Am 14. April 2026 veröffentlicht Microsoft seinen monatlichen Sicherheits-Update-Zyklus. Dieser Patch Tuesday verdient die direkte Aufmerksamkeit jedes Patch-Management-Teams und jedes Operations-Teams, das Windows-Infrastruktur betreibt. Der maximale Schweregrad ist kritisch. Die primäre Auswirkung ist Remote Code Execution. Die betroffene Angriffsfläche umfasst gleichzeitig die am weitesten verbreiteten Plattformen in Unternehmensumgebungen: alle aktiven Windows-11-Versionen, die gesamte noch unterstützte Windows-Server-Reihe von 2016 bis 2025, Remote Desktop Services, Microsoft Office und die .NET-Laufzeitumgebung. Dreizehn Produktfamilien werden in diesem Zyklus in drei Deployment-Prioritätsstufen adressiert.

Sieben Familien sind als Priorität eins eingestuft — sofortige Bereitstellung. Windows 11, alle aktiven Versionen — 23H2, 24H2, 25H2 und 26H1 — erhalten kritische Patches mit Remote-Code-Execution-Auswirkung. Windows Server 2025, 2022, 2019 und 2016 folgen demselben Muster: alle als kritisch eingestuft, alle mit Remote-Code-Execution-Auswirkung, alle Priorität eins. Remote Desktop Services landen ebenfalls bei kritischem Schweregrad mit Remote-Code-Execution-Auswirkung und verdienen besondere Aufmerksamkeit über das Standard-Priorität-eins-Label hinaus. Die Ausnutzungshistorie von RDS-Schwachstellen ist gut dokumentiert — BlueKeep und DejaBlue im Jahr 2019, beide wurmfähig, beide innerhalb von Wochen nach der Offenlegung aktiv ausgenutzt. Jede Einheit, die RDS über das Internet oder über VPN-Konzentratoren exponiert, sollte diese Komponente als dringlichstes Element in diesem Zyklus behandeln. Microsoft Office ist Priorität eins mit kritischem Schweregrad — der Exploit-Vektor ist konsistent Phishing, der dominante initiale Zugangsvektors in Kampagnen gegen den Finanzsektor. Der .NET- und .NET-Framework-Eintrag ist kritisch mit Denial-of-Service-Auswirkung: eine kritisch bewertete Schwachstelle in .NET kann jede Anwendung oder jeden Webdienst, der auf diesen Laufzeitumgebungen läuft, zum Absturz bringen oder unverfügbar machen — ein direktes Verfügbarkeitsrisiko, das remote ausgelöst werden kann.

Drei Familien sind Priorität zwei — Bereitstellung innerhalb von sieben Tagen: SQL Server mit wichtigem Schweregrad und Remote-Code-Execution-Auswirkung, SharePoint mit wichtigem Schweregrad und Spoofing-Auswirkung sowie Azure-Komponenten mit wichtigem Schweregrad und Elevation-of-Privilege-Auswirkung. Drei Familien sind Priorität drei — Standardzyklus: Visual Studio, Dynamics 365 und System Center, alle als wichtig eingestuft.

Darüber hinaus führt dieser April-Zyklus eine Änderung der Kernel-Treiber-Vertrauensdurchsetzung für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 ein: Systeme werden Legacy-cross-signierte Treiber nicht länger als pauschalen Vertrauenspfad behandeln. Umgebungen mit Abhängigkeiten von älteren nicht signierten Treiber-Binärdateien sollten ihr Treiber-Inventar vor der Bereitstellung überprüfen. Alle Windows-11- und Windows-Server-Updates in diesem Zyklus sind kumulativ. Die detaillierte CVE-Offenlegung und CVSS-Scores werden ab dem 14. April im Microsoft Security Response Center verfügbar sein.

