Im Mittelpunkt der Warnung steht CVE-2026-50751, eine kritische Schwachstelle in Check-Point-Deployments von Remote Access VPN und Mobile Access, wenn diese für IKEv1 konfiguriert sind. Laut Check Point beruht das Problem auf einem Fehler in der Logik der Zertifikatsvalidierung. Ein entfernter Angreifer ohne Authentifizierung kann dadurch die Passwortprüfung umgehen und eine VPN-Sitzung aufbauen, ohne über ein gültiges Benutzerpasswort zu verfügen.

Check Point beschreibt die beobachtete Kampagne als gezielt, aber begrenzt. Das Unternehmen gibt an, bislang nur einige Dutzend Organisationen weltweit als Ziele gesehen zu haben. Die früheste beobachtete Ausnutzung datiert nach Herstellerangaben vom 7. Mai 2026, Hinweise auf verdächtige Aktivitäten wurden zunächst am 4. Juni 2026 erkannt. Seit diesem Monat habe die Angriffsaktivität zugenommen.

Wie Check Point weiter mitteilt, war in einem Fall die Phase nach dem initialen Zugriff mit einem Affiliate von Qilin verbunden. Das Unternehmen erklärte zudem, man gehe davon aus, dass die genutzte Infrastruktur des Bedrohungsakteurs auch andere VPN-Schwachstellen ausnutze, darunter veröffentlichte Lücken bei Palo Alto Networks, Fortinet und F5. Außerdem habe Check Point Indikatoren identifiziert, die auf den Einsatz des Tox-Protokolls zur Kommunikation hindeuten — ein Muster, das laut Hersteller häufig mit finanziell motivierten Ransomware-Akteuren verbunden ist.

Ein zentrales Merkmal der beobachteten Angriffe ist laut Check Point der Einsatz einer Infrastruktur aus virtuellen privaten Servern. Konkret hätten die Angreifer VPS-Systeme verwendet, die in einem bestimmten Land geolokalisiert waren, um Organisationen innerhalb desselben Landes anzugreifen. Nach erfolgreichem Zugriff sei beobachtet worden, dass die Angreifer versucht hätten, schädliche ELF-Dateien von einer von ihnen kontrollierten Infrastruktur herunterzuladen.

Überschneidungen sieht Check Point mit einem Bericht von Ctrl-Alt-Intel aus dem vergangenen Monat. Darin wurde beschrieben, wie die Ransomware-Gruppe Unternehmens-VPN-Appliances für den Erstzugang missbraucht. Gegenüber The Hacker News erklärte Check Point Research per E-Mail, nach bisherigem Kenntnisstand gebe es keine Hinweise darauf, dass die Schwachstelle anderen Bedrohungsakteuren breit zugänglich gewesen sei. Die Aktivität sei klar opportunistisch und richte sich gegen verwundbare Organisationen, nicht gegen eine bestimmte, fest umrissene Zielgruppe.

Bei einer weiteren Überprüfung der betroffenen VPN-Komponenten entdeckte Check Point noch eine zweite Schwachstelle: CVE-2026-50752 mit einem CVSS-Wert von 7,40. Diese könnte einen Gegner in der Mitte-Angriff auf Site-to-Site-VPN-Verbindungen ermöglichen. Hinweise auf eine Ausnutzung dieser zweiten Lücke in realen Angriffen gibt es laut Check Point bislang nicht.

Die US-Behörde CISA nahm CVE-2026-50751 am 8. Juni 2026 in ihren Katalog der bekannten ausgenutzten Schwachstellen auf. Für Behörden der Federal Civilian Executive Branch gilt damit die Vorgabe, die bereitgestellten Korrekturen bis zum 11. Juni 2026 einzuspielen.