CrashFix — Diidentifikasi oleh Microsoft Defender pada Januari 2026, varian ini dengan sengaja merusak browser korban, lalu memikat mereka untuk mengeksekusi perintah berbahaya dengan alasan "memulihkan" fungsi browser .
ConsentFix — Varian yang beroperasi sepenuhnya di browser ini menyalahgunakan alur otorisasi OAuth untuk membobol akun Microsoft tanpa perlu malware, pencurian kredensial, atau bahkan menyuruh korban menempelkan perintah . Firma keamanan revel8 mengamati tujuh varian ClickFix aktif pada Q1 2026, termasuk ConsentFix dan varian "AI-fix" yang menyasar alur orientasi pengguna alat AI
.
Analisis terhadap sekitar 3.000 muatan ClickFix langsung oleh Threadlinqs Intelligence mengungkapkan bahwa server backend secara dinamis menghasilkan perintah PowerShell yang baru diobfusaksi menggunakan Base64, AES, TripleDES, Rijndael, dan kompresi Deflate .
Skill AI / Agentic Skills Berbahaya — Menurut laporan El País (8 Juli 2026) yang mengutip data ancaman terbaru ESET, ESET memperingatkan bahwa dalam kurun waktu hanya dua bulan, jumlah "AI Skill" (plugin untuk agen AI) unik yang dianalisisnya tumbuh dari sekitar 60.000 menjadi hampir 900.000. Dari jumlah tersebut, skill AI yang berbahaya atau mencurigakan mencapai lebih dari 3.000 . Ini menunjukkan pertumbuhan eksplosif dalam perangkat serangan berbasis agen AI.
PromptSpy — Riset ESET menemukan PromptSpy, malware Android pertama yang diketahui menggunakan AI generatif selama alur eksekusinya . Malware ini bertanya pada model Gemini milik Google untuk menafsirkan elemen di layar perangkat yang dikompromikan dan secara dinamis menentukan di mana harus mengetuk — memecahkan masalah tata letak layar yang tidak terduga di ribuan model ponsel dan bahasa
. Kemampuan utamanya adalah menyebarkan modul VNC untuk kendali jarak jauh
. Para peneliti mencatat bahwa ini mungkin masih sebuah proof-of-concept, tetapi ini menandakan pergeseran besar menuju malware seluler yang dibantu AI
.
Volume serangan ransomware masih meningkat. Comparitech mencatat 4.217 serangan ransomware secara global pada H1 2026 — meningkat 11% dari H2 2025 (3.809), rata-rata 23 serangan per hari . ESET memproyeksikan peningkatan 40% tahun-ke-tahun dalam jumlah korban ransomware berdasarkan data situs kebocoran tahun 2025
.
Lebih dari 100 alat EDR-killer. Laporan Ancaman ESET H2 2025 mencatat bahwa alat EDR-killer terus berkembang biak, dengan Akira, Qilin, dan Warlock sebagai pengguna teratas . Analisis mendalam ESET terhadap geng RaaS Gentlemen mendokumentasikan penggunaan alat EDR killer khusus maupun pihak ketiga/bocoran, termasuk HexKiller
. Laporan ESET MDR Q1 2026 mengonfirmasi bahwa EDR killer kini menjadi komponen standar dalam operasi ransomware
. Banyak sumber mengonfirmasi bahwa ekosistem alat pembunuh EDR yang berbeda telah melampaui 100, menggunakan teknik BYOVD (Bring Your Own Vulnerable Driver)
.
Tingkat pembayaran tebusan jatuh ke titik terendah bersejarah. Coveware melaporkan tingkat pembayaran tebusan Q4 2025 merosot tajam ke 23% (rekor terendah), dan pada Q4 2025 turun lebih lanjut ke 20% — artinya kurang dari 1 dari 5 korban yang membayar . Chainalysis melacak total pembayaran ransomware on-chain sekitar $820 juta pada tahun 2025, angka tahunan terendah sejak 2021 dan turun 8% dari tahun 2024
. Meskipun lebih sedikit korban yang membayar, median pembayaran tebusan justru meningkat tajam (naik 132% QoQ menjadi $325.000), yang menunjukkan bahwa penyerang lebih fokus pada target bernilai tinggi
.