CrashFix – Được Microsoft Defender phát hiện vào tháng 1/2026, biến thể này cố tình làm sập trình duyệt của nạn nhân, sau đó dụ dỗ họ thực thi lệnh độc hại để "khôi phục" chức năng .
ConsentFix – Biến thể hoạt động ngay trên trình duyệt, lạm dụng luồng ủy quyền OAuth để xâm nhập tài khoản Microsoft mà không cần phần mềm độc hại, đánh cắp thông tin, hay yêu cầu người dùng dán lệnh . Công ty an ninh revel8 ghi nhận 7 biến thể ClickFix đang hoạt động trong Q1 2026, bao gồm ConsentFix và biến thể "AI-fix" nhắm vào quy trình đăng ký công cụ AI
.
Phân tích khoảng 3.000 payload ClickFix thực tế của Threadlinqs Intelligence cho thấy các máy chủ hậu phương liên tục tạo ra các lệnh PowerShell đã được làm rối (obfuscated) bằng Base64, AES, TripleDES, Rijndael và Deflate compression .
AI Skills / Agentic Skills độc hại – Theo báo cáo của El País (ngày 8/7/2026) trích dẫn dữ liệu mới nhất từ ESET, công ty này cảnh báo rằng chỉ trong hai tháng, số lượng "AI Skills" (plugin cho các tác tử AI) mà họ phân tích đã tăng từ khoảng 60.000 lên gần 900.000. Trong số đó, có hơn 3.000 AI Skills độc hại hoặc đáng ngờ . Điều này cho thấy sự bùng nổ trong việc vũ khí hóa các tác tử AI.
PromptSpy – ESET Research phát hiện PromptSpy, malware Android đầu tiên sử dụng AI tạo sinh trong luồng thực thi của nó . Malware này truy vấn mô hình Gemini của Google để giải thích các thành phần trên màn hình thiết bị bị xâm phạm và xác định vị trí cần chạm, giải quyết vấn đề bố cục màn hình không thể dự đoán trên hàng ngàn mẫu điện thoại và ngôn ngữ khác nhau
. Khả năng chính của nó là triển khai module VNC để điều khiển từ xa
. Các nhà nghiên cứu cho rằng đây có thể là một bằng chứng khái niệm, nhưng nó báo hiệu một sự chuyển dịch lớn sang các cuộc tấn công di động có sự hỗ trợ của AI
.
Số lượng tấn công ransomware vẫn đang gia tăng. Comparitech ghi nhận 4.217 vụ tấn công ransomware trên toàn cầu trong nửa đầu năm 2026 – tăng 11% so với nửa cuối 2025 (3.809 vụ), trung bình 23 vụ mỗi ngày . ESET dự báo số nạn nhân ransomware sẽ tăng 40% so với cùng kỳ năm trước dựa trên dữ liệu từ các trang rò rỉ năm 2025
.
Hơn 100 công cụ 'EDR killer'. Báo cáo H2 2025 của ESET ghi nhận các công cụ 'EDR killer' tiếp tục phát triển, với Akira, Qilin và Warlock là những kẻ sử dụng hàng đầu . Nghiên cứu chuyên sâu của ESET về băng đảng RaaS Gentlemen cho thấy chúng sử dụng cả 'EDR killer' tự tạo và bên thứ ba bị rò rỉ, bao gồm HexKiller
. Báo cáo ESET MDR Q1 2026 khẳng định 'EDR killer' đã trở thành thành phần tiêu chuẩn trong các chiến dịch ransomware
. Nhiều nguồn xác nhận hệ sinh thái 'EDR killer' đã vượt quá 100 công cụ khác nhau, sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) để vô hiệu hóa các giải pháp an ninh
.
Tỷ lệ trả tiền chuộc giảm xuống mức thấp lịch sử. Coveware báo cáo tỷ lệ trả tiền chuộc trong Q4 2025 đã giảm mạnh xuống còn 23% (mức thấp kỷ lục), và đến Q4 2025 tiếp tục giảm xuống 20% – nghĩa là chưa đến 1/5 nạn nhân trả tiền . Chainalysis ghi nhận tổng giá trị thanh toán ransomware trên chuỗi năm 2025 vào khoảng 820 triệu USD, mức thấp nhất kể từ năm 2021 và giảm 8% so với năm 2024
. Dù số nạn nhân trả tiền ít hơn, khoản tiền chuộc trung bình lại tăng mạnh (tăng 132% theo quý lên 325.000 USD), cho thấy tội phạm đang tập trung vào các mục tiêu có giá trị cao hơn
.