Im Zentrum des Beitrags steht die These, dass Verteidiger heute nicht mehr von Wochen oder Monaten zwischen Veröffentlichung einer Schwachstelle und ihrer praktischen Ausnutzung ausgehen können. Picus nennt dafür zwei Gründe: die stark gestiegene Zahl neuer Schwachstellen und die kürzere Zeit bis zu funktionierenden Exploits. Das Unternehmen verweist auf die „Zero Day Clock“, die für 2026 eine mittlere Zeit bis zur Ausnutzung von deutlich unter einem Tag angebe; noch vor wenigen Jahren habe diese Spanne bei Wochen gelegen.
Gleichzeitig, so Picus, werde nur ein sehr kleiner Teil der vielen CVEs tatsächlich in realen Angriffen verwendet. Genau daraus entstehe das eigentliche Problem: Sicherheitsteams müssten herausfinden, welche der Tausenden gemeldeten Schwachstellen im eigenen Umfeld tatsächlich ausnutzbar sind. Kontinuierliche Pentests könnten diese Lücke zwar verkleinern, stießen aber laut Picus an Grenzen, weil sich Live-Exploits nur dort einsetzen ließen, wo dies sicher sei und bereits ein nutzbarer Exploit vorliege. In den meisten Unternehmen decke das nur 10 bis 15 Prozent der tatsächlichen Angriffsfläche ab.
Als Alternative beschreibt Picus ein Verfahren, bei dem nicht der vollständige Exploit ausgelöst wird, sondern die für seine Ausnutzung nötigen Schritte einzeln geprüft werden. Ein Exploit bestehe aus abhängigen Phasen wie Erstzugriff, Umgehung von Schutzmechanismen, Rechteausweitung, Diebstahl von Zugangsdaten und lateraler Bewegung. Wenn eine dieser notwendigen Phasen an vorhandenen Schutzmaßnahmen scheitere, lasse sich die Angriffskette auf dem betroffenen System nicht vollenden, auch wenn die Schwachstelle selbst vorhanden sei. Umgekehrt sei ein Befund belastbar, wenn alle erforderlichen Schritte erfolgreich wären.
Picus illustriert das an Nightmare-Eclipse, auch als Chaotic Eclipse oder Dead Eclipse bezeichnet. Der Akteur sei nach allen verfügbaren Hinweisen weder eine Ransomware-Gruppe noch ein staatlich unterstützter Akteur, sondern ein einzelner Sicherheitsforscher mit tiefen Kenntnissen interner Windows-Mechanismen und persönlichem Groll gegen Microsoft. Ab Anfang April 2026 habe dieser mehrere Windows-Zero-Days als unkoordinierte Veröffentlichungen publiziert, meist ohne CVE und ohne Patch zum Zeitpunkt der Veröffentlichung.
Drei der Veröffentlichungen hätten sich laut Picus zu einer zusammenhängenden Angriffskette kombinieren lassen. BlueHammer nutze eine lokale Rechteausweitung über einen privilegierten Dateizugriff und missbrauche eine Race Condition in Windows Defender. Eine EICAR-Köderdatei bringe Defender dazu, einen Volume-Shadow-Copy-Schnappschuss zu erzeugen, wodurch die SAM-, SYSTEM- und SECURITY-Hives kurzzeitig zugänglich würden. BlueHammer verwende Cloud-Files-Rückrufe und opportunistische Sperren, lese die Hives aus, extrahiere lokale NTLM-Hashes und eskaliere zu SYSTEM.
RedSun kehre dasselbe Grundprinzip in einen privilegierten Schreibzugriff um. Statt die SAM-Hive zu lesen, leite das Werkzeug einen Schreibvorgang mit SYSTEM-Rechten nach C:\Windows\System32 um, überschreibe TieringEngineService.exe mit einem Angreifer-Binärprogramm und starte dieses anschließend über das COM-Objekt Storage Tiers Management als SYSTEM. UnDefend wiederum diene dazu, Defender zu stören: Das Werkzeug sperre die Signaturdateien mpavbase.vdm und mpavbase.lkg, blockiere Definitions-Updates und verhindere das erneute Laden der Signaturbasis nach einem Neustart des Dienstes, während die EDR-Konsole weiterhin einen gesunden und aktuellen Status angezeigt bekomme.
Für eine sichere Überprüfung im eigenen Netzwerk zerlegt Picus diese Kette in einzelne Aktionen. Dazu zählt das Anlegen eines neuen Dienstes namens „Evilsvc“ als Stellvertreter für den abschließenden Ausführungsschritt von BlueHammer. Hinzu kommt das Auslesen der SAM-Hive über Volume Shadow Copy, also genau jenes Verhalten, das laut Picus von Schutzmechanismen gegen den Diebstahl von Zugangsdaten erkannt werden sollte. Als dritter zentraler Schritt nennt das Unternehmen das Deaktivieren des Windows-Defender-Dienstes. Dafür brauche es die eigentliche Schadsoftware nicht; Picus emuliere die Technik mit „unDefender“, einer Aktion aus der Threat Library, um zu prüfen, ob der Manipulationsschutz greift.
Laufen diese Schritte nacheinander gegen die realen Schutzmechanismen eines Unternehmens, zeige sich laut Picus, ob die gesamte Kette aus SYSTEM-Zugriff, Diebstahl von Zugangsdaten und geblendeter Defender-Instanz in der jeweiligen Umgebung erfolgreich wäre. Das Unternehmen stellt dies nicht als Ersatz, sondern als Ergänzung zu Live-Exploits dar: Wo ein Exploit vorhanden und seine Ausführung sicher sei, könne „Autonomous Pentesting“ die echte Kette auslösen. Wo das nicht möglich sei, etwa bei abgeschotteten, regulierten oder geschäftskritischen Systemen oder bei ganz frisch veröffentlichten CVEs ohne verfügbare Waffe, solle TTP-Chaining die Ausnutzbarkeit indirekt nachweisen.
