Von den 90 erfassten Zero-Days entfielen 47 auf Endnutzerplattformen und 43 auf Unternehmensprodukte. Zu den ausgenutzten Fehlertypen zählt GTIG Remote Code Execution, Rechteausweitung, Injection- und Deserialisierungsfehler, das Umgehen von Autorisierungen sowie Speicherfehler vom Typ Use-after-free. Probleme mit der Speichersicherheit machten dabei 35 Prozent aller ausgenutzten Zero-Days aus.

Bei den Unternehmenssystemen standen Sicherheits-Appliances, Netzwerkinfrastruktur, VPNs und Virtualisierungsplattformen im Fokus. Laut GTIG bieten diese Systeme privilegierten Netzwerkzugang und werden häufig nicht durch EDR-Lösungen überwacht. Die am stärksten betroffene Kategorie waren jedoch Betriebssysteme: 24 Zero-Days entfielen auf Desktop-Systeme, 15 auf mobile Plattformen.

In Webbrowsern ging die Zahl der ausgenutzten Zero-Days auf acht zurück — ein deutlicher Rückgang gegenüber den Vorjahren. Googles Analysten vermuten, dass dies an verstärkten Härtungsmaßnahmen in dieser Softwarekategorie liegen könnte, halten aber auch für möglich, dass Angreifer ihre Aktivitäten mit fortgeschritteneren Ausweichtechniken besser verbergen.

Als am häufigsten angegriffener Hersteller nennt GTIG Microsoft mit 25 Zero-Days, gefolgt von Google mit 11, Apple mit 8 sowie Cisco und Fortinet mit je 4 und Ivanti und VMware mit je 3.

Erstmals seit Beginn der Auswertung durch Google waren kommerzielle Spyware-Anbieter die größten Nutzer undokumentierter Schwachstellen und übertrafen damit staatlich unterstützte Spionagegruppen, die ebenfalls wirksamere Verschleierungstechniken einsetzen könnten. “Das spiegelt einen Trend wider, den wir in den vergangenen Jahren zu beobachten begonnen haben — ein wachsender Anteil der Zero-Day-Ausnutzung geht auf kommerzielle Spyware-Anbieter und deren Kunden zurück und zeigt eine langsame, aber stetige Verschiebung in der Landschaft”, heißt es im GTIG-Bericht.

Unter den staatlich unterstützten Akteuren bleiben laut GTIG China zugeordnete Spionagegruppen mit 10 ausgenutzten Zero-Days am aktivsten; ihre Angriffe richteten sich vor allem gegen Edge-Geräte, Sicherheits-Appliances und Netzwerktechnik, um dauerhaften Zugang zu erlangen. Finanziell motivierte Akteure aus dem Umfeld von Ransomware und Datenerpressung waren für neun der Schwachstellen verantwortlich.

Für 2026 erwartet GTIG ein weiterhin hohes Ausnutzungsniveau, da KI-Werkzeuge das Auffinden von Schwachstellen automatisieren und die Exploit-Entwicklung beschleunigen dürften. Als Beispiel hebt der Bericht die Brickstorm-Kampagne hervor, die zeige, wie Angreifer ihren Schwerpunkt vom Diebstahl von Quellcode hin zum Aufspüren von Fehlern in künftigen Softwareprodukten verlagern. Zur Abwehr empfiehlt Google, Angriffsflächen und Rechtevergabe zu reduzieren, Systeme fortlaufend auf auffälliges Verhalten zu überwachen und schnelle Patch- und Incident-Response-Prozesse aufrechtzuerhalten.