O Google Threat Intelligence Group (GTIG) monitorou 90 vulnerabilidades zero-day exploradas ativamente ao longo de 2025, quase metade delas em softwares e dispositivos corporativos.
Esse número representa um aumento de 15% em relação a 2024, quando foram registrados 78 zero-days explorados, embora seja inferior ao recorde de 100 vulnerabilidades contabilizadas em 2023.
Zero-day é um tipo de vulnerabilidade de segurança presente em produtos de software que os atacantes exploram antes que os fabricantes tenham conhecimento e possam desenvolver um patch.
Essas falhas são altamente valorizadas por cibercriminosos, pois costumam permitir acesso inicial, execução remota de código ou escalonamento de privilégios.
No relatório divulgado pelo GTIG, entre as 90 zero-days exploradas em 2025, 47 tinham como alvo plataformas voltadas ao usuário final, enquanto 43 atacaram produtos empresariais.
As falhas exploradas incluem execução remota de código, escalonamento de privilégios, injeção de código, deserialização insegura, bypass de autorização e corrupção de memória, como o uso após liberação (use-after-free).
Segundo o Google, problemas relacionados à segurança de memória foram responsáveis por 35% das zero-days exploradas no último ano.
Entre os sistemas corporativos, os mais visados foram appliances de segurança, infraestrutura de rede, VPNs e plataformas de virtualização.
Esses alvos são frequentes porque oferecem acesso privilegiado à rede e geralmente não contam com monitoramento via EDR (Endpoint Detection and Response).
Falhas em sistemas operacionais foram a categoria mais explorada em 2025, com 24 zero-days em desktops e 15 em plataformas móveis.
Já os exploits em navegadores caíram para oito casos, uma queda significativa em comparação a anos anteriores.
Analistas do Google acreditam que isso se deve ao endurecimento das medidas de segurança nesses softwares, mas também pode refletir o uso de táticas de evasão mais avançadas por parte dos atacantes, cada vez melhores em ocultar atividades maliciosas.
No ranking de fornecedores mais visados, a Microsoft liderou com 25 zero-days exploradas, seguida pelo Google, com 11, Apple, com oito, Cisco e Fortinet, com quatro cada, e Ivanti e VMware, com três cada.
Pela primeira vez desde que o Google começou a monitorar explorações zero-day, fornecedores de spyware comercial (CSV, do inglês Commercial Spyware Vendors) foram os maiores usuários dessas falhas não documentadas, ultrapassando grupos de espionagem patrocinados por Estados.
Isso pode indicar que espiões estatais estão adotando técnicas de ocultação mais sofisticadas.
“Esse cenário confirma uma tendência consolidada nos últimos anos: o crescimento gradual da exploração de zero-days por fornecedores de spyware comercial e seus clientes, apontando para uma mudança significativa no panorama de ameaças”, afirma o relatório do GTIG.
Entre os atores estatais, grupos de espionagem ligados à China continuam os mais ativos, com 10 zero-days exploradas em 2025.
As invasões focaram principalmente em dispositivos de borda, appliances de segurança e equipamentos de rede, visando acesso persistente a longo prazo.
Outro destaque do período foi o aumento da exploração de zero-days por atores financeiros, como grupos de ransomware e extorsão de dados, responsáveis por nove dessas vulnerabilidades.
O GTIG prevê que o uso de ferramentas de inteligência artificial vai acelerar a descoberta de vulnerabilidades e o desenvolvimento de exploits, mantendo em níveis elevados a exploração de zero-days em 2026.
A campanha Brickstorm é citada no relatório como exemplo da mudança de foco dos hackers: antes concentrados no roubo de código-fonte, agora eles buscam falhas em produtos de software ainda em desenvolvimento.
Para detectar e conter a exploração de zero-days, o Google recomenda reduzir as superfícies de ataque e a exposição de privilégios, monitorar continuamente sistemas em busca de comportamentos anômalos, além de manter processos ágeis de aplicação de patches e resposta a incidentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...