下半年凸显了攻击方适应和创新的速度,威胁格局中迅速变化。
2025年下半年,人工智能驱动的恶意软件从理论变成现实,ESET发现了PromptLock——已知的首款AI驱动勒索软件,能够实时生成恶意脚本。虽然人工智能仍主要用于制作令人信服的钓鱼和诈骗内容,但PromptLock——以及迄今为止被识别出的其他少数AI驱动威胁——预示着威胁的新纪元。
在五月全球爆发后,Lumma Stealer曾短暂回归——两次——但其辉煌时代很可能已经结束。2025年下半年,检测数量比上半年骤降86%,Lumma窃取者——HTML/伪验证码木马,用于ClickFix攻击——的重要传播途径几乎从遥测数据中消失。
与此同时,CloudEyE,也被称为GuLoader,迅速崛起,在ESET遥测数据中几乎增长了三十倍。通过恶意邮件活动分发,这种恶意软件即服务下载器和加密器被用来部署其他恶意软件,包括勒索软件,以及像Rescoms、Formbook和Agent Tesla这样的信息窃取巨头。
在勒索软件领域,受害者数量早在年底前就超过了2024年的总数,ESET研究的预测显示年增40%。Akira和Qilin现主导了勒索软件即服务市场,而低调的新秀Warlock则引入了创新的规避技术。EDR杀手持续大量出现,凸显了终端检测和响应工具仍是勒索软件作者面临的重要障碍。2025年上半年,ESET研究人员发现了HybridPetya——一种臭名昭著的恶意软件的新衍生版本,能够攻破基于现代UEFI系统的Petya勒索软件,令人不快。
在安卓平台上,NFC威胁规模和复杂度持续增长,2025年下半年ESET遥测数据增长了87%,并进行了多项显著升级和活动。NGate——NFC威胁中的先驱,ESET于2024年首次描述——获得了接触窃取的升级,这很可能为未来的攻击奠定了基础。RatOn,NFC诈骗领域全新的恶意软件,罕见地融合了RAT功能与NFC中继攻击,展现了网络犯罪分子追求新攻击途径的决心。
Nomani投资骗局背后的骗子也不断完善他们的技巧——我们观察到更高质量的深度伪造、AI生成的钓鱼网站迹象,以及越来越短暂的广告活动以避免被发现。在ESET遥测中,Nomani诈骗的检测同比增长了62%,2025年下半年这一趋势略有下降。