Häufigster Infektionsweg waren laut dem Bericht mit 32 Prozent der Fälle Exploits, gefolgt von Phishing (11 Prozent), einer vorausgegangenen Kompromittierung (10 Prozent) und gestohlenen Zugangsdaten (9 Prozent). E-Mail-Phishing machte nur noch 6 Prozent aus und ist damit deutlich zurückgegangen – 2022 lag dieser Vektor noch bei 22 Prozent.
Am häufigsten für den Zugriff ausgenutzt wurden drei Schwachstellen: die SAP-NetWeaver-Lücke CVE-2025-31324, die Oracle-EBS-Schwachstelle CVE-2025-61882 sowie die SharePoint-Lücke CVE-2025-53770 (ToolShell).
In 52 Prozent der Fälle entdeckten die betroffenen Organisationen den Einbruch selbst, in 34 Prozent erfuhren sie von einer externen Stelle davon. Die Verweildauer der Angreifer im Netzwerk bis zur Entdeckung lag 2025 im Median bei 14 Tagen, ein leichter Anstieg gegenüber 10 Tagen (2023) und 11 Tagen (2024). Über das gesamte Jahrzehnt betrachtet ist der Wert jedoch stark gefallen – von 146 Tagen im Jahr 2015.
Mandiant beobachtete zudem eine Zunahme von Vorfällen, die ein bis sechs Monate unentdeckt blieben. Das führen die Forscher auf nordkoreanische IT-Arbeiter und Cyberspionage-Akteure zurück, die erheblichen Aufwand betreiben, um einer Entdeckung zu entgehen.
Rund 30 Prozent der 2025 beobachteten Angriffe waren finanziell motiviert, bei 40 Prozent aller Vorfälle ging es um Datendiebstahl. Am stärksten betroffen war der High-Tech-Sektor, gefolgt von Finanzwesen, Unternehmensdienstleistungen und Gesundheitswesen.
Googles Threat Intelligence Group identifizierte im vergangenen Jahr 714 neue Malware-Familien, nach 632 im Jahr 2024. Von den 2025 neu entdeckten Familien zielten 146 auf Linux und 55 auf macOS. Am häufigsten beobachtet wurde GoldVein, der Downloader, den die Cybercrime-Gruppe Cl0p in der Oracle-EBS-Kampagne einsetzte, gefolgt von der Ransomware Akira.
Bei cloudbezogenen Kompromittierungen war Voice-Phishing der häufigste Erstvektor, maßgeblich getrieben durch Aktivitäten von ShinyHunters und Scattered Spider. Auf Voice-Phishing entfielen 23 Prozent der Einbrüche, gefolgt von der Kompromittierung über Dritte (17 Prozent), gestohlenen Zugangsdaten (16 Prozent), E-Mail-Phishing (15 Prozent) und Insider-Bedrohungen (14 Prozent). Exploits machten in der Cloud nur 6 Prozent aus.
