Lov na Lazarus: unutar C2 infrastrukture kampanje Contagious Interview
Početkom siječnja 2026., tijekom rutinske provjere kripto projekta pronađenog putem Upworka, tim za istraživanje prijetnji tvrtke Red Asgard otkrio je sva tri elementa. Izvođač radova – koristeći lažni identitet – ugradio je malware u repozitorij koda koji je izgledao legitimno. Uslijedila je petodnevna istraga aktivne infrastrukture grupe Lazarus. Ovaj članak dokumentira otkriveno.
Izvor: Red Asgard

ServiceNow zakrpa kritičnu ranjivost AI platforme koja omogućuje neautentificiranu impersonaciju korisnika
ServiceNow je objavio detalje sada zakrpane kritične sigurnosne ranjivosti koja pogađa njegovu ServiceNow umjetno-inteligentnu (AI) platformu i koja je mogla omogućiti neautentificiranom korisniku da se predstavi kao drugi korisnik i izvršava proizvoljne radnje u njegovo ime. Ranjivost, praćena pod oznakom CVE-2025-12420, ima CVSS ocjenu 9,3 od 10,0. AppOmni ju je nazvao BodySnatcher. „Ovaj problem […] mogao je omogućiti neautentificiranom korisniku da se predstavi kao drugi korisnik i izvršava operacije na koje impersonirani korisnik ima pravo”, navela je tvrtka u sigurnosnom upozorenju objavljenom u ponedjeljak.
Izvor: The Hacker News

Cisco zakrpa AsyncOS zero-day ranjivost iskorištavanu od studenog
Cisco je konačno zakrpao zero-day ranjivost maksimalne ozbiljnosti u Cisco AsyncOS-u koja se iskorištavala u napadima na Secure Email Gateway (SEG) i Secure Email and Web Manager (SEWM) uređaje od studenog 2025. Kako je Cisco objasnio u prosincu prilikom objave ranjivosti (CVE-2025-20393), ona pogađa isključivo Cisco SEG i Cisco SEWM uređaje s nestandardnim konfiguracijama kada je funkcija Spam Quarantine omogućena i izložena internetu.
Izvor: BleepingComputer

LOTUSLITE backdoor cilja američke političke i vladine subjekte koristeći spear phishing s temom Venezuele
Sigurnosni stručnjaci objavili su detalje nove kampanje koja je ciljala američke vladine i političke subjekte koristeći politički tematske mamce za isporuku backdoora poznatog kao LOTUSLITE. Kampanja koristi dokumente povezane s nedavnim geopolitičkim razvojem odnosa između SAD-a i Venezuele za distribuciju ZIP arhive („US now deciding what’s next for Venezuela.zip”) koja sadrži zlonamjernu DLL datoteku pokrenutu tehnikom DLL side-loadinga. Nije poznato je li kampanja uspješno kompromitirala bilo koju od meta.
Izvor: The Hacker News

WhisperPair napad ostavlja milijune audio dodataka otvorenima za preuzimanje kontrole
Ranjivost u Google Fast Pair implementaciji Bluetooth audio dodataka može se iskoristiti za prisilno povezivanje uređaja s napadačevim uređajima, upozoravaju akademski istraživači. Kritična ranjivost, praćena pod oznakom CVE-2025-36911, postoji zbog logičke pogreške u mehanizmu uparivanja temeljenom na ključevima, pri čemu uređaji ne provjeravaju nalaze li se u načinu uparivanja. Google Fast Pair omogućuje brzo uparivanje i sinkronizaciju računa s Bluetooth dodacima poput slušalica i zvučnika jednim dodirom, no specifikacija Fast Paira navodi da se postupak uparivanja smije provoditi samo kada je dodatak u načinu uparivanja – što brojni modeli različitih proizvođača ne provjeravaju.
Izvor: SecurityWeek

