Google heeft het M-Trends 2026 rapport gepubliceerd, gebaseerd op data van de Threat Intelligence Group en meer dan 500.000 uur aan incidentonderzoeken door Mandiant in 2025. Een opvallende bevinding is dat de tijd tussen de initiële toegang tot systemen van een organisatie en de overdracht aan een secundaire dreigingsgroep drastisch is gedaald van uren naar slechts 22 seconden.

In 2022 bedroeg de mediane tijd tussen initiële toegang en overdracht nog meer dan 8 uur, maar sinds 2023 is dit gestaag afgenomen tot 22 seconden in 2025. Onderzoekers van Mandiant zien dit als een teken van nauwere samenwerking tussen initiële toegangspartners en secundaire groepen. Vaak is deze korte tijdsduur het gevolg van geautomatiseerde processen waarbij initiële toegangsmakelaars namens secundaire groepen direct malware afleveren, in plaats van toegang te adverteren op cybercrimeforums. Exploits waren met 32% de meest voorkomende infectieweg, gevolgd door phishing (11%), eerdere compromittering (10%) en gestolen credentials (9%). E-mailphishing daalde aanzienlijk naar 6%, ten opzichte van 22% in 2022.

De drie meest misbruikte kwetsbaarheden voor toegang waren CVE-2025-31324 in SAP NetWeaver, CVE-2025-61882 in Oracle EBS en CVE-2025-53770 (ToolShell) in SharePoint. In 52% van de gevallen werden inbraken intern ontdekt, terwijl slachtoffers in 34% van de gevallen via externe partijen van de inbraak hoorden. De mediane verblijftijd van aanvallers in netwerken was 14 dagen in 2025, een lichte stijging ten opzichte van 10 dagen in 2023 en 11 dagen in 2024, maar fors lager dan de 146 dagen in 2015. Mandiant signaleert een toename van incidenten die 1 tot 6 maanden onopgemerkt blijven, vaak veroorzaakt door Noord-Koreaanse IT-medewerkers en cyberespionagegroepen die detectie actief vermijden.

Ongeveer 30% van de aanvallen in 2025 had financiële motieven en 40% betrof datadiefstal. De sectoren die het vaakst werden aangevallen waren hightech, gevolgd door financiële dienstverlening, zakelijke diensten en de zorgsector. Google’s Threat Intelligence Group ontdekte 714 nieuwe malwarefamilies in 2025, een stijging ten opzichte van 632 in 2024. Van deze nieuwe malware richtten 146 zich op Linux en 55 op macOS. De meest waargenomen malwarefamilie was GoldVein, een downloader gebruikt door de Cl0p-groep in een Oracle EBS-campagne, gevolgd door de Akira-ransomware.

Onderzoek naar cloudgerelateerde compromitteringen toonde aan dat voice phishing de meest gebruikte initiële vector was, vooral door activiteiten van ShinyHunters en Scattered Spider. Voice phishing was goed voor 23% van de cloudinbraken, gevolgd door compromittering van derden (17%), gestolen credentials (16%), e-mailphishing (15%) en insider threats (14%). Exploits waren bij cloudaanvallen slechts in 6% van de gevallen de oorzaak. Het volledige M-Trends rapport behandelt ook regionale trends en andere relevante ontwikkelingen binnen de cybersecuritysector.