Novi val pokušaja VPN prijava cilja Palo Alto GlobalProtect portale
Zabilježena je kampanja koja od 2. prosinca cilja GlobalProtect portale putem brute-force napada, nakon čega je uslijedilo skeniranje SonicWall SonicOS API sučelja. Aktivnost potječe s više od 7.000 IP adresa povezanih s hosting pružateljem 3xK GmbH (AS200373), navodi GreyNoise.
Izvor: BleepingComputer

AI-automatizirano threat hunting otkriva GhostPenguin backdoor
Trend Micro je otkrio GhostPenguin, višedretveni Linux backdoor koji koristi RC5-šifrirani UDP kanal za udaljeni pristup ljusci i upravljanje datotekama. Otkriven je putem AI-automatiziranog procesa analize zero-detection uzoraka s VirusTotal platforme.
Izvor: Trend Micro

Kineska grupa Warp Panda cilja sjevernoameričke tvrtke u špijunskoj kampanji
CrowdStrike izvještava o sofisticiranoj kampanji kibernetičke špijunaže u kojoj Warp Panda cilja pravne, tehnološke i proizvodne organizacije u Sjevernoj Americi. Napadači pokazuju visoku razinu OPSEC-a i znanja o cloud i VM okruženjima, uključujući napade na VMware vCenter.
Izvor: Infosecurity Magazine

Više od 70 domena korišteno u višemjesečnoj phishing kampanji protiv američkih sveučilišta
Infoblox je otkrio dugotrajnu phishing kampanju koja je gađala najmanje 18 američkih sveučilišta s ciljem krađe korisničkih vjerodajnica, uključujući slučajeve s MFA zaštitom. Kampanja je zaobilaženje MFA-a izvela pomoću open-source alata Evilginx.
Izvor: Hackread

Unutrašnjost Shanya packera – Packer-as-a-Service koji pokreće moderne napade
Sophos analizira Shanya packer, novi PaaS alat koji je već postao popularan među ransomware grupama te u određenoj mjeri zamijenio HeartCrypt. Shanya omogućuje snažnu obfuskaciju i viđeno je njegovo korištenje u ciljanim napadima tijekom incident response aktivnosti.
Izvor: Sophos

Mirai varijanta „Broadside” cilja sektor pomorske logistike
Istraživači iz Cydomea identificirali su „Broadside”, novu Mirai varijantu koja iskorištava CVE-2024-3721 u digitalnim snimačima korištenima na brodovima. ranjivost omogućuje daljinsko ubrizgavanje naredbi i postojanost putem Netlink mehanizama.
Izvor: Dark Reading

Istraživači otkrili 30+ ranjivosti u AI alatima za razvoj koda
Preko 30 ranjivosti, nazvanih „IDEsaster”, otkriveno je u AI-pokretanim IDE alatima poput Cursora, Windsurfa, GitHub Copilota i drugih. Kombinacija prompt injekcija i legitimnih funkcija omogućuje krađu podataka i daljinsko izvršavanje koda.
Izvor: The Hacker News

Sigurnosni incident u Marquis Softwareu pogodio više od 780.000 osoba
Marquis Software potvrdio je kompromitaciju podataka preko 780.000 pojedinaca nakon što su napadači iskoristili ranjivost u SonicWall firewallu za pristup i eksfiltraciju osjetljivih datoteka. Ugroženi su osobni i financijski podaci korisnika.
Izvor: Infosecurity Magazine

LockBit 5.0 infrastruktura otkrivena kroz novi leak
Istraživači su otkrili ključnu LockBit 5.0 infrastrukturu na IP adresi 205.185.116.233 i domeni karma0.xyz, povezanoj s PONYNET mrežom. Leak pruža uvid u operacije grupe usred njihove ponovne eskalacije aktivnosti.
Izvor: Cybersecurity News

AWS: Kineski akteri eksploatirali React2Shell nekoliko sati nakon objave
AWS upozorava da su kineski akteri eksploatirali novu React2Shell ranjivost (CVE-2025-55182) svega nekoliko sati nakon objave. Iako AWS usluge nisu pogođene, ranjivost predstavlja rizik za organizacije koje koriste ranjive React i Next.js implementacije.
Izvor: Security Affairs

