剣 KENSAI
← Back to archive

🛡️ KENSAI Beveiligingsintelligentie

Dagelijkse Dreigingsbriefing — Maandag 9 maart 2026 · Automatisch gegenereerd om 04:00 CET

5
Dreigingsactoren
3
Kritieke CVE's
2
Tool-releases
4
Datalekken

⚡ TL;DR — Topverhalen

  • FBI onderzoekt datalek in systeem met gevoelige surveillancegegevens
  • Cognizant TriZetto-datalek onthult gezondheidsgegevens van 3,4 miljoen patiënten
  • Cisco SD-WAN CVE-2026-20127 wordt nu breed geëxploiteerd in het wild
  • Anthropic ontdekte 22 Firefox-kwetsbaarheden met Claude Opus 4.6 in twee weken
  • Iraans MuddyWater ingebed in Amerikaanse banken en luchthavens met nieuwe Dindoor-backdoor
  • AI-gecodeerde malware wordt mainstream — Transparent Tribe produceert massaal "vibeware"

🔓 Datalekken & Inbraken

FBI onderzoekt datalek in gevoelig surveillancesysteem

Kritiek US Gov

De FBI onderzoekt "verdachte" cyberactiviteit op een systeem dat gevoelige surveillanceinformatie bevat. Het bureau werkt aan het bepalen van de omvang en impact, volgens een melding aan het Congres. Het gecompromitteerde systeem bevat naar verluidt FISA-gerelateerde gegevens.

Cognizant TriZetto-datalek onthult 3,4 miljoen patiëntdossiers

Hoog Gezondheidszorg

Zorg-IT-bedrijf TriZetto Provider Solutions (een dochteronderneming van Cognizant) leed een datalek waarbij gevoelige gezondheidsinformatie van meer dan 3,4 miljoen mensen werd blootgesteld. Het bedrijf ontwikkelt software die wordt gebruikt door zorgverzekeraars en zorgaanbieders in de VS.

Transport for London-datalek treft 10 miljoen mensen

Hoog VK Transport

Transport for London (TfL) bevestigde een datalek dat ongeveer 10 miljoen personen treft. Details komen naar voren in de nasleep van een eerder cyberincident bij de Britse vervoersmaatschappij.

Iraanse APT MuddyWater ingebed in Amerikaanse bank, luchthaven en softwarebedrijf

Kritiek Natiestaat Iran

Broadcoms Symantec ontdekte dat het aan Iran gelinkte MuddyWater (Seedworm) zich heeft ingebed in netwerken van Amerikaanse banken, luchthavens, een non-profitorganisatie en de Israëlische tak van een defensie/luchtvaart-softwarebedrijf. De campagne gebruikt een nieuwe backdoor genaamd "Dindoor" en begon begin februari 2026, met toenemende activiteit na de Amerikaans-Israëlische aanvallen op Iran.

🐛 Kritieke CVE's & Exploits

CVE-2026-20127 — Cisco Catalyst SD-WAN (breed geëxploiteerd)

Kritiek Netwerk

WatchTowr meldt exploitatiepogingen van talrijke unieke IP-adressen die deze Cisco Catalyst SD-WAN-kwetsbaarheid aanvallen. Organisaties met getroffen SD-WAN-infrastructuur moeten onmiddellijk patchen.

CISA voegt Hikvision & Rockwell CVSS 9.8-kwetsbaarheden toe aan KEV-catalogus

CVSS 9.8 ICS/OT

CISA heeft twee kritieke kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities-catalogus: CVE-2017-7921 (Hikvision onjuiste authenticatie) en een Rockwell Automation-kwetsbaarheid die ICS-hacking op afstand mogelijk maakt. Beide hebben bewijs van actieve exploitatie.

CISA beveelt federale instanties iOS-kwetsbaarheden te patchen — Coruna Exploit Kit

Hoog Mobiel Spyware

CISA beval Amerikaanse federale instanties drie iOS-kwetsbaarheden te patchen die worden aangevallen door de "Coruna" exploit kit van nationaal niveau, gericht op 23 kwetsbaarheden in iOS 13 tot en met 17.2.1. Gebruikt in cyberspionage- en cryptodiefstalcampagnes.

