Hallo liebe Leserinnen und Leser meines Blogs! In einer Welt, in der Cyberbedrohungen täglich evolieren, ist es essenziell, auf dem Laufenden zu bleiben. Diese Woche, Ende Januar bis Anfang Februar 2026, hat wieder eine Fülle an Entwicklungen in der Cybersecurity-Landschaft gebracht. Basierend auf aktuellen Berichten fasse ich die wichtigsten Ereignisse zusammen – von der Störung großer Proxy-Netzwerke über ausgenutzte Schwachstellen in gängiger Software bis hin zu neuen Angriffsmethoden, die KI und Cloud-Dienste betreffen. Dieser Beitrag soll euch nicht nur informieren, sondern auch Tipps geben, wie ihr euch schützen könnt. Lasst uns eintauchen!

Cyberangriffe werden immer raffinierter, und Verteidiger müssen Schritt halten. In dieser wöchentlichen Zusammenfassung beleuchten wir, wie Angreifer Netzwerke missbrauchen, Schwachstellen ausnutzen und neue Techniken entwickeln. Besonders hervorzuheben sind Störungen von Infrastrukturen durch Tech-Giganten wie Google, Patches für kritische Lücken in Microsoft- und Ivanti-Produkten sowie Angriffe auf Energieinfrastrukturen und KI-Systeme. Die Botschaft ist klar: Frühes Patchen, sichere Konfigurationen und Bewusstsein für Misconfigurations sind der Schlüssel zur Resilienz.

Eine der prominentesten Nachrichten dieser Woche ist die erfolgreiche Störung des IPIDEA-Netzwerks durch Google. IPIDEA war ein riesiges Residential-Proxy-Netzwerk, das Geräte von Nutzern als Proxys für Cyberangriffe missbrauchte. Solche Netzwerke tarnen schädlichen Traffic, indem sie ihn über echte IPs von Privatnutzern leiten – hauptsächlich aus den USA, Kanada und Europa. Das Problem: Betroffene Geräte werden nicht nur als Proxys genutzt, sondern sind auch anfällig für weitere Angriffe.

Google hat Domains für Command-and-Control (C2)-Server übernommen oder umgeleitet, was zu einem Verlust von Millionen Geräten im Netzwerk führte. Oft wird die Proxy-Software vorinstalliert oder von Nutzern freiwillig hinzugefügt, um Bandbreite zu monetarisieren. Die Betreiber verkaufen dann Zugang zu diesen Proxys, die mit Marken wie VPNs verknüpft sind. Schlimmer noch: SDKs, die als Monetarisierungstools beworben werden, verwandeln Geräte heimlich in Proxy-Knoten. IPIDEA wurde seit Anfang 2024 mit Brute-Force-Angriffen auf VPN- und SSH-Dienste in Verbindung gebracht. Device and Browser Info hat eine Liste von IPIDEA-verknüpften Exit-IPs veröffentlicht – ein wertvolles Tool für Admins, um Traffic zu blocken.

Tipp für euch: Überprüft eure Geräte auf unbekannte Apps oder SDKs. Nutzt Firewalls, um ausgehenden Traffic zu monitoren, und vermeidet "kostenlose" Monetarisierungsangebote, die eure Privatsphäre gefährden.

Microsoft hat außerplanmäßig Patches für CVE-2026-21509 veröffentlicht, eine hochriskante Sicherheitslücke (CVSS-Score 7.8) in Microsoft Office. Diese ermöglicht es Angreifern, OLE-Mitigations in Microsoft 365 und Office zu umgehen, die vor unsicheren COM/OLE-Kontrollen schützen sollen. Details zu den Angriffen wurden nicht preisgegeben, aber es ist klar: Solche Lücken öffnen Türen für Malware über unzuverlässige Eingaben.

Empfehlung: Aktualisiert eure Office-Versionen sofort! Automatische Updates aktivieren und misstrauische Dokumente nur in geschützten Views öffnen.

Ivanti hat Updates für CVE-2026-1281 und CVE-2026-1340 in Ivanti Endpoint Manager Mobile (EPMM) herausgebracht. Diese Code-Injection-Schwachstellen erlauben unauthentifizierten Remote-Code-Execution. Nur wenige Kunden waren bei der Offenlegung betroffen, aber ein Proof-of-Concept-Exploit war bereits am 30. Januar 2026 öffentlich. Ein kompromittierter EPMM-Server birgt Risiken für personenbezogene Daten wie Namen, E-Mails, Telefonnummern, GPS-Daten und Geräte-IDs.