Unutar kineskog hosting ekosustava: mapirano više od 18.000 malware C2 poslužitelja kod glavnih ISP-ova
Lov na prijetnje često započinje jednim indikatorom, poput sumnjive IP adrese, domene s beaconing ponašanjem ili poznate malware obitelji. Promatranje tih indikatora pojedinačno olakšava propuštanje uočavanja temeljne infrastrukture. Tijekom analize zlonamjernih aktivnosti u kineskim hosting okruženjima, više puta su se pojavljivale iste mreže i pružatelji usluga u nepovezanim kampanjama. Komercijalni malware, phishing operacije i alati povezani s državnim akterima često su bili smješteni unutar iste infrastrukture, čak i dok su se pojedinačne IP adrese i domene mijenjale.
Izvor: Hunt.io

Unutar RedVDS-a: kako je jedan pružatelj virtualnih radnih okruženja poticao globalne kibernetičke kriminalne operacije
Tijekom protekle godine Microsoft Threat Intelligence uočio je širenje RedVDS-a, pružatelja virtualnih namjenskih poslužitelja (VDS) kojeg su koristili brojni financijski motivirani prijetiteljski akteri za provođenje business email compromise (BEC) napada, masovnih phishing kampanja, preuzimanja računa i financijskih prijevara. Microsoftova istraga RedVDS usluga i infrastrukture otkrila je globalnu mrežu različitih kibernetičkih kriminalaca koji su kupovali i koristili ove usluge za napade na više sektora, uključujući pravni, građevinski, proizvodni, nekretninski, zdravstveni i obrazovni sektor u Sjedinjenim Američkim Državama, Kanadi, Ujedinjenom Kraljevstvu, Francuskoj, Njemačkoj, Australiji te zemljama s razvijenom bankarskom infrastrukturom i većim potencijalom financijske dobiti. U suradnji s tijelima za provedbu zakona diljem svijeta, Microsoftova Digital Crimes Unit (DCU) nedavno je omogućila ometanje RedVDS infrastrukture i povezanih operacija.
Izvor: Microsoft Security Blog

UAT-8837 cilja sektore kritične infrastrukture u Sjevernoj Americi
Cisco Talos pomno prati UAT-8837, prijetiteljskog aktera za kojeg s umjerenom razinom pouzdanosti procjenjuje da je kineski APT akter, na temelju preklapanja taktika, tehnika i procedura (TTP-ova) s drugim poznatim kineskim prijetiteljskim skupinama. Na temelju TTP-ova i postkompromitacijskih aktivnosti koje je Talos zabilježio u više upada, procjenjuje se da je primarna zadaća ovog aktera ostvarivanje početnog pristupa visokovrijednim organizacijama. Iako se ciljanje može činiti sporadičnim, od najmanje 2025. godine skupina se jasno fokusira na organizacije unutar sektora kritične infrastrukture u Sjevernoj Americi.
Izvor: Cisco Talos

Hakeri iskorištavaju c-ares DLL side-loading za zaobilaženje zaštite i isporuku malwarea
Sigurnosni stručnjaci objavili su detalje aktivne malware kampanje koja iskorištava DLL side-loading ranjivost u legitimnoj binarnoj datoteci povezanoj s open-source c-ares bibliotekom kako bi zaobišla sigurnosne kontrole i isporučila širok raspon komercijalnih trojanaca i stealera. „Napadači postižu izbjegavanje detekcije uparivanjem zlonamjernog libcares-2.dll-a s bilo kojom potpisanom verzijom legitimnog ahost.exe-a (koji često preimenuju) kako bi izvršili svoj kod”, navela je tvrtka Trellix u izvješću podijeljenom s The Hacker Newsom. „Ova DLL side-loading tehnika omogućuje malwareu zaobilaženje tradicionalnih sigurnosnih mehanizama temeljenih na potpisima.” Kampanja je zabilježena u distribuciji raznih malware obitelji, uključujući Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat i XWorm.
Izvor: The Hacker News

Novi “Reprompt” napad neprimjetno izvlači podatke iz Microsoft Copilota
Sigurnosni istraživači iz tvrtke Varonis otkrili su novi napad koji im je omogućio eksfiltraciju korisničkih podataka iz Microsoft Copilota putem jednog zlonamjernog linka. Napad, nazvan Reprompt, zaobišao je zaštite LLM sustava od curenja podataka i omogućio trajnu eksfiltraciju sesije čak i nakon zatvaranja Copilota, navodi Varonis. Napad koristi Parameter 2 Prompt (P2P) injection, tehniku dvostrukog zahtjeva i lančanu tehniku zahtjeva kako bi omogućio kontinuirano i neprimjetno izvlačenje podataka. Reprompt Copilot napad započinje iskorištavanjem parametra „q”, koji se na AI platformama koristi za isporuku korisničkog upita ili prompta putem URL-a. Dovoljan je samo klik korisnika na takav link.
Izvor: SecurityWeek

