剣 KENSAI
← All posts · security · 2026-02-23 · 4 min

KI-gestützter Hacker knackt 600 Firewalls + Predator-Spyware versteckt sich auf iOS

Ein russischsprachiger Hacker nutzte generative KI, um über 600 FortiGate-Firewalls in 55 Ländern zu kompromittieren. Intellexas Predator-Spyware manipuliert iOS SpringBoard, um Aufnahmeindikatoren zu verbergen. PayPal legte Sozialversicherungsnummern 6 Monate offen. Französisches Bankregister mit 1,2 Millionen Konten gehackt.


Kritisch: KI-gestützter Angriff kompromittiert 600+ FortiGate-Firewalls

Unerfahrener Akteur + KI = Massiver Großangriff

Amazon Threat Intelligence entdeckte einen russischsprachigen, finanziell motivierten Bedrohungsakteur, der kommerzielle KI-Tools nutzte, um zwischen dem 11. Januar und 18. Februar 2026 über 600 FortiGate-Geräte in 55 Ländern zu kompromittieren.

Die entscheidende Erkenntnis: Es war kein Zero-Day-Exploit nötig. Die Kampagne war erfolgreich durch die Ausnutzung offener Management-Ports und schwacher Zugangsdaten mit Einzelfaktor-Authentifizierung. KI half einem unerfahrenen Akteur, etwas zu skalieren, das normalerweise erhebliches technisches Können erfordert.

Was KI ermöglichte

🗡️ KENSAI Einschätzung

Dieser Angriff nutzte grundlegende Hygienemängel aus — offene Management-Interfaces und schwache Passwörter. KI fand keinen Zero-Day; sie skalierte lediglich das, was ein manueller Angreifer hätte tun können. Deaktivieren Sie öffentliche Management-Ports. Erzwingen Sie MFA. Das sind Grundvoraussetzungen.


Predator-Spyware: Unsichtbare Aufnahme auf iOS

SpringBoard-Hooks verbergen Kamera- und Mikrofon-Aktivität

Intellexas Predator-Spyware kann iOS-Aufnahmeindikatoren unterdrücken, während Kamera- und Mikrofon-Feeds heimlich an Betreiber gestreamt werden.

Predator greift direkt in iOS SpringBoard ein — die zentrale UI-Schicht, die Statusleisten-Indikatoren verwaltet. Durch Abfangen des Aufnahme-Benachrichtigungssystems kann die Spyware:

Dies ist eine Fähigkeit auf Staatsniveau, die sich hauptsächlich gegen Journalisten, Aktivisten und politische Persönlichkeiten richtet. Standardnutzer sind unwahrscheinliche Ziele, sollten iOS aber stets aktuell halten.


PayPal-Datenleck: Sozialversicherungsnummern 6 Monate offengelegt

Software-Fehler in Kreditanwendung leakte sensible Daten

PayPal informiert Kunden, dass ein Softwarefehler in einer Kreditanwendung Sozialversicherungsnummern und andere sensible persönliche Daten fast 6 Monate im Jahr 2025 offenlegte.

Wichtige Details:

Dies unterstreicht, dass Anwendungssicherheitstests genauso kritisch sind wie Perimeter-Schutz. Ein einziger Code-Bug kann Millionen von Datensätzen offenlegen.


Französisches Bankregister gehackt: 1,2 Millionen Konten

Das französische Finanzministerium meldete einen Cybersicherheitsvorfall, der 1,2 Millionen Bankregistrierungskonten betrifft. Details bleiben begrenzt, aber das Ausmaß macht dies zu einer der größten Finanzdaten-Verletzungen in Frankreich.


Advantest von Ransomware getroffen

Der japanische Halbleiter-Testgigant Advantest Corporation meldete einen Ransomware-Angriff auf sein Unternehmensnetzwerk. Das Unternehmen, das Testausrüstung an große Chip-Hersteller liefert, bestätigte mögliche Auswirkungen auf Kunden- und Mitarbeiterdaten.


BeyondTrust RCE wird in Ransomware-Angriffen ausgenutzt

CISA-Warnung: Aktive Ransomware-Ausnutzung

CVE-2026-1731 in BeyondTrust Remote Support wird aktiv in Ransomware-Kampagnen ausgenutzt. CISA hat es in den KEV-Katalog aufgenommen.

Organisationen, die BeyondTrust Remote Support nutzen, sollten sofort patchen. Remote-Access-Tools sind hochwertige Ziele — sie bieten Angreifern denselben privilegierten Zugang, den IT-Teams nutzen.


Arkanix Stealer: KI-generiertes Malware-Experiment

Ein neuer Information-Stealer namens Arkanix wurde Ende 2025 in Dark-Web-Foren beworben. Analysen deuten darauf hin, dass er weitgehend KI-generiert war — ein wachsender Trend, bei dem wenig qualifizierte Akteure KI zur Malware-Entwicklung nutzen. Obwohl kurzlebig, demonstriert er die Demokratisierung der Malware-Entwicklung.


Heutige Zahlen

Kennzahl Wert
FortiGate-Geräte durch KI-Angriff kompromittiert 600+
Betroffene Länder 55
PayPal SSN-Offenlegungszeitraum ~6 Monate
Französische Bankkonten gehackt 1,2 Millionen
Dauer der Angriffskampagne (FortiGate) 5 Wochen

Heutige Prioritäten

  1. PATCHEN: BeyondTrust CVE-2026-1731 — aktive Ransomware-Ausnutzung
  2. PRÜFEN: FortiGate Management-Interfaces — öffentlichen Zugang deaktivieren, MFA erzwingen
  3. ÜBERPRÜFEN: Anwendungssicherheit — PayPal-ähnliche Bugs verstecken sich in Kredit-/Zahlungsabläufen
  4. AKTUALISIEREN: iOS-Geräte — Predator-Spyware zielt auf veraltete Versionen
  5. BEOBACHTEN: KI-gestützte Angriffswerkzeuge — wenig qualifizierte Akteure skalieren mit KI