Quellen

• Help Net Security – April 2026 Patch Tuesday forecast: spring cleaning of a preview : https://www.helpnetsecurity.com/2026/04/10/april-2026-patch-tuesday-forecast/
• Zecurit – Patch Tuesday April 2026: security updates and CVE analysis : https://zecurit.com/endpoint-management/patch-tuesday/
• Microsoft Security Response Center – Security Update Guide : https://msrc.microsoft.com/update-guide/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 7. April 2026 veröffentlichte Gen Threat Labs, die Forschungsabteilung von Gen Digital, eine detaillierte technische Analyse von Remus, einem neuen 64-Bit-Infostealer, der der Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit Remus wurden seit Februar 2026 beobachtet — unmittelbar nach einer Doxxing-Kampagne zwischen August und Oktober 2025, die die mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma — beide Familien koexistieren derzeit in freier Wildbahn — sondern eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork oder einer Rebranding-Operation hervorgegangen ist, die während der Phase maximalen externen Drucks auf die ursprüngliche Gruppe eingeleitet wurde.

Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich auf sechs technische Indikatoren, die eine Codebasis-Kontinuität belegen. Der markanteste ist der Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl Lumma als auch Remus injizieren einen kompakten Shellcode in den Browserprozess, um den v20_master_key direkt im Speicher zu lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des Browsers heraus aufzurufen. Der Unterschied zwischen beiden Implementierungen beträgt elf Bytes — 51 Bytes bei Remus gegenüber 62 bei Lumma. Dieses Niveau an Implementierungsparallelismus ist nicht zufällig. Weitere gemeinsame Indikatoren umfassen nahezu identische String-Verschleierung über Stack-Assembly und MBA-verstärkte Entschlüsselungsschleifen, direkten Syscall-Dispatch über Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über NtRaiseHardError sowie überlappende Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am 16. September 2025 — auf dem Höhepunkt der Störungsperiode — die sowohl einen Steam-Dead-Drop-Resolver aus bestätigten Lumma-Samples als auch Artefakte enthalten, die ausschließlich Remus zuzuordnen sind.

Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von Steam- und Telegram-Dead-Drop-Resolvern zugunsten von EtherHiding. Zur Laufzeit sendet Remus eine JSON-RPC-eth_call-Anfrage an eine hartkodierte Ethereum-Smart-Contract-Adresse über einen öffentlichen RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten Antwort. Die dezentralisierte und unveränderliche Natur der Blockchain macht diese Infrastruktur effektiv resistent gegen traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein: Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen gegen elf bekannte Sandbox-DLL-Hashes sowie Honeypot-PST-Erkennung über die Enumeration eines spezifischen Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an, terminiert die Binärdatei lautlos über ExitProcess null.

Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an öffentliche Ethereum-Endpunkte, die von Workstations ausgehen — anomales Verhalten mit einer sehr geringen Falschpositivrate. Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime veröffentlichten Remus-spezifischen Erkennungsregeln für direkten Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte. Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking als Lumma-Erkennungssignal verwendet hat, sollte diese Kontrollmaßnahme als veraltet betrachten.

Quellen

• Gen Digital – Remus: Unmasking the 64-bit variant of the infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer
• GBHackers – Remus infostealer debuts with stealthy new credential-theft tactics : https://gbhackers.com/remus-infostealer-debuts/
• CyberPress – Remus infostealer emerges with credential theft and advanced evasion tricks : https://cyberpress.org/remus-infostealer-emerges-fast/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Seit Februar 2026 führt eine neue Ransomware-Gruppe unter dem Namen Payload aktive Double-Extortion-Kampagnen gegen Organisationen aus verschiedenen Sektoren und Regionen durch. In weniger als zwei Monaten beobachteter Aktivität hat die Gruppe sechsundzwanzig Opfer in sieben Ländern gemeldet, 2.603 Gigabyte exfiltrierter Daten deklariert und ein technisches Niveau demonstriert, das sie weit über opportunistische Ransomware-Operationen hinaushebt. Die Kombination aus ESXi-spezifischer Verschlüsselungslogik, ETW-Patching und einer von Beginn an voll funktionsfähigen Tor-basierten Infrastruktur deutet entweder auf erfahrene Betreiber oder auf Zugang zu einem ausgereiften Toolkit hin.