Veliki ClickFix phishing napadi ciljaju hotelske sustave s malwareom PureRAT
Sigurnosni istraživači otkrili su opsešnu phishing kampanju usmjerenu na ugostiteljski sektor koja koristi ClickFix-stranice kako bi prevarila upravitelje hotela i instalirala PureRAT. Napadači su koristili kompromitirane e-mail račune za lažno predstavljanje Booking.coma i preusmjeravanje žrtava na stranice za krađu vjerodajnica. Ukradene vjerodajnice omogućuju neovlašten pristup platformama za rezervacije poput Booking.coma i Expidije, koji se potom prodaju ili koriste za daljnju prijevaru.
Izvor: TheHackerNews

Microsoft otkrio napad ‘Whisper Leak’ koji u šifriranom prometu otkriva teme razgovora s AI
Microsoftovi istraživači opisali su bočno-kanalni napad nazvan Whisper Leak koji može, uz mogućnost promatranja mrežnog prometa, iz šifriranih tokova podataka zaključiti o čemu korisnik razgovara s modelom jezika u streaming načinu. Napad ugrožava privatnost komunikacija s AI sustavima jer pasivni promatrači mreže moguekstraktirati indikacije o temama koje se razmjenjuju.
Izvor: TheHackerNews

QNAP zakrpio ranjivosti iskorištavane na Pwn2Own Ireland
QNAP je objavio zakrpe za dvije desetine ranjivosti u svom portfelju, uključujući sedam koje su demonstrirane na natjecanju Pwn2Own Ireland 2025. Istraživači su pokazali složene lančane eksploatacije koje su pogodile QNAP rutere i NAS uređaje. Dobiveno je više nagrada, a QNAP preporučuje nadogradnju na HBS 3 Hybrid Backup Sync verziju 26.2.0.938 te promjenu lozinki nakon ažuriranja.
Izvor: SecurityWeek

“Ransomvibing” zahvatio Visual Studio Marketplace
Otkriven je maliciozni dodatak u Visual Studio Marketplaceu koji demonstrira pojavni trend „ransomvibing“ — generiranje ransomwarea putem AI „vibe coding“ pristupa. Dodatak otvoreno šifrira i eksfiltrira podatke, što pokazuje kako prijetitelji koriste AI za brzo stvaranje zlonamjernog koda putem prirodnog jezika. Istraživači upozoravaju na rastući rizik kako AI-generirani kod postaje uobičajen u razvoju softvera.
Izvor: DarkReading

GlassWorm malware vraća se na OpenVSX s 3 nova VSCode dodatka
Kampanja GlassWorm vratila se na OpenVSX s tri nova VSCode dodatka, koji su već preuzeti više od 10.000 puta. Malware koristi skrivene Unicode znakove i Solana transakcije za preuzimanje payloada koji krade vjerodajnice i podatke iz kripto-novčanika. OpenVSX je u odgovoru rotirao pristupne tokene za kompromitirane račune i uveo sigurnosne mjere za sprječavanje daljnjih incidenata.
Izvor: BleepingComputer

Prekinute veze: studija slučaja iranske špijunaže i atribucije
Istraživači Proofpointa analizirali su kampanju špijunaže koja je potekla iz Irana, a započela je bezazlenim e-mailom o političkoj nestabilnosti u zemlji. Analiza je pokazala preklapanje taktika s nekoliko iranskih hakerskih skupina, uključujući TA455, TA453 i TA450. Zbog nedostatka jasnih dokaza o povezanosti s jednom određenom grupom, aktivnost je označena kao privremeni klaster UNK_SmudgedSerpent. Slučaj pokazuje koliko je složeno precizno pripisivanje kibernetičkih napada državnim akterima.
Izvor: Proofpoint

