Beveiligingsbriefing
⚡ TL;DR — Wat Er Vandaag Toe Doet
- DarkSword iOS-exploitkit — tweede full-chain iOS-kit in een maand, 3 zero-days, Russische spionagegroep UNC6353 richt zich op Oekraïne. iOS 18.4–18.7 getroffen.
- Handala-hacktivisten wisten 80.000 Stryker-apparaten via Microsoft Intune — FBI nam hun leksite in beslag. CISA gaf richtlijnen uit voor Intune-hardening.
- PolyShell RCE in alle Magento/Adobe Commerce v2 — niet-geauthenticeerde code-uitvoering via polyglot-bestandsuploads. Nog geen productiepatch beschikbaar.
- Cisco FMC zero-day uitgebuit door Interlock-ransomware sinds januari — Amazon vond Russische connecties.
- Navia-datalek treft 2,7 miljoen mensen — gevoelige arbeidsvoorwaardengegevens blootgesteld.
- APT28 (Rusland) buit Zimbra CSS-sanitisatiefout uit tegen de Oekraïense overheid.
- 9 kritieke IP KVM-kwetsbaarheden bij 4 leveranciers — niet-geauthenticeerde root-toegang op BIOS-niveau.
Datalekken
Navia Benefit Solutions — 2,7 Miljoen Records Blootgesteld
Het arbeidsvoorwaardenbedrijf Navia maakte een datalek bekend dat bijna 2,7 miljoen personen treft. Aanvallers kregen toegang tot gevoelige persoonlijke informatie, waaronder arbeidsvoorwaardengegevens, BSN-nummers en financiële gegevens. Het bedrijf biedt kredietbewakingsdiensten aan getroffen personen.
Aura Security — 900.000 Records via Phishing
Ironisch genoeg: identiteitsbeschermingsbedrijf Aura maakte een datalek bekend dat 900.000 records treft. Een medewerker werd slachtoffer van een gerichte telefonische phishing-aanval (vishing), waardoor aanvallers toegang kregen tot een marketingtool met klantgegevens.
Marquis-datalek — 672.000 Bevestigd
Naar beneden bijgesteld van een initiële schatting van 1,6 miljoen, bevestigt het Marquis-datalek nu 672.000 getroffen personen. Gegevenstypen en details van de aanvalsvector worden nog onderzocht.
Kritieke Kwetsbaarheden
DarkSword iOS-exploitkit — 6 Kwetsbaarheden, 3 Zero-Days
Google Threat Intelligence, iVerify en Lookout onthulden gezamenlijk "DarkSword" — een full-chain iOS-exploitkit gericht op iOS 18.4–18.7. Maakt misbruik van 6 kwetsbaarheden waaronder 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Gebruikt door de Russische groep UNC6353, commerciële surveillanceleveranciers en staatsactoren die zich richten op Oekraïne, Saudi-Arabië, Turkije en Maleisië. Hanteert een "hit-and-run"-aanpak waarbij gegevens binnen seconden worden geëxfiltreerd. Tweede iOS-exploitkit na Coruna, ontdekt binnen een maand.
PolyShell — Niet-geauthenticeerde RCE op Alle Magento/Adobe Commerce v2
Sansec ontdekte "PolyShell", een kwetsbaarheid in de REST API-bestandsuploadverwerking van Magento. Aanvallers uploaden polyglot-bestanden (geldig als zowel afbeelding als script) om niet-geauthenticeerde remote code execution of opgeslagen XSS-accountovername te bereiken. Treft alle productie-installaties van Magento Open Source en Adobe Commerce v2. Patch alleen beschikbaar in alpha 2.4.9 — nog geen productiefix. De exploitmethode circuleert al.
Ubiquiti UniFi — Accountovername met Maximale Ernst
Ubiquiti patchte twee kwetsbaarheden in de UniFi Network Application, waaronder een fout met maximale ernst die accountovername mogelijk maakt. Beheerders dienen onmiddellijk te updaten.
