आज सुबह का संकेत बदसूरत और परिचित है: भरोसेमंद टूल, खुले industrial control systems, चोरी हुई sessions और लगभग तुरंत weaponization. एकमात्र अच्छी बात यह है कि secure-by-default email अब मोबाइल पर थोड़ा ज्यादा व्यावहारिक बन रहा है।
Top line: एक software supply-chain breach, एक OT exposure warning, एक payroll theft campaign, 10 घंटे से कम में exploit हुई developer-tool RCE, और Google की एक defensive जीत।
हमलावरों ने लगभग छह घंटे तक CPUID की एक secondary API से समझौता किया और आधिकारिक download links बदल दिए, ताकि CPU-Z और HWMonitor उपयोगकर्ताओं को trojanized HWiNFO installer पर भेजा जा सके। शोधकर्ताओं के अनुसार मैलवेयर multi-stage, भारी obfuscated और संभवतः information theft पर केंद्रित था। CPUID का कहना है कि उसके signed original binaries नहीं बदले गए, लेकिन trust boundary पहले ही टूट चुकी है, और असली मुद्दा वही है।
फेडरल एजेंसियों ने चेतावनी दी कि Iran-linked actors मार्च से Rockwell Automation और Allen-Bradley PLCs को निशाना बना रहे हैं, disruptions पैदा कर रहे हैं और HMI व SCADA displays से छेड़छाड़ कर रहे हैं। इसके बाद Censys ने दुनिया भर में 5,219 exposed hosts गिने, जिनमें 3,891 अमेरिका में थे। यह सिर्फ खराब metric नहीं है। यह स्थायी निमंत्रण है।
Microsoft के अनुसार Storm-2755 ने adversary-in-the-middle Microsoft 365 phishing pages, session cookie theft, hidden inbox rules और direct-deposit social engineering का उपयोग कर कनाडाई कर्मचारियों की payroll reroute की। सीधी सीख यह है: जब हमलावर authenticated session चुरा लेते हैं, तब legacy MFA आपको नहीं बचाता।
Sysdig ने public disclosure के 9 घंटे 41 मिनट के भीतर pre-auth Marimo remote code execution flaw का exploitation देखा। यह bug /terminal/ws WebSocket endpoint में था, जो authentication छोड़ देता था और exposed instances पर attackers को interactive shell दे देता था। अब यही नया normal है: disclosure से exploitation तक की window तेज़ी से सिकुड़ रही है।
Google का कहना है कि Gmail end-to-end encryption अब enterprise users के लिए Android और iOS पर उपलब्ध है, जिससे टीमें extra tools के बिना mobile पर protected messages पढ़ और लिख सकती हैं। यह identity compromise या endpoint theft को खत्म नहीं करता, लेकिन यह बहाना ज़रूर कमजोर करता है कि secure email वास्तविक workflows के लिए बहुत असुविधाजनक है।
Sources tracked for this briefing: इस ब्रीफिंग के लिए ट्रैक किए गए स्रोत: BleepingComputer, The Hacker News, और 10 से 11 अप्रैल 2026 के बीच प्रकाशित federal agency या vendor reporting।
KENSAI टीमों को exposed internet-facing systems, weak identity flows और dangerous software supply-chain gaps खोजने में मदद करता है, इससे पहले कि वे incidents बन जाएँ।
मुफ़्त स्कैन शुरू करें →तेज़ रहें।
🗡️ KENSAI Security Team