剣 KENSAI
← Back to archive
KENSAI Intelligence

Beveiligingsbriefing

2026-03-20 · Donderdag → Vrijdag · 04:00 CET
3
Datalekken
6
Kritieke CVE's
3
Zero-Days
4
Financieringsrondes

⚡ TL;DR — Wat Er Vandaag Toe Doet

  • DarkSword iOS-exploitkit — tweede full-chain iOS-kit in een maand, 3 zero-days, Russische spionagegroep UNC6353 richt zich op Oekraïne. iOS 18.4–18.7 getroffen.
  • Handala-hacktivisten wisten 80.000 Stryker-apparaten via Microsoft Intune — FBI nam hun leksite in beslag. CISA gaf richtlijnen uit voor Intune-hardening.
  • PolyShell RCE in alle Magento/Adobe Commerce v2 — niet-geauthenticeerde code-uitvoering via polyglot-bestandsuploads. Nog geen productiepatch beschikbaar.
  • Cisco FMC zero-day uitgebuit door Interlock-ransomware sinds januari — Amazon vond Russische connecties.
  • Navia-datalek treft 2,7 miljoen mensen — gevoelige arbeidsvoorwaardengegevens blootgesteld.
  • APT28 (Rusland) buit Zimbra CSS-sanitisatiefout uit tegen de Oekraïense overheid.
  • 9 kritieke IP KVM-kwetsbaarheden bij 4 leveranciers — niet-geauthenticeerde root-toegang op BIOS-niveau.
🔓

Datalekken

Navia Benefit Solutions — 2,7 Miljoen Records Blootgesteld

Het arbeidsvoorwaardenbedrijf Navia maakte een datalek bekend dat bijna 2,7 miljoen personen treft. Aanvallers kregen toegang tot gevoelige persoonlijke informatie, waaronder arbeidsvoorwaardengegevens, BSN-nummers en financiële gegevens. Het bedrijf biedt kredietbewakingsdiensten aan getroffen personen.

KRITIEK 2,7M GETROFFEN bron →

Aura Security — 900.000 Records via Phishing

Ironisch genoeg: identiteitsbeschermingsbedrijf Aura maakte een datalek bekend dat 900.000 records treft. Een medewerker werd slachtoffer van een gerichte telefonische phishing-aanval (vishing), waardoor aanvallers toegang kregen tot een marketingtool met klantgegevens.

HOOG 900K RECORDS bron →

Marquis-datalek — 672.000 Bevestigd

Naar beneden bijgesteld van een initiële schatting van 1,6 miljoen, bevestigt het Marquis-datalek nu 672.000 getroffen personen. Gegevenstypen en details van de aanvalsvector worden nog onderzocht.

HOOG 672K GETROFFEN bron →
⚠️

Kritieke Kwetsbaarheden

DarkSword iOS-exploitkit — 6 Kwetsbaarheden, 3 Zero-Days

Google Threat Intelligence, iVerify en Lookout onthulden gezamenlijk "DarkSword" — een full-chain iOS-exploitkit gericht op iOS 18.4–18.7. Maakt misbruik van 6 kwetsbaarheden waaronder 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Gebruikt door de Russische groep UNC6353, commerciële surveillanceleveranciers en staatsactoren die zich richten op Oekraïne, Saudi-Arabië, Turkije en Maleisië. Hanteert een "hit-and-run"-aanpak waarbij gegevens binnen seconden worden geëxfiltreerd. Tweede iOS-exploitkit na Coruna, ontdekt binnen een maand.

3 ZERO-DAYS UNC6353 / RUSLAND iOS 18.4–18.7 bron →

PolyShell — Niet-geauthenticeerde RCE op Alle Magento/Adobe Commerce v2

Sansec ontdekte "PolyShell", een kwetsbaarheid in de REST API-bestandsuploadverwerking van Magento. Aanvallers uploaden polyglot-bestanden (geldig als zowel afbeelding als script) om niet-geauthenticeerde remote code execution of opgeslagen XSS-accountovername te bereiken. Treft alle productie-installaties van Magento Open Source en Adobe Commerce v2. Patch alleen beschikbaar in alpha 2.4.9 — nog geen productiefix. De exploitmethode circuleert al.

KRITIEK — GEEN PATCH ALLE MAGENTO V2 bron →

Ubiquiti UniFi — Accountovername met Maximale Ernst

Ubiquiti patchte twee kwetsbaarheden in de UniFi Network Application, waaronder een fout met maximale ernst die accountovername mogelijk maakt. Beheerders dienen onmiddellijk te updaten.

