ESET Research heeft het Threat Report H2 2025 gepubliceerd, gebaseerd op data van juni tot en met november 2025. Het rapport laat een duidelijke toename zien van AI-gedreven aanvallen, groeiende NFC-dreigingen en verschuivingen binnen het ransomwarelandschap.
Volgens ESET zijn NFC-gerelateerde dreigingen in de tweede helft van 2025 sterk toegenomen in omvang en complexiteit. De telemetrie van het beveiligingsbedrijf laat een stijging van 87 procent zien, met meerdere nieuwe campagnes en technische uitbreidingen. Ngate, een eerder ontdekte NFC-dreiging, kreeg nieuwe functionaliteit waarmee contactgegevens kunnen worden buitgemaakt. Daarnaast werd RatOn waargenomen, een nieuw type malware dat functionaliteit van remote access trojans combineert met NFC-relayaanvallen. Deze malware werd verspreid via valse appstores en misleidende advertenties die zich voordeden als alternatieve versies van bestaande apps. Ook PhantomCard, gebaseerd op NGate en gericht op de Braziliaanse markt, dook in meerdere campagnes op.
Het rapport beschrijft dat AI in H2 2025 nadrukkelijker wordt ingezet door cybercriminelen. ESET ontdekte PromptLock, ransomware die gebruikmaakt van AI om zelfstandig kwaadaardige scripts te genereren. Tegelijkertijd ziet het bedrijf verbeteringen in bestaande oplichtingstechnieken, waaronder realistischer deepfakes, aanwijzingen voor AI-gegenereerde phishingwebsites en kortlopende advertentiecampagnes die bedoeld zijn om detectie te ontwijken. Detecties van Nomani-investeringsfraude lagen in totaal 62 procent hoger dan een jaar eerder, ondanks een lichte daling binnen H2 2025. Deze campagnes verschoven daarbij van sociale platforms naar onder meer videodiensten.
Binnen ransomware steeg het aantal slachtoffers in 2025 al boven het niveau van 2024 uit. ESET verwacht over het hele jaar een groei van 40 procent. Akira en Qilin worden genoemd als dominante ransomware-as-a-service-groepen, terwijl nieuwkomer Warlock nieuwe methoden introduceerde om detectie te omzeilen. Tegelijk blijft het gebruik van tools om endpoint detection and response uit te schakelen toenemen.
Op geopolitiek vlak signaleert ESET een toename van digitale spionage en sabotage door statelijke actoren uit China, Rusland, Iran en Noord-Korea. Europa geldt daarbij als belangrijk doelwit, onder meer vanwege defensie-initiatieven, digitale infrastructuur en internationale toeleveringsketens. Ook Noord-Koreaanse ransomwaregroepen zijn actiever geworden, mogelijk met financiële motieven.
De Lumma Stealer-infostealer verloor in H2 2025 aanzienlijk aan terrein. Het aantal detecties daalde met 86 procent ten opzichte van de eerste helft van het jaar. Daartegenover staat een sterke opmars van CloudEyE, ook bekend als GuLoader. Het aantal detecties nam bijna dertig keer toe, waarbij Polen goed was voor 32 procent van de waargenomen aanvalspogingen in de tweede helft van 2025.
