Het patroon van vandaag is hard: aanvallers misbruiken vertrouwde chat, vertrouwde SaaS-identiteit en vertrouwde AI-infrastructuur sneller dan veel teams kunnen patchen of verifiëren.
Kort gezegd: Drie verhalen verdienen vanochtend directe aandacht: een social-engineeringketen via Microsoft Teams die in domeincompromis kan eindigen, een echte vishing-naar-SaaS-breuk bij ADT en een SSRF-fout in AI-serving die in minder dan een halve dag werd getest.
Volgens Google Mandiant gebruikt UNC6692 e-mailbombardementen en imitatie in Microsoft Teams om medewerkers een nep anti-spam-patch te laten installeren. Het slachtoffer start in werkelijkheid de Snow-toolset: de browserextensie SnowBelt, de tunneler SnowGlaze en de Python-backdoor SnowBasin. Daarna dumpen de operators LSASS, bewegen ze lateraal, bereiken ze domeincontrollers en exfiltreren ze Active Directory-materiaal. Dit is niet gewoon nog een phishingmail; het is een chat-native inbraakpad dat eruitziet als interne support.
ADT zegt dat aanvallers gegevens van klanten en prospects hebben gestolen, waaronder namen, telefoonnummers, adressen en in een kleiner aantal gevallen geboortedata en de laatste vier cijfers van SSN’s of fiscale ID’s. ShinyHunters vertelde BleepingComputer dat de aanval begon met een vishing-aanval op een Okta-SSO-account van een medewerker en daarna uitbreidde naar Salesforce. Of elke claim van de aanvaller klopt of niet, de operationele les is duidelijk: zodra een vertrouwde SaaS-identiteit valt, wordt het hele gekoppelde bedrijfsplatform de blast radius.
De LMDeploy-SSRF-fout, CVE-2026-33626, zou binnen 12 uur en 31 minuten na disclosure zijn uitgebuit. Aanvallers gebruikten de vision-language image loader om AWS-metadata, Redis, MySQL, lokale admin-oppervlakken en een externe callback-endpoint te verkennen. Dat doet ertoe omdat LMDeploy precies het soort LLM-servingcomponent is dat teams snel uitrollen en licht reviewen. Wanneer een advisory de root cause en het getroffen codepad weggeeft, wachten aanvallers niet op je volgende sprint.
Bottom line: Het patroon van vandaag is hard: aanvallers misbruiken vertrouwde chat, vertrouwde SaaS-identiteit en vertrouwde AI-infrastructuur sneller dan veel teams kunnen patchen of verifiëren.
KENSAI helpt teams blootgestelde aanvalspaden zichtbaar te maken over identiteitsworkflows, SaaS-platforms, collaboration-tools en AI-infrastructuur voordat aanvallers normaal zakelijk vertrouwen omzetten in inbraaktoegang.
Gratis scan →Blijf scherp.
🗡️ KENSAI Security Team