ESET Research dévoile son rapport semestriel couvrant la période de juin à novembre 2025.
Ce document analyse les tendances du paysage des menaces, observées à la fois par la télémétrie ESET et par les analyses des experts en détection et en recherche des laboratoires ESET.
Au second semestre 2025, les malwares qui utilisent l’intelligence artificielle sont passés du stade conceptuel à des usages concrets. ESET a ainsi identifié PromptLock, le premier ransomware connu, piloté par l’IA, capable de générer dynamiquement des scripts malveillants. Si l’IA demeure aujourd’hui principalement utilisée pour produire des contenus d’hameçonnages et d’escroquerie plus réalistes, PromptLock, aux côtés de quelques autres menaces émergentes basées sur l’IA, amorce une nouvelle ère dans l’évolution des cybermenaces.
«Les opérateurs derrière les arnaques à l’investissement Nomani ont également perfectionné leurs méthodes. Nous avons constaté une nette amélioration de la qualité des deepfakes, l’apparition de sites de phishing générés par l’IA, ainsi que des campagnes publicitaires éphémères pour échapper au mécanisme de détection», explique Jiří Kropáč, directeur des laboratoires de prévention des menaces chez ESET.
Selon la télémétrie d’ESET, les détections liées aux arnaques Nomani ont progressé de 62% sur un an, malgré un léger ralentissement observé au second semestre 2025. Ces arnaques, initialement diffusées sur Meta, sont apparues sur d’autres plateformes, dont YouTube.
Sur le front des ransomwares, le nombre de victimes a dépassé les chiffres de 2024 bien avant la fin de l’année. Les projections d’ESET Research font état d’une hausse annuelle de 40%. Les groupes Akira et Qilin se sont imposés comme les principaux acteurs du modèle «ransomware as a service», tandis que Warlock, un nouvel entrant plus discret, s’est distingué par l’introduction de techniques d’évasion inédites. Les «tueurs d’EDR ou EDR Killer» continuent de proliférer, confirmant que les solutions de détection et de réponse restent un obstacle majeur pour les cybercriminels.
Après sa perturbation mondiale en mai, Lumma Stealer a tenté deux brèves réapparitions. Toutefois, son déclin semble désormais acté. Les détections ont chuté de 86% au second semestre 2025 par rapport au premier, et l’un de ses principaux vecteurs de diffusion, le cheval de Troie HTML/Fake Captcha utilisé dans les attaques ClickFix, a pratiquement disparu de la télémétrie ESET.
À l’inverse, CloudEyE, également connu sous le nom de GuLoader, a connu une croissance spectaculaire, avec une augmentation proche d’un facteur trente, selon les données d’ESET. Diffusé via des campagnes d’e-mails malveillants, ce service de téléchargement et de chiffrement de malwares est utilisé pour déployer d’autres charges malveillantes, notamment des ransomwares, ainsi que des voleurs d’informations largement répandus tels que Rescoms, Formbook et Agent Tesla. La Pologne a été le pays le plus touché, concentrant 32% des tentatives d’attaque CloudEyE détectées au second semestre 2025.
Dans l’écosystème mobile, les attaques NFC ont gagné en ampleur et en sophistication, comme en témoigne leur augmentation de 87% dans la télémétrie ESET.
NGate, pionnier des menaces NFC, a évolué pour inclure le vol de contacts, ouvrant la voie à des attaques plus ciblées. RatOn, un nouveau malware inédit pour opérer des fraudes NFC, combine de manière originale des fonctionnalités de cheval de Troie et d’accès à distance (RAT), avec des attaques par relais NFC, illustrant la créativité des cybercriminels. RatOn a été diffusé via de fausses pages Google Play et des publicités imitant une version pour adultes de TikTok ou des services bancaires numériques. PhantomCard, variante de NGate adaptée au marché brésilien, a été observé dans plusieurs campagnes locales.
Pour plus d’informations, consultez le rapport complet en accès libre sur WeLiveSecurity.com, disponible en anglais et en français.
