Logo
HomeDarknet MonitoringPentestingSOCCyberRisikoCheckCyber Security Check 360°Blog
image of a skelleton gentlemen gangster
← Back to Blog

3. Juni 2026

Threat Digest KW22-23: Ransomware as a Service, Domain Controller, Edge-Appliances

digest
active-exploitation
supply-chain
cisa-kev
edge-security

Der Zeitraum 27.05. bis 03.06.2026 wird von aktiver Ausnutzung an internetexponierten Edge-Appliances und an Windows-Domain-Controllern geprägt. CISA nahm zwei Schwachstellen in den KEV-Katalog auf und mehrere Vendors bestätigten Angriffe gegen ungepatchte Systeme. In der Supply Chain setzte sich die Shai-Hulud-Linie mit einer neuen Welle gegen npm-Pakete fort. Russische Operationen gegen die Ukraine liefen über eine bekannte WinRAR-Schwachstelle weiter.

Threat Actors & Campaigns

Gamaredon nutzt laut Sekoia weiterhin die WinRAR-Schwachstelle CVE-2025-8088, einen Path Traversal, um gegen die Ukraine eine HTML-Application namens GammaPhish auszuliefern, die den VBScript-Downloader GammaLoad nachlädt. GammaLoad verteilt einen VBScript-Wurm namens GammaWorm, der über Scheduled Tasks Persistence etabliert, legitime Verzeichnisse durch bösartige LNK-Dateien ersetzt und seine C2-Adresse per curl aus einem fest kodierten Telegram-Kanal bezieht (The Hacker News). Zusätzlich liefert GammaLoad den modularen Infostealer GammaSteel aus, der Dateien in ein AWS-S3-Bucket exfiltriert. Sekoia beobachtete die Infektionskette im Januar 2026 und beschreibt Gamaredon als staatlich gelenkten, dem FSB zugeordneten Akteur mit Fokus auf ukrainische Regierungs-, Militär- und Infrastrukturziele.

Storm-1175 ist laut The Hacker News eine kriminelle Gruppe, die Medusa-Ransomware einsetzt und öffentlich erreichbare Anwendungen für Initial Access ausnutzt, dem Bericht zufolge unter anderem über die Deserialisierungslücke in GoAnywhere MFT (CVE-2025-10035). Microsoft Defender ordnete laut demselben Bericht entsprechende Ausnutzungsaktivität den TTPs von Storm-1175 zu, einschließlich der Anlage einer Domänengruppe namens "ESX Admins" nach der Kompromittierung (The Hacker News). Die Erwähnung steht im Kontext der WebLogic-KEV-Aufnahme, ohne dass der Bericht Storm-1175 die WebLogic-Ausnutzung zuschreibt.

The Gentlemen ist eine als Storm-2697 getrackte Ransomware-as-a-Service-Operation, die per-File-Verschlüsselung mit Curve25519 und XChaCha20 mit aggressiver Selbstverbreitung kombiniert. Laut Microsoft entstand die Operation Mitte 2025, ging im September 2025 zu RaaS über und rekrutierte über BreachForums Affiliates, darunter Penetration Tester und Initial Access Broker (Microsoft Security Blog). Der in Go geschriebene und mit Garble obfuskierte Encryptor kombiniert mehrere simultane, voneinander getrennte Lateral-Movement-Methoden, darunter PsExec, WMI, Scheduled Tasks und PowerShell Remoting. Zusätzlich nutzt sie Double Extortion. Die Malware löscht Shadow Copies und forensische Artefakte und kann freien Speicherplatz überschreiben.

Active Exploitation

Oracle WebLogic Server ist über CVE-2024-21182 für unauthentifizierte Angreifer mit Netzzugang über T3 und IIOP kompromittierbar, mit einem CVSS-Score von 7.5. CISA nahm die bereits im Juli 2024 gepatchte Schwachstelle am 01.06.2026 in den Known Exploited Vulnerabilities-Katalog auf und setzte für Bundesbehörden eine Frist bis zum 04.06.2026. Shodan verzeichnete laut Bericht über 1.592 online erreichbare und verwundbare WebLogic-Server, davon 961 auf Version 12.2.1.4.0 und 631 auf Version 14.1.1.0.0 (BleepingComputer). Wer WebLogic exponiert betreibt, sollte den Patch-Stand gegen die genannten Versionen prüfen.