Sigurnosno upozorenje: MongoDB ranjivost (CVE-2025-14847)
Dana 19. prosinca 2025. MongoDB je javno objavio MongoBleed, sigurnosnu ranjivost (CVE-2025-14847) koja omogućuje neautentificiranim napadačima curenje osjetljive heap memorije iskorištavanjem problema povjerenja u načinu na koji MongoDB Server obrađuje mrežne poruke komprimirane pomoću zliba. Ova ranjivost javlja se prije autentifikacije, što znači da je napadaču potreban samo mrežni pristup zadanom portu baze podataka kako bi je iskoristio.
Izvor: Palo Alto Networks Unit 42

Fortinet zakrpa kritičnu FortiSIEM ranjivost koja omogućuje neautentificirano udaljeno izvršavanje koda
Fortinet je objavio nadogradnje koje ispravljaju kritičnu sigurnosnu ranjivost u FortiSIEM-u, a koja bi mogla omogućiti neautentificiranom napadaču izvršavanje koda na pogođenim instancama. Ranjivost ubrizgavanja naredbi operacijskog sustava, praćena pod oznakom CVE-2025-64155, ocijenjena je s 9,4 od mogućih 10,0 prema CVSS sustavu. „Neispravna neutralizacija posebnih elemenata korištenih u OS naredbi (‘OS command injection’) [CWE-78] u FortiSIEM-u može omogućiti neautentificiranom napadaču izvršavanje neautoriziranog koda ili naredbi putem posebno oblikovanih TCP zahtjeva”, navela je tvrtka u svom priopćenju.
Izvor: The Hacker News

Kritična Node.js ranjivost može uzrokovati padove poslužitelja putem async_hooks stack overflowa
Node.js je objavio nadogradnje za ispravak kritičnog sigurnosnog problema koji, prema navodima, pogađa „gotovo svaku produkcijsku Node.js aplikaciju” i koji, ako se uspješno iskoristi, može izazvati uskraćivanje usluge (DoS). „Node.js/V8 ulaže najbolji mogući napor da se oporavi od iscrpljivanja prostora stoga uz hvatanje greške, na što su se frameworksi oslanjali radi dostupnosti usluge”, izjavili su Matteo Collina i Joyee Cheung iz Node.js tima u službenom biltenu.
Izvor: The Hacker News

Microsoft siječanj 2026 Patch Tuesday: ispravljeno 115 ranjivosti
Microsoft je objavio svoj prvi Patch Tuesday u 2026. godini, donoseći velik broj sigurnosnih zakrpa za zaštitu korisnika od različitih digitalnih prijetnji. Ovog mjeseca tehnološki gigant riješio je 115 ranjivosti, od kojih se osam smatra kritičnima, što predstavlja najvišu razinu rizika, dok je 106 označeno kao važno. Siječanjska ažuriranja obuhvaćaju sve, od Windowsa 11 i Microsoft Officea do preglednika Edge.
Izvor: Hackread

„Nepouzdana zaklada”: ciljani kibernetički napadi UAC-0190 protiv SOU-a uz korištenje PLUGGYAPE alata
Tijekom razdoblja od listopada do prosinca 2025., Nacionalni tim za odgovor na kibernetičke incidente, kibernetičke napade i prijetnje CERT-UA, u suradnji s Timom za odgovor na kibernetičke incidente Oružanih snaga Ukrajine (vojna jedinica A0334), proveo je istrage niza ciljanih kibernetičkih napada protiv pripadnika Obrambenih snaga Ukrajine. Napadi su provođeni pod krinkom aktivnosti dobrotvornih zaklada korištenjem softverskog alata PLUGGYAPE. Na temelju određenih obilježja, aktivnosti su s umjerenom razinom pouzdanosti povezane s djelovanjem grupe poznate kao Void Blizzard (Laundry Bear), za čije se praćenje koristi identifikator UAC-0190. U sklopu napada, mete se putem aplikacija za razmjenu poruka potiče da posjete web stranicu koja imitira stranicu navodne dobrotvorne zaklade, s koje im se nudi preuzimanje „dokumenata” – izvršnih datoteka, najčešće smještenih u arhivi zaštićenoj lozinkom.
Izvor: CERT-UA

