Europol en private partners hebben een grootschalige operatie afgerond waarbij 326 servers en 142 kwaadaardige domeinen offline zijn gehaald die de malwarefamilies Amadey en StealC ondersteunden. Deze actie, onderdeel van Operation Endgame, leidde tot de inbeslagname van ongeveer 27 miljoen gestolen inloggegevens en het identificeren van meer dan 47 miljoen dollar aan cryptocurrency die verbonden is aan criminele activiteiten. Cybercriminelen gebruikten deze malware-as-a-service infrastructuur om initiële toegang tot netwerken te verkrijgen, gevoelige data te verzamelen en secundaire ransomware te verspreiden. Door deze ontmanteling wordt een belangrijke pijler van wereldwijde cybercriminaliteit en financiële fraude verzwakt, aldus de autoriteiten. Europol benadrukt het belang van deze actie in de strijd tegen georganiseerde cybercriminaliteit.

Twee leden van het Scattered Spider cybercrime-netwerk hebben zich schuldig verklaard aan het hacken van de systemen van Transport for London in september 2024. Owen Flowers en Thalha Jubair gaven toe verantwoordelijk te zijn voor de aanval die naar schatting 29 miljoen pond aan financiële schade veroorzaakte. De inbraak verstoorde de operaties van het vervoersbedrijf, leidde tot vertragingen bij klantteruggaven en dwong 28.000 medewerkers om hun zakelijke wachtwoorden persoonlijk te resetten. Onderzoekers verzamelden overtuigend bewijs, waaronder screenshots van netwerktoegang en Telegram-chatlogs van in beslag genomen apparaten. De veroordeling volgt op een grondig onderzoek en de officiële strafoplegging staat gepland voor juli. Meer details zijn te vinden bij de National Crime Agency.

Daarnaast heeft het Amerikaanse ministerie van Justitie een cloudaccount van dochterbedrijven van de HuiOne Group offline gehaald. Tegelijkertijd kondigde het Amerikaanse ministerie van Financiën nieuwe sancties aan tegen negen betrokken personen en 26 entiteiten. De infrastructuur hostte HuiOne Guarantee, een illegale online marktplaats die miljarden dollars verwerkte voor grootschalige cyberfraude en witwaspraktijken. Deze platformen leverden diensten aan scamcentra in Zuidoost-Azië, waaronder de verkoop van gestolen data, deepfake-software en kwaadaardige webontwikkelingshulpmiddelen. Het offline halen van deze account legt de technologische basis van deze transnationale criminele netwerken lam.

In een ander deel van het dreigingslandschap heeft SentinelLABS een nieuwe macOS-implant ontdekt, macOS.Gaslight, die wordt toegeschreven aan Noord-Koreaanse dreigingsactoren. Deze implant, geschreven in Rust, steelt inloggegevens en bevat een unieke 3,5 KB prompt-injectie payload die AI-ondersteunde triagetools probeert te misleiden. Door het injecteren van valse systeemmeldingen, zoals token-vervaldata en geheugenwaarschuwingen, wordt de AI-reviewer verward en stopt deze mogelijk voortijdig met analyseren. De implant gebruikt daarnaast geavanceerde technieken zoals command-and-control via Telegram Bot API, AES-GCM encryptie over certificate-pinned TLS en zelfredactie van tokens om detectie te voorkomen. Dit maakt macOS.Gaslight tot een geavanceerd hulpmiddel binnen de Noord-Koreaanse cyberoperaties.