Het signaal van vanochtend is vrij hard: aanvallers winnen nog steeds via sessiediefstal, document-exploits, gerichte credential-phishing en supply-chain-afhankelijkheden. Chrome levert eindelijk een echte verdedigingsverbetering, maar de rest van deze briefing laat zien dat identity en endpoint-hygiëne nog steeds de doorslag geven.
Kernpunt: één nuttige browserversterking, één actieve pdf-zero-day, twee gerichte intrusiecampagnes, één grote Android-SDK-blootstelling en extra patchdruk op randapparatuur.
Google heeft Device Bound Session Credentials (DBSC) uitgerold in Chrome 146 voor Windows. De functie koppelt kortlevende sessiegegevens cryptografisch aan hardware-backed sleutels. Daardoor kan een infostealer een cookie niet meer zo makkelijk van het ene systeem stelen en elders hergebruiken.
Dat is belangrijk, want cookiediefstal is een van de snelste routes geworden om wachtwoorden en MFA te omzeilen. Chrome lost malware niet op, maar maakt post-compromise session hijacking wel duurder en moeilijker.
Onderzoekers zeggen dat een onbekende Adobe Reader zero-day sinds ten minste december 2025 actief wordt misbruikt via gemanipuleerde pdf-bestanden. De samples voeren verhulde JavaScript uit, verzamelen lokale informatie, maken contact met een externe server en kunnen de weg vrijmaken voor latere code-executie of sandbox escape.
Dat is vervelend, omdat pdf nog altijd een van de meest vertrouwde bestandsformaten in bedrijfsprocessen is. Als een actieve exploit in een factuur verstopt zit, is gebruikersvoorlichting alleen niet genoeg.
Rapportage rond Cisco Talos beschrijft LucidRook als modulaire Lua-gebaseerde malware in spear-phishingcampagnes tegen Taiwanese ngo’s en universiteiten. De malware gebruikt gefaseerde levering, DLL sideloading, zware obfuscatie en externe Lua-bytecode om flexibel en lastig te onderzoeken te blijven.
Interessant is niet alleen de malware zelf, maar de operationele discipline. Dit lijkt gebouwd voor gerichte toegang en stille verzameling, niet voor luidruchtige massa-crimeware.
Onderzoek van Abnormal naar het gesloten phishing-as-a-serviceplatform VENOM laat een scherpe focus op C-level doelen zien. De kit doet zich voor als SharePoint-melding, verstopt targetdata in URL-fragmenten, gebruikt QR-codes om slachtoffers naar mobiel te duwen en steelt toegang via adversary-in-the-middle- en device-code-flows.
Verdedigers moeten hier niet meer omheen praten: als je nog leunt op standaard MFA en slappe conditional access voor executives, verlies je terrein.
Microsoft publiceerde details over een gepatchte EngageLab-SDK-kwetsbaarheid waardoor een kwaadaardige app mogelijk app-grenzen kon omzeilen en private data kon benaderen van andere apps met dezelfde SDK. Volgens Microsoft ging het om meer dan 50 miljoen installaties, waaronder 30 miljoen crypto-wallet-installaties.
Er is geen publiek bewijs van misbruik, maar de les is helder. Externe mobiele SDK’s horen gewoon bij het aanvalsoppervlak.
SecurityWeek wees ook op nieuwe high-severity patches van Palo Alto Networks en SonicWall. Het exacte risico verschilt per product, maar het patroon blijft hetzelfde: blootgestelde edge-systemen zijn nog steeds een van de snelste routes naar admincontrole.
Bronnen voor deze briefing: BleepingComputer, The Hacker News en SecurityWeek, gepubliceerd op 9 en 10 april 2026.
KENSAI helpt teams blootgestelde aanvalspaden, zwakke identity-controls en kwetsbare internetgerichte assets te vinden voordat ze uitgroeien tot een incident.
Start gratis scan →Blijf scherp.
🗡️ KENSAI Security Team