Die vergangene Woche offenbarte ein beeindruckendes Arsenal von Cyberbedrohungen, die von zielgerichteten Angriffen bis zu Massenangriffen reichen. Microsoft Defender wird zur Schwachstelle: Der unter dem Alias „Chaotic Eclipse” bekannte Forscher veröffentlichte einen Zero-Day-Exploit namens RedSun, der auf Windows 11, Windows 10 und Windows Server mit April-Updates funktioniert und Angreifern ermöglicht, von unprivilegierten Nutzern zu Systemrechten zu eskalieren – ein kritisches Sicherheitsproblem für Millionen Windows-Nutzer weltweit.
Auch Microsoft Office bleibt ein Sorgenkind: Die US-Cybersecurity and Infrastructure Security Agency (CISA) führte CVE-2009-0238 in ihre Liste kritischer, aktiv ausgebeuteter Schwachstellen auf. Diese Excel-Remote-Code-Execution-Lücke ermöglicht es Angreifern, vollständige Kontrolle über Systeme zu erlangen, wenn Nutzer manipulierte Excel-Dateien öffnen. Die CVSS-Bewertung von 8,8 unterstreicht die Gefahr. Bundesbehörden müssen die Schwachstelle bis zum 28. April 2026 beheben.
Im Kryptosektor zeigen sich Bedrohungen dramatisch: Zerion, ein Kryptowallet-Service, wurde Opfer eines ausgefeilten Angriffs der nordkoreanischen Gruppe UNC1069, die AI-gesteuerte Social-Engineering einsetzte. Ein Mitarbeiter wurde gezielt attackiert, was Angreifern Zugang zu privaten Schlüsseln verschaffte und zum Diebstahl von etwa 100.000 Dollar führte. UNC1069 ist auch für die Vergiftung des beliebten Axios-npm-Pakets verantwortlich.
Apple-App-Store bleibt eine Sicherheitslücke: Eine gefälschte Ledger-Live-App entzog zwischen April 2026 über 50 Nutzern 9,5 Millionen Dollar in Kryptowährungen, indem sie Benutzer zur Eingabe ihrer Seed-Phrasen verleitete. Der Publisher „Leva Heal Limited” entzog sich damit Apples Überprüfung. Auch die Freecash-App sammelte sensible Daten (Rasse, Religion, Gesundheit, sexuelle Orientierung) unter falschen Versprechungen.
Supply-Chain-Attacken werden industrialisiert: Die Plugin-Firma Essential Plugin wurde von Cyberkriminellen übernommen, die einen Backdoor namens wp-comments-posts.php einpflanzten. Das injizierte Code-Modul nutzte Ethereum-Smart-Contracts für C2-Kommunikation, um Takedown-Resilienz zu schaffen. Die über 180.000 installierten Plugins wurden damit zur Malware-Schleusen.
Ransomware zeigt geografische Spezialisierung: JanaWare zielt auf türkische Nutzer ab und nutzt Google-Drive-Phishing-Links zur Verbreitung einer polymorphen Adwind-Variante. Lösegeldforderungen liegen bei 200-400 Dollar – ein Hinweis auf das High-Volume-, Low-Value-Modell, das seit 2020 erfolgreich läuft.
Infrastruktur-Attacken intensivieren sich: SonicWall und FortiGate erlebten zwischen Januar und März 2026 einen starken Anstieg von Brute-Force-Angriffen, 88 Prozent aus dem Nahen Osten. Die Angreifer suchten nach schwachen Zugangsdaten in perimeter devices.
Linux-Cloud-Workloads unter Beschuss: APT41 setzt einen undetektierbaren ELF-Backdoor ein, der AWS, Google Cloud, Azure und Alibaba Cloud-Umgebungen infiltriert. Die Gruppe nutzt SMTP-Port 25 als versteckten Command-and-Control-Kanal und Typosquat-Domains auf Alibaba-Infrastruktur.
Die Reaktionen verstärken sich: Raspberry Pi deaktivierte standardmäßig passwordless sudo in Version 6.2, Google verhängt neue Spam-Regeln gegen Back-Button-Hijacking, und die EU führt eine datenschutzfreundliche Altersverifizierungs-App ein. Dennoch bleibt klar: Grundlagen wie regelmäßige Patches, Abhängigkeitsüberprüfung und kritische App-Evaluierung sind unverzichtbar geworden.