ESET Research dévoile son rapport semestriel couvrant la période de juin à novembre 2025. Basée sur la télémétrie ESET et les analyses approfondies de ses experts en détection et en recherche, cette étude dresse un état des lieux précis des menaces numériques mondiales. Le constat est clair : au second semestre 2025, l’intelligence artificielle est passée du stade expérimental à des usages concrets et opérationnels dans les cyberattaques.
L’IA, nouveau moteur des cyberattaques
Parmi les évolutions majeures, ESET identifie PromptLock, présenté comme le premier ransomware connu piloté par l’IA. Cette menace est capable de générer dynamiquement des scripts malveillants, marquant une rupture technologique. Si l’IA est encore largement utilisée pour améliorer les contenus de phishing et d’escroquerie, PromptLock et d’autres menaces émergentes annoncent une nouvelle ère de cybercriminalité automatisée et adaptative.
Arnaques financières : deepfakes et phishing générés par IA
Les arnaques à l’investissement Nomani illustrent cette sophistication croissante.
« Nous avons constaté une nette amélioration de la qualité des deepfakes, l’apparition de sites de phishing générés par l’IA, ainsi que des campagnes publicitaires éphémères pour échapper aux mécanismes de détection », explique Jiří Kropáč, directeur des laboratoires de prévention des menaces chez ESET.
Selon la télémétrie ESET, les détections liées à Nomani ont progressé de 62 % sur un an, malgré un léger ralentissement au second semestre 2025. Initialement concentrées sur Meta, ces campagnes se sont étendues à d’autres plateformes, dont YouTube, élargissant considérablement leur portée.
Ransomwares : une hausse annuelle estimée à 40 %
Le nombre de victimes de ransomwares a dépassé les niveaux de 2024 bien avant la fin de l’année. Les projections d’ESET Research tablent sur une augmentation annuelle de 40 %.
Les groupes Akira et Qilin dominent le modèle du ransomware as a service, tandis que Warlock, nouvel acteur plus discret, se distingue par l’introduction de techniques d’évasion inédites. En parallèle, les outils dits EDR Killer continuent de se multiplier, confirmant que les solutions de détection et de réponse restent un frein majeur pour les cybercriminels.
Lumma Stealer en fort déclin
Après une perturbation mondiale en mai 2025, Lumma Stealer a tenté deux brèves réapparitions. Toutefois, son recul est désormais manifeste : les détections ont chuté de 86 % au second semestre 2025 par rapport au premier. L’un de ses principaux vecteurs, le cheval de Troie HTML/FakeCaptcha utilisé dans les attaques ClickFix, a quasiment disparu de la télémétrie ESET.
CloudEyE (GuLoader) : une croissance fulgurante
À l’inverse, CloudEyE, également connu sous le nom de GuLoader, affiche une progression spectaculaire. Les données d’ESET indiquent une augmentation proche d’un facteur trente. Diffusé par e-mails malveillants, ce service de téléchargement et de chiffrement sert à déployer d’autres charges dangereuses, notamment des ransomwares et des voleurs d’informations comme Rescoms, Formbook et Agent Tesla.
La Pologne se classe en tête des pays touchés, concentrant 32 % des tentatives détectées au second semestre 2025.
Menaces mobiles : explosion des attaques NFC
Dans l’écosystème mobile, les attaques NFC connaissent une montée en puissance notable, avec une hausse de 87 % observée dans la télémétrie ESET.
Le malware NGate, pionnier dans ce domaine, intègre désormais le vol de contacts pour des attaques plus ciblées. RatOn, nouvelle menace inédite, combine fonctionnalités de cheval de Troie, accès à distance (RAT) et attaques par relais NFC, démontrant une créativité accrue des cybercriminels. Il a été diffusé via de fausses pages Google Play et des publicités imitant TikTok ou des services bancaires numériques.
Enfin, PhantomCard, variante de NGate adaptée au marché brésilien, a été repérée dans plusieurs campagnes locales.
Le rapport complet ESET Research est disponible en accès libre sur WeLiveSecurity.com, en français et en anglais.