Skriveni Telegram proxy linkovi mogu otkriti vašu IP adresu jednim klikom
Dovoljan je jedan klik na ono što može izgledati kao Telegram korisničko ime ili bezazleni link kako bi se napadačima otkrila vaša stvarna IP adresa zbog načina na koji se obrađuju proxy linkovi. Telegram je za BleepingComputer izjavio da će sada dodavati upozorenja na proxy linkove nakon što su istraživači pokazali da se posebno izrađeni linkovi mogu koristiti za otkrivanje stvarne IP adrese Telegram korisnika bez ikakve dodatne potvrde.
Izvor: BleepingComputer

Everest ransomware tvrdi da je probio Nissan i ukrao 900 GB podataka
Zloglasna ransomware grupa Everest tvrdi da je kompromitirala Nissan Motor Corporation (Nissan Motor Co., Ltd.), japanskog multinacionalnog proizvođača automobila. Grupa je svoje tvrdnje objavila na svom dark web leak portalu 10. siječnja 2026., podijelivši šest snimki zaslona za koje se tvrdi da potječu iz ukradenih podataka. Također su otkrili strukturu direktorija koja prikazuje ZIP arhive, tekstualne datoteke, Excel tablice i CSV dokumente. Na temelju objavljenih snimki zaslona, čini se da materijali uključuju strukture direktorija i interne zapise koji su navodno povezani s Nissanom.
Izvor: Hackread

Targetov razvojni poslužitelj izvan mreže nakon tvrdnji o krađi izvornog koda
Hakeri tvrde da prodaju interni izvorni kod tvrtke Target Corporation, nakon što su objavili ono što izgleda kao uzorak ukradenih repozitorija koda na javnoj platformi za razvoj softvera. Prošli tjedan nepoznati prijetiteljski akter kreirao je više repozitorija na Gitei koji su, prema svemu sudeći, sadržavali dijelove Targetovog internog koda i razvojne dokumentacije. Repozitoriji su predstavljeni kao najava znatno većeg skupa podataka koji se navodno nudi na prodaju kupcima na underground forumu ili privatnom kanalu.
Izvor: BleepingComputer

CISA naređuje saveznim agencijama zakrpavanje Gogs RCE ranjivosti iskorištavane u zero-day napadima
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) naložila je državnim agencijama da osiguraju svoje sustave protiv Gogs ranjivosti visoke ozbiljnosti koja je iskorištavana u zero-day napadima. Gogs, dizajniran kao alternativa GitLabu ili GitHub Enterpriseu i napisan u Go jeziku, često je izložen na internetu radi udaljene suradnje. Ranjivost, praćena pod oznakom CVE-2025-8110, omogućuje udaljeno izvršavanje koda (RCE) i proizlazi iz path traversal slabosti u PutContents API-ju, omogućujući autentificiranim napadačima zaobilaženje zaštita implementiranih za prethodno zakrpanu RCE grešku (CVE-2024-55947) prepisivanjem datoteka izvan repozitorija putem simboličkih linkova.
Izvor: BleepingComputer