ScreenConnect — Kritieke Blootstelling van Machinesleutels
ConnectWise patchte een kritieke ScreenConnect-kwetsbaarheid die machinesleutels blootstelde, waardoor mogelijk ongeautoriseerde externe toegang ontstond. De nieuwste versie voegt versleutelde opslag en beheer toe voor sleutelbescherming.
SharePoint RCE (CVE-2026-20963) — Actieve Exploitatie
CISA voegde Microsoft SharePoint CVE-2026-20963 toe aan de catalogus van Bekende Uitgebuite Kwetsbaarheden. De RCE-fout, gepatcht in de Patch Tuesday van januari, wordt nu bevestigd als actief uitgebuit in het wild.
9 Kritieke IP KVM-kwetsbaarheden — Niet-geauthenticeerde Root-toegang
Eclypsium ontdekte 9 kwetsbaarheden in 4 IP KVM-producten (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Ontbrekende validatie van firmwarehandtekeningen, geen brute-force-bescherming, gebrekkige toegangscontroles, blootgestelde debug-interfaces. Aanvallers kunnen root-toegang verkrijgen op BIOS/UEFI-niveau — alle beveiligingsmaatregelen op OS-niveau worden omzeild.
Ransomware & Grote Aanvallen
Handala-hacktivisten Wissen 80.000 Stryker-apparaten via Microsoft Intune
De hacktivistengroep Handala voerde een verwoestende destructieve aanval uit op medisch-technologiegigant Stryker, waarbij ongeveer 80.000 apparaten werden gewist door Microsoft Intune-endpointbeheer als wapen in te zetten. De FBI heeft twee door Handala beheerde dataleksites in beslag genomen. CISA gaf vervolgens dringende richtlijnen uit voor alle Amerikaanse organisaties om hun Microsoft Intune-implementaties te versterken.
Cisco FMC Zero-Day Uitgebuit door Interlock-ransomware
Amazon ontdekte dat een kwetsbaarheid in Cisco Firewall Management Center (FMC) sinds eind januari als zero-day wordt uitgebuit door de Interlock-ransomwaregroep. Bewijs wijst op banden met Rusland. Cisco's recente reeks kwetsbaarheden laat een zorgwekkend patroon zien van actief uitgebuite firewall- en SD-WAN-fouten.
Bitrefill Schrijft Aanval Toe aan Noord-Koreaanse Lazarus/Bluenoroff
Crypto-cadeaukaartplatform Bitrefill maakte bekend dat hun cyberaanval van begin maart waarschijnlijk is uitgevoerd door de Noord-Koreaanse Bluenoroff-groep (subgroep van Lazarus). Het patroon waarbij DPRK crypto- en fintechplatforms aanvalt voor inkomstengeneratie zet zich voort.
Insider-aanval in North Carolina — $2,5M Losgeld
Een technisch medewerker in North Carolina werd schuldig bevonden aan het uitvoeren van een insider-aanval op een technologiebedrijf in Washington, waarbij een losgeld van 2,5 miljoen dollar werd geïnd. Onderstreept het aanhoudende risico van interne dreigingen.
Staatsgestuurde & APT-activiteit
APT28 (Rusland/GRU) Buit Zimbra Uit Tegen Oekraïne
Het aan de Russische militaire inlichtingendienst gelinkte APT28 buit actief een kwetsbaarheid in Zimbra Collaboration Suite uit bij aanvallen op Oekraïense overheidsinstellingen. De fout betreft onvoldoende CSS-sanitisatie in HTML-e-mails, waardoor inline scriptuitvoering mogelijk is wanneer berichten in een browser worden geopend.
Opbouw van Iraanse Cyberinfrastructuur Onthuld
Uit analyse blijkt een opbouw van zes maanden aan Iran-gelinkte cyberinfrastructuur, inclusief in de VS gevestigde schijnbedrijven, ontworpen om de weerbaarheid van wereldwijde hackoperaties te waarborgen en potentiële kinetische aanvallen te doorstaan. Federale autoriteiten zijn in verhoogde staat van paraatheid voor Iraanse cyberaanvallen naar aanleiding van het Stryker-incident.