Porast napada na industriju i širenje mobilnog zlonamjernog softvera: izvješće ThreatLabz 2025
Zscalerovo izvješće ThreatLabz 2025 otkriva porast napada na mobilne uređaje, IoT i OT sustave, koji su sve više međusobno povezani u poslovnoj infrastrukturi. Aktivnost Android zlonamjernog softvera porasla je za 67% u odnosu na prethodnu godinu, a otkriveno je 239 zlonamjernih aplikacija koje su preuzete više od 42 milijuna puta. Sektori energije, prometa i zdravstva zabilježili su najveći porast napada – 387%, 382% i 224% – potaknut naprednim špijunskim i bankarskim trojancima.
Izvor: Zscaler

LANDFALL: novi komercijalni Android špijunski softver u lancu iskorištavanja Samsung uređaja
Unit 42 iz Palo Alto Networksa otkrio je novi Android špijunski softver nazvan LANDFALL koji iskorištava nultodnevnu ranjivost CVE-2025-21042 u Samsungovoj biblioteci za obradu slika. Špijunski softver distribuirao se putem zlonamjernih DNG datoteka poslanih preko WhatsAppa te je aktivno korišten prije nego što je Samsung objavio zakrpu u travnju 2025. Napadni lanac podsjeća na ranije eksploatacije koje su ciljale Apple i WhatsApp, što ukazuje na širi obrazac međuplatformskih napada.
Izvor: Unit 42 (Palo Alto Networks)

Studeni 2025 Patch Tuesday: kraj podrške za Windows Exchange Server?
Prema analizi HelpNetSecurityja, Microsoft je u listopadu 2025. objavio rekordni broj sigurnosnih zakrpa – ukupno 250 CVE ranjivosti u sustavima Windows 10 i 11. S obzirom na završetak podrške za starije verzije sustava Office i Exchange Server, Microsoft potiče korisnike da prijeđu na podržane platforme. Završna nadogradnja za Windows 11 23H2 Professional izlazi idući tjedan, dok će inačice Education i Enterprise imati podršku do studenog 2026.
Izvor: HelpNetSecurity

Praćenje zmaja: analiza ransomware napada povezanog s grupom DragonForce
Tvrtka Darktrace istražila je ransomware napad povezan s grupom DragonForce koji je ciljao proizvodni sektor. Napadači su koristili brutalne napade na lozinke, eksfiltraciju podataka i šifriranje datoteka. Analiza artefakata u Windows Registriju otkrila je manipulacije planiranim zadacima i sigurnosnim postavkama WMI-ja, što upućuje na napredne tehnike postojanosti. Nalazi pokazuju sve veću složenost napada povezanih s DragonForceom.
Izvor: Darktrace

Napadi zlonamjernog softvera ClickFix evoluirali s podrškom za više operativnih sustava i video vodičima
Kampanja zlonamjernog softvera ClickFix dobila je nova obilježja poput podrške za više operativnih sustava, ugrađenih video vodiča koji žrtvama prikazuju korake samoinfekcije te automatskog prepoznavanja sustava radi ispravnog pokretanja naredbi. Dok su ranije napadi sadržavali tekstualne upute za pokretanje zlonamjernog koda, sada se koriste video materijali koji djeluju uvjerljivije. Cilj napada ostaje isti – korisnike prevarom navesti na pokretanje zlonamjernog softvera koji preuzima i aktivira krađače informacija.
Izvor: BleepingComputer

Kritična ranjivost u Cisco UCCX omogućuje napadačima pokretanje naredbi s root privilegijama
Cisco je zakrpao kritičnu ranjivost (CVE-2025-20354) u svojoj platformi Unified Contact Center Express (UCCX) koja je omogućavala neautenticiranim napadačima izvršavanje naredbi s root privilegijama. Propust, koji se nalazi u Java RMI procesu, prijavio je sigurnosni istraživač Jahmel Harris. Cisco je također ispravio zaseban propust u aplikaciji CCX Editor koji je omogućavao zaobilaženje autentifikacije i udaljeno pokretanje proizvoljnih skripti s administrativnim ovlastima.
Izvor: BleepingComputer

