Socket hat 11 bösartige NuGet-Pakete identifiziert, die als .NET-Kommandozeilenwerkzeuge veröffentlicht wurden und sich als Spielhilfen, Bots und „Panels“ ausgeben. Die Pakete fungieren als Erststufen-Downloader und laden eine zweite Python-Nutzlast namens „pepesoft.exe“ aus GitHub-Releases und Hugging-Face-Pfaden unter dem Nutzernamen „pepegit666“ nach; zusätzlich ist ein inaktiver BitTorrent-Fallback eingebaut. Laut Socket nutzen die geborgenen Nutzlasten vom Downloader bereitgestelltes Schlüsselmaterial im Stil von AWS, um eine entfernte Konfiguration abzurufen, sich bei Google Sheets zu authentisieren, Aktivierungen an Hardware zu binden und eine entfernte Sperrliste für HWID und UUID zu beachten. In drei direkten Bytecode-Nutzlasten gebe es zudem Telegram-Bot-Befehle, mit denen Bildschirmfotos an den konfigurierten Chat gesendet werden können.
Cisco Talos beschreibt UAT-11795 als ausgefeilten, russischsprachigen und finanziell motivierten Akteur, der seit mindestens Juni 2025 Nutzer in den USA und Europa angreift. Die Kampagne verteilt mit trojanisierten Installern für MobaXterm, WebEx, Zoom, DBeaver und FaceIT unter anderem den Python-basierten Fernzugriffstrojaner Starland RAT und den Speicherimplantat-Agenten WLDR. Cisco Talos bezeichnet WLDR als ein ausgefeiltes, PowerShell-basiertes Kommando-und-Kontroll-Implantat mit verschlüsselten Rückmeldungen, Aufgabenwarteschlange und Runspace-Ausführungsumgebung für weitere Nutzlasten. Die Infektionen konzentrieren sich überwiegend auf die USA; weniger potenzielle Auswirkungen wurden in Deutschland, Rumänien und Venezuela registriert. Group-IB berichtete zudem, dass ClickFix in den vergangenen Wochen auch TELEPUZ und den auf macOS ausgerichteten ClickLock Stealer verteilt hat, der Daten aus 8 Browsern, 31 Krypto-Wallet-Erweiterungen, 7 Passwortmanager-Erweiterungen, 8 Desktop-Wallet-Anwendungen, Adressen aus 6 Blockchains, dem macOS-Schlüsselbund, der Shell-Historie und FTP-Zugangsdaten abgreift.
Broadcoms Symantec und das Carbon Black Threat Hunter Team meldeten einen Angriff auf ein IT-Dienstleistungsunternehmen in Südasien durch die bislang nicht dokumentierte Ransomware-Familie Spirals. Die in Rust geschriebene Nutzlast sei entweder eine neue Bedrohung oder eigens für diesen Angriff gebaut worden. Weniger als 24 Stunden nach dem Erstzugriff sei die Ransomware bereits auf Systeme im Netzwerk verteilt worden. Der Erstzugang erfolgte demnach über einen kompromittierten, aus dem Internet erreichbaren IIS-Webserver und eine hochgeladene ASP.NET-Webshell. In den folgenden drei Stunden verschafften sich die Angreifer dauerhaften Zugriff, führten Aufklärung durch, deinstallierten Endpunktschutzsoftware, kopierten den SAM-Hive und richteten verdeckten Fernzugriff ein, bevor sie die Nutzlast mit PsExec im Netzwerk ausrollten.
CISA hat CVE-2026-46817, eine Schwachstelle durch fehlerhafte Rechteverwaltung in Oracle E-Business Suite, sowie CVE-2023-4346, eine Schwachstelle durch einen übermäßig restriktiven Kontosperrmechanismus in KNX Association KNX Protocol Connection Authorization Option 1, in den KEV-Katalog aufgenommen. Bundesbehörden in den USA müssen die Korrekturen bis zum 18. beziehungsweise 29. Juli 2026 einspielen. Berichte über aktive Ausnutzung von CVE-2026-46817 tauchten laut Quelle Ende des vergangenen Monats auf; wie CVE-2023-4346 missbraucht wird und von wem, ist derzeit nicht bekannt.
Arctic Wolf beobachtete mehr als 290 gefälschte GitHub-Repositorien, die vertrauenswürdige Hersteller von Software- und Sicherheitswerkzeugen imitieren, darunter Arctic Wolf selbst. Über die 292 Repositorien wird ein Windows-Infostealer verteilt, der dieselbe Codebasis wie BoryptGrab nutzt. Arctic Wolf beschreibt die Nutzlast als reinen In-Memory-Infostealer mit einer Tabelle für 41 Krypto-Wallet-Pfade und mehr als 19 anvisierten Browsern. Die gestohlenen Daten werden demnach als ZIP-Archiv an einen Kommando-und-Kontroll-Server mit einer in Russland gehosteten IP-Adresse exfiltriert. Persistenz richte die Malware nicht ein, sondern sammle möglichst viele Daten in einer einzigen Ausführung.
Certo warnt vor dem Missbrauch der Chrome-Synchronisierung für Stalking. Dazu genügt laut dem Unternehmen kurzer physischer Zugriff auf das Smartphone eines Opfers: Im Chrome-Browser wird ein vom Angreifer kontrolliertes Google-Konto hinzugefügt und die Synchronisierung aktiviert. Danach werde das Surfverhalten des Opfers im Hintergrund an das Konto des Angreifers gespiegelt, der die Chronik dann auf seinem eigenen Gerät einsehen kann.
Forescout meldet eine anhaltende Phishing-Kampagne namens SeasonalInvite, die seit mindestens Januar 2026 kommerzielle Fernwartungs- und Fernverwaltungswerkzeuge wie ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya und O&O Syspectr missbraucht. Die Angriffe richten sich gegen Windows- und macOS-Nutzer und nutzen saisonale Themen für Social Engineering. Forescout identifizierte 959 thematisch passende Domänen und ein Verkehrsumleitungssystem mit 2.658 Gate-Seiten, das Opfer auf Phishing-Seiten weiterleitet und automatisierte Sicherheitsscanner blockiert. Laut Forescout stammen die Seiten aus einem Kit und enthalten Hinweise auf wahrscheinlich KI-generierten Code.
ReliaQuest hat zudem das neue, KI-gestützte Device-Code-Phishing-Toolkit Jalisco und den Zugangsdaten-Dieb OmegaLord beschrieben. Jalisco stelle in Echtzeit neue OAuth-Codes bereit und unterlaufe damit zeitbasierte Schutzmechanismen. OmegaLord gibt sich als PDF-Betrachter aus und sammelt neben Zugangsdaten auch Telefonnummern, um Mehrfaktor-Codes abzufangen. ReliaQuest berichtet, dass Angreifer nach einer Kompromittierung von Microsoft-365-Konten Persistenz herstellen, indem sie mehrere von ihnen kontrollierte Geräte mit dem Entra-ID-Mandanten des Opfers koppeln; in einigen Fällen seien mehr als fünf Geräte mit einem einzelnen kompromittierten Konto verknüpft worden.