CVSS 10.0 GEPATCHT bron →

ScreenConnect — Kritieke Blootstelling van Machinesleutels

ConnectWise patchte een kritieke ScreenConnect-kwetsbaarheid die machinesleutels blootstelde, waardoor mogelijk ongeautoriseerde externe toegang ontstond. De nieuwste versie voegt versleutelde opslag en beheer toe voor sleutelbescherming.

KRITIEK GEPATCHT bron →

SharePoint RCE (CVE-2026-20963) — Actieve Exploitatie

CISA voegde Microsoft SharePoint CVE-2026-20963 toe aan de catalogus van Bekende Uitgebuite Kwetsbaarheden. De RCE-fout, gepatcht in de Patch Tuesday van januari, wordt nu bevestigd als actief uitgebuit in het wild.

ACTIEF UITGEBUIT PATCH BESCHIKBAAR bron →

9 Kritieke IP KVM-kwetsbaarheden — Niet-geauthenticeerde Root-toegang

Eclypsium ontdekte 9 kwetsbaarheden in 4 IP KVM-producten (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Ontbrekende validatie van firmwarehandtekeningen, geen brute-force-bescherming, gebrekkige toegangscontroles, blootgestelde debug-interfaces. Aanvallers kunnen root-toegang verkrijgen op BIOS/UEFI-niveau — alle beveiligingsmaatregelen op OS-niveau worden omzeild.

KRITIEK 4 LEVERANCIERS bron →
💀

Ransomware & Grote Aanvallen

Handala-hacktivisten Wissen 80.000 Stryker-apparaten via Microsoft Intune

De hacktivistengroep Handala voerde een verwoestende destructieve aanval uit op medisch-technologiegigant Stryker, waarbij ongeveer 80.000 apparaten werden gewist door Microsoft Intune-endpointbeheer als wapen in te zetten. De FBI heeft twee door Handala beheerde dataleksites in beslag genomen. CISA gaf vervolgens dringende richtlijnen uit voor alle Amerikaanse organisaties om hun Microsoft Intune-implementaties te versterken.

DESTRUCTIEF 80K APPARATEN GEWIST FBI-INBESLAGNAME bron →

Cisco FMC Zero-Day Uitgebuit door Interlock-ransomware

Amazon ontdekte dat een kwetsbaarheid in Cisco Firewall Management Center (FMC) sinds eind januari als zero-day wordt uitgebuit door de Interlock-ransomwaregroep. Bewijs wijst op banden met Rusland. Cisco's recente reeks kwetsbaarheden laat een zorgwekkend patroon zien van actief uitgebuite firewall- en SD-WAN-fouten.

ZERO-DAY INTERLOCK RUSLAND-GELINKT bron →

Bitrefill Schrijft Aanval Toe aan Noord-Koreaanse Lazarus/Bluenoroff

Crypto-cadeaukaartplatform Bitrefill maakte bekend dat hun cyberaanval van begin maart waarschijnlijk is uitgevoerd door de Noord-Koreaanse Bluenoroff-groep (subgroep van Lazarus). Het patroon waarbij DPRK crypto- en fintechplatforms aanvalt voor inkomstengeneratie zet zich voort.

LAZARUS / BLUENOROFF CRYPTO bron →

Insider-aanval in North Carolina — $2,5M Losgeld

Een technisch medewerker in North Carolina werd schuldig bevonden aan het uitvoeren van een insider-aanval op een technologiebedrijf in Washington, waarbij een losgeld van 2,5 miljoen dollar werd geïnd. Onderstreept het aanhoudende risico van interne dreigingen.

INTERNE DREIGING $2,5M LOSGELD bron →
🎯

Staatsgestuurde & APT-activiteit

APT28 (Rusland/GRU) Buit Zimbra Uit Tegen Oekraïne

Het aan de Russische militaire inlichtingendienst gelinkte APT28 buit actief een kwetsbaarheid in Zimbra Collaboration Suite uit bij aanvallen op Oekraïense overheidsinstellingen. De fout betreft onvoldoende CSS-sanitisatie in HTML-e-mails, waardoor inline scriptuitvoering mogelijk is wanneer berichten in een browser worden geopend.

APT28 / FANCY BEAR OEKRAÏNE bron →

Opbouw van Iraanse Cyberinfrastructuur Onthuld

Uit analyse blijkt een opbouw van zes maanden aan Iran-gelinkte cyberinfrastructuur, inclusief in de VS gevestigde schijnbedrijven, ontworpen om de weerbaarheid van wereldwijde hackoperaties te waarborgen en potentiële kinetische aanvallen te doorstaan. Federale autoriteiten zijn in verhoogde staat van paraatheid voor Iraanse cyberaanvallen naar aanleiding van het Stryker-incident.

