Interpol berichtet über eine globale Anti-Betrugsoperation mit dem Codenamen First Light 2026, die zwischen dem 15. Januar und dem 30. April 2026 in 97 Ländern und Territorien stattfand. Nach Angaben der Organisation wurden 5.811 Personen festgenommen und Vermögenswerte in Höhe von 293 Millionen US-Dollar abgefangen. Interpol zufolge wurden weltweit mehr als 142.000 Opfer identifiziert, mehr als 23.000 Fälle aufgeklärt und 15.606 Verdächtige ermittelt. In Eswatini wurden 82 Personen festgenommen und ein Netzwerk für illegales Online-Glücksspiel, Geldwäsche und Identitätsbetrug zerschlagen; in Thailand deckte die Polizei ein Geldwäscheschema auf, das Erlöse aus Romance-Scams über Kryptowährungen und Cross-Chain-Token-Swaps verschleierte.
Socket hat 17 schädliche npm- und PyPI-Pakete identifiziert, die die SDKs von Paysafe, Skrill und Neteller per Typosquatting nachahmen. Die Pakete sollen Systeminformationen und Geheimnisse von Entwicklern stehlen und an einen Ngrok-Endpunkt exfiltrieren. Laut Socket überspringt die Malware Systeme mit weniger als zwei CPU-Kernen sowie Host- oder Benutzernamen mit Begriffen wie „Sandbox“, „Analyzer“, „Cuckoo“, „Virus“, „Malware“, „VMware“ oder „VBox“.
Palo Alto Networks Unit 42 beschreibt zudem eine Bucket-Hijacking-Technik bei großen Cloud-Anbietern. Demnach kann ein Angreifer einen Storage-Bucket löschen und unter demselben global eindeutigen Namen im eigenen Konto neu anlegen, um aktive Datenströme unbemerkt umzuleiten. Unit 42 spricht von einem grundlegenden Architekturproblem. Aqua Security hatte 2024 bereits eine ähnliche Methode unter dem Namen Bucket Monopoly dokumentiert. Hinweise auf Angriffe in freier Wildbahn gibt es laut Unit 42 nicht.
Bei Microsoft Windows hat SafeBreach-Forscher Ron Ben Yizhak eine Kette aus zwei Schwachstellen beschrieben. Ausgangspunkt ist CVE-2025-49760 in Microsofts Windows-Remote-Procedure-Call-Protokoll, die Spoofing und die Imitation eines bekannten Servers ermöglicht. In Kombination mit CVE-2025-59200 im Data Sharing Service Client könne ein Angreifer laut Ben Yizhak einen RPC-Server vortäuschen, per Hotkey die User Interface Privilege Isolation umgehen und über eine manipulierte Toast-Benachrichtigung Rechte von niedriger auf mittlere Integritätsstufe anheben.
Weitere Schwachstellen betreffen Esri ArcGIS Server 12.0 und früher. Horizon3.ai zufolge erlaubt CVE-2026-9181 mit einem CVSS-Wert von 9,8/7,5 durch präparierte Pfadparameter den nicht authentifizierten Zugriff auf sensible Dateien. Mehrere Lücken im Realtek-SD-Kartenleser-Treiber RtsPer.sys betreffen laut dem Forscher „zwclose“ zahlreiche OEMs, darunter Dell und Lenovo. Genannt werden die CVEs CVE-2022-25477, CVE-2022-25478, CVE-2022-25479, CVE-2022-25480, CVE-2024-40431 und CVE-2024-40432; die vollständigen Korrekturen veröffentlichte Realtek im August 2024.
Im Malware- und Ransomware-Bereich verweist IBM X-Force auf Überschneidungen zwischen der Interlock-Gruppe, auch Hive0163 genannt, und TAG-124 alias KongTuke und Landupdate808. Gemeinsamkeiten sieht IBM X-Force unter anderem bei NodeSnake, Interlock RAT, JunkFiction, Supper und ModeloRAT. AhnLab beschreibt WhiteLock als Ransomware, die während der Verschlüsselung mit externen Servern kommuniziert und Dienste von AnyDesk und TeamViewer beendet. Threatdown wiederum nennt Prinz Eugen, erstmals im Mai 2026 entdeckt, eine technisch gezielt entwickelte Go-Ransomware, die ChaCha20-Poly1305 nutzt und keine Lösegeldnotiz auf dem Datenträger hinterlässt.
Mehrere Kampagnen setzen auf Social Engineering und legitime Werkzeuge. Palo Alto Networks Unit 42 beschreibt einen Angriff, der mit einer gefälschten „Mitarbeiterbefragung“ beginnt, in einen Microsoft-Teams-Anruf eines angeblichen Systemadministrators übergeht und schließlich EtherRAT über HopToDesk, AnyDesk, curl.exe und eine schädliche MSI-Datei nachlädt. Huntress meldet eine Phishing-Kampagne, die Metas Business Account Manager missbraucht, um Spam-Nachrichten aus einem Meta-Geschäftskonto zu versenden und Opfer zur Preisgabe von Zugangsdaten, MFA-Codes sowie Ausweisdokumenten zu bewegen. Später wurde der Köder laut Huntress um einen Chatbot in Facebook Messenger ergänzt; Meta habe die Angriffsmethode inzwischen geschlossen.
Weitere Berichte betreffen GhostChrome-X, das laut Rubrik Zero Labs Google Chrome missbraucht, indem es geschützte Konfigurationsdateien und Integritätsmetadaten für Erweiterungen manipuliert, um eine vom Angreifer kontrollierte Erweiterung als legitim erscheinen zu lassen. ZeroBEC und CYFIRMA dokumentieren außerdem Steuer-Phishing-Kampagnen in Indien, die über AutoIt zu AsyncRAT beziehungsweise über DLL-Side-Loading zu trojanischen Nutzlasten führen. K7 Labs beschreibt eine weitere Indien-Kampagne mit GST-Ködern und Remcos RAT, die auf dateilose Techniken und Steganografie setzt.