Payload betreibt zwei verschiedene Binärdateien, die ein gemeinsames kryptographisches Schema verwenden: Curve25519 ECDH kombiniert mit ChaCha20 für die Schlüsselgenerierung pro Datei. Die ESXi-Variante ist eine Linux-ELF64-Binärdatei von etwa 39.904 Bytes. Strings sind RC4-verschleiert mit dem Drei-Byte-Schlüssel FBI. Vor jeder Verschlüsselungsaktivität führt die Binärdatei eine Anti-Debug-Prüfung über /proc/self/status durch und analysiert dann VMwares vmInventory.xml, um alle Datastores und VMDK-Pfade zu enumerieren. Virtuelle Maschinen werden über vim-cmd ausgeschaltet, bevor die Verschlüsselung beginnt. Thread-Pool-Worker tragen den Namen FBIthread-pool — ein forensisches Artefakt, das in der Standardprozessauflistung sichtbar ist. Die Lösegeldforderung ersetzt die ESXi-Webverwaltungsschnittstelle unter /usr/lib/vmware/hostd/docroot/ui/welcome.txt.

Die Windows-Variante, kompiliert am 17. Februar 2026, leitet sich aus der Babuk-Codebasis ab, die im September 2021 geleakt wurde, wobei HC-128 durch ChaCha20 ersetzt und erhebliche Anti-Forensik-Ergänzungen vorgenommen wurden. Zu den wichtigsten Fähigkeiten gehört das ETW-Patching von vier ntdll.dll-Funktionen — EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer und EtwRegister — wodurch EDR-Lösungen, die auf ETW-Telemetrie angewiesen sind, lautlos geblendet werden. Der Mutex MakeAmericaGreatAgain ist ein zuverlässiger Betreiber-Fingerabdruck. Die Binärdatei beendet vierunddreißig Dienste, darunter Veeam, Acronis, BackupExec, Symantec und Sophos, löscht Windows-Ereignisprotokolle, entfernt Schattenkopien und löscht sich selbst über einen NTFS Alternate Data Stream, ohne einen Child-Prozess zu erzeugen.

Zur Erkennung: Einsatz der von Abdullah Islam veröffentlichten YARA-Regel für die ESXi-Variante. Überwachung auf den Mutex MakeAmericaGreatAgain, die Erweiterung .payload und ETW-Funktionspatches in ntdll.dll. Jeder EDR-Stack, der ausschließlich auf ETW-basierter Telemetrie beruht, sollte umgehend überprüft werden. ESXi-Management-Schnittstellen müssen hinter einem dedizierten Management-VLAN betrieben werden. Unveränderlicher oder air-gapped Backup-Speicher bleibt der einzig zuverlässige Wiederherstellungspfad, wenn die Verschlüsselung vor der Erkennung abgeschlossen wird.

Quellen

• GBHackers – Payload ransomware hits Windows and ESXi with Babuk-style encryption : https://gbhackers.com/payload-ransomware/
• CyberSecurityNews – New Payload ransomware uses Babuk-style encryption against Windows and ESXi systems : https://cybersecuritynews.com/new-payload-ransomware-uses-babuk-style-encryption/
• CyberPress – Payload hits Windows and ESXi : https://cyberpress.org/payload-hits-windows-esxi/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

In dieser Folge wurde ein einziges Modell für künstliche Intelligenz zum Gegenstand eines Notfalltreffens zwischen dem US-Finanzministerium, der Federal Reserve und den CEOs der größten systemrelevanten Finanzinstitute Amerikas. Dieses Modell ist Claude Mythos Preview, entwickelt von Anthropic. Dies ist das erste Mal in der amerikanischen Finanzgeschichte, dass Fähigkeiten eines KI-Grenzmodells auf dieser regulatorischen Ebene als systemisches Risikoereignis behandelt wurden und nicht als sektorales Technologieproblem.

Anthropic beschränkte den Zugang zu Mythos auf rund vierzig Partnerorganisationen im Rahmen von Project Glasswing — darunter Microsoft, Google, Apple und Amazon — mit der Begründung, das Risiko einer großflächigen Ausnutzung kritischer Schwachstellen zu minimieren. Zu den dokumentierten Fähigkeiten des Modells gehören die autonome Identifizierung und Ausnutzung von Schwachstellen in allen gängigen Betriebssystemen und Browsern, die Erstellung von Payloads in Echtzeit sowie die Generierung funktionaler Exploits ohne menschliche Anleitung. Gleichzeitig ist Anthropic in einen Rechtsstreit mit dem Pentagon verwickelt, das die Organisation als Lieferkettenrisiko eingestuft hat.

