剣 KENSAI
← Back to archive

🛡️ Tägliches Sicherheitsforschungs-Briefing

Samstag, 28. März 2026 — 04:00 MEZ · Automatisch generiert aus OSINT-Quellen

Zusammenfassung: TeamPCP setzt seinen Feldzug fort — jetzt mit einem destruktiven Wiper, der den Iran über eine Supply-Chain-Kompromittierung des Telnyx-PyPI-Pakets ins Visier nimmt. Die EU-Kommission wurde Opfer eines AWS-Cloud-Einbruchs. CISA warnt vor aktiver Ausnutzung von Langflow (CVE-2026-33017). Das China-nahe Red Menshen wurde tief in Telekommunikations-Backbone-Infrastruktur entdeckt. Vier massive IoT-Botnets wurden vom DOJ zerschlagen. Schwachstellen in LangChain/LangGraph legen Unternehmens-KI-Geheimnisse offen. RSAC 2026-Ankündigungen umfassen quantenresistente Hardware von Dell und HP.

Bedrohungsstufe: Erhöht — aktive Supply-Chain-Angriffe und staatlich gesteuerte Operationen

🔴 Supply-Chain-Angriffe & Malware

KRITISCH supply chain pypi

TeamPCP kompromittiert Telnyx-PyPI-Paket — Stealer in WAV-Dateien versteckt

Die Bedrohungsgruppe TeamPCP — zuvor verantwortlich für Supply-Chain-Angriffe auf Trivy, KICS und litellm — hat nun das offizielle telnyx-Python-Paket auf PyPI kompromittiert. Die schädlichen Versionen 4.87.1 und 4.87.2 verbergen Credential-Harvesting-Code in einer .WAV-Audiodatei mittels Steganografie. Die Angriffskette zielt auf Windows, Linux und macOS ab und injiziert Malware über telnyx/_client.py beim Import. Das Paket ist derzeit unter Quarantäne gestellt.

Maßnahme: Sofort auf Version 4.87.0 downgraden. Alle Systeme überprüfen, die nach dem 27. März telnyx importiert haben.

Quellen: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity

KRITISCH wiper geopolitisch

TeamPCP setzt CanisterWorm-Wiper gegen den Iran ein

TeamPCP hat sich von Finanzkriminalität zu geopolitischer Zerstörung gewandelt. Dieselbe Infrastruktur, die beim Trivy-Supply-Chain-Angriff verwendet wurde, verbreitet nun eine Wiper-Payload namens CanisterWorm, die aktiviert wird, wenn die Zeitzone eines Systems dem Iran entspricht oder Farsi die Standardsprache ist. Auf Kubernetes-Clustern werden Daten auf allen Nodes zerstört; andernfalls wird die lokale Maschine gelöscht. Der Wurm verbreitet sich über exponierte Docker-APIs, Kubernetes-Cluster, Redis-Server und die React2Shell-Schwachstelle.

Maßnahme: Exponierte Cloud-Steuerungsebenen überprüfen. Laut Flare entfallen 97 % der TeamPCP-Kompromittierungen auf Azure (61 %) und AWS (36 %).

Quellen: KrebsOnSecurity, Aikido

HOCH social engineering github

Gefälschte VS-Code-Sicherheitswarnungen auf GitHub verbreiten Malware

Eine groß angelegte Kampagne zielt über gefälschte Visual Studio Code-Sicherheitswarnungen in GitHub Discussions verschiedener Projekte auf Entwickler ab. Die Warnungen verleiten Nutzer dazu, Malware herunterzuladen, die als Sicherheits-Patches getarnt ist.

Maßnahme: VS-Code-Sicherheitswarnungen nur über offizielle Kanäle verifizieren. Verdächtige GitHub Discussions melden.

Quelle: BleepingComputer

🏛️ Schwerwiegende Sicherheitsvorfälle

KRITISCH cloud-einbruch regierung

AWS-Cloud-Umgebung der Europäischen Kommission kompromittiert

Die Europäische Kommission untersucht einen Sicherheitsvorfall, nachdem ein Bedrohungsakteur Zugang zu ihrer Amazon-Cloud-Umgebung erlangt hat. Die oberste Exekutive der EU hat den Vorfall bestätigt und bewertet Umfang und Auswirkungen.

