CrowdStrike heeft maandag zijn Global Threat Report 2026 gepubliceerd, waarin een toename van 89% jaar-op-jaar in door AI ondersteunde vijandelijke operaties wordt gedocumenteerd. Het rapport stelt dat AI nu snellere en sluipende aanvallen uitvoert en tegelijkertijd zelf een doelwit wordt. Uit informatie afkomstig van meer dan 280 genoemde dreigingsactoren blijkt dat de gemiddelde ‘uitbraaktijd’ – de periode vanaf de eerste inbreuk tot de laterale beweging over een netwerk – in 2025 is gedaald tot 29 minuten.
Dit vertegenwoordigt een snelheidstoename van 65% vergeleken met 2024. De snelste waargenomen uitbraak duurde slechts 27 seconden, en in één specifiek geval begon de data-exfiltratie binnen vier minuten na de eerste toegang. Bovendien was 82% van de detecties vrij van malware, waardoor de trend richting diefstal van inloggegevens en op identiteit gebaseerde inbreuken werd voortgezet.
Tegenstanders richten zich rechtstreeks op AI-systemen. Bij meer dan 90 organisaties werden kwaadaardige aanwijzingen in generatieve AI-tools geïnjecteerd om inloggegevens en cryptocurrency te stelen. Aanvallers misbruikten kwetsbaarheden in AI-ontwikkelplatforms om ransomware in te zetten en gepubliceerde malafide AI-servers om gevoelige gegevens te onderscheppen. Aan de offensieve kant heeft de aan Rusland gelinkte groep FANCY BEAR LAMEHUG ingezet, een LLM-compatibele malware die in juli 2025 door de Oekraïense CERT-UA werd geïdentificeerd. LAMEHUG gebruikt het Qwen2.5-Coder-32B-Instruct-model om dynamisch verkenningsopdrachten te genereren.
Cybercriminele groep PUNK SPIDER gebruikte door AI gegenereerde scripts om het dumpen van inloggegevens te versnellen en forensisch bewijsmateriaal te vernietigen. Het aan Noord-Korea gelieerde FAMOUS CHOLLIMA maakte gebruik van door AI gegenereerde persona’s om operaties met insiderdreigingen op te schalen.
De activiteiten van de natiestaten escaleerden aanzienlijk. China-gerelateerde cyberoperaties stegen in 2025 met 38%, waarbij de logistieke sector een toename van 85% in targeting zag. Zevenenzestig procent van de kwetsbaarheden die door Chinese nexus-actoren werden uitgebuit, leverde onmiddellijke systeemtoegang op, terwijl 40% zich richtte op internetgerichte edge-apparaten.
Het aantal met Noord-Korea verbonden incidenten steeg met meer dan 130%, waarbij de activiteit van FAMOUS CHOLLIMA meer dan verdubbelde. PRESSURE CHOLLIMA’s diefstal van cryptocurrency ter waarde van $1,46 miljard werd gemarkeerd als de grootste financiële overval ooit gerapporteerd.
Het aantal op de cloud gerichte inbraken steeg in totaal met 37%, inclusief een stijging van 266% door door de overheid gesteunde actoren die zich op cloudomgevingen richtten. Tweeënveertig procent van de kwetsbaarheden werd uitgebuit voordat deze openbaar werden gemaakt, omdat aanvallers zero-day-fouten als wapen gebruikten. CrowdStrike-president Michael Sentonas verklaarde: “Prompts worden de nieuwe malware.”
