ESET 2025年下半年威胁报告

本年下半年突显了攻击者适应和创新的速度之快，威胁态势正在发生迅速变化。

AI驱动的恶意软件从理论走向现实：在2025年下半年，ESET发现了PromptLock，这是首个已知的AI驱动勒索软件，能够动态生成恶意脚本。尽管AI目前仍主要用于制作逼真的网络钓鱼和诈骗内容，但PromptLock以及迄今为止发现的其他少数AI驱动威胁，标志着一个新的威胁时代的到来。

Lumma Stealer风光不再：在5月全球性活动受阻后，Lumma Stealer曾两次短暂重现，但其黄金时代很可能已经结束。与上半年相比，2025年下半年的检测量暴跌了86%，并且Lumma Stealer的一个重要分发载体——在ClickFix攻击中使用的HTML/FakeCaptcha木马——几乎从我们的遥测数据中消失了。

CloudEyE（又名GuLoader）显著激增：与此同时，CloudEyE在ESET遥测数据中飙升至近三十倍。这种通过恶意电子邮件活动分发的恶意软件即服务（MaaS）下载器和加密器，被用于部署其他恶意软件，包括勒索软件，以及Rescoms、Formbook和Agent Tesla等信息窃取程序。

勒索软件受害者数量激增，新型变种出现：在勒索软件领域，受害者数量早在年底前就已超过2024年全年总和，ESET Research预测年同比增长将达到40%。Akira和Qilin目前主导着勒索软件即服务市场，而低调的新来者Warlock则引入了创新的逃避技术。EDR杀手工具持续扩散，突显端点检测与响应工具对勒索软件运营者来说仍然是一个重大障碍。2025年下半年还带来了对Petya/NotPetya勒索软件的不愉快回忆，当时ESET研究人员发现了HybridPetya——这种臭名昭著的恶意软件的新变种，能够攻击基于现代UEFI的系统。

Android平台NFC威胁规模和复杂性持续增长：在Android平台上，NFC威胁的规模和复杂性持续增长，ESET遥测数据显示其增加了87%，并在2025年下半年观察到了几次显著的升级和活动。NGate——NFC威胁的先驱，ESET于2024年首次描述——升级了联系人窃取功能，这可能为未来的攻击奠定了基础。RatOn是NFC诈骗领域全新的恶意软件，它罕见地融合了远程访问木马能力和NFC中继攻击，显示了网络犯罪分子追求新攻击途径的决心。

Nomani投资诈骗技术更趋精炼：Nomani投资诈骗背后的欺诈者也在完善他们的技术——我们观察到了更高质量的深度伪造内容、AI生成钓鱼网站的迹象，以及为规避检测而生命周期越来越短的广告活动。在ESET遥测数据中，Nomani诈骗的检测量同比增长了62%，该趋势在2025年下半年略有下降。