Květen byl podle Esetu v České republice ve znamení další vlny masivních útoků. Šlo o spamové kampaně, podobné těm dubnovým. V příloze e-mailu uživatel dostal také spustitelné soubory maskované jako .zip archiv, při jejichž otevření se do systému natáhl trojský kůň.

Zatímco dubnové spamové kampaně šířily především hrozby Win32/TrojanDownloader.Tiny.NKK resp. Win32/Injector.BSCO, kampaň z poloviny května šířila hrozbu popsanou v laboratořích ESET jako Win32/TrojanDownloader.Elenoocka. Ta cílila primárně na Česko a stačila jí jediná vlna útoku, aby se v měsíčním přehledu dostala na čtvrté místo nejrozšířenějších hrozeb v České republice.

Nejfrekventovanější květnovou hrozbou byl v tuzemsku trojský kůň HTML/Fraud. Tento trojan zobrazuje uživateli napadeného počítače výzvu k účasti v průzkumu, a to s cílem získat osobní údaje a odeslat je na ovládající server. Jde o hrozbu popsanou již v roce 2007. Její globální aktivita prozatím vyvrcholila v roce 2012, kdy její podíl na všech ve světě zachycených hrozbách dosáhl devíti procent. Její aktuální výskyt se týká prakticky výhradně České republiky. V žádné jiné zemi její podíl na zachycených hrozbách během května nepřesáhl 0,6 procenta.

Na druhou příčku českého „žebříčku“ klesl v květnu trojský kůň VBS/CoinMiner, jehož účelem je zapojit napadený počítač do sítě, která se podílí na těžbě virtuální měny Bitcoin. Jde o rodinu skriptů ve Visual Basic, které se šíří buď stahováním z webových stránek nebo prostřednictvím emailů. Trojan má za úkol stahovat a updatovat výkonné programy pro těžbu bitcoinů a stahovat pro ně konfigurace a připravovat prostředí pro jejich fungování.

Globálně nejrozšířenější hrozbou byl dlouhodobě červ Win32/Bundpil který se šíří prostřednictvím přenosných médií. V květnu však tuto hrozbu na první příčce žebříčku po více než roce vystřídala šifrovaná hrozba JS/Kryptik.I. Ta je, narozdíl od Win32/Bundpil, relevantní také pro Česko – v květnu byla dokonce třetí nejfrekventovanější hrozbou.