The Gentlemen RaaS — FortiGate-gerichte Operatie
Group-IB bracht "The Gentlemen" in kaart, een opkomende Ransomware-as-a-Service-operatie van circa 20 leden die specifiek FortiGate-firewallkwetsbaarheden uitbuit. Onderdeel van de aanhoudende trend van exploitatie van randapparatuur voor initiële toegang.
Beveiligingstools & Industrie
Oasis Security — $120M voor Agentisch Toegangsbeheer
Oasis Security haalde 120 miljoen dollar op om hun platform voor agentisch toegangsbeheer uit te breiden. Focus op R&D, productuitbreiding voor AI-frameworks en go-to-market-opschaling. Signaleert groeiende investeerdersinteresse in beveiligingscontroles voor AI-agenten.
Cloaked Privacyplatform — $375M Financiering
Privacyplatform Cloaked haalde 375 miljoen dollar op om uit te breiden naar de enterprise-markt. Plannen om AI-agenten te introduceren die privacyvoorkeuren en beveiligingsposities namens gebruikers monitoren, beheren en handhaven.
1stProtect — $20M Stealth-lancering
Endpoint-beveiligingsstartup 1stProtect kwam uit stealth-modus met 20 miljoen dollar. Hun platform monitort gedrag en verifieert gebruikersintentie om aanvallen in realtime te stoppen — een vernieuwende aanpak voor endpointbescherming.
Raven — $20M voor Runtime-anomaliedetectie
Raven kwam uit stealth-modus met 20 miljoen dollar. Hun platform observeert applicaties tijdens runtime om afwijkend gedrag te detecteren en cyberaanvallen te voorkomen — gericht op de kloof tussen statische analyse en daadwerkelijke exploitatie.
Ceros — AI-vertrouwenslaag voor Claude Code
Beyond Identity lanceerde Ceros, een "AI Trust Layer" die realtime-zichtbaarheid, runtime-beleidshandhaving en cryptografische audittrails biedt voor Claude Code-agentoperaties. Richt zich op het opkomende risico van AI-codeeragenten die opereren met volledige ontwikkelaarsbevoegdheden buiten bestaande beveiligingscontroles.
Opkomende Dreigingspatronen
Proliferatie van iOS-exploits
Twee full-chain iOS-exploitkits (Coruna en DarkSword) ontdekt binnen een maand, gebruikt door een mix van staatsactoren en commerciële surveillanceleveranciers. Toont een bloeiende secundaire markt aan waar zelfs financieel gemotiveerde groepen exploits op staatsniveau voor mobiele apparaten kunnen verkrijgen. De "hit-and-run"-exfiltratieaanpak — seconden, niet uren — maakt forensische detectie uiterst moeilijk.
Exploitatie van Randapparatuur Zet Door
FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock-ransomware), Ubiquiti UniFi, Zimbra, IP KVM-apparaten — het patroon is duidelijk. Aanvallers richten zich systematisch op netwerkrandinfrastructuur. Het nieuwe IP KVM-onderzoek toont aan dat zelfs toegang op BIOS-niveau risico loopt via goedkope, slecht beveiligde hardware. Organisaties moeten elk randapparaat behandelen als een kritiek aanvalsoppervlak.
Microsoft Intune als Aanvalsvector
Handala's inzet van Microsoft Intune als wapen om 80.000 Stryker-apparaten te wissen is een wake-upcall. Endpointbeheertools die ontworpen zijn om apparaten te beschermen, kunnen worden omgevormd tot wapens voor massale vernietiging wanneer ze gecompromitteerd worden. De responsrichtlijnen van CISA signaleren dat dit nu een erkend aanvalspatroon is waartegen ondernemingen zich moeten verdedigen.
AI-agentbeveiliging Ontstaat als Categorie
Meerdere startups (meer dan $535M aan financiering alleen al deze week) bouwen producten specifiek voor AI-agentbeveiliging — toegangsbeheer, runtime-monitoring, privacy-handhaving. Ceros (voor Claude Code), Oasis (agentische toegang) en Cloaked (AI-privacyagenten) signaleren allemaal dat het beveiligen van AI-agenten een afzonderlijke beveiligingsdiscipline aan het worden is. Relevant voor de roadmap van KENSAI.