Eine Woche voller besorgniserregender Entwicklungen: Von neuen Malware-Kampagnen gegen ukrainische Institutionen über Bot-Attacken auf RAM-Bestände bis hin zu Millionen-Bußgeldern für Datenschutzverletzungen zeigt sich ein dynamisches Bedrohungsszenario.
Diese Woche in der Cybersicherheit ist alles andere als gewöhnlich. Mehrere bedeutende Entwicklungen sind in den letzten Tagen zutage getreten und verdeutlichen, wie rasant sich die Bedrohungslandschaft verändert. Forscher haben neue Aktivitäten aufgedeckt, Security-Teams teilen frische Erkenntnisse, und auch einige überraschende Maßnahmen großer Technologiekonzerne erregen Aufmerksamkeit.
Ukrainische Behörden warnen vor Phishing-Kampagnen
Das ukrainische Computer Emergency Response Team (CERT-UA) warnt vor einer Hacking-Kampagne gegen ukrainische Regierungsinstitutionen. Angreifer nutzen Phishing-E-Mails mit ZIP-Archiven oder Links zu anfälligen Websites, um die Informationsstehler SHADOWSNIFF und SALATSTEALER sowie den Go-Backdoor DEAFTICKK zu verbreiten. Die Aktivität wird der Bedrohungsgruppe UAC-0252 zugeordnet. Parallel meldet ClearSky eine mutmaßlich russische Spionagekampagne gegen die Ukraine mit zwei neuen Malware-Stämmen namens BadPaw und MeowMeow, die wahrscheinlich von APT28 stammen.
Gefälschte RMM-Software als Malware-Service
Ein neues Malware-as-a-Service namens TrustConnect tarnt sich als legitimes Remote-Monitoring-and-Management-Tool und kostet 300 Dollar pro Monat. Laut dem E-Mail-Sicherheitsunternehmen Proofpoint haben mehrere Bedrohungsakteure die Malware seit dem 27. Januar 2026 über Phishing-E-Mails verteilt. Die Mails geben sich als Event-Einladungen oder Angebotsanfragen aus und führen zu gefälschten Executables, die TrustConnect RAT installieren. Nach Proofpoints Maßnahmen zur Infrastruktur-Unterbrechung am 17. Februar 2026 tauchte der Akteur mit einer umbenannten Version namens DocConnect wieder auf. Diese Entwicklung unterstreicht den wachsenden Missbrauch legitimer RMM-Software in Cyberangriffen.
Chrome-Updates künftig alle zwei Wochen
Google kündigt an, dass Chrome-Versionen künftig alle zwei Wochen veröffentlicht werden – eine Abkehr vom bisherigen Vier-Wochen-Zyklus. Damit sollen Entwickler und Nutzer schneller Zugriff auf neue Funktionen, Sicherheitsverbesserungen und Leistungsoptimierungen erhalten. Der neue Zyklus beginnt mit Chrome 153, das am 8. September 2026 erscheint.
Reifendrucksensoren als Tracking-Werkzeuge
Forscher des IMDEA Networks Institute haben entdeckt, dass Reifendrucksensoren (TPMS) in Fahrzeugen unverschlüsselte Funksignale mit unveränderlichen Identifikatoren senden. Dies ermöglicht es, Fahrzeuge über lange Zeiträume zu verfolgen. Mit kostengünstigen Software-Defined-Radio-Empfängern in bis zu 40 Metern Entfernung könnten Angreifer passive Überwachungsnetzwerke aufbauen und Bewegungsprofile von Tausenden Fahrzeugen erstellen.
Telegram als Cyber-Kampagnen-Hub
Eine Analyse von CYFIRMA zeigt, wie Telegram-Struktur Bedrohungsakteuren ermöglicht, global zu operieren, ohne spezielle Tools zu benötigen. Die Plattform funktioniert als skalierbare Verkaufsstelle, Kundensupport-Hub und Propagandaverstärker – und ersetzt zunehmend traditionelle Tor-basierte Ökosysteme.
AuraStealer-Malware mit 48 Command-and-Control-Domains
Intrinsec-Forscher haben 48 C2-Domain-Namen der AuraStealer-Malware identifiziert. Der Threat-Actor nutzt .shop- und .cfd-Domains und leitet sämtlichen Traffic durch Cloudflare als umgekehrten Proxy. AuraStealer erschien im Juli 2025 nach der Zerschlagung von Lumma Stealer und kostet $295 bis $585 pro Monat.