Quelle: BleepingComputer

HOCH datenleck phishing

Niederländische Nationalpolizei durch Phishing kompromittiert

Die niederländische Nationalpolizei (Politie) hat einen Sicherheitsvorfall infolge eines erfolgreichen Phishing-Angriffs offengelegt. Laut Behörden war die Auswirkung begrenzt und Bürgerdaten waren nicht betroffen.

Quelle: BleepingComputer

datenleck finanzen

Datenleck bei Hightower Holdings betrifft 130.000 Personen

Das Finanzholding-Unternehmen bestätigte, dass Hacker Namen, Sozialversicherungsnummern und Führerscheinnummern aus ihrer Umgebung gestohlen haben, was circa 130.000 Personen betrifft.

Quelle: SecurityWeek

datenleck hacktivismus

Pro-iranische Gruppe behauptet Hack des Kontos von FBI-Direktor Kash Patel

Eine pro-iranische Hackergruppe behauptet, das persönliche Konto von FBI-Direktor Kash Patel kompromittiert zu haben, und stellt E-Mails und Dokumente zum Download bereit.

Quelle: SecurityWeek

⚠️ Kritische Schwachstellen

KRITISCH aktiv ausgenutzt AI

CVE-2026-33017 — Langflow RCE (CISA KEV)

CISA hat CVE-2026-33017 in seinen Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Die kritische Sicherheitslücke im Langflow-Framework zur Erstellung von KI-Agenten wird aktiv in freier Wildbahn ausgenutzt, um KI-Workflows zu kapern. Sofortiges Patchen ist erforderlich.

Quellen: BleepingComputer, CISA

HOCH KI-Frameworks

LangChain & LangGraph — Drei Schwachstellen legen Unternehmensdaten offen

Drei Sicherheitslücken in LangChain und LangGraph legen Dateisystem-Dateien, Umgebungsgeheimnisse und Konversationsverläufe offen. Mit zusammen über 84 Millionen wöchentlichen Downloads auf PyPI ist die Angriffsfläche enorm. Jede Schwachstelle bietet einen unabhängigen Datenexfiltrationspfad.

Quellen: The Hacker News, Cyera

HOCH ICS/OT

CVE-2026-4681 — Kritische PTC Windchill-Schwachstelle (Warnung der deutschen Polizei)

CISA hat eine kritische PTC Windchill-Schwachstelle gemeldet, die so gravierend war, dass die deutsche Polizei betroffene Organisationen persönlich benachrichtigte. Die Details deuten auf erhebliche Risiken für Fertigungs- und Ingenieursumgebungen hin.

Quellen: SecurityWeek, CISA

netzwerk ios

Cisco IOS & TP-Link Router-Patches

Cisco hat mehrere Schwachstellen mit hohem/mittlerem Schweregrad in der IOS-Software behoben, darunter DoS, Secure-Boot-Umgehung, Informationspreisgabe und Rechteausweitung. TP-Link hat hochgradige Router-Schwachstellen gepatcht, die Authentifizierungsumgehung, beliebige Befehlsausführung und Entschlüsselung von Konfigurationsdateien ermöglichen.

Quelle: SecurityWeek

HOCH DNS

Hochgradige BIND-Schwachstellen behoben

BIND-DNS-Resolver-Updates beheben hochgradige Schwachstellen, bei denen speziell gestaltete Domains Out-of-Memory-Zustände und Speicherlecks auslösen konnten.

Quelle: SecurityWeek

HOCH mobil spionage

Coruna iOS Exploit Kit — Aktualisierte Operation Triangulation

Ein neues iOS-Exploit-Kit namens „Coruna" enthält eine aktualisierte Version des Kernel-Exploits, der vor drei Jahren bei der Operation Triangulation eingesetzt wurde. Dies deutet auf die fortgesetzte Entwicklung hochentwickelter mobiler Überwachungsfähigkeiten hin.

Quelle: SecurityWeek

🕵️ Bedrohungsakteur-Aktivitäten

KRITISCH APT China

Red Menshen (Earth Bluecrow) — Tief in Telekommunikations-Backbone-Infrastruktur eingebettet

Der China-nahe Bedrohungsakteur Red Menshen wurde tief eingebettet in Telekommunikations-Netzwerkinfrastruktur aufgefunden. Er nutzt Kernel-Level-Implantate, passive Backdoors (BPFDoor), Credential-Harvesting-Werkzeuge und plattformübergreifende Kommando-Frameworks. Rapid7 beschreibt diese als „einige der unauffälligsten digitalen Schläferzellen", die jemals in der Telekommunikation entdeckt wurden. Die Kampagne zielt seit mindestens 2021 auf Regierungsspionage über Telekommunikationsanbieter im Nahen Osten und in Asien ab.

