RadioCSIRT – Deutsche Ausgabe

In dieser Folge: die Cyber-Dimension des Iran-Konflikts — eine sechswöchige Retrospektive von den ersten Angriffen am 28. Februar bis zum fragilen Waffenstillstand vom 9. April 2026, mit einer vollständigen Analyse der Entwicklung iranischer und pro-iranischer Cyber-Operationen — von den ersten Hacktivist-DDoS-Wellen bis zur bestätigten Ausbeutung industrieller Steuerungssysteme innerhalb der Vereinigten Staaten.Am 28. Februar 2026 starteten die Vereinigten Staaten und Israel gemeinsame Militärschläge gegen iranische strategische Ziele im Rahmen der Operationen Epic Fury und Roaring Lion. Innerhalb von Stunden geschahen im Cyberspace zwei Dinge gleichzeitig: Irans inländische Internetkonnektivität brach auf zwischen einem und vier Prozent der normalen Kapazität ein, und eine koordinierte mehrvektorielle Cyber-Gegenoffensive wurde gestartet — eine Kombination aus staatlichen APT-Operationen und einer Koalition aus über sechzig Hacktivistengruppen. In den ersten zweiundsiebzig Stunden wurden mehr als 149 Angriffsreklamationen gegen 110 verschiedene Organisationen in sechzehn Ländern registriert. Zwei Gruppen machten siebzig Prozent des gesamten DDoS-Volumens aus: Keymous Plus, das auf GCC-Regierungen und Finanzinstitute abzielte, und DieNet, das die Flughäfen Bahrain und Sharjah, Riyadh Bank, Bank of Jordan und die Infrastruktur der VAE traf. Parallel dazu führte APT34/OilRig aktive Credential-Harvesting-Kampagnen gegen regionale Telekommunikations- und Regierungsinstitutionen durch, mit bestätigter Ausnutzung von CVE-2026-22719 — einer CVSS-8.1-Befehlsinjektions-Schwachstelle ohne Authentifizierungsanforderungen in VMware Aria Operations, die am 4. März in den CISA-KEV-Katalog aufgenommen wurde. MuddyWater führte die Operation Olalampo gegen IT-Anbieter in der META-Region durch. UNC1549 operierte gegen Ziele in den Bereichen Verteidigung, Luft- und Raumfahrt sowie Telekommunikation. APT35 und APT42 führten Cloud-Credential-Theft-Kampagnen gegen M365- und Google-Workspace-Umgebungen durch.In der ersten Woche trat eine Supply-Chain-Dimension zutage: Staatliche Akteure begannen, Schadcode in beliebte npm- und PyPI-Pakete zu injizieren, der nur innerhalb von Produktions-CI/CD-Pipelines aktiviert wird, mit KI-generiertem Code zur Umgehung konventioneller Erkennungstools. Am 31. März wurde die npm-Bibliothek axios — über eine Milliarde monatliche Downloads — über den Diebstahl von Maintainer-Anmeldedaten kompromittiert. Die schadhaften Versionen 1.14.1 und 0.30.4 enthielten eine versteckte Abhängigkeit, plain-crypto-js 4.2.1, die ein Post-Install-Dropper ausführte und einen plattformübergreifenden RAT für Windows, macOS und Linux einsetzte. Jede Entwicklungsumgebung, die axios während des Kompromittierungsfensters installiert oder aktualisiert hat, sollte als potenziell betroffen behandelt werden.Ebenfalls am 31. März bezeichnete die IRGC formal westliche Technologie- und Finanzunternehmen als legitime Ziele für Vergeltungsoperationen, wirksam ab dem 1. April. Zu den genannten Zielen gehören Cisco, HP, Intel, Oracle, Microsoft, Apple, Google, Meta, IBM, Dell, Nvidia und Palantir im Technologiesektor — alle als hohes Bedrohungsniveau eingestuft — JPMorgan Chase im Finanzbereich sowie Boeing und General Electric in der Verteidigungs- und Industriebranche. Diese Einstufung verwandelte die Bedrohung von opportunistischer Hacktivist-Aktivität in eine erklärte Targeting-Haltung gegen namentlich genannte westliche Entitäten.Die operativ bedeutsamste Eskalation ereignete sich am 8. April 2026. Das FBI, CISA, NSA, EPA, das Energieministerium und USCYBERCOM veröffentlichten ein gemeinsames Advisory, das die aktive Ausnutzung von speicherprogrammierbaren Steuerungen in amerikanischen Wasser-, Abwasser-, Energie- und Behördensektoren durch mit Iran verbundene APT-Akteure bestätigte, mit bestätigten Betriebsstörungen und finanziellen Verlusten. Zu den Zielgeräten gehören Rockwell Automation CompactLogix und Micro850 PLCs, wobei die Aktivitäten auf eine mögliche Ausweitung auf Siemens-S7-Geräte hindeuten. Akteure griffen auf internetexponierte PLCs über Auslandsinfrastrukturen und Rockwells Studio 5000 Logix Designer zu, manipulierten Projektdateien und HMI/SCADA-Displays. Dies ist keine Einschätzung — es ist ein bestätigtes gemeinsames Regierungs-Advisory mit bestätigten operativen Auswirkungen. Der Übergang von DDoS und Datenexfiltration zur bestätigten OT/PLC-Exploitation mit operativen Konsequenzen stellt eine qualitative Eskalation des Bedrohungsniveaus dar, die jeder Industriebetreiber sofort in seine Verteidigungshaltung integrieren muss.Zu den Erkennungsprioritäten: alle npm- und PyPI-Installationen auf die kompromittierten axios-Versionen und die plain-crypto-js-Abhängigkeit prüfen. Den IOC-Satz des FBI/CISA/NSA-Advisories vom 8. April in SIEM- und EDR-Plattformen integrieren, mit erweiterter Überwachung von SCADA- und ICS-Systemen sowie internetexponierter OT-Verbindungen auf den Ports 44818, 2222, 102, 22 und 502. Für Unternehmensumgebungen: APT34-DNS-Hijacking und APT35/42-Cloud-Credential-Theft bleiben aktiv — M365- und Google-Workspace-Umgebungen auf anomale Authentifizierungsmuster überwachen. Jede Organisation, die in der IRGC-Einstufung vom 31. März namentlich genannt wird, sollte diese Bedingung als bestätigte erhöhte Bedrohung behandeln, nicht als Hintergrundrisiko.QuellenCISA – Joint advisory AA26-097A: Iranian-affiliated cyber actors exploit programmable logic controllers across US critical infrastructure : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097aCybersecurity Dive – Iran-linked hackers target water and energy in US, FBI and CISA warn : https://www.cybersecuritydive.com/news/iran-linked-hackers-targeting-water-energy-in-us-fbi-and-cisa-warn/816949/Security Affairs – US agencies alert: Iran-linked actors target critical infrastructure PLCs : https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.htmlNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 14. April 2026 veröffentlicht Microsoft seinen monatlichen Sicherheits-Update-Zyklus. Dieser Patch Tuesday verdient die direkte Aufmerksamkeit jedes Patch-Management-Teams und jedes Operations-Teams, das Windows-Infrastruktur betreibt. Der maximale Schweregrad ist kritisch. Die primäre Auswirkung ist Remote Code Execution. Die betroffene Angriffsfläche umfasst gleichzeitig die am weitesten verbreiteten Plattformen in Unternehmensumgebungen: alle aktiven Windows-11-Versionen, die gesamte noch unterstützte Windows-Server-Reihe von 2016 bis 2025, Remote Desktop Services, Microsoft Office und die .NET-Laufzeitumgebung. Dreizehn Produktfamilien werden in diesem Zyklus in drei Deployment-Prioritätsstufen adressiert.Sieben Familien sind als Priorität eins eingestuft — sofortige Bereitstellung. Windows 11, alle aktiven Versionen — 23H2, 24H2, 25H2 und 26H1 — erhalten kritische Patches mit Remote-Code-Execution-Auswirkung. Windows Server 2025, 2022, 2019 und 2016 folgen demselben Muster: alle als kritisch eingestuft, alle mit Remote-Code-Execution-Auswirkung, alle Priorität eins. Remote Desktop Services landen ebenfalls bei kritischem Schweregrad mit Remote-Code-Execution-Auswirkung und verdienen besondere Aufmerksamkeit über das