크래시픽스(CrashFix) — 2026년 1월, 마이크로소프트 디펜더가 식별한 이 변종은 일부러 피해자의 브라우저를 강제 종료시킨 후, 정상 기능을 복구한다는 명목으로 악성 명령어를 실행하도록 유도합니다 .
컨센트픽스(ConsentFix) — 명령어를 붙여넣도록 요구하지 않는 브라우저 기반 변종입니다. OAuth 인증 절차를 악용해 악성코드나 자격 증명 탈취 없이도 마이크로소프트 계정을 탈취합니다 . 보안 업체 revel8은 2026년 1분기에 컨센트픽스와 AI 도구 온보딩 과정을 노린 'AI픽스' 변종을 포함해 7개의 활성화된 클릭픽스 변종을 관찰했습니다
.
Threadlinqs Intelligence가 약 3,000개의 실제 클릭픽스 페이로드를 분석한 결과, 백엔드 서버는 Base64, AES, TripleDES, Rijndael, Deflate 압축 등을 사용해 동적으로 난독화된 새로운 파워셸 명령어를 생성하는 것으로 나타났습니다 .
악성 AI 스킬 / 에이전틱 스킬(Agentic Skills) — 엘 파이스(El País)지가 2026년 7월 8일 ESET의 최신 위협 데이터를 인용한 보도에 따르면, 불과 두 달 만에 ESET이 분석한 고유 'AI 스킬'(AI 에이전트용 플러그인)의 수가 약 6만 개에서 90만 개 가까이 폭증했습니다. 이 중 악성 또는 의심스러운 AI 스킬의 수는 3,000개를 넘었습니다 . 이는 AI 에이전트 기반 공격 도구의 폭발적인 성장을 의미합니다.
프롬프트스파이(PromptSpy) — ESET 연구진이 발견한 프롬프트스파이는 실행 과정에서 생성형 AI를 사용하는 최초의 안드로이드 악성코드입니다 . 이 악성코드는 구글의 제미니(Gemini) 모델에 감염된 기기의 화면 요소를 질의하여, 수천 개의 휴대폰 모델과 언어에 걸쳐 예측 불가능한 화면 레이아웃 문제를 해결하고, 동적으로 탭할 위치를 결정합니다
. 주요 기능은 원격 제어를 위한 VNC(가상 네트워크 컴퓨팅, Virtual Network Computing) 모듈을 배포하는 것입니다
. 연구원들은 이것이 개념 증명(proof-of-concept) 수준일 수 있지만, AI 기반 모바일 악성코드로의 중요한 전환점을 알리는 신호라고 평가했습니다
.
랜섬웨어 공격 건수는 여전히 증가 중입니다. 컴패리텍(Comparitech)은 2026년 상반기 전 세계적으로 4,217건의 랜섬웨어 공격을 기록했으며, 이는 2025년 하반기(3,809건) 대비 11% 증가한 수치로, 하루 평균 23건의 공격이 발생한 셈입니다 . ESET은 2025년 데이터 유출 사이트(leak-site) 데이터를 기반으로 피해자 수가 전년 대비 40% 증가할 것으로 예상했습니다
.
100개가 넘는 EDR 킬러 도구. ESET의 2025년 하반기 위협 보고서는 EDR 킬러 도구가 계속해서 확산되고 있으며, 아키라(Akira), 퀼린(Qilin), 워락(Warlock) 등이 주요 사용자라고 지적했습니다 . ESET이 젠틀맨(Gentlemen) RaaS 갱단을 심층 분석한 결과, 이들은 HexKiller를 포함한 자체 제작 및 제3자/유출된 EDR 킬러를 모두 사용하는 것으로 확인됐습니다
. ESET MDR 2026년 1분기 보고서는 EDR 킬러가 이제 랜섬웨어 작전의 표준 구성 요소가 되었음을 확인했습니다
. 여러 소식통에 따르면, BYOVD(자체 취약 드라이버 가져오기, Bring Your Own Vulnerable Driver) 기술을 사용하는 독특한 EDR 킬러 도구의 생태계가 100개를 넘어섰습니다
.
랜섬웨어 지불율이 사상 최저치로 떨어졌습니다. 코웨어(Coveware)는 2025년 4분기 랜섬웨어 지불율이 23% (사상 최저치)로 급락했으며, 2025년 4분기에는 더 떨어져 20% 를 기록했다고 보고했습니다. 이는 피해자 5명 중 1명 미만만이 비용을 지불했음을 의미합니다 . 체이널리시스(Chainalysis)는 2025년 온체인 랜섬웨어 총 지불액이 약 8억 2천만 달러로 집계되어, 2021년 이후 가장 낮은 연간 수치를 기록했으며 2024년 대비 8% 감소했다고 밝혔습니다
. 피해자가 적어졌음에도 불구하고, 중간 지불액은 급격히 상승하여(전 분기 대비 132% 증가한 325,000달러) 공격자들이 더 높은 가치의 목표물에 집중하고 있음을 시사합니다
.