Die zweite Jahreshälfte von 2025 hat gezeigt, wie innovativ Cyberkriminelle sind und wie schnell sie sich an neue Technologien anpassen können. Die Bedrohungslandschaft verändert sich rasant.
KI-gestützte Schadsoftware entwickelte sich in der zweiten Jahreshälfte 2025 von einer theoretischen Möglichkeit zur realen Bedrohung. Ausschlaggebend dafür war die Entdeckung von ESET PromptLock, der ersten bekannten KI-gesteuerten Ransomware, die in der Lage ist, innerhalb kürzester Zeit bösartige Skripte zu generieren. Zwar wird Künstliche Intelligenz nach wie vor überwiegend zur Erstellung überzeugender Phishing- und Betrugsinhalte eingesetzt, doch PromptLock – ebenso wie die wenigen weiteren bislang identifizierten KI-basierten Bedrohungen – markiert den Beginn einer neuen Bedrohungsära.
Nach seiner weltweiten Zerschlagung im Mai tauchte Lumma Stealer zwar kurzzeitig noch zweimal wieder auf, doch seine Hochphase dürfte endgültig vorbei sein. Im Vergleich zur ersten Jahreshälfte gingen die Erkennungen im zweiten Halbjahr 2025 um 86 Prozent zurück. Zudem verschwand ein zentraler Verbreitungsvektor – der HTML/FakeCaptcha-Trojaner, der bei sogenannten ClickFix-Angriffen eingesetzt wurde – nahezu vollständig aus den ESET-Telemetriedaten.
Parallel dazu rückte CloudEyE, auch bekannt als GuLoader, zunehmend in den Fokus. Die Erkennungen dieser Malware vervielfachten sich in der ESET-Telemetrie nahezu um den Faktor 30. Der als Malware-as-a-Service angebotene Downloader und Kryptor wird hauptsächlich über bösartige E-Mail-Kampagnen verbreitet und dient der Verteilung weiterer Schadsoftware, darunter Ransomware sowie leistungsfähige Infostealer wie Rescoms, Formbook und Agent Tesla.
Im Ransomware-Umfeld wurde die Opferzahl des gesamten Jahres 2024 bereits deutlich vor Jahresende 2025 übertroffen. Prognosen von ESET Research gehen von einem Anstieg um rund 40 Prozent gegenüber dem Vorjahr aus. Akira und Qilin haben sich als dominierende Anbieter im Ransomware-as-a-Service-Markt etabliert, während der vergleichsweise unauffällige Neuzugang Warlock mit innovativen Umgehungstechniken auf sich aufmerksam machte. Zudem verbreiteten sich sogenannte EDR-Killer weiter, was unterstreicht, dass Endpoint-Detection-and-Response-Lösungen nach wie vor eine erhebliche Hürde für Ransomware-Akteure darstellen. Die zweite Jahreshälfte 2025 brachte darüber hinaus eine unangenehme Erinnerung an Petya/NotPetya: ESET-Forscher entdeckten HybridPetya, ein neues Derivat der berüchtigten Malware, das selbst moderne UEFI-basierte Systeme kompromittieren kann.
Auf der Android-Plattform nahmen NFC-basierte Bedrohungen sowohl quantitativ als auch qualitativ weiter zu. Die ESET-Telemetrie verzeichnete hier einen Anstieg von 87 Prozent. Im zweiten Halbjahr 2025 wurden mehrere bedeutende Weiterentwicklungen und Kampagnen beobachtet. NGate, ein Pionier unter den NFC-Bedrohungen, der erstmals 2024 von ESET beschrieben wurde, erhielt ein Upgrade in Form einer Kontakt-Diebstahl-Funktion, die vermutlich als Grundlage für künftige Angriffe dient. Mit RatOn trat zudem eine völlig neue Malware auf den Plan, die erstmals RAT-Funktionen mit NFC-Relay-Angriffen kombiniert und damit den zunehmenden Innovationsdrang der Cyberkriminellen verdeutlicht.
Auch die Akteure hinter dem Nomani-Anlagebetrug haben ihre Methoden weiter verfeinert. Beobachtet wurden qualitativ hochwertigere Deepfakes, Hinweise auf KI-generierte Phishing-Webseiten sowie immer kurzlebigere Werbekampagnen, die gezielt einer Entdeckung entgehen sollen. Die Entdeckungen von Nomani-Betrug stiegen in der ESET-Telemetrie im Jahresvergleich um 62 Prozent, wobei sich der Trend in der zweiten Jahreshälfte 2025 leicht abschwächte.
ESET-Bedrohungsbericht H2 2025
Vollständigen Bericht lesen [Link]
