KENSAI Security Intelligence
Tägliches Bedrohungsbriefing
Sonntag, 8. März 2026 — 04:00 MEZ
3
Kritisch
5
Datenpannen
13
Neue CVEs
2
Tool-Releases
Schwerwiegende Datenpannen
Der Healthcare-IT-Anbieter TriZetto Provider Solutions (eine Cognizant-Tochtergesellschaft) meldete eine Datenpanne, bei der sensible Gesundheitsdaten — darunter Krankenakten, Versicherungsinformationen und personenbezogene Daten — von 3,4 Millionen Patienten offengelegt wurden. Der Vorfall betrifft Krankenversicherer und Gesundheitsdienstleister, die TriZettos Softwareplattform nutzen. HIPAA-Benachrichtigung wurde eingeleitet.
Das FBI bestätigte, dass es einen Sicherheitsvorfall bei Systemen untersucht, die zur Verwaltung von Überwachungsbeschlüssen und Abhöroperationen eingesetzt werden. Der Kongress wurde informiert. Das Ausmaß und die Zuordnung werden noch untersucht, wobei ernsthafte Bedenken hinsichtlich der nationalen Sicherheit bezüglich der Offenlegung von Strafverfolgungsdaten bestehen.
Transport for London (TfL) gab bekannt, dass eine Datenpanne in ihren Systemen etwa 10 Millionen Kundendatensätze betroffen hat, darunter Oyster-Card-Daten und Kontaktinformationen.
Ein ghanaischer Staatsbürger bekannte sich schuldig für seine Rolle in einem massiven Betrugsring, der über 100 Millionen Dollar von US-Opfern durch Business Email Compromise (BEC) und Romance-Scams gestohlen hat. Die jahrelange Operation zielte auf Unternehmen und Privatpersonen ab.
Der russische Staatsbürger Evgenii Ptitsyn, der im November 2024 aus Südkorea ausgeliefert wurde, bekannte sich vor einem US-Bundesgericht schuldig für den Betrieb von Ransomware-Infrastruktur, die auf amerikanische Organisationen abzielte.
Kritische CVEs & Sicherheitslücken
CISA KEV: Coruna Exploit Kit zielt auf iOS 13–17.2.1
CISA ordnete US-Bundesbehörden an, drei aktiv ausgenutzte iOS-Sicherheitslücken des Coruna Exploit Kits zu patchen — ein Toolkit auf Staatsniveau, das 23 iOS-Sicherheitslücken in iOS 13 bis 17.2.1 ausnutzt. Wird für Cyberspionage und Kryptowährungsdiebstahl eingesetzt.
Rockwell ICS-Sicherheitslücke — Aktive Ausnutzung bestätigt
Eine Rockwell Automation-Sicherheitslücke (2021 offengelegt und gepatcht), die Remote-ICS-Hacking ermöglicht, wird nun nachweislich aktiv ausgenutzt. Organisationen mit ungepatchten Rockwell-Systemen sind einem unmittelbaren Risiko für industrielle Steuerungsumgebungen ausgesetzt.
OpenAI Codex Security — Neue CVEs in Open-Source-Software entdeckt
OpenAIs Codex Security-Scanner identifizierte 792 kritische und 10.561 hochgradige Befunde über 1,2 Mio. Commits. Neue CVEs wurden vergeben für:
- CVE-2026-24881/82 GnuPG — Schwachstellen in der kryptographischen Implementierung
- CVE-2025-32988/89 GnuTLS — Sicherheitslücken in der TLS-Bibliothek
- CVE-2025-64175 GOGS — Sicherheitslücke im Git-Hosting-Server
- CVE-2026-25242 GOGS — zusätzliches Sicherheitsproblem
- CVE-2025-35430–36 Thorium — 7 Sicherheitslücken in CISAs Strahlungserkennungstool
100+ GitHub-Repos verbreiten BoryptGrab-Stealer
Über 100 bösartige GitHub-Repositories wurden entdeckt, die die BoryptGrab-Stealer-Malware verbreiten und auf Browserdaten, Kryptowährungs-Wallet-Zugangsdaten, Systeminformationen und Benutzerdateien abzielen. Tarnt sich als legitime Open-Source-Projekte.
Ransomware- & APT-Aktivitäten
Die Ransomware-Gruppe „Velvet Tempest" setzt Termite Ransomware über die ClickFix-Social-Engineering-Technik ein und nutzt legitime Windows-Dienstprogramme zum Seitenladen von DonutLoader und der CastleRAT-Backdoor. Kombiniert Social Engineering mit LOLBins zur Umgehung von Sicherheitsmechanismen.
Die iranische APT-Gruppe MuddyWater (Seedworm), die dem MOIS zugeordnet wird, hat sich in US-Banken, Flughäfen, einer kanadischen gemeinnützigen Organisation und der israelischen Niederlassung eines Verteidigungs-/Luft- und Raumfahrt-Softwareunternehmens eingenistet. Neue „Dindoor"-Backdoor wurde eingesetzt. Die Aktivität hat sich nach den US-/israelischen Militärschlägen gegen den Iran intensiviert.
Die Pakistan-nahe APT-Gruppe Transparent Tribe nutzt KI-Coding-Tools zur Massenproduktion von Einweg-Malware-Implantaten in Nim, Zig und Crystal. Verwendet Slack, Discord, Supabase und Google Sheets für C2. Bitdefender bezeichnet dies als „KI-gestützte Malware-Industrialisierung" — Überschwemmung der Ziele mit polyglotten, KI-generierten („Vibeware") Binärdateien, um die Erkennung zu überlasten.
Securonix entdeckte eine mehrstufige Kampagne, die verschleierte Batch-Skripte zur Bereitstellung von XWorm, AsyncRAT und Xeno RAT verwendet. Nutzt eine eingebettete Python-Laufzeitumgebung und Early Bird APC Injection in explorer.exe — vollständige In-Memory-Ausführung. Skriptbasierte Bereitstellung ahmt legitime Benutzeraktivitäten nach.
Cisco Talos verfolgt die China-verbundene Gruppe UAT-9244 (assoziiert mit FamousSparrow, Überschneidungen mit Salt Typhoon), die seit 2024 südamerikanische Telekommunikationsinfrastruktur angreift. Drei Implantate eingesetzt: TernDoor, PeerTime und BruteEntry — zielen auf Windows, Linux und Edge-Geräte ab.
Sicherheitstool-Releases & Branche
OpenAI hat Codex Security als Research Preview veröffentlicht — einen agentischen Sicherheitsscanner, der projektweite Bedrohungsmodelle erstellt und Befunde in Sandbox-Umgebungen validiert. 1,2 Mio. Commits gescannt, 10.561 hochgradige Probleme gefunden, bei über 50 % weniger Fehlalarmen im Vergleich zu früheren Versionen. 30 Tage kostenlos für ChatGPT Pro/Enterprise/Business-Nutzer. KENSAI-Relevanz: Potenzieller Wettbewerber bei KI-gestützter Schwachstellenerkennung — arbeitet jedoch auf Code-Ebene, nicht auf Infrastruktur-Ebene wie KENSAI.
Starkiller — Neue Phishing-as-a-Service-Plattform (Bedrohungswarnung)
Die neue PhaaS-Plattform „Starkiller" nutzt Headless Chrome in Docker-Containern, um echte Anmeldeseiten (Apple, Google, Microsoft usw.) dynamisch zu proxien und Zugangsdaten sowie MFA-Token in Echtzeit abzufangen. Verwendet den URL-„@"-Trick zur visuellen Täuschung (z. B. login.microsoft.com@malicious.ru). Von Abnormal AI analysiert. Umgeht herkömmliche statische Phishing-Erkennung.
Finanzierungsrunden: ArmorCode (16 Mio. $) & Evervault (25 Mio. $ Series B)
ArmorCode hat 16 Mio. Dollar für seine Exposure-Management-Plattform eingeworben. Evervault hat 25 Mio. Dollar in einer Series B (insgesamt 46 Mio. Dollar) für entwicklerorientierte Verschlüsselung und Datenorchestrierung eingeworben. Beide signalisieren anhaltendes Investoreninteresse an AppSec- und Datensicherheits-Tooling.
Aufkommende Bedrohungsmuster
KI-Bewaffnung erreicht kritische Masse
Microsoft warnte, dass Hacker KI „in jeder Phase von Cyberangriffen" missbrauchen — von der Aufklärung über die Payload-Generierung bis zur Post-Exploitation. In Kombination mit Transparent Tribes „Vibeware" (KI-massenproduzierte Malware) und gefälschten Claude Code InstallFix-Angriffen zeigen sich drei konvergierende Muster:
1. KI-generierte Malware im großen Maßstab — APT-Gruppen nutzen KI-Tools zur Massenproduktion von Einweg-Implantaten in exotischen Programmiersprachen
2. Nachahmung von KI-Tools — Gefälschte Installationsanleitungen für Claude Code, Codex und andere KI-CLIs verbreiten Infostealer
3. KI-gestützte Verteidigung — OpenAI Codex Security betritt den Markt als KI-Sicherheitsagent
1. KI-generierte Malware im großen Maßstab — APT-Gruppen nutzen KI-Tools zur Massenproduktion von Einweg-Implantaten in exotischen Programmiersprachen
2. Nachahmung von KI-Tools — Gefälschte Installationsanleitungen für Claude Code, Codex und andere KI-CLIs verbreiten Infostealer
3. KI-gestützte Verteidigung — OpenAI Codex Security betritt den Markt als KI-Sicherheitsagent
Google: Die Hälfte der 90 Zero-Days von 2025 zielte auf Unternehmen
Googles jährliche Zero-Day-Analyse zeigt, dass 45 der 90 im Jahr 2025 ausgenutzten Zero-Days auf Unternehmensprodukte abzielten (nicht auf Verbraucher). Spyware-Anbieter und chinesische Staatsakteure führen die Zuordnung an. Der Trend zur Ausrichtung auf Unternehmen beschleunigt sich weiter — Netzwerk-Appliances, Sicherheitstools und Kollaborationsplattformen sind die Hauptziele.
Überarbeitung der US-Cyberstrategie unter der Trump-Administration
Die neue US-Cyberstrategie fordert stärkere Abschreckung gegen Cyber-Gegner, Modernisierung der Bundesnetzwerke, Schutzauflagen für kritische Infrastruktur sowie Investitionen in KI und Post-Quanten-Kryptographie. Der neue Pentagon-CISO James „Aaron" Bishop wurde ernannt und ersetzt David McKeown.
🎯 KENSAI-Handlungsempfehlungen
- ClickFix/InstallFix-Erkennung: Termite Ransomware und gefälschte KI-CLI-Installationsanleitungen nutzen beide ClickFix-Varianten — Erkennungssignaturen aktualisieren und Blogbeitrag zu diesem Trend verfassen
- Wettbewerbsintelligenz: OpenAI Codex Security ist jetzt live — KENSAIs Infrastruktur-Scanning gegenüber Codex' Code-Level-Ansatz in Marketingmaterialien differenzieren
- NIS2-Bezug: Die TriZetto-Datenpanne im Gesundheitswesen (3,4 Mio. Datensätze) ist eine perfekte Fallstudie für NIS2-Compliance-Inhalte im Gesundheitsbereich
- ICS/OT: Die Rockwell-Ausnutzung bestätigt, dass ungepatchte Legacy-ICS-Systeme weiterhin hochwertige Ziele sind — relevant für KENSAIs Infrastruktur-Scanning-Fähigkeiten
- Lieferkette: 100+ bösartige GitHub-Repos (BoryptGrab) unterstreichen den Bedarf an SBOM- und Abhängigkeitsscanning — KENSAI-Feature-Gelegenheit