Nel 2024, Google ha identificato 75 vulnerabilità zero-day sfruttate nel mondo reale, un calo rispetto alle 98 del 2023, ma un aumento rispetto alle 63 dell'anno precedente. Di questi 75 zero-day, il 44% ha preso di mira prodotti aziendali, con 20 vulnerabilità identificate in software e dispositivi di sicurezza. La diminuzione degli attacchi zero-day su browser e dispositivi mobili è significativa, con una riduzione di circa un terzo per i browser e di circa la metà per i dispositivi mobili rispetto all'anno precedente, secondo il Google Threat Intelligence Group (GTIG).

Microsoft Windows è stato il bersaglio di 22 delle vulnerabilità zero-day nel 2024, mentre Apple ha visto tre vulnerabilità nel browser Safari, due nel sistema iOS, e Android e Chrome hanno registrato sette vulnerabilità ciascuno. Firefox di Mozilla ha subito una vulnerabilità zero-day. Tra le vulnerabilità zero-day sfruttate, 33 hanno coinvolto software e dispositivi aziendali, con 20 che hanno preso di mira prodotti di sicurezza e di rete di aziende come Ivanti, Palo Alto Networks e Cisco. Gli strumenti di sicurezza e dispositivi di rete sono progettati per collegare sistemi diffusi con elevate autorizzazioni, rendendoli obiettivi preziosi per gli attori delle minacce che cercano un accesso efficiente alle reti aziendali.

Nel complesso, sono stati presi di mira 18 fornitori aziendali unici nel 2024, rispetto ai 12 del 2021, 17 del 2022, e 22 del 2023. Le aziende con il maggior numero di zero-day mirati sono state Microsoft (26), Google (11), Ivanti (7), e Apple (5). Google definisce gli zero-day come vulnerabilità sfruttate nel mondo reale prima che sia disponibile una patch pubblica e ha osservato che lo spionaggio cibernetico sostenuto dagli stati è stata la motivazione principale dietro lo sfruttamento di una parte significativa dei bug.

Lo sfruttamento zero-day di 34 delle 75 vulnerabilità è stato attribuito a sei ampi gruppi di attività di minaccia: spionaggio sponsorizzato dallo stato, guidato da Cina, Russia e Corea del Sud; venditori di sorveglianza commerciale; gruppi non statali motivati finanziariamente; gruppi motivati sia dallo spionaggio che dalle finanze, tutti dalla Corea del Nord; e gruppi non statali motivati finanziariamente che conducono anche spionaggio dalla Russia.

Google ha anche scoperto un'iniezione di JavaScript dannoso sul sito web dell'Accademia Diplomatica dell'Ucraina, sfruttando una vulnerabilità per eseguire codice arbitrario. Un'altra catena di exploit ha coinvolto Firefox e Tor, utilizzando una combinazione di vulnerabilità per rompere il sandbox di Firefox ed eseguire codice dannoso con privilegi elevati, facilitando il dispiegamento del RomCom RAT. Questo attacco è stato attribuito a un attore di minacce chiamato RomCom, noto anche come Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu.