FortiGate VPNs im Visier von hochautomatisierten KI-gesteuerten Cyberangriffen

Anfang Februar 2026 tauchte eine bedeutende Cyber-Bedrohung auf, nachdem Forscher eine Eindringlingskampagne aufgedeckt hatten, die umfangreiche Sprachmodelle tief in den Angriffslebenszyklus integrierte. Ein fehlkonfigurierter Server enthüllte eine automatisierte Pipeline, in der Bedrohungsakteure DeepSeek und Claude direkt in ihre Arbeitsabläufe einbetteten und damit über einfaches KI-gestütztes Phishing hinaus in eine vollständige Kill-Chain-Automatisierung übergingen.

Die Infrastruktur konzentrierte sich auf FortiGate SSL VPN-Appliances und nutzte gestohlene Konfigurationsdaten und Anmeldeinformationen, um sich Zugang zu verschaffen, interne Netzwerke abzubilden und hochwertige Anlagen zu identifizieren. Mithilfe von benutzerdefinierten Tools konnten die Betreiber Tausende von Zielen gleichzeitig bearbeiten, wobei nachweislich mehr als 2.500 Geräte in 106 Ländern parallel analysiert wurden.

Die Analysten beobachteten einen dualen Ansatz, bei dem DeepSeek für die strategische Planung und Claude für die Codeausführung und Schwachstellenbewertung eingesetzt wurde. Sobald der Zugriff erfolgt war, führte das System selbstständig Tools wie Impacket und Metasploit aus.

Die Ergebnisse unterstreichen die Dringlichkeit, Edge-Geräte zu patchen, den VPN-Zugang zu überprüfen und die Netzwerkaktivitäten genau zu überwachen, da KI-gesteuerte Angriffe weiterhin schnell zunehmen.

KI-gestützte Cyberangriffe nehmen zu, da Bedrohungsakteure ihre Kampagnen ausweiten

Laut dem Global Threat Report 2026 von CrowdStrike hat sich die Zahl der KI-gestützten Cyberangriffe im letzten Jahr fast verdoppelt. Der Bericht warnt vor einer 89-prozentigen Zunahme der Aktivitäten sogenannter "KI-gestützter Angreifer" im Jahr 2025, da Bedrohungsakteure zunehmend maschinelles Lernen und umfangreiche Sprachmodelle einsetzen, um bestehende Angriffstechniken zu optimieren.

Anstatt völlig neue Angriffsvektoren zu entwickeln, nutzen Angreifer KI, um bekannte Methoden effektiver und skalierbarer zu machen. Dazu gehören die Generierung überzeugenderer Phishing-E-Mails in mehreren Sprachen, die Beschleunigung der Erkundung und die Unterstützung von Desinformationskampagnen. CrowdStrike hebt Kampagnen hervor, die mit chinesischen Geheimdiensten und russischen Cyberkriminellen in Verbindung stehen und KI einsetzen, um die Glaubwürdigkeit und Reichweite von Social-Engineering-Operationen zu erhöhen.

Der Bericht verweist auch auf frühe Experimente mit KI-gestützter Malware-Entwicklung, einschließlich der Einbettung von LLM-Eingaben in Spionagetools. CrowdStrike geht davon aus, dass sich dieser Trend noch verstärken wird, und mahnt Unternehmen, ihre Identitätskontrollen, Sicherheitsschulungen und Threat-Intelligence-Fähigkeiten zu verstärken, da das KI-Wettrüsten zunimmt.

Cisco SD-WAN Zero-Day ausgenutzt, um bösartige Netzwerkpartner hinzuzufügen

Cisco hat eine dringende Warnung herausgegeben, nachdem bestätigt wurde, dass eine kritische Authentifizierungsumgehungsschwachstelle in Cisco Catalyst SD-WAN aktiv ausgenutzt wird. Die als CVE-2026-20127 bezeichnete und mit dem maximalen Schweregrad 10.0 bewertete Schwachstelle ermöglicht es Angreifern, SD-WAN-Controller zu kompromittieren und den betroffenen Netzwerken bösartige Rogue-Peers hinzuzufügen.

Die Schwachstelle betrifft Cisco Catalyst SD-WAN Controller- und Manager-Implementierungen, sowohl vor Ort als auch in Cloud-Umgebungen. Die Ausnutzung der Schwachstelle ermöglicht es Angreifern, sich als hochprivilegierter interner Benutzer zu authentifizieren, Netzwerkkonfigurationen zu manipulieren und möglicherweise über verschlüsselte Verbindungen tiefer in Unternehmensumgebungen einzudringen. Cisco Talos hat die Aktivitäten mit einem hochentwickelten Bedrohungsakteur in Verbindung gebracht, und es gibt Hinweise darauf, dass die Angriffe bereits mehrere Jahre zurückliegen könnten.

