🛡️ Dagelijks Veiligheidsbulletin
Samenvatting: De FBI onderzoekt een inbreuk op haar surveillance- en aftapsystemen. CISA heeft iOS-zero-days uit de Coruna-exploitkit aan de KEV-catalogus toegevoegd. De Chinese APT UAT-9244 heeft Zuid-Amerikaanse telecombedrijven aangevallen met drie nieuwe implantaten. De Iraanse APT MuddyWater heeft zich genesteld in kritieke Amerikaanse infrastructuur. Een massaal datalek in de gezondheidszorg heeft 3,4 miljoen patiëntendossiers blootgesteld. Door AI gegenereerde malware industrialiseert de operaties van dreigingsactoren.
🔓 Datalekken & inbreuken
FBI onderzoekt inbreuk op surveillance- en aftapsystemen
De FBI heeft bevestigd dat zij «verdachte cyberactiviteit» onderzoekt op systemen die worden gebruikt voor het beheer van surveillance- en aftapbevelen. De inbreuk — voor het eerst gemeld door CNN — trof netwerken die gerechtelijk geautoriseerde aftappen en buitenlandse inlichtingensurveillance verwerken. De FBI zegt dat het incident is «verholpen», maar de omvang blijft onduidelijk. Mogelijke verbanden met de Salt Typhoon-campagne die in 2024 Amerikaanse telecombedrijven compromitteerde, worden onderzocht.
Cognizant TriZetto-datalek legt 3,4 miljoen patiëntendossiers bloot
TriZetto Provider Solutions, een zorg-IT-bedrijf van Cognizant dat ziektekostenverzekeraars en zorgverleners bedient, heeft een datalek gemeld waarbij gevoelige gezondheidsgegevens van meer dan 3,4 miljoen patiënten zijn blootgesteld. De gecompromitteerde gegevens omvatten persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI). Dit is een van de grootste datalekken in de gezondheidszorg die in 2026 zijn gemeld.
Iraanse APT MuddyWater geïnfiltreerd in Amerikaans vliegveld, bank en softwarebedrijf
Onderzoekers van Symantec en Carbon Black ontdekten dat MuddyWater (Seedworm), een aan het Iraanse MOIS gelieerde APT, persistente toegang heeft verkregen binnen meerdere Amerikaanse organisaties — waaronder banken, luchthavens en een non-profitorganisatie — met behulp van een nieuwe «Dindoor»-backdoor. De activiteit begon in februari 2026 en escaleerde na Amerikaanse/Israëlische aanvallen op Iran. Ook een softwarebedrijf dat defensie en luchtvaart bedient, werd aangevallen via zijn Israëlische operaties.
Cybercrimineel forum LeakBase opgerold, verdachten gearresteerd
De marktplaats voor gestolen inloggegevens LeakBase, actief sinds 2021 met 142.000 gebruikers, is door politiediensten in beslag genomen en verdachten zijn gearresteerd. Het forum was gespecialiseerd in de handel in gelekte inloggegevens en persoonlijke gegevens.
🐛 Kritieke CVE's & misbruikte kwetsbaarheden
CISA voegt 23 iOS-kwetsbaarheden uit Coruna-exploitkit toe aan KEV
CISA heeft federale agentschappen opgedragen iOS-kwetsbaarheden te patchen die worden misbruikt door de Coruna-exploitkit — een toolkit op staatsniveau die 23 kwetsbaarheden in iOS 13 tot en met 17.2.1 target. De kwetsbaarheden zijn gebruikt bij cyberspionage en diefstal van cryptocurrency. Dit is een significante escalatie in op mobiel gerichte aanvallen.
Cisco Catalyst SD-WAN-kwetsbaarheden actief misbruikt (CVE-2026-20128 & CVE-2026-20122)
Cisco heeft twee recent gepatchte Catalyst SD-WAN-kwetsbaarheden toegevoegd aan de lijst van actief misbruikte kwetsbaarheden. CVE-2026-20128 en CVE-2026-20122 worden actief aangevallen. Organisaties die Catalyst SD-WAN gebruiken, moeten onmiddellijk patchen.
Rockwell ICS-kwetsbaarheid nu actief misbruikt in aanvallen
Een kwetsbaarheid in Rockwell Automation die oorspronkelijk in 2021 is onthuld en verholpen, wordt nu actief misbruikt bij aanvallen op industriële controlesystemen (ICS). Het lek maakt het op afstand hacken van ICS-omgevingen mogelijk en vormt een risico voor kritieke infrastructuur.
Google: helft van de 90 zero-days van 2025 richtte zich op bedrijven
De jaarlijkse zero-day-analyse van Google onthult dat in 2025 90 zero-day-kwetsbaarheden actief werden misbruikt — bijna de helft gericht op bedrijfsproducten. Spywareverkopers en Chinese statelijke actoren waren de meest toegeschreven dreigingsgroepen. De verschuiving naar bedrijfsgerichte zero-days duidt op toenemende investeringen van aanvallers in hoogwaardige doelen.
🌐 Statelijke campagnes & spionage
Chinese APT UAT-9244 valt Zuid-Amerikaanse telecoms aan met 3 nieuwe implantaten
Cisco Talos heeft een aan China gelinkte APT (UAT-9244, geassocieerd met FamousSparrow) geïdentificeerd die sinds 2024 Zuid-Amerikaanse telecommunicatie-infrastructuur aanvalt. Drie niet eerder gedocumenteerde implantaten werden ingezet: TernDoor (Windows), PeerTime/angrypeer (Linux) en BruteEntry (edge-apparaten). Het cluster vertoont tactische overlappingen met Salt Typhoon, maar een definitief verband is niet vastgesteld.
