Der Zeitraum vom 10. bis 17. Juni 2026 war geprägt von mehreren parallel beobachteten Kampagnen mit eigenständiger Loader-Entwicklung und von einer ungewoehnlich großen Sammlung aktiv ausgenutzter Schwachstellen in Enterprise-Software. Auffällig ist die Verlagerung hin zu Entwickler-Tooling und Plugin-Marktplätzen als Einfallsvektor. Mehrere Akteure setzten auf legitime Remote-Management-Software zur Tarnung ihrer Aktivität.
Threat Actors & Campaigns
UNC6508 gegen Forschungseinrichtungen. Ein als China-nexus beschriebener Akteur mit der Bezeichnung UNC6508 kompromittierte über mehr als ein Jahr nordamerikanische Einrichtungen aus Medizin, Militär und KI-Forschung. Der Zugang erfolgte über die Forschungsplattform REDCap, gefolgt vom Einsatz der eigens entwickelten Malware INFINITERED. Die Exfiltration tarnte sich als reguläre Content-Compliance-Mail, was die Erkennung am Mailgateway erschwert.
UNC6240 und der PeopleSoft-Exploit. Der Akteur UNC6240, auch als ShinyHunters geführt, nutzte zwischen dem 27. Mai und dem 9. Juni 2026 die Schwachstelle CVE-2026-35273 in Oracle PeopleSoft als Zero-Day vor Verfügbarkeit eines Patches. Betroffen waren nach Vendor-Angaben mehr als 100 Organisationen, davon ein hoher Anteil aus dem Hochschulsektor, darunter die bestätigt betroffene University of Nottingham. Zur Tarnung kam MeshCentral unter einem als Azure ausgegebenen Domainnamen zum Einsatz, was die operative Trennung von legitimer und schadhafter Fernwartung erschwert.
OceanLotus mit verschobenem Zielbild. Für den Akteur APT32, auch OceanLotus genannt, wird im Zeitraum 2024 bis 2026 eine Verschiebung hin zu inländischen Zielen berichtet. Beschrieben wird der Einsatz der Backdoor SPECTRALVIPER sowie eine als FireAnt Metakit bezeichnete Lieferketten-Kompromittierung gegen vietnamesische Boersenanleger. Damit verlagert sich der Zugriff von klassischer Spionage hin zu finanzmarktnahen Zielgruppen.
Khmer Shadow und NIGHTFORGE. Dem Akteur Khmer Shadow wird Spionage gegen kambodschanische Regierungsstellen zugeschrieben. Zum Einsatz kam der in C++ geschriebene Loader NIGHTFORGE, der NTDLL-Unhooking und die Hell's-Gate-Technik kombiniert und im Anschluss einen Havoc-Demon-Agenten nachlädt. Die Auslieferung erfolgte per DLL Side-Loading über VMwareNamespaceCmd.exe, also ein signiertes und damit unauffälliges Hostprogramm.
Ghostwriter-Phishing gegen polnische Ziele. Für den Akteur UNC1151, auch Ghostwriter, wird seit März 2026 eine Gmail-Phishing-Kampagne gegen polnische Ziele beschrieben. Die Kampagne zielt auf das Abgreifen des zweiten Faktors und damit auf die Übernahme vollständiger Sitzungen. Aus unserer Lagebeobachtung passt das zu einem anhaltenden Fokus auf konto-übergreifende Kompromittierung statt auf Endpunkt-Malware.
APT37 mit pCloud-gestützter Steuerung. Dem Akteur APT37 wird eine koreanischsprachige Spear-Phishing-Kampagne mit der Malware NarwhalRAT zugeschrieben, begleitet vom bekannten Implantat ROKRAT. Die Steuerung nutzte den Cloud-Dienst pCloud als Dead-Drop-Resolver. Damit verschmilzt der Steuerungsverkehr mit gewoehnlichem Cloud-Traffic.
The Gentlemen als neü RaaS-Operation. Die Operation The Gentlemen, auch Storm-2697 trat als Ransomware-as-a-Service mit einem in Go geschriebenen Locker auf und nennt mehr als 1.570 betroffene Organisationen. Im Mai 2026 wurde eine Partnerschaft mit einem bekannten Untergrundforum gemeldet. Bemerkenswert ist eine als CWE-244 beschriebene Schwäche in der Schlüsselbehandlung des Lockers, die unter Umständen eine Wiederherstellung ohne Loesegeldzahlung erlaubt.
Tools & Techniqes
Backdoor.Turn mit TURN-Relay-Missbrauch. Berichtet wird der Einsatz von Backdoor.Turn, das den TURN-Relay-Mechanismus von Microsoft Teams zur Steürung zweckentfremdet. Zur Deaktivierung von Schutzsoftware kam ein verwundbarer Huawei-Treiber im Sinne eines Bring Your Own Vulnerable Driver zum Einsatz, referenziert über CVE-2025-61155. Der Missbrauch eines legitimen Kollaborationskanals als Transport erschwert die netzseitige Erkennung erheblich.
