X-Force Threat Intelligence Index 2026

Negli ultimi due anni, X-Force ha riportato l'abuso di credenziali valide come principale vettore di accesso iniziale utilizzato dagli criminali informatici in diversi settori e regioni.

L'attrattiva di utilizzare credenziali legittime per accedere alle infrastrutture ha attirato i criminali informatici per la sua relativa semplicità e l'alto tasso di successo. Tuttavia, nel 2025, X-Force ha osservato un drastico cambiamento in questa tendenza. Abbiamo assistito a un aumento del 44% degli incidenti causati dallo sfruttamento di applicazioni pubbliche. Questo aumento rappresentava il 40% dei casi, mentre l'uso di credenziali valide rappresentava solo il 32% dei casi. Le applicazioni pubbliche sono soggette a sfruttamento attraverso vulnerabilità o configurazioni errate associate alla distribuzione, alla configurazione o a entrambe.

Questa tendenza è stata aggravata da un aumento degli attacchi alla supply chain che hanno sempre più preso di mira ecosistemi di sviluppo e infrastrutture affidabili, il che significa che le vulnerabilità venivano sfruttate prima nel ciclo di vita del software e su scala molto più ampia. Questo cambiamento può anche essere collegato ai punti deboli negli ambienti client osservati da X-Force Red (descritti più avanti in questo report), dove configurazioni errate, autenticazione debole e codice non sicuro, identificati da Common Attack Pattern Enumeration and Classification CAPEC-49, CAPEC-180 e CAPEC-242, hanno fornito costantemente punti di ingresso facili. Insieme, la fragilità sistemica negli ecosistemi della supply chain e la prevalenza di queste debolezze CAPEC fondamentali hanno accelerato notevolmente lo sfruttamento delle vulnerabilità nel corso del 2025.

Inoltre, abbiamo osservato un aumento degli sforzi di scoperta e di segnalazione nel 2025. X-Force mantiene un database che traccia le vulnerabilità nel tempo, e i nostri dati indicano una notevole tendenza al rialzo per nuove vulnerabilità su base annua. Questa tendenza segna la crescente complessità degli ecosistemi software e della superficie di attacco disponibile, che include anche i sistemi AI. È anche plausibile che questo aumento della segnalazione delle vulnerabilità derivi in parte da ricercatori e criminali informatici che utilizzano strumenti di AI e machine learning per identificare le vulnerabilità.

Inoltre, le vulnerabilità monitorate possono essere classificate in due categorie, in base alla necessità di autenticazione per lo sfruttamento. I dati rivelano che la maggior parte delle vulnerabilità (56%) potrebbe essere sfruttata senza autenticazione, aumentando di molto la potenziale superficie di attacco. Questa tendenza evidenzia un problema critico di sicurezza. I sistemi privi di controlli di autenticazione sono più suscettibili ad accessi e sfruttamenti non autorizzati, rendendo essenziale per le organizzazioni implementare meccanismi di autenticazione robusti e applicare politiche di accesso rigorose.

Sebbene non sia più il principale vettore di accesso iniziale, l'uso improprio di account validi rappresenta quasi un terzo dei casi, indicando una continua dipendenza da credenziali legittime. Le credenziali legittime restano uno dei punti di ingresso preferiti dei criminali informatici perché eliminano la necessità di exploit e permettono di integrarsi perfettamente nel normale processo di autenticazione. Questo tema è evidente in molteplici indagini IBM X-Force.

Le campagne basate sul furto di credenziali come fase abilitante mostrano lo stesso schema:

• L'operazione 2025 di Hive0145 contro le organizzazioni tedesche ha consentito a Strela Stealer di raccogliere gli accessi a Microsoft Outlook e Mozilla Thunderbird. Una volta ottenute, quelle credenziali reali consentivano ai criminali informatici di accedere alle caselle di posta e impersonare gli utenti.
  
  
• Allo stesso modo, l'ondata di spear-phishing focalizzata sulla Francia ha utilizzato dati esfiltrati dei clienti degli ISP per attirare le vittime a inserire le loro credenziali Amazon su una pagina di login falsa, consentendo l'immediata presa di controllo degli account senza alcun exploit tecnico.

