Forum-Datenlecks treffen Polymarket und PNC, Gemini CLI RCE gepatcht

Zusammenfassung

Die beiden unterschiedlichen Oberflächen des Tages prallen aufeinander. In den Untergrundforen zielten 47 angebliche Datenlecks und 10 Leak-Behauptungen auf US-Finanzdienstleister, Regierungsdatenbanken und indonesische Regionalverwaltungen ab -- eine starke Konzentration von US-Opfern unter einem Cluster von Akteuren. Im Bereich der veröffentlichten Forschung patchte Google eine CVSS-10-RCE in seinen Gemini-CLI-Tools, ein ursprünglich 2017 eingeführter Linux-Kernel-Logikfehler wurde als Root-Übernahme ermöglichend offengelegt, und cPanel räumte ein, dass eine kritische Authentifizierungsumgehung monatelang als Zero-Day ausgenutzt wurde. Verteidiger sollten das Muster des Tages als die sich schnell schließende Lücke zwischen der kriminellen Volumenschicht (Forum-Behauptungen, Ransomware) und der strategischen Schwachstellenschicht (KI-Tools, OS-Kernel, Hosting-Control-Panels) lesen.

Aktuelle Entwicklungen

Forum-Behauptungen konzentrierten sich auf US-Opfer. Der Akteur xorcat veröffentlichte angebliche Verstöße gegen Polymarket, das Arkansas Justice System und die State Employee Database, das Softwareunternehmen KBROApp, die Angel-Datenbank Lakemonster (43.773 Konten) und eine Reihe französischer Marktteilnehmer, darunter Yaaka und einen ADEMI/AQUAES-Agrardatenverkauf. Der Akteur Fallen (auch als TheFallen postend) stellte ein US-fokussiertes Portfolio zusammen: Liberty Mutual Insurance, den E-Commerce-Anbieter American Luxury Unlimited, das Finanzunternehmen TastyFX, den Einzelhändler Big Island Candies, American Investors Company, American Franchise Academy und eine Liste mit „Executive High-Income Individuals“. Der Akteur AdminOwner behauptete angebliche Verstöße gegen US-Luftwaffendaten und einen Verkauf von 6 Millionen Datensätzen im Zusammenhang mit PNC Wealth-and-Asset-Management-Kunden, zusammen mit einem separaten Anspruch auf die philippinische Nationalpolizei und einem 30-GB-Tresor mit Investoren aus den VAE. Der Akteur GordonFreeman veröffentlichte einen Datensatz des guatemaltekischen Bildungsministeriums mit 150.000 Datensätzen.

Die Regierungsverwaltung und das Bildungswesen sahen einen separaten Indonesien-Cluster. Mr. Hanz Xploit behauptete angebliche Verstöße gegen die Regentschaft Jember, die regionale Einnahmenbehörde Bapenda Inhu und die Universitas Pembangunan Nasional „Veteran“ Jakarta (UPNVJ); Xyph0rix behauptete ein Datenleck von Einwohnern Yogyakartas. Die Regierungsverwaltung war die zweitgrößte Opferbranche des Tages hinter nicht näher bezeichneten Einträgen -- 15 von 150 Ereignissen. Cyber_Isnaad_Front behauptete einen Verkauf, der auf den israelischen Verteidigungszulieferer IMCO Industries Ltd. abzielte. Französische Leak-Behauptungen zielten auf ChimeraZ bei der NEMEA Group (Immobilien), ijpys auf Yomoni und Lagui auf eine „FRENCH DATABASE EASY CASH“. Ein separater Eintrag von Vave888 behauptete Zugriff auf „Chase bank and Citibank database“-Daten.

DDoS-Aktivität konzentrierte sich auf drei Akteurs-Handles. Order403 war für 10 von 31 DDoS-Ereignissen verantwortlich, NoName057(16) für 6 -- letzterer folgte seinem etablierten, auf die Ukraine ausgerichteten Playbook -- mit kleineren Clustern von Payouts King und HellR00ters Team. Ransomware-Betreiber verteilten 23 Ereignisse über den Tag. Die veröffentlichte Forschungsgeschichte zur Ransomware landete separat: Sandhills Medical legte einen Inc-Ransom-Vorfall offen, der 170.000 Personen betraf, wobei die Offenlegung fast ein Jahr nach dem ursprünglichen Vorfall erfolgte.

