剣 KENSAI
← Back to archive
KENSAI Intelligence

🛡️ Dagelijks Veiligheidsbulletin

Zaterdag 7 maart 2026 · Samengesteld uit BleepingComputer, The Hacker News, SecurityWeek

Samenvatting: De FBI onderzoekt een inbreuk op haar surveillance- en aftapsystemen. CISA heeft iOS-zero-days uit de Coruna-exploitkit aan de KEV-catalogus toegevoegd. De Chinese APT UAT-9244 heeft Zuid-Amerikaanse telecombedrijven aangevallen met drie nieuwe implantaten. De Iraanse APT MuddyWater heeft zich genesteld in kritieke Amerikaanse infrastructuur. Een massaal datalek in de gezondheidszorg heeft 3,4 miljoen patiëntendossiers blootgesteld. Door AI gegenereerde malware industrialiseert de operaties van dreigingsactoren.

3
Statelijke campagnes
3,4 M
Blootgestelde records
23
iOS-kwetsbaarheden (Coruna Kit)
90
Zero-days 2025 (Google)

🔓 Datalekken & inbreuken

FBI onderzoekt inbreuk op surveillance- en aftapsystemen

De FBI heeft bevestigd dat zij «verdachte cyberactiviteit» onderzoekt op systemen die worden gebruikt voor het beheer van surveillance- en aftapbevelen. De inbreuk — voor het eerst gemeld door CNN — trof netwerken die gerechtelijk geautoriseerde aftappen en buitenlandse inlichtingensurveillance verwerken. De FBI zegt dat het incident is «verholpen», maar de omvang blijft onduidelijk. Mogelijke verbanden met de Salt Typhoon-campagne die in 2024 Amerikaanse telecombedrijven compromitteerde, worden onderzocht.

Kritiek Amerikaanse overheid

Cognizant TriZetto-datalek legt 3,4 miljoen patiëntendossiers bloot

TriZetto Provider Solutions, een zorg-IT-bedrijf van Cognizant dat ziektekostenverzekeraars en zorgverleners bedient, heeft een datalek gemeld waarbij gevoelige gezondheidsgegevens van meer dan 3,4 miljoen patiënten zijn blootgesteld. De gecompromitteerde gegevens omvatten persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI). Dit is een van de grootste datalekken in de gezondheidszorg die in 2026 zijn gemeld.

Kritiek Gezondheidszorg

Iraanse APT MuddyWater geïnfiltreerd in Amerikaans vliegveld, bank en softwarebedrijf

Onderzoekers van Symantec en Carbon Black ontdekten dat MuddyWater (Seedworm), een aan het Iraanse MOIS gelieerde APT, persistente toegang heeft verkregen binnen meerdere Amerikaanse organisaties — waaronder banken, luchthavens en een non-profitorganisatie — met behulp van een nieuwe «Dindoor»-backdoor. De activiteit begon in februari 2026 en escaleerde na Amerikaanse/Israëlische aanvallen op Iran. Ook een softwarebedrijf dat defensie en luchtvaart bedient, werd aangevallen via zijn Israëlische operaties.

Hoog Iran / APT

Cybercrimineel forum LeakBase opgerold, verdachten gearresteerd

De marktplaats voor gestolen inloggegevens LeakBase, actief sinds 2021 met 142.000 gebruikers, is door politiediensten in beslag genomen en verdachten zijn gearresteerd. Het forum was gespecialiseerd in de handel in gelekte inloggegevens en persoonlijke gegevens.

Rechtshandhaving

🐛 Kritieke CVE's & misbruikte kwetsbaarheden

CISA voegt 23 iOS-kwetsbaarheden uit Coruna-exploitkit toe aan KEV

CISA heeft federale agentschappen opgedragen iOS-kwetsbaarheden te patchen die worden misbruikt door de Coruna-exploitkit — een toolkit op staatsniveau die 23 kwetsbaarheden in iOS 13 tot en met 17.2.1 target. De kwetsbaarheden zijn gebruikt bij cyberspionage en diefstal van cryptocurrency. Dit is een significante escalatie in op mobiel gerichte aanvallen.

