ESET Threat Report H2 2025: AI-gedreven aanvallen en NFC-dreigingen nemen toe

Sliedrecht, 17 december 2025 – ESET Research heeft haar nieuwste Threat Report uitgebracht, hierin worden de meest recente trends, over de periode van juni tot en met november 2025, van het dreigingslandschap besproken. In H2 2025 werd AI-aangestuurde malware realiteit: ESET ontdekte PromptLock, de eerste bekende ransomware die gebruikmaakt van AI en zelf kwaadaardige scripts kan genereren. AI wordt nu vooral ingezet om overtuigende phishing- en scamcontent te maken, maar PromptLock en enkele andere recente AI-dreigingen markeren het begin van een nieuw type cyberaanval.

In aanloop naar 2026 ziet ESET een toename van spionage- en sabotageactiviteiten vanuit zogenoemde Big 4-landen (China, Rusland, Iran, Noord-Korea). Europa loopt hierbij verhoogd risico, zeker gezien de groei van de drone-industrie, defensie-initiatieven en afhankelijkheid van digitale infrastructuur. Rusland verlegt zijn aandacht van Oekraïne naar bredere Europese doelen zoals defensieleveranciers, kritieke infrastructuur en toeleveringsketens. Deze verschuiving gaat gepaard met een toename in samenwerking tussen Russische en Wit-Russische dreigingsactoren. China richt zich op handel en technologie, waarbij met name bedrijven die actief zijn in internationale logistiek en export op hun hoede moeten zijn. Tegelijk zijn ook ransomwaregroeperingen uit Noord-Korea actiever, mogelijk als nieuwe bron van inkomsten. Voor Nederland betekent dit extra waakzaamheid voor bedrijven in de defensie-industrie, high-tech sector en vitale infrastructuren.

“De kwaadwillende achter de Nomani-investeringsfraude zijn ook geavanceerder geworden, we zien deepfakes van hogere kwaliteit, tekenen van AI-gegenereerde phishingwebsites en advertenties die kort online staan om onder de radar te blijven,” zegt Jiří Kropáč, Director van ESET Threat Prevention Labs. In de ESET-telemetrie steeg het aantal detecties van Nomani-scams met 62% ten opzichte van vorig jaar, hoewel er in H2 2025 sprake was van een lichte daling. Nomani-campagnes breiden zich daarnaast uit van Meta naar andere platforms, zoals YouTube.

Op het gebied van ransomware steeg het aantal slachtoffers al voor het einde van het jaar boven het totaal van 2024 uit. ESET Research verwacht een stijging van 40% op jaarbasis. Akira en Qilin zijn momenteel de dominante groepen binnen ransomware-as-a-service. Tegelijkertijd introduceerde nieuwkomer Warlock vernieuwende manieren om detectie te omzeilen. Tools die endpoint detection and response (EDR) proberen uit te schakelen, blijven zich verspreiden, wat laat zien dat EDR-oplossingen nog altijd een obstakel vormen voor ransomwaregroepen.

Op mobiele platforms bleven NFC-dreigingen zich uitbreiden in schaal en complexiteit, met een toename van 87% in ESET-telemetrie en meerdere opvallende upgrades en campagnes in H2 2025. Ngate, één van de eerste NFC-dreigingen, ontdekt door ESET, kreeg een update waarmee contacten kunnen worden gestolen, mogelijk als voorbereiding op nieuwe aanvallen. RatOn, een volledig nieuw type malware binnen NFC-fraude, combineerde zeldzame functionaliteiten van remote access trojans (RAT’s) met NFC-relayaanvallen, wat aantoont dat cybercriminelen actief nieuwe aanvalsmethoden ontwikkelen. RatOn werd verspreid via nepversies van Google Play en advertenties die zich voordeden als een 18+-versie van TikTok of als een digitale bank-ID-dienst. PhantomCard, nieuwe malware gebaseerd op NGate en gericht op de Braziliaanse markt, werd in H2 2025 in meerdere Braziliaanse campagnes waargenomen.

Na de wereldwijde verstoring in mei wist de Lumma Stealer-infostealer zich nog twee keer kort te herpakken, maar lijkt nu definitief over zijn hoogtepunt heen. Het aantal detecties daalde met 86% in H2 2025 vergeleken met de eerste helft van het jaar. Een belangrijke verspreidingsmethode van Lumma Stealer, de HTML/FakeCaptcha-trojan die werd ingezet in ClickFix-aanvallen, verdween vrijwel volledig uit de telemetrie van ESET.

Tegelijkertijd kreeg CloudEyE, ook bekend als GuLoader, veel meer aandacht: het aantal detecties steeg bijna dertig keer volgens ESET-telemetrie. Deze malware-as-a-service downloader en cryptor wordt verspreid via kwaadaardige e-mails en dient om andere malware te installeren, waaronder ransomware en beruchte infostealers zoals Rescoms, Formbook en Agent Tesla. Vooral Polen werd zwaar getroffen: 32% van de aanvalspogingen met CloudEyE in H2 2025 vond daar plaats.

Voor meer informatie, bekijk het volledige ESET Threat Report H2 2025 op WeLiveSecurity.com.

Volg ESET Research op X en BlueSky voor het laatste nieuws.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.