CrashFix — Identifiée par Microsoft Defender en janvier 2026, cette variante fait délibérément planter le navigateur de la victime, puis l'incite à exécuter des commandes malveillantes pour « restaurer » les fonctionnalités .
ConsentFix — Une variante native du navigateur qui abuse des flux d'autorisation OAuth pour compromettre les comptes Microsoft sans malware, sans vol d'identifiants et sans même obliger l'utilisateur à coller une commande . La société de sécurité revel8 a observé sept variantes actives de ClickFix au premier trimestre 2026, dont ConsentFix et une variante « AI-fix » ciblant les flux d'intégration des outils d'IA
.
Une analyse d'environ 3 000 charges utiles ClickFix en direct par Threadlinqs Intelligence a révélé que les serveurs backend génèrent dynamiquement des commandes PowerShell fraîchement obscurcies en utilisant Base64, AES, TripleDES, Rijndael et la compression Deflate .
Skills IA malveillants / Agentic Skills — Selon un rapport d'El País (8 juillet 2026) citant les dernières données de menace d'ESET, l'entreprise a alerté qu'en l'espace de deux mois seulement, le nombre de « skills IA » uniques (plugins pour agents d'IA) qu'elle a analysés est passé d'environ 60 000 à près de 900 000. Parmi eux, les skills IA malveillants ou suspects dépassaient les 3 000 . Cela représente une croissance explosive des outils d'attaque basés sur les agents d'IA.
PromptSpy — ESET Research a découvert PromptSpy, le premier malware Android connu à utiliser l'IA générative dans son flux d'exécution . Le malware interroge le modèle Gemini de Google pour interpréter les éléments à l'écran sur l'appareil compromis et déterminer dynamiquement où taper — résolvant le problème des mises en page d'écran imprévisibles sur des milliers de modèles de téléphones et de langues
. Sa capacité principale est de déployer un module VNC pour le contrôle à distance
. Les chercheurs ont noté qu'il pourrait s'agir d'une preuve de concept, mais cela signale un changement majeur vers les malwares mobiles assistés par l'IA
.
Le volume des attaques de rançongiciels continue d'augmenter. Comparitech a enregistré 4 217 attaques de rançongiciels dans le monde au premier semestre 2026, soit une augmentation de 11 % par rapport au second semestre 2025 (3 809), avec une moyenne de 23 attaques par jour . ESET a projeté une augmentation de 40 % d'une année sur l'autre du nombre de victimes de rançongiciels, sur la base des données des sites de fuite de 2025
.
Plus de 100 outils tueurs d'EDR. Le rapport de menace H2 2025 d'ESET note que les outils tueurs d'EDR ont continué à proliférer, Akira, Qilin et Warlock étant parmi les principaux utilisateurs . L'analyse approfondie d'ESET sur le gang RaaS Gentlemen a documenté son utilisation d'outils tueurs d'EDR personnalisés et tiers/fuités, dont HexKiller
. Le rapport ESET MDR Q1 2026 confirme que les tueurs d'EDR sont désormais un composant standard des opérations de rançongiciel
. De multiples sources confirment que l'écosystème d'outils distincts pour tuer l'EDR a dépassé les 100, utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver)
.
Les taux de paiement des rançons tombent à des plus bas historiques. Coveware a rapporté que le taux de paiement des rançons au quatrième trimestre 2025 a chuté à 23 % (un plus bas historique), et qu'au quatrième trimestre 2025, il est tombé à 20 % — ce qui signifie que moins d'une victime sur cinq a payé . Chainalysis a estimé le total des paiements de rançons en chaîne à environ 820 millions de dollars en 2025, le chiffre annuel le plus bas depuis 2021 et une baisse de 8 % par rapport à 2024
. Malgré moins de victimes payant, le paiement médian des rançons a fortement augmenté (hausse de 132 % en glissement trimestriel pour atteindre 325 000 $), ce qui suggère que les attaquants se concentrent sur des cibles de plus grande valeur
.