Kritiek iOS / Mobiel KEV

Cisco Catalyst SD-WAN-kwetsbaarheden actief misbruikt (CVE-2026-20128 & CVE-2026-20122)

Cisco heeft twee recent gepatchte Catalyst SD-WAN-kwetsbaarheden toegevoegd aan de lijst van actief misbruikte kwetsbaarheden. CVE-2026-20128 en CVE-2026-20122 worden actief aangevallen. Organisaties die Catalyst SD-WAN gebruiken, moeten onmiddellijk patchen.

Kritiek Netwerkinfrastructuur

Rockwell ICS-kwetsbaarheid nu actief misbruikt in aanvallen

Een kwetsbaarheid in Rockwell Automation die oorspronkelijk in 2021 is onthuld en verholpen, wordt nu actief misbruikt bij aanvallen op industriële controlesystemen (ICS). Het lek maakt het op afstand hacken van ICS-omgevingen mogelijk en vormt een risico voor kritieke infrastructuur.

Kritiek ICS / OT

Google: helft van de 90 zero-days van 2025 richtte zich op bedrijven

De jaarlijkse zero-day-analyse van Google onthult dat in 2025 90 zero-day-kwetsbaarheden actief werden misbruikt — bijna de helft gericht op bedrijfsproducten. Spywareverkopers en Chinese statelijke actoren waren de meest toegeschreven dreigingsgroepen. De verschuiving naar bedrijfsgerichte zero-days duidt op toenemende investeringen van aanvallers in hoogwaardige doelen.

Hoog Onderzoek / Trend

🌐 Statelijke campagnes & spionage

Chinese APT UAT-9244 valt Zuid-Amerikaanse telecoms aan met 3 nieuwe implantaten

Cisco Talos heeft een aan China gelinkte APT (UAT-9244, geassocieerd met FamousSparrow) geïdentificeerd die sinds 2024 Zuid-Amerikaanse telecommunicatie-infrastructuur aanvalt. Drie niet eerder gedocumenteerde implantaten werden ingezet: TernDoor (Windows), PeerTime/angrypeer (Linux) en BruteEntry (edge-apparaten). Het cluster vertoont tactische overlappingen met Salt Typhoon, maar een definitief verband is niet vastgesteld.

China / APT Telecommunicatie

Transparent Tribe gebruikt AI voor massaproductie van polyglot-malware

De aan Pakistan gelieerde groep Transparent Tribe heeft AI-ondersteunde coderingstools ingezet om grote aantallen «wegwerp polyglot-binaries» te genereren, geschreven in Nim, Zig en Crystal. De implantaten misbruiken vertrouwde diensten (Slack, Discord, Supabase, Google Sheets) als C2-kanalen. Bitdefender-onderzoekers beschrijven dit als «AI-gestuurde malware-industrialisatie» — een verschuiving van verfijning naar volume. Doelen: India.

Pakistan / APT Hoog

💀 Malware & Ransomware

Russische ransomware-operator pleit schuldig in de VS

Evgenii Ptitsyn, een Russisch staatsburger die in november 2024 uit Zuid-Korea werd uitgeleverd, heeft schuld bekend aan ransomware-gerelateerde aanklachten voor een Amerikaanse rechtbank. Details over de specifieke ransomwarevariant en het aantal slachtoffers werden niet volledig bekendgemaakt, maar de zaak onderstreept de voortdurende internationale samenwerking tegen ransomware-operatoren.

