Het patroon van vanochtend is lelijk en consistent: vertrouwde supportkanalen, vertrouwde infrastructuur, vertrouwde app stores en vertrouwde AI-tooling worden allemaal omgezet in snelle aanvalsroutes.
Kort: Vier verhalen zijn belangrijk voordat veel teams hun standup hebben afgerond: chatgebaseerde social engineering met domeinimpact, een interne netwerkbreach in de utility-sector, walletdiefstal via de App Store en een AI-servingfout die binnen een halve dag is misbruikt.
Google Mandiant zegt dat UNC6692 e-mailbombardementen combineert met nep-helpdeskcontact via Microsoft Teams om slachtoffers een zogenaamd anti-spampatch te laten installeren. Die patch plaatst de Snow-toolset: SnowBelt voor browserpersistentie, SnowGlaze voor tunneling en SnowBasin voor opdrachtuitvoering. Daarna dumpen de aanvallers LSASS, bewegen zij lateraal en exfiltreren zij Active Directory-materiaal. Dit is geen gewone phishing meer, maar misbruikt supportvertrouwen voor diepe netwerktoegang.
Itron meldde ongeautoriseerde toegang tot bepaalde interne systemen en zegt de activiteit te hebben geblokkeerd, een onderzoek te zijn gestart en momenteel geen materiële operationele verstoring te zien. Dat is goed nieuws, maar geen reden tot rust. Itron zit diep in utility-technologie voor energie- en wateromgevingen. Wanneer zo’n ingebedde leverancier een interne compromittering meldt, moeten utilities en aanpalende operators dit lezen als waarschuwing over segmentatie, leveranciers-toegang en responsgereedheid.
Onderzoekers vonden 26 FakeWallet-apps in Apple’s App Store die op recovery phrases en private keys mikken, inclusief lookalikes van bekende wallets. In sommige gevallen stuurden de apps gebruikers door naar getrojaniseerde wallet-installatief lows, met gemelde beschikbaarheid in de China-regio van de App Store. De les gaat verder dan crypto: zelfs een vertrouwde app store kan een distributiekanaal worden voor diefstal van credentials en assets wanneer merkimitatie en mobiel vertrouwen overtuigend genoeg zijn.
LMDeploy CVE-2026-33626, een SSRF in een open-source LLM-servingstack, zou binnen 12 uur en 31 minuten na openbaarmaking zijn misbruikt. Dat moet iedereen zorgen baren die AI-infrastructuur behandelt als gewone interne software. Advories liggen nu zo dicht bij exploit-prompts dat patchlatency zelf blootstelling wordt.
Bottom line: Het patroon van vanochtend is lelijk en consistent: vertrouwde supportkanalen, vertrouwde infrastructuur, vertrouwde app stores en vertrouwde AI-tooling worden allemaal omgezet in snelle aanvalsroutes.
KENSAI helpt teams blootgestelde aanvalspaden zichtbaar te maken over identity-workflows, interne infrastructuur, mobiele softwareketens en AI-servingstacks voordat aanvallers vertrouwen omzetten in toegang.
Gratis scan →Blijf scherp.
🗡️ KENSAI Security Team