Das Muster heute Morgen ist hässlich und konstant: vertrauenswürdige Support-Kanäle, Infrastruktur, App Stores und AI-Tools werden in Hochgeschwindigkeits-Angriffspfade verwandelt.
Kurzfassung: Vier Themen sind kritisch, bevor viele Teams überhaupt ihr Standup beendet haben: chatbasierte Social Engineering mit Domänen-Folgen, ein interner Netzvorfall im Versorgersektor, Wallet-Diebstahl über den App Store und eine AI-Serving-Lücke, die in weniger als einem halben Tag ausgenutzt wurde.
Google Mandiant sagt, dass UNC6692 E-Mail-Bombing mit gefälschter Microsoft-Teams-Helpdesk-Kommunikation kombiniert, um Opfer zur Installation eines angeblichen Anti-Spam-Patches zu drängen. Dieser Patch installiert das Snow-Toolset: SnowBelt für Browser-Persistenz, SnowGlaze für Tunneling und SnowBasin für Befehlsausführung. Danach dumpen die Angreifer LSASS, bewegen sich lateral und exfiltrieren Active-Directory-Material. Das ist kein normales Phishing mehr, sondern missbrauchtes Support-Vertrauen für tiefen Netzwerkzugriff.
Itron meldete unbefugten Zugriff auf bestimmte interne Systeme und erklärt, die Aktivität blockiert, eine Untersuchung gestartet und derzeit keine wesentliche Betriebsstörung festgestellt zu haben. Das ist gut, aber kein Grund zur Entwarnung. Itron sitzt tief in Versorgertechnologie für Energie- und Wasserumgebungen. Wenn ein so eingebetteter Anbieter eine interne Kompromittierung meldet, sollten Versorger und Betreiber das als Warnsignal für Segmentierung, Lieferantenzugänge und Reaktionsbereitschaft lesen.
Forscher fanden 26 FakeWallet-Apps im Apple App Store, die auf Recovery-Phrases und private Schlüssel zielen, darunter Nachahmungen bekannter Wallets. Teilweise lenkten die Apps Nutzer in trojanisierte Wallet-Installationsflüsse, wobei in der Berichterstattung die Verfügbarkeit im China-App-Store hervorgehoben wurde. Die Lehre geht über Krypto hinaus: Selbst vertrauenswürdige App Stores können zu Lieferkanälen für Credential- und Vermögensdiebstahl werden, wenn Marken-Imitation und mobiles Vertrauen stark genug wirken.
LMDeploy CVE-2026-33626, eine SSRF-Lücke in einem Open-Source-LLM-Serving-Stack, wurde Berichten zufolge innerhalb von 12 Stunden und 31 Minuten nach Veröffentlichung ausgenutzt. Das sollte jeden beunruhigen, der AI-Infrastruktur wie gewöhnliche interne Software behandelt. Advisorys liegen heute so nah an Exploit-Prompts, dass Patch-Latenz selbst zum Risiko wird.
Fazit: Das Muster heute Morgen ist hässlich und konstant: vertrauenswürdige Support-Kanäle, Infrastruktur, App Stores und AI-Tools werden in Hochgeschwindigkeits-Angriffspfade verwandelt.
KENSAI hilft Teams, exponierte Angriffspfade über Identitätsabläufe, interne Infrastruktur, mobile Software-Lieferketten und AI-Serving-Stacks sichtbar zu machen, bevor Angreifer Vertrauen in Zugriff verwandeln.
Kostenloser Scan →Bleib wachsam.
🗡️ KENSAI Security Team