GlassWASM im Open-VSX-Marktplatz. Beschrieben wird die Malware GlassWASM, die über den Extension-Marktplatz Open VSX verteilt wurde. Der Payload lag als mit TinyGo kompilierter WebAssembly-Code vor und nutzte die Solana-Blockchain als Dead-Drop-Resolver. Das verlagert die Steürungsinfrastruktur auf eine schwer zu sperrende oeffentliche Kette.
Kommerzialisierte Stealer und Banker. Aus unseren Sichtungen zeichnet sich eine weitere Professionalisierung des Marktes ab. Der Stealer OnyxC2 wird für rund 250 US-Dollar pro Monat angeboten und zielt auf etwa 210 Anwendungen, während der Android-Banker Rokarolla rund 217 Apps adressiert. Parallel wird das Angebot SilabRAT als Malware-as-a-Service für rund 5.000 US-Dollar pro Monat durch einen Anbieter mit dem Namen o1oo1 vermarktet.
ClickFix-Ketten mit RMM-Tarnung. Beschrieben werden mehrere Ketten, die über gefälschte Verifizierungsdialoge im Stil von ClickFix einsteigen. In einem Fall folgte das Implantat Potemkin in Verbindung mit RMMProject und EtherRAT, in einem weiteren die Auslieferung von NetSupport RMM über einen MediaFire-gestützten Verteilweg. Aus unserer Telemetrie bleibt ClickFix einer der wirksamsten Einstiegsvektoren gegen Endanwender.
Reports & Research
SQL-Injection bis RCE in LangGraph. Untersucht wurde eine Angriffskette gegen das Agenten-Framework LangGraph, in der eine SQL-Injection in eine Codeausführung übergeht. Referenziert werden CVE-2026-28277 und CVE-2026-27022 nach Darstellung von Check Point Research. Die Kette zeigt, dass Agenten-Frameworks dieselbe Sorgfalt wie klassische Webanwendungen erfordern.
Ausbruch vom Gast zum Host über KVM. Beschrieben wird die Schwachstelle CVE-2026-46316 in einer arm64-KVM-Umgebung, die einen Ausbruch aus dem Gast in Richtung Host ermoeglicht, dargestellt von ReversingLabs. Für Virtualisierungsbetreiber verschiebt das die Vertraünsgrenze und betrifft die Mandantentrennung.
Bewaffnung von Browser-Erweiterungen. Beschrieben wird eine als SearchJack bezeichnete Kampagne mit 23 Chrome-Erweiterungen, die zusammen rund 758.000 Nutzer erreichten, dokumentiert von The Hacker News. Die Reichweite über den offiziellen Store unterstreicht das Risiko von Erweiterungen als kaum kontrollierte Ausführungsumgebung im Browser.
Active Exploitation
Ivanti Sentry unter aktiver Ausnutzung. Für CVE-2026-10520 mit einem CVSS-Wert von 10.0, eine OS-Command-Injection mit root-Rechten, wird in Verbindung mit der Authentication-Bypass-Lücke CVE-2026-10523 eine breite Ausnutzung mit anschliessendem Backdooring berichtet. Korrekturen liegen mit den Versionen R10.5.2, R10.6.2 und R10.7.1 vor. Aufgrund der Aufnahme in den CISA-KEV-Katalog gilt für Bundesbehoerden eine verkürzte Patchfrist.
Cisco Catalyst SD-WAN Manager. Für CVE-2026-20262 mit einem CVSS-Wert von 6.5, einem beliebigen Dateischreibzugriff mit Eskalation zu root, wird eine begrenzte Ausnutzung in freier Wildbahn berichtet. Laut Cisco Advisory handelt es sich um die achte ausgenutzte SD-WAN-Schwachstelle im Jahr 2026. Der niedrige Basiswert sollte nicht über die Praxisrelevanz hinwegtäuschen.
Palo Alto GlobalProtect. Für CVE-2026-0257 mit einem CVSS-Wert von 7.8, einer Authentication-Bypass-Lücke im GlobalProtect-Portal von PAN-OS, wird seit dem 17. Mai 2026 aktive Ausnutzung beschrieben, dargestellt von Unit 42. Internet-exponierte Portale bleiben damit ein bevorzugter Erstzugang.
Langflow erneut im Visier. Für CVE-2026-5027 mit einem CVSS-Wert von 8.8, einer Path-Traversal-Lücke mit unauthentisiertem Auto-Login und anschliessender Codeausführung, wurden rund 7.000 exponierte Instanzen beobachtet. Korrigiert ist die Schwachstelle in den Langflow-Versionen 1.9.0 und 1.10.0. Die wiederholte Auffälligkeit von Langflow markiert KI-Tooling als eigenständige Angriffsfläche.
Exchange unter aktiver Ausnutzung. Für CVE-2026-42897, eine Lücke vom Typ Cross-Site-Scripting in Microsoft Exchange, wird aktive Ausnutzung berichtet, mit Aufnahme in den CISA-KEV-Katalog. Exchange bleibt damit weiterhin ein hochwertiges Ziel für den initialen Zugriff.
