Watch­Guard Techno­lo­gies meldt in het Internet Security Report over Q2 2025 een forse stijging van 40% in geavan­ceerde, evasieve malware. Het gaat vooral om aanvallen die Trans­port Layer Security (TLS) misbruiken, dezelfde versleu­te­ling die normaal webver­keer moet beschermen. Cyber­cri­mi­nelen gebruiken TLS nu juist om hun malware te verbergen en detectie te ontwijken.

Het totale aantal malwa­re­de­tec­ties steeg met 15% verge­leken met Q1. De grootste groei kwam van Gateway AntiVirus (+85%) en Intel­li­gentAV (+10%). Inmid­dels verloopt 70% van alle malware­aan­vallen via versleu­teld verkeer, een record­aan­deel dat laat zien hoe belang­rijk zicht­baar­heid in TLS-verkeer is voor effec­tieve beveiliging.

Opvallende trends

Het rapport van het Watch­Guard Threat Lab geeft een overzicht van de opval­lendste trends in malware‑, netwerk- en endpoint­drei­gingen in het tweede kwartaal van 2025. De belang­rijkste bevin­dingen uit het Q2 2025 Internet Security Report:

• Evasieve malware +40%, encryptie als dekmantel – Aanval­lers gebruiken steeds vaker encryptie om detectie te ontwijken. Het aantal unieke malwa­re­va­ri­anten steeg met 26%, mede door het gebruik van polymorfe en versleu­telde packers die signa­ture-based detectie omzeilen.
• Zero-days overheersen – 76% van alle malware is inmid­dels zero-day – en bij malware over TLS loopt dat op tot bijna 90%. Dit toont aan dat klassieke detec­tie­me­thoden steeds minder effec­tief zijn.
• Ransom­ware daalt 47%, maar wordt doelge­richter – Het aantal ransom­wa­re­cam­pagnes neemt af, maar de aanvallen die plaats­vinden zijn geraf­fi­neerder en richten zich op organi­sa­ties met hoge impact. Extor­tie­groepen als Akira en Qilin behoren tot de meest actieve.
• Droppers domineren netwerk­mal­ware – Zeven van de tien meest gedetec­teerde payloads waren droppers, waaronder Trojan​.VBA​.Agent​.BIZ en PonyS­te­aler, die via macro’s in documenten worden geacti­veerd. Ook de beruchte Mirai-botnet­fa­milie maakte een comeback, met name in de APAC-regio.
• USB-malware keert terug – Het Threat Lab ontdekte twee nieuwe USB-gedragen varianten (PUMPBENCH en HIGHREPS) die crypto­mi­ners instal­leren. Beide maken gebruik van XMRig om Monero te delven.
• Netwerk­aan­vallen stijgen met 8,3% – Het aantal aanvallen op netwerk­laag steeg met 8,3% licht, maar de diver­si­teit nam af: 380 unieke signa­tures tegen­over 412 in het vorige kwartaal. Een opval­lende nieuw­komer was WEB-CLIENT JavaScript Obfus­ca­tion in Exploit Kits, een voorbeeld van hoe snel nieuwe exploit­tech­nieken ontstaan.
• DNS-dreigingen blijven bestaan – Domeinen gelinkt aan de DarkGate RAT-loader bleven actief. Dat bewijst het belang van DNS-filte­ring als eerste verdedigingslaag.

Aanvallers verbergen zich in het zicht

“We zien in Q2 een sterke toename van evasieve malware over versleu­telde kanalen”, aldus Corey Nachreiner, Chief Security Officer bij Watch­Guard. “Aanval­lers zetten steeds vaker stealth-tactieken in om detectie te omzeilen. Voor MSP’s en IT-teams met beperkte middelen zijn snelheid, zicht­baar­heid en geïnte­greerde bescher­ming essen­tieel om deze dreigingen effec­tief te bestrijden.” 

Het volle­dige Internet Security Report Q2 2025 is beschik­baar via de website van WatchGuard.