Besondere Aufmerksamkeit verdienen die Endpunkt-Ergebnisse, weil sie eine Grundannahme vieler Sicherheitsprogramme infrage stellen: dass man der Bereinigung durch EDR-Lösungen vertrauen kann. Von den 82.000 Alerts, die einen Live-Speicherscan durchliefen, wiesen 2.600 eine aktive Infektion auf. Von diesen bestätigt kompromittierten Endpunkten waren 51 % vom jeweiligen EDR-Anbieter bereits als „mitigiert“ markiert worden.

In über der Hälfte der forensisch nachgewiesenen Kompromittierungen hatte das EDR das Ticket also geschlossen und die Bedrohung für erledigt erklärt. Ohne Speicher-Forensik bleiben solche Infektionen unsichtbar. Im Speicher liefen dabei Schadprogramm-Familien wie Mimikatz, Cobalt Strike, Meterpreter und StrelaStealer – keine obskuren Proof-of-Concept-Werkzeuge, sondern Standardwerkzeuge aktiver krimineller und staatlicher Operationen.

Auch die Phishing-Daten zeigen einen Wandel der Angreifer-Methodik, auf den viele E-Mail-Sicherheitsarchitekturen nicht ausgelegt sind. Weniger als 6 % der bestätigten bösartigen Phishing-Mails enthielten Anhänge; die meisten setzten auf Links und Sprache. Angreifer verlagerten ihre Infrastruktur zudem auf standardmäßig vertrauenswürdige Plattformen wie Vercel, CodePen, OneDrive und sogar das Rechnungssystem von PayPal. Eine dokumentierte Kampagne nutzt PayPals legitime Zahlungsanforderungs-Infrastruktur, um Drohmails zu versenden – mit Rückrufnummern in den Zahlungsnotizen und Unicode-Homoglyphen zur Umgehung signaturbasierter Erkennung. Die Absenderdomain besteht jede übliche Authentifizierungsprüfung, weil die Mail tatsächlich von PayPal stammt.

Bemerkenswert ist auch, dass Cloudflare Turnstile CAPTCHA zu einem verlässlichen Indikator für bösartige Absicht geworden ist: Seiten mit dieser Technik waren laut Bericht durchgängig eher Phishing-Seiten, während Google reCAPTCHA mit legitimer Infrastruktur korrelierte. Angreifer nutzen Mechanismen gegen Bots, um automatisierte Sicherheitsscanner abzuwehren. Vier neue Techniken zur Umgehung von E-Mail-Gateways wurden identifiziert: Base64-Payloads in SVG-Bilddateien, Links in PDF-Annotationsmetadaten, dynamisch geladene Phishing-Seiten über legitime OneDrive-Freigaben sowie DOCX-Dateien mit archiviertem HTML-Inhalt und QR-Codes.

In der Cloud konzentrieren sich die Alerts stark auf Defense-Evasion- und Persistenz-Taktiken, während hochwirksame Aktivitäten wie laterale Bewegung oder Rechteausweitung kaum im Signal auftauchen. Das vorherrschende Muster ist langfristiger Zugang: Token-Manipulation, Missbrauch legitimer Cloud-Funktionen und Verschleierung, um keine höher eingestuften Erkennungen auszulösen. AWS-Fehlkonfigurationen verschärfen dieses Risiko leise – S3 macht rund 70 % aller Cloud-Verstöße im Datensatz aus, meist rund um Zugriffsverwaltung, Server-Logging und kontenübergreifende Beschränkungen. Diese Befunde werden meist als niedrig eingestuft, lösen selten Alerts aus und wurden wiederholt ausgenutzt, sobald Angreifer einen Fuß in der Tür hatten.

Der Bericht verortet die Ursache im Kapazitätsproblem: Menschliche Analysten skalieren nicht mit dem Alert-Volumen, weshalb etwa 60 % der Alerts unabhängig von interner oder ausgelagerter Bearbeitung ungeprüft bleiben. Für die vollständige Auswertung aller 25 Millionen Alerts kam laut Bericht Intezer AI SOC zur Triage und Untersuchung zum Einsatz – mit weniger als 2 % an menschliche Analysten eskalierten Alerts, 98 % Verdikt-Genauigkeit und einer mittleren Triage-Zeit von unter einer Minute über das gesamte Volumen.