Verdächtiger nach Cyberangriff auf das französische Innenministerium festgenommen

Französische Behörden haben einen 22-jährigen Mann im Zusammenhang mit einem Cyberangriff auf das französische Innenministerium festgenommen. Die Festnahme erfolgte nach einer Untersuchung der Cybercrime-Einheit der Pariser Staatsanwaltschaft am 17. Dezember 2025 und betrifft den unbefugten Zugriff auf interne E-Mail-Systeme und Dokumentenserver des Ministeriums.
Nach Angaben des Innenministeriums ist der Verdächtige, geboren 2003, der Justiz bereits bekannt und wurde Anfang 2025 wegen ähnlicher Cyberdelikte verurteilt. Er wird wegen unbefugten Zugriffs auf ein staatliches automatisiertes Datenverarbeitungssystem untersucht, eine Straftat, die mit bis zu zehn Jahren Haft geahndet werden kann.
Der Vorfall wurde in der Nacht vom 11. auf den 12. Dezember entdeckt und führte zu unbefugtem Zugriff auf interne Dateien, darunter Strafregister. Innenminister Laurent Nuñez bezeichnete den Vorfall als ernst und erklärte, dass zwar keine großangelegte Datenabziehung bestätigt sei, das volle Ausmaß der Kompromittierung jedoch weiterhin unklar bleibe.
Das französische Amt zur Bekämpfung von Cyberkriminalität leitet die Ermittlungen. Weitere Informationen werden nach Ende des Polizeigewahrsams erwartet.

Cisco warnt vor aktiv ausgenutzter AsyncOS-Zero-Day-Schwachstelle

Cisco hat Kunden vor einer Zero-Day-Schwachstelle mit höchster Kritikalität in Cisco AsyncOS gewarnt, die aktiv ausgenutzt wird. Die Schwachstelle, geführt als CVE-2025-20393, betrifft Secure Email Gateway (SEG)- und Secure Email and Web Manager (SEWM)-Appliances mit nicht standardmäßigen Konfigurationen, wenn die Funktion Spam Quarantine aktiviert und aus dem Internet erreichbar ist. Zum Zeitpunkt der Veröffentlichung steht noch kein Patch zur Verfügung.
Cisco Talos schreibt die Angriffe mit moderater Sicherheit einem China-nahen Bedrohungsakteur zu, der als UAT-9686 verfolgt wird. Die Gruppe nutzt die Schwachstelle, um beliebige Befehle mit Root-Rechten auszuführen, persistente AquaShell-Backdoors zu installieren, Reverse-SSH-Tunnel über AquaTunnel und Chisel aufzubauen und forensische Spuren mit einem Log-Löschwerkzeug namens AquaPurge zu entfernen. Die Kampagne ist mindestens seit Ende November 2025 aktiv.
Cisco empfiehlt Administratoren, die Internet-Exponierung zu begrenzen, Zugriffskontrollen zu verschärfen, Protokolle engmaschig zu überwachen und den TAC zu kontaktieren, um eine mögliche Kompromittierung zu prüfen. In einigen Fällen kann ein Neuaufbau der betroffenen Appliances erforderlich sein, um Persistenz vollständig zu entfernen.

