Bei den Mobilgeräten schwankten die Zahlen über drei Jahre stark: von 17 (2023) auf 9 (2024) und zuletzt wieder hinauf auf 15 im Jahr 2025. Diesen Anstieg führt GTIG unter anderem darauf zurück, dass kommerzielle Überwachungsanbieter Exploit-Ketten aus drei oder mehr Schwachstellen entwickelten.
Einen Schwerpunkt legt der Bericht auf Spionagegruppen aus der Volksrepublik China, die laut GTIG im Jahr 2025 die “produktivsten Nutzer von Zero-Day-Schwachstellen” blieben. Sie konzentrierten sich weiterhin stark auf Sicherheits-Appliances und Edge-Geräte, um dauerhaften Zugang zu strategischen Zielen zu halten. Solche Geräte gelten als wiederkehrendes Ziel, weil Router, Switches und Appliances am Rand der Infrastruktur sitzen und meist keine Absicherung durch Endpoint-Detection-and-Response-Systeme besitzen – ein blinder Fleck für Verteidiger. US-Behörden wiesen kürzlich alle zivilen Bundesbehörden an, Edge-Geräte zu entfernen, die keine Firmware- oder Sicherheitsupdates des Herstellers mehr erhalten.
Als Beispiele chinesischer Aktivität nennt GTIG CVE-2025-21590 bei Juniper Networks und CVE-2025-0282 bei Ivanti. Zudem habe sich das Verhalten verändert: Wurden Zero-Days früher nur an einen kleinen Kreis gut ausgestatteter Akteure weitergegeben, nutzten nun “immer mehr Aktivitätscluster Schwachstellen näher am Zeitpunkt der öffentlichen Bekanntgabe”. Das deute darauf hin, dass Operateure mit Bezug zur Volksrepublik die Zeit zur Entwicklung und Verteilung von Exploits verkürzt hätten.
Mit Blick auf die zuvor dokumentierte Brickstorm-Kampagne, die chinesischen staatlich gestützten Gruppen zugeschrieben wird, warnen die Forscher vor einem “neuen Paradigma der Zero-Day-Ausnutzung, bei dem Datendiebstahl langfristige Zero-Day-Entwicklung ermöglichen kann”. Die Angreifer hätten nicht nur sensible Kundendaten abgegriffen, sondern geistiges Eigentum der Opferunternehmen, möglicherweise Quellcode und vertrauliche Entwicklungsdokumente. Damit ließen sich neue Schwachstellen in der Software des Herstellers finden – eine Gefahr für die Opfer selbst wie für deren nachgelagerte Kunden.
Google warnt seit Längerem vor der wachsenden Rolle kommerzieller Spähanbieter und verweist auf Firmen wie Intellexa, die “äußerst leistungsfähige Spyware an zahlungskräftige Kunden” lieferten und damit “bürgerliche Freiheiten und Menschenrechte aushöhlten”. Clement Lecigne, Sicherheitsingenieur bei GTIG, sagte auf die Frage nach den Endnutzern, die meisten der beobachteten Firmen verkauften “vorrangig an Nationalstaaten”. Boris Cipot, Senior Security Engineer bei Black Duck, merkte an, dass die im Bericht beschriebenen Fähigkeiten zunehmend breiter verfügbar und nicht mehr auf klassische Geheimdienste beschränkt seien.
Neun Zero-Days ordnete GTIG finanziell motivierten Angreifern zu. Dazu zählt eine Lücke in Oracle E-Business Suite, entwickelt von einem Hacker, der eine Verbindung zur Erpressergruppe Clop reklamierte. Die Gruppe verschickte Erpressungs-E-Mails an Hunderte Organisationen, nachdem sie CVE-2025-61882 und CVE-2025-61884 ausgenutzt hatte. Außerdem fanden die Forscher Überschneidungen zwischen staatlichen und finanziell motivierten Akteuren: Mit der russischen Gruppe Evil Corp verbundene Hacker setzten CVE-2025-8088 zur Verteilung von Malware ein; dieselbe Lücke nutzte auch die Gruppe RomCom, die sowohl finanziell motivierte Angriffe als auch Spionage betreibt.
Casey Charrier, Senior Vulnerability Intelligence Analyst bei GTIG, beschreibt die Lage als geprägt durch “erweiterten Zugang zu Zero-Day-Fähigkeiten” und eine über Jahre anhaltende Verlagerung hin zur Ausnutzung breiter gestreuter Anbieter und Produkte. Der Schutz hoch privilegierter Edge-Geräte bleibe eine kritische Lücke.
