Cisco hat Sicherheitsupdates für Cisco Unified Communications Manager veröffentlicht, um die hochriskante Schwachstelle CVE-2026-20230 mit einem CVSS-Wert von 8,6 zu schließen. Nach Angaben des Herstellers beruht der Fehler auf unzureichender Eingabevalidierung bei bestimmten HTTP-Anfragen und kann einem nicht authentifizierten Angreifer aus der Ferne SSRF-Angriffe ermöglichen. Bei erfolgreicher Ausnutzung könnten Dateien auf das zugrunde liegende Betriebssystem geschrieben werden, die später zur Rechteausweitung auf Root genutzt werden könnten. Behoben wurde das Problem in Cisco Unified CM und Unified CM SME ab den Versionen 14SU6 und 15SU5. Cisco verweist auf verfügbaren Proof-of-Concept-Code, sieht aber keine Hinweise auf aktive Ausnutzung. Gemeldet wurde die Lücke laut Cisco von einem unabhängigen Sicherheitsforscher in Zusammenarbeit mit SSD Secure Disclosure.

Die russische Inlandsgeheimdienstbehörde FSB hat zudem eine aus ihrer Sicht großangelegte Aktion ausländischer Nachrichtendienste beschrieben, bei der Spyware unbemerkt auf Mobilgeräten hochrangiger Beamter in Russland installiert worden sei. Laut FSB diente die Software dazu, vorhandene Daten abzuziehen, laufende Gespräche abzufangen sowie verdeckte Audio- und Videoüberwachung in der Umgebung der Geräte durchzuführen. Wer hinter den Angriffen steckt, nannte die Behörde nicht. Die Untersuchung läuft weiter, zugleich wurde ein Strafverfahren eingeleitet.

Mehrere Meldungen betreffen laufende Malware- und Initial-Access-Kampagnen. Splunk berichtet, dass Angreifer in den vergangenen Monaten per Social Engineering den VIP Keylogger über in JavaScript, Batch-Skripten und VBS geschriebene Loader verteilt haben. Die Dateien tarnten sich demnach als legitime Geschäftskommunikation wie Zahlungsbenachrichtigungen von Banken, Beschaffungsaufträge und Logistik-Updates.

Silent Push beschreibt mit DriveSurge einen Bedrohungscluster, der groß angelegte Malware-Verteilungskampagnen über ClickFix und FakeUpdates alias SocGholish betreibt. Tausende Websites sollen kompromittiert worden sein. Besucher werden über das Traffic-Distribution-System zTDS zu bösartiger Infrastruktur weitergeleitet, wo anhand des Profils entschieden wird, ob ein ClickFix- oder FakeUpdates-Köder ausgeliefert wird. Die Kampagne ist laut Silent Push seit September 2025 aktiv.

Huntress beobachtet zugleich eine zunehmende Zahl von Angriffen mit dem weniger bekannten Remote-Desktop-Werkzeug Tiflux. Es werde genutzt, um Persistenz aufzubauen, Bildschirmfotos zu übertragen und Befehle zur Systemprofilierung auszuführen. In den untersuchten Fällen installierten die Angreifer laut Huntress auch UltraVNC, schleusten weitere kommerzielle RMM-Werkzeuge wie Splashtop und ScreenConnect ein und setzten einen veralteten Treiber ein, der eine Rechteausweitung auf infizierten Systemen ermöglichen kann.

GoDaddy wiederum beschreibt neu identifizierte Malware, die Kommentare in Steam-Community-Profilen missbraucht, um Schadlasten für WordPress zu hosten. Unsichtbare Unicode-Zeichen verschleiern demnach die Nutzdaten in den Kommentaren. Die Schadsoftware kombiniert clientseitige JavaScript-Injektion mit einer cookie-authentifizierten Hintertür für Remote-Code-Ausführung und Manipulation von Plugin- und Theme-Dateien per Base64-kodiertem PHP-Code. Entdeckt wurde die Kampagne erstmals im Juli 2025; betroffen sind laut GoDaddy etwa 1.980 WordPress-Seiten.

Weitere Einträge drehen sich um Werkzeuge und Taktiken, die sich in legitime Umgebungen einfügen sollen. Flare.io hat mit FalkonC2 ein kommerzielles Hacking-Werkzeug analysiert, das sich hinter vertrauenswürdiger Fernzugriffssoftware verbergen soll. Eine Enterprise-Variante namens Rotemelli2 läuft laut Flare.io nur im Speicher, wechselt alle 72 Stunden ihre C2-Domains und nutzt Werkzeuge wie ScreenConnect, Datto und SimpleHelp. Telemetriedaten deuten demnach auf aktive Infektionen in Unternehmen in den USA, Australien, den Niederlanden und Polen hin.

Palo Alto Networks Unit 42 berichtet, dass staatlich zugeordnete Gruppen wie APT29, APT33 und UTA0355 ROADtools ausnutzen, ein auf Python basierendes Open-Source-Framework für Red-Teaming und Forschung. Weil ROADtools über legitime Microsoft-APIs arbeite und typischen Verkehr nachahmen könne, eigne es sich für Entdeckung, Persistenz und Umgehung von Abwehrmaßnahmen in jüngsten Cloud-Einbrüchen.

Auch künstliche Intelligenz zieht sich als Thema durch das Bulletin. Sophos hat einen unbekannten Akteur beobachtet, der KI-Technologien einsetzte, um die Aufklärung von Active Directory zu automatisieren und EDR-Umgehung in einem Post-Exploitation-Framework zu verfeinern. Verwendet worden seien Cursor und Anthropic Claude Opus. Der Kern des Frameworks sei ein Python-Werkzeug, das Go- und Rust-Nutzlasten für Tests gegen Sandboxing, Antivirenlösungen und EDR-Erkennung erzeugt. Sophos spricht von fast 80 Modulen mit mehr als 70 Techniken.

Cyera wiederum hat 7.200 öffentlich gemeldete KI-Sicherheits- und Betriebsereignisse ausgewertet und darin 344 verifizierte, für Unternehmen relevante Schadensfälle zwischen September 2023 und Mai 2026 identifiziert. Darunter seien 188 Vorfälle gewesen, bei denen autonome KI-Systeme ohne externen Angreifer direkten organisatorischen Schaden verursacht hätten. Genannt werden gelöschte Datenbanken, destruktive Cloud-Aktionen, nicht autorisierte Finanzoperationen, ausufernde API-Kosten, Dienstausfälle, offengelegte Geheimnisse und unbemerkte Integritätsverletzungen.