Anthropic ontdekt 22 Firefox-kwetsbaarheden met AI

14 Hoge ernst Browser

Anthropics Claude Opus 4.6 vond 22 kwetsbaarheden in Firefox (14 hoog, 7 gemiddeld, 1 laag) in slechts twee weken — bijna een vijfde van alle hoge-ernst-bugs die in Firefox in 2025 zijn gepatcht. Een use-after-free werd in slechts 20 minuten gedetecteerd. Opgelost in Firefox 148. Anthropic demonstreerde ook beperkte exploit-generatiecapaciteit ($4K aan API-credits, 2 succesvolle exploits uit honderden pogingen).

💀 Ransomware & Malware

Termite Ransomware gekoppeld aan ClickFix + CastleRAT-aanvallen

Hoog Ransomware

De Velvet Tempest-dreigingsgroep zet Termite ransomware in met behulp van de ClickFix social engineering-techniek en legitieme Windows-hulpprogramma's om DonutLoader en CastleRAT-backdoor te leveren. De ClickFix-techniek blijft evolueren bij meerdere dreigingsactoren.

ClickFix-campagnes nemen toe — nu met Windows Terminal

Hoog Social Engineering

Microsoft onthulde een nieuwe ClickFix-variant die Windows Terminal gebruikt (in plaats van het Uitvoeren-dialoogvenster) om Lumma Stealer te installeren. Daarnaast richt een nieuwe "InstallFix"-variant zich op gebruikers met nep Claude Code-installatiegidsen om infostealers te verspreiden. ClickFix is nu de dominante social engineering-vector bij meerdere dreigingsgroepen.

VOID#GEIST: Meerfasige campagne levert XWorm, AsyncRAT, Xeno RAT

Malware RAT

Securonix ontdekte een meerfasige malwarecampagne die geobfusceerde batchscripts gebruikt om versleutelde RAT-payloads te leveren. Maakt gebruik van legitieme Python-runtime en Early Bird APC-injectie in explorer.exe. Toont de trend naar scriptgebaseerde levering die legitieme gebruikersactiviteit nabootst.

100+ GitHub-repo's verspreiden BoryptGrab Stealer

Hoog Supply Chain

Meer dan 100 GitHub-repositories verspreiden BoryptGrab stealer gericht op browsergegevens, cryptocurrency-wallets, systeeminformatie en gebruikersbestanden. Onderdeel van de groeiende trend van misbruik van vertrouwde ontwikkelaarsplatforms voor malwareverspreiding.

🕵️ Natiestaat- & APT-activiteit

Transparent Tribe — AI-gegenereerde "Vibeware" massaproductie

Pakistan AI-Malware India

Het aan Pakistan gelieerde Transparent Tribe gebruikt AI-codeertools om massaal malware-implantaten te produceren in minder bekende programmeertalen (Nim, Zig, Crystal), gehost op Slack, Discord, Supabase en Google Sheets. Bitdefender noemt dit "AI-ondersteunde malware-industrialisatie" — doelwitten overspoelen met wegwerp polyglot-binaries. Een mijlpaal in AI-ondersteunde offensieve operaties.

Aan China gelinkt UAT-9244 richt zich op Zuid-Amerikaanse telecombedrijven

China Telecom APT

Cisco Talos volgt UAT-9244 (gelinkt aan FamousSparrow / mogelijke Salt Typhoon-overlap) die kritieke telecominfrastructuur in Zuid-Amerika aanvalt sinds 2024. Gebruikt drie implantaten: TernDoor, PeerTime en BruteEntry op Windows, Linux en edge-apparaten.

Hackers misbruiken .arpa DNS & IPv6 om phishing-verdedigingen te omzeilen

Ontwijking Phishing

Dreigingsactoren exploiteren het speciale .arpa-domein en IPv6 reverse DNS in phishingcampagnes om domeinreputatiecontroles en e-mailbeveiligingsgateways te omzeilen. Een nieuwe ontwijkingstechniek die traditionele URL-filtering omzeilt.

🔧 Beveiligingstools & Releases

OpenAI Codex Security — AI-kwetsbaarheidsscanner

Tool-release AI Security

OpenAI lanceerde Codex Security in onderzoekspreview — een AI-aangedreven agent die kwetsbaarheden vindt, valideert en oplossingen voorstelt. Scande 1,2 miljoen commits in bèta, vond 10.561 hoge-ernst-problemen. Beschikbaar voor ChatGPT Pro/Enterprise/Business/Edu. De eerste maand gratis. Concurrentieopmerking: Directe concurrent van KENSAI's geautomatiseerde scancapaciteiten.

