Im Mittelpunkt steht eine ungepatchte Schwachstelle in Microsoft Defender. Nachdem der Forscher „Chaotic Eclipse" in diesem Monat den Zero-Day-Exploit BlueHammer veröffentlicht hatte, wurde die zugrunde liegende Lücke (CVE-2026-33825) offenbar mit dem aktuellen Patch Tuesday geschlossen. Seither legte er jedoch eine neue, noch ungepatchte Schwachstelle zur Rechteausweitung offen, den Exploit RedSun. Laut dem Sicherheitsforscher Will Dormann gelingt damit „zu 100 Prozent zuverlässig" der Sprung vom unprivilegierten Nutzer zu SYSTEM-Rechten – gegen Windows 11 und Windows Server mit den April-Updates 2026 sowie gegen Windows 10, sofern Windows Defender aktiviert ist.

Die US-Behörde CISA nahm zudem eine fast 17 Jahre alte Schwachstelle in Microsoft Office in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. CVE-2009-0238 mit einem CVSS-Wert von 8,8 erlaubt laut CISA die vollständige Übernahme eines Systems, wenn ein Nutzer eine präparierte Excel-Datei mit einem fehlerhaft aufgebauten Objekt öffnet. Bundesbehörden müssen bis zum 28. April 2026 nachbessern.

Im mobilen Bereich gelangte eine betrügerische App namens „Ledger Live" in den Apple App Store und entwendete zwischen dem 7. und 13. April 2026 rund 9,5 Millionen US-Dollar in Kryptowährung von mehr als 50 Opfern. Nutzer wurden dazu verleitet, ihre Seed-Phrasen einzugeben, was den Angreifern vollen Zugriff auf die Wallets verschaffte. Apple entfernte die App; wie sie die Prüfung passieren konnte, bleibt offen. Eine weitere App, „Freecash", entfernte Apple wegen heimlicher Datensammlung – sie ist im Google Play Store weiter verfügbar.

Barracuda Networks beobachtete zwischen Januar und März 2026 einen starken Anstieg von Brute-Force-Versuchen gegen SonicWall- und FortiGate-Geräte, von denen 88 Prozent aus dem Nahen Osten zu stammen schienen. Die meisten Versuche blieben erfolglos, doch das beharrliche Abtasten erhöht laut Barracuda das Risiko, dass ein einzelnes schwaches Passwort oder eine Fehlkonfiguration zur Kompromittierung führt.

Beim Krypto-Dienst Zerion wurde das Gerät eines Mitarbeiters kompromittiert, wodurch rund 100.000 US-Dollar aus internen Hot Wallets entwendet wurden. Kundengelder, Apps und Infrastruktur seien nicht betroffen gewesen. Der Mitarbeiter sei Ziel einer KI-gestützten Social-Engineering-Attacke des nordkoreanischen Akteurs UNC1069 geworden, dem kürzlich auch die Manipulation des npm-Pakets Axios zugeschrieben wurde. Laut Zerion handelte es sich nicht um einen Gelegenheitsangriff, sondern um einen sorgfältig geplanten Angriff durch einen versierten, gut ausgestatteten Akteur.

Unbekannte Täter inszenierten außerdem einen Lieferketten-Angriff auf den WordPress-Plug-in-Anbieter Essential Plugin (früher WP Online Support), den sie Anfang 2025 für einen sechsstelligen Betrag übernommen hatten. Laut Anchor Hosting lud das Modul „wpos-analytics" eine als Kerndatei getarnte Backdoor nach und schleuste umfangreichen PHP-Code in die Konfiguration ein; Spam-Inhalte wurden nur dem Googlebot angezeigt und blieben für Seitenbetreiber unsichtbar. Die C2-Domain wurde über einen Ethereum-Smart-Contract aufgelöst, um Abschaltungen zu erschweren. WordPress hat die Plug-ins mit zusammen über 180.000 Installationen dauerhaft gesperrt. Patchstack spricht von einem klassischen Fall von Lieferketten-Kompromittierung.