Google hat einen Zeitplan bis 2029 für die Umstellung auf Post-Quanten-Kryptografie vorgelegt und ruft andere Entwicklerteams auf, nachzuziehen. Quantencomputer gefährdeten aktuelle Standards für Verschlüsselung und digitale Signaturen; die Bedrohung für Verschlüsselung sei schon heute durch “Jetzt sammeln, später entschlüsseln”-Angriffe relevant, so der Konzern. Android 17 soll PQC-Signaturschutz mit dem Algorithmus ML-DSA integrieren, unter anderem für Android Verified Boot, die Remote-Attestierung und den Android-Keystore. Parallel kündigte GitHub KI-gestützte Erkennungen in GitHub Code Security an, die CodeQL ergänzen und potenzielle Schwachstellen direkt im Pull-Request-Workflow aufzeigen sollen; die öffentliche Vorschau ist für Anfang des zweiten Quartals 2026 geplant.

Mehrere Berichte beschreiben aktive Malware-Kampagnen. Laut dem 360 Advanced Threat Research Institute wird die russische Gruppe Sandworm (APT-C-13) mit mittlerer Zuversicht für eine Kampagne verantwortlich gemacht, die Raubkopien legitimer Software wie Microsoft Office als Köder einsetzt, um die Backdoors Tambur, Sumbur, Kalambur und DemiMur zu verteilen. Verbreitet werde die Malware über Telegram, gezielt an ukrainische Nutzer, die nach Software-Cracks suchen. Okta beschreibt zudem ShieldGuard, eine Betrugsmasche, die sich als Browser-Erweiterung zum Schutz von Krypto-Wallets ausgab, tatsächlich aber Wallet-Adressen und Zugangsdaten großer Plattformen wie Binance, Coinbase, MetaMask und Uniswap abgreift.

Sophos identifizierte den Android-Backdoor Keenadu, eine Firmware-Infektion in der Bibliothek libandroid_runtime.so, die sich in den Zygote-Prozess einschleust und so vollständige Kontrolle über das Gerät erlangt. Bis zum 4. März 2026 wurden über 500 kompromittierte Geräte in nahezu 50 meist günstigen Modellen in 40 Ländern entdeckt.

Dass Strafverfolgung allein selten genügt, zeigt der Fall Tycoon2FA: Europol und Microsoft beschlagnahmten 330 aktive Domains des Phishing-Dienstes, doch laut CrowdStrike sank die Aktivität nur kurz auf rund 25 Prozent und kehrte bald auf das vorherige Niveau zurück. Die Vorgehensweisen blieben unverändert.

Weitere Kampagnen setzen auf vertraute Abläufe: Laut Netskope verbreiten Angreifer über gefälschte Meeting-Einladungen für Zoom, Microsoft Teams und Google Meet RMM-Werkzeuge wie Datto RMM, LogMeIn oder ScreenConnect, getarnt als angebliche Pflicht-Updates. Trend Micro dokumentiert eine dateilose Phishing-Kampagne mit gefälschten Urheberrechtshinweisen gegen Gesundheits- und Regierungsorganisationen in Deutschland und Kanada, die die Stealer-Malware PureLogs ausliefert. Socket meldet fünf bösartige npm-Pakete, die eine Kryptobibliothek imitieren und private Schlüssel an einen Telegram-Bot senden.

Hudson Rock verknüpft den Polyfill.io-Lieferketten­angriff von 2024 mit nordkoreanischen Akteuren, nachdem sich ein Operateur durch das Herunterladen einer gefälschten Installationsdatei selbst mit Lumma Stealer infizierte und so Zugangsdaten zum Polyfill-Cloudflare-Konto preisgab. Die Shadowserver Foundation sieht in täglichen Scans über 511.000 veraltete Microsoft-IIS-Instanzen, davon mehr als 227.000 jenseits des erweiterten Supports.