Critical Vulnerabilities
Microsoft Patch Tüsday im Juni 2026. Der Patch-Termin im Juni 2026 umfasste nach Zero Day Initiative rund 208 CVEs, davon 39 als kritisch eingestuft. Hervorzuheben ist eine wurmfähige Lücke vom Typ Use-after-free im Kernel CVE-2026-45657 mit einem CVSS-Wert von 9.8. Der Umfang allein erschwert die Priorisierung im Patch-Management erheblich.
Arista EOS ohne geplanten Patch. Für CVE-2026-7473 in Arista EOS wurde laut The Hacker News die Aufnahme in den CISA-KEV-Katalog gemeldet, wobei nach Herstellerangaben kein Patch vorgesehen ist und nur Mitigationen bereitstehen. Betreiber müssen hier auf kompensierende Massnahmen statt auf eine Korrektur setzen.
SAP-Sammelpatch mit kritischen Werten. Im SAP-Sammelpatch fielen mehrere kritische Schwachstellen auf, darunter CVE-2026-44748 mit einem CVSS-Wert von 9.9 in Form eines XML-Signature-Wrapping. Für SAP-Betreiber besteht damit unmittelbarer Handlungsbedarf an exponierten Komponenten.
Splunk mit unauthentisierter Dateierzeugung. Für CVE-2026-20253 mit einem CVSS-Wert von 9.8 wird eine unauthentisierte Dateierzeugung über die mitgelieferte PostgreSQL-Komponente beschrieben. Da Splunk häufig als zentrales SIEM dient, ist die Absicherung dieser Instanzen besonders dringlich.
Supply Chain
Kompromittierte WordPress-Plugins. Beschrieben wird eine Lieferketten-Kompromittierung der Plugins OptinMonster, TrustPulse und PushEngage des Anbieters Awesome Motive, dargestellt von Sansec. Betroffen sind nach dieser Darstellung rund 1,2 Millionen WordPress-Seiten, bei denen über die Auslieferungsinfrastruktur Hintertür-Administratorkonten angelegt wurden. Der Vorfall zeigt erneut das Risiko zentral ausgelieferter Plugin-Updates.
Open VSX als Verteilkanal. Der bereits erwähnte Fall GlassWASM nutzte den Extension-Marktplatz Open VSX als Verteilkanal für schadhafte Erweiterungen. Entwickler-Ökosysteme rücken damit als Lieferkettenrisiko weiter in den Vordergrund.
Patches & Advisories
Fortinet FortiSandbox. Für CVE-2026-25089 mit einem CVSS-Wert von 9.1, einer OS-Command-Injection in FortiSandbox, liegt nach Darstellung von The Hacker News eine Korrektur des Herstellers vor. Für eng verwandte FortiSandbox-Schwachstellen wurde zudem Ausnutzung beobachtet, weshalb das Einspielen nicht aufgeschoben werden sollte.
LiteSpeed auf cPanel-Systemen. Für CVE-2026-54420 mit einem CVSS-Wert von 8.5 sowie eine begleitende Lücke zur Rechteausweitung auf root wurde die Aufnahme in den CISA-KEV-Katalog gemeldet. Betreiber von Shared-Hosting sollten die LiteSpeed-Komponenten kurzfristig aktualisieren.
Policy & Regulation
Risikobasierte Patchfristen per BOD 26-04. Mit der Direktive BOD 26-04 führte die CISA ein risikobasiertes Modell mit einer verkürzten Patchfrist von drei Tagen für ausgewählte Einträge ein, das ältere Vorgaben ersetzt. Auch ohne unmittelbare Bindung für private Betreiber wirkt diese Frist als Massstab für die eigene Priorisierung.
Beschlagnahmung von Domains durch das DOJ. Berichtet wird die Beschlagnahmung von 13 als China-nahe beschriebenen Domains durch das US-Justizministerium, die über gefälschte Beratungsangebote auf Inhaber von Sicherheitsfreigaben zielten. Die Massnahme unterstreicht die anhaltende Verbindung von Social Engineering und staatlich zugeordneter Aktivität.
Take-Aways
Der Zeitraum zeigt eine klare Verschiebung der Angriffsfläche in Richtung Entwickler-Tooling, KI-Frameworks und Plugin-Marktplätze, was eine Ausweitung des Asset-Inventars über klassische Endpunkte hinaus erforderlich macht. Mehrere Akteure setzten auf legitime Remote-Management-Software und auf Kollaborationskanäle wie Teams als Transport, weshalb der Fokus von reiner Endpunkt-Erkennung hin zur Beobachtung legitimer Werkzeuge im Kontext verschoben werden sollte. Die Häufung aktiv ausgenutzter Lücken in Ivanti Sentry, Cisco SD-WAN, PAN-OS und Exchange bestätigt, dass internet-exponierte Verwaltungsoberflächen die dringlichste Patch-Priorität tragen. Mit der dreitägigen Frist aus BOD 26-04 und einer Arista-Lücke ohne geplanten Patch verschiebt sich der Massstab in Richtung schnellerer Reaktion und tragfähiger Mitigationen dort, wo eine Korrektur fehlt. Aus unserer Lagebeobachtung bleibt ClickFix der wirksamste Einstiegsvektor gegen Endanwender und verdient gezielte Sensibilisierung.