Standard-Priorität-eins-Label hinaus. Die Ausnutzungshistorie von RDS-Schwachstellen ist gut dokumentiert — BlueKeep und DejaBlue im Jahr 2019, beide wurmfähig, beide innerhalb von Wochen nach der Offenlegung aktiv ausgenutzt. Jede Einheit, die RDS über das Internet oder über VPN-Konzentratoren exponiert, sollte diese Komponente als dringlichstes Element in diesem Zyklus behandeln. Microsoft Office ist Priorität eins mit kritischem Schweregrad — der Exploit-Vektor ist konsistent Phishing, der dominante initiale Zugangsvektors in Kampagnen gegen den Finanzsektor. Der .NET- und .NET-Framework-Eintrag ist kritisch mit Denial-of-Service-Auswirkung: eine kritisch bewertete Schwachstelle in .NET kann jede Anwendung oder jeden Webdienst, der auf diesen Laufzeitumgebungen läuft, zum Absturz bringen oder unverfügbar machen — ein direktes Verfügbarkeitsrisiko, das remote ausgelöst werden kann.Drei Familien sind Priorität zwei — Bereitstellung innerhalb von sieben Tagen: SQL Server mit wichtigem Schweregrad und Remote-Code-Execution-Auswirkung, SharePoint mit wichtigem Schweregrad und Spoofing-Auswirkung sowie Azure-Komponenten mit wichtigem Schweregrad und Elevation-of-Privilege-Auswirkung. Drei Familien sind Priorität drei — Standardzyklus: Visual Studio, Dynamics 365 und System Center, alle als wichtig eingestuft.Darüber hinaus führt dieser April-Zyklus eine Änderung der Kernel-Treiber-Vertrauensdurchsetzung für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 ein: Systeme werden Legacy-cross-signierte Treiber nicht länger als pauschalen Vertrauenspfad behandeln. Umgebungen mit Abhängigkeiten von älteren nicht signierten Treiber-Binärdateien sollten ihr Treiber-Inventar vor der Bereitstellung überprüfen. Alle Windows-11- und Windows-Server-Updates in diesem Zyklus sind kumulativ. Die detaillierte CVE-Offenlegung und CVSS-Scores werden ab dem 14. April im Microsoft Security Response Center verfügbar sein.QuellenHelp Net Security – April 2026 Patch Tuesday forecast: spring cleaning of a preview : https://www.helpnetsecurity.com/2026/04/10/april-2026-patch-tuesday-forecast/Zecurit – Patch Tuesday April 2026: security updates and CVE analysis : https://zecurit.com/endpoint-management/patch-tuesday/Microsoft Security Response Center – Security Update Guide : https://msrc.microsoft.com/update-guide/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 7. April 2026 veröffentlichte Gen Threat Labs, die Forschungsabteilung von Gen Digital, eine detaillierte technische Analyse von Remus, einem neuen 64-Bit-Infostealer, der der Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit Remus wurden seit Februar 2026 beobachtet — unmittelbar nach einer Doxxing-Kampagne zwischen August und Oktober 2025, die die mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma — beide Familien koexistieren derzeit in freier Wildbahn — sondern eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork oder einer Rebranding-Operation hervorgegangen ist, die während der Phase maximalen externen Drucks auf die ursprüngliche Gruppe eingeleitet wurde.Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich auf sechs technische Indikatoren, die eine Codebasis-Kontinuität belegen. Der markanteste ist der Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl Lumma als auch Remus injizieren einen kompakten Shellcode in den Browserprozess, um den v20_master_key direkt im Speicher zu lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des Browsers heraus aufzurufen. Der Unterschied zwischen beiden Implementierungen beträgt elf Bytes — 51 Bytes bei Remus gegenüber 62 bei Lumma. Dieses Niveau an Implementierungsparallelismus ist nicht zufällig. Weitere gemeinsame Indikatoren umfassen nahezu identische String-Verschleierung über Stack-Assembly und MBA-verstärkte Entschlüsselungsschleifen, direkten Syscall-Dispatch über Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über NtRaiseHardError sowie überlappende Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am 16. September 2025 — auf dem Höhepunkt der Störungsperiode — die sowohl einen Steam-Dead-Drop-Resolver aus bestätigten Lumma-Samples als auch Artefakte enthalten, die ausschließlich Remus zuzuordnen sind.Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von Steam- und Telegram-Dead-Drop-Resolvern zugunsten von EtherHiding. Zur Laufzeit sendet Remus eine JSON-RPC-eth_call-Anfrage an eine hartkodierte Ethereum-Smart-Contract-Adresse über einen öffentlichen RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten Antwort. Die dezentralisierte und unveränderliche Natur der Blockchain macht diese Infrastruktur effektiv resistent gegen traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein: Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen gegen elf bekannte Sandbox-DLL-Hashes sowie Honeypot-PST-Erkennung über die Enumeration eines spezifischen Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an, terminiert die Binärdatei lautlos über ExitProcess null.Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an öffentliche Ethereum-Endpunkte, die von Workstations ausgehen — anomales Verhalten mit einer sehr geringen Falschpositivrate. Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime veröffentlichten Remus-spezifischen Erkennungsregeln für direkten Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte. Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking als Lumma-Erkennungssignal verwendet hat, sollte diese Kontrollmaßnahme als veraltet betrachten.QuellenGen Digital – Remus: Unmasking the 64-bit variant of the infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealerGBHackers – Remus infostealer debuts with stealthy new credential-theft tactics : https://gbhackers.com/remus-infostealer-debuts/CyberPress – Remus infostealer emerges with credential theft and advanced evasion tricks : https://cyberpress.org/remus-infostealer-emerges-fast/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Seit Februar 2026 führt eine neue Ransomware-Gruppe unter dem Namen Payload aktive Double-Extortion-Kampagnen gegen Organisationen aus verschiedenen Sektoren und Regionen durch. In weniger als zwei Monaten beobachteter Aktivität hat die Gruppe sechsundzwanzig Opfer in sieben Ländern gemeldet, 2.603 Gigabyte exfiltrierter Daten deklariert und ein technisches Niveau demonstriert, das sie weit über opportunistische Ransomware-Operationen hinaushebt. Die Kombination aus ESXi-spezifischer Verschlüsselungslogik, ETW-Patching und einer von Beginn an voll funktionsfähigen Tor-basierten Infrastruktur deutet entweder auf erfahrene Betreiber oder auf Zugang zu einem ausgereiften Toolkit hin.Payload betreibt zwei verschiedene Binärdateien, die ein gemeinsames kryptographisches Schema verwenden: Curve25519 ECDH kombiniert mit ChaCha20 für die Schlüsselgenerierung pro Datei. Die ESXi-Variante ist eine Linux-ELF64-Binärdatei von etwa 39.904 Bytes. Strings sind RC4-verschleiert mit dem Drei-Byte-Schlüssel FBI. Vor jeder Verschlüsselungsaktivität führt die Binärdatei eine Anti-Debug-Prüfung über /proc/self/status durch und analysiert dann VMwares vmInventory.xml, um alle Datastores und VMDK-Pfade zu enumerieren. Virtuelle Maschinen werden über vim-cmd ausgeschaltet, bevor die Verschlüsselung beginnt. Thread-Pool-Worker