Google Threat Intelligence Group (GTIG) heeft zijn jaarlijkse zero-day overzicht voor 2025 gepubliceerd. Het rapport documenteert 90 kwetsbaarheden die actief werden misbruikt voordat een patch beschikbaar was. Dat getal ligt lager dan het recordjaar 2023 met 100 zero-days, maar hoger dan de 78 die in 2024 werden geregistreerd. Belangrijker dan het aantal is de richting: het patroon stabiliseert zich op een structureel hoog niveau, met een duidelijke verschuiving naar enterprise-omgevingen als primair doelwit.
Voor beveiligingsteams en IT-verantwoordelijken biedt dit rapport bruikbare context. Het beantwoordt niet alleen de vraag hoeveel zero-days er waren, maar ook wie er achter zat, welke systemen het zwaarst zijn getroffen en wat dat betekent voor de inrichting van verdedigingsmaatregelen.
Waarom enterprise-infrastructuur in 2025 het meest aantrekkelijke doelwit werd voor zero-day aanvallen
Van de 90 gedocumenteerde zero-days in 2025 richtte 48 procent zich op enterprise-technologie. Dat is een historisch hoogtepunt. In absolute aantallen gaat het om 43 kwetsbaarheden in zakelijke software en apparatuur, tegenover 36 in 2024. De verklaring is structureel: enterprise-platformen bieden aanvallers gecombineerde voordelen. Ze draaien met verhoogde rechten, zijn breed verbonden met andere systemen en vormen een toegangspunt tot grote hoeveelheden gevoelige data.
Security- en netwerkproducten waren goed voor ongeveer de helft van de enterprise-gerelateerde zero-days, zo’n 21 gevallen. Cisco, Fortinet, Ivanti en VMware worden in het rapport met naam genoemd als veelgetroffen leveranciers. Het is niet verwonderlijk dat deze categorie zo prominent aanwezig is. Edge devices zoals firewalls, VPN-gateways en netwerkswitch hebben doorgaans geen endpoint detection-software aan boord. Ze zitten aan de buitenste ring van de infrastructuur, verwerken al het inkomende en uitgaande verkeer, en zijn moeilijk te monitoren. Dat maakt ze tot een ideaal aanvalsvlak: hoge waarde, beperkte zichtbaarheid.
Een veelvoorkomend technisch patroon in deze categorie is het ontbreken van correcte inputvalidatie en onvolledige autorisatieprocessen. GTIG benadrukt dat dit bekende fouten zijn die met de juiste implementatiestandaarden te voorkomen zijn. Toch komen ze keer op keer terug, ook bij gerenommeerde leveranciers.
Hoe commerciële spyware-aanbieders voor het eerst meer zero-days exploiteerden dan staatsspionage-groepen
Een opvallende verschuiving in 2025 is dat commerciële surveillance vendors (CSVs) voor het eerst meer zero-days op hun naam kregen dan traditionele staatsgesponsorde spionagegroepen. Dit zijn bedrijven die geavanceerde spyware ontwikkelen en verkopen aan overheden en andere betalende klanten. Bekende namen in dit segment zijn Intellexa, dat meerdere keren in het rapport opduikt.
De implicatie van deze verschuiving is significant. Zero-day exploits waren vroeger exclusief terrein van de best uitgeruste statelijke actoren. Door de groei van de CSV-sector is toegang tot deze technieken commercieel geworden. Een groter aantal actoren, met uiteenlopende doelstellingen en normen, heeft nu de beschikking over aanvalscapaciteiten die voorheen voorbehouden waren aan inlichtingendiensten.
In 2025 werden meerdere gevorderde exploit-ketens ontdekt gericht op mobiele apparaten, waarbij CVS-actoren nieuwe methoden inzetten om beveiligingsgrenzen te omzeilen die fabrikanten eerder hadden geïmplementeerd. Bij Android waren dit onder meer aanvallen via de GPU-driver van Qualcomm en Mali, gecombineerd met kwetsbaarheden in de Chrome-renderer. De toegenomen complexiteit van deze ketens, waarbij soms drie of meer kwetsbaarheden worden gecombineerd, is deels een reactie op verbeterde beveiliging door platformleveranciers.
Welke rol China speelt in de aanhoudend hoge zero-day dreiging voor netwerkapparatuur
China-gelieerde spionagegroepen blijven de meest productieve staatssponsors op het gebied van zero-day gebruik. In 2025 werden ten minste 10 zero-days toegeschreven aan groepen als UNC3886 en UNC5221. Dat is een verdubbeling ten opzichte van 2024, al blijft het onder het niveau van 2023. De doelwitten zijn consistent: edge devices en netwerkapparatuur die moeilijk te monitoren zijn en langdurige persistentie mogelijk maken zonder dat dit wordt opgemerkt.
Een technisch opmerkelijke trend is dat exploitcode steeds sneller wordt gedeeld tussen afzonderlijke Chinese spionageclusters. Vroeger werden zero-days angstvallig bewaard door de groep die ze had ontwikkeld. Nu neemt de tijd tussen ontdekking en verspreiding onder verwante groepen af, wat suggereert dat er meer gestructureerde samenwerking of gedeelde infrastructuur is tussen deze actoren.
