A segunda metade do ano evidenciou a rapidez com que os cibercriminosos se adaptam e inovam, com mudanças aceleradas transformando o cenário de ameaças digitais.

O malware alimentado por inteligência artificial deixou o campo teórico e passou a fazer parte da realidade no segundo semestre de 2025, quando a ESET identificou o PromptLock, o primeiro ransomware conhecido baseado em IA, capaz de gerar scripts maliciosos em tempo real. Embora a IA ainda seja utilizada majoritariamente para a criação de conteúdos convincentes de phishing e golpes, o PromptLock, assim como outras poucas ameaças orientadas por IA identificadas até o momento, sinaliza o início de uma nova era no cenário de ameaças.

Após sua interrupção global em maio, o Lumma Stealer conseguiu ressurgir brevemente, em duas ocasiões, mas seus dias de glória provavelmente chegaram ao fim. As detecções caíram 86% no segundo semestre de 2025 em comparação com a primeira metade do ano, e um vetor de distribuição significativo do Lumma Stealer, o trojan HTML/FakeCaptcha utilizado em ataques ClickFix, praticamente desapareceu da telemetria da ESET.

Enquanto isso, o CloudEyE, também conhecido como GuLoader, ganhou destaque ao registrar um aumento de quase trinta vezes na telemetria da ESET. Distribuído por meio de campanhas de e-mail, esse downloader e serviço de criptografia de malware é utilizado para implantar outras ameaças, incluindo ransomware, além de importantes famílias de malware voltadas ao roubo de informações, como Rescoms, Formbook e Agent Tesla.

No cenário do ransomware, o número de vítimas superou os totais de 2024 muito antes do fim do ano, com projeções da Equipe de Pesquisa da ESET indicando um aumento de 40% em relação ao ano anterior. Akira e Qilin passaram a dominar o mercado de ransomware como serviço, enquanto o recém-chegado Warlock apresentou técnicas inovadoras de evasão. Os chamados “assassinos de EDR” continuaram a se proliferar, reforçando que as soluções de detecção e resposta de endpoint seguem sendo um obstáculo significativo para os operadores de ransomware. O segundo semestre de 2025 também trouxe um alerta preocupante do passado, quando pesquisadores da ESET identificaram o HybridPetya, um novo derivado do infame ransomware Petya/NotPetya, capaz de comprometer sistemas modernos baseados em UEFI.

Na plataforma Android, as ameaças baseadas em NFC continuaram a crescer em escala e sofisticação, com um aumento de 87% na telemetria da ESET e diversas atualizações e campanhas relevantes observadas no segundo semestre de 2025. O NGate, pioneiro entre as ameaças de NFC e descrito pela primeira vez pela ESET em 2024, recebeu uma atualização que passou a incluir o roubo de contatos, provavelmente estabelecendo as bases para ataques futuros. Já o RatOn, um malware totalmente novo no cenário de fraudes envolvendo NFC, apresentou uma rara combinação de funcionalidades de RAT com ataques de retransmissão de NFC, evidenciando a disposição dos cibercriminosos em explorar novos vetores de ataque.

Os fraudadores por trás das golpes de investimento Nomani também refinaram suas técnicas. Foram observados deepfakes de maior qualidade, indícios de sites de phishing gerados por IA e campanhas publicitárias cada vez mais curtas, projetadas para evitar a detecção. Na telemetria da ESET, as detecções de golpes da Nomani cresceram 62% em relação ao ano anterior, embora a tendência tenha apresentado uma leve desaceleração no segundo semestre de 2025.