ArmorCode haalt $16M op voor Exposure Management Platform

Financiering AppSec

ArmorCode haalde $16M op om de ontwikkeling van het exposure management-platform te versnellen. Het bedrijf richt zich op application security posture management (ASPM) en consolidatie van kwetsbaarheidsbeheer.

Evervault haalt $25M Series B op voor ontwikkelaarsversleutelingsplatform

Financiering Databeveiliging

Databeveiligingsbedrijf Evervault haalde $25M op (Series B, $46M totaal) voor hun op ontwikkelaars gericht versleutelings- en orchestratieplatform. Groeiende marktvraag naar privacy-by-design-oplossingen.

📊 Opkomende Trends & Analyse

Microsoft: Hackers gebruiken AI in elke fase van cyberaanvallen

Trend AI-dreigingen

Microsoft waarschuwt dat dreigingsactoren steeds vaker AI gebruiken in alle fasen — verkenning, social engineering, malware-ontwikkeling, laterale beweging en data-exfiltratie. AI verlaagt technische drempels en versnelt aanvalstijdlijnen. Gecombineerd met Transparent Tribe's vibeware en Anthropics Firefox-bevindingen markeert maart 2026 een duidelijk kantelpunt voor AI in zowel aanval als verdediging.

Google: Helft van 90 zero-days in 2025 gericht op bedrijven

Trend Zero-Day

Google's jaarlijkse zero-day-analyse onthult 90 geëxploiteerde zero-days in 2025, waarvan bijna de helft gericht op bedrijfsproducten. Spyware-leveranciers en aan China gelinkte groepen leidden de attributie. De verschuiving naar bedrijfsdoelwitten onderstreept de behoefte aan proactief kwetsbaarheidsbeheer.

ClickFix Social Engineering — De dominante vector van 2026

Trend Social Engineering

ClickFix en zijn varianten (InstallFix, CastleRAT-levering) worden nu gebruikt door ten minste 3 verschillende dreigingsgroepen (Velvet Tempest, generieke Lumma-campagnes, nep CLI-tool-installatieprogramma's). De techniek misleidt gebruikers om kwaadaardige commando's uit te voeren door zich voor te doen als installatie- of reparatieprocedures. Het is de social engineering-techniek bij uitstek geworden voor 2026.

Update Amerikaanse cyberstrategie & wijzigingen in Pentagon-leiderschap

Beleid US Gov

Trumps nieuwe cyberstrategie benadrukt sterkere afschrikking, modernisering van federale netwerken, bescherming van kritieke infrastructuur en investeringen in AI + post-quantum cryptografie. James "Aaron" Bishop aangesteld als nieuwe Pentagon CISO, ter vervanging van David McKeown na 40 jaar overheidsdienst.

🎯 KENSAI-relevantie

Concurrentie-intelligentie

OpenAI Codex Security is gelanceerd als directe concurrent in de AI-aangedreven kwetsbaarheidsscanning. Belangrijkste onderscheidende factor voor KENSAI: Codex richt zich op code-/commitscanning terwijl KENSAI full-stack pentesting biedt (DAST + infrastructuur). Positioneer KENSAI als de "complete beveiligingsbeoordeling" versus Codex's "alleen code"-aanpak.

Contentkansen

"AI vs. AI"-blogpost — Hoe AI kwetsbaarheden vindt (Anthropic/Firefox) en hoe AI malware creëert (Transparent Tribe). KENSAI als de verdedigingszijde van deze wapenwedloop.
ClickFix-bewustwordingsgids — Meerdere varianten nu actief; schrijf een detectie-/preventiegids.
CVE-dekking — CVE-2026-20127 (Cisco SD-WAN) wordt actief geëxploiteerd; toevoegen aan KENSAI's CVE-database indien niet aanwezig.

Samengesteld door KENSAI Security Intelligence · kensai.app
Bronnen: BleepingComputer · The Hacker News · SecurityWeek · CISA
Volgend rapport: 10 maart 2026 · 04:00 CET