tragen den Namen FBIthread-pool — ein forensisches Artefakt, das in der Standardprozessauflistung sichtbar ist. Die Lösegeldforderung ersetzt die ESXi-Webverwaltungsschnittstelle unter /usr/lib/vmware/hostd/docroot/ui/welcome.txt.Die Windows-Variante, kompiliert am 17. Februar 2026, leitet sich aus der Babuk-Codebasis ab, die im September 2021 geleakt wurde, wobei HC-128 durch ChaCha20 ersetzt und erhebliche Anti-Forensik-Ergänzungen vorgenommen wurden. Zu den wichtigsten Fähigkeiten gehört das ETW-Patching von vier ntdll.dll-Funktionen — EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer und EtwRegister — wodurch EDR-Lösungen, die auf ETW-Telemetrie angewiesen sind, lautlos geblendet werden. Der Mutex MakeAmericaGreatAgain ist ein zuverlässiger Betreiber-Fingerabdruck. Die Binärdatei beendet vierunddreißig Dienste, darunter Veeam, Acronis, BackupExec, Symantec und Sophos, löscht Windows-Ereignisprotokolle, entfernt Schattenkopien und löscht sich selbst über einen NTFS Alternate Data Stream, ohne einen Child-Prozess zu erzeugen.Zur Erkennung: Einsatz der von Abdullah Islam veröffentlichten YARA-Regel für die ESXi-Variante. Überwachung auf den Mutex MakeAmericaGreatAgain, die Erweiterung .payload und ETW-Funktionspatches in ntdll.dll. Jeder EDR-Stack, der ausschließlich auf ETW-basierter Telemetrie beruht, sollte umgehend überprüft werden. ESXi-Management-Schnittstellen müssen hinter einem dedizierten Management-VLAN betrieben werden. Unveränderlicher oder air-gapped Backup-Speicher bleibt der einzig zuverlässige Wiederherstellungspfad, wenn die Verschlüsselung vor der Erkennung abgeschlossen wird.QuellenGBHackers – Payload ransomware hits Windows and ESXi with Babuk-style encryption : https://gbhackers.com/payload-ransomware/CyberSecurityNews – New Payload ransomware uses Babuk-style encryption against Windows and ESXi systems : https://cybersecuritynews.com/new-payload-ransomware-uses-babuk-style-encryption/CyberPress – Payload hits Windows and ESXi : https://cyberpress.org/payload-hits-windows-esxi/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

In dieser Folge wurde ein einziges Modell für künstliche Intelligenz zum Gegenstand eines Notfalltreffens zwischen dem US-Finanzministerium, der Federal Reserve und den CEOs der größten systemrelevanten Finanzinstitute Amerikas. Dieses Modell ist Claude Mythos Preview, entwickelt von Anthropic. Dies ist das erste Mal in der amerikanischen Finanzgeschichte, dass Fähigkeiten eines KI-Grenzmodells auf dieser regulatorischen Ebene als systemisches Risikoereignis behandelt wurden und nicht als sektorales Technologieproblem.Anthropic beschränkte den Zugang zu Mythos auf rund vierzig Partnerorganisationen im Rahmen von Project Glasswing — darunter Microsoft, Google, Apple und Amazon — mit der Begründung, das Risiko einer großflächigen Ausnutzung kritischer Schwachstellen zu minimieren. Zu den dokumentierten Fähigkeiten des Modells gehören die autonome Identifizierung und Ausnutzung von Schwachstellen in allen gängigen Betriebssystemen und Browsern, die Erstellung von Payloads in Echtzeit sowie die Generierung funktionaler Exploits ohne menschliche Anleitung. Gleichzeitig ist Anthropic in einen Rechtsstreit mit dem Pentagon verwickelt, das die Organisation als Lieferkettenrisiko eingestuft hat.Im Zusammenhang mit Mythos wurden sechs Risikovektoren identifiziert: Zero-Day-Exploitation mit kritischer Einstufung, systemisches SIFI-Risiko mit kritischer Einstufung, algorithmische Konvergenz mit hoher Einstufung, DeFi- und Smart-Contract-Infrastrukturexposition mit hoher Einstufung, Kundendatenexfiltration mit hoher Einstufung sowie Störung des Cyber-Versicherungsportfolios mit mittlerer Einstufung. Für Sicherheitsteams liegt die operative Schlussfolgerung auf der Hand: Das traditionelle Fenster von achtundvierzig bis zweiundsiebzig Stunden zwischen CVE-Veröffentlichung und Weaponization ist nicht mehr der relevante Bedrohungszeitraum, wenn autonome Exploit-Generierung diesen Zyklus auf Minuten verkürzt.QuellenCNBC – Powell and Bessent convened Wall Street CEOs on Anthropic Mythos cyber risk : https://www.cnbc.com/2026/04/10/powell-bessent-us-bank-ceos-anthropic-mythos-ai-cyber.htmlFortune – Bessent and Powell convened Wall Street leaders in an emergency meeting on Claude Mythos Preview : https://fortune.com/2026/04/10/bessent-powell-anthropic-mythos-ai-model-cyber-risk/Euronews – Why Anthropic's most powerful AI model Mythos Preview is too dangerous for public release : https://www.euronews.com/next/2026/04/08/why-anthropics-most-powerful-ai-model-mythos-preview-is-too-dangerous-for-public-releaseNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Willkommen zu dieser Sonderausgabe von RadioCSIRT ⚡️🤖 Claude-4.6-Familie — Analyse aus der Cybersicherheitsperspektive Claude Opus 4.6, Sonnet 4.6 und Haiku 4.5 teilen ein Kontextfenster von bis zu einer Million Tokens, multimodalen Text-/Bildunterstützung und Extended-Thinking-Fähigkeiten. Direkte Auswirkungen für SOC-Teams: vollständige Analyse von Code-Repositories, massive IOC-Korrelation, Rekonstruktion von Angriffsketten — aber auch eine erhebliche Senkung der Einstiegshürde für die Produktion hochwertiger offensiver Artefakte.🔓 Wirtschaftliche Asymmetrie der Bedrohung Zu fünf Dollar pro Million Tokens macht Claude Opus 4.6 analytisches Reasoning auf Expertenniveau für ein breites Spektrum von Akteuren zugänglich, das bisher kostspielige menschliche Expertise erforderte. Das Fenster zwischen CVE-Veröffentlichung und Exploit-Verfügbarkeit komprimiert sich. LLM-generierte Phishing-Köder weisen keine traditionell erkennbaren sprachlichen Marker mehr auf.🔬 Projekt Glasswing — Eingeschränkter Zugang Anthropic hat Claude Mythos Preview in einem auf etwa vierzig Partnerorganisationen (Microsoft, Google, Amazon bestätigt) beschränkten Zugangssystem gestartet, nur auf Einladung, nach vorheriger Konsultation mit US-Behörden. Die Europäische Kommission unterstützte diese Einschränkung öffentlich.⚠️ Claude Mythos Preview — Dokumentierte Fähigkeiten Das Modell ist in der Lage, autonom Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern zu identifizieren und auszunutzen sowie in Echtzeit anspruchsvolle Payloads und Exploits zu geringen Kosten zu konstruieren. Am 7. April 2026 beriefen Finanzminister Scott Bessent und Jerome Powell ein Notfalltreffen mit den CEOs der wichtigsten US-Banken ein (Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Wells Fargo) — das erste Treffen dieser Ebene, das durch die Fähigkeiten eines einzigen KI-Modells motiviert wurde.🎯 Identifizierte Risikovektoren Sechs Dimensionen in dieser Folge: Zero-Day-Exploitation, systemisches SIFI-Risiko, algorithmische Konvergenz, DeFi/Smart-Contract-Exposition, Kundendatenexfiltration, Auswirkungen auf Cyber-Versicherungsportfolios.⚖️ Regulatorischer und rechtlicher Kontext Anthropic befindet sich in einem aktiven Rechtsstreit mit dem Pentagon, das die Organisation als Supply-Chain-Risiko eingestuft hat. Die vierzig Glasswing-Partner stellen eine neue indirekte Angriffsfläche dar. KI-Verordnung, DORA und ENISA-Leitlinien schaffen einen Compliance-Rahmen, der jetzt für LLM-Deployments in Hochrisikokontexten gilt.🛡️ Dokumentierte defensive Anwendungsfälle Automatische Generierung von YARA/Sigma-Regeln, Alert-Anreicherung, forensische Analyse im großen Maßstab, assistierte Bedrohungsmodellierung, Adversary-Simulation — dieselben Fähigkeiten dienen beiden Seiten. LLMs bleiben analytische Augmentationswerkzeuge: die menschliche Verifikation bei operativen Outputs mit hohem Einfluss bleibt obligatorisch.🔗 QuellenProjekt Glasswing — Anthropic: https://www.anthropic.com/glasswingClaude-Modelle — Übersicht und Preise: https://platform.claude.com/docs/en/about-claude/models/overview⚡️ Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/ #RadioCSIRT #Cybersicherheit #LLM #Claude #Anthropic #Glasswing #Mythos #ThreatIntelligence #SOC #CERT #CISO #KI #CyberSecurity #ProjectGlasswing #ZeroDay #SIFI