Transparent Tribe gebruikt AI voor massaproductie van polyglot-malware
De aan Pakistan gelieerde groep Transparent Tribe heeft AI-ondersteunde coderingstools ingezet om grote aantallen «wegwerp polyglot-binaries» te genereren, geschreven in Nim, Zig en Crystal. De implantaten misbruiken vertrouwde diensten (Slack, Discord, Supabase, Google Sheets) als C2-kanalen. Bitdefender-onderzoekers beschrijven dit als «AI-gestuurde malware-industrialisatie» — een verschuiving van verfijning naar volume. Doelen: India.
💀 Malware & Ransomware
Russische ransomware-operator pleit schuldig in de VS
Evgenii Ptitsyn, een Russisch staatsburger die in november 2024 uit Zuid-Korea werd uitgeleverd, heeft schuld bekend aan ransomware-gerelateerde aanklachten voor een Amerikaanse rechtbank. Details over de specifieke ransomwarevariant en het aantal slachtoffers werden niet volledig bekendgemaakt, maar de zaak onderstreept de voortdurende internationale samenwerking tegen ransomware-operatoren.
VOID#GEIST: meerfasige campagne die XWorm, AsyncRAT en Xeno RAT verspreidt
Securonix-onderzoekers documenteerden een heimelijke meerfasige campagne die geobfusceerde batchscripts gebruikt om versleutelde RAT-payloads (XWorm, AsyncRAT, Xeno RAT) te verspreiden via legitieme Python-runtimes en Early Bird APC-injectie in explorer.exe. De techniek bootst nauwkeurig legitieme gebruikersactiviteit na om detectie te omzeilen.
Valse Claude Code-installatiehandleidingen verspreiden infostealers («InstallFix»)
Een nieuwe social engineering-variant genaamd «InstallFix» misleidt gebruikers om kwaadaardige commando's uit te voeren terwijl ze ogenschijnlijk legitieme CLI-tools zoals Claude Code installeren. Deze ClickFix-afgeleide techniek maakt misbruik van de populariteit van AI-ontwikkeltools om informatie-stelende malware te verspreiden.
Wikipedia getroffen door zelfverspreidende JavaScript-worm
De Wikimedia Foundation werd getroffen door een beveiligingsincident met een zelfverspreidende JavaScript-worm die pagina's vandaliseerde en zich over het platform verspreidde. Hoewel dit geen traditionele malware-aanval is, toont het incident aan dat vertrouwde platforms kwetsbaar blijven voor creatieve aanvalsvectoren.
🏢 Beveiligingsindustrie & financiering
ArmorCode haalt $16 miljoen op voor platform voor blootstellingsbeheer
ArmorCode heeft $16 miljoen opgehaald om zijn ASPM-platform (Application Security Posture Management) en blootstellingsbeheer te versnellen. De investering gaat naar productinnovatie en marktuitbreiding.
Evervault haalt $25 miljoen op in Serie B voor versleutelingsplatform
Databeveiligingsbedrijf Evervault heeft $25 miljoen opgehaald in Serie B-financiering, waarmee het totaal op $46 miljoen komt. Het op ontwikkelaars gerichte platform biedt versleutelings- en data-orchestratiemogelijkheden.
Reclaim Security haalt $20 miljoen op voor versnelde remediatie
Reclaim Security heeft $20 miljoen opgehaald om zijn engineeringteam uit te breiden, integraties te verdiepen en de marktintroductie van zijn op remediatie gericht beveiligingsplatform te versnellen.
📊 Opkomende dreigingspatronen
AI-gestuurde malware-industrialisatie
Meerdere rapporten deze week bevestigen dat dreigingsactoren AI-coderingstools als wapen inzetten — niet voor verfijning, maar voor volume. Transparent Tribe's «vibeware»-benadering overspoelt doelen met wegwerp polyglot-binaries. De InstallFix-campagne misbruikt de populariteit van AI-tools voor social engineering. Bing AI werd betrapt op het promoten van valse OpenClaw-repositories met infostealers. De trend is duidelijk: AI verlaagt de drempel om massaal malware en lokmiddelen te produceren.
Telecominfrastructuur onder aanhoudende APT-druk
Chinese APT's blijven wereldwijde telecominfrastructuur agressief aanvallen. Het nieuwe arsenaal van UAT-9244 (TernDoor, PeerTime, BruteEntry) komt bovenop eerdere Salt Typhoon-campagnes. Nu de FBI inbreuken op haar eigen aftapsystemen onderzoekt, creëert de convergentie van telecom- en surveillanceinfrastructuur een cumulatief risico voor de nationale veiligheid.
Enterprise zero-days overtreffen consumententargets
Het zero-day-rapport 2025 van Google bevestigt een structurele verschuiving: de helft van de 90 misbruikte zero-days was gericht op bedrijfsproducten (niet browsers/mobiel). Spywareverkopers en statelijke actoren investeren meer in bedrijfsaanvalsoppervlakken — VPN's, SD-WAN-appliances, ICS-systemen — waar detectie zwakker is en de impact groter.