Windows Netlogon wird über CVE-2026-41089 aktiv ausgenutzt, einen Stack Buffer Overflow im Netlogon-Dienst mit einem CVSS-Score von 9.8. Microsoft schloss die Lücke am 12.05.2026 im Mai-Patch-Tuesday und beschrieb Remote Code Execution auf Domain Controllern ohne vorherige Anmeldung über eine speziell präparierte Netzanfrage (SecurityWeek). Das belgische Centre for Cybersecurity Belgium warnte am 29.05.2026 vor aktiver Ausnutzung in the wild und mahnte sofortiges Patchen an (BleepingComputer). Ein erfolgreicher Angriff auf einen Domain Controller gefährdet die gesamte Domäne.

PAN-OS GlobalProtect steht über CVE-2026-0257 unter aktiver Ausnutzung, einen Authentication Bypass im GlobalProtect-Portal und -Gateway mit einem CVSS-Score von 7.8. Palo Alto Networks aktualisierte das Advisory zum Wochenende und bestätigte begrenzte Exploit-Versuche gegen ungepatchte Geräte ohne angewandte Mitigation, während NIST die Lücke als kritisch einstufte und CISA sie in den KEV-Katalog aufnahm (BleepingComputer). Rapid7 beobachtete erfolgreiche Ausnutzung bei zahlreichen Kunden ab dem 17.05.2026 sowie eine zweite Welle am 21.05.2026, wobei Angreifer gefälschte Authentication-Override-Cookies gegen das lokale Administratorkonto einsetzten (The Hacker News). Als Mitigation gelten das Deaktivieren des Authentication-Override-Features oder ein dediziertes Zertifikat. In unserer Lagebeobachtung gehören exponierte GlobalProtect-Portale zu den dauerhaft relevanten Initial-Access-Flächen.

FortiClient EMS wird über CVE-2026-35616 erneut angegriffen, eine Improper-Access-Control-Schwachstelle mit RCE durch unauthentifizierte Angreifer und einem CVSS-Score von 9.1. Arctic Wolf beobachtete eine Kampagne, die den EKZ Infostealer als gefälschtes Fortinet-Endpoint-Update tarnte und über FortiClient-eigene VPN-Scripting-Workflows ausführte, wobei fortitray.exe base64-kodierte PowerShell-Payloads startete (BleepingComputer). Die Malware exfiltriert Browser-Anmeldedaten, Cookies und Kreditkartendaten über HTTP. Da EMS als zentrale Verwaltungsplattform fungiert, reicht ein kompromittierter Server zur Codeausführung auf allen verwalteten Endpunkten.

LiteSpeed cPanel Plugin wurde über CVE-2026-48172 pre-Patch aktiv ausgenutzt, eine Privilege Escalation mit Ausführung beliebiger Skripte mit Root-Rechten und einem CVSS-Score von 9.8. LiteSpeed schloss die Lücke in Version 2.4.5 des User-End-Plugins und benannte ein Risiko für alle Versionen zwischen 2.3 und 2.4.4 (SecurityWeek). cPanel entfernte das Plugin am 19.05.2026 per Nightly-Update und CISA nahm die Schwachstelle in den KEV-Katalog auf, mit einer Patch-Frist bis zum 29.05.2026. Betreiber sollten die Logs auf Aktionen verdächtiger IPs prüfen.

Kirki WordPress-Plugin wird über CVE-2026-8206 aktiv ausgenutzt, eine Privilege Escalation per Account Takeover in den Versionen 6.0.0 bis 6.0.6. Die Funktion handle_forgot_password() akzeptiert eine beliebige E-Mail-Adresse beim Passwort-Reset und sendet den gültigen Reset-Link an die vom Angreifer kontrollierte Adresse, was die Übernahme jedes Kontos einschließlich Administratoren erlaubt (BleepingComputer). Wordfence blockierte nach eigenen Angaben über 222 Versuche binnen 24 Stunden und der Fix steht mit Version 6.0.7 bereit. Das Plugin ist auf mehr als 500.000 Websites aktiv.