Als Reaktion darauf haben die US-amerikanischen und britischen Behörden koordinierte Empfehlungen herausgegeben, wobei das CISA eine sofortige Untersuchung und Patching in allen staatlichen Netzwerken anordnet. Den Unternehmen wird dringend empfohlen, die Protokolle zu überprüfen, nach nicht autorisierten Peering-Aktivitäten zu suchen und die Cisco-Updates unverzüglich einzuspielen, da es für diese Schwachstelle keine wirksamen Umgehungsmöglichkeiten gibt.

Fracht- und Logistikbranche in den USA und Europa Ziel einer organisierten Phishing-Kampagne

Fracht- und Logistikunternehmen in den USA und Europa sind von einer groß angelegten Phishing-Kampagne für Zugangsdaten betroffen, die mit einer finanziell motivierten Bedrohungsgruppe namens Diesel Vortex in Verbindung gebracht wird. Im Rahmen der seit September 2025 laufenden Kampagne wurden mindestens 1.649 Zugangsdaten gestohlen, wobei mehr als 50 bösartige Domänen verwendet wurden, um sich als Plattformen auszugeben, auf die sich die Logistikbranche täglich verlässt.

Die Forscher deckten die Aktivitäten auf, nachdem sie ein offenes Phishing-Repository mit Datenbanken, Infrastrukturdetails und Telegram-Kommunikation entdeckt hatten. Die Analyse deutet auf eine hochgradig organisierte Operation mit definierten Rollen, operativen Ebenen und Monetarisierungsmodellen hin, die bewusst auf einen Sektor abzielt, der oft außerhalb des Fokus der traditionellen Sicherheitskontrollen von Unternehmen liegt.

Die Angreifer kombinierten E-Mail-Phishing, Voice-Phishing und Telegram-basiertes Social Engineering mit pixelgenauen Nachbildungen legitimer Fracht- und Logistikplattformen. Die gestohlenen Anmeldeinformationen und Authentifizierungsdaten wurden dann verwendet, um Folgebetrügereien zu erleichtern, einschließlich Frachtimitation und Frachtumleitung.

Obwohl die Infrastruktur inzwischen unterbrochen wurde, zeigt die Kampagne das wachsende Cyberrisiko für globale Lieferketten und die Notwendigkeit eines stärkeren Identitätsschutzes und einer stärkeren Sensibilisierung der Nutzer in diesem Sektor.

KI-Chatbot-Missbrauch steht im Zusammenhang mit dem Einbruch in mexikanische Regierungsnetzwerke

Ein Cyberkrimineller hat Berichten zufolge den KI-Chatbot Claude von Anthropic benutzt, um mehrere mexikanische Regierungsbehörden zu kompromittieren und große Mengen an sensiblen Steuer- und Wählerdaten zu stehlen. Laut Bloomberg haben Forscher des israelischen Sicherheitsunternehmens Gambit Security Beweise dafür gefunden, dass der Angreifer Claude dazu benutzt hat, Schwachstellen im Netzwerk zu identifizieren, Exploit-Skripte zu erstellen und die Datenexfiltration in spanischsprachigen Aufforderungen zu automatisieren.

Es wird vermutet, dass die Aktivitäten ab Dezember etwa einen Monat lang liefen und die mexikanische Bundessteuerverwaltung, das Nationale Wahlinstitut und regionale Regierungsstellen betroffen waren. Es wurden schätzungsweise 150 GB an Daten gestohlen, darunter Steuerunterlagen, Wählerinformationen, Regierungsanmeldedaten und Daten aus dem Bevölkerungsregister. Gambit glaubt nicht, dass die Aktivitäten mit einem ausländischen Staat in Verbindung stehen.

Anthropic hat bestätigt, dass es Ermittlungen durchführt und die entsprechenden Konten gesperrt hat, während OpenAI erklärte, dass ChatGPT ähnlichen Missbrauchsversuchen widerstanden hat. Der Vorfall unterstreicht den wachsenden Trend, dass Angreifer fortschrittliche KI-Codierungstools missbrauchen, und wirft dringende Fragen zu KI-Schutzmaßnahmen, Überwachung und Missbrauchserkennung auf, da diese Technologien immer leistungsfähiger werden.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.