Das Signal heute Morgen ist hässlich und vertraut: vertrauenswürdige Tools, exponierte ICS-Systeme, gestohlene Sessions und fast sofortige Ausnutzung. Der eine Lichtblick ist, dass sicherere E-Mail auf Mobilgeräten endlich praktikabler wird.
Top line: Ein Software-Lieferkettenvorfall, eine OT-Expositionswarnung, eine Payroll-Diebstahlkampagne, eine in unter 10 Stunden ausgenutzte Entwickler-RCE und ein defensiver Fortschritt von Google.
Angreifer kompromittierten für etwa sechs Stunden eine sekundäre CPUID-API und tauschten offizielle Download-Links aus, sodass Nutzer von CPU-Z und HWMonitor auf einen trojanisierten HWiNFO-Installer umgeleitet wurden. Forschende beschrieben die Malware als mehrstufig, stark verschleiert und wahrscheinlich auf Informationsdiebstahl ausgerichtet. CPUID sagt, die signierten Original-Binärdateien seien nicht verändert worden, aber die Vertrauensgrenze ist bereits gebrochen, und genau das zählt.
Bundesbehörden warnten, dass mit Iran verknüpfte Akteure seit März Rockwell-Automation- und Allen-Bradley-PLCs angreifen, Störungen verursachen und HMI- sowie SCADA-Anzeigen manipulieren. Censys zählte anschließend 5.219 exponierte Hosts weltweit, davon 3.891 in den USA. Das ist nicht nur eine schlechte Kennzahl. Das ist eine offene Einladung.
Microsoft zufolge nutzte Storm-2755 Microsoft-365-Phishing-Seiten im Adversary-in-the-Middle-Stil, Session-Cookie-Diebstahl, versteckte Inbox-Regeln und Social Engineering rund um Direktüberweisungen, um Gehaltszahlungen kanadischer Beschäftigter umzuleiten. Die Lehre ist brutal direkt: Legacy-MFA schützt nicht, wenn Angreifer die authentifizierte Session stehlen.
Sysdig beobachtete die Ausnutzung der Pre-Auth-Marimo-RCE innerhalb von 9 Stunden und 41 Minuten nach der öffentlichen Offenlegung. Der Fehler steckte im WebSocket-Endpunkt /terminal/ws, der die Authentifizierung übersprang und Angreifern auf exponierten Instanzen eine interaktive Shell gab. Das ist die neue Normalität: Die Zeit zwischen Offenlegung und Exploit kollabiert.
Google sagt, dass Gmail-Ende-zu-Ende-Verschlüsselung nun auf Android und iOS für Enterprise-Nutzer verfügbar ist, sodass Teams geschützte Nachrichten mobil ohne zusätzliche Tools lesen und verfassen können. Das löst weder Identitätskompromittierung noch Endpunktdiebstahl, nimmt aber die übliche Ausrede, sichere E-Mail sei für echte Abläufe zu umständlich.
Sources tracked for this briefing: Für dieses Briefing verfolgte Quellen: BleepingComputer, The Hacker News sowie Behörden- oder Herstellerberichte vom 10. bis 11. April 2026.
KENSAI hilft Teams, exponierte Internet-Systeme, schwache Identitätsflüsse und gefährliche Lieferkettenlücken zu finden, bevor daraus Vorfälle werden.
Kostenlosen Scan starten →Bleiben Sie wachsam.
🗡️ KENSAI Security Team