WP Maps Pro wird über CVE-2026-8732 aktiv ausgenutzt, eine Privilege Escalation mit einem CVSS-Score von 9.8, die unauthentifizierte Angreifer einen WordPress-Benutzer mit Administratorrechten anlegen lässt. Die AJAX-Aktion wpgmp_temp_access_ajax ist mit wp_ajax_nopriv_ registriert und nur durch einen öffentlich eingebetteten Nonce geschützt, sodass der Handler wpgmp_temp_access_support über wp_insert_user() ein Admin-Konto erstellt (The Hacker News). Wordfence blockierte nach eigenen Angaben 2.858 Angriffe binnen 24 Stunden. Betroffen sind alle Versionen bis einschließlich 6.1.0, gepatcht in 6.1.1.

Marimo wurde über CVE-2026-39987 ausgenutzt, eine pre-authentication Remote Code Execution in allen Versionen bis einschließlich 0.20.4. Sysdig dokumentierte einen Vorfall vom 10.05.2026, bei dem ein Angreifer ein internetexponiertes Marimo-Notebook kompromittierte, zwei Cloud-Credentials extrahierte, daraus einen SSH-Private-Key aus AWS Secrets Manager abrief und eine interne PostgreSQL-Datenbank exfiltrierte (The Hacker News). Die Post-Exploitation wurde laut Sysdig durch einen LLM-Agenten gesteuert, erkennbar an einem maschinenlesbaren Befehlsmuster und einem chinesischsprachigen Planungskommentar im Befehlsstrom. Die Schwachstelle ist in Version 0.23.0 behoben.

Critical Vulnerabilities

Gogs ist über eine Argument-Injection-Schwachstelle mit einem CVSS-Score von 9.4 für authentifizierte Angreifer per Remote Code Execution angreifbar. Rapid7 beschreibt, dass Pull Requests mit präparierten Branch-Namen das --exec-Flag in git rebase während der Operation "Rebase before merging" einschleusen, was zur Befehlsausführung mit den Rechten des Gogs-Serverprozesses führt (SecurityWeek). Da Gogs standardmäßig offene Registrierung und unbegrenzte Repository-Erstellung mitbringt, kann ein Angreifer ein Konto anlegen und die Funktion selbst aktivieren. Die Maintainer wurden Mitte März informiert und bis zur Veröffentlichung lag kein Patch vor, während Rapid7 ein Metasploit-Modul bereitstellte.

HP Poly VVX und Trio sind über CVE-2026-0826 für unauthentifizierte Remote Code Execution mit Root-Rechten angreifbar, einen Stack Buffer Overflow mit einem CVSSv4-Score von 9.2. Rapid7 verortet die Schwachstelle im Parsing von SDP-Attributen für Interactive Connectivity Establishment und bestätigte alle VVX-Modelle sowie die Trio-Modelle 8800, 8500 und 8300 als betroffen (Rapid7). Das angreifbare ICE-Feature ist nicht standardmäßig aktiv. Rapid7 entwickelte ein Metasploit-Modul, das die Ausnutzung gegen ein VVX 450 mit Firmware 6.4.7.4477 demonstriert.

CIFSwitch im Linux-Kernel erlaubt lokale Privilege Escalation bis hin zu Root-Code-Ausführung über gefälschte cifs.spnego-Key-Requests. Der CIFS-Subsystem-Code prüft nicht, ob solche Requests vom Kernel-CIFS-Client stammen, sodass ein unprivilegierter Nutzer über einen erzwungenen Namespace-Switch und eine NSS-Lookup ein bösartiges NSS-Modul lädt (BleepingComputer). Der Entdecker datiert die Einführung auf 2007 und bestätigt unter anderem Linux Mint 21.3 und 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4 bis 2026.1 sowie SLES 15 SP7 in Standardkonfiguration als verwundbar. Ein Kernel-Patch ergänzt die Herkunftsprüfung, der ausgelieferte Versionsstand variiert je Distribution.

Pretalx ist über CVE-2026-41241 für Stored XSS anfällig, das jeder registrierte Speaker beim Suchvorgang eines Organisators auslösen kann. Die Backend-Suche rendert Submission-Titel sowie Anzeigenamen über String-Interpolation mit innerHTML, wodurch eingebetteter Code im Browser des Organisators ausgeführt wird (SecurityWeek). Novee Security demonstrierte die Account-Übernahme als Proof of Concept. Die Schwachstelle ist in Version 2026.1.0 behoben.

