🛡️ KENSAI Security Intelligence
Managementsamenvatting
- Ericsson US getroffen via hack bij dienstverlener — medewerkers- en klantgegevens gestolen
- Cisco SD-WAN 0-day (CVE-2026-20127) wordt nu breed misbruikt met publieke PoC
- CISA voegt iOS-exploitkit-kwetsbaarheden toe — Coruna-kit richt zich op 23 kwetsbaarheden (iOS 13–17.2.1)
- Russische staatshackers richten zich op Signal- en WhatsApp-accounts van overheidsfunctionarissen
- ShinyHunters maakt actief misbruik van Salesforce Aura-bug voor gegevensdiefstal
- FBI onderzoekt verdachte activiteit op gevoelig surveillancesysteem
- OpenAI lanceert Codex Security — AI-agent scande 1,2 miljoen commits, vond 10.500 ernstige problemen
🔓 Datalekken en incidenten
Ericsson US meldt datalek na hack bij dienstverlener
Ericsson Inc. (Amerikaanse dochteronderneming) heeft bevestigd dat aanvallers medewerkers- en klantgegevens hebben gestolen na het compromitteren van een externe dienstverlener. De omvang van het lek is niet bekendgemaakt. Dit is opnieuw een supply-chain-aanval die tekortkomingen in leverancierrisicobeheer blootlegt.
ShinyHunters misbruikt Salesforce Aura voor actieve gegevensdiefstal
Salesforce waarschuwt klanten over verkeerd geconfigureerde Experience Cloud-platforms die gastgebruikers buitensporige datatoegang verlenen. De afpersingsgroep ShinyHunters beweert een nieuwe kwetsbaarheid te misbruiken om actief gegevens te stelen uit Salesforce-instanties, naast het configuratieprobleem.
FBI onderzoekt inbreuk op gevoelig surveillancesysteem
De FBI onderzoekt "verdachte" cyberactiviteit op een systeem met gevoelige surveillance-informatie. Het bureau heeft het Congres op de hoogte gesteld en werkt aan het bepalen van de omvang en impact. Details blijven geclassificeerd.
UNC4899 (Noord-Korea) drong cryptobedrijf binnen via getrojaniseerde AirDrop
De Noord-Koreaanse dreigingsactor UNC4899 (ook bekend als Jade Sleet/TraderTraitor) compromitteerde een cryptovaluta-organisatie door een ontwikkelaar via social engineering te misleiden om een getrojaniseerd bestand via AirDrop naar zijn werkapparaat te sturen. Aanvallers bewogen lateraal naar de cloudinfrastructuur met living-off-the-cloud-technieken om miljoenen in cryptovaluta te stelen.
🚨 Kritieke CVE's en kwetsbaarheden
Cisco Catalyst SD-WAN — Actief misbruikte zero-day
Kwetsbaarheid van maximale ernst in Cisco Catalyst SD-WAN Controller en SD-WAN Manager. Publieke PoC-exploit vrijgegeven. WatchTowr meldt wijdverbreid misbruik vanaf talrijke unieke IP-adressen. Maakt authenticatie-bypass en root-toegang mogelijk. Patch onmiddellijk.
Nginx UI — Ongeauthenticeerd downloaden en ontsleutelen van back-ups
Kritieke kwetsbaarheid in Nginx UI stelt ongeauthenticeerde aanvallers in staat om volledige systeemback-ups te downloaden en te ontsleutelen, waardoor configuratiebestanden, inloggegevens en gevoelige data worden blootgesteld.
AVideo-platform — Zero-click opdrachtinjectie
Zero-click-kwetsbaarheid van maximale ernst in het open-source videohostingplatform AVideo stelt aanvallers in staat om willekeurige opdrachten uit te voeren op streamingservers zonder enige gebruikersinteractie.
MongoDB — Ongeauthenticeerde servercrash
CVSS 7.5-kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om blootgestelde MongoDB-servers te laten crashen met minimale bandbreedte. Ontdekt door onderzoekers van Cato CTRL.
