Aanvallers gebruiken AI om malware sneller te bouwen en op te schalen, terwijl de technische verfijning achterblijft. Dat meldt HP Wolf Security in het nieuwste Threat Insights Report. Modulaire malware en geautomatiseerde infectiescripts blijken voldoende om bestaande detectiemechanismen te passeren.
Het rapport van HP Wolf Security analyseert dreigingen uit de periode oktober tot en met december 2025. Daaruit komt een patroon naar voren waarin aanvallers AI inzetten om campagnes sneller samen te stellen en aan te passen. De focus ligt op efficiëntie en schaalbaarheid, niet op technische complexiteit. Ondanks die relatief lage kwaliteit weten de campagnes beveiligingslagen te omzeilen.
Een van de beschreven technieken is zogenoemd vibe-hacking. Daarbij genereren aanvallers met behulp van AI kant-en-klare infectiescripts die de verspreiding van malware automatiseren. In een geanalyseerde campagne activeerde een link in een vervalste factuur-pdf een ongeziene download vanaf een gecompromitteerde website. Slachtoffers werden vervolgens doorgestuurd naar vertrouwde platforms zoals Booking.com. Die redirect moest argwaan wegnemen terwijl op de achtergrond malware werd uitgevoerd.
Daarnaast signaleren de onderzoekers het gebruik van modulaire, kant-en-klare malwarecomponenten, door HP aangeduid als flat-pack malware. Dreigingsactoren combineren losse bouwstenen, vermoedelijk afkomstig van hackerforums, tot complete aanvalsketens. Hoewel lokmiddelen en uiteindelijke payloads verschillen, keren dezelfde scripts en installers terug in meerdere campagnes. Volgens het rapport gaat het niet om één specifieke groep, maar om verschillende, niet-verwante actoren die dezelfde componenten gebruiken. Dat wijst op een groeiende standaardisering van aanvalsmiddelen binnen het cybercriminele ecosysteem.
Ook zogenoemde piggyback-aanvallen blijven in omloop. In recente campagnes werden via zoekmachinevergiftiging en malafide advertenties nepwebsites van Microsoft gepromoot die zich voordeden als downloadpagina’s voor Microsoft Teams. Slachtoffers installeerden een gemanipuleerd installatiepakket waarin Oyster Loader-malware verborgen zat. Tijdens het installatieproces werd de legitieme applicatie daadwerkelijk geïnstalleerd, terwijl op de achtergrond een achterdeur op het systeem werd geplaatst.
HP plaatst de bevindingen in de bredere ontwikkeling waarin aanvallers automatisering inzetten om het tempo van aanvallen op te voeren. Detectiegebaseerde beveiliging komt daarbij onder druk te staan, doordat nieuwe varianten in korte tijd worden gegenereerd en verpakt. Volgens het bedrijf verschuift de nadruk daarom richting isolatie van risicovolle activiteiten en het beperken van rechten op endpointniveau.
De cijfers uit het rapport laten zien dat 14 procent van de door HP Sure Click geïdentificeerde e-maildreigingen ten minste één e-mailgateway-scanner wist te omzeilen. Uitvoerbare bestanden vormden met 37 procent het meest gebruikte verspreidingsmiddel, gevolgd door .zip-bestanden met 11 procent en .docx-bestanden met 10 procent.
HP Wolf Security baseert het onderzoek op telemetrie van miljoenen endpoints. Volgens het bedrijf hebben klanten inmiddels op meer dan 60 miljard e-mailbijlagen, webpagina’s en downloads geklikt zonder gemelde beveiligingsincidenten.
Het rapport schetst daarmee een dreigingslandschap waarin eenvoud en hergebruik centraal staan. De inzet van AI vergroot de snelheid waarmee campagnes worden opgebouwd, terwijl bestaande beveiligingslagen niet altijd gelijke tred houden.
