (i settori più colpiti hanno visto un incremento degli attacchi fino al 300%); l’uso dell’intelligenza artificiale per il phishing e la manipolazione psicologica ha portato a un aumento del 442% nelle truffe vocali (vishing) tra il primo e il secondo semestre del 2024; gli attori legati a Teheran hanno utilizzato l’intelligenza artificiale per la ricerca di vulnerabilità, lo sviluppo di exploit e il potenziamento delle reti nazionali, allineandosi alle iniziative governative iraniane nel settore dell’intelligenza artificiale; il 79% delle intrusioni iniziali nel 2024 non ha impiegato malware (gli hacker sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere individuati); il tempo medio di “breakout” (il tempo impiegato da un hacker per muoversi lateralmente nella rete dopo un’intrusione) è sceso a 48 minuti, con un record minimo di 51 secondi, lasciando pochissimo tempo per una risposta efficace; le intrusioni nei sistemi cloud non attribuite a gruppi specifici sono aumentate del 26% rispetto all’anno precedente; il 52% delle vulnerabilità sfruttate dagli hacker era legato all’accesso iniziale ai sistemi, dimostrando la necessità di rafforzare la sicurezza delle porte d’ingresso prima che gli avversari possano stabilire una presenza persistente.

“Il crescente spionaggio informatico cinese, unito alla rapida diffusione dell’intelligenza artificiale generativa per la manipolazione e l’inganno, sta costringendo le organizzazioni a ripensare il loro approccio alla sicurezza”, ha dichiarato Adam Meyers, responsabile delle operazioni contro gli avversari di CrowdStrike. “Gli hacker sfruttano falle nelle identità, ingegneria sociale e attacchi multi-dominio per aggirare le difese tradizionali, rendendole inefficaci. Fermare le violazioni richiede una piattaforma unificata, alimentata da intelligence in tempo reale e threat hunting avanzato, capace di correlare attività tra identità, cloud ed endpoint per eliminare i punti ciechi dove si nascondono gli avversari”.