Im Mittelpunkt des Wochenrückblicks steht eine Schadsoftware, die das bisherige Verständnis über das Alter hochentwickelter Cyberwaffen infrage stellt. Das auf der Skriptsprache Lua aufgebaute Framework fast16 wurde nach Erkenntnissen der Analyse bereits 2005 entwickelt – und damit mindestens fünf Jahre vor dem Erscheinen von Stuxnet.
fast16 zielte vorrangig auf Software für hochpräzise Berechnungen und sollte deren Ergebnisse manipulieren. Die Untersuchung benennt drei mögliche Arten physikalischer Simulationssoftware, die das Programm hätte beeinflussen können. Ob die Malware jemals in freier Wildbahn zum Einsatz kam, ist nicht bekannt.
Wie subtil die angestrebten Eingriffe waren, beschreibt der Sicherheitsforscher Vitaly Kamluk gegenüber WIRED: Die Schadsoftware konzentriere sich darauf, leichte Veränderungen an Berechnungen vorzunehmen, die zu Fehlern führen – „sehr subtile, die möglicherweise nicht sofort auffallen". Systeme könnten dadurch schneller verschleißen, zusammenbrechen oder abstürzen, und wissenschaftliche Forschung könnte zu falschen Schlüssen gelangen, was ernsthaften Schaden anrichten könne.
Zur Einordnung verweisen die Forscher auf Stuxnet, der weithin als gemeinsames Projekt der USA und Israels gilt. Er markierte als erste disruptive digitale Waffe einen Wendepunkt in der Cyberkriegsführung und diente später als Blaupause für das informationsstehlende Rootkit Duqu. fast16 verschiebt den Ursprung derart ausgefeilter Operationen nun deutlich weiter in die Vergangenheit.
Daneben führt der Rückblick eine umfangreiche Liste aktueller Schwachstellen auf, die als besonders schwerwiegend, weit verbreitet oder bereits aktiv angegriffen gelten. Dazu zählen unter anderem CVE-2026-40372 (Microsoft ASP.NET Core), CVE-2026-32173 (Microsoft Azure SRE Agent), CVE-2026-33824 (Microsoft Windows IKEv2) sowie mehrere Lücken in Produkten von Progress – etwa CVE-2026-3517, CVE-2026-3518, CVE-2026-3519 und CVE-2026-4048 (LoadMaster, ECS Connection Manager, Object Scale Connection Manager und MOVEit WAF) sowie CVE-2026-21876 (MOVEit WAF).
Die Aufstellung reicht über zahlreiche weitere Anbieter, darunter CVE-2026-25262 (Qualcomm), CVE-2026-5754 (Radware Alteon), CVE-2026-27654 (Nginx), CVE-2026-5757 (Ollama), CVE-2026-41651 alias Pack2TheRoot (Linux PackageKit), CVE-2026-40050 (CrowdStrike LogScale), CVE-2026-33871 (Atlassian Bamboo Data Center) und CVE-2026-33694 (Tenable Nessus Agent unter Windows). Hinzu kommt eine Schwachstelle zur Remote-Code-Ausführung in Slippi, für die noch keine CVE-Nummer vergeben wurde. Den Betreibern wird geraten, zuerst die als dringend markierten Lücken zu schließen.