Terugkijkend op 2025 concludeert non-profitorganisatie Objective-See dat macOS-malware zich verder heeft ontwikkeld en aanzienlijk diverser is geworden. Met name infostealers vormen inmiddels de grootste dreiging voor het macOS-platform en zijn in korte tijd uitgegroeid tot geavanceerde aanvalstools.

Dit meldt Objective-See in een terugblik op 2025. Waar infostealers voor macOS voorheen eenvoudige 'smash-and-grab'-tools waren, hebben zij zich afgelopen jaar ontwikkeld tot meervoudige loaders die onder meer payloads versleuteld afleveren, zich specifiek richten op bepaalde soorten hardware en doelwitten kiezen op basis van locatie. Ook zijn infostealers steeds vaker voorzien van modulaire architecturen die de grens tussen een infostealer en backdoor doen vervagen.

Tegelijkertijd ziet Objective-See dat statelijke actoren steeds vaker op het macOS-platform inzetten. In toenemende mate verkiezen aanvallers daarbij social engineering boven het uitbuiten van exploits. Zij zetten daarbij onder meer in op nepinterviews, coderingsopdrachten, ClickFix-aanvallen en misbruik van vertrouwde platforms om gebruikers om de tuin te leiden. Bij verschillende aanvallen op macOS-systemen zijn in het afgelopen jaar meerdere implants, loaders en stealers gecombineerd tot geïntegreerde aanvalsketens.

Stealth was een terugkerend thema in 2025. "We zagen herhaaldelijk dat payloads direct in het geheugen werden uitgevoerd, dat kwaadaardige code dynamisch werd geladen, en dat er steeds vaker misbruik werd gemaakt van dylibs als mechanisme voor levering en persistentie", aldus Objective-See. Het concludeert dat macOS niet langer een 'niche-doelwit' is. Naarmate het platform populairder wordt, neemt ook de interesse van aanvallers toe, evenals de complexiteit en schaal van aanvallen op macOS-systemen.

Objective-See deelt op zijn blog ook een overzicht van alle nieuwe macOS-malware die in 2025 is opgedoken.