Amerikaanse en Europese opsporingsdiensten hebben het SocksEscort cybercrime proxy netwerk ontmanteld. Dit netwerk maakte gebruik van Linux edge-apparaten die geïnfecteerd waren met AVRecon malware. Onderzoek toont aan dat het platform wekelijks ongeveer 20.000 gecompromitteerde apparaten beheerde en criminelen toegang bood tot ‘schone’ residentiële IP-adressen van grote internetproviders om blokkades te omzeilen. Sinds 2020 bood SocksEscort toegang tot honderden duizenden IP-adressen. Autoriteiten hebben tientallen servers en domeinen in beslag genomen, 3,5 miljoen dollar aan cryptocurrency bevroren en geïnfecteerde routers losgekoppeld, die allemaal in verband stonden met grootschalige fraude en diefstal van cryptovaluta.

Daarnaast is Angelo Martino, voormalig medewerker van DigitalMint, aangeklaagd wegens samenzwering met de BlackCat (ook bekend als ALPHV) ransomwaregroep. Martino zou als ransomware-onderhandelaar vertrouwelijke onderhandelingsinformatie hebben gedeeld en tussen 2023 en 2025 betrokken zijn geweest bij aanvallen samen met verschillende handlangers die als BlackCat-affiliates opereerden. Onder de slachtoffers bevonden zich meerdere Amerikaanse organisaties, waarbij losgeldbetalingen meer dan 26 miljoen dollar bedroegen. De FBI schrijft de groep sinds haar ontstaan in 2021 toe aan duizenden aanvallen en meer dan 300 miljoen dollar aan losgeldbetalingen.

Microsoft heeft tijdens Patch Tuesday beveiligingsupdates uitgebracht voor 79 kwetsbaarheden, waaronder twee openbaar gemaakte zero-day kwetsbaarheden. De updates verhelpen ook drie kritieke kwetsbaarheden, waaronder twee bugs die remote code execution mogelijk maken en één informatielek. De zero-days betreffen een privilege-escalatie in SQL Server (CVE-2026-21262) en een denial-of-service in .NET (CVE-2026-26127), waarvan geen actieve exploitatie bekend is. De RCE-kwetsbaarheden in Microsoft Office zijn echter wel exploiteerbaar via het preview-venster, net als een Excel-informatielek (CVE-2026-26144) dat data kan lekken via Copilot. Gebruikers worden dringend geadviseerd de updates voor Office, Excel, SQL Server en .NET prioriteit te geven.

Aan de andere kant maken aanvallers misbruik van FortiGate Next-Generation Firewalls (NGFW) om netwerken binnen te dringen. SentinelOne meldt dat slachtoffers vaak geen appliance-logs bewaren, waardoor het onduidelijk blijft hoe en wanneer de aanvallers toegang kregen. Bekende kwetsbaarheden (CVE-2025-59718, CVE-2025-59719 en CVE-2026-24858) en zwakke wachtwoorden werden gebruikt om configuratiebestanden te stelen met daarin service account credentials en netwerkgegevens. Deze accounts, vaak gekoppeld aan Active Directory en LDAP, stelden aanvallers in staat rollen in kaart te brengen, privileges te escaleren en laterale bewegingen te maken binnen netwerken. In één geval creëerde een aanvaller in november 2025 een lokale beheerder-account en voegde onbeperkte firewallregels toe. Later werden LDAP-credentials uit het configuratiebestand gehaald om kwaadaardige werkstations aan AD toe te voegen. In een ander incident werden legitieme Remote Monitoring en Management tools ingezet en malware gedownload uit AWS en Google Cloud. Een Java payload exfiltreerde gevoelige AD-gegevens via DLL side-loading. Netwerkscans activeerden uiteindelijk alerts die verdere verspreiding stopten.