De digitale dreigingen voor Europa zijn in de tweede helft van 2025 aanzienlijk complexer en agressiever geworden. Dat blijkt uit het ESET Threat Report H2 2025, waarin ESET Research waarschuwt voor een toename van AI-gestuurde malware, geavanceerde oplichting, nieuwe vormen van mobiele dreiging én een verschuiving van geopolitieke cyberaanvallen richting Europese doelen.
AI-malware geen sciencefiction meer
In H2 2025 werd de eerste volledig functionele AI-gestuurde ransomware ontdekt: PromptLock. Deze kwaadaardige software kan zelfstandig scripts genereren om doelwitten aan te vallen. Hoewel AI op dit moment vooral wordt ingezet om geloofwaardige phishing- en scamcontent te creëren, markeert PromptLock een nieuw tijdperk van cyberdreiging.
Ook scams worden overtuigender. De oplichters achter de Nomani-investeringsfraude gebruiken steeds betere deepfakes en AI-gegenereerde phishingwebsites. Daarnaast zetten ze advertenties in die razendsnel verdwijnen, zodat ze detectie vermijden. Het aantal detecties van Nomani-campagnes steeg met 62% ten opzichte van vorig jaar.
Explosieve stijging in NFC-aanvallen en mobiele malware
Op het Android-platform zag ESET een zorgwekkende toename van NFC-dreigingen: +87% in vergelijking met de eerste helft van het jaar. Vooral de malwarevarianten NGate, RatOn en PhantomCard laten zien hoe snel deze vorm van mobiele fraude evolueert.
NGate kreeg nieuwe mogelijkheden voor het stelen van contactgegevens. RatOn combineert zeldzame functionaliteiten van remote access trojans (RAT's) met NFC-relayaanvallen, een aanpak die cybercriminelen nieuwe aanvalsvectoren biedt. De malware werd verspreid via neppagina’s van Google Play en advertenties die zich voordeden als TikTok of bankapplicaties. Voor gebruikers en organisaties betekent dit dat ook mobiele apparaten nu serieuze toegangspoorten vormen tot gevoelige gegevens.
Explosieve stijging in NFC-aanvallen en mobiele malware
Terwijl Nederland en andere Europese landen stevig investeren in defensie en digitale weerbaarheid, verleggen statelijke actoren zoals Rusland, China, Noord-Korea en Iran (de ‘Big 4’) hun digitale aanvallen van Oekraïne naar bredere Europese doelen. Volgens ESET Research ligt de focus onder andere op:
- Dronesector en defensie-industrie: Rusland richt zich nadrukkelijk op militaire dronecapaciteiten van Europese landen. Ook toeleveranciers, kritieke infrastructuur en herbewapeningsprogramma’s in landen als Duitsland, Frankrijk en Polen worden steeds vaker doelwit van cyberspionage.
- Internationale handel en sanctieontwijking: China intensiveert zijn spionageactiviteiten tegen bedrijven die actief zijn in wereldwijde handel en logistiek, mede door spanningen rondom Amerikaanse en EU-sancties. Nederlandse exporteurs kunnen hierdoor ook risico lopen.
- Cybercriminelen als staatswapen: Zowel Rusland als Noord-Korea zetten cybercriminele groepen in voor spionage én ransomware-aanvallen. Noord-Koreaanse groepen zoals Lazarus en Kimsuky zouden zich verder toeleggen op ransomware om inkomsten te genereren, nu andere inkomstenbronnen opdrogen.
- Opmars van Belarus: Hoewel eerder als tweederangs speler beschouwd, worden Belarus-gelieerde APT’s steeds agressiever, met name richting Polen en Oekraïne. Een samenwerking tussen Russische en Wit-Russische dreigingsactoren, een soort “Eastern 2 Eyes”, lijkt in opkomst.
Ransomware blijft razendsnel groeien
De ransomwaremarkt groeit onverminderd door. ESET registreerde 40% meer slachtoffers dan in 2024. Bekende groepen als Akira en Qilin blijven dominant in het ransomware-as-a-service-model. Nieuwkomer Warlock introduceerde innovatieve technieken om beveiligingsoplossingen te omzeilen.
Daarnaast dook een nieuwe variant op van de beruchte Petya/NotPetya-malware: HybridPetya, met de mogelijkheid om ook moderne UEFI-gebaseerde systemen te infecteren.
Lumma Stealer op retour, CloudEyE in opkomst
De Lumma Stealer, eerder een veelvoorkomende infostealer, is vrijwel verdwenen uit ESET-telemetrie na een verstoring in mei. Het aantal detecties daalde met 86%. Daarentegen kwam CloudEyE (ook bekend als GuLoader). Deze downloader wordt gebruikt om ransomware en andere malware te installeren, zoals Formbook, Agent Tesla en Rescoms. Vooral in Polen werden veel aanvalspogingen gemeld, 32% van alle CloudEyE-detecties vond daar plaats.
Niet alleen cybercriminelen, maar ook staten zetten digitale middelen in om politieke en economische doelen te bereiken. Voor Nederland betekent dit dat organisaties in vitale sectoren, defensie, hightech en logistiek zich moeten voorbereiden op geavanceerde dreigingen zowel van financiële als geopolitieke aard.