Diese Ausgabe bietet einen umfassenden Überblick über die wichtigsten Cyberentwicklungen der vergangenen Wochen.Wir beginnen mit den Olympischen Winterspielen in Milano Cortina, die Ziel einer Welle russlandzugeschriebener Cyberangriffe wurden. Diplomatische Einrichtungen und olympische Infrastrukturen waren betroffen, während regulatorische Spannungen sogar die Schutzmaßnahmen von Cloudflare beeinflussten.In Frankreich wurde eine verdeckte Abhörstation in Gironde aufgedeckt. Zwei chinesische Staatsangehörige betrieben von einer Airbnb-Unterkunft aus ein System zum Abfangen von Starlink-Kommunikation und militärischen Frequenzen.Im Bereich kritischer Infrastrukturen standen Cisco Catalyst SD-WAN-Systeme im Zentrum aktiver Ausnutzung. Die cisa veröffentlichte die Emergency Directive 26-03, ergänzt durch Einträge im Known Exploited Vulnerabilities Catalog. certfr bestätigte die laufende Ausnutzung.Auf Malware-Ebene dokumentierten mehrere Berichte gezielte Angriffe gegen Router, Entwickler und Unternehmensnetzwerke. Dazu zählen das DKnife-Framework, die Dohdoor-Backdoor, Arkanix Stealer sowie Supply-Chain-Kampagnen im npm-Ökosystem.Entwicklerplattformen bleiben ein zentrales Angriffsziel. Gefälschte Next.js-Repositories, Typosquatting-Kampagnen wie SANDWORM_MODE und Prompt-Injection-Techniken gegen KI-Coding-Assistenten verdeutlichen die zunehmende Komplexität moderner Supply-Chain-Angriffe.Im Phishing-Sektor zeigte die Starkiller-Plattform, wie Reverse-Proxy-Techniken Multi-Faktor-Authentifizierung effektiv umgehen können.Kritische Schwachstellen betrafen zudem KI-Entwicklungsumgebungen wie Claude Code von Anthropic, industrielle Steuerungssysteme, Fortinet-Produkte, SAP sowie zahlreiche weitere Plattformen.Parallel dazu dokumentierten Strafverfolgungsbehörden erfolgreiche Maßnahmen, darunter die Zerschlagung eines betrügerischen Callcenters durch Eurojust.Auch das Linux-Ökosystem entwickelte sich weiter: Linux 7.0 erreichte den Release-Candidate-Status.Die Quellen der Episode sind hier verfügbar: https://www.radiocsirt.com/de/podcast/ihre-cybersecurity-news-vom-samstag-28-februar-2026-episode-71/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Wir eröffnen diesen Wochenrückblick mit einer kritischen Warnung bezüglich der aktiven Ausnutzung einer Microsoft Office Zero-Day-Lücke, CVE-2026-21509. Laut CERT-UA hat die mit Russland verbundene Gruppe APT28 diese Schwachstelle in Phishing-Kampagnen integriert, die auf ukrainische Behörden und mehrere EU-Nationen abzielen. Dabei wird eine komplexe Infektionskette genutzt, die WebDAV und das Covenant-Post-Exploitation-Framework umfasst. In einem simultanen Schlag gegen Software-Lieferketten wurde der offizielle Update-Mechanismus von Notepad++ durch den staatlich gelenkten Akteur Violet Typhoon gekapert, um Malware zu verbreiten. Während die Bedrohungen gegen Produktivitäts-Tools zunehmen, setzt Mozilla auf Datenschutz und kündigt an, dass Firefox 148 es Nutzern ermöglichen wird, alle generativen KI-Funktionen zentral zu deaktivieren.Die Infrastrukturlandschaft stand diese Woche unter erheblichem Druck, als die CISA eine verbindliche operative Richtlinie erließ, die Bundesbehörden verpflichtet, alle End-of-Life (EoL) Geräte innerhalb von 12 Monaten auszumustern. Grund dafür ist deren Rolle als dauerhafte Eintrittspunkte für Edge-basierte Angriffe. Unterdessen brach das AISURU-Botnetz weltweite Rekorde mit einem hyper-volumetrischen DDoS-Angriff, der in der Spitze 31,4 Tbps erreichte und von 2 Millionen kompromittierten Android-Geräten gespeist wurde. Auf regulatorischer Ebene warnte die Europäische Kommission TikTok vor drohenden Geldstrafen in Höhe von 6 % des weltweiten Umsatzes wegen Verstößen gegen den Digital Services Act (DSA) durch "addictive by design"-Funktionen, während US-Behörden erfolgreich große Piraterie-Domains mit Sitz in Bulgarien beschlagnahmten.In Bezug auf Cyber-Erpressung setzt die Gruppe Scattered Lapsus ShinyHunters weiterhin neue Maßstäbe jenseits traditioneller Ransomware-Modelle, indem sie Datendiebstahl mit physischer Belästigung und Social Engineering kombiniert. In Deutschland warnten Behörden vor der Übernahme von Signal-Konten, die auf hochkarätige Personen abzielen und über betrügerisches QR-Code-Pairing erfolgen. Um den sich entwickelnden Bedrohungen zu begegnen, enthüllte Microsoft einen neuen Scanner zur Erkennung von Backdoors in Large Language Models (LLMs), und das britische NCSC lieferte einen strategischen Realitätscheck zum Thema Cloud Security Posture Management (CSPM) und betonte, dass diese Tools zwar wichtig, aber nur ein Teil des umfassenden Cloud-Sicherheits-Puzzles sind.QuellenSamstag, 31. Januar 2026Clubic – https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.htmlThe Record – https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-usUnit 42 – https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/CERT Santé – https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29SANS ISC – https://isc.sans.edu/diary/rss/32668Sonntag, 1. Februar 2026Google TAG – https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/CERT-FR – https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/BleepingComputer – https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/The Hacker News – https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.htmlMontag, 2. Februar 2026The Register – https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/The Hacker News – https://thehackernews.com/2026/02/notepad-official-update-mechanism.htmlBleepingComputer – https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/SANS ISC – https://isc.sans.edu/diary/rss/32674Dienstag, 3. Februar 2026Zscaler ThreatLabz – https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-googleEFF – https://www.encryptitalready.org/Centre canadien pour la cybersécurité – https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-kubernetes-av26-078Mittwoch, 4. Februar 2026CERT-FR – https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/NCSC – https://www.ncsc.gov.uk/blog-post/cspm-silver-bullet-or-another-piece-in-the-cloud-puzzleThe Hacker News – https://thehackernews.com/2026/02/microsoft-develops-scanner-to-detect.htmlCISA – https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalogDonnerstag, 5. Februar 2026The Record – https://therecord.media/cisa-gives-federal-agencies-one-year-end-of-life-devicesThe Hacker News – https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.htmlThe Register – https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/BleepingComputer – https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/Freitag, 6. Februar 2026KrebsOnSecurity – https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/BleepingComputer – https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/BleepingComputer – https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/CISA – https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalogNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Wir eröffnen diesen Wochenrückblick mit einem umfangreichen Patch Tuesday von Microsoft, der 114 Schwachstellen adressierte, darunter drei Zero-Days; besonders kritisch ist die bereits aktiv ausgenutzte CVE-2026-20805. Auch im Infrastrukturbereich gab es Handlungsbedarf: Cisco schloss eine kritische AsyncOS-Lücke, die von chinesischen APT-Akteuren ausgenutzt wurde, und AWS behob die „CodeBreach“-Schwachstelle in den CI-Pipelines seiner Konsole.Im Bereich Datenschutz und Regulierung verhängte die französische CNIL ein Bußgeld von insgesamt 48 Millionen Dollar gegen Free und Free Mobile aufgrund von Sicherheitsmängeln, die 24 Millionen Abonnenten betrafen. Zudem meldete der spanische Energieriese Endesa ein Datenleck mit 22 Millionen betroffenen Kunden, während ein massiver Scraping-Vorfall 17,5 Millionen Instagram-Nutzer bloßstellte.In der Bedrohungslandschaft analysierte Check Point Research „Sicarii“, eine neue Ransomware-Operation, die vermutlich als False-Flag-Aktion mit verworrenen ideologischen Botschaften agiert. Physische „Quishing“-Kampagnen (QR-Code-Phishing) nehmen in Frankreich zu, und das berüchtigte Hacking-Forum BreachForums wurde selbst Opfer eines Leaks seiner Nutzerdatenbank. Abschließend stärkt internationale Zusammenarbeit die Abwehr: Großbritannien stellte seinen „Government Cyber Action Plan“ vor, und Deutschland plant gemeinsam mit Israel den Aufbau eines „Cyber Dome“-Abwehrsystems.Quellen: Berichte, Studien & StrategienKaspersky Security Bulletin 2025 :https://www.kasbersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025SecurityScorecard (via KnowBe4) :https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdfENISA Threat Landscape 2025 :https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025FS-ISAC :https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-reportRESCO Courtage :https://www.resco-courtage.com/dora-reglementation-guide-complet-2025NCSC UK :https://www.ncsc.gov.uk/blog-post/government-cyber-action-plan-strengthening-resilience-across-ukSchwachstellen, Patch Tuesday & SicherheitshinweiseMicrosoft Security Update Guide :https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628CISA (CVE-2025-8110) :https://www.cisa.gov/news-events/alerts/2026/01/12/cisa-adds-one-known-exploited-vulnerability-catalogCISA (CVE-2026-20805) :https://www.cisa.gov/news-events/alerts/2026/01/13/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR (MISP) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0030/CERT-FR (VMware) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0029/CERT-FR (MariaDB) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0028/CERT-FR (NetApp) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0027/CERT-FR (Google Pixel) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0026/Krebs on Security :https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/Cisco Talos Intelligence :https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026/CERT Santé :https://cyberveille.esante.gouv.fr/alertes/palo-alto-cve-2026-0227-2026-01-15BleepingComputer (Cisco AsyncOS) :https://www.bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/CyberPress (AWS Console) :https://cyberpress.org/aws-console-supply-chain-attack-github-hijackingcyber/Datenlecks, Vorfälle & AngriffeBleepingComputer (BreachForums) :https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/CyberPress (Instagram) :https://cyberpress.org/instagram-data-leak/Cybersecurity Dive (SitusAMC) :https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/BleepingComputer (Endesa) :https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/BleepingComputer (Pax8) :https://www.bleepingcomputer.com/news/security/cloud-marketplace-pax8-accidentally-exposes-data-on-1-800-msp-partners/The Record (Anchorage Polizei) :https://therecord.media/anchorage-police-takes-servers-offline-after-third-party-attackThreat Intelligence (APT, Ransomware, Phishing)Planet.fr (Quishing-Betrug) :https://www.planet.fr/societe-arnaque-a-la-fausse-carte-bancaire-par-courrier-le-mecanisme-du-quishing-qui-vise-vos-coordonnees.2992374.29336.htmlCheck Point Research (Sicarii) :https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/Cisco Talos Intelligence (UAT-8837) :https://blog.talosintelligence.com/uat-8837/Malwarebytes (LinkedIn Phishing) :https://www.malwarebytes.com/blog/news/2026/01/phishing-scammers-are-posting-fake-account-restricted-comments-on-linkedinRegulierungen, Sanktionen & Internationale ZusammenarbeitThe Record (CNIL/Free Bußgeld) :https://therecord.media/france-data-regulator-fineMalwarebytes (Datamasters Bußgeld) :https://www.malwarebytes.com/blog/news/2026/01/data-broker-fined-after-selling-alzheimers-patient-info-and-millions-of-sensitive-profilesThe Record (Deutschland-Israel-Abkommen) :https://therecord.media/germany-cyber-dome-israelInstitutionell:AMSN / Monaco Spezial AMSN :https://amsn.gouv.mc/decouvrir-l-amsn/presentationCERT-MC :https://amsn.gouv.mc/cert-mcFürstliche Regierung (Verzeichnis) :https://www.gouv.mc/Gouvernement-et-Institutions/Le-Gouvernement/Ministere-d-Etat/Agence-Monegasque-de-Securite-NumeriqueLégimonaco :https://legimonaco.mc/tnc/ordonnance/2015/12-23-5.664/NSSI / cyber.gouv.fr :https://cyber.gouv.fr/actualites/signature-dun-nouveau-programme-de-cooperation-entre-lagence-monegasque-de-securiteFürstliche Regierung (FIRST Konferenz) :https://www.gouv.mc/Action-Gouvernementale/La-Securite/Actualites/L-Agence-Monegasque-de-Securite-Numerique-participe-a-la-36eme-conference-annuelle-du-Forum-of-Incident-Response-and-Security-TeamsNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Wir eröffnen diese Ausgabe mit einer globalen Einordnung der aktuellen Cyberbedrohungslage.Das Jahr zweitausendfünfundzwanzig bestätigt einen hohen und anhaltenden Cyberdruck auf Organisationen, geprägt durch die Konvergenz kritischer technischer Schwachstellen, struktureller Abhängigkeiten von Dienstleistern und zunehmender geopolitischer Spannungen. Sektorale Analysen zeigen eine kontinuierliche Ausweitung der Angriffsflächen, eine verstärkte Ausnutzung digitaler Lieferketten sowie eine fortschreitende Professionalisierung bösartiger Akteure, sowohl krimineller als auch staatlicher Natur.Anschließend analysieren wir den Finanzsektor, der mit einer doppelten strukturellen Bedrohung konfrontiert ist.Berichte von Kaspersky, ENISA, FS-ISAC und KnowBe4 kommen zu einem eindeutigen Ergebnis: Nahezu alle großen Finanzinstitutionen waren von Vorfällen betroffen, an denen Drittanbieter beteiligt waren. Diese systemische Exposition geht einher mit einer Intensivierung geopolitisch motivierter Angriffe und APT-Operationen gegen internationale Bankinfrastrukturen, insbesondere zur staatlichen Finanzierung oder Informationsgewinnung.Wir kehren