SonicWall potvrdio da su državni hakeri odgovorni za provalu u rujnu
SonicWall je potvrdio da su za provalu u rujnu, kojom su neovlašteno pristupljene sigurnosne kopije konfiguracija vatrozida, odgovorni hakeri koje sponzorira država. Napadači su pristupili podacima putem API poziva iz određenog oblaka. Tvrtka je naglasila da incident nije povezan s globalnim napadima Akira ransomwarea, no nije otkrila koja je država odgovorna. Povreda je zahvatila manje od 5% korisnika koji koriste uslugu sigurnosnih kopija u oblaku.
Izvor: TheHackerNews

Od vježbi do operativne otpornosti: izgradnja kibernetičke otpornosti u financijskom sektoru
Financijske institucije sada su obvezne provoditi vježbe kibernetičke otpornosti zbog novih regulatornih zahtjeva kao što su DORA u EU i CPS230 u Australiji. Takve vježbe, koje su nekad bile dobrovoljne, sada su operativna nužnost. Glavni izazov u ispunjavanju propisa leži u suradnji između tehničkih i netehničkih timova, što zahtijeva koordiniran pristup kako bi se ojačala otpornost i učinkovitost organizacija.
Izvor: TheHackerNews

Izvješće otkriva da je ransomware napad na Nevadu započeo mjesecima prije otkrivanja
Prema službenom izvješću, ransomware napad na američku saveznu državu Nevadu, otkriven u kolovozu 2025., započeo je još u svibnju kada je zaposlenik slučajno preuzeo zlonamjerni softver. Napad je uzrokovao velike prekide u radu javnih usluga, uključujući izdavanje vozačkih dozvola i provjere zaposlenja. Troškovi oporavka procjenjuju se na najmanje 1,5 milijuna dolara, a vlasti su potvrdile da otkupnina nije plaćena.
Izvor: SecurityWeek

Kako pobijediti XLoader: generativna umjetna inteligencija kao pojačivač u reverznom inženjeringu
Istraživanje Check Pointa pokazuje kako generativna umjetna inteligencija ubrzava analizu zlonamjernog softvera poput XLoadera, jednog od najtežih za dešifriranje. XLoader koristi višeslojne enkripcije, lažne C2 domene i tehnike prikrivanja, što je dosad otežavalo analizu. Uz pomoć generativne AI, istraživači mogu u nekoliko sati prepoznati algoritme, generirati alate za dešifriranje i otkriti indikatore kompromitacije, čime se značajno smanjuje vrijeme reakcije na prijetnje.
Izvor: Check Point Research

Iskorištavanje Microsoft Teams platforme: otkrivene ranjivosti za lažno predstavljanje i spoofing
Novo istraživanje Check Pointa otkrilo je ranjivosti u Microsoft Teams platformi koje su omogućavale napadačima da se lažno predstave kao rukovoditelji, manipuliraju porukama i krivotvore obavijesti. Propusti su se mogli iskoristiti od strane zlonamjernih internih korisnika ili vanjskih gostiju, čime se narušava povjerenje u komunikaciju unutar organizacija. Napadači su mogli mijenjati sadržaj razgovora bez traga, što predstavlja ozbiljan rizik za tvrtke koje svakodnevno koriste Teams za donošenje odluka i razmjenu osjetljivih podataka.
Izvor: Check Point Research

GTIG AI Threat Tracker: napredak u korištenju AI alata od strane prijetnji
Google Threat Intelligence Group (GTIG) izvještava da su prijetnje prešle s korištenja umjetne inteligencije za učinkovitost na aktivno korištenje AI zlonamjernog softvera koji se prilagođava u stvarnom vremenu. Najnovije izvješće „AI Threat Tracker“ pokazuje da državne i kibernetičke kriminalne skupine integriraju strojno učenje u napade kako bi poboljšale prikrivanje i trajnost. Ovo označava novu fazu u kojoj AI postaje ključni element u cjelokupnom životnom ciklusu napada.
Izvor: Google Cloud

