Een overzicht van het dreigingslandschap in de eerste helft van 2026, gebaseerd op ESET-telemetrie en de inzichten van ESET-onderzoekers.
De eerste helft van 2026 laat zien dat cybercriminelen hun aanvallen steeds efficiënter en schaalbaarder maken. In plaats van volledig nieuwe aanvalstechnieken te ontwikkelen, passen zij bewezen methoden razendsnel aan op nieuwe technologieën, platformen en veranderend gebruikersgedrag.
AI vergroot het aanvalsoppervlak
Kunstmatige intelligentie (AI) speelt hierin een steeds grotere rol. In de eerste zes maanden van 2026 analyseerde ESET bijna 900.000 AI-skills: kleine functionele bouwstenen die worden gebruikt door AI-agents. Daarbij werden tienduizenden verdachte en duizenden daadwerkelijk schadelijke AI-skills geïdentificeerd. Het aantal AI-skills binnen dit nieuwe ecosysteem groeit bovendien razendsnel, waardoor het aanvalsoppervlak verder toeneemt.
AI begint ook steeds vaker zijn weg te vinden naar malware zelf. Kort na de opkomst van de eerste AI-gestuurde ransomware in 2025 identificeerden ESET-onderzoekers PromptSpy, de eerste bekende Android-malware die generatieve AI gebruikt in de uitvoeringsketen. De malware kan zich hierdoor aanpassen aan verschillende apparaten en omgevingen, zonder afhankelijk te zijn van hardgecodeerd gedrag. Hoewel dergelijke malware nog uitzonderlijk is, laat PromptSpy zien dat toekomstige dreigingen hierdoor flexibeler kunnen worden. Tegelijkertijd lijken de ingebouwde beveiligingsmaatregelen tegen misbruik in grote taalmodellen (LLM's) de adoptie hiervan voorlopig af te remmen.
ClickFix breidt zich verder uit
Ook ClickFix, een social engineering-techniek waarbij slachtoffers via nep-foutmeldingen worden misleid, blijft zich ontwikkelen. Waar de methode aanvankelijk vooral werd ingezet via valse CAPTCHA-prompts, zien onderzoekers nu toepassingen in AI-gerelateerde hulppagina's, browserextensies en cloud-authenticatieprocessen. Het aantal ClickFix-detecties door ESET is tussen de tweede helft van 2025 en de eerste helft van 2026 meer dan verdubbeld. Dit wijst op aanhoudende activiteit en continue aanpassing van deze aanvalsmethode.
Quishing bereikt recordniveau
Ook phishingcampagnes ontwikkelen zich verder als reactie op veranderd gebruikersgedrag. QR-code phishing, ook wel quishing genoemd, bereikte een recordniveau in de telemetrie van ESET. Cybercriminelen verwerken schadelijke links in QR-codes, waardoor deze minder snel worden herkend tijdens een eerste, oppervlakkige controle en gebruikersinteractie naar mobiele apparaten wordt verplaatst. Daarmee profiteren zij van het vertrouwen dat veel gebruikers in QR-codes hebben.
Ransomware blijft een grote dreiging
Tot slot vertoonde ransomware-activiteit geen tekenen van afname. Aanvallers blijven gebruikmaken van zogeheten EDR-killers: tools die zijn ontworpen om beveiligingssoftware tijdens aanvallen uit te schakelen. ESET Research heeft inmiddels meer dan 100 EDR-killers gedocumenteerd die in de praktijk zijn waargenomen en ziet regelmatig nieuwe varianten verschijnen.
Tegelijkertijd is er ook een positieve ontwikkeling zichtbaar. Uit gegevens van meerdere bronnen blijkt dat een afnemend percentage getroffen organisaties besluit losgeld te betalen. Dat wijst erop dat organisaties vooruitgang boeken op het gebied van mitigatie en incidentrespons.

