Die Aufnahme der drei Apple-Schwachstellen in den KEV-Katalog folgt auf Berichte der Google Threat Intelligence Group (GTIG), von iVerify und Lookout zu einem iOS-Exploit-Kit mit dem Codenamen DarkSword. Dieses Kit nutzt die genannten Lücken zusammen mit drei weiteren Fehlern aus, um verschiedene Schadsoftware-Familien wie GHOSTBLADE, GHOSTKNIFE und GHOSTSABER zum Datendiebstahl einzuschleusen.

Die Craft-CMS-Schwachstelle CVE-2025-32432 wird laut Orange Cyberdefense SensePost seit Februar 2025 von unbekannten Akteuren als Zero-Day ausgenutzt. Seither beobachteten die Forscher zudem eine als Mimo (auch Hezb) bezeichnete Gruppierung, die die Lücke nutzt, um einen Kryptowährungs-Miner und Residential-Proxyware zu installieren.

Den Abschluss bildet CVE-2025-54068 in Laravel Livewire. Deren Ausnutzung meldete das Forschungsteam Ctrl-Alt-Intel kürzlich im Rahmen von Angriffen der iranischen staatlich unterstützten Gruppe MuddyWater, die auch unter dem Namen Boggy Serpens geführt wird.

In einem Bericht von Anfang dieser Woche beschreibt Palo Alto Networks Unit 42, dass die Gruppe konsequent diplomatische Einrichtungen und kritische Infrastruktur ins Visier nimmt, darunter die Bereiche Energie, Seefahrt und Finanzen – im Nahen Osten sowie weltweit bei weiteren strategischen Zielen.

“Während Social Engineering ihr prägendes Merkmal bleibt, baut die Gruppe zugleich ihre technischen Fähigkeiten aus”, erklärte Unit 42. Ihr Werkzeugkasten umfasse demnach auch KI-gestützte Schadsoftware-Implantate mit Techniken zur Verschleierung der Analyse und zur dauerhaften Persistenz. Für ihre groß angelegten Social-Engineering-Kampagnen setze Boggy Serpens eine eigens entwickelte, webbasierte Orchestrierungsplattform ein, mit der sich Massen-E-Mails automatisieren und zugleich Absenderidentitäten sowie Zielisten genau steuern lassen.

Die Gruppe wird dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugerechnet und ist vorrangig auf Cyberspionage ausgerichtet. Sie wurde jedoch auch mit störenden Operationen gegen das Technion – Israel Institute of Technology in Verbindung gebracht, bei denen sie die Ransomware-Identität DarkBit annahm.

Ein Kennzeichen der Vorgehensweise von MuddyWater ist die Verwendung gekaperter Konten offizieller staatlicher und unternehmerischer Stellen bei Spear-Phishing-Angriffen sowie der Missbrauch von Vertrauensbeziehungen, um reputationsbasierte Sperrsysteme zu umgehen und Schadsoftware auszuliefern.

In einer anhaltenden Kampagne gegen ein nicht namentlich genanntes nationales Schifffahrts- und Energieunternehmen in den Vereinigten Arabischen Emiraten zwischen dem 16. August 2025 und dem 11. Februar 2026 führte der Akteur den Angaben zufolge vier getrennte Angriffswellen durch. Dabei kamen verschiedene Schadsoftware-Familien zum Einsatz, darunter GhostBackDoor und Nuso (auch HTTP_VIP); zu weiteren Werkzeugen zählen UDPGangster und LampoRAT (auch CHAR).

Nach Einschätzung von Unit 42 verbindet die Gruppe ihre etablierten Methoden mit verfeinerten Mechanismen für operative Persistenz. Durch die Erweiterung ihrer Entwicklungswege um moderne Programmiersprachen wie Rust und KI-gestützte Arbeitsabläufe schaffe sie parallele Stränge, die die nötige Redundanz für ein hohes Einsatztempo sicherstellten.