Beim Wettbewerb Pwn2Own Berlin 2026 sammelten Sicherheitsforscher nach Ausnutzung von 47 Zero-Day-Schwachstellen insgesamt 1.298.250 US-Dollar an Prämien. Das Team DEVCORE gewann den dreitägigen Wettbewerb mit 50,5 Master-of-Pwn-Punkten und 505.000 US-Dollar, nachdem es unter anderem Microsoft SharePoint, Exchange, Edge und Windows 11 kompromittiert hatte. STARLabs SG und Out Of Bounds folgten mit 242.500 beziehungsweise 95.750 US-Dollar.

Laut Trend Micro setzten zwei voneinander unabhängige Kampagnen, SHADOW-AETHER-040 und SHADOW-AETHER-064, agentenbasierte KI mit „auffällig ähnlichen Taktiken" gegen Regierungen und Finanzorganisationen in Lateinamerika ein. Die KI-Agenten erzeugten dynamisch eigene Werkzeuge und Skripte statt vorgefertigter Tools, was die Erkennung über bekannte Signaturen erschwerte. Die Schutzmechanismen der KI umgingen die Angreifer, indem sie ihre Anfragen als autorisierte Penetrationstests tarnten. SHADOW-AETHER-040, einem spanischsprachigen Akteur zugeschrieben, kompromittierte sechs mexikanische Regierungsstellen. Laut Dragos, das die Aktivität als TAT26-12 verfolgt, zielte einer dieser Angriffe auf einen kommunalen Wasser- und Abwasserversorger und versuchte erfolglos, dessen Betriebstechnik-Umgebung zu durchbrechen. Die portugiesischsprachige Gruppe hinter SHADOW-AETHER-064 nahm Finanzorganisationen in Brasilien ins Visier.

Forscher von Intezer berichten, dass vom Linux-Rootkit OrBit nahezu vier Jahre nach der ersten Beschreibung mehrere neue Artefakte identifiziert wurden, was auf eine fortlaufende Pflege durch die Betreiber hindeutet. Demnach existieren zwei parallele Entwicklungslinien: eine voll ausgestattete „Lineage A" und eine abgespeckte „Lineage B". Eingesetzt wurde OrBit von der Gruppe Blockade Spider im Rahmen der Embargo-Ransomware. Intezer geht davon aus, dass OrBit ein Fork des quelloffenen Rootkits Medusa ist.

Einen Zero-Day in der Router-Software von Huawei macht The Record laut eigenem Bericht für einen landesweiten Telekommunikationsausfall in Luxemburg am 23. Juli 2025 verantwortlich. Mobilfunk, Festnetz und Notrufe waren über drei Stunden gestört, weil Huawei-Enterprise-Router in eine Neustartschleife gerieten und Teile der Infrastruktur von POST Luxembourg lahmlegten. Details zur Schwachstelle und zu einem möglichen Patch liegen nicht vor.

Microsoft beschreibt einen mehrstufigen Angriff der Gruppe Storm-2949, die den Self-Service-Passwortzurücksetzungsprozess (SSPR) missbrauchte, um Opfer zur Bestätigung von MFA-Aufforderungen zu verleiten. Statt klassischer Malware nutzten die Angreifer legitime Cloud- und Azure-Verwaltungsfunktionen, um Daten aus Microsoft 365, Filehosting-Diensten und Azure-Produktionsumgebungen abzuziehen.

Bei den Software-Lieferketten häufen sich Vorfälle: Der PHP-Paketmanager Composer schließt mit den Versionen 2.9.8 und 2.2.28 (LTS) die Schwachstelle CVE-2026-45793 (CVSS 7.5), durch die GitHub-Actions-Tokens in Logs offengelegt werden konnten. HP behob mit CVE-2026-8631 (CVSS 9.3) eine kritische Heap-basierte Pufferüberlauf-Lücke in HPLIP; Entdecker Mohamed Lemine Ahmed Jidou erklärte gegenüber The Hacker News, dass aufgrund der tiefen Integration in die Linux-Druckarchitektur CUPS Millionen Endpunkte betroffen seien und ein präparierter Druckauftrag zur Codeausführung genüge.

Das FBI teilte mit, dass US-Bürger im vergangenen Jahr über 388 Millionen US-Dollar durch Betrug mit Kryptowährungs-Kiosken verloren. CertiK verzeichnete zudem einen Anstieg physischer Gewaltangriffe auf Kryptoinhaber um 75 Prozent auf 72 bestätigte Fälle mit 41 Millionen US-Dollar Schaden im Jahr 2025. Apple wiederum gibt an, 2025 betrügerische Transaktionen im Wert von über 2,2 Milliarden US-Dollar im App Store gestoppt und mehr als zwei Millionen problematische App-Einreichungen abgelehnt zu haben.