O primeiro semestre de 2026 mostra como os cibercriminosos continuam aprimorando a eficiência e a escalabilidade de suas operações. Em vez de recorrer a métodos e ferramentas totalmente novos, eles vêm adaptando rapidamente técnicas já conhecidas a novas plataformas, tecnologias e comportamentos dos usuários.
A inteligência artificial vem desempenhando um papel cada vez mais relevante nesse cenário. No primeiro semestre de 2026, a ESET analisou quase 900 mil AI skills, pequenos componentes funcionais utilizados por agentes de IA, e identificou dezenas de milhares de instâncias suspeitas e milhares de instâncias claramente maliciosas. O número de AI skills nesse novo ecossistema está crescendo rapidamente em tempo real, ampliando ainda mais a superfície de ataque.
A IA também está começando a aparecer dentro do próprio malware. Pouco depois do surgimento do primeiro ransomware com IA em 2025, a equipe de pesquisa da ESET identificou o PromptSpy, o primeiro malware conhecido para Android a utilizar IA generativa em seu fluxo de execução. O malware utiliza IA, mais especificamente o Gemini, do Google, para interpretar elementos da interface do usuário e se adaptar a diferentes dispositivos e ambientes sem depender de comportamentos pré-programados. Embora ainda seja raro, o PromptSpy mostra o potencial de maior flexibilidade em ameaças futuras, ainda que as barreiras de proteção contra explorações presentes nos LLMs provavelmente estejam retardando essa adoção.
O ClickFix, técnica de engenharia social que utiliza mensagens de erro falsas, deixou de se limitar a falsos CAPTCHAs e passou a atingir páginas de ajuda com temática de IA, extensões de navegador e cenários de autenticação em nuvem. As detecções da ESET desse vetor mais que dobraram entre o segundo semestre de 2025 e o primeiro semestre de 2026, o que indica atividade sustentada e contínua adaptação.
As campanhas de phishing também estão evoluindo em resposta ao comportamento dos usuários. O phishing por QR code, também conhecido como quishing, atingiu níveis recordes na telemetria da ESET, com cibercriminosos incorporando links maliciosos em QR codes para driblar inspeções superficiais e transferir a interação para dispositivos móveis, ao mesmo tempo em que exploram a confiança implícita que muitas pessoas depositam nesses quadrados em preto e branco.
Por fim, a atividade de ransomware não mostrou sinais de desaceleração, com o uso contínuo de EDR killers, ferramentas projetadas para desativar softwares de segurança durante os ataques. A equipe de pesquisa da ESET já documentou mais de 100 EDR killers em uso real, com novas variantes surgindo regularmente. Ao mesmo tempo, dados de múltiplas fontes mostram que uma parcela cada vez menor das vítimas está optando por pagar o resgate, o que sugere algum progresso nas medidas de mitigação e resposta.