WordPress Membership-plugin — Aanmaken van beheerdersaccounts
De User Registration & Membership-plugin voor WordPress stelt ongeauthenticeerde aanvallers in staat om beveiligingscontroles te omzeilen en beheerdersaccounts aan te maken.
CISA voegt kwetsbaarheden van Coruna iOS-exploitkit toe aan KEV
iOS-exploitkit van staatsniveau ("Coruna") richt zich op 23 kwetsbaarheden in iOS 13 tot en met 17.2.1. CISA heeft deze op 5 maart toegevoegd aan de Known Exploited Vulnerabilities-catalogus. Actief misbruik bevestigd.
Cisco Secure Firewall Management Center — RCE en authenticatie-bypass
Twee afzonderlijke kritieke waarschuwingen voor Cisco FMC: één maakt uitvoering van externe code mogelijk (maximale ernst), de andere maakt ongeauthenticeerde authenticatie-bypass mogelijk.
ExifTool-kwetsbaarheid — Kwaadaardige afbeeldingen activeren code-uitvoering op macOS
Onderzoekers van Kaspersky ontdekten een kwetsbaarheid waarbij kwaadaardige afbeeldingen code-uitvoering op macOS kunnen activeren via ExifTool, wat aannames over de malware-immuniteit van macOS ter discussie stelt.
Google Chrome noodupdate — 10 beveiligingspatches
Google heeft Chrome Stable bijgewerkt naar 145.0.7632.159, met 10 beveiligingspatches waaronder kritieke problemen.
🕵️ Dreigingsactoren en campagnes
Russische staatshackers kapen Signal- en WhatsApp-accounts
De Nederlandse overheid heeft een waarschuwing uitgegeven: door de Russische staat gesponsorde hackers voeren een phishingcampagne uit gericht op overheidsfunctionarissen, militair personeel en journalisten om hun Signal- en WhatsApp-accounts te kapen en toegang te krijgen tot versleutelde berichten.
CL-UNK-1068 — Chinese spionage in Aziatische kritieke infrastructuur
Palo Alto Unit 42 onthulde een jarenlange Chinese spionagecampagne (CL-UNK-1068) gericht op luchtvaart, energie, overheid, farmaceutische industrie en telecom in Zuid-, Zuidoost- en Oost-Azië. Maakt gebruik van aangepaste malware, gemodificeerde open-source tools en LOLBINs voor persistentie.
Microsoft Teams-phishing levert A0Backdoor-malware af
Aanvallers benaderden medewerkers van financiële en zorginstellingen via Microsoft Teams en misleidden hen om via Quick Assist externe toegang te verlenen om een nieuw type malware genaamd "A0Backdoor" te installeren.
ClickFix-aanval gebruikt Windows Terminal om detectie te omzeilen
Een nieuwe variant van nep-CAPTCHA-phishingpagina's instrueert slachtoffers om kwaadaardige opdrachten in Windows Terminal te plakken in plaats van in het venster Uitvoeren, waardoor traditionele detectiemethoden worden omzeild.
Meer dan 100 GitHub-repo's verspreiden BoryptGrab-stealer
Meer dan 100 GitHub-repositories verspreiden de BoryptGrab-informatiestealer, gericht op browsergegevens, cryptovalutaportefeuilles, systeeminformatie en gebruikersbestanden.
Chrome-extensies worden kwaadaardig na eigendomsoverdracht
Twee Chrome-extensies (QuickLens, ShotBird) werden kwaadaardig na eigendomsoverdracht, waardoor code-injectie en gegevensdiefstal mogelijk werd voor circa 7.800 gebruikers. Benadrukt het voortdurende supply-chain-risico in browserextensie-ecosystemen.
Kwaadaardig npm-pakket installeert RAT (credential stealer)
JFrog ontdekte een kwaadaardig npm-pakket dat systeemcredentials, browsergegevens, cryptoportefeuilles, SSH-sleutels, Apple Keychain en iMessage-geschiedenis steelt. Installeert een persistente RAT met SOCKS5-proxy en live browsersessiekloning. 178 downloads vóór ontdekking.