Otkriven VoidLink – prikriveni, cloud-native Linux malware framework
U prosincu 2025. Check Point Research identificirao je manju skupinu prethodno neviđenih Linux malware uzoraka koji, prema svemu sudeći, potječu iz kineskog razvojnog okruženja. Mnogi binarni zapisi sadržavali su debug simbole i druge razvojne artefakte, što upućuje na to da se radi o verzijama u razvoju, a ne o gotovom i široko rasprostranjenom alatu. Brzina i raznolikost promjena među uzorcima ukazuju na framework koji se brzo razvija s ciljem šire primjene u stvarnim okruženjima. Framework, interno nazvan VoidLink, cloud-first je implant napisan u Zig jeziku i dizajniran za rad u modernoj infrastrukturi. Može prepoznati glavna cloud okruženja i detektirati kada se izvršava unutar Kubernetes ili Docker sustava, te prema tome prilagoditi svoje ponašanje. VoidLink također prikuplja vjerodajnice povezane s cloud okruženjima i standardnim sustavima za verzioniranje izvornog koda, poput Gita, što upućuje na to da bi softverski inženjeri mogli biti potencijalna meta, bilo za špijunske aktivnosti ili moguće buduće napade temeljene na supply chainu.
Izvor: Check Point Research

Ranjivost maksimalne ozbiljnosti Ni8mare pogađa gotovo 60.000 n8n instanci
Gotovo 60.000 n8n instanci izloženih na internetu i dalje nije zakrpano protiv ranjivosti maksimalne ozbiljnosti nazvane “Ni8mare”. n8n je open-source platforma za automatizaciju radnih tokova koja korisnicima omogućuje povezivanje različitih aplikacija i servisa putem unaprijed izrađenih konektora i vizualnog sučelja temeljenog na čvorovima, kako bi se automatizirali ponavljajući zadaci bez pisanja koda. Platforma za automatizaciju široko se koristi u razvoju umjetne inteligencije za automatizaciju ingestije podataka te izgradnju AI agenata i RAG pipelineova. Ima više od 100 milijuna preuzimanja na Docker Hubu i više od 50.000 tjednih preuzimanja na npm-u. Budući da n8n služi kao centralno čvorište za automatizaciju, često pohranjuje API ključeve, OAuth tokene, vjerodajnice baza podataka, pristup cloud pohrani, CI/CD tajne i poslovne podatke, što ga čini atraktivnom metom za prijetitelje.
Izvor: BleepingComputer

Detaljno analitičko izvješće o LockBit 5.0: način rada i protumjere
Od svog prvog pojavljivanja u rujnu 2019., LockBit je poznat kao jedna od najzloglasnijih i najaktivnijih Ransomware-as-a-Service (RaaS) grupa na svijetu. LockBit djeluje prema RaaS modelu i karakteriziraju ga sofisticirana enkripcijska tehnologija i automatizirane mogućnosti širenja. Početni pristup najčešće se ostvaruje iskorištavanjem ranjivosti, brute force napadima, phishingom ili procurjelim pristupnim podacima, a napad slijedi trofazni proces: početni pristup, lateralno kretanje i eskalacija privilegija te implementacija ransomwarea. Grupa također koristi alat Stealbit za eksfiltraciju podataka. Od kolovoza 2021. do kolovoza 2022. LockBit je činio 30,25% poznatih ransomware napada, a 2023. godine oko 21% napada. Iznosi ucjena i troškovi oporavka rezultirali su gubicima od više milijardi dolara. Unatoč naporima tijela za provedbu zakona, LockBit i dalje predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti diljem svijeta. Ransomware grupa LockBit 5.0 upravlja DLS web stranicom koja navodi kompanije koje su uspješno kompromitirane. Iako na popisu nema južnokorejskih tvrtki, identificirane su brojne strane žrtve. Grupa je izvela ransomware napade na organizacije iz širokog spektra industrija, uključujući IT, elektroniku, odvjetničke urede i crkve.
Izvor: AhnLab ASEC

Prijetiteljski akteri aktivno ciljaju LLM sustave
Naša Ollama honeypot infrastruktura zabilježila je 91.403 napadačke sesije između listopada 2025. i siječnja 2026. Skriveni unutar tih podataka nalaze se dvije zasebne kampanje koje otkrivaju kako prijetiteljski akteri sustavno mapiraju rastuću površinu napada AI implementacija. GreyNoise korisnici zaprimili su Executive Situation Report (SITREP) koji uključuje IOC-e i druge vrijedne obavještajne podatke iz ove istrage. Korisnici trebaju provjeriti svoje sandučiće. Prva kampanja iskorištavala je ranjivosti server-side request forgery (SSRF), tehnike koje prisiljavaju poslužitelj na uspostavljanje izlaznih veza prema infrastrukturi pod kontrolom napadača. Kampanja je trajala od listopada 2025. do siječnja 2026., s dramatičnim porastom tijekom božićnog razdoblja – 1.688 sesija u 48 sati. Napadači su koristili ProjectDiscovery OAST (Out-of-band Application Security Testing) infrastrukturu za potvrdu uspješne SSRF eksploatacije putem callback validacije.
Izvor: GreyNoise

