Aanvallen met zero-day kwetsbaarheden op enterprise-technologie bereikten in 2025 een recordniveau. Vooral cyberspionagegroepen die aan China worden gelinkt blijken bijzonder actief bij het inzetten van deze kwetsbaarheden, terwijl commerciële spywarebedrijven een grotere rol spelen.
Dat blijkt uit onderzoek van Google Threat Intelligence Group. In totaal documenteerden zij vorig jaar negentig zero-day kwetsbaarheden die actief werden misbruikt. Dat aantal ligt hoger dan in 2024, toen er 78 werden vastgesteld, maar blijft onder het record van 100 uit 2023. Hoewel aanvallen op producten voor eindgebruikers nog steeds iets vaker voorkomen, wijst het rapport op een verschuiving naar enterprise-technologie.
Volgens de onderzoekers werden in 2025 in totaal 43 zero-days misbruikt in enterprise-software en appliances. Dat komt neer op 48 procent van alle waargenomen aanvallen met deze kwetsbaarheden. In 2024 ging het nog om 36 gevallen, goed voor 46 procent.
Security- en netwerkapparatuur belangrijkste doelwit
Security- en netwerkapparatuur werden het hardst geraakt. In totaal hadden 21 van de enterprise-gerelateerde zero-days betrekking op deze systemen. Daarnaast troffen veertien kwetsbaarheden zogenoemde edge devices, zoals routers, switches en gateways, aldus The Register. Volgens Google ligt het werkelijke aantal waarschijnlijk hoger omdat dergelijke apparaten vaak geen endpointbeveiliging draaien en daardoor moeilijker te monitoren zijn.
Dit soort infrastructuur vormt een aantrekkelijk doelwit omdat succesvolle exploitatie vaak toegang geeft tot bredere bedrijfsnetwerken. Veel van deze aanvallen lijken gericht op spionage. Cyberespionagegroepen die aan China worden gelinkt worden door de onderzoekers genoemd als de meest actieve staatsactoren.
Van de negentig zero-days kon Google er 42 toeschrijven aan specifieke typen aanvallers. Vijftien daarvan werden gebruikt door commerciële spywarebedrijven, met nog eens drie gevallen die waarschijnlijk aan dergelijke partijen zijn toe te schrijven. Twaalf exploits werden gekoppeld aan staatsgesponsorde spionagegroepen, waarvan zeven afkomstig waren uit China. Daarnaast waren er drie vermoedelijk staatsgelinkte aanvallen en negen gevallen waarbij financieel gemotiveerde cybercriminelen betrokken waren, vult The Register aan.
Opvallend is dat commerciële surveillanceleveranciers in 2025 voor het eerst vaker aan zero-day exploitatie werden gekoppeld dan traditionele staatsactoren. Deze bedrijven ontwikkelen spyware en exploitketens die meestal worden verkocht aan overheidsinstanties of opsporingsdiensten.
Wanneer specifiek wordt gekeken naar enterprise-technologie blijken staatsactoren nog steeds dominant. Vooral Chinese spionagegroepen zouden relatief vaak kwetsbaarheden in netwerk- en beveiligingsapparatuur misbruiken.
Ook de doelwitten laten een duidelijke trend zien. Microsoft-producten waren in 2025 het vaakst betrokken bij zero-day exploitatie. Daarna volgen producten van Google en Apple. Volgens onderzoekers onderstreept dit hoe belangrijk veelgebruikte softwareplatforms blijven voor aanvallers.
Vooruitkijkend naar 2026 verwachten securityonderzoekers dat enterprise-infrastructuur een belangrijk doelwit blijft. Vooral apparaten aan de rand van netwerken, zoals gateways en netwerkbeveiligingssystemen, bieden aanvallers een efficiënte manier om organisaties binnen te dringen.