Quellen: The Hacker News, SecurityWeek, Rapid7

strafverfolgung botnet

DOJ zerschlägt vier IoT-Botnets — Über 3 Mio. Geräte kompromittiert

Das US-DOJ hat zusammen mit kanadischen und deutschen Behörden vier große Botnets abgeschaltet: Aisuru (über 200.000 Angriffsbefehle), JackSkid (über 90.000 Angriffe), Kimwolf (über 25.000 Angriffe) und Mossad (~1.000 Angriffe). Zusammen kompromittierten sie über 3 Millionen IoT-Geräte, darunter Router und Webcams, und starteten rekordverdächtige DDoS-Angriffe gegen Ziele einschließlich DoD-Infrastruktur.

Quellen: KrebsOnSecurity, DOJ

strafverfolgung infostealer

RedLine-Malware-Administrator an die USA ausgeliefert

Hambardzum Minasyan aus Armenien, dem eine Beteiligung an der Entwicklung und Verwaltung der RedLine-Infostealer-Malware vorgeworfen wird, wurde an die Vereinigten Staaten ausgeliefert, um sich vor Gericht zu verantworten.

Quelle: SecurityWeek

🔧 Tools & Abwehrmaßnahmen

KI-Sicherheit bug bounty

OpenAI startet Bug-Bounty-Programm für Missbrauch & Sicherheit

OpenAI hat ein neues Bug-Bounty-Programm speziell für Missbrauchs- und Sicherheitsrisiken gestartet, das Meldungen von Design- oder Implementierungsproblemen belohnt, die zu materiellem Schaden durch KI-Systeme führen könnten.

Quelle: SecurityWeek

quanten hardware

Dell & HP liefern quantenresistente Gerätesicherheit

Sowohl Dell als auch HP haben auf der RSAC 2026 neue quantenresistente Sicherheitsfunktionen für PCs und Drucker angekündigt und bereiten sich damit auf den Übergang zur Post-Quanten-Kryptografie vor. Google hat 2029 als Frist für seine Quantenbereitschaft festgelegt.

Quelle: SecurityWeek

Windows

Windows 11 KB5079391 — Verbesserungen bei Smart App Control

Microsoft hat ein kumulatives Vorschau-Update für Windows 11 24H2/25H2 mit 29 Änderungen veröffentlicht, darunter Verbesserungen der Smart App Control-Sicherheitsfunktionen.

Quelle: BleepingComputer

📊 Aufkommende Muster

Wichtige Trends dieser Woche

🎯 KI-Infrastruktur unter Beschuss: Langflow wird aktiv ausgenutzt (CVE-2026-33017), LangChain/LangGraph-Schwachstellen legen Unternehmensdaten offen, und Supply-Chain-Angriffe zielen auf KI-Toolchains ab. Organisationen, die mit KI-Frameworks arbeiten, sind jetzt bevorzugte Ziele.

🔗 Industrialisierung der Supply Chain: TeamPCP repräsentiert eine neue Klasse von Bedrohungsakteuren, die bekannte Angriffstechniken in Cloud-Maßstab „industrialisieren". Ihr Schwenk von finanzieller Erpressung zu geopolitischen Wipern (CanisterWorm gegen den Iran) zeigt das Eskalationspotenzial von Supply-Chain-Kompromittierungen.

📡 Telekommunikation als Spionageplattform: Red Menshens jahrelange Einbettung in Telekommunikations-Backbone-Infrastruktur bestätigt, dass nationalstaatliche Akteure Telekommunikationsanbieter weiterhin als strategische Punkte für Nachrichtengewinnung betrachten.

🛡️ Post-Quanten-Wettrüsten: Dell, HP und Google setzen Zeitpläne für quantenresistente Sicherheit und signalisieren damit, dass die Branche von der Forschungs- in die Einsatzphase übergeht.

🤖 IoT-Botnet-Katz-und-Maus-Spiel: Trotz der Abschaltung von vier großen Botnets (über 3 Mio. Geräte) bleibt das grundlegende Problem exponierter IoT-Geräte ungelöst.