Kritične ranjivosti u React Routeru: CVE-2025-61686 omogućuje pristup datotekama poslužitelja
Programeri koji se oslanjaju na popularnu biblioteku React Router pozivaju se da odmah zakrpaju svoje aplikacije nakon otkrivanja više ranjivosti visoke ozbiljnosti. Ranjivosti, koje uključuju neautorizirani pristup datotekama i Cross-Site Scripting (XSS), ugrožavaju integritet web aplikacija koje koriste react-router i @remix-run ekosustave. Najkritičnija među njima, označena kao CVE-2025-61686, nosi razornu CVSS ocjenu 9.1. Ova ranjivost pogađa samu srž upravljanja sesijama i potencijalno omogućuje napadačima kompromitaciju datotečnog sustava poslužitelja.
Izvor: SecurityOnline

Ponovno rođeni u Rustu: Muddy Water razvija alate s implantom RustyWater
CloudSEK-ov TRIAD nedavno je identificirao spearphishing kampanju pripisanu APT grupi Muddy Water koja cilja više sektora na Bliskom istoku, uključujući diplomatske, pomorske, financijske i telekomunikacijske organizacije. Kampanja koristi lažiranje ikona i zlonamjerne Word dokumente za isporuku Rust baziranih implanta sposobnih za asinkroni C2, anti-analizu, perzistenciju putem registra i modularno proširenje post-kompromitacijskih sposobnosti. Povijesno gledano, Muddy Water se oslanjao na PowerShell i VBS loadere za početni pristup i post-kompromitacijske operacije. Uvođenje Rust baziranih implanta predstavlja značajnu evoluciju alata prema strukturiranijim, modularnim i niskobučnim RAT sposobnostima.
Izvor: CloudSEK

WebRAT zlonamjerni softver širi se putem lažnih exploita ranjivosti na GitHubu
Zlonamjerni softver WebRAT distribuira se putem GitHub repozitorija koji se lažno predstavljaju kao proof-of-concept exploiti za nedavno otkrivene ranjivosti. Ranije se širio kroz piratski softver i cheatove za igre, a radi se o backdooru s mogućnostima krađe podataka, uključujući vjerodajnice za komunikacijske platforme i kripto novčanike, špijuniranje putem web kamere te snimanje zaslona.
Izvor: BleepingComputer

Operacija PCPcat: Lov na Next.js kradljivca vjerodajnica koji je već kompromitirao 59.000 poslužitelja
Istraživači su tijekom nadzora Docker honeypota otkrili opsežnu kampanju napada koja iskorištava ranjivosti u Next.js i React okruženjima za udaljeno izvršavanje koda, krađu vjerodajnica i uspostavu trajne C2 infrastrukture. Kampanja, pripisana skupini koja se identificira kao “PCP”, već je kompromitirala više od 59.000 poslužitelja u manje od 48 sati, što ukazuje na industrijsku razinu eksploatacije i izvlačenja podataka.
Izvor: Beelzebub AI

APT36 kampanja zlonamjernog softvera temeljena na LNK datotekama i MSI payloadovima
Ciljana kampanja zlonamjernog softvera pripisana skupini APT36 koristi socijalni inženjering i zlonamjerne prečace prerušene u PDF dokumente s navodnim vladinim obavijestima. Lanac napada isporučuje skriveni MSI payload koji instalira .NET loader, zlonamjerne DLL-ove i postojanost kroz registar, dok se korisniku prikazuje legitimni mamac kako bi se izbjegla sumnja i omogućio dugotrajan pristup.
Izvor: CYFIRMA

