Форуми викривають витоки Polymarket та PNC, Google виправляє RCE у Gemini CLI

Зведення

Дві різні поверхні дня зіштовхуються. На підпільних форумах 47 нібито постів про витоки даних та 10 заяв про зливи цілили у фінансові компанії США, державні бази даних та регіональні адміністрації Індонезії -- важке скупчення жертв із США під одним кластером акторів. У сфері опублікованих досліджень Google виправив RCE з CVSS-10 у своєму інструменті Gemini CLI, було розкрито логічну ваду ядра Linux, вперше внесену у 2017 році, що дозволяє отримати root-доступ, а cPanel підтвердив, що критичний обхід автентифікації експлуатувався як zero-day протягом місяців. Захисникам слід сприймати картину дня як швидке зближення між шаром кримінальної активності (форумні заяви, програми-вимагачі) та стратегічним шаром вразливостей (AI-інструменти, ядра ОС, хостингові панелі).

Події дня

Форумні заяви сконцентрувалися на жертвах із США. Актор xorcat опублікував нібито витоки Polymarket, системи правосуддя Арканзасу та бази даних держслужбовців, софтверної фірми KBROApp, бази даних риболовного додатку Lakemonster (43 773 облікових записів) та серії французьких суб'єктів, включаючи Yaaka та продаж сільськогосподарських даних ADEMI/AQUAES. Актор Fallen (також публікує як TheFallen) зібрав портфоліо, орієнтоване на США: Liberty Mutual Insurance, e-commerce постачальник American Luxury Unlimited, фінансова фірма TastyFX, рітейлер Big Island Candies, American Investors Company, American Franchise Academy та список "Executive High-Income Individuals". Актор AdminOwner заявив про нібито витоки даних ВПС США та продаж 6 мільйонів записів, пов'язаних із клієнтами PNC wealth-and-asset-management, разом із окремою заявою про Філіппінську національну поліцію та скарбницею даних інвесторів ОАЕ обсягом 30 ГБ. Актор GordonFreeman опублікував набір даних Міністерства освіти Гватемали на 150 тис. записів.

Державне управління та освіта отримали окремий індонезійський кластер. Mr. Hanz Xploit заявив про нібито витоки регентства Джембер, регіонального податкового агентства Bapenda Inhu та Університету національного розвитку "Veteran" Джакарта (UPNVJ); Xyph0rix заявив про витік даних мешканців Джок'якарти. Державне управління стало другою за величиною галуззю-жертвою дня після невизначених записів -- 15 із 150 подій. Cyber_Isnaad_Front заявив про продаж, націлений на ізраїльського оборонного постачальника IMCO Industries Ltd. Французькі заяви про витоки цілили на ChimeraZ у NEMEA Group (нерухомість), ijpys на Yomoni та Lagui на "FRENCH DATABASE EASY CASH". Окремий список Vave888 заявив про доступ до "бази даних Chase bank та Citibank".

Активність DDoS була зосереджена у трьох акторських хендлах. Order403 здійснив 10 із 31 події DDoS, NoName057(16) -- 6, дотримуючись свого усталеного сценарію націлювання на Україну, з меншими кластерами від Payouts King та HellR00ters Team. Оператори програм-вимагачів розподілили 23 події протягом дня. Окрема історія з опублікованих досліджень про програми-вимагачі: Sandhills Medical розкрив витік Inc Ransom, що торкнувся 170 000 осіб, причому розкриття відбулося майже через рік після первинного інциденту.

Розкриття вразливостей дня потрапили до критичної території:

• Google виправив RCE максимальної серйозності (CVSS 10) у Gemini CLI -- як у пакеті npm @google/gemini-cli, так і у робочому процесі google-github-actions/run-gemini-cli -- що дозволяло атакувальникам виконувати довільні команди на хост-системах через підставлену шкідливу конфігурацію; супутні вади у Cursor також були виправлені.
• Високосерйозна вразливість локального підвищення привілеїв у ядрі Linux, відстежувана як CVE-2026-31431 (CVSS 7.8), з кодовою назвою "Copy Fail" від Xint.io та ThreatGen, дозволяє непривілейованому локальному користувачеві отримати root; вада, що знаходиться у криптографічному шаблоні authenc ядра, була внесена у 2017 році та зачіпає всі основні дистрибутиви.
• SecurityWeek повідомив, що критична вада обходу автентифікації у cPanel та WHM -- виправлена 28 квітня -- експлуатувалася як zero-day протягом місяців до розкриття, дозволяючи адміністративний доступ до вразливих серверів.
• Claroty розкрив дві вади EnOcean SmartServer (обхід безпеки та віддалене виконання коду), що наражають будівлі, які використовують стек протоколу, на віддалене захоплення.

Два елементи стеку шкідливого ПЗ завершили опубліковані дослідження. Нова бекдор-фреймворк на Python під назвою DEEP#DOOR використовує інфраструктуру тунелювання для постійного доступу та широкого збору облікових даних із браузерів та хмарних сервісів. Окрема кампанія, відстежувана Atos Threat Research Center як EtherRAT, виявлена у березні 2026 року, поширює RAT-навантаження через фасади GitHub, що маскуються під адміністративні інструменти, спеціально націлюючись на високопривілейовані облікові записи корпоративних адміністраторів, DevOps-інженерів та аналітиків безпеки. Anthropic окремо повідомив, що не випускатиме свою AI-модель Mythos публічно після того, як модель виявила "тисячі раніше невідомих вразливостей програмного забезпечення" у великих операційних системах та браузерах, що порушує питання управління щодо AI-керованих офензивних досліджень.

Сигнали ландшафту загроз

Концентрація топ-3 акторів є значущою: Order403, HellR00ters Team та Payouts King разом складають 28 із 150 подій -- приблизно 19 відсотків денних постів. Географія форумних цілей сильно зміщена до жертв із США (41 із 150), за якими йдуть індонезійські державні та академічні жертви (12). Концентрація стеку вразливостей на AI-інструментах, внутрішніх компонентах ядра Linux та хостингових панелях свідчить про те, що захисникам слід зважувати ці поверхні у пріоритетах латання: опублікований RCE у AI CLI, який масово використовується розробниками, вада ядра 2017 року та zero-day хостингової панелі, що експлуатувався місяцями, -- це одноетапні шляхи до адміністративного доступу. Майже річна затримка розкриття Inc Ransom щодо інциденту Sandhills Medical є операційним нагадуванням про те, що терміни від виявлення витоку до розкриття залишаються довгими навіть після регуляторного тиску.