Ein als „darkworm“ bekannter Akteur vermarktet laut Quelltext den Quellcode für PamDOORa, ein ausgefeiltes Post-Exploitation-Werkzeug, das auf den Pluggable-Authentication-Module-Stack (PAM) von Linux abzielt. Die Backdoor ermöglicht dauerhaften SSH-Zugriff und greift zugleich Klartext-Zugangsdaten legitimer Nutzer ab – möglicherweise auch von Einsatzkräften der Vorfallreaktion. Angeboten wird das Schadprogramm auf einem russischen Cybercrime-Forum für 900 Dollar.

In Taiwan wurde ein 23-jähriger Student festgenommen, der mutmaßlich in das Hochgeschwindigkeits-Bahnnetz eingedrungen ist und gefälschte Generalalarm-Signale an die Leitzentrale gesendet hat. Durch das Klonen von Tetra-Funksignalen soll er manuelle Notbremsungen ausgelöst und so mehrere Züge zum Stehen gebracht haben. Die Behörden beschlagnahmten mehrere Funk- und Elektronikgeräte; dem Verdächtigen werden unter anderem Eingriffe in die Sicherheit des öffentlichen Verkehrs vorgeworfen.

US-Cybersicherheitsbeamte erwägen laut Reuters, die Frist zum Beheben kritischer Schwachstellen von 14 Tagen auf nur drei Tage zu verkürzen. Hintergrund ist der Aufstieg leistungsfähiger KI-Modelle wie Anthropics Mythos und OpenAIs GPT-5.4-Cyber, mit denen Angreifer Softwarefehler ungewöhnlich schnell ausnutzen können. Die CISA verpflichtet Bundesbehörden bei erheblichem Ausnutzungsrisiko schon jetzt teilweise zu einer Dreitagesfrist.

Als Favorit für die Leitung der CISA gilt nach dem Rückzug von Sean Plankey nun Tom Parker, ein Verantwortlicher für Sicherheitsdienstleistungen bei IBM. Die Trump-Regierung soll seinen Hintergrund in der Privatwirtschaft schätzen, zu dem die Gründung von Hubble gehört. Die Behörde wird derzeit kommissarisch von Nick Andersen geführt.

Cisco Talos identifizierte eine modulare Malware-Kampagne mit dem Fernzugriffswerkzeug CloudZ und einem neuen Plugin namens Pheno. Diese fängt Einmalpasswörter und SMS-Nachrichten ab, indem sie die Anwendung Microsoft Phone Link ins Visier nimmt und Daten aus synchronisierten SQLite-Datenbanken auf dem Host-PC ausliest. Zur Tarnung dienen ein in Rust kompilierter Loader und reflektive .NET-Ausführung.

Mehrere weitere Fälle betreffen staatlich verknüpfte Operationen: Die als Operation Silent Rotor bezeichnete Spionagekampagne richtete sich gegen die eurasische Drohnenindustrie und nutzte Spear-Phishing-Mails, die als Bestellungen des Russischen Luftfahrt-Informationszentrums getarnt waren, zeitlich abgestimmt auf das Forum Unmanned Aviation 2026 in Moskau. Der mit Nordkorea verknüpfte Akteur ScarCruft überwachte zudem Nutzer in der chinesischen Region Yanbian, indem er eine von ethnischen Koreanern genutzte Videospiel-Plattform kompromittierte und über trojanisierte Windows-Update-Dateien und Android-Pakete die Backdoor BirdCall einsetzte.

In den USA wurden Matthew Isaac Knoot und Erick Ntekereze Prince zu je 18 Monaten Haft verurteilt, weil sie nordkoreanischen IT-Arbeitern halfen, sich bei fast 70 US-Unternehmen einzuschleusen und 1,2 Millionen Dollar für das sanktionierte Regime zu erwirtschaften. Der Venezolaner David Jose Gomez Cegarra wurde wegen seiner Rolle bei einer ATM-Jackpotting-Operation verurteilt, die fast 300.000 Dollar erbeutete; er muss 294.000 Dollar Schadenersatz zahlen und wurde zur Abschiebung an ICE überstellt.

Laut Eclypsium nutzt die Spionagegruppe ArcaneDoor schließlich eine Linux-basierte Malware namens Firestarter, um Cisco-Firewalls zu kompromittieren. Das Implantat klinkt sich in den zentralen LINA-Prozess ein und überlebt selbst Firmware-Patches, indem es seinen Persistenzmechanismus beim Neustart neu installiert. Nur ein hartes Trennen der Hardware von allen Stromquellen für mindestens eine Minute entfernt die Infektion vollständig.