UNG0801: Praćenje prijetnji opsjednutih lažiranjem antivirusnih ikona koje ciljaju Izrael
SEQRITE Labs prati postojanu prijetnju označenu kao UNG0801, koja primarno cilja izraelske organizacije putem phishing kampanja pisanih na hebrejskom jeziku. Napadači se snažno oslanjaju na lažiranje antivirusnih ikona i zloupotrebu brendova poznatih sigurnosnih proizvođača kako bi povećali povjerenje korisnika i potaknuli daljnju kompromitaciju.
Izvor: Seqrite

Operacija Artemis: analiza HWP napada temeljenih na DLL side-loading tehnici
Istraživači su identificirali kampanju skupine APT37 nazvanu “Artemis”, u kojoj se zlonamjerni OLE objekti skrivaju unutar HWP dokumenata. Višefazni napad koristi tehnike maskiranja i DLL side-loading unutar legitimnih procesa kako bi se zaobišla detekcija temeljena na potpisima i omogućilo izvršavanje zlonamjernog koda.
Izvor: Genians

Dva Chrome proširenja potajno krala vjerodajnice s više od 170 web-stranica
Istraživači su otkrili dva zlonamjerna Google Chrome proširenja istog naziva i autora koja presreću promet i kradu korisničke vjerodajnice. Proširenja se predstavljaju kao alat za testiranje brzine mreže, ali nakon plaćanja aktiviraju proxy način rada i usmjeravaju promet s više od 170 domena kroz infrastrukturu napadača, omogućujući kontinuiranu krađu podataka.
Izvor: The Hacker News

Microsoft Teams od siječnja automatski pojačava sigurnost poruka
Microsoft je najavio da će od 12. siječnja 2026. Teams automatski uključiti sigurnosne značajke za poruke kod organizacija koje koriste zadane postavke. Promjena uključuje zaštitu od opasnih vrsta datoteka, detekciju zlonamjernih URL-ova i mehanizam za prijavu lažnih pozitivnih detekcija, čime se dodatno smanjuje rizik od phishinga i širenja malvera.
Izvor: BleepingComputer

Ransomware napad paralizirao rumunjsku upravu za vode
Rumunjska nacionalna uprava za vode pogođena je ransomware napadom koji je onesposobio oko 1.000 sustava, uključujući radne stanice, e-mail i web poslužitelje. Incident je započeo 20. prosinca 2025., a zbog statusa vodne infrastrukture kao kritične, slučaj se smatra izravnim rizikom za nacionalnu sigurnost.
Izvor: Hackread

Kritična ranjivost u n8n platformi omogućuje proizvoljno izvršavanje koda
Otkrivena je kritična ranjivost (CVE-2025-68613, CVSS 9.9) u n8n platformi za automatizaciju radnih tokova. U određenim uvjetima omogućuje autentificiranim korisnicima izvršavanje proizvoljnog koda zbog nedovoljne izolacije izraza unutar runtime okruženja. n8n ima oko 57.000 tjednih preuzimanja, što povećava potencijalni doseg rizika.
Izvor: The Hacker News

Zero-day propust u Linksys routerima omogućuje preuzimanje kontrole bez lozinke
Sigurnosni istraživači objavili su zero-day ranjivost (CVE-2025-52692) u Linksys E9450-SG routerima koja omogućuje zaobilaženje autentifikacije i aktivaciju skrivenog Telnet servisa bez lozinke. Napad je moguć s lokalne mreže, a ranjivost dodatno naglašava dugogodišnje probleme sigurnosti potrošačkih routera.
Izvor: Security Online

ATM hakeri optuženi u SAD-u zbog korištenja malvera Ploutus
Američko Ministarstvo pravosuđa podiglo je optužnice protiv 54 osobe zbog sudjelovanja u velikoj kampanji tzv. ATM jackpotting napada koji su uključivali malver Ploutus. Osumnjičenici su povezani s venezuelanskom kriminalnom skupinom Tren de Aragua te se suočavaju s višedesetljetnim zatvorskim kaznama zbog bankovne prijevare, računalnog kriminala i pranja novca.
Izvor: SecurityWeek

