Die finnischen Behörden nahmen den 19-jährigen Peter Stokes (Online-Pseudonym „Bouquet") fest, einen Doppelstaatsbürger der USA und Estlands, als er ein Flugzeug nach Japan besteigen wollte. US-Staatsanwälte in Chicago führen ihn als zentrales Mitglied der Hackergruppe Scattered Spider und werfen ihm die Beteiligung an mehreren Einbrüchen bei großen Konzernen vor. Die Anklage umfasst Überweisungsbetrug, Verschwörung und Computereinbruch. Die USA betreiben seine Auslieferung und verweisen dabei auf seinen protzigen Lebensstil und sein öffentliches Verhöhnen der Strafverfolgungsbehörden.

Der Anbieter von Haussicherheitstechnik ADT bestätigte, dass Unbefugte Zugriff auf seine cloudbasierten Systeme erlangten und dabei Kundendaten offengelegt wurden. Die Erpressergruppe ShinyHunters reklamierte den Angriff für sich und gibt an, nach gescheiterten Lösegeldverhandlungen mehr als 10 Millionen Datensätze aus einer Salesforce-Datenbank entwendet zu haben. Von Have I Been Pwned verifizierte Daten weisen rund 5,5 Millionen eindeutige E-Mail-Adressen aus, dazu Namen, Anschriften und in Einzelfällen Teile von Sozialversicherungsnummern.

CISA warnt in einem Hinweis vor einer kritischen Schwachstelle in GRASSMARLIN, einem quelloffenen Werkzeug, das ursprünglich von der National Security Agency (NSA) zur Kartierung von ICS-Netzen entwickelt wurde. Die Lücke erlaubt Angreifern, sensible Dateien über einen Nebenkanal zu exfiltrieren, was laut Fachleuten seitliche Bewegungen in Industrienetzen erleichtern kann. Da das Werkzeug bereits 2017 das Ende seiner Lebensdauer erreichte, wird es keine offiziellen Patches geben.

Im Finanzbereich belegte OFAC zwei Kryptowährungs-Wallets mit Sanktionen, die direkt mit der iranischen Zentralbank verbunden sind – die erste derartige Maßnahme gegen die Institution. Die Adressen werden der IRGC-Qods-Force und der Hizballah zugeordnet. In Zusammenarbeit mit US-Strafverfolgungsbehörden fror Tether rund 344 Millionen US-Dollar in USDT ein; über die Adressen waren seit März 2021 in nahezu 1.000 Transaktionen etwa 370 Millionen Dollar zusammengekommen, die nach Ende 2023 als Staatsreserven weitgehend ruhten.

Mehrere Meldungen betreffen Schwachstellen und Angriffe: Novee Security entdeckte in der Cursor-Entwicklungsumgebung eine hochgradig kritische Lücke (CVE-2026-26268), die über bösartige Git-Hooks Codeausführung ermöglicht, wenn der KI-Agent des Werkzeugs eigenständig Git-Operationen ausführt. Snyk berichtet zudem, dass Angreifer über Schwachstellen zur Umgehung der Authentifizierung im quelloffenen Aufgabenplaner Qinglong (CVE-2026-3965 und CVE-2026-4047) einen dauerhaften Kryptominer einschleusen, der betroffene Server stark auslastet. Die nordkoreanische Gruppe BlueNoroff, ein finanziell motivierter Zweig der Lazarus Group, lockt unterdessen Führungskräfte von Web3-Organisationen in gefälschte Zoom-Meetings, in denen sie unter dem Vorwand technischer Probleme schädliche PowerShell-Skripte ausführen lassen.

Auf der Policy-Seite kündigte Microsoft an, dass Exchange Online ab Juli 2026 TLS 1.0 und 1.1 für sämtlichen POP- und IMAP-Verkehr blockiert und damit den Umstieg auf TLS 1.2 oder neuer erzwingt. Das britische NCSC warnt schließlich davor, ein Security Operations Center allein über Ticket- und Log-Mengen zu messen, und empfiehlt stattdessen die Kennzahlen „Zeit bis zur Erkennung" und „Zeit bis zur Reaktion", die sich am besten durch Red- oder Purple-Team-Übungen überprüfen lassen. CISA veröffentlichte ergänzend zwei gemeinsam mit Partnern erarbeitete Leitfäden zu Zero Trust in der Betriebstechnik (OT) sowie zur maßvollen Einführung agentischer KI-Systeme.