剣 KENSAI
← Back to archive

Dagelijkse Dreigingsbriefing

Zondag 8 maart 2026 — 04:00 CET
3
Kritiek
5
Datalekken
13
Nieuwe CVE's
2
Tool-releases
🔓

Grote Datalekken

DATALEKKRITIEK6 mrt 2026
Zorg-IT-leverancier TriZetto Provider Solutions (een dochteronderneming van Cognizant) maakte een datalek bekend waarbij gevoelige gezondheidsgegevens zijn blootgesteld — waaronder medische dossiers, verzekeringsinformatie en persoonsgegevens — van 3,4 miljoen patiënten. Het lek treft zorgverzekeraars en zorgverleners die het softwareplatform van TriZetto gebruiken. HIPAA-melding is in gang gezet.
DATALEKKRITIEK6–7 mrt 2026
De FBI bevestigde een onderzoek naar een inbraak in systemen die worden gebruikt voor het beheer van surveillancebevelen en aftapoperaties. Het Congres is geïnformeerd. De omvang en attributie worden nog onderzocht, wat ernstige zorgen over de nationale veiligheid oproept met betrekking tot blootstelling van opsporingsgegevens.
DATALEK7 mrt 2026
Transport for London (TfL) maakte bekend dat een datalek in hun systemen circa 10 miljoen klantgegevens heeft getroffen, waaronder Oyster-kaartgegevens en contactinformatie.
FRAUDE6 mrt 2026
Een Ghanese man bekende schuld voor zijn rol in een omvangrijk fraudenetwerk dat meer dan $100 miljoen stal van Amerikaanse slachtoffers via business email compromise (BEC) en romantiekfraude. De jarenlange operatie richtte zich op bedrijven en particulieren.
RANSOMWARE7 mrt 2026
De Russische staatsburger Evgenii Ptitsyn, in november 2024 uitgeleverd vanuit Zuid-Korea, bekende schuld voor een Amerikaanse federale rechtbank voor het exploiteren van ransomware-infrastructuur gericht op Amerikaanse organisaties.
🛡️

Kritieke CVE's & Kwetsbaarheden

CISA KEV: Coruna Exploit Kit richt zich op iOS 13–17.2.1
KRITIEKToegevoegd aan KEV op 6 mrt
CISA heeft Amerikaanse federale instanties opgedragen drie actief misbruikte iOS-kwetsbaarheden te patchen. De Coruna exploit kit — een toolkit van staatsniveau — richt zich op 23 iOS-kwetsbaarheden van iOS 13 tot en met 17.2.1. Gebruikt bij cyberspionage en diefstal van cryptocurrency.
Rockwell ICS-kwetsbaarheid — Actieve exploitatie bevestigd
KRITIEKICS / OT
Een kwetsbaarheid in Rockwell Automation (openbaar gemaakt en gepatcht in 2021) die ICS-systemen op afstand kan compromitteren, wordt nu actief misbruikt in het wild. Organisaties met niet-gepatchte Rockwell-systemen lopen direct risico voor hun industriële besturingsomgevingen.
OpenAI Codex Security — Nieuwe CVE's gevonden in opensourcesoftware
HOOG13 nieuwe CVE's
De beveiligingsscanner van OpenAI Codex identificeerde 792 kritieke en 10.561 ernstige bevindingen in 1,2 miljoen commits. Nieuwe CVE's uitgegeven voor:
  • CVE-2026-24881/82 GnuPG — cryptografische implementatiefouten
  • CVE-2025-32988/89 GnuTLS — kwetsbaarheden in TLS-bibliotheek
  • CVE-2025-64175 GOGS — kwetsbaarheid in Git-hostingserver
  • CVE-2026-25242 GOGS — aanvullend beveiligingsprobleem
  • CVE-2025-35430–36 Thorium — 7 kwetsbaarheden in CISA's stralingsdetectietool
100+ GitHub-repo's verspreiden BoryptGrab-stealer
HOOGToeleveringsketen
Meer dan 100 kwaadaardige GitHub-repositories ontdekt die de BoryptGrab-stealer verspreiden. Deze malware richt zich op browsergegevens, inloggegevens van cryptowallets, systeeminformatie en gebruikersbestanden. Doet zich voor als legitieme opensourceprojecten.
⚔️

Ransomware- & APT-activiteit

RANSOMWAREAPT7 mrt 2026
Ransomwaregroep "Velvet Tempest" verspreidt Termite-ransomware via de ClickFix social engineering-techniek, waarbij legitieme Windows-hulpprogramma's worden gebruikt om DonutLoader en de CastleRAT-backdoor side-te-loaden. Combineert social engineering met LOLBins voor ontwijking van detectie.
APTKRITIEK6 mrt 2026
De Iraanse APT-groep MuddyWater (Seedworm), gelieerd aan MOIS, heeft zich genesteld in Amerikaanse banken, luchthavens, een Canadese non-profitorganisatie en de Israëlische tak van een defensie-/luchtvaart-softwarebedrijf. Nieuwe "Dindoor"-backdoor ingezet. Activiteit nam toe na Amerikaanse/Israëlische militaire aanvallen op Iran.
APTPakistan-gelieerd / Gericht op India
De aan Pakistan gelieerde APT-groep Transparent Tribe gebruikt AI-codeertools om massaal wegwerp-malware-implantaten te produceren in Nim, Zig en Crystal. Maakt gebruik van Slack, Discord, Supabase en Google Sheets voor C2. Bitdefender noemt dit "AI-gestuurde malware-industrialisatie" — doelwitten overspoelen met polyglotte, AI-gegenereerde ("vibeware") binaries om detectie te overweldigen.
HOOG6 mrt 2026
Securonix ontdekte een meerfasige campagne die geobfusceerde batchscripts gebruikt om XWorm, AsyncRAT en Xeno RAT te leveren. Maakt gebruik van een ingebedde Python-runtime en Early Bird APC-injectie in explorer.exe — volledig in-memory uitvoering. Scriptgebaseerde levering imiteert legitieme gebruikersactiviteit.
APTChina / Telecom
Cisco Talos volgt de aan China gelieerde groep UAT-9244 (geassocieerd met FamousSparrow, overlappend met Salt Typhoon) die sinds 2024 Zuid-Amerikaanse telecominfrastructuur aanvalt. Drie implantaten ingezet: TernDoor, PeerTime en BruteEntry — gericht op Windows, Linux en edge-apparaten.
🔧

Beveiligingstools & Industrie

TOOL7 mrt 2026
OpenAI lanceerde Codex Security als onderzoekspreview — een agentische beveiligingsscanner die dreigingsmodellen op projectniveau opbouwt en bevindingen valideert in sandbox-omgevingen. 1,2 miljoen commits gescand, 10.561 ernstige bevindingen met meer dan 50% reductie in false positives ten opzichte van eerdere iteraties. 30 dagen gratis voor ChatGPT Pro/Enterprise/Business-gebruikers. KENSAI-relevantie: Potentiële concurrent in AI-aangedreven kwetsbaarheidsdetectie — maar opereert op codeniveau, niet op infrastructuurniveau zoals KENSAI.
Starkiller — Nieuw Phishing-as-a-Service-platform (dreigingsmelding)
KRITIEKPhishing / MFA-bypass
Het nieuwe PhaaS-platform "Starkiller" gebruikt headless Chrome in Docker-containers om dynamisch echte inlogpagina's te proxyen (Apple, Google, Microsoft, enz.), waarbij inloggegevens en MFA-tokens in realtime worden onderschept. Gebruikt de URL-"@"-truc voor visuele misleiding (bijv. login.microsoft.com@malicious.ru). Geanalyseerd door Abnormal AI. Omzeilt traditionele statische phishingdetectie.
Investeringsrondes: ArmorCode ($16M) & Evervault ($25M Series B)
INDUSTRIE
ArmorCode haalde $16M op voor hun exposure management-platform. Evervault haalde $25M Series B op (totaal $46M) voor ontwikkelaargerichte encryptie en data-orkestratie. Beide signaleren aanhoudende interesse van investeerders in AppSec- en databeveiligingstools.
📡

Opkomende Dreigingspatronen

AI-bewapening bereikt kritieke massa
TREND
Microsoft waarschuwde dat hackers AI misbruiken "in elke fase van cyberaanvallen" — van verkenning tot payloadgeneratie tot post-exploitatie. Gecombineerd met Transparent Tribe's "vibeware" (AI-massaal-geproduceerde malware) en nep-Claude Code InstallFix-aanvallen zien we drie convergerende patronen:

1. AI-gegenereerde malware op schaal — APT's gebruiken AI-tools om grote volumes wegwerp-implantaten te produceren in exotische programmeertalen
2. AI-tool-imitatie — nep-installatiehandleidingen voor Claude Code, Codex en andere AI-CLI's die infostealers verspreiden
3. AI-aangedreven verdediging — OpenAI Codex Security betreedt de markt als AI-beveiligingsagent
Google: helft van de 90 zero-days in 2025 richtte zich op bedrijven
RAPPORT
Google's jaarlijkse zero-day-analyse toont aan dat 45 van de 90 in 2025 misbruikte zero-days gericht waren op bedrijfsproducten (niet consumenten). Spywareleveranciers en Chinese staatsactoren voeren de attributielijst aan. De verschuiving naar bedrijfsgerichte aanvallen blijft versnellen — netwerkapparatuur, beveiligingstools en samenwerkingsplatformen zijn de primaire doelwitten.
Herziening van de Amerikaanse cyberstrategie onder de Trump-administratie
BELEID
De nieuwe Amerikaanse cyberstrategie pleit voor sterkere afschrikking tegen cyberadversarissen, modernisering van federale netwerken, beschermingsverplichtingen voor kritieke infrastructuur, en investeringen in AI en post-kwantumcryptografie. Nieuwe Pentagon-CISO James "Aaron" Bishop benoemd als opvolger van David McKeown.

🎯 KENSAI Actiepunten

  • ClickFix/InstallFix-detectie: Termite-ransomware en nep-AI-CLI-installatiehandleidingen gebruiken beide ClickFix-varianten — detectiesignaturen bijwerken en blogpost schrijven over deze trend
  • Concurrentie-informatie: OpenAI Codex Security is nu live — onderscheid KENSAI's infrastructuurgerichte scanning van Codex's codegerichte aanpak in marketingmateriaal
  • NIS2-invalshoek: Het TriZetto-datalek in de gezondheidszorg (3,4 miljoen dossiers) is een perfecte casestudy voor NIS2-compliancecontent in de zorgsector
  • ICS/OT: Rockwell-exploitatie bevestigt dat niet-gepatchte legacy ICS-systemen hoogwaardige doelwitten blijven — relevant voor KENSAI's infrastructuurscanmogelijkheden
  • Toeleveringsketen: 100+ kwaadaardige GitHub-repo's (BoryptGrab) benadrukt de noodzaak van SBOM- en afhankelijkheidsscanning — KENSAI-featurekans