zudem zu mehreren dokumentierten Vorfällen zurück, die diese Dynamik verdeutlichen.Die Kompromittierung des Bankdienstleisters SitusAMC zeigt die Kaskadeneffekte von Supply-Chain-Angriffen auf.Der vom prorussischen Kollektiv NoName057(16) beanspruchte Angriff auf La Poste folgt einer Logik symbolischer Störung im Kontext geopolitischer Spannungen.Weitere aktuelle Fälle aus der Fachpresse bestätigen die anhaltende Exponierung des Finanzsektors gegenüber Angriffen an der Schnittstelle von organisierter Cyberkriminalität und staatlichen Interessen.Abschließend betrachten wir die regulatorischen und organisatorischen Antworten auf diese Bedrohungen.Die DORA-Verordnung stellt einen strukturierenden Schritt für die operative Resilienz des europäischen Finanzsektors dar, doch Rückmeldungen zeigen, dass regulatorische Konformität allein nicht ausreicht, um entschlossene Gegner abzuwehren. Die Beherrschung digitaler Abhängigkeiten, Transparenz über Dritt- und Viertparteien sowie der Ausbau von Erkennungs- und Reaktionsfähigkeiten bleiben zentrale Herausforderungen zur Begrenzung systemischer Auswirkungen.Quellen und ReferenzenSektorale Berichte und BedrohungsanalysenKaspersky Security Bulletin 2025 - Financial Sector https://www.kaspersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025ENISA Threat Landscape 2025 - Finance Sector https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025FS-ISAC - Navigating Cyber 2025 https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-reportKnowBe4 - Financial Sector Threats: The Shifting Landscape https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdfDokumentierte Vorfälle und KompromittierungenCybersecurity Dive - SitusAMC Banking Vendor Breach https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/The Record (Recorded Future) - NoName057(16) Attack on La Poste https://therecord.media/pro-russian-hackers-claim-attack-french-postal-service-la-posteAmerican Banker - Marquis Breach (Carter Pape) https://www.muckrack.com/carter-pape/articlesAttribution und staatliche BedrohungsakteureSecurity Affairs - France Links APT28 to Government Attacks https://securityaffairs.com/171234/apt/france-links-russian-apt28-attacks.htmlCompliance und RegulierungRESCO Courtage - Vollständiger DORA-Leitfaden 2025 https://www.resco-courtage.com/dora-reglementation-guide-complet-2025L’Usine Digitale - Cyberangriffe 2025 und gewonnene Erkenntnisse https://www.usine-digitale.fr/article/les-cyberattaques-qui-ont-marque-l-annee-2025-et-les-lecons-a-en-tirer.htmlThird-Party-LieferantenstudienSecurityScorecard - Third-Party Breach Report 2024 Bericht zitiert im KnowBe4 Financial Sector Threats Dokument (Daten über 97% der US-Banken und 100% der europäischen Finanzkonzerne, die über Lieferanten betroffen waren)At-Bay - Cyber Insurance Claims Data 2025 Bericht zitiert im KnowBe4 Financial Sector Threats Dokument (Daten über indirekte Ransomware und Finanzbetrug nach Phishing)Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]:https://www.radiocsirt.com/deWöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Wir eröffnen diese Episode mit einer kritischen Schwachstelle in n8n, berichtet von Security Online. CVE-2025-68668, mit einem CVSS-Score von 9.9, ermöglicht es einem authentifizierten Benutzer, aus der Python-Sandbox der Automatisierungsplattform auszubrechen, um beliebige Systembefehle auszuführen, wodurch der Code Node zu einem Vektor für die vollständige Kompromittierung des Hostsystems wird.CVEfeed.io meldet eine unkontrollierte DLL-Loading-Schwachstelle in AsusSoftwareManagerAgent. CVE-2025-12793, bewertet mit 8.5 in CVSS 4.0, nutzt einen nicht vertrauenswürdigen Suchpfad aus, der es einem lokalen Angreifer ermöglicht, beliebigen Code durch Manipulation von DLL-Namespaces auszuführen.Clubic berichtet über das Verschwinden der Hauptdomain von Anna's Archive. Das Registry hat annas-archive.org zwei Wochen nach dem Hochladen von 300 Terabyte Spotify-Daten unter serverHold-Status gesetzt, was auf rechtliche Schritte des Public Interest Registry nach der Klage von OCLC wegen der Extraktion von 2,2 Terabyte WorldCat-Daten hindeutet.Phoronix meldet eine kritische Situation für das Debian-Projekt: Die drei delegierten Mitglieder des Data Protection Teams sind gleichzeitig zurückgetreten und lassen das Projekt ohne aktives Team zur Verwaltung der DSGVO-Verpflichtungen zurück. Projektleiter Andreas Tille übernimmt diese Rolle nun ad-hoc, während neue Freiwillige gesucht werden.Schließlich hat CERT-FR den Hinweis CERTFR-2026-AVI-0004 bezüglich CVE-2025-13699 herausgegeben, der mehrere MariaDB-Zweige betrifft. Der Hersteller hat die genaue Art des Sicherheitsproblems nicht spezifiziert, empfiehlt aber ein Update auf die Versionen 10.11.15, 10.6.24, 11.4.9 oder 11.8.4.Quellen: Security Online – n8n CVE-2025-68668: https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/CVEfeed.io – CVE-2025-12793 ASUS: https://cvefeed.io/vuln/detail/CVE-2025-12793Clubic – Anna's Archive Domain: https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.htmlPhoronix – Debian Data Protection Team: https://www.phoronix.com/news/No-Debian-Data-Protection-TeamCERT-FR – MariaDB-Schwachstelle: https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.Wir beginnen diese Ausgabe mit mehreren Sicherheitshinweisen des CERT-FR zu kritischen Schwachstellen, die zentrale Komponenten des Linux-Ökosystems und von Unternehmensumgebungen betreffen. Die Hinweise betreffen insbesondere Ubuntu, Red Hat und IBM-Produkte, die Schwachstellen aufweisen, welche eine Rechteausweitung, die Ausführung von beliebigem Code oder die Verletzung der Vertraulichkeit ermöglichen können. Diese Schwachstellen betreffen weit verbreitete Komponenten in Server- und Cloud-Infrastrukturen und unterstreichen die Bedeutung eines konsequenten Patch-Managements in kritischen Umgebungen.Anschließend analysieren wir eine Schwachstelle im Roundcube-Webmail, referenziert als CVE-2025-68461. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, Eingabeverarbeitungsmechanismen auszunutzen, um Sitzungssicherheit zu kompromittieren oder Schadcode im Kontext des betroffenen Benutzers auszuführen. Aufgrund der weiten Verbreitung von Roundcube stellt diese Schwachstelle ein erhebliches Risiko für öffentlich erreichbare Organisationen dar.Abschließend betrachten wir eine von Microsoft behobene Sicherheitslücke mit der Kennung CVE-2025-13699. Diese Schwachstelle betrifft eine Windows-Systemkomponente und kann zur Umgehung von Sicherheitsmechanismen oder zur Erlangung erhöhter Privilegien ausgenutzt werden. Microsoft hat entsprechende Updates bereitgestellt und empfiehlt deren zeitnahe Installation.QuellenCERT-FR – Ubuntu-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Red Hat-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/ CERT-FR – IBM-Produktschwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/ Roundcube-Schwachstelle – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26 Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.Wir beginnen diese Ausgabe mit einem Fall, der Cyberkriminalität und Nachrichtendienste in Osteuropa verbindet. In Georgien wurde der ehemalige Leiter der Gegenspionage im Rahmen einer Untersuchung zu groß angelegten Betrugszentren