俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题：客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告，但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器，都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录：2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书，通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现，该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月，很可能是 Hetzner 和 Linode 被迫设置的，用于执行合法拦截。

安全公司 Malwarebytes 警告，攻击者正通过 Google 广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。但最值得注意的是攻击者的策略。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站，钓鱼域名和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。在浏览器上看到的域名 ķeepass[.]info 实际上是国际化域名编码 xn--eepass-vbb[.]info。用户通过钓鱼网站下载的 KeePass 包含的恶意代码属于 FakeBat 恶意程序家族。