Arctic Wolf zufolge haben mit Anubis verbundene Akteure in diesem Jahr sowohl gültige VPN-Zugangsdaten als auch die kritische Citrix-NetScaler-Schwachstelle CVE-2025-5777 mit einem CVSS-Wert von 9,3 ausgenutzt. Die als Citrix Bleed 2 bezeichnete Lücke betrifft Citrix NetScaler ADC und Gateway und kann zur Umgehung der Authentifizierung missbraucht werden, wenn die Appliance als Gateway oder als AAA Virtual Server konfiguriert ist. Woher die in den Vorfällen verwendeten VPN-Zugangsdaten stammten, ist laut Arctic Wolf unklar; möglich seien eine frühere Kompromittierung, Initial Access Brokers, Credential Stuffing oder Aktivitäten von Information Stealern.

Arctic Wolf beobachtete außerdem gültige Cisco-AnyConnect-VPN-Anmeldungen von mehreren Hosting-ASNs, darunter AS20473 von The Constant Company und AS55286 von ServerMania. Auf die bösartige VPN-Authentifizierung folgten dem Bericht zufolge Anmeldungen über RDP und SMB, anschließend Credential Access, die Erstellung eines PsExec-Dienstes, die Bereitstellung von RMM-Werkzeugen und schließlich der Einsatz von Cloud-Transfer-Tools zur Exfiltration. Für die seitliche Bewegung kamen RDP und PsExec zum Einsatz, während legitime Fernzugriffs- und Verwaltungswerkzeuge wie ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC und Total Software Deployment den Angreifern unauffälligen Dauerzugang verschafften. In einzelnen Intrusionen wurde zusätzlich ein Cloudflare Tunnel, also cloudflared, eingerichtet.

In der nächsten Phase sammelten die Angreifer laut Arctic Wolf weitere Zugangsdaten, um tiefer in kompromittierte Umgebungen vorzudringen. Danach wurden Werkzeuge wie S3 Browser, rclone, s5cmd, WinSCP und PuTTY für Datentransfers oder Exfiltration vor der Ransomware-Bereitstellung installiert. Parallel dazu deaktivierten die Täter unter anderem den Echtzeitschutz von Windows Defender, führten SophosUninstall-Aktivitäten aus, hinterließen PCHunter-Artefakte und löschten oder manipulierten Protokolle auf mehreren Systemen. In mindestens einem Fall wurde ein Anubis-Encryptor nach der Ausführung gelöscht, wodurch laut Arctic Wolf weniger Artefakte auf dem Datenträger für spätere Analysen verfügbar waren.

Anubis trat Ende 2024 erstmals als Umbenennung der Sphinx-Ransomware in Erscheinung und wurde im Februar 2025 im Untergrundforum RAMP formell angekündigt. Nach Daten von Ransomware.Live hat die Gruppe auf ihrer Leak-Seite 91 Opfer beansprucht, davon 11 allein im Juni 2026. Zu den besonders häufig angegriffenen Branchen zählen Gesundheitswesen, Unternehmensdienstleistungen, Fertigung, Technologie und Finanzdienstleistungen. Mehr als die Hälfte der Opfer befindet sich in den USA, gefolgt vom Vereinigten Königreich, Australien, Frankreich und Kanada. Rubrik Zero Labs hatte bereits berichtet, dass Anubis seinen Affiliates 80 Prozent der gezahlten Lösegelder verspricht und zusätzlich über eine irreversible Löschfunktion verfügt: Wird das Modul /WIPEMODE aktiviert, bleiben Dateien zwar in den Verzeichnissen erhalten, werden aber unabhängig von einer Zahlung auf 0 KB reduziert.

Kaspersky beschrieb unterdessen die Gruppe The Gentlemen als RaaS-Akteur, der bekannte Schwachstellen sowie gestohlene oder schwache Zugangsdaten ausnutzt. Nach Aufklärung und seitlicher Bewegung über Gruppenrichtlinien oder PsExec setze die Gruppe einen in Go geschriebenen Backdoor ein, um Fernbefehle auszuführen. Das Implantat sammelt Systeminformationen, überträgt sie per bidirektionaler TCP-Verbindung an den externen Server 81.177.215[.]15:9443 und wartet auf Antworten der Operatoren. Ist das Antwort-Byte „c“, werden Befehle über cmd.exe auf dem Host ausgeführt; bei „s“ wird eine SOCKS-Proxy-Verbindung aufgebaut.

Expel ergänzte, The Gentlemen habe im Rahmen seines BYOVD-Arsenals auch eine Zero-Day-Schwachstelle in einem wenig bekannten Treiber eines Drittanbieters eingesetzt. Betroffen ist ktapi.sys, Teil einer von Kontron entwickelten API. Die Technik soll Kernel-Zugriff ermöglichen, Windows-Schutzmechanismen umgehen und geschützte Sicherheitsprozesse von Microsoft, ESET, Palo Alto Networks und SentinelOne beenden. Marcus Hutchins sagte, es sei weiterhin unklar, wie die Täter in den Besitz der Datei gelangt seien oder von der Schwachstelle erfahren hätten.

Sophos Counter Threat Unit beleuchtete zudem eine im März 2026 angekündigte Partnerschaft zwischen VECT und TeamPCP. Nach Angaben von Sophos erlaubt diese Zusammenarbeit VECT, Ransomware in allen Organisationen auszurollen, die in den Supply-Chain-Angriffen auf Trivy und LiteLLM kompromittiert wurden. Vor der Partnerschaft mit VECT habe TeamPCP laut Sophos eine andere Ransomware-Operation unter der Marke CipherForce betrieben. CipherForce führte im Februar 2026 sechs Opfer auf seiner Leak-Seite und wurde im Mai als TeamPCP-Leak-Seite neu aufgestellt. Analysen von Check Point und JUMPSEC ergaben zuletzt Implementierungsfehler in VECT, durch die jede Datei mit mehr als 128 KB dauerhaft zerstört statt verschlüsselt wird. TeamPCP erklärte daraufhin, den Encryptor von VECT nie in Angriffen eingesetzt zu haben und stattdessen den eigenen Locker CipherForce zu besitzen.