Financieel gemotiveerde groepen lieten ook een piek zien: negen zero-days werden in 2025 aan ransomware-affiliates en vergelijkbare actoren toegeschreven, bijna gelijk aan het vorige hoogtepunt uit 2023. FIN11, gelieerd aan de CL0P-afpersingsoperaties, exploiteerde kwetsbaarheden in Oracle E-Business Suite al weken voordat een patch beschikbaar was. Dit soort gerichte aanvallen op zakelijke systemen is een directe bedreiging voor de bedrijfscontinuïteit en financiële integriteit. In ons overzicht van ransomware-incidenten in Nederland in 2025 is te zien hoe dit type financieel gemotiveerde aanvallen zich vertaalt naar de Nederlandse praktijk.
Wat technische analyse van browser sandbox escapes ons leert
GTIG analyseerde meerdere browser sandbox escapes die in 2025 werden ontdekt en trekt een duidelijke conclusie: geen van de gevallen betrof een generieke aanval op de browser sandbox zelf. In alle gevallen werd de escape gerealiseerd via het onderliggende besturingssysteem of hardware. Dit is een trendbreuk met eerdere jaren.
Praktisch betekent dit dat browsers zelf beter beveiligd zijn geworden, maar dat aanvallers uitwijken naar aangrenzende aanvalsvlakken. GPU-drivers van Qualcomm en Mali, het Android Runtime-systeem en Apple’s Metal-backend werden in 2025 allemaal ingezet als omweg naar code-uitvoering buiten de sandbox. Voor organisaties die browsers als een geïsoleerde risicocategorie beschouwen, is dit een aansporing om ook de onderliggende platform-laag in hun dreigingsmodel op te nemen.
De casus rondom Samsung-apparaten en de Quram-beeldparseerbibliotheek toont hoe fabrikantspecifieke componenten een substantieel risico kunnen vormen. Een enkele geheugenoverloopfout gaf aanvallers toegang tot alle afbeeldingen en video’s in de MediaStore van een Android-telefoon, waaronder bestanden ontvangen via WhatsApp. De afwezigheid van basale beveiligingstechnieken in de Quram-bibliotheek, zoals pointer authentication code of branch target identification, maakte exploitatie onnodig complex.
Wat u concreet kunt doen ter voorbereiding op zero-day exploitatie
GTIG stelt het expliciet: voorbereiding moet uitgaan van de aanname dat compromittatie onvermijdelijk is, niet van de hoop dat het te voorkomen valt. Kwetsbaarheidsexploitatie was in 2025 opnieuw de meest voorkomende initiële toegangsvector in door Mandiant onderzochte incidenten, vóór gestolen inloggegevens en phishing.
Praktisch vertaalt zich dat naar een aantal prioriteiten. Netwerksegmentatie is essentieel: DMZ, firewalls en VPN-gateways moeten strikt worden gescheiden van kritische interne systemen, zodat een gecompromitteerd edge device niet automatisch toegang geeft tot domeincontrollers of databases. Gelijke aandacht verdient het bijhouden van een actuele inventaris van alle assets, inclusief de softwarecomponenten die erin draaien. Een Software Bill of Materials maakt het mogelijk om bij een nieuwe zero-day direct te beoordelen welke systemen kwetsbaar zijn.
Voor het patchproces adviseert GTIG een versneld traject bij kwetsbaarheden met hoge impact. Als een patch nog niet beschikbaar is, bieden tijdelijke maatregelen zoals het afsluiten van specifieke poorten of het isoleren van kwetsbare systemen al een substantiële risicobeperking. De NIS2-richtlijn, nu via de Cyberbeveiligingswet omgezet in Nederlandse wetgeving, stelt vergelijkbare eisen aan patchbeheer en incidentrespons. In ons artikel over de NIS2-richtlijn en de Cyberbeveiligingswet staat uitgebreid beschreven hoe organisaties hun voorbereiding kunnen structureren.
Wat de verwachtingen zijn voor zero-day dreigingen in 2026
GTIG verwacht dat AI het tempo van zowel aanvallen als verdediging verder zal verhogen. Aan de aanvalskant versnelt AI de verkenningsfase, de analyse van potentiële kwetsbaarheden en de ontwikkeling van exploits. Dat verkort de tijd tussen de ontdekking van een kwetsbaarheid en het beschikbaar zijn van werkende exploitcode, wat de druk op verdedigers vergroot om sneller te detecteren en te reageren.
Aan de verdedigingskant biedt AI de mogelijkheid om kwetsbaarheden proactief te identificeren voordat ze worden misbruikt. Agentic AI-oplossingen kunnen beveiligingsoperaties ondersteunen door continu te scannen op afwijkingen en bekende aanvalspatronen te herkennen. Een andere zorgwekkende trend voor 2026 is het misbruiken van legitieme toegang voor strategische doelen. De BRICKSTORM-campagne in 2025, toegeschreven aan Chinese spionage-operators, richtte zich niet alleen op het stelen van operationele data maar ook op intellectueel eigendom, waaronder broncode en ontwikkeldocumenten. Met die informatie kunnen aanvallers nieuwe kwetsbaarheden ontdekken in de producten van de getroffen leverancier, een capaciteit die ook hun downstream klanten raakt.
Het overkoepelende beeld dat het Google-rapport schetst, is er een van een stabiel maar hoog dreigingsniveau, waarbij de doelwitten verschuiven naar enterprise-omgevingen en de kring van actoren met toegang tot geavanceerde exploits groeit.
Lees het volledige onderzoek op https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