Schutzmaßnahme: Patchen ist Pflicht. Nutzt Vulnerability-Scanner und segmentiert Netzwerke, um den Schaden bei Kompromittierungen zu begrenzen.

Am 29. Dezember 2025 trafen destruktive Angriffe über 30 Wind- und Solarfarmen, ein Produktionsunternehmen und ein Kraftwerk, das fast 500.000 Kunden versorgt. CERT Polska schreibt dies Static Tundra zu (auch bekannt als Berserk Bear oder Blue Kraken), einer Gruppe mit Verbindungen zum russischen FSB-Zentrum 16. Es gibt moderate Verbindungen zu Sandworm. Die Angreifer zeigten tiefes Wissen über elektrische Netze, benutzerdefinierte Malware und Exploits in OT/IT-Systemen.

Lektion: Staaten müssen kritische Infrastrukturen schützen. Implementiert Zero-Trust-Modelle und regelmäßige Penetrationstests.

In der Operation Bizarre Bazaar werden exponierte Large Language Models (LLMs) und MCP-Endpunkte gekapert, um Ressourcen zu stehlen, APIs weiterzuverkaufen, Daten zu exfiltrieren oder lateral zu bewegen. Betroffen sind selbstgehostete LLMs wie Ollama oder vLLM. Häufige Fehlkonfigurationen: Ollama auf Port 11434 ohne Authentifizierung oder ungeschützte OpenAI-APIs. Zugänge werden auf Plattformen wie silver.inc verkauft.

Verteidigung: Sichert eure KI-Endpoints mit Authentifizierung, Firewalls und Monitoring. Regelmäßige Audits verhindern Kostenexplosionen durch Missbrauch.

Seit 2023 setzen china-nahe Gruppen PeckBirdy ein, ein JScript-basiertes C2-Framework für Spionage. Es zielt auf Glücksspielseiten und Regierungsstellen ab, läuft in Browsern, MSHTA, WScript und mehr, mit modularen Backdoors.

Diese Woche dominieren CVEs wie CVE-2026-24423 in SmarterMail, die Ivanti-Lücken, SolarWinds-Flaws und viele mehr. Angreifer nutzen sie schnell – von RCE in Fortinet-Produkten bis zu DoS in Google Chrome. Eine vollständige Liste umfasst Produkte von NVIDIA, Johnson Controls und Samsung.

Allgemeiner Rat: Nutzt Tools wie Nessus für Scans und priorisiert Patches basierend auf CVSS-Scores. Frühes Handeln verhindert Exploits.

• Exponierter C2-Server enthüllt BYOB-Infrastruktur: Ein offenes Verzeichnis auf einem Server zeigte Payloads für Windows, Linux und macOS, inklusive Crypto-Mining.

• Phantom Enigma kehrt zurück: Phishing-Kampagnen zielen auf Brasilien ab, mit Credential-Theft via Chrome-Extensions.

• Ausnutzung von AWS-Credentials für Phishing: Kompromittierte Keys ermöglichen Spam via AWS WorkMail.

• Schädliche VS-Code-Extension: Liefert Stealer-Malware via EtherHiding.

• Adobe Commerce-Lücke ausgenutzt: CVE-2025-54236 kompromittiert 216 Sites.

• MongoDB-Server für Erpressung missbraucht: Über 100.000 exponierte Instanzen, Ransom-Demands um 0.005 BTC.

• Neue Unicode-Tricks: Umgehung von Filtern mit speziellen Zeichen.

• FBI's Winter SHIELD: 10 Maßnahmen zur Verbesserung der Cybersecurity, von MFA bis Backups.

• Studien und Settlements: Nur 26% der Angriffe werden blockiert; Google zahlt 68 Mio. USD für Datenschutzverletzungen.

Diese Woche zeigt wieder: Cyberbedrohungen sind allgegenwärtig und adaptiv. Von Proxy-Netzwerken über Zero-Days bis zu KI-Hijacks – kein System ist sicher. Folgt den Empfehlungen des FBI, patcht prompt und bildet euch weiter. Teilt eure Erfahrungen in den Kommentaren! Bis nächste Woche – stay safe online.