Malvertising-Kampagne mit Atomic Stealer
Bogus-Anzeigen auf Google-Suchergebnissen lenken macOS-Nutzer, die Speicherplatz freigeben möchten, auf betrüchliche Seiten weiter. Dort werden ClickFix-ähnliche Anweisungen bereitgestellt, die eine neue Variante des Atomic Stealers (malext) installieren. Der Bericht dokumentiert über 50 kompromittierte Google-Ads-Konten mit mehr als 485 böswilligen Landingpages.
DDR5-Bot-Scalping im großen Stil
Bots haben über 10 Millionen Web-Scraping-Anfragen an DRAM-Produktseiten gesendet, um Bestände zu checken – alle 6,5 Sekunden mit Cache-Busting-Techniken. Dadurch werden DDR5-Bestände künstlich verknappt und die Marktpreise erhöht, während legitime Kunden leer ausgehen.
Reddit zahlt 14,47 Millionen Pfund Geldbuße
Die britische Information Commissioner’s Office (ICO) hat Reddit mit £14,47 Millionen für rechtswidrige Datenverarbeitung von Kindern unter 13 Jahren und mangelnde Altersverifikation gebüßt. Reddit kündigte an, gegen die Entscheidung Berufung einzulegen.
Samsung verpflichtet sich, ACR-Datensammlung zu begrenzen
Texas Generalstaatsanwalt Ken Paxton kündigte an, dass Samsung keine automatischen Inhaltserkennung (ACR) mehr ohne ausdrückliche Zustimmung erfasst. Das Unternehmen muss klare Zustimmungsbildschirme implementieren. Samsung bestreitet, Nutzer auszuspionieren.
Apple-Geräte für NATO-Netzwerke freigegeben
iPhones und iPads wurden zur Verarbeitung klassifizierter Informationen in NATO-Netzwerken genehmigt – als erste Consumer-Geräte ohne zusätzliche spezielle Software. Dies folgt einer deutschen Freigabe für klassifizierte Regierungsdaten.
TikTok lehnt End-to-End-Verschlüsselung ab
ByteDance erklärt, E2EE für Direktnachrichten nicht einführen zu wollen, da dies Strafverfolgungsbehörden und Safety-Teams blockieren würde. Das Unternehmen begründet dies mit Nutzerschutz, besonders für junge Menschen.
Agent Tesla über Bestellformular-Phishing
Eine neue Phishing-Kampagne mit Bestellformular-Ködern liefert Agent Tesla aus. Der Stealer nutzt Obfuskation und In-Memory-Execution, um Erkennung zu vermeiden und sensitive Daten zu stehlen.
Malware-Hosting auf .arpa-Domain
Infoblox entdeckt eine Kampagne, die die .arpa-Domain – eigentlich nur für Netzwerk-Infrastruktur reserviert – missbraucht, um böswillige Inhalte zu hosten und Standard-Blocklisten zu umgehen. Parallel nutzen Akteure LNK-Shortcut-Dateien und WebDAV zum Download schädlicher Dateien.
LastPass-Phishing mit Display-Name-Spoofing
Seit dem 1. März 2026 laufen Phishing-Kampagnen mit LastPass-Lures. Angreifer nutzen Display-Name-Spoofing, um echte Absenderadressen zu verstecken – besonders auf mobilen Clients.
KI und Code-Review: Warnung vor zu viel Vertrauen
OX Security warnt davor, Judgment, Architektur und Validierung vollständig an KI-Systeme wie Claude Code Security auszulagern. KI reproduziere häufig existierende Schwachstellen und könne false Positives erzeugen. Ein Pipeline, das dieselbe KI zum Schreiben und Reviewen nutzt, ist problematisch.
LLMs können Nutzer deanonymisieren
Forscher von Anthropic, ETH Zurich und MATS Research haben Large Language Models entwickelt, die Internetnutzer basierend auf Kommentaren und digitalen Spuren deanonymisieren können – sogar bei unterschiedlichen Pseudonymen über Plattformen hinweg. Dies untergräbt die praktische Sicherheit durch Anonymität und erfordert neue Bedrohungsmodelle für Online-Datenschutz.
Fazit
Jede Entwicklung für sich mag klein wirken, doch zusammengenommen illustrieren sie, wie dynamisch sich die Bedrohungslandschaft verändert. Für Security-Teams und Forscher ist es essentiell, diese Signale zu beobachten, um das größere Bild zu verstehen.
Quelle: The Hacker News