Group-IB hat die Vorgehensweise der noch jungen Ransomware-as-a-Service-Operation The Gentlemen dokumentiert, die aus etwa 20 Mitgliedern besteht. Ihren Ursprung hat die Gruppe in einem Zahlungsstreit: Der Betreiber „hastalamuerte" eröffnete im Cybercrime-Forum RAMP einen öffentlichen Schlichtungsthread und warf den Betreibern der Qilin-Ransomware ausstehende Affiliate-Provisionen in Höhe von 48.000 US-Dollar vor. Für den Erstzugriff setzt die Gruppe vor allem auf CVE-2024-55591, eine kritische Authentifizierungs-Bypass-Lücke in FortiOS/FortiProxy. Laut Group-IB führt sie eine operative Datenbank von rund 14.700 bereits ausgenutzten FortiGate-Geräten weltweit sowie 969 validierte, per Brute-Force erbeutete FortiGate-VPN-Zugangsdaten. Zur Abwehrumgehung nutzt The Gentlemen die BYOVD-Technik (Bring Your Own Vulnerable Driver), um Sicherheitsprozesse auf Kernel-Ebene zu beenden. Seit ihrem Auftreten im Juli/August 2025 wurden bereits etwa 94 Organisationen angegriffen.
In der weit verbreiteten ITSM-Lösung BMC FootPrints wurden vier Schwachstellen (CVE-2025-71257 bis CVE-2025-71260) offengelegt, die sich zu einer Remote-Code-Ausführung ohne vorherige Authentifizierung verketten lassen. Die Kette beginnt mit einem Authentifizierungs-Bypass (CVE-2025-71257), der ein Gast-Sitzungstoken aus dem Passwort-Reset-Endpunkt abgreift; dieses führt zu einer ungeprüften Java-Deserialisierung (CVE-2025-71260) und über die AspectJWeaver-Gadget-Kette zum Schreiben beliebiger Dateien im Tomcat-Web-Root. Zwei weitere SSRF-Lücken (CVE-2025-71258 und CVE-2025-71259) könnten internes Datenmaterial preisgeben. Behoben wurden die Probleme im September 2025.
Eine aktive Kampagne zielt laut Defused Cyber auf bekannte Schwachstellen in Citrix NetScaler (CVE-2025-5777 und CVE-2023-4966). Gegen das Honeypot-System wurden am 16. März 2026 mehr als 500 Exploit-Versuche registriert. Stark erhöhte Aktivität gegen ältere Schwachstellen gehe häufig einer Zero-Day-Lücke voraus, so das Unternehmen.
Proofpoint beschreibt mit CursorJack eine Technik, die die Unterstützung des Editors Cursor für Deep Links des Model Context Protocol (MCP) missbraucht. Über den Protokoll-Handler „cursor://" könne per Social Engineering nach einem einzigen Klick und einer Bestätigung beliebiger Code lokal ausgeführt oder ein bösartiger Remote-MCP-Server installiert werden. Proofpoint hat dazu einen Proof-of-Concept auf GitHub veröffentlicht.
Rapid7 beobachtet zunehmend Phishing-Kampagnen, bei denen sich Angreifer über Microsoft Teams als interne IT-Abteilung ausgeben, um Nutzer zum Start von Quick Assist zu bewegen und so Fernzugriff zu erlangen. Da Teams häufig jedem externen Nutzer das Anschreiben interner Mitarbeiter erlaube, sei dies funktional vergleichbar mit einem E-Mail-Server ohne Gateway-Filter.
Eine ClickFix-Kampagne hat laut Gen Digital eine pakistanische Behördenwebsite kompromittiert, um über gefälschte CAPTCHA-Köder einen AutoHotKey-Backdoor zu installieren. Die Technik gilt als so wirksam, dass auch staatsnahe Gruppen wie Lazarus, MuddyWater und APT28 sie übernommen haben. Eine separate Phishing-Kampagne missbraucht laut Cofense die Kundenservice-Software LiveChat, um Opfer über eine Echtzeit-Chatoberfläche mit Erstattungs-Vorwänden zur Eingabe von Zugangsdaten, Kreditkartendaten und MFA-Codes zu bewegen.
DJI hat eine Schwachstelle im Backend behoben, durch die sich laut dem Sicherheitsforscher Sammy Azdoufal sämtliche Romo-Saugroboter übernehmen ließen: Die Server lieferten allein anhand einer Geräteseriennummer ohne jede Authentifizierung Daten aus. Der Forscher konnte so die Standorte von mehr als 7.000 Romo-Saugrobotern und 3.000 DJI-Powerstations kartieren. WhatsApp testet zudem ein alphanumerisches Konto-Passwort von sechs bis 20 Zeichen, das Brute-Force-Versuche etwa nach einem SIM-Swap erschweren soll.
