← Terug naar blog
Security Briefing4 min leestijd2026-04-27

Security Briefing, 27 april 2026: Snow-malware via Teams, Itrons utility-netwerkbreach, FakeWallet in de App Store en LMDeploys waarschuwing van 13 uur

Het patroon van vanochtend is lelijk en consistent: vertrouwde supportkanalen, vertrouwde infrastructuur, vertrouwde app stores en vertrouwde AI-tooling worden allemaal omgezet in snelle aanvalsroutes.


Kort: Vier verhalen zijn belangrijk voordat veel teams hun standup hebben afgerond: chatgebaseerde social engineering met domeinimpact, een interne netwerkbreach in de utility-sector, walletdiefstal via de App Store en een AI-servingfout die binnen een halve dag is misbruikt.


1. Snow-malware verandert vertrouwen in Microsoft Teams-helpdesk in een pad naar domeincompromis

Google Mandiant zegt dat UNC6692 e-mailbombardementen combineert met nep-helpdeskcontact via Microsoft Teams om slachtoffers een zogenaamd anti-spampatch te laten installeren. Die patch plaatst de Snow-toolset: SnowBelt voor browserpersistentie, SnowGlaze voor tunneling en SnowBasin voor opdrachtuitvoering. Daarna dumpen de aanvallers LSASS, bewegen zij lateraal en exfiltreren zij Active Directory-materiaal. Dit is geen gewone phishing meer, maar misbruikt supportvertrouwen voor diepe netwerktoegang.


2. Itrons interne IT-breach is een waarschuwing voor kritieke infrastructuur, ook zonder bevestigd klantimpact

Itron meldde ongeautoriseerde toegang tot bepaalde interne systemen en zegt de activiteit te hebben geblokkeerd, een onderzoek te zijn gestart en momenteel geen materiële operationele verstoring te zien. Dat is goed nieuws, maar geen reden tot rust. Itron zit diep in utility-technologie voor energie- en wateromgevingen. Wanneer zo’n ingebedde leverancier een interne compromittering meldt, moeten utilities en aanpalende operators dit lezen als waarschuwing over segmentatie, leveranciers-toegang en responsgereedheid.


3. FakeWallet in Apple’s App Store laat zien dat vertrouwde mobiele distributie nog steeds een actief diefstalkanaal is

Onderzoekers vonden 26 FakeWallet-apps in Apple’s App Store die op recovery phrases en private keys mikken, inclusief lookalikes van bekende wallets. In sommige gevallen stuurden de apps gebruikers door naar getrojaniseerde wallet-installatief lows, met gemelde beschikbaarheid in de China-regio van de App Store. De les gaat verder dan crypto: zelfs een vertrouwde app store kan een distributiekanaal worden voor diefstal van credentials en assets wanneer merkimitatie en mobiel vertrouwen overtuigend genoeg zijn.


4. Watchlist: LMDeploy bewijst dat AI-exploitvensters instorten

LMDeploy CVE-2026-33626, een SSRF in een open-source LLM-servingstack, zou binnen 12 uur en 31 minuten na openbaarmaking zijn misbruikt. Dat moet iedereen zorgen baren die AI-infrastructuur behandelt als gewone interne software. Advories liggen nu zo dicht bij exploit-prompts dat patchlatency zelf blootstelling wordt.


Wat securityteams vandaag moeten doen

  1. Verifieer elke Teams-gebaseerde supportworkflow opnieuw en eis out-of-band bevestiging voor urgente helpdeskverzoeken.
  2. Herzie segmentatie-aannames voor kritieke infrastructuur en interne netwerken, vooral rond leveranciers en remote beheer.
  3. Stuur nu mobiele wallet-hygiënerichtlijnen uit en blokkeer risicovolle installatiepatronen waar device management dat toelaat.
  4. Patch AI-servingcomponenten snel en blokkeer metadata-, loopback- en onnodige egress-toegang vanuit modelinfrastructuur standaard.

Bronnen


Bottom line: Het patroon van vanochtend is lelijk en consistent: vertrouwde supportkanalen, vertrouwde infrastructuur, vertrouwde app stores en vertrouwde AI-tooling worden allemaal omgezet in snelle aanvalsroutes.

Vind de vertrouwensbreuken voordat ze incidenten worden

KENSAI helpt teams blootgestelde aanvalspaden zichtbaar te maken over identity-workflows, interne infrastructuur, mobiele softwareketens en AI-servingstacks voordat aanvallers vertrouwen omzetten in toegang.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team