ESET: AI-gedreven aanvallen en NFC-dreigingen nemen toe 

In aanloop naar 2026 ziet ESET een toename van spionage- en sabotageactiviteiten vanuit zogenoemde Big 4-landen (China, Rusland, Iran, Noord-Korea). Europa loopt hierbij verhoogd risico, zeker gezien de groei van de drone-industrie, defensie-initiatieven en afhankelijkheid van digitale infrastructuur. Rusland verlegt zijn aandacht van Oekraïne naar bredere Europese doelen zoals defensieleveranciers, kritieke infrastructuur en toeleveringsketens. 

Deze verschuiving gaat gepaard met een toename in samenwerking tussen Russische en Wit-Russische dreigingsactoren. China richt zich op handel en technologie, waarbij met name bedrijven die actief zijn in internationale logistiek en export op hun hoede moeten zijn. Tegelijk zijn ook ransomwaregroeperingen uit Noord-Korea actiever, mogelijk als nieuwe bron van inkomsten. Voor Nederland betekent dit extra waakzaamheid voor bedrijven in de defensie-industrie, high-tech sector en vitale infrastructuren.

“De kwaadwillende achter de Nomani-investeringsfraude zijn ook geavanceerder geworden, we zien deepfakes van hogere kwaliteit, tekenen van AI-gegenereerde phishingwebsites en advertenties die kort online staan om onder de radar te blijven,” zegt Jiří Kropáč, Director van ESET Threat Prevention Labs. In de ESET-telemetrie steeg het aantal detecties van Nomani-scams met 62% ten opzichte van vorig jaar, hoewel er in H2 2025 sprake was van een lichte daling. Nomani-campagnes breiden zich daarnaast uit van Meta naar andere platforms, zoals YouTube.

Warlock

Op het gebied van ransomware steeg het aantal slachtoffers al voor het einde van het jaar boven het totaal van 2024 uit. ESET Research verwacht een stijging van 40% op jaarbasis. Akira en Qilin zijn momenteel de dominante groepen binnen ransomware-as-a-service. Tegelijkertijd introduceerde nieuwkomer Warlock vernieuwende manieren om detectie te omzeilen. Tools die endpoint detection and response (EDR) proberen uit te schakelen, blijven zich verspreiden, wat laat zien dat EDR-oplossingen nog altijd een obstakel vormen voor ransomwaregroepen.

Op mobiele platforms bleven NFC-dreigingen zich uitbreiden in schaal en complexiteit, met een toename van 87% in ESET-telemetrie en meerdere opvallende upgrades en campagnes in H2 2025. Ngate, één van de eerste NFC-dreigingen, ontdekt door ESET, kreeg een update waarmee contacten kunnen worden gestolen, mogelijk als voorbereiding op nieuwe aanvallen. RatOn, een volledig nieuw type malware binnen NFC-fraude, combineerde zeldzame functionaliteiten van remote access trojans (RAT’s) met NFC-relayaanvallen, wat aantoont dat cybercriminelen actief nieuwe aanvalsmethoden ontwikkelen. RatOn werd verspreid via nepversies van Google Play en advertenties die zich voordeden als een 18+-versie van TikTok of als een digitale bank-ID-dienst. PhantomCard, nieuwe malware gebaseerd op NGate en gericht op de Braziliaanse markt, werd in H2 2025 in meerdere Braziliaanse campagnes waargenomen.

Na de wereldwijde verstoring in mei wist de Lumma Stealer-infostealer zich nog twee keer kort te herpakken, maar lijkt nu definitief over zijn hoogtepunt heen. Het aantal detecties daalde met 86% in H2 2025 vergeleken met de eerste helft van het jaar. Een belangrijke verspreidingsmethode van Lumma Stealer, de HTML/FakeCaptcha-trojan die werd ingezet in ClickFix-aanvallen, verdween vrijwel volledig uit de telemetrie van ESET.

Polen

Tegelijkertijd kreeg CloudEyE, ook bekend als GuLoader, veel meer aandacht: het aantal detecties steeg bijna dertig keer volgens ESET-telemetrie. Deze malware-as-a-service downloader en cryptor wordt verspreid via kwaadaardige e-mails en dient om andere malware te installeren, waaronder ransomware en beruchte infostealers zoals Rescoms, Formbook en Agent Tesla. Vooral Polen werd zwaar getroffen: 32% van de aanvalspogingen met CloudEyE in H2 2025 vond daar plaats.

Voor meer informatie, bekijk het volledige ESET Threat Report H2 2025 op WeLiveSecurity.com.