Napadi na opskrbne lance softvera dosegnuli rekordnu razinu u listopadu 2025.
Prema podacima Cyblea, napadi na opskrbne lance softvera dosegnuli su rekordnu razinu u listopadu 2025., s rastom od 30% u odnosu na prethodni rekord iz travnja. Zabilježeno je 41 napad, što je dvostruko više od prosjeka iz 2024. godine. Porast se povezuje s iskorištavanjem nultodnevnih ranjivosti te ciljanjem SaaS i IT pružatelja usluga. Cyble upozorava da je rizik i dalje visok, a dodatni porast potiču AI phishing kampanje i prijetnje u oblaku.
Izvor: Cyble

Južnoafrička Republika pokreće pilot-projekt za sigurno razmjenjivanje podataka među državnim agencijama
Južnoafrička Republika pokrenula je pilot-projekt „MzansiXchange“, koji omogućuje sigurnu razmjenu podataka između državnih odjela. Projekt, koji vodi Nacionalna riznica, ima za cilj ukloniti podatkovne silose i povećati učinkovitost javne uprave omogućujući odjelima da surađuju u stvarnom vremenu. MzansiXchange ne djeluje kao centralna baza podataka, već kao siguran most za razmjenu podataka između ovlaštenih tijela, čime se potiče interoperabilnost i transparentnost u upravljanju.
Izvor: Cyble

Priprema za nadolazeće prijetnje: sigurnosna prognoza za 2026.
Google Cloud objavio je izvješće „Cybersecurity Forecast 2026“, koje donosi uvid u ključne sigurnosne izazove očekivane u nadolazećoj godini. Izvješće naglašava kako će kibernetički akteri u potpunosti prigrliti umjetnu inteligenciju radi ubrzanja i skaliranja svojih operacija. Posebno se ističe porast napada tipa prompt injection – manipulacija AI modelima radi izvršavanja skrivenih zlonamjernih naredbi. Prognoze se temelje na stvarnim podacima i iskustvima sigurnosnih stručnjaka, analitičara i istraživača Google Clouda.
Izvor: Google Cloud

Američki tužitelji optužili sigurnosne stručnjake zbog BlackCat ransomware napada
Savezni tužitelji u SAD-u optužili su trojicu američkih državljana – Ryana Clifforda Goldberga, Kevina Tylera Martina i neimenovanog suučesnika – za provođenje BlackCat ransomware napada na pet američkih tvrtki između svibnja i studenog 2023. Optuženi, koji su radili kao stručnjaci za odgovor na incidente i pregovarači za ransomware, navodno su zloupotrijebili svoj položaj kako bi izvodili iznude nad tvrtkama iz sektora zdravstva, farmacije i inženjeringa, kradući podatke, šifrirajući ih i zahtijevajući otkupninu u kriptovalutama.
Izvor: TheHackerNews

Hakeri iskorištavaju kritičnu ranjivost u JobMonster WordPress temi
Zlonamjerni akteri aktivno iskorištavaju ranjivost CVE-2025-5397 u WordPress temi JobMonster, koja omogućuje zaobilaženje autentikacije i preuzimanje administratorskih računa. Ranjivost s ocjenom 9.8 na CVSS ljestvici proizlazi iz neadekvatne provjere identiteta u funkciji check_login(). Wordfence je zabilježio brojne pokušaje iskorištavanja na stranicama svojih korisnika. Tema JobMonster, popularna među portalima za zapošljavanje, ostaje ranjiva u svim verzijama do 4.8.1.
Izvor: BleepingComputer

Lažna Solidity VSCode ekstenzija na Open VSX platformi ugrožava programere
Otkrivena je lažna VSCode ekstenzija pod nazivom „juan-bianco.solidity-vlang“ na Open VSX registru, koja distribuira trojanca na daljinu nazvanog SleepyDuck. Ekstenzija je u početku bila bezopasna, ali je nakon nadogradnje postala zlonamjerna te je do sada preuzeta više od 53.000 puta. SleepyDuck koristi Ethereum pametni ugovor kao prikriveni kanal komunikacije, omogućujući napadačima daljinsko upravljanje kompromitiranim sustavima programera.
Izvor: BleepingComputer

