Die Infrastruktur des Phishing-Dienstes Tycoon2FA ist von einem Zusammenschluss aus Sicherheitsfirmen und Strafverfolgungsbehörden zerschlagen worden. Europol zählte das Angebot zu den größten Adversary-in-the-Middle-Phishing-Operationen (AitM) weltweit.

Proofpoint erklärte gegenüber The Hacker News, die Abschaltung der Infrastruktur und die Identifizierung der mutmaßlich verantwortlichen Person werde sich deutlich auf das Phishing von MFA-Zugangsdaten auswirken und hoffentlich einen Schlag gegen den weltweit produktivsten AitM-Phishing-as-a-Service-Dienst bedeuten.

Nach Einschätzung von Proofpoint sind Phishing-Baukästen und PhaaS-Plattformen in den vergangenen Jahren zu einer Achillesferse geworden. Sie vereinfachen Angriffe und öffnen sie auch für technisch weniger versierte Täter, indem sie ein komplettes Werkzeugset für überzeugende E-Mails und gefälschte Phishing-Seiten bereitstellen. Gegen eine relativ geringe Gebühr lassen sich solche Dienste abonnieren und Angriffe in großem Maßstab ausführen.

In einem ähnlichen Schritt nahmen die Behörden zudem LeakBase vom Netz, eines der weltweit größten Foren, in denen Kriminelle gestohlene Daten und Cybercrime-Werkzeuge kaufen und verkaufen. Solche Zerschlagungen sorgen allerdings meist nur für kurzfristige Störungen: Das Umfeld passt sich an und wandert auf andere Foren oder widerstandsfähigere Verteilkanäle wie Telegram ab.

Der Rückblick weist außerdem darauf hin, dass das Zeitfenster zwischen Offenlegung und Ausnutzung neuer Schwachstellen immer kürzer wird. Als besonders kritisch – hochgradig gefährlich, in weit verbreiteter Software oder bereits im Fokus der Sicherheitsgemeinde – werden in dieser Woche unter anderem genannt: CVE-2026-2796 (Mozilla Firefox), CVE-2026-21385 (Qualcomm), CVE-2026-2256 (MS-Agent), CVE-2026-26198 (Ormar), CVE-2026-27966 (langflow), CVE-2025-64712 (Unstructured.io), CVE-2026-24009 (Docling), CVE-2026-23600 (HPE AutoPass License Server) sowie CVE-2026-27636 und CVE-2026-28289 (auch Mail2Shell genannt, FreeScout).

Weiter aufgeführt sind CVE-2025-67736 (FreePBX), CVE-2025-34288 (Nagios XI), CVE-2025-14500 (IceWarp), CVE-2026-20079 (Cisco Secure Firewall Management Center), CVE-2025-13476 (Viber-App für Android), CVE-2026-3336, CVE-2026-3337 und CVE-2026-3338 (Amazon AWS-LC), CVE-2026-25611 (MongoDB), CVE-2026-3536, CVE-2026-3537 und CVE-2026-3538 (Google Chrome), CVE-2026-27970 (Angular) sowie CVE-2026-29058 (AVideo). Hinzu kommen eine Schwachstelle zur Rechteausweitung in IPVanish VPN für macOS und eine Lücke zur Remote-Code-Ausführung in Ghost CMS, beide jeweils ohne CVE-Nummer.