Im Zusammenhang mit Mythos wurden sechs Risikovektoren identifiziert: Zero-Day-Exploitation mit kritischer Einstufung, systemisches SIFI-Risiko mit kritischer Einstufung, algorithmische Konvergenz mit hoher Einstufung, DeFi- und Smart-Contract-Infrastrukturexposition mit hoher Einstufung, Kundendatenexfiltration mit hoher Einstufung sowie Störung des Cyber-Versicherungsportfolios mit mittlerer Einstufung. Für Sicherheitsteams liegt die operative Schlussfolgerung auf der Hand: Das traditionelle Fenster von achtundvierzig bis zweiundsiebzig Stunden zwischen CVE-Veröffentlichung und Weaponization ist nicht mehr der relevante Bedrohungszeitraum, wenn autonome Exploit-Generierung diesen Zyklus auf Minuten verkürzt.

Quellen

• CNBC – Powell and Bessent convened Wall Street CEOs on Anthropic Mythos cyber risk : https://www.cnbc.com/2026/04/10/powell-bessent-us-bank-ceos-anthropic-mythos-ai-cyber.html
• Fortune – Bessent and Powell convened Wall Street leaders in an emergency meeting on Claude Mythos Preview : https://fortune.com/2026/04/10/bessent-powell-anthropic-mythos-ai-model-cyber-risk/
• Euronews – Why Anthropic's most powerful AI model Mythos Preview is too dangerous for public release : https://www.euronews.com/next/2026/04/08/why-anthropics-most-powerful-ai-model-mythos-preview-is-too-dangerous-for-public-release

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Willkommen zu dieser Sonderausgabe von RadioCSIRT ⚡️

🤖 Claude-4.6-Familie — Analyse aus der Cybersicherheitsperspektive Claude Opus 4.6, Sonnet 4.6 und Haiku 4.5 teilen ein Kontextfenster von bis zu einer Million Tokens, multimodalen Text-/Bildunterstützung und Extended-Thinking-Fähigkeiten. Direkte Auswirkungen für SOC-Teams: vollständige Analyse von Code-Repositories, massive IOC-Korrelation, Rekonstruktion von Angriffsketten — aber auch eine erhebliche Senkung der Einstiegshürde für die Produktion hochwertiger offensiver Artefakte.

🔓 Wirtschaftliche Asymmetrie der Bedrohung Zu fünf Dollar pro Million Tokens macht Claude Opus 4.6 analytisches Reasoning auf Expertenniveau für ein breites Spektrum von Akteuren zugänglich, das bisher kostspielige menschliche Expertise erforderte. Das Fenster zwischen CVE-Veröffentlichung und Exploit-Verfügbarkeit komprimiert sich. LLM-generierte Phishing-Köder weisen keine traditionell erkennbaren sprachlichen Marker mehr auf.

🔬 Projekt Glasswing — Eingeschränkter Zugang Anthropic hat Claude Mythos Preview in einem auf etwa vierzig Partnerorganisationen (Microsoft, Google, Amazon bestätigt) beschränkten Zugangssystem gestartet, nur auf Einladung, nach vorheriger Konsultation mit US-Behörden. Die Europäische Kommission unterstützte diese Einschränkung öffentlich.

⚠️ Claude Mythos Preview — Dokumentierte Fähigkeiten Das Modell ist in der Lage, autonom Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern zu identifizieren und auszunutzen sowie in Echtzeit anspruchsvolle Payloads und Exploits zu geringen Kosten zu konstruieren. Am 7. April 2026 beriefen Finanzminister Scott Bessent und Jerome Powell ein Notfalltreffen mit den CEOs der wichtigsten US-Banken ein (Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Wells Fargo) — das erste Treffen dieser Ebene, das durch die Fähigkeiten eines einzigen KI-Modells motiviert wurde.

🎯 Identifizierte Risikovektoren Sechs Dimensionen in dieser Folge: Zero-Day-Exploitation, systemisches SIFI-Risiko, algorithmische Konvergenz, DeFi/Smart-Contract-Exposition, Kundendatenexfiltration, Auswirkungen auf Cyber-Versicherungsportfolios.

⚖️ Regulatorischer und rechtlicher Kontext Anthropic befindet sich in einem aktiven Rechtsstreit mit dem Pentagon, das die Organisation als Supply-Chain-Risiko eingestuft hat. Die vierzig Glasswing-Partner stellen eine neue indirekte Angriffsfläche dar. KI-Verordnung, DORA und ENISA-Leitlinien schaffen einen Compliance-Rahmen, der jetzt für LLM-Deployments in Hochrisikokontexten gilt.

🛡️ Dokumentierte defensive Anwendungsfälle Automatische Generierung von YARA/Sigma-Regeln, Alert-Anreicherung, forensische Analyse im großen Maßstab, assistierte Bedrohungsmodellierung, Adversary-Simulation — dieselben Fähigkeiten dienen beiden Seiten. LLMs bleiben analytische Augmentationswerkzeuge: die menschliche Verifikation bei operativen Outputs mit hohem Einfluss bleibt obligatorisch.

🔗 Quellen

• Projekt Glasswing — Anthropic: https://www.anthropic.com/glasswing
• Claude-Modelle — Übersicht und Preise: https://platform.claude.com/docs/en/about-claude/models/overview

⚡️ Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

#RadioCSIRT #Cybersicherheit #LLM #Claude #Anthropic #Glasswing #Mythos #ThreatIntelligence #SOC #CERT #CISO #KI #CyberSecurity #ProjectGlasswing #ZeroDay #SIFI

Diese Ausgabe bietet einen umfassenden Überblick über die wichtigsten Cyberentwicklungen der vergangenen Wochen.

Wir beginnen mit den Olympischen Winterspielen in Milano Cortina, die Ziel einer Welle russlandzugeschriebener Cyberangriffe wurden. Diplomatische Einrichtungen und olympische Infrastrukturen waren betroffen, während regulatorische Spannungen sogar die Schutzmaßnahmen von Cloudflare beeinflussten.

In Frankreich wurde eine verdeckte Abhörstation in Gironde aufgedeckt. Zwei chinesische Staatsangehörige betrieben von einer Airbnb-Unterkunft aus ein System zum Abfangen von Starlink-Kommunikation und militärischen Frequenzen.

Im Bereich kritischer Infrastrukturen standen Cisco Catalyst SD-WAN-Systeme im Zentrum aktiver Ausnutzung. Die cisa veröffentlichte die Emergency Directive 26-03, ergänzt durch Einträge im Known Exploited Vulnerabilities Catalog. certfr bestätigte die laufende Ausnutzung.

Auf Malware-Ebene dokumentierten mehrere Berichte gezielte Angriffe gegen Router, Entwickler und Unternehmensnetzwerke. Dazu zählen das DKnife-Framework, die Dohdoor-Backdoor, Arkanix Stealer sowie Supply-Chain-Kampagnen im npm-Ökosystem.

Entwicklerplattformen bleiben ein zentrales Angriffsziel. Gefälschte Next.js-Repositories, Typosquatting-Kampagnen wie SANDWORM_MODE und Prompt-Injection-Techniken gegen KI-Coding-Assistenten verdeutlichen die zunehmende Komplexität moderner Supply-Chain-Angriffe.

Im Phishing-Sektor zeigte die Starkiller-Plattform, wie Reverse-Proxy-Techniken Multi-Faktor-Authentifizierung effektiv umgehen können.

Kritische Schwachstellen betrafen zudem KI-Entwicklungsumgebungen wie Claude Code von Anthropic, industrielle Steuerungssysteme, Fortinet-Produkte, SAP sowie zahlreiche weitere Plattformen.

Parallel dazu dokumentierten Strafverfolgungsbehörden erfolgreiche Maßnahmen, darunter die Zerschlagung eines betrügerischen Callcenters durch Eurojust.

Auch das Linux-Ökosystem entwickelte sich weiter: Linux 7.0 erreichte den Release-Candidate-Status.

Die Quellen der Episode sind hier verfügbar: https://www.radiocsirt.com/de/podcast/ihre-cybersecurity-news-vom-samstag-28-februar-2026-episode-71/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/