CISA geeft noodrichtlijn ED-26-03 uit voor Cisco SD-WAN zero-day CVE-2026-20127 (CVSS 10.0) — actief uitgebuit sinds 2023. Chinese UNC2814/GRIDTIDE campagne treft 53 organisaties in 42 landen. ShinyHunters comprometteert CarGurus (12,4M records) en Wynn Resorts. Ontwikkelaars supply chain onder beleg met nepgesprekken en kwaadaardige pakketten.
CISA noodrichtlijn ED-26-03 verplicht alle federale agentschappen de kritieke authenticatie-omzeiling in Cisco Catalyst SD-WAN Controller en Manager te patchen voor morgen om 17:00 ET. Actief uitgebuit sinds 2023.
Dit is een volledige authenticatie-omzeiling die externe aanvallers toestaat om:
Australian Signals Directorate ontdekte een geavanceerd aanvalspatroon:
Controleer /var/log/auth.log voor "Accepted publickey for vmanage-admin" van onbekende IP-adressen. Aanvallers gevolgd als UAT-8616 gebruiken deze vingerafdruk voor initiële toegang.
Google verstoorde een China-gerelateerde spionagecampagne gevolgd sinds 2017. UNC2814 gebruikte Google Sheets API voor C2 om kwaadaardig verkeer te vermommen als legitieme SaaS-oproepen.
De GRIDTIDE backdoor vertegenwoordigt een nieuwe evolutie in natiestaat-stealth:
| Regio | Bevestigde Compromittering | Primaire Doelen |
|---|---|---|
| Azië-Pacific | 23 organisaties | Overheid, Telecom |
| Afrika | 18 organisaties | Overheid |
| Amerika | 12 organisaties | Telecom, Kritieke Infrastructuur |
| Totale Landen | 42 landen | 53 bevestigd + 20+ vermoed |
Google beëindigde alle aanvallers Cloud Projecten, deactiveerde infrastructuur en sneed API-toegang af. Dit vertegenwoordigt een van de grootste gedocumenteerde natiestaat-campagnes van 2026.
ShinyHunters afpersingsgroep trof twee grote Amerikaanse bedrijven in dezelfde week — autoplatform CarGurus en casino-operator Wynn Resorts.
ShinyHunters is onderdeel van de grotere SLH supergroep (Scattered LAPSUS$ + Scattered Spider + ShinyHunters) — een van 2026's meest prolifieke afpersingsoperaties.
Gecoördineerde campagne gebruikt nep Next.js repositories als sollicitatiegesprek "coderingstests" om ontwikkelaarsmachines te compromitteren via VS Code en npm run dev triggers.
Multi-stage uitvoering:
Vier pakketten die ASP.NET ontwikkelaars targetten 4.500+ keer gedownload:
NCryptYoDOMOAuth2_IRAOAuth2.0SimpleWriter_Pakketten exfiltreren ASP.NET Identity data (gebruikersaccounts, rollen, machtigingen) en vestigen localhost proxy relay naar aanvaller C2.
Orca Security ontdekte indirecte prompt injectie via GitHub issues. Kwaadaardige instructies verborgen in HTML commentaren werden verwerkt door Copilot in Codespaces, mogelijk GITHUB_TOKEN lekkend naar aanvallers.
Scattered LAPSUS$ Hunters (SLH) supergroep biedt $500-$1.000 per succesvolle oproep om vrouwen te rekruteren voor IT helpdesk vishing aanvallen. Het doel: verhoog succesratio door stem diversiteit en verminder achterdocht.
Aanvalsmethoden omvatten:
Peter Williams (39, Australiër), voormalig hoofd van L3Harris's Trenchant unit, veroordeeld voor verkoop 8 zero-day exploits aan Russische exploit broker Operation Zero voor tot $4M in cryptocurrency.
Zaakdetails:
| Metriek | Waarde |
|---|---|
| Cisco SD-WAN CVSS Score | 10.0 (Kritiek) |
| Federale patch deadline | 27 feb, 17:00 ET |
| UNC2814 gecompromitteerde organisaties | 53 bevestigd |
| Landen beïnvloed door GRIDTIDE | 42 landen |
| CarGurus records gelekt | 12,4 miljoen |
| Kwaadaardige NuGet pakket downloads | 4.500+ |
| SLH vishing betaling per oproep | $500-$1.000 |
| L3Harris zero-day verkoopwaarde | $4 miljoen |
KENSAI scant voor CVE-2026-20127 en andere kritieke netwerkinfrastructuur kwetsbaarheden. Noodscannen beschikbaar voor CISA richtlijn compliance.
NoodscanBlijf veilig. Blijf waakzaam.
🗡️ KENSAI Beveiligingsteam
Get a free security scan of your website in 60 seconds
Free Security Scan →