Apple zakrpao 19 ranjivosti u WebKit mehanizmu
Apple je objavio ažuriranja za iOS 26.1 i macOS koja ispravljaju više od 100 sigurnosnih propusta, uključujući 19 koji pogađaju WebKit preglednički mehanizam. Iskorištavanje ovih ranjivosti moglo bi omogućiti krađu podataka, padove procesa ili praćenje unosa s tipkovnice. Mnoge od grešaka otkrio je Googleov AI agent „Big Sleep“, koji automatski pronalazi ranjivosti prije nego što ih zlonamjerni akteri iskoriste.
Izvor: SecurityWeek

Sjevernokorejski hakeri uhvaćeni na videu kako koriste AI filtere u lažnim razgovorima za posao
Sjevernokorejska hakerska skupina Famous Chollima koristi AI deepfake tehnologiju u stvarnom vremenu kako bi se predstavljala kao softverski inženjeri tijekom razgovora za posao u tvrtkama iz sektora kriptovaluta i Web3 tehnologija. Operativci kradu stvarne identitete i životopise, koristeći AI filtere lica kako bi sakrili svoj izgled i dobili zaposlenje pod lažnim identitetom. Cilj im je infiltrirati zapadne tvrtke radi industrijske špijunaže i financijske dobiti. Analitičari tima Quetzal zabilježili su najmanje dva pokušaja infiltracije na pozicijama viših softverskih inženjera.
Izvor: HackRead

Tjedni pregled ranjivosti: Cyble upozorava na potrebe za zakrpama u Apacheu i Microsoftu
Istraživači tvrtke Cyble pratili su 1.128 ranjivosti tijekom proteklog tjedna, od kojih 138 već ima javno dostupne Proof-of-Concept iskorištaje, čime se povećava rizik od stvarnih napada. Šezdeset i sedam ranjivosti ocijenjeno je kao kritično prema CVSS v3.1, a 22 prema CVSS v4.0. Među njima je CVE-2025-55754, ranjivost u Apache Tomcatu koja može omogućiti posredno izvršavanje administratorskih naredbi manipulacijom konzole ako administrator bude prevaren da pokrene zlonamjerne naredbe.
Izvor: Cyble

Udaljeni pristup, stvarni teret: kibernetički kriminalci ciljaju logističke i transportne tvrtke
Tvrtka Proofpoint otkrila je kampanju u kojoj kibernetički kriminalci koriste alate za udaljeno upravljanje (RMM) kako bi kompromitirali logističke i transportne tvrtke te preusmjerili stvarne pošiljke tereta. Napadači surađuju s organiziranim kriminalnim skupinama kako bi se infiltrirali u mreže, sudjelovali u stvarnim natječajima za prijevoz robe i potom ukrali pošiljke. Ukradena roba, od elektronike do napitaka, prodaje se putem interneta ili šalje u inozemstvo, uzrokujući velike financijske gubitke i poremećaje u opskrbnim lancima.
Izvor: Proofpoint

Operacija SkyCloak: Tor kampanja cilja vojsku Rusije i Bjelorusije
SEQRITE Labs otkrio je Tor kampanju koja cilja vojno osoblje Rusije i Bjelorusije, uključujući ruske zračne snage i bjeloruske specijalne postrojbe. Lanac infekcije koristi obfs4 mostove za anonimnu komunikaciju putem Tor mreže, višefazne PowerShell skripte te vojne mamce kako bi prevario žrtve. Slične regionalne kampanje, poput HollowQuill i CargoTalon, također su zabilježene 2025. godine, s naglaskom na zrakoplovni i obrambeni sektor.
Izvor: Seqrite

Broj žrtava ransomwarea na leak stranicama porastao za 13% u godinu dana
Europske organizacije zabilježile su porast ransomware napada od 13% između rujna 2024. i kolovoza 2025., pri čemu su najviše pogođene britanske tvrtke, navodi se u CrowdStrikeovom izvješću o europskom prijetnjama. Ukupan broj žrtava objavljenih na leak stranicama dosegao je 1.380, a među najugroženijima su Njemačka, Italija, Francuska i Španjolska. Najčešće pogođeni sektori uključuju proizvodnju, tehnologiju i profesionalne usluge, što ukazuje na kontinuirani porast financijski motiviranih napada u Europi.
Izvor: Infosecurity Magazine