Montenegrijnse opsporingsdiensten hebben samen met de FBI een 39-jarige man met de dubbele Iraanse en Turkse nationaliteit gearresteerd in Kotor. Hij wordt door de Amerikaanse overheid gezocht wegens meerdere cybercriminaliteitszaken en wordt aangeklaagd in de Southern District Court van New York voor samenzwering tot computervredebreuk, hacking en identiteitsdiefstal. Sinds 2013 zou hij grootschalige cyberaanvallen hebben geleid op meer dan 150 Amerikaanse universiteiten, met een geschatte schade van meer dan 3,4 miljard dollar. Onderzoekers melden dat de gestolen data en gecompromitteerde academische credentials direct ten goede kwamen aan de Islamitische Revolutionaire Garde en diverse Iraanse staatsinstanties. De zaak wordt nu voorgelegd aan een Hoge Raad voor formele uitleveringszittingen. Deze arrestatie volgt op recente waarschuwingen van Amerikaanse cybersecurityinstanties over toenemende Iraanse staatsgesponsorde operaties gericht op kritieke binnenlandse infrastructuur.

Daarnaast is een 19-jarige man met de dubbele Amerikaanse en Estse nationaliteit, Peter Stokes, uitgeleverd om federale aanklachten te beantwoorden voor zijn rol als kernlid van de cybercrimegroep UNC3944, ook bekend als Scattered Spider of oktapus. Stokes werd aanvankelijk gearresteerd door Finse autoriteiten op de luchthaven van Helsinki toen hij probeerde naar Japan te vliegen. Hij wordt beschuldigd van het organiseren van meerdere high-profile bedrijfsinbraken waarbij intensieve social engineering werd ingezet tegen IT-helpdesks om multi-factor authenticatie te omzeilen. In een opvallende zaak in mei 2025 eiste UNC3944 een losgeld van 8 miljoen dollar van een multinationale retailer, terwijl de operationele verstoring en herstelkosten meer dan 2 miljoen dollar bedroegen. De groep is verantwoordelijk voor meer dan 100 netwerkinbraken wereldwijd, met een totale opbrengst van meer dan 100 miljoen dollar aan illegale afpersingsbetalingen. Stokes blijft in federale hechtenis in Chicago en wordt vervolgd voor fraude, samenzwering en computervredebreuk. Meer informatie over zijn uitlevering en aanklachten is beschikbaar.

In een andere ontwikkeling waarschuwen CISA en de FBI dat Russische inlichtingendiensten hun phishingcampagnes hebben geavanceerd om specifiek de back-up herstelcodes van Signal-gebruikers te stelen. Deze campagnes, toegeschreven aan Russische inlichtingendiensten waaronder de FSB en het leger, richten zich op hooggeplaatste personen zoals overheidsfunctionarissen, militairen, journalisten en beleidsanalisten. Waar aanvankelijk verificatiecodes werden buitgemaakt of gebruikers werden misleid om ongeautoriseerde apparaten te koppelen, gebruiken de aanvallers nu social engineering om toegang te krijgen tot privécommunicatie zonder de end-to-end encryptie van de app te doorbreken. Tijdens gerichte aanvallen doen zij zich voor als officiële Signal-ondersteuning en sturen berichten waarin wordt beweerd dat een verplichte tweefactorauthenticatie nodig is na vermeende internationale cyberaanvallen. Slachtoffers worden vervolgens begeleid om de Secure Backups-functie te activeren en hun herstelcode in de chat te plakken. Met deze sleutel kunnen de aanvallers het volledige berichtarchief downloaden en ontsleutelen. Het registreren van een nieuw account met hetzelfde telefoonnummer maakt een gecompromitteerde sleutel niet ongeldig; gebruikers moeten zelf een nieuwe back-up sleutel genereren om toekomstige communicatie te beveiligen. Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van maximaal 10 miljoen dollar uitgeloofd voor informatie die leidt tot de identificatie of locatie van deze Russische operaties.