Die Schwachstellen-Offenlegungen des Tages landeten im kritischen Bereich:

• Google patchte eine RCE mit maximaler Schwere (CVSS 10) in Gemini CLI -- sowohl das npm-Paket @google/gemini-cli als auch den Workflow google-github-actions/run-gemini-cli -- die es Angreifern ermöglichte, über eine eingeschleuste bösartige Konfiguration beliebige Befehle auf Hostsystemen auszuführen; begleitende Fehler in Cursor wurden ebenfalls gepatcht.
• Eine hochschwere lokale Privilegienausweitungsschwachstelle im Linux-Kernel, verfolgt als CVE-2026-31431 (CVSS 7.8), von Xint.io und ThreatGen als „Copy Fail“ bezeichnet, ermöglicht einem nicht privilegierten lokalen Benutzer, Root-Rechte zu erlangen; der Fehler im kryptografischen Authenc-Template des Kernels wurde 2017 eingeführt und betrifft alle großen Distributionen.
• SecurityWeek berichtete, dass ein kritischer cPanel- und WHM-Authentifizierungsumgehungsfehler -- am 28. April gepatcht -- monatelang vor der Offenlegung als Zero-Day ausgenutzt wurde und administrativen Zugriff auf anfällige Server ermöglichte.
• Claroty legte zwei EnOcean-SmartServer-Schwachstellen offen (Sicherheitsumgehung und Remote-Code-Ausführung), die Gebäude, die den Protokollstapel verwenden, einer Remote-Übernahme aussetzen.

Zwei Malware-Stack-Stücke rundeten die veröffentlichte Forschung ab. Ein neues Python-basiertes Backdoor-Framework namens DEEP#DOOR nutzt Tunneling-Dienst-Infrastruktur für persistenten Zugriff und breites Credential-Harvesting von Browsern und Cloud-Diensten. Eine separate Kampagne, die vom Atos Threat Research Center als EtherRAT verfolgt wird und im März 2026 identifiziert wurde, verteilt RAT-Payloads über GitHub-Fassaden, die als Verwaltungstools getarnt sind, und zielt speziell auf privilegierte Konten von Unternehmensadministratoren, DevOps-Ingenieuren und Sicherheitsanalysten ab. Anthropic gab separat bekannt, dass es sein Mythos-KI-Modell nicht öffentlich veröffentlichen werde, nachdem das Modell „Tausende zuvor unbekannter Software-Schwachstellen“ in großen Betriebssystemen und Browsern entdeckt hatte, was Governance-Fragen zur KI-gesteuerten offensiven Forschung aufwirft.

Signale der Bedrohungslandschaft

Die Konzentration der Top-3-Akteure ist aussagekräftig: Order403, HellR00ters Team und Payouts King machen zusammen 28 von 150 Ereignissen aus -- etwa 19 Prozent der Beiträge des Tages. Die geografische Ausrichtung der Forenbeiträge ist stark auf US-Opfer (41 von 150) gefolgt von indonesischen Regierungs- und akademischen Opfern (12) ausgerichtet. Die Konzentration des Schwachstellen-Stacks auf KI-Tools, Linux-Kernel-Interna und Hosting-Control-Panels legt nahe, dass Verteidiger diese Oberflächen bei der Patch-Priorisierung gewichten sollten: eine veröffentlichte RCE in einem KI-CLI, der von Entwicklern in großem Umfang genutzt wird, ein Kernel-Fehler aus dem Jahr 2017 und ein Hosting-Panel-Zero-Day, der monatelang ausgenutzt wurde, sind alles Ein-Schritt-Wege zu administrativem Zugriff. Die fast einjährige Verzögerung der Offenlegung von Inc Ransom beim Sandhills-Medical-Vorfall ist eine operative Erinnerung daran, dass die Zeitspannen von Erkennung bis Offenlegung auch nach regulatorischem Druck lang bleiben.