Ransomware Rechtshandhaving

VOID#GEIST: meerfasige campagne die XWorm, AsyncRAT en Xeno RAT verspreidt

Securonix-onderzoekers documenteerden een heimelijke meerfasige campagne die geobfusceerde batchscripts gebruikt om versleutelde RAT-payloads (XWorm, AsyncRAT, Xeno RAT) te verspreiden via legitieme Python-runtimes en Early Bird APC-injectie in explorer.exe. De techniek bootst nauwkeurig legitieme gebruikersactiviteit na om detectie te omzeilen.

Hoog RAT / Malware

Valse Claude Code-installatiehandleidingen verspreiden infostealers («InstallFix»)

Een nieuwe social engineering-variant genaamd «InstallFix» misleidt gebruikers om kwaadaardige commando's uit te voeren terwijl ze ogenschijnlijk legitieme CLI-tools zoals Claude Code installeren. Deze ClickFix-afgeleide techniek maakt misbruik van de populariteit van AI-ontwikkeltools om informatie-stelende malware te verspreiden.

Hoog Social engineering

Wikipedia getroffen door zelfverspreidende JavaScript-worm

De Wikimedia Foundation werd getroffen door een beveiligingsincident met een zelfverspreidende JavaScript-worm die pagina's vandaliseerde en zich over het platform verspreidde. Hoewel dit geen traditionele malware-aanval is, toont het incident aan dat vertrouwde platforms kwetsbaar blijven voor creatieve aanvalsvectoren.

Webbeveiliging

🏢 Beveiligingsindustrie & financiering

ArmorCode haalt $16 miljoen op voor platform voor blootstellingsbeheer

ArmorCode heeft $16 miljoen opgehaald om zijn ASPM-platform (Application Security Posture Management) en blootstellingsbeheer te versnellen. De investering gaat naar productinnovatie en marktuitbreiding.

Financiering

Evervault haalt $25 miljoen op in Serie B voor versleutelingsplatform

Databeveiligingsbedrijf Evervault heeft $25 miljoen opgehaald in Serie B-financiering, waarmee het totaal op $46 miljoen komt. Het op ontwikkelaars gerichte platform biedt versleutelings- en data-orchestratiemogelijkheden.

Financiering

Reclaim Security haalt $20 miljoen op voor versnelde remediatie

Reclaim Security heeft $20 miljoen opgehaald om zijn engineeringteam uit te breiden, integraties te verdiepen en de marktintroductie van zijn op remediatie gericht beveiligingsplatform te versnellen.

Financiering

📊 Opkomende dreigingspatronen

AI-gestuurde malware-industrialisatie

Meerdere rapporten deze week bevestigen dat dreigingsactoren AI-coderingstools als wapen inzetten — niet voor verfijning, maar voor volume. Transparent Tribe's «vibeware»-benadering overspoelt doelen met wegwerp polyglot-binaries. De InstallFix-campagne misbruikt de populariteit van AI-tools voor social engineering. Bing AI werd betrapt op het promoten van valse OpenClaw-repositories met infostealers. De trend is duidelijk: AI verlaagt de drempel om massaal malware en lokmiddelen te produceren.

Hoog Trend

Telecominfrastructuur onder aanhoudende APT-druk

Chinese APT's blijven wereldwijde telecominfrastructuur agressief aanvallen. Het nieuwe arsenaal van UAT-9244 (TernDoor, PeerTime, BruteEntry) komt bovenop eerdere Salt Typhoon-campagnes. Nu de FBI inbreuken op haar eigen aftapsystemen onderzoekt, creëert de convergentie van telecom- en surveillanceinfrastructuur een cumulatief risico voor de nationale veiligheid.

Kritiek Trend

Enterprise zero-days overtreffen consumententargets

Het zero-day-rapport 2025 van Google bevestigt een structurele verschuiving: de helft van de 90 misbruikte zero-days was gericht op bedrijfsproducten (niet browsers/mobiel). Spywareverkopers en statelijke actoren investeren meer in bedrijfsaanvalsoppervlakken — VPN's, SD-WAN-appliances, ICS-systemen — waar detectie zwakker is en de impact groter.

Hoog Trend