IRAN INFRASTRUCTUUR bron →

The Gentlemen RaaS — FortiGate-gerichte Operatie

Group-IB bracht "The Gentlemen" in kaart, een opkomende Ransomware-as-a-Service-operatie van circa 20 leden die specifiek FortiGate-firewallkwetsbaarheden uitbuit. Onderdeel van de aanhoudende trend van exploitatie van randapparatuur voor initiële toegang.

RaaS FORTIGATE bron →
🛠️

Beveiligingstools & Industrie

Oasis Security — $120M voor Agentisch Toegangsbeheer

Oasis Security haalde 120 miljoen dollar op om hun platform voor agentisch toegangsbeheer uit te breiden. Focus op R&D, productuitbreiding voor AI-frameworks en go-to-market-opschaling. Signaleert groeiende investeerdersinteresse in beveiligingscontroles voor AI-agenten.

$120M OPGEHAALD bron →

Cloaked Privacyplatform — $375M Financiering

Privacyplatform Cloaked haalde 375 miljoen dollar op om uit te breiden naar de enterprise-markt. Plannen om AI-agenten te introduceren die privacyvoorkeuren en beveiligingsposities namens gebruikers monitoren, beheren en handhaven.

$375M OPGEHAALD bron →

1stProtect — $20M Stealth-lancering

Endpoint-beveiligingsstartup 1stProtect kwam uit stealth-modus met 20 miljoen dollar. Hun platform monitort gedrag en verifieert gebruikersintentie om aanvallen in realtime te stoppen — een vernieuwende aanpak voor endpointbescherming.

$20M OPGEHAALD bron →

Raven — $20M voor Runtime-anomaliedetectie

Raven kwam uit stealth-modus met 20 miljoen dollar. Hun platform observeert applicaties tijdens runtime om afwijkend gedrag te detecteren en cyberaanvallen te voorkomen — gericht op de kloof tussen statische analyse en daadwerkelijke exploitatie.

$20M OPGEHAALD bron →

Ceros — AI-vertrouwenslaag voor Claude Code

Beyond Identity lanceerde Ceros, een "AI Trust Layer" die realtime-zichtbaarheid, runtime-beleidshandhaving en cryptografische audittrails biedt voor Claude Code-agentoperaties. Richt zich op het opkomende risico van AI-codeeragenten die opereren met volledige ontwikkelaarsbevoegdheden buiten bestaande beveiligingscontroles.

AI-AGENTBEVEILIGING bron →
📊

Opkomende Dreigingspatronen

Proliferatie van iOS-exploits

Twee full-chain iOS-exploitkits (Coruna en DarkSword) ontdekt binnen een maand, gebruikt door een mix van staatsactoren en commerciële surveillanceleveranciers. Toont een bloeiende secundaire markt aan waar zelfs financieel gemotiveerde groepen exploits op staatsniveau voor mobiele apparaten kunnen verkrijgen. De "hit-and-run"-exfiltratieaanpak — seconden, niet uren — maakt forensische detectie uiterst moeilijk.

TREND: MOBIELE EXPLOITS

Exploitatie van Randapparatuur Zet Door

FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock-ransomware), Ubiquiti UniFi, Zimbra, IP KVM-apparaten — het patroon is duidelijk. Aanvallers richten zich systematisch op netwerkrandinfrastructuur. Het nieuwe IP KVM-onderzoek toont aan dat zelfs toegang op BIOS-niveau risico loopt via goedkope, slecht beveiligde hardware. Organisaties moeten elk randapparaat behandelen als een kritiek aanvalsoppervlak.

TREND: RANDAPPARATUUR

Microsoft Intune als Aanvalsvector

Handala's inzet van Microsoft Intune als wapen om 80.000 Stryker-apparaten te wissen is een wake-upcall. Endpointbeheertools die ontworpen zijn om apparaten te beschermen, kunnen worden omgevormd tot wapens voor massale vernietiging wanneer ze gecompromitteerd worden. De responsrichtlijnen van CISA signaleren dat dit nu een erkend aanvalspatroon is waartegen ondernemingen zich moeten verdedigen.

TREND: MDM-WEAPONISATIE

AI-agentbeveiliging Ontstaat als Categorie

Meerdere startups (meer dan $535M aan financiering alleen al deze week) bouwen producten specifiek voor AI-agentbeveiliging — toegangsbeheer, runtime-monitoring, privacy-handhaving. Ceros (voor Claude Code), Oasis (agentische toegang) en Cloaked (AI-privacyagenten) signaleren allemaal dat het beveiligen van AI-agenten een afzonderlijke beveiligingsdiscipline aan het worden is. Relevant voor de roadmap van KENSAI.

TREND: AI-AGENTBEVEILIGING