Oltre alle campagne di phishing per il furto di credenziali, i criminali informatici prendono di mira anche sistemi che memorizzano o gestiscono credenziali di alto valore. Il nostro team X-Force Red Adversary Services ha pubblicato ricerche sulla decrittazione delle credenziali SCCM (Microsoft System Center Configuration Manager). Gli analisti hanno dimostrato che una volta che un criminale informatico entra nel server di un Configuration Manager, può estrarre e decrittografare le password degli account di servizio memorizzate nel database SCCM. Possono quindi utilizzare quelle credenziali valide per orientarsi all'interno dell'ambiente con la stessa fiducia e portata dell'infrastruttura di gestione dell'organizzazione. Il criminale informatico non ha bisogno di utilizzare un exploit in quella fase: semplicemente "accede" con account SCCM che automatizzano l'implementazione del software e dispongono di ampi permessi di rete, trasformando un singolo server compromesso in accesso a livello aziendale.

L'uso di credenziali legittime, ottenute sia tramite phishing che rubate, può permettere ai criminali informatici di passare da utente esterno a utente autorizzato, bypassando i controlli e ottenendo accessi persistenti e a bassa visibilità.

Comprendendo quanto siano preziose le credenziali, non sorprende che questi siano alcuni degli elementi più ricercati nei marketplace dei criminali informatici. La nostra analisi ha rilevato che la raccolta di credenziali è in cima alla lista degli impatti subiti dalle organizzazioni vittime nel 2025.

La proliferazione dei chatbot AI nelle operazioni aziendali ha creato un nuovo vettore di attacco per i criminali informatici che utilizzano il malware infostealer. Man mano che le organizzazioni integrano sempre più le tecnologie di chatbot AI nei loro workflow, è emerso il rischio di sistemi infetti con credenziali memorizzate per queste piattaforme. Inoltre, il furto delle credenziali dei chatbot AI che consentono l'accesso ad altri sistemi, illustrato dall'incidente Salesloft/Drift in cui i criminali informatici hanno rubato i token Drift OAuth e li hanno usati per penetrare in più ambienti Salesforce, dimostra che l'accesso basato su token chatbot ad altri sistemi sta già avvenendo e potrebbe avvenire più ampiamente.

Le 5 piattaforme principali, ovvero ChatGPT (OpenAI), Microsoft Copilot, Google Gemini, Perplexity e Claude AI (Anthropic), sono state esaminate per individuare account in vendita sul dark web contenenti credenziali per le piattaforme.  La visibilità varia notevolmente da piattaforma a piattaforma inclusa nel set di dati. Quelli che utilizzano fornitori di terze parti, come SSO, Apple, Google o Microsoft, non hanno credenziali specifiche memorizzate che, pertanto, non possono essere identificate nei dati delle credenziali. Nel 2025 sono state rilevate oltre 300.000 credenziali ChatGPT in vendita.

Inoltre, nel febbraio 2025, un attore delle minacce ha pubblicato esempi di credenziali ChatGPT su BreachForums e ha affermato di aver rubato oltre 20 milioni di account.  Sebbene nessuna delle credenziali di esempio pubblicate fosse più valida, corrispondevano tutte alle infezioni da infostealer e alle raccolte di credenziali trapelate osservate nel 2024 e prima. Questo illustra come il furto di credenziali su larga scala derivante da attività passata di infostealer possa riemergere come nuova leva criminale, trasformando dati precedentemente compromessi in nuove opportunità di sfruttamento.

Sebbene il 2025 abbia visto interventi significativi contro le infrastrutture malware degli infostealer, come nel caso di Lumma e Rhadamanthys, l’uso di infostealer rimane comunque un metodo semplice per i criminali informatici per ottenere accesso agli ambienti delle organizzazioni.

Come per l'adozione di altre nuove tecnologie, le aziende devono prima valutare le politiche e l'adozione di ai chatbot all'interno della propria organizzazione.  A seguire, dovrebbero dare priorità all'educazione alla consapevolezza sulla cybersecurity e al miglioramento della protezione delle credenziali, come l'uso di autenticazione multifattore e le chiave di accesso, la rilevazione di pattern di accesso anomali e il monitoraggio dell'esposizione delle credenziali.