Броят на активно използваните уязвимости от „нулев ден“ в реални атаки остава висок. През 2025 г. са регистрирани 90 такива уязвимости – повече от предходната година. Данните на Google показват и друга важна тенденция: нападателите все по-често се насочват към корпоративни системи и мрежова инфраструктура.
Регистрирани са общо 90 уязвимости тип “нулев ден“, използвани в реални атаки през 2025 г., спрямо 78 през 2024 г., по данни от анализ на Google Threat Intelligence Group.
Уязвимостите тип „нулев ден“ са софтуерен дефект, който се експлоатира преди производителят да публикува корекция. Това прави подобни атаки особено опасни. Реално защитата изостава и това дава прозорец от време на нападателите да действат.
От Google уточняват, че статистиката отразява само случаите, които са успели да проследят. Някои инциденти стават публични едва по-късно. Всички уязвимости в анализирания набор данни вече имат налични корекции.
Фокусът се измества към корпоративната инфраструктура
Най-съществената промяна е в целите на атаките. Почти половината от всички регистрирани “zero-day” експлойти през 2025 г. засягат корпоративни технологии.
Според анализа, 43 уязвимости – или около 48% от всички – са насочени към корпоративен софтуер и специализирани мрежови устройства. Това е най-високият дял, който изследователите са наблюдавали досега.
В същото време експлоатацията на браузъри намалява. Делът ѝ пада под 10% от всички случаи. За сметка на това нараства интересът към операционни системи. Десктоп и мобилните платформи заедно формират около 44% от проследените атаки.
Мрежовата периферия остава слабата точка
Особено уязвими се оказват устройствата по периферията на корпоративните мрежи. Това включва рутери, защитни стени, VPN шлюзове и други системи за мрежова сигурност.
Около половината от корпоративните “zero-day” уязвимости – общо 21 – засягат именно такива устройства. Те често се намират на границата между вътрешната мрежа и интернет. Това ги превръща в удобна входна точка за шпионски операции.
От Google Threat Intelligence Group подчертават и друг проблем. Много от тези устройства нямат инсталирани системи за откриване и реакция при инциденти. Липсва и пълна видимост върху активността им. Това прави откриването на компрометиране значително по-трудно.
През 2025 г. са регистрирани 14 уязвимости “нулев ден“ в подобни периферни устройства. Според Google, реалният брой вероятно е по-висок.
Нападателите също така се насочват към корпоративен софтуер и платформи за виртуализация. При успешна атака те могат да осигурят широк достъп до корпоративни мрежи и данни.
Често атакувани доставчици
Разпределението на атаките по доставчици следва тенденции, наблюдавани и в предходни години. Най-много експлоатирани уязвимости има в масови потребителски технологии като десктоп операционни системи, браузъри и мобилни платформи.
Но и компаниите за мрежова сигурност остават основна мишена. Сред най-често атакуваните доставчици в тази категория са Cisco и Fortinet.
В анализа се посочва също, че системите на Ivanti и VMware продължават да бъдат обект на атаки, свързани с VPN инфраструктура и виртуализационни среди.
Сложността при мобилните атаки расте
“Zero-day” уязвимостите в мобилни платформи също се увеличават. През 2025 г. са регистрирани 15 такива случая. За сравнение, през 2024 г. те са били девет, а година преди това – 17.
Тези колебания се дължат на начина, по който се изграждат т.нар. експлойт вериги. При някои атаки се комбинират три или повече уязвимости, според анализа. Така един инцидент може да включва няколко отделни дефекта.
В други случаи нападателите търсят по-ниски нива на достъп в дадено приложение или услуга и успяват с по-малко уязвимости.
От Google отбелязват и адаптацията на нападателите към новите защитни механизми в мобилните платформи. Компаниите, разработващи комерсиални инструменти за наблюдение, активно усъвършенстват експлойтите си, за да заобикалят тези защити.
Финансово мотивирани атаки и рансъмуер
Киберпрестъпни групи с финансова мотивация са свързани с девет “zero-day” уязвимости през 2025 г. Това е почти колкото през 2023 г., когато броят им е бил 10. Две от тези уязвимости са използвани в операции, довели до внедряване на рансъмуер.
Google описва и мащабна кампания за изнудване, свързана с бранда CL0P. В нея нападателите изпращат имейли до ръководители на компании с твърдения, че са откраднали данни от системи на Oracle E-Business Suite.
Анализът показва, че кампанията е следвала месеци на скрита проникваща активност. Използвани са уязвимостите CVE-2025-61882 и CVE-2025-61884 като “zero-day” атаки срещу клиенти на Oracle.
AI ще ускори надпреварата
Според прогнозата на Google, ролята на изкуствения интелект в киберсигурността ще нараства бързо. И от двете страни на конфликта.
Нападателите могат да използват AI за по-бързо откриване на уязвимости, автоматизирано разузнаване и разработване на експлойти. Защитниците също ще разчитат на подобни технологии, особено в системите за мониторинг на сигурността.
В дългосрочен план се очаква все по-голяма роля на автономните AI агенти, които могат активно да откриват нови уязвимости и да подпомагат производителите при разработване на корекции още преди те да бъдат използвани в реални атаки.
