Cisco și-a publicat raportul Year in Review 2025 luni, la RSA Conference 2026, dezvăluind că atacatorii au petrecut anul trecut concentrându-se pe sistemele care autentifică utilizatorii și intermediază încrederea, în timp ce instrumentele AI au redus intervalul de timp dintre divulgarea vulnerabilităților și exploatarea lor activă.
Raportul, bazat pe telemetria rețelei globale de senzori Cisco Talos, a constatat că atacatorii „au vizat în mod covârșitor un subset de componente care autentifică direct utilizatorii, aplică decizii de acces sau intermediază încrederea între sisteme”, conform unui comunicat de presă Cisco care a însoțit lansarea. Aproape o treime din toate atacurile de tip spray asupra autentificării multifactor din 2025 au vizat platformele de gestionare a identității și accesului, alături de o creștere de 178 la sută a înregistrărilor frauduloase de dispozitive — în care atacatorii își înregistrează propriul hardware ca factor MFA de încredere pentru a obține acces persistent.
Identitatea ca câmp de luptă
Accentul pus pe identitate continuă o tendință pe care Talos o urmărește de ani de zile. În raportul său din 2024, grupul a constatat că atacurile bazate pe identitate au fost implicate în 60 la sută din incidente. Datele din 2025 sugerează că atacatorii și-au rafinat și mai mult aceste tactici, phishing-ul vocal împotriva departamentelor IT de asistență dovedind a fi de trei ori mai frecvent decât orice altă tehnică pentru înrolarea frauduloasă a dispozitivelor MFA, conform unui blog de politici Cisco care analizează implicațiile raportului pentru Europa.
În Europa și în alte regiuni, raportul a menționat că 40 la sută dintre cele mai vizate vulnerabilități în 2025 au afectat dispozitive ajunse la sfârșitul ciclului de viață — hardware prea vechi pentru a primi patch-uri — creând ceea ce Cisco a descris ca fiind un strat tot mai mare de infrastructură expusă permanent.
React2Shell și viteza exploatării conduse de AI
Printre cele mai dramatice episoade ale anului s-a numărat vulnerabilitatea React2Shell, identificată sub codul CVE-2025-55182, o defecțiune critică de execuție de cod la distanță în React Server Components, dezvăluită pe 3 decembrie 2025. În decurs de 30 de ore, a apărut o dovadă de concept publică, iar Google Threat Intelligence Group a observat exploatări pe scară largă atât de către infractori motivați financiar care implementau mineri de criptomonede, cât și de către grupuri de spionaj presupus sponsorizate de state din China. Microsoft a identificat câteva sute de mașini compromise într-o gamă variată de organizații.
Cisco a declarat că viteza de transformare în armă a React2Shell a ilustrat o schimbare mai amplă. „Vulnerabilități precum React2Shell au cunoscut o exploatare aproape instantanee și automatizată, probabil alimentată de AI agentic folosit pentru a construi noi kituri de exploatare”, a afirmat compania. Raportul a semnalat, de asemenea, apariția malware-ului agentic — cod care își observă mediul și acționează autonom, în loc să execute pur și simplu instrucțiuni pre-scrise.
Apărarea viitorului agentic
Lansarea raportului a coincis cu anunțul Cisco privind noile produse de securitate concepute pentru era agenților AI, inclusiv controale extinse de acces Zero Trust și un framework open-source pentru agenți securizați numit DefenseClaw. Momentul ales a subliniat argumentul companiei că aceleași capabilități agentice care accelerează atacurile trebuie integrate și în instrumentele defensive — înainte ca diferența dintre viteza de exploatare și timpul de răspuns să crească și mai mult.
Surse:
https://blogs.cisco.com/gov/evolution-threat-landscape-gaps-europe-cyber-policy