CitrixBleed 2“-Bug bedroht NetScaler-Gateways: Experten raten zum sofortigen Patchen

Eine neu entdeckte kritische Sicherheitslücke in Citrix NetScaler ADC und Gateway — nun als „CitrixBleed 2“ bezeichnet — sorgt in der Cybersicherheits-Community für Aufsehen. Sie ähnelt der berüchtigten Schwachstelle CitrixBleed aus dem Jahr 2023. Die als CVE-2025-5777 verfolgte Lücke ermöglicht es nicht authentifizierten Angreifern, außerhalb vorgesehener Speicherbereiche auf öffentlich erreichbaren Geräten zu lesen – und dadurch möglicherweise Session-Tokens, Zugangsdaten und weitere sensible Informationen zu stehlen.

Sicherheitsforscher Kevin Beaumont verglich die Schwachstelle mit dem früheren CitrixBleed-Bug und warnte, dass Angreifer aktive Benutzersitzungen kapern und Multi-Faktor-Authentifizierung umgehen könnten. Eine zweite Lücke, CVE-2025-5349, betrifft auch die NetScaler-Administrationsoberfläche.

Citrix hat Updates veröffentlicht und fordert alle Nutzer auf, umgehend zu patchen. Admins sollten nach dem Update alle ICA- und PCoIP-Sitzungen beenden, um zu verhindern, dass gestohlene Tokens erneut verwendet werden — ein Schritt, den viele Unternehmen 2023 ausließen, was zu Spionage und Ransomware führte.

Mehr als 56.500 NetScaler-Endpunkte sind aktuell öffentlich erreichbar. Ältere, nicht mehr unterstützte Versionen erhalten keine Sicherheitsupdates.

Hacktivistengruppe Noname057(16) nimmt NATO und Verbündete ins Visier

Die pro-russische Hacktivistengruppe Noname057(16) hat am 24. Juni 2025 eine neue Liste von DDoS-Zielen auf ihrem Telegram-Kanal veröffentlicht. Die Liste enthält über 20 Webseiten aus Regierungs-, Verteidigungs-, NGO- und Wirtschaftssektoren in den USA, Belgien, Israel, den Niederlanden, der Ukraine, Norwegen und Italien.
Besonders auffällig sind mehrere NATO-Domains wie nato-pa.int, cmre.nato.int und sto.nato.int sowie städtische Behörden-Websites in Israel und NGO-Seiten in der Ukraine und den Niederlanden.
Die Gruppe nutzt häufig „Check Host“, um die Wirksamkeit ihrer Angriffe zu belegen. Auch wenn die Auswirkungen derzeit auf temporäre Unterbrechungen begrenzt sind, unterstreicht die Kampagne die wachsende Aktivität geopolitisch motivierter Hacktivisten gegen die NATO und ihre Verbündeten.

BlueNoroff gibt sich als Zoom-Kontakte aus, um Krypto-Firmen zu kompromittieren

Forscher berichten über eine ausgeklügelte Social-Engineering-Kampagne der nordkoreanisch verknüpften Gruppe BlueNoroff (APT38), die seit März gezielt Krypto- und Finanzunternehmen über Zoom angreift. Die Angreifer geben sich in Meetings als bekannte Kontakte aus, um Opfer dazu zu bringen, Malware als angebliche Audiotools zu installieren.
Ein Fall vom 28. Mai betraf eine kanadische Glücksspiel-Firma, wo ein gefälschtes Zoom-SDK-Update zur Verbreitung von Infostealer-Malware verwendet wurde. Die Malware war als „icloud_helper“ getarnt und stahl Wallet-Daten sowie Browser-Zugangsdaten.
Die Kampagne ist weltweit aktiv und konzentriert sich auf die Branchen Krypto, FinTech und Gaming. Trotz hoher Raffinesse erfordert der Angriff mittlere technische Fähigkeiten und stellt eine mittlere Bedrohung dar.
Empfohlen wird die Verifizierung von Zoom-Teilnehmern, Schulungen zu Impersonation-Taktiken und das Blockieren nicht autorisierter Skripte auf Endgeräten.

Nordkoreanische Hacker zielen mit bösartigen npm-Paketen auf Entwickler

Eine neue Welle der nordkoreanischen Kampagne „Contagious Interview“ richtet sich gegen Arbeitssuchende in der Tech-Branche. 35 schadhafte npm-Pakete, verteilt über 24 Accounts und über 4.000-mal heruntergeladen, enthalten Malware wie BeaverTail (Infostealer) und InvisibleFerret (Backdoor).
Die Angriffe beginnen mit gefälschten Rekrutierern auf LinkedIn, die vermeintliche Testaufgaben auf Bitbucket teilen. Opfer werden dazu gedrängt, den Code auszuführen – oft beim Screen-Sharing.
Die Infektionskette umfasst HexEval Loader zur Identifikation des Hosts, gefolgt von BeaverTail zur Datendiebstahl und InvisibleFerret für dauerhaften Fernzugriff. In Einzelfällen kommt auch ein Keylogger zum Einsatz.
Diese Kampagne markiert eine Fortsetzung der Lazarus-Aktivitäten über npm-Pakete. Entwickler sollten bei Jobangeboten vorsichtig sein und unbekannten Code nur in Containern ausführen.

Nucor bestätigt Datendiebstahl bei Cyberangriff auf Stahlkonzern

Nucor, Nordamerikas größter Stahlproduzent und -recycler, hat bestätigt, dass beim kürzlichen Cyberangriff auch Daten aus IT-Systemen gestohlen wurden. Das Unternehmen mit über 32.000 Mitarbeitenden und 30,73 Milliarden Dollar Umsatz im letzten Jahr hatte im Mai Produktionsanlagen heruntergefahren, um den Vorfall einzudämmen.
In einer aktuellen SEC-Meldung heißt es, dass „begrenzte Daten“ exfiltriert wurden. Art und Umfang des Datenlecks wurden nicht veröffentlicht. Nucor erklärte, betroffene Systeme seien wiederhergestellt und die Angreifer aus dem Netzwerk entfernt worden.
Bisher hat keine Ransomware-Gruppe die Verantwortung übernommen, aber Experten weisen darauf hin, dass Datenexfiltration ein häufiges Element von Doppelerpressungsangriffen ist. Die Ermittlungen laufen in Zusammenarbeit mit Sicherheitsfirmen und Behörden.

 Wenn Sie sich aufgrund der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Unterstützung dabei benötigen, geeignete Schutzmaßnahmen für Ihr Unternehmen zu identifizieren, wenden Sie sich bitte an Ihren Account Managerin – oder kontaktieren Sie uns direkt, um zu erfahren, wie Sie Ihr Unternehmen gezielt schützen können. 

 Das Threat Intel Roundup wurde von Integrity360 erstellt und fasst aktuelle Bedrohungsinformationen zum Zeitpunkt der Veröffentlichung zusammen. Es stellt weder eine rechtliche, beratende noch eine sonstige professionelle Empfehlung dar. Alle enthaltenen Empfehlungen sollten stets im spezifischen Kontext Ihrer Organisation geprüft werden.
Integrity360 bezieht in den von uns bereitgestellten Informationen keine politische Position. Zudem spiegeln geäußerte Meinungen nicht zwangsläufig die Sichtweise von Integrity360 wider