Mail2Shell — Zero-click RCE in FreeScout-helpdesk
Kritieke zero-click-kwetsbaarheid in de open-source helpdesksoftware FreeScout stelt aanvallers in staat om mailservers te kapen door simpelweg een speciaal samengestelde e-mail te versturen — geen gebruikersinteractie vereist.
🔧 Beveiligingstools en branche-updates
OpenAI lanceert Codex Security-agent
OpenAI heeft Codex Security uitgerold — een AI-aangedreven beveiligingsagent die kwetsbaarheden vindt, valideert en oplossingen voorstelt. In preview scande het 1,2 miljoen commits en vond 10.561 ernstige problemen. Beschikbaar voor ChatGPT Pro/Enterprise/Business/Edu-gebruikers. De eerste maand gratis.
Google: cloudaanvallen verschuiven van zwakke inloggegevens naar kwetsbaarheidsexploitatie
Het Google Cloud Threat Horizons H1 2026-rapport onthult dat aanvallers steeds vaker nieuw onthulde kwetsbaarheden in software van derden misbruiken (niet alleen zwakke inloggegevens) om cloudomgevingen te compromitteren. Het exploitatievenster is gekrompen van weken naar dagen.
Cybersecurity M&A: 42 deals in februari 2026
Grote deals aangekondigd door Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks en Zscaler. De consolidatie in de cybersecuritymarkt gaat in agressief tempo door.
ArmorCode haalt $16 miljoen op voor exposure management
ArmorCode heeft $16 miljoen opgehaald om de platformontwikkeling voor applicatiebeveiligingspostuurbeheer en exposure management te versnellen.
Trump-cyberstrategie: tegenstanders, kritieke infrastructuur, opkomende technologieën
De nieuwe Amerikaanse cyberstrategie roept op tot sterkere afschrikking tegen cyberadversarissen, modernisering van federale netwerken, bescherming van kritieke infrastructuur en investeringen in AI en post-kwantumcryptografie.
EU-hof: banken moeten phishingslachtoffers onmiddellijk terugbetalen
De Advocaat-Generaal van het Hof van Justitie van de EU heeft een formeel advies uitgebracht dat banken slachtoffers van ongeautoriseerde transacties door phishing onmiddellijk moeten terugbetalen. Dit kan een bindend precedent worden voor alle EU-lidstaten.
📊 Opkomende dreigingspatronen
Belangrijkste trends deze week
1. Supply-chain-aanvallen versnellen: Kwaadaardige npm-pakketten, eigendomsoverdrachten van Chrome-extensies en compromittering van dienstverleners (Ericsson) — drie verschillende supply-chain-vectoren in 24 uur. Vertrouwensketens zijn het nieuwe aanvalsoppervlak.
2. Cloud-exploitatievenster krimpt: Het rapport van Google bevestigt dat aanvallers nieuw onthulde kwetsbaarheden binnen dagen misbruiken, niet weken. Patching-SLA's moeten in uren worden gemeten voor cloud-blootgestelde diensten.
3. Berichten-apps doelwit van natiestaten: Russische APT's richten zich specifiek op Signal en WhatsApp voor het kapen van accounts. Versleutelde berichtendiensten zijn hoogwaardige doelwitten voor spionage, geen veilige havens.
4. AI-beveiligingstools worden mainstream: De lancering van OpenAI's Codex Security (1,2 miljoen commits gescand) signaleert dat AI-aangedreven kwetsbaarheidsdetectie verschuift van niche naar standaard DevSecOps-tooling. Directe concurrentie voor KENSAI's markt.
5. Cisco-infrastructuur onder vuur: SD-WAN 0-day, Firewall Management RCE en authenticatie-bypass — Cisco-producten vertonen een cluster van kritieke kwetsbaarheden. Organisaties met Cisco-infrastructuur hebben noodpatchingcycli nodig.