Napadači zloupotrebljavaju popularni alat za nadzor Nezha kao prikriveni trojanac
Istraživači su otkrili da se open-source alat za nadzor Nezha koristi kao Remote Access Trojan (RAT). Budući da je riječ o legitimnom softveru koji se široko koristi i ne izaziva antivirusna upozorenja, napadači ga iskorištavaju za dugotrajni i prikriveni pristup kompromitiranim sustavima.
Izvor: Hackread

MacSync macOS malver distribuira se putem potpisane Swift aplikacije
Prema Jamfovim izvješćima, MacSync Stealer sada se distribuira kroz potpisanu Swift aplikaciju, čime se uklanja potreba za izvršavanjem naredbi u terminalu. Malver je evoluirao iz ranijeg Mac.c stealera te sada uključuje potpunu backdoor funkcionalnost putem Go-baziranog agenta.
Izvor: SecurityWeek

Kritična RCE ranjivost pogađa više od 115.000 WatchGuard vatrozida
Više od 115.000 javno dostupnih WatchGuard Firebox uređaja i dalje je ranjivo na aktivno iskorištavanu ranjivost za udaljeno izvršavanje koda (CVE-2025-14733). Uspješna eksploatacija omogućuje neautentificiranim napadačima izvršavanje proizvoljnog koda, posebno na uređajima konfiguriranim s IKEv2 VPN-om.
Izvor: BleepingComputer

ClickFix korišten za isporuku Stealc malvera i Qilin ransomwarea
Sophosovi istraživači opisuju kako se tehnika društvenog inženjeringa ClickFix koristi za isporuku Stealc infostealera i omogućavanje Qilin ransomware napada. Žrtve se navode da slijede lažne korake provjere identiteta na kompromitiranim web-stranicama, što dovodi do instalacije malvera i kasnijeg ransomware napada.
Izvor: Sophos

Kineska APT skupina koristi Windows Group Policy za distribuciju špijunskog malwarea
Ranije nedokumentirana kineska prijetnja nazvana LongNosedGoblin povezana je s kibernetičkim napadima na državne institucije u jugoistočnoj Aziji i Japanu s ciljem kibernetičke špijunaže. Prema ESET-u, skupina koristi Windows Group Policy za širenje malwarea unutar kompromitiranih mreža te cloud servise poput Microsoft OneDrivea i Google Drivea kao C2 infrastrukturu.
Izvor: The Hacker News

Koordinirana kampanja krađe vjerodajnica cilja Cisco i Palo Alto Networks VPN gatewaye
GreyNoise prati automatiziranu kampanju usmjerenu na VPN autentikacijsku infrastrukturu velikih organizacija, uključujući Cisco SSL VPN i Palo Alto Networks GlobalProtect. Aktivnost se temelji na masovnim skriptiranim pokušajima prijave, a ne na iskorištavanju ranjivosti, te pokazuje obrazac jedinstvene kampanje koja se prebacuje između različitih VPN platformi.
Izvor: GreyNoise

Lazarus grupa ubacuje novu BeaverTail varijantu u alate za developere
Darktrace je identificirao novu varijantu JavaScript infostealera BeaverTail povezanu s Lazarus grupom. Kampanja cilja financijski i kripto sektor, a širi se putem lažnih ponuda za posao gdje se developere mami na preuzimanje navodnih alata za tehničke intervjue, koji u stvarnosti kompromitiraju sustav žrtve.
Izvor: Hackread

Clop ransomware cilja Gladinet CentreStack poslužitelje u kampanji krađe podataka
Ransomware skupina Clop pokrenula je novu kampanju iznude usmjerenu na internetski izložene Gladinet CentreStack poslužitelje. Napadači skeniraju i kompromitiraju sustave, ostavljajući poruke o otkupnini, dok je Gladinet ranije zakrpao više ranjivosti koje su korištene, uključujući zero-day propuste.
Izvor: BleepingComputer

Otkrivena prva Rust ranjivost u Linux kernelu (CVE-2025-68260)
Sigurnosni propust CVE-2025-68260 predstavlja prvi službeno dodijeljeni CVE za Rust kod u glavnoj grani Linux kernela. Ranjivost u Rust implementaciji Android Binder drivera može uzrokovati pad sustava zbog neispravnog rukovanja povezanom listom u višedretvenom okruženju.
Izvor: Security Online