Hallo liebe Leserinnen und Leser meines Blogs! In einer Welt, in der Cyberbedrohungen täglich evolieren, ist es essenziell, auf dem Laufenden zu bleiben. Diese Woche, Ende Januar bis Anfang Februar 2026, hat wieder eine Fülle an Entwicklungen in der Cybersecurity-Landschaft gebracht. Basierend auf aktuellen Berichten fasse ich die wichtigsten Ereignisse zusammen – von der Störung großer Proxy-Netzwerke über ausgenutzte Schwachstellen in gängiger Software bis hin zu neuen Angriffsmethoden, die KI und Cloud-Dienste betreffen. Dieser Beitrag soll euch nicht nur informieren, sondern auch Tipps geben, wie ihr euch schützen könnt. Lasst uns eintauchen!

Cyberangriffe werden immer raffinierter, und Verteidiger müssen Schritt halten. In dieser wöchentlichen Zusammenfassung beleuchten wir, wie Angreifer Netzwerke missbrauchen, Schwachstellen ausnutzen und neue Techniken entwickeln. Besonders hervorzuheben sind Störungen von Infrastrukturen durch Tech-Giganten wie Google, Patches für kritische Lücken in Microsoft- und Ivanti-Produkten sowie Angriffe auf Energieinfrastrukturen und KI-Systeme. Die Botschaft ist klar: Frühes Patchen, sichere Konfigurationen und Bewusstsein für Misconfigurations sind der Schlüssel zur Resilienz.

Eine der prominentesten Nachrichten dieser Woche ist die erfolgreiche Störung des IPIDEA-Netzwerks durch Google. IPIDEA war ein riesiges Residential-Proxy-Netzwerk, das Geräte von Nutzern als Proxys für Cyberangriffe missbrauchte. Solche Netzwerke tarnen schädlichen Traffic, indem sie ihn über echte IPs von Privatnutzern leiten – hauptsächlich aus den USA, Kanada und Europa. Das Problem: Betroffene Geräte werden nicht nur als Proxys genutzt, sondern sind auch anfällig für weitere Angriffe.

Google hat Domains für Command-and-Control (C2)-Server übernommen oder umgeleitet, was zu einem Verlust von Millionen Geräten im Netzwerk führte. Oft wird die Proxy-Software vorinstalliert oder von Nutzern freiwillig hinzugefügt, um Bandbreite zu monetarisieren. Die Betreiber verkaufen dann Zugang zu diesen Proxys, die mit Marken wie VPNs verknüpft sind. Schlimmer noch: SDKs, die als Monetarisierungstools beworben werden, verwandeln Geräte heimlich in Proxy-Knoten. IPIDEA wurde seit Anfang 2024 mit Brute-Force-Angriffen auf VPN- und SSH-Dienste in Verbindung gebracht. Device and Browser Info hat eine Liste von IPIDEA-verknüpften Exit-IPs veröffentlicht – ein wertvolles Tool für Admins, um Traffic zu blocken.

Tipp für euch: Überprüft eure Geräte auf unbekannte Apps oder SDKs. Nutzt Firewalls, um ausgehenden Traffic zu monitoren, und vermeidet "kostenlose" Monetarisierungsangebote, die eure Privatsphäre gefährden.

Microsoft hat außerplanmäßig Patches für CVE-2026-21509 veröffentlicht, eine hochriskante Sicherheitslücke (CVSS-Score 7.8) in Microsoft Office. Diese ermöglicht es Angreifern, OLE-Mitigations in Microsoft 365 und Office zu umgehen, die vor unsicheren COM/OLE-Kontrollen schützen sollen. Details zu den Angriffen wurden nicht preisgegeben, aber es ist klar: Solche Lücken öffnen Türen für Malware über unzuverlässige Eingaben.

Empfehlung: Aktualisiert eure Office-Versionen sofort! Automatische Updates aktivieren und misstrauische Dokumente nur in geschützten Views öffnen.

Ivanti hat Updates für CVE-2026-1281 und CVE-2026-1340 in Ivanti Endpoint Manager Mobile (EPMM) herausgebracht. Diese Code-Injection-Schwachstellen erlauben unauthentifizierten Remote-Code-Execution. Nur wenige Kunden waren bei der Offenlegung betroffen, aber ein Proof-of-Concept-Exploit war bereits am 30. Januar 2026 öffentlich. Ein kompromittierter EPMM-Server birgt Risiken für personenbezogene Daten wie Namen, E-Mails, Telefonnummern, GPS-Daten und Geräte-IDs.

Schutzmaßnahme: Patchen ist Pflicht. Nutzt Vulnerability-Scanner und segmentiert Netzwerke, um den Schaden bei Kompromittierungen zu begrenzen.

Am 29. Dezember 2025 trafen destruktive Angriffe über 30 Wind- und Solarfarmen, ein Produktionsunternehmen und ein Kraftwerk, das fast 500.000 Kunden versorgt. CERT Polska schreibt dies Static Tundra zu (auch bekannt als Berserk Bear oder Blue Kraken), einer Gruppe mit Verbindungen zum russischen FSB-Zentrum 16. Es gibt moderate Verbindungen zu Sandworm. Die Angreifer zeigten tiefes Wissen über elektrische Netze, benutzerdefinierte Malware und Exploits in OT/IT-Systemen.

Lektion: Staaten müssen kritische Infrastrukturen schützen. Implementiert Zero-Trust-Modelle und regelmäßige Penetrationstests.

In der Operation Bizarre Bazaar werden exponierte Large Language Models (LLMs) und MCP-Endpunkte gekapert, um Ressourcen zu stehlen, APIs weiterzuverkaufen, Daten zu exfiltrieren oder lateral zu bewegen. Betroffen sind selbstgehostete LLMs wie Ollama oder vLLM. Häufige Fehlkonfigurationen: Ollama auf Port 11434 ohne Authentifizierung oder ungeschützte OpenAI-APIs. Zugänge werden auf Plattformen wie silver.inc verkauft.

Verteidigung: Sichert eure KI-Endpoints mit Authentifizierung, Firewalls und Monitoring. Regelmäßige Audits verhindern Kostenexplosionen durch Missbrauch.

Seit 2023 setzen china-nahe Gruppen PeckBirdy ein, ein JScript-basiertes C2-Framework für Spionage. Es zielt auf Glücksspielseiten und Regierungsstellen ab, läuft in Browsern, MSHTA, WScript und mehr, mit modularen Backdoors.

Diese Woche dominieren CVEs wie CVE-2026-24423 in SmarterMail, die Ivanti-Lücken, SolarWinds-Flaws und viele mehr. Angreifer nutzen sie schnell – von RCE in Fortinet-Produkten bis zu DoS in Google Chrome. Eine vollständige Liste umfasst Produkte von NVIDIA, Johnson Controls und Samsung.

Allgemeiner Rat: Nutzt Tools wie Nessus für Scans und priorisiert Patches basierend auf CVSS-Scores. Frühes Handeln verhindert Exploits.

• Exponierter C2-Server enthüllt BYOB-Infrastruktur: Ein offenes Verzeichnis auf einem Server zeigte Payloads für Windows, Linux und macOS, inklusive Crypto-Mining.

• Phantom Enigma kehrt zurück: Phishing-Kampagnen zielen auf Brasilien ab, mit Credential-Theft via Chrome-Extensions.

• Ausnutzung von AWS-Credentials für Phishing: Kompromittierte Keys ermöglichen Spam via AWS WorkMail.

• Schädliche VS-Code-Extension: Liefert Stealer-Malware via EtherHiding.

• Adobe Commerce-Lücke ausgenutzt: CVE-2025-54236 kompromittiert 216 Sites.

• MongoDB-Server für Erpressung missbraucht: Über 100.000 exponierte Instanzen, Ransom-Demands um 0.005 BTC.

• Neue Unicode-Tricks: Umgehung von Filtern mit speziellen Zeichen.

• FBI's Winter SHIELD: 10 Maßnahmen zur Verbesserung der Cybersecurity, von MFA bis Backups.

• Studien und Settlements: Nur 26% der Angriffe werden blockiert; Google zahlt 68 Mio. USD für Datenschutzverletzungen.

Diese Woche zeigt wieder: Cyberbedrohungen sind allgegenwärtig und adaptiv. Von Proxy-Netzwerken über Zero-Days bis zu KI-Hijacks – kein System ist sicher. Folgt den Empfehlungen des FBI, patcht prompt und bildet euch weiter. Teilt eure Erfahrungen in den Kommentaren! Bis nächste Woche – stay safe online.