Wire iOS ist über CVE-2026-35049 für einen remote auslösbaren Crash-Loop anfällig. Eine präparierte Proteus-External-Message mit einem verschlüsselten Payload unter 16 Byte bringt den Client ohne Nutzerinteraktion zum Absturz. Da die Nachricht in der Konversation verbleibt, lässt sich die App bis zum Löschen des lokalen Status nicht mehr öffnen (VulDB). Behoben ist das Problem in Version 4.16.0, die die fehlende Längenprüfung ergänzt. Workarounds sind nicht verfügbar.

Supply Chain

@redhat-cloud-services npm-Pakete wurden in einer als Miasma bezeichneten Mini-Shai-Hulud-Kampagne kompromittiert. Laut Aikido waren 32 Pakete und 96 Paketversionen betroffen, die zusammen rund 117.000 wöchentliche Downloads erhalten, mit einem etwa 4,2 MB großen preinstall-Payload zum Diebstahl von GitHub-Actions-Secrets, Cloud-Credentials, SSH-Keys und Publishing-Tokens (BleepingComputer). Red Hat entfernte die Pakete und erklärte, der Code sei auf interne Entwicklungswerkzeuge beschränkt geblieben und nicht für Kunden veröffentlicht worden. Socket ordnet die Kampagne der Shai-Hulud-Linie zu und verweist auf install-time-Ausführung, CI/CD-Targeting und verschlüsselte Exfiltration (The Hacker News). Wer betroffene Versionen installiert hat, sollte alle Credentials und Tokens rotieren.

codexui-android exfiltriert OpenAI-Codex-Authentifizierungstoken und erreicht laut Aikido über 29.000 wöchentliche Downloads. Der bösartige Code wurde rund einen Monat nach Veröffentlichung in ein funktionales npm-Paket eingebettet, liest die Datei ~/.codex/auth.json aus und sendet access_token, refresh_token, id_token sowie die Account-ID an einen Server, der sich als Sentry-Endpunkt tarnt (The Hacker News). Da der Refresh-Token nicht abläuft, ermöglicht er dauerhafte Impersonation. Die Exfiltration besteht laut Bericht seit Version 0.1.82. Dieselbe Kette tauchte in einer Android-App mit über 50.000 Downloads auf.

Nx Console wurde über CVE-2026-48027 als kompromittierte Version 18.95.0 ausgeliefert. Die bösartige Version war am 19.05.2026 etwa 18 Minuten im Visual Studio Marketplace und etwa 36 Minuten in OpenVSX verfügbar und lud einen obfuskierten Payload nach, der Credentials von Festplatte und aus dem Speicher sammelte (cvefeed.io). Nutzer können laut GHSA-c9j4-9m59-847w durch Upgrade auf Version 18.100.0 remediieren. Die kurze Verfügbarkeit begrenzt die Reichweite, schließt eine Kompromittierung in diesem Fenster jedoch nicht aus.

GlassWorm-Infrastruktur wurde durch CrowdStrike gemeinsam mit Google und der Shadowserver Foundation gestört, indem alle vier C2-Kanäle gleichzeitig neutralisiert wurden. Die Kampagne nutzte trojanisierte VS-Code-Extensions im Microsoft-Marketplace und in OpenVSX sowie kompromittierte npm- und Python-Pakete und poisonte laut CrowdStrike mehr als 300 GitHub-Repositories über gestohlene Entwickler-Credentials (The Hacker News). Zur Resilienz dienten Solana-Blockchain, das BitTorrent-DHT und Google Calendar als Dead-Drop-Resolver neben kommerziellen VPS. Die Störung entfernt die aktiven Kanäle, beseitigt aber nicht die bereits in Repositories verteilten Artefakte.

Patches & Advisories

Google Android Juni 2026 schließt 124 Schwachstellen, darunter CVE-2025-48595 mit einem CVSS-Score von 8.4, eine Privilege Escalation im Framework durch einen Integer Overflow ohne Nutzerinteraktion. Google nennt Hinweise auf eine begrenzte, gezielte Ausnutzung und betont, dass ähnliche Lücken in der Vergangenheit von kommerzieller Spyware gegen hochkarätige Ziele genutzt wurden (The Hacker News). Betroffen sind die Android-Versionen 14, 15, 16 und 16 QPR2. Google veröffentlichte die Patch-Level 2026-06-01 und 2026-06-05.