Ransomware-Gruppe nutzt React2Shell-Schwachstelle innerhalb von Sekunden aus

Eine Ransomware-Gruppe wurde dabei beobachtet, wie sie die kritische React2Shell-Schwachstelle (CVE-2025-55182) ausnutzt, um initialen Zugriff auf Unternehmensnetzwerke zu erlangen und dateiverschlüsselnde Malware in weniger als einer Minute zu verteilen. React2Shell ist eine unsichere Deserialisierungs-Schwachstelle im Flight-Protokoll der React Server Components, das von React und Next.js genutzt wird, und ermöglicht unauthentifizierte Remote-Code-Ausführung auf verwundbaren Servern.
Forscher von S-RM bestätigten, dass die Schwachstelle am 5. Dezember zur Auslieferung der Weaxor-Ransomware genutzt wurde. Kurz nach der Ausnutzung führten die Angreifer einen verschleierten PowerShell-Befehl aus, um einen Cobalt-Strike-Beacon zu installieren, deaktivierten den Echtzeitschutz von Windows Defender und starteten die Ransomware-Nutzlast. Der gesamte Ablauf dauerte weniger als 60 Sekunden.
Weaxor, vermutlich ein Rebranding der Mallox-Operation, konzentriert sich auf opportunistische Angriffe gegen öffentlich exponierte Systeme und fordert vergleichsweise niedrige Lösegeldsummen. S-RM warnt, dass reines Patchen nicht ausreicht, und empfiehlt Organisationen, Logs und EDR-Telemetrie auf Anzeichen einer Ausnutzung zu prüfen.

SoundCloud bestätigt schwerwiegende Datenpanne mit 28 Millionen betroffenen Nutzern

SoundCloud hat einen Cyberangriff bestätigt, bei dem Daten von rund 28 Millionen Nutzerkonten offengelegt wurden, etwa 20 Prozent der weltweiten Nutzerbasis. Die Datenpanne wurde entdeckt, nachdem unbefugte Aktivitäten in einem internen Service-Dashboard festgestellt worden waren. Zwar wurden weder Passwörter noch Finanzdaten kompromittiert, jedoch erhielten Angreifer Zugriff auf E-Mail-Adressen in Kombination mit öffentlich sichtbaren Profilinformationen, was das Risiko gezielter Phishing-Kampagnen erhöht.
Der Angriff wird der bekannten Datenerpressungsgruppe ShinyHunters zugeschrieben, die bereits mit anderen hochkarätigen Vorfällen in Verbindung gebracht wurde. SoundCloud erklärte, dass ein sekundäres internes System betroffen war und nicht die Kernplattform, wodurch Angreifer stärkere Schutzmechanismen umgehen konnten.
Als Reaktion führte SoundCloud Notfall-Sicherheitsmaßnahmen ein, die zu vorübergehenden Störungen und Problemen beim VPN-Zugriff in mehreren Ländern führten. Das Unternehmen hat inzwischen Überwachung und Zugriffskontrollen verstärkt und Nutzer aufgefordert, Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren.
Der Vorfall unterstreicht den zunehmenden Fokus von Angreifern auf großangelegten Datendiebstahl als Vorbereitung für Social-Engineering-Angriffe.

Kimwolf-Botnetz nutzt 1,8 Millionen Android-Geräte

Forscher von QiAnXin XLab haben ein neues, groß angelegtes DDoS-Botnetz namens Kimwolf entdeckt, das schätzungsweise 1,8 Millionen Android-basierte Fernseher, Set-Top-Boxen und Tablets weltweit kompromittiert hat. Das Botnetz ist mindestens seit Oktober 2025 aktiv und kann großflächige DDoS-Angriffe ausführen sowie Proxy-Weiterleitung, Reverse-Shell-Zugriff und Dateiverwaltung bereitstellen.
Zwischen dem 19. und 22. November gab Kimwolf schätzungsweise 1,7 Milliarden Angriffs-Kommandos aus und brachte damit kurzzeitig eine seiner Command-and-Control-Domains an die Spitze der von Cloudflare am häufigsten abgefragten Domains. Die Infektionen konzentrieren sich auf Länder wie Brasilien, Indien, die USA, Südafrika und die Philippinen, wobei Smart-TV-Boxen als primäre Ziele identifiziert wurden.
XLab geht davon aus, dass Kimwolf mit dem berüchtigten AISURU-Botnetz verbunden ist. Gemeinsame Infrastruktur und Code deuten darauf hin, dass beide zum selben Bedrohungsakteur gehören. Neuere Varianten setzen auf Techniken auf Basis des Ethereum Name Service, um Abschaltungen zu umgehen, was die wachsende Widerstandsfähigkeit und Größe moderner, auf IoT ausgerichteter Botnetze verdeutlicht.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.