Au second semestre 2025, les logiciels malveillants utilisant l’intelligence artificielle sont passés du stade expérimental à des applications concrètes. ESET a ainsi repéré PromptLock, considéré comme le premier ransomware s'appuyant sur l'IA, capable de créer automatiquement des scripts malveillants. Bien que l’IA serve encore majoritairement à produire des contenus d’hameçonnage ou d’escroquerie plus convaincants, PromptLock et quelques autres menaces basées sur l’IA marquent le début d’une nouvelle génération de cybermenaces.

Les opérateurs derrière les arnaques à l’investissement Nomani ont affiné leurs techniques. Nous avons remarqué de meilleures deepfakes, l’apparition de sites de phishing générés par IA et des campagnes publicitaires brèves pour contourner la détection. Selon les données ESET, les signalements liés à Nomani ont augmenté de 62 % sur un an, malgré un léger ralentissement au second semestre 2025. D’abord diffusées sur Meta, ces arnaques touchent désormais d’autres plateformes, notamment YouTube.

Concernant les ransomwares, le nombre de victimes en 2025 a très tôt dépassé celui de 2024. Les prévisions d’ESET Research annoncent une hausse annuelle de 40 %. Les groupes Akira et Qilin dominent le marché du « ransomware as a service », tandis qu’un nouvel acteur discret, Warlock, innove avec de nouvelles techniques d’évasion. Par ailleurs, les outils surnommés « tueurs d’EDR » continuent de se multiplier, rappelant que la détection et la réponse restent des défis majeurs pour les cybercriminels.

Après avoir été neutralisé mondialement en mai, Lumma Stealer a tenté deux retours brefs avant de décliner définitivement. Les détections ont chuté de 86 % entre le premier et le second semestre 2025. Son principal canal de diffusion, le cheval de Troie HTML/FakeCaptcha utilisé dans les attaques ClickFix, a quasiment disparu selon ESET.

En revanche, CloudEyE (ou GuLoader) a connu une explosion d’activité, son utilisation ayant été multipliée par trente selon ESET. Diffusé par des campagnes d’e-mails malveillants, cet outil sert à installer d’autres programmes dangereux comme des ransomwares et des voleurs d’informations populaires (Rescoms, Formbook, Agent Tesla). La Pologne est particulièrement ciblée, concentrant 32 % des tentatives d’attaque CloudEyE détectées au second semestre 2025.

Du côté de l’univers mobile, les attaques utilisant le NFC sont devenues plus fréquentes et sophistiquées, progressant de 87 % selon la télémétrie ESET. NGate, précurseur des menaces NFC, vole désormais les contacts pour permettre des attaques ciblées. RatOn, nouveau malware original spécialisé dans les fraudes NFC, combine des fonctions de cheval de Troie et d’accès à distance (RAT), incluant des attaques par relais NFC. Il s’est propagé par de fausses pages Google Play et des publicités imitant soit une version adulte de TikTok, soit des services bancaires numériques. PhantomCard, une variante de NGate adaptée au Brésil, a été repérée dans diverses campagnes locales.

Ce rapport semestriel, couvrant la période de juin à novembre 2025, propose une analyse approfondie des tendances observées grâce à la télémétrie ESET et aux travaux des spécialistes de la détection et de la recherche des laboratoires ESET.

Le rapport complet est disponible en anglais et en français, depuis l’article de référence en version anglaise ou en français: