🛡️ Tägliches Sicherheitsforschungs-Briefing
Samstag, 28. März 2026 — 04:00 MEZ · Automatisch generiert aus OSINT-Quellen
Zusammenfassung: TeamPCP setzt seinen Feldzug fort — jetzt mit einem destruktiven Wiper, der den Iran über eine Supply-Chain-Kompromittierung des Telnyx-PyPI-Pakets ins Visier nimmt. Die EU-Kommission wurde Opfer eines AWS-Cloud-Einbruchs. CISA warnt vor aktiver Ausnutzung von Langflow (CVE-2026-33017). Das China-nahe Red Menshen wurde tief in Telekommunikations-Backbone-Infrastruktur entdeckt. Vier massive IoT-Botnets wurden vom DOJ zerschlagen. Schwachstellen in LangChain/LangGraph legen Unternehmens-KI-Geheimnisse offen. RSAC 2026-Ankündigungen umfassen quantenresistente Hardware von Dell und HP.
Bedrohungsstufe: Erhöht — aktive Supply-Chain-Angriffe und staatlich gesteuerte Operationen
🔴 Supply-Chain-Angriffe & Malware
TeamPCP kompromittiert Telnyx-PyPI-Paket — Stealer in WAV-Dateien versteckt
Die Bedrohungsgruppe TeamPCP — zuvor verantwortlich für Supply-Chain-Angriffe auf Trivy, KICS und litellm — hat nun das offizielle telnyx-Python-Paket auf PyPI kompromittiert. Die schädlichen Versionen 4.87.1 und 4.87.2 verbergen Credential-Harvesting-Code in einer .WAV-Audiodatei mittels Steganografie. Die Angriffskette zielt auf Windows, Linux und macOS ab und injiziert Malware über telnyx/_client.py beim Import. Das Paket ist derzeit unter Quarantäne gestellt.
Maßnahme: Sofort auf Version 4.87.0 downgraden. Alle Systeme überprüfen, die nach dem 27. März telnyx importiert haben.
Quellen: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity
TeamPCP setzt CanisterWorm-Wiper gegen den Iran ein
TeamPCP hat sich von Finanzkriminalität zu geopolitischer Zerstörung gewandelt. Dieselbe Infrastruktur, die beim Trivy-Supply-Chain-Angriff verwendet wurde, verbreitet nun eine Wiper-Payload namens CanisterWorm, die aktiviert wird, wenn die Zeitzone eines Systems dem Iran entspricht oder Farsi die Standardsprache ist. Auf Kubernetes-Clustern werden Daten auf allen Nodes zerstört; andernfalls wird die lokale Maschine gelöscht. Der Wurm verbreitet sich über exponierte Docker-APIs, Kubernetes-Cluster, Redis-Server und die React2Shell-Schwachstelle.
Maßnahme: Exponierte Cloud-Steuerungsebenen überprüfen. Laut Flare entfallen 97 % der TeamPCP-Kompromittierungen auf Azure (61 %) und AWS (36 %).
Quellen: KrebsOnSecurity, Aikido
Gefälschte VS-Code-Sicherheitswarnungen auf GitHub verbreiten Malware
Eine groß angelegte Kampagne zielt über gefälschte Visual Studio Code-Sicherheitswarnungen in GitHub Discussions verschiedener Projekte auf Entwickler ab. Die Warnungen verleiten Nutzer dazu, Malware herunterzuladen, die als Sicherheits-Patches getarnt ist.
Maßnahme: VS-Code-Sicherheitswarnungen nur über offizielle Kanäle verifizieren. Verdächtige GitHub Discussions melden.
Quelle: BleepingComputer
🏛️ Schwerwiegende Sicherheitsvorfälle
AWS-Cloud-Umgebung der Europäischen Kommission kompromittiert
Die Europäische Kommission untersucht einen Sicherheitsvorfall, nachdem ein Bedrohungsakteur Zugang zu ihrer Amazon-Cloud-Umgebung erlangt hat. Die oberste Exekutive der EU hat den Vorfall bestätigt und bewertet Umfang und Auswirkungen.
Quelle: BleepingComputer
Niederländische Nationalpolizei durch Phishing kompromittiert
Die niederländische Nationalpolizei (Politie) hat einen Sicherheitsvorfall infolge eines erfolgreichen Phishing-Angriffs offengelegt. Laut Behörden war die Auswirkung begrenzt und Bürgerdaten waren nicht betroffen.
Quelle: BleepingComputer
Datenleck bei Hightower Holdings betrifft 130.000 Personen
Das Finanzholding-Unternehmen bestätigte, dass Hacker Namen, Sozialversicherungsnummern und Führerscheinnummern aus ihrer Umgebung gestohlen haben, was circa 130.000 Personen betrifft.
Quelle: SecurityWeek
Pro-iranische Gruppe behauptet Hack des Kontos von FBI-Direktor Kash Patel
Eine pro-iranische Hackergruppe behauptet, das persönliche Konto von FBI-Direktor Kash Patel kompromittiert zu haben, und stellt E-Mails und Dokumente zum Download bereit.
Quelle: SecurityWeek
⚠️ Kritische Schwachstellen
CVE-2026-33017 — Langflow RCE (CISA KEV)
CISA hat CVE-2026-33017 in seinen Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Die kritische Sicherheitslücke im Langflow-Framework zur Erstellung von KI-Agenten wird aktiv in freier Wildbahn ausgenutzt, um KI-Workflows zu kapern. Sofortiges Patchen ist erforderlich.
Quellen: BleepingComputer, CISA
LangChain & LangGraph — Drei Schwachstellen legen Unternehmensdaten offen
Drei Sicherheitslücken in LangChain und LangGraph legen Dateisystem-Dateien, Umgebungsgeheimnisse und Konversationsverläufe offen. Mit zusammen über 84 Millionen wöchentlichen Downloads auf PyPI ist die Angriffsfläche enorm. Jede Schwachstelle bietet einen unabhängigen Datenexfiltrationspfad.
Quellen: The Hacker News, Cyera
CVE-2026-4681 — Kritische PTC Windchill-Schwachstelle (Warnung der deutschen Polizei)
CISA hat eine kritische PTC Windchill-Schwachstelle gemeldet, die so gravierend war, dass die deutsche Polizei betroffene Organisationen persönlich benachrichtigte. Die Details deuten auf erhebliche Risiken für Fertigungs- und Ingenieursumgebungen hin.
Quellen: SecurityWeek, CISA
Cisco IOS & TP-Link Router-Patches
Cisco hat mehrere Schwachstellen mit hohem/mittlerem Schweregrad in der IOS-Software behoben, darunter DoS, Secure-Boot-Umgehung, Informationspreisgabe und Rechteausweitung. TP-Link hat hochgradige Router-Schwachstellen gepatcht, die Authentifizierungsumgehung, beliebige Befehlsausführung und Entschlüsselung von Konfigurationsdateien ermöglichen.
Quelle: SecurityWeek
Hochgradige BIND-Schwachstellen behoben
BIND-DNS-Resolver-Updates beheben hochgradige Schwachstellen, bei denen speziell gestaltete Domains Out-of-Memory-Zustände und Speicherlecks auslösen konnten.
Quelle: SecurityWeek
Coruna iOS Exploit Kit — Aktualisierte Operation Triangulation
Ein neues iOS-Exploit-Kit namens „Coruna" enthält eine aktualisierte Version des Kernel-Exploits, der vor drei Jahren bei der Operation Triangulation eingesetzt wurde. Dies deutet auf die fortgesetzte Entwicklung hochentwickelter mobiler Überwachungsfähigkeiten hin.
Quelle: SecurityWeek
🕵️ Bedrohungsakteur-Aktivitäten
Red Menshen (Earth Bluecrow) — Tief in Telekommunikations-Backbone-Infrastruktur eingebettet
Der China-nahe Bedrohungsakteur Red Menshen wurde tief eingebettet in Telekommunikations-Netzwerkinfrastruktur aufgefunden. Er nutzt Kernel-Level-Implantate, passive Backdoors (BPFDoor), Credential-Harvesting-Werkzeuge und plattformübergreifende Kommando-Frameworks. Rapid7 beschreibt diese als „einige der unauffälligsten digitalen Schläferzellen", die jemals in der Telekommunikation entdeckt wurden. Die Kampagne zielt seit mindestens 2021 auf Regierungsspionage über Telekommunikationsanbieter im Nahen Osten und in Asien ab.
Quellen: The Hacker News, SecurityWeek, Rapid7
DOJ zerschlägt vier IoT-Botnets — Über 3 Mio. Geräte kompromittiert
Das US-DOJ hat zusammen mit kanadischen und deutschen Behörden vier große Botnets abgeschaltet: Aisuru (über 200.000 Angriffsbefehle), JackSkid (über 90.000 Angriffe), Kimwolf (über 25.000 Angriffe) und Mossad (~1.000 Angriffe). Zusammen kompromittierten sie über 3 Millionen IoT-Geräte, darunter Router und Webcams, und starteten rekordverdächtige DDoS-Angriffe gegen Ziele einschließlich DoD-Infrastruktur.
Quellen: KrebsOnSecurity, DOJ
RedLine-Malware-Administrator an die USA ausgeliefert
Hambardzum Minasyan aus Armenien, dem eine Beteiligung an der Entwicklung und Verwaltung der RedLine-Infostealer-Malware vorgeworfen wird, wurde an die Vereinigten Staaten ausgeliefert, um sich vor Gericht zu verantworten.
Quelle: SecurityWeek
🔧 Tools & Abwehrmaßnahmen
OpenAI startet Bug-Bounty-Programm für Missbrauch & Sicherheit
OpenAI hat ein neues Bug-Bounty-Programm speziell für Missbrauchs- und Sicherheitsrisiken gestartet, das Meldungen von Design- oder Implementierungsproblemen belohnt, die zu materiellem Schaden durch KI-Systeme führen könnten.
Quelle: SecurityWeek
Dell & HP liefern quantenresistente Gerätesicherheit
Sowohl Dell als auch HP haben auf der RSAC 2026 neue quantenresistente Sicherheitsfunktionen für PCs und Drucker angekündigt und bereiten sich damit auf den Übergang zur Post-Quanten-Kryptografie vor. Google hat 2029 als Frist für seine Quantenbereitschaft festgelegt.
Quelle: SecurityWeek
Windows 11 KB5079391 — Verbesserungen bei Smart App Control
Microsoft hat ein kumulatives Vorschau-Update für Windows 11 24H2/25H2 mit 29 Änderungen veröffentlicht, darunter Verbesserungen der Smart App Control-Sicherheitsfunktionen.
Quelle: BleepingComputer
📊 Aufkommende Muster
Wichtige Trends dieser Woche
🎯 KI-Infrastruktur unter Beschuss: Langflow wird aktiv ausgenutzt (CVE-2026-33017), LangChain/LangGraph-Schwachstellen legen Unternehmensdaten offen, und Supply-Chain-Angriffe zielen auf KI-Toolchains ab. Organisationen, die mit KI-Frameworks arbeiten, sind jetzt bevorzugte Ziele.
🔗 Industrialisierung der Supply Chain: TeamPCP repräsentiert eine neue Klasse von Bedrohungsakteuren, die bekannte Angriffstechniken in Cloud-Maßstab „industrialisieren". Ihr Schwenk von finanzieller Erpressung zu geopolitischen Wipern (CanisterWorm gegen den Iran) zeigt das Eskalationspotenzial von Supply-Chain-Kompromittierungen.
📡 Telekommunikation als Spionageplattform: Red Menshens jahrelange Einbettung in Telekommunikations-Backbone-Infrastruktur bestätigt, dass nationalstaatliche Akteure Telekommunikationsanbieter weiterhin als strategische Punkte für Nachrichtengewinnung betrachten.
🛡️ Post-Quanten-Wettrüsten: Dell, HP und Google setzen Zeitpläne für quantenresistente Sicherheit und signalisieren damit, dass die Branche von der Forschungs- in die Einsatzphase übergeht.
🤖 IoT-Botnet-Katz-und-Maus-Spiel: Trotz der Abschaltung von vier großen Botnets (über 3 Mio. Geräte) bleibt das grundlegende Problem exponierter IoT-Geräte ungelöst.