← Back to Blog
Security Briefing 4 min read 2026-04-11

Security Briefing, 11 april 2026: CPUID-supplychainaanval, blootgestelde Rockwell-PLC’s, payrollpiraterij, Marimo-RCE en Gmail-E2EE op mobiel

Het signaal van vanochtend is lelijk en bekend: vertrouwde tools, blootgestelde industriële controlesystemen, gestolen sessies en bijna directe weaponization. Het ene lichtpunt is dat veilige e-mail op mobiel eindelijk iets praktischer wordt.


Top line: Eén software-supplychainbreuk, één OT-blootstellingswaarschuwing, één payrolldiefstalcampagne, één developer-tool-RCE uitgebuit binnen 10 uur en één defensieve winst van Google.


1. De downloadketen van CPUID werd vergiftigd

Aanvallers compromitteerden ongeveer zes uur lang een secundaire CPUID-API en wisselden officiële downloadlinks om, zodat gebruikers van CPU-Z en HWMonitor werden doorgestuurd naar een getrojaniseerde HWiNFO-installer. Onderzoekers zeggen dat de malware meerfasig, zwaar geobfusceerd en waarschijnlijk gericht op informatiediefstal was. CPUID zegt dat de ondertekende originele binaries niet zijn aangepast, maar de vertrouwensgrens is al doorbroken, en dat is het punt dat telt.


2. Bijna 4.000 Amerikaanse Rockwell-PLC’s staan nog steeds online open

Federale instanties waarschuwden dat Iran-gelinkte actoren sinds maart Rockwell Automation- en Allen-Bradley-PLC’s aanvallen, verstoring veroorzaken en HMI- en SCADA-schermen manipuleren. Censys telde daarna 5.219 blootgestelde hosts wereldwijd, waarvan 3.891 in de Verenigde Staten. Dat is niet alleen een slechte metric. Het is een permanente uitnodiging.


3. Storm-2755 steelt salarissen, niet alleen inbox-toegang

Microsoft zegt dat Storm-2755 adversary-in-the-middle-Microsoft-365-phishingpagina’s, sessiecookie-diefstal, verborgen inboxregels en social engineering rond direct deposit gebruikte om salarissen van Canadese werknemers om te leiden. De les is hard: legacy MFA redt je niet wanneer aanvallers de geauthenticeerde sessie stelen.


4. Marimo CVE-2026-39987 werd vrijwel meteen uitgebuit

Sysdig zag exploitatie van de pre-auth Marimo remote-code-executionfout binnen 9 uur en 41 minuten na publieke disclosure. De bug zat in de /terminal/ws-WebSocket-endpoint, die authenticatie oversloeg en aanvallers een interactieve shell gaf op blootgestelde instances. Dit is het nieuwe normaal: het venster tussen disclosure en exploit stort in.


5. Gmail end-to-end-encryptie bereikt eindelijk mobiel

Google zegt dat Gmail end-to-end-encryptie nu beschikbaar is op Android en iOS voor enterprisegebruikers, zodat teams beschermde berichten mobiel kunnen lezen en schrijven zonder extra tools. Het lost identiteitscompromis of endpointdiefstal niet op, maar haalt wel het standaardexcuses weg dat veilige e-mail te onhandig is voor echte workflows.


Wat securityteams vandaag moeten doen

  1. Controleer vertrouwde softwaredistributiepaden.
  2. Isoleer of verwijder internet-blootgestelde OT-assets.
  3. Versterk payroll- en HR-identiteitsstromen.
  4. Patch internetgerichte developer-tools op disclosure-dag.
  5. Breid veilige mobiele messaging uit voor gevoelige teams.

Sources tracked for this briefing: Bronnen voor deze briefing: BleepingComputer, The Hacker News en rapportage van federale instanties of leveranciers gepubliceerd op 10 en 11 april 2026.

Verkort de tijd waarop aanvallers rekenen

KENSAI helpt teams blootgestelde internetdiensten, zwakke identiteitsstromen en gevaarlijke software-supplychainhiaten te vinden voordat ze incidenten worden.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team