Im Mittelpunkt steht eine neue Variante des seit Langem bekannten Phorpiex-Botnetzes (auch Trik). Laut Bitsight kombiniert sie herkömmliches C2-Polling per HTTP mit einem P2P-Protokoll über TCP und UDP, um auch bei Server-Abschaltungen handlungsfähig zu bleiben. Die Schadsoftware dient als Kanal für verschlüsselte Payloads, was es Außenstehenden erschwert, Befehle einzuschleusen oder zu verändern. Die als Twizt bezeichnete Variante setzt vor allem einen Clipper ab, der Kryptowährungs-Transaktionen umleitet, verschickt massenhaft Sextortion-Spam und ermöglicht den Einsatz von Ransomware wie LockBit Black und Global. Sie verbreitet sich wurmartig über Wechsel- und Netzlaufwerke und lädt Module nach, die Mnemonic-Phrasen ausleiten und nach LFI-Schwachstellen suchen. Bitsight zählt im Schnitt rund 125.000 Infektionen pro Tag, am stärksten betroffen sind Iran, Usbekistan, China, Kasachstan und Pakistan.

Eine Remote-Code-Execution-Schwachstelle schlummerte 13 Jahre lang in Apache ActiveMQ Classic. Die mit CVE-2026-34197 (CVSS 8.8) erfasste Lücke erlaubt Angreifern, über die Jolokia-API Verwaltungsoperationen aufzurufen und den Message-Broker dazu zu bringen, eine entfernte Konfigurationsdatei zu laden und Betriebssystembefehle auszuführen. Laut Horizon3.ai handelt es sich um eine Umgehung von CVE-2022-41678. Forscher Naveen Sunkavally erklärt, die Lücke erfordere zwar Zugangsdaten, doch Standard-Logins wie „admin:admin" seien verbreitet; in den Versionen 6.0.0 bis 6.1.1 sei wegen CVE-2024-32114, die die Jolokia-API ungeschützt freilegt, gar keine Authentifizierung nötig, womit CVE-2026-34197 dort faktisch eine nicht authentifizierte RCE darstelle. Behoben wurde der Fehler in ActiveMQ Classic 5.19.4 und 6.2.3.

Das FBI beziffert die Schäden durch Cyberbetrug für 2025 auf über 17,7 Milliarden Dollar; der Gesamtschaden übersteigt 20,87 Milliarden Dollar – ein Anstieg um 26 Prozent gegenüber 2024. Knapp 85 Prozent aller beim IC3 gemeldeten Verluste entfielen demnach auf Cyberbetrug. Investitionsbetrug führte mit 8,6 Milliarden Dollar, davon 7,2 Milliarden allein durch Krypto-Anlagebetrug, gefolgt von Business E-Mail Compromise (3 Milliarden) und Tech-Support-Betrug (2,1 Milliarden). 63 neue Ransomware-Varianten verursachten mehr als 32 Millionen Dollar Schaden; zu den Top Ten zählten unter anderem Akira, Qilin, BianLian, Play, Lockbit und Medusa.

Weitere Vorfälle der Woche: NETSCOUT registrierte zwischen Juli und Dezember 2025 mehr als acht Millionen DDoS-Angriffe in 203 Ländern, wobei DDoS-as-a-Service-Plattformen zunehmend Dark-Web-LLMs einbinden. Google verfolgt unter UNC6783 eine finanziell motivierte Gruppe, die über kompromittierte BPO-Dienstleister und Helpdesks per Live-Chat-Social-Engineering auf gefälschte Okta-Logins lenkt. Sansec meldet eine Magecart-Kampagne, die über unsichtbare 1×1-Pixel-SVG-Elemente einen gefälschten Checkout auf 99 Magento-Shops einschleust.

Mehrere Vorfälle drehen sich um den KI-Anbieter Anthropic: Ende März 2026 legte das Unternehmen über ein fehlkonfiguriertes npm-Paket rund 512.000 Zeilen internen Claude-Code-TypeScript offen; laut Trend Micro nutzten Angreifer den Leak, um über gefälschte GitHub-Repos Vidar Stealer, PureLogs Stealer und GhostSocks zu verbreiten. Zudem wies LayerX nach, dass sich Claude Code durch eine manipulierte „CLAUDE.md"-Datei zu einem vollständigen Penetrationsangriff verleiten lässt. Ein Bundesberufungsgericht in Washington lehnte es ab, die Einstufung Anthropics als Lieferketten-Risiko durch das US-Verteidigungsministerium zu blockieren.

Daneben patchte Grafana eine als GrafanaGhost (Noma Security) bezeichnete Lücke, die per indirekter Prompt-Injection ohne Nutzerinteraktion Daten abfließen lässt, und im Linux-Kernel-ksmbd-SMB3-Server wurde CVE-2026-23226 (CVSS 8.8) behoben, über die sich der per-Channel-AES-128-CMAC-Signierschlüssel auslesen lässt.