festgenommen. Die Behörden gehen davon aus, dass er strukturierte Betrugsoperationen mit internationalen Opfern unterstützt oder geschützt hat und verdeutlichen damit erneut die enge Verbindung zwischen organisierter Kriminalität, Korruption und Cyberbetrug.Anschließend analysieren wir eine Phishing-Kampagne, die sich über gefälschte E-Mails im Namen von Grubhub an Nutzer von Kryptowährungen richtet. Die Nachrichten versprechen eine Verzehnfachung der eingesendeten Kryptowährung. Die Gelder werden unmittelbar an von Angreifern kontrollierte Wallets weitergeleitet, ohne Möglichkeit der Rückholung, was eine klassische, aber weiterhin effektive Social-Engineering-Methode zeigt.Zum Abschluss betrachten wir eine Operation der China-nahen Gruppe Evasive Panda, die Spionageaktivitäten über eine manipulierte DNS-Infrastruktur durchgeführt hat. Dabei kamen fortgeschrittene DNS- und Traffic-Redirection-Techniken zum Einsatz, um unauffällige Schadlasten auszuliefern und mehrere Erkennungsmechanismen zu umgehen. Die Kampagne verdeutlicht die kontinuierliche Weiterentwicklung von APT-Taktiken im staatlichen Cyberespionageumfeld.QuellenFestnahme in Georgien – Betrugszentren:https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersKrypto-Phishing – gefälschte Grubhub-E-Mails:https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – missbrauchte DNS-Infrastruktur:https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.Wir beginnen diese Ausgabe mit einer geopolitischen Analyse, die eine neue Phase der transatlantischen Spannungen im Bereich der digitalen Regulierung markiert. Die Vereinigten Staaten haben Visabeschränkungen gegen mehrere europäische Akteure der Tech-Regulierung verhängt, darunter Thierry Breton, ehemaliger EU-Kommissar. Die US-Regierung begründet dies mit Vorwürfen extraterritorialer Zensur im Zusammenhang mit der Durchsetzung des Digital Services Act. Die Europäische Union verurteilte die Maßnahme und forderte formelle Erklärungen unter Verweis auf ihre regulatorische Souveränität.Anschließend analysieren wir CVE-2018-25154, eine kritische Buffer-Overflow-Schwachstelle in GNU Barcode Version 0.99. Die Schwachstelle im Code-93-Encoding ermöglicht beliebige Codeausführung über präparierte Eingabedateien. Der CVSS-Score 3.1 liegt kritisch bei 9.8, mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.Wir betrachten außerdem CVE-2023-36525, eine nicht authentifizierte Blind SQL Injection im WordPress-Plugin WPJobBoard bis Version 5.9.0. Die Schwachstelle ist remote ausnutzbar, ohne Benutzerinteraktion oder Berechtigungen.Im Bereich Cyberkriminalität wurde die Infrastruktur web3adspanels.org durch das FBI beschlagnahmt, die als Backend zur Speicherung kompromittierter Bankzugangsdaten aus Phishing-Kampagnen diente und für Account-Takeover-Angriffe genutzt wurde.Danach befassen wir uns mit Urban VPN Proxy, einer kostenlosen VPN-Browsererweiterung, deren neuere Versionen KI-Plattform-Konversationen abfangen und exfiltrieren, einschließlich Prompts, Antworten und Metadaten.Zum Abschluss behandeln wir die aktive Ausnutzung von CVE-2020-12812 auf FortiGate-Firewalls, eine weiterhin missbrauchte Schwachstelle zum Umgehen der Zwei-Faktor-Authentifizierung über LDAP-Mechanismen.QuellenTech-Regulierung und Spannungen USA–EU: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – GNU Barcode Buffer Overflow: https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – WPJobBoard Blind SQL-Injection: https://cvefeed.io/vuln/detail/CVE-2023-36525FBI-Beschlagnahmung – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlDatenernte bei Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlAusnutzung der FortiGate 2FA-Umgehung: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.Eine neue Initiative bringt freiwillige Cybersicherheitsexperten mit Wasserversorgern zusammen, um kritische Infrastrukturen besser gegen wachsende Bedrohungen zu schützen. Fachleute aus der DEF-CON-Franklin-Community unterstützen Versorgungsbetriebe durch Sicherheitsbewertungen, OT-Analyse und die Umsetzung angepasster Schutzmaßnahmen.MongoDB warnt Administratoren eindringlich vor einer schwerwiegenden Remote-Code-Execution-Schwachstelle in seinem Ökosystem. Die Lücke ermöglicht nicht authentifizierten Angreifern die Ausführung beliebigen Codes auf exponierten Node.js-Servern. Öffentliche Proof-of-Concept-Exploits erhöhen das Risiko einer aktiven Ausnutzung erheblich.Eine groß angelegte Kompromittierungskampagne mit der Malware PCPcat nutzte kritische Schwachstellen in Next.js- und React-Serverkomponenten aus. Innerhalb von 48 Stunden wurden über 59.000 Server kompromittiert, wobei Zugangsdaten, SSH-Schlüssel und Umgebungsvariablen abgegriffen wurden.In Frankreich kam es bei La Poste und der Banque Postale infolge eines DDoS-Angriffs zu erheblichen Ausfällen. Mehrere Online-Dienste waren zeitweise nicht verfügbar, wobei laut Behörden keine Kundendaten kompromittiert wurden.Quellen:Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.CISA hat CVE-2023-52163 aufgrund aktiver Ausnutzung bei Digiever DS-2105 Pro Videorekordern in den KEV-Katalog aufgenommen. Dieser Autorisierungsfehler ermöglicht es Angreifern, Sicherheitskontrollen zu umgehen. CISA empfiehlt allen Organisationen dringend die Einspielung von Firmware-Updates, da diese Schwachstelle ein häufiger Vektor für unbefugten Zugriff in IoT-Netzwerken ist.Genians Security Center dokumentiert die Kampagne „Artemis“ der APT37-Gruppe gegen südkoreanische Ziele mittels bösartiger HWP-Dokumente. Die Attacke nutzt OLE-Objekte und DLL Side-Loading über das Tool VolumeId zur Installation des RoKRAT-Moduls. Die Angreifer setzen Steganographie zur Verschleierung ein und missbrauchen Yandex und pCloud für C2-Kommunikation. Die Entdeckung wird durch die Nutzung legitimer Prozesskontexte erschwert.SoundCloud bestätigt einen Datenabfluss bei 26 Millionen Konten nach der Kompromittierung eines Dashboards. Exfiltriert wurden E-Mails und Profilinfos; Passwörter sind nicht betroffen. Nachfolgende DDoS-Angriffe und verschärfte Zugriffskontrollen führten zu VPN-Verbindungsproblemen. Die Plattform hat die Überwachungsmechanismen zur Bedrohungserkennung massiv verstärkt.Forscher von Socket Security haben zwei bösartige Chrome-Erweiterungen namens Phantom Shuttle entdeckt, die Zugangsdaten von 170 Unternehmensdomänen wie AWS und GitHub stehlen. Die Tools nutzen PAC-Skripte und injizieren Proxy-Zugangsdaten über Web-Requests. Sensible Daten werden alle fünf Minuten im Klartext an den C2-Server phantomshuttle[.]space gesendet.Anna’s Archive hat 300 Terabyte an Spotify-Daten veröffentlicht, darunter 86 Millionen Titel. Das Scraping erfolgte über Monate durch Stream-Ripping mittels Drittanbieter-Konten. Spotify deaktivierte die Konten und führte neue Schutzmaßnahmen gegen automatisiertes Abspielen ein. Der Vorfall unterstreicht die Risiken durch großangelegtes automatisiertes Scraping von Mediendaten.Sources:CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.Pornhub warnt Premium-Abonnenten nach Datenexposition am 8. November 2025 über Analytics-Anbieter Mixpanel. Cyberkriminelle drohen, betroffene Nutzer direkt per E-Mail zu kontaktieren. Mixpanel bestreitet, dass Daten aus seinem Sicherheitsvorfall vom 8. November