Im Mittelpunkt steht die zunehmende Geschwindigkeit von Angriffen. CrowdStrike berichtet in seinem Global Threat Report 2026, dass die durchschnittliche Breakout-Zeit – die Spanne zwischen Erstzugriff und seitlicher Bewegung – 2025 auf 29 Minuten fiel, ein Tempozuwachs von 65 Prozent gegenüber 2024. Bei einem Vorfall durch die Gruppe Luna Moth (auch Chatty Spider) gegen eine Anwaltskanzlei vergingen vom Erstzugriff bis zur Datenexfiltration nur vier Minuten. Treiber dieser Beschleunigung sei vor allem der Missbrauch legitimer Zugangsdaten, mit denen Angreifer im normalen Datenverkehr untergehen. CrowdStrike beobachtete einen Anstieg der Angriffe durch KI-gestützte Akteure um 89 Prozent; 82 Prozent aller Angriffe kamen ganz ohne Malware aus. ReliaQuest kommt zu ähnlichen Werten: dort erreichten die schnellsten Eindringlinge die seitliche Bewegung in vier Minuten, die Datenexfiltration in sechs.

Mehrere Kampagnen setzen auf Täuschung. Mac-Nutzer, die nach Programmen wie Homebrew, 7-Zip, Notepad++ oder LibreOffice suchen, geraten in eine Malvertising-Kampagne, die über mindestens 35 gekaperte Google-Werbekonten mehr als 200 schädliche Anzeigen schaltet und per ClickFix-Methode den MacSync-Stealer verteilt. Laut ReliaQuest war ClickFix im vergangenen Jahr für die Auslieferung von 59 Prozent der wichtigsten Malware-Familien verantwortlich.

Neu aufgetaucht sind zwei Chrome-Erweiterungen, Pixel Shield – Block Ads und PageGuard – Phishing Protection, die das Vorgehen von CrashFix übernehmen: Der Browser wird gezielt zum Absturz gebracht, anschließend wird der Nutzer zum Ausführen eines schädlichen Befehls verleitet. Beunruhigend sei, dass die Erweiterungen tatsächlich funktionieren. John Tuckner von Annex Security beschreibt die Technik als “Promise Bomb”: Der Browser werde durch Millionen unauflösbarer Promises im Nachrichtensystem überflutet. Die neuen Varianten werden über Push-Benachrichtigungen ferngesteuert, sodass der Angreifer den Zeitpunkt des Absturzes selbst bestimmen kann.

Bei der Verbreitung von Ransomware meldet The DFIR Report, dass Angreifer eine inzwischen gepatchte Schwachstelle in über das Internet erreichbaren Apache-ActiveMQ-Servern (CVE-2023-46604) ausnutzen, um LockBit-Ransomware auszurollen. Nach einer ersten Verdrängung drangen die Täter 18 Tage später erneut in denselben Server ein und setzten mit zuvor erbeuteten Zugangsdaten über RDP die Ransomware ein – vermutlich erstellt mit dem geleakten LockBit-Builder.

Die Sicherheitsfirma Stairwell stellte fest, dass mehr als 80 Prozent der von ihr überwachten IT-Netzwerke WinRAR-Versionen einsetzen, die für CVE-2025-8088 anfällig sind – eine Lücke, die laut Stairwell von Cyberkriminellen wie auch Spionagegruppen breit ausgenutzt wird. Alex Hegyi verweist auf die Gefahr weit verbreiteter, vertrauter Software, die unbemerkt veraltet und zum lohnenden Ziel wird.

Weitere Meldungen reichen von der Android-Spyware ResidentBat, deren Infrastruktur laut Censys vor allem in Europa und Russland liegt, über Phishing gegen Bitpanda-Kunden bis zu einer Trail-of-Bits-Analyse, wonach mehr als 723.000 Open-Source-Projekte Krypto-Bibliotheken mit unsicheren Standardeinstellungen nutzen.