KI-gestützter Hacker knackt 600 Firewalls + Predator-Spyware versteckt sich auf iOS
Ein russischsprachiger Hacker nutzte generative KI, um über 600 FortiGate-Firewalls in 55 Ländern zu kompromittieren. Intellexas Predator-Spyware manipuliert iOS SpringBoard, um Aufnahmeindikatoren zu verbergen. PayPal legte Sozialversicherungsnummern 6 Monate offen. Französisches Bankregister mit 1,2 Millionen Konten gehackt.
Kritisch: KI-gestützter Angriff kompromittiert 600+ FortiGate-Firewalls
Unerfahrener Akteur + KI = Massiver Großangriff
Amazon Threat Intelligence entdeckte einen russischsprachigen, finanziell motivierten Bedrohungsakteur, der kommerzielle KI-Tools nutzte, um zwischen dem 11. Januar und 18. Februar 2026 über 600 FortiGate-Geräte in 55 Ländern zu kompromittieren.
Die entscheidende Erkenntnis: Es war kein Zero-Day-Exploit nötig. Die Kampagne war erfolgreich durch die Ausnutzung offener Management-Ports und schwacher Zugangsdaten mit Einzelfaktor-Authentifizierung. KI half einem unerfahrenen Akteur, etwas zu skalieren, das normalerweise erhebliches technisches Können erfordert.
Was KI ermöglichte
- Tool-Entwicklung — KI generierte Angriffsskripte und Automatisierung
- Aufklärung im großen Maßstab — Scanning und Fingerprinting in 55 Ländern
- Credential-Angriffe — KI-gestütztes Brute-Force und Password-Spraying
- Angriffs-Orchestrierung — Koordination mehrphasiger Kampagnen
🗡️ KENSAI Einschätzung
Dieser Angriff nutzte grundlegende Hygienemängel aus — offene Management-Interfaces und schwache Passwörter. KI fand keinen Zero-Day; sie skalierte lediglich das, was ein manueller Angreifer hätte tun können. Deaktivieren Sie öffentliche Management-Ports. Erzwingen Sie MFA. Das sind Grundvoraussetzungen.
Predator-Spyware: Unsichtbare Aufnahme auf iOS
SpringBoard-Hooks verbergen Kamera- und Mikrofon-Aktivität
Intellexas Predator-Spyware kann iOS-Aufnahmeindikatoren unterdrücken, während Kamera- und Mikrofon-Feeds heimlich an Betreiber gestreamt werden.
Predator greift direkt in iOS SpringBoard ein — die zentrale UI-Schicht, die Statusleisten-Indikatoren verwaltet. Durch Abfangen des Aufnahme-Benachrichtigungssystems kann die Spyware:
- Live-Kamera- und Mikrofon-Feeds ohne den orangen/grünen Punkt streamen
- Apples Datenschutzindikatoren vollständig umgehen
- Auch auf aktuellen iOS-Versionen lautlos arbeiten
Dies ist eine Fähigkeit auf Staatsniveau, die sich hauptsächlich gegen Journalisten, Aktivisten und politische Persönlichkeiten richtet. Standardnutzer sind unwahrscheinliche Ziele, sollten iOS aber stets aktuell halten.
PayPal-Datenleck: Sozialversicherungsnummern 6 Monate offengelegt
Software-Fehler in Kreditanwendung leakte sensible Daten
PayPal informiert Kunden, dass ein Softwarefehler in einer Kreditanwendung Sozialversicherungsnummern und andere sensible persönliche Daten fast 6 Monate im Jahr 2025 offenlegte.
Wichtige Details:
- Kein traditioneller Hack — ein Softwaredefekt verursachte die Offenlegung
- SSNs, Namen und Finanzdaten waren zugänglich
- Offenlegungszeitraum: ca. 6 Monate vor Entdeckung
- PayPal bietet betroffenen Nutzern Kreditüberwachung an
Dies unterstreicht, dass Anwendungssicherheitstests genauso kritisch sind wie Perimeter-Schutz. Ein einziger Code-Bug kann Millionen von Datensätzen offenlegen.
Französisches Bankregister gehackt: 1,2 Millionen Konten
Das französische Finanzministerium meldete einen Cybersicherheitsvorfall, der 1,2 Millionen Bankregistrierungskonten betrifft. Details bleiben begrenzt, aber das Ausmaß macht dies zu einer der größten Finanzdaten-Verletzungen in Frankreich.
Advantest von Ransomware getroffen
Der japanische Halbleiter-Testgigant Advantest Corporation meldete einen Ransomware-Angriff auf sein Unternehmensnetzwerk. Das Unternehmen, das Testausrüstung an große Chip-Hersteller liefert, bestätigte mögliche Auswirkungen auf Kunden- und Mitarbeiterdaten.
BeyondTrust RCE wird in Ransomware-Angriffen ausgenutzt
CISA-Warnung: Aktive Ransomware-Ausnutzung
CVE-2026-1731 in BeyondTrust Remote Support wird aktiv in Ransomware-Kampagnen ausgenutzt. CISA hat es in den KEV-Katalog aufgenommen.
Organisationen, die BeyondTrust Remote Support nutzen, sollten sofort patchen. Remote-Access-Tools sind hochwertige Ziele — sie bieten Angreifern denselben privilegierten Zugang, den IT-Teams nutzen.
Arkanix Stealer: KI-generiertes Malware-Experiment
Ein neuer Information-Stealer namens Arkanix wurde Ende 2025 in Dark-Web-Foren beworben. Analysen deuten darauf hin, dass er weitgehend KI-generiert war — ein wachsender Trend, bei dem wenig qualifizierte Akteure KI zur Malware-Entwicklung nutzen. Obwohl kurzlebig, demonstriert er die Demokratisierung der Malware-Entwicklung.
Heutige Zahlen
| Kennzahl | Wert |
|---|---|
| FortiGate-Geräte durch KI-Angriff kompromittiert | 600+ |
| Betroffene Länder | 55 |
| PayPal SSN-Offenlegungszeitraum | ~6 Monate |
| Französische Bankkonten gehackt | 1,2 Millionen |
| Dauer der Angriffskampagne (FortiGate) | 5 Wochen |
Heutige Prioritäten
- PATCHEN: BeyondTrust CVE-2026-1731 — aktive Ransomware-Ausnutzung
- PRÜFEN: FortiGate Management-Interfaces — öffentlichen Zugang deaktivieren, MFA erzwingen
- ÜBERPRÜFEN: Anwendungssicherheit — PayPal-ähnliche Bugs verstecken sich in Kredit-/Zahlungsabläufen
- AKTUALISIEREN: iOS-Geräte — Predator-Spyware zielt auf veraltete Versionen
- BEOBACHTEN: KI-gestützte Angriffswerkzeuge — wenig qualifizierte Akteure skalieren mit KI