stammen, und gibt an, es gebe keine Beweise für Exfiltration aus seinen Systemen. Pornhub bestätigt, dass Passwörter, Zahlungsdetails und Finanzinformationen nicht kompromittiert sind, wobei die Exposition auf eine begrenzte Menge von Analytics-Ereignissen beschränkt bleibt. Angreifer nutzen diese Daten für Sextortion-Kampagnen, die gezielt identifizierte Premium-Nutzer ansprechen.Intezer dokumentiert eine Kampagne der Goffee-Gruppe gegen russisches Militärpersonal und Verteidigungsorganisationen. Der im Oktober identifizierte Angriff nutzt eine schädliche XLL-Datei, die von der Ukraine und dann Russland auf VirusTotal hochgeladen wurde, mit dem Titel "enemy's planned targets". Die Datei setzt die EchoGather-Backdoor ein, um Systeminformationen zu sammeln, Befehle auszuführen und Dateien auf einen C2-Server zu exfiltrieren, der als Essenslieferungs-Website getarnt ist. Phishing-Köder umfassen gefälschte Konzerteinladungen für hochrangige Militäroffiziere und Briefe, die das russische Ministerium für Industrie und Handel imitieren und Preisrechtfertigungsdokumente für Verteidigungsverträge anfordern.CISA und NIST veröffentlichen den Entwurf des Interagency Report 8597 zum Schutz von Identitäts-Token und Assertions gegen Fälschung, Diebstahl und missbräuchliche Nutzung. Das Dokument adressiert aktuelle Vorfälle bei großen Cloud-Anbietern, die auf Diebstahl, Modifikation oder Fälschung von Identitäts-Token zum Zugriff auf geschützte Ressourcen abzielen. Der Bericht umfasst IAM-Kontrollen für Systeme, die digital signierte Assertions und Token in Zugriffsentscheidungen verwenden. NIST fordert CSPs auf, Secure by Design-Prinzipien anzuwenden und Transparenz, Konfigurierbarkeit und Interoperabilität zu priorisieren. Bundesbehörden müssen Architektur und Bereitstellungsmodelle ihrer CSPs verstehen, um Risikolage und Bedrohungsumgebung abzustimmen.Check Point Research hat GachiLoader dokumentiert, eine stark obfuskierte Node.js-Loader-Malware, die über das YouTube Ghost Network verbreitet wird. Die Kampagne nutzt 39 kompromittierte Konten mit über 100 Videos, die Nutzer von Spiele-Cheats ansprechen und seit Dezember 2024 220.000 Aufrufe erreichten. Die Malware implementiert Anti-Analyse-Prüfungen mit mindestens 4 GB RAM, 2 CPU-Kernen sowie Blacklists für Benutzernamen, Hostnamen und laufende Prozesse. GachiLoader deaktiviert Windows Defender und fügt Ausnahmen für C:\Users, C:\ProgramData, C:\Windows und die Erweiterung .sys hinzu. Zwei Varianten wurden beobachtet: Die erste lädt Rhadamanthys von C2-Servern herunter, die zweite setzt Kidkadi.node ein mit Vectored Overloading-Technik zum Abfangen von Systemaufrufen und Laden schädlicher PE.Quellen:Pornhub Sextortion: https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure Goffee APT: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing NIST/CISA Token: https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and GachiLoader: https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/Nicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.Die Mehrheit neu registrierter und geparkter Domains liefert inzwischen schädliche Inhalte aus. Analysen zeigen eine zunehmende Nutzung von Domain-Parking-Diensten zur Bereitstellung von Phishing-Seiten, gefälschten Software-Updates und Weiterleitungen zu Scam-Infrastrukturen. Diese Domains werden als kurzlebige Infrastruktur eingesetzt, um Reputationsmechanismen zu umgehen und Betrugs- sowie Malware-Delivery-Kampagnen zu beschleunigen.Die iranische APT-Gruppe Infy ist mit einer neuen gezielten Kampagne wieder aktiv. Die Angriffe basieren auf Spear-Phishing mit präparierten Dokumenten und politischen sowie diplomatischen Ködern. Die Payloads enthalten aktualisierte Backdoors, Persistenzmechanismen über die Windows-Registry und verschleierte HTTP(S)-C2-Kanäle, was auf eine strukturierte operative Wiederaufnahme hindeutet.Das NIST veröffentlicht neue Sicherheitsempfehlungen für den Einsatz von Smart Speakern in der häuslichen Telemedizin. Identifizierte Risiken umfassen das Abfangen unverschlüsselter Sprachkommunikation, die Offenlegung sensibler Gesundheitsdaten sowie die Nutzung dieser Geräte als Pivot-Punkte in Krankenhaus-Systeme. Die empfohlenen Maßnahmen fokussieren auf verschlüsselte Kommunikation, Network Segmentation und strikte Zugriffskontrollen.Quellen:Bösartiges Domain-Parking: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/APT Infy: https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.htmlNIST Smart Speaker: https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelinesNicht nachdenken, patchen!Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.Amazon gibt bekannt, eine mit Nordkorea verbundene Infiltration bei einer IT-Rekrutierung identifiziert zu haben. Ein als in den USA ansässig deklarierter Systemadministrator wurde durch eine Tastenanschlag-Latenz von über 110 Millisekunden zu den Servern in Seattle erkannt, was auf interkontinentale Fernsteuerung hinweist. Die Kontrollinfrastruktur wurde bis nach China zurückverfolgt. Amazon gibt an, seit April 2024 mehr als 1.800 betrügerische Rekrutierungsversuche im Zusammenhang mit Nordkorea blockiert zu haben, mit einem vierteljährlichen Anstieg von 27 %.Ein russischer APT-Akteur führt eine Phishing-Kampagne durch, die auf Regierungsbehörden auf dem Balkan und im Baltikum abzielt. Die Angriffe beruhen auf HTML-Anhängen, die als PDFs getarnt sind und institutionelle Köder sowie gefälschte Authentifizierungsformulare enthalten. Die Zugangsdaten werden über formcarry.com exfiltriert, mit Wiederverwendung von JavaScript-Code und Regex, die seit mindestens 2023 beobachtet wurde.Microsoft bestätigt einen globalen Ausfall von Microsoft Teams, der das Senden und Empfangen von Nachrichten in allen Regionen und bei allen Kunden beeinträchtigt hat. Der Vorfall beginnt um 14:30 Uhr Ostküstenzeit und wird eine Stunde später vollständig behoben. Es werden keine Indikatoren für böswillige Aktivitäten mitgeteilt.Eine Malware-Kampagne nutzt Microsoft Office-Dokumente, SVG-Dateien und komprimierte Archive aus, um Windows-Systeme zu kompromittieren. Die Angreifer nutzen CVE-2017-11882 aus, verwenden PNG-Steganographie und Process Hollowing über RegAsm.exe, um RATs und Stealer bereitzustellen, darunter AsyncRAT, Remcos und PureLog Stealer.In den Vereinigten Staaten werden ATM-Jackpotting-Angriffe einer kriminellen Gruppe zugeschrieben, die die Ploutus-Malware über physischen Zugriff auf Geldautomaten einsetzt. Die Kompromittierung beruht auf der Modifikation oder dem Austausch der Festplatten der Geldautomaten, was die Kontrolle über das Geldausgabemodul ermöglicht. Die Verluste werden seit 2020 auf über 40 Millionen Dollar geschätzt.Quellen:Amazon: https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.htmlRussischer APT: https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/Microsoft Teams: https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/SVG / Office: https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/ATM Ploutus: https://www.theregister.com/2025/12/19/tren_de_aragua_atm/Nicht zu viel nachdenken. Patchen.Ihr Feedback ist willkommen.E-Mail: [email protected]: https://www.radiocsirt.com/deWöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

08-27-21