Chrome 148 behebt 151 Schwachstellen, darunter 22 mit kritischer Einstufung. Die schwersten sind laut Bug-Bounty CVE-2026-9872, ein Out-of-Bounds Write in der GPU-Komponente, und CVE-2026-9873, ein Use-after-free in Network, beide mit Sandbox-Escape-Potenzial (SecurityWeek). Use-after-free-Bugs dominieren die Liste. Google zahlte nach eigenen Angaben über 130.000 US-Dollar an Prämien für extern gemeldete Fehler.

Windows Secure Boot erreicht ab Juni 2026 das Ablaufdatum mehrerer seit 2011 ausgelieferter Zertifikate, die Microsoft per Windows Update durch eine 2023-datierte Reihe ersetzt. Microsoft Corporation KEK CA 2011 läuft am 24.06.2026 ab, Microsoft UEFI CA 2011 am 27.06.2026 und Microsoft Windows Production PCA 2011 am 19.10.2026 (Malwarebytes). Geräte, die nicht sauber migrieren, bleiben laut Microsoft funktionsfähig, erhalten jedoch keine neuen Boot-Schutzmaßnahmen. Der Bericht verweist als Beispiel auf den UEFI-Bootkit BlackLotus, der CVE-2022-21894 zum Umgehen von Secure Boot ausnutzte.

Reports & Research

Nightmare Eclipse veröffentlichte laut BankInfoSecurity binnen sechs Wochen sechs Windows-Schwachstellen ohne vorherige Koordination mit Microsoft, woraufhin Microsoft rechtliche Schritte androhte und die Konten des Forschers bei Microsoft, GitHub und GitLab in Folge gesperrt wurden (BankInfoSecurity). Die Lücken RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma wurden laut Microsoft nicht verantwortungsvoll offengelegt. Huntress berichtete von aktiver Ausnutzung einiger davon nach Veröffentlichung des Exploit-Codes im April. Der Vorgang setzt einen Teil der Security-Community wegen der Drohung mit Strafverfolgung unter Druck. In einer späteren Mitteilung erklärte Microsoft, keine Sicherheitsforscher verfolgen zu wollen (BleepingComputer).

NVD-Programm des NIST steht laut einem Bericht des Office of the Inspector General des US-Handelsministeriums in der Kritik. Der vertraglich bedingte Ausfall der Privatsektor-Unterstützung führte demnach zu einem nahezu vollständigen Stillstand der Vulnerability-Verarbeitung und ließ den Backlog von 13.000 im Juni 2024 auf über 27.000 zum Jahresende 2025 anwachsen, mit einer projizierten Überschreitung von 60.000 unverarbeiteten Einträgen (BankInfoSecurity). Die Prüfer benennen mangelnde Priorisierung kritischer Schwachstellen und überlappende Enrichment-Programme von NIST und CISA. Für Defender bedeutet das eine wachsende Lücke bei angereicherten CVE-Daten, die operativ den Rückgriff auf den KEV-Katalog und Vendor-Advisories nahelegt.

Take-Aways

Die aktive Ausnutzung an Edge-Appliances und Domain Controllern bestimmt diesen Zeitraum, von Oracle WebLogic über Windows Netlogon bis PAN-OS GlobalProtect und FortiClient EMS. Wer diese Systeme exponiert betreibt, sollte die KEV-Fristen als Mindestmaß behandeln und den Patch-Stand gegen die genannten Versionen prüfen, denn mehrere Lücken werden ohne vorherige Authentifizierung ausgenutzt. Die Shai-Hulud-Linie bleibt die dominante Supply Chain Bedrohung. Kompromittierte npm-Pakete erzwingen die sofortige Rotation aller Credentials, Tokens und Keys auf betroffenen Maschinen. Der Marimo-Vorfall zeigt, dass agentengesteuerte Post-Exploitation die Zeit von initialem Zugriff bis Datenabfluss verkürzt, weshalb Secrets-Hygiene und Egress-Kontrolle an Wert gewinnen. Der wachsende NVD-Backlog verschiebt die Priorisierung weiter in Richtung KEV-Katalog und Vendor-Advisories als verlässlichere Signalquellen.

©2026 Animus Blue GmbH

Impressum

Datenschutzerklärung

AGB

Cookie-Einstellungen