Dagelijks dreigingsbriefing
🔓 Datalekken & inbreuken
Hightower Holding datalek — 130.000 getroffen
HOGE IMPACTFinancieel holdingbedrijf Hightower onthulde dat hackers namen, burgerservicenummers en rijbewijsnummers uit hun omgeving hebben geëxfiltreerd. Ongeveer 130.000 personen zijn getroffen. Het lek benadrukt de aanhoudende targeting van financiële dienstverleners die grote persoonsgegevensets beheren.
Ajax Amsterdam FC — Fangegevens blootgesteld, ticketkaping
GEMIDDELDDe Nederlandse voetbalclub AFC Ajax onthulde een inbreuk waarbij een hacker kwetsbaarheden in zijn IT-systemen exploiteerde en toegang kreeg tot persoonlijke gegevens van enkele honderden fans. De toegang maakte ticketkapingsmogelijkheden mogelijk. Dit toont aan hoe zelfs «niet-technische» organisaties te maken krijgen met geavanceerde aanvallen wanneer zij consumentengegevens bezitten.
LeakBase-beheerder gearresteerd in Rusland
RECHTSHANDHAVINGDe Russische politie arresteerde een inwoner van Taganrog die vermoedelijk de eigenaar is van LeakBase, een groot cybercrimeforum voor de handel in gestolen databases en hackingtools, operationeel sinds 2021. Technische apparatuur werd in beslag genomen. Afzonderlijk werd de vermoedelijke beheerder van de RedLine infostealer, Hambardzum Minasyan, uitgeleverd van Armenië aan de VS om strafrechtelijke aanklachten te ondergaan.
🚨 Kritieke CVEs & kwetsbaarheden
CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)
KRITIEK 9.3CISA heeft CVE-2026-33017 toegevoegd aan zijn catalogus van bekende misbruikte kwetsbaarheden. De fout treft Langflow ≤1.8.1, een populair open-source AI-workflowframework (145K GitHub-sterren). Maakt niet-geauthenticeerde remote code execution mogelijk via een enkele gemanipuleerde HTTP-aanvraag door niet-gesandboxde flow-uitvoering. Misbruik begon slechts 20 uur na openbaarmaking — er bestond geen publieke PoC; aanvallers hebben exploits reverse-engineered uitsluitend op basis van het advies. Geautomatiseerd scannen → misbruik → dataverzameling (.env, .db-bestanden) vond plaats binnen 24 uur.
PolyShell — Magento/Adobe Commerce niet-geauthenticeerde RCE
KRITIEKEen nieuwe kwetsbaarheid genaamd PolyShell treft Magento Open Source en Adobe Commerce, waardoor niet-geauthenticeerde bestandsupload naar RCE via de REST API mogelijk is. Onder massaal misbruik sinds 19 maart, met meer dan 50 scannende IP's. Sansec meldt dat 56,7% van de kwetsbare winkels is aangevallen. Een nieuwe WebRTC-gebaseerde betaalskimmer werd via dit vector ingezet, waarbij Content Security Policy wordt omzeild door DTLS-versleutelde UDP-kanalen te gebruiken in plaats van HTTP. Patch alleen beschikbaar in bèta (2.4.9-beta1).
BIND DNS — Ernstige OOM-kwetsbaarheden
HOOGISC heeft updates uitgebracht die ernstige kwetsbaarheden in BIND DNS-resolvers verhelpen. Speciaal gemaakte domeinen konden out-of-memory-condities veroorzaken die leiden tot geheugenlekken en mogelijke denial of service. DNS-infrastructuurbeheerders moeten onmiddellijk patchen.
Cisco IOS — Meerdere kwetsbaarheden gepatcht
HOOGCisco heeft patches uitgebracht voor meerdere kwetsbaarheden in IOS-software, die fouten verhelpen die konden leiden tot denial of service, omzeiling van secure boot, informatieblootstelling en privilege-escalatie. Netwerkinfrastructuur met Cisco IOS dient bijgewerkt te worden.
Apple iOS/macOS 26.4 — Beveiligingsupdates
GEMIDDELDApple heeft beveiligingsfixes uitgebracht voor iOS/macOS 26.4, plus backports voor oudere versies: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 en macOS Sonoma 14.8.5. Update alle Apple-apparaten direct.
☠️ Dreigingscampagnes & malware
Red Menshen (China) — Diep in telecom-backbone via BPFDoor
APTSTAATSGESTUURDDe China-gelieerde dreigingsactor Red Menshen (Earth Bluecrow / DecisiveArchitect) heeft kernel-level implantaten en passieve backdoors diep in telecomnetwerken in het Midden-Oosten en Azië ingebed sinds 2021. Rapid7 beschreef deze als «enkele van de meest onopvallende digitale slapercellen» ooit aangetroffen. De BPFDoor-implantaten maken persistente langdurige spionage tegen overheidsnetwerken mogelijk via compromittering van telecominfrastructuur.
Sandworm (Rusland) — Backdoors via illegale software
APTSTAATSGESTUURDDe Russische APT Sandworm verspreidt backdoors (Tambur, Sumbur, Kalambur, DemiMur) via illegale software zoals «Microsoft.Office.2025x64». Gebruikt Telegram als distributiemiddel gericht op Oekraïense gebruikers die softwarecracks zoeken. DemiMur forceert de import van vervalste rootcertificaten in de OS-truststore, waardoor persistente manipulatie van de vertrouwensketen mogelijk wordt.
Coruna iOS Exploit Framework — Evolutie van Operation Triangulation
ZERO-CLICKHet Coruna exploit kit is geïdentificeerd als een evolutie van het framework dat werd gebruikt bij Operation Triangulation, de campagne uit 2023 die iPhones aanviel via zero-click iMessage-exploits. Dit vertegenwoordigt de voortdurende ontwikkeling van geavanceerde mobiele exploitcapaciteiten.
Keenadu — Android firmware-level backdoor verspreidt zich
FIRMWARESophos detecteerde Keenadu, een firmware-backdoor ingebed in Androids libandroid_runtime.so die zich injecteert in het Zygote-proces (ouder van alle Android-apps), waardoor aanvallers totale apparaatcontrole krijgen. Meer dan 500 gecompromitteerde apparaten over ~50 modellen gedetecteerd, voornamelijk budgetapparaten van Allview, BLU, Dcode, DOOGEE en anderen. Wordt vooraf geïnstalleerd vanuit de fabriek verzonden.
TeamPCP — OSS toeleveringsketen compromittering over ecosystemen
TOELEVERINGSKETENDe dreigingsgroep TeamPCP breidde uit van het compromitteren van GitHub Action-tags (aanvankelijk Trivy) naar aanvallen op NPM, Docker Hub, VS Code Extensions en PyPI. De groep zou zich hebben samengevoegd met Lapsus$ voor bredere toeleveringsketenaanvallen over meerdere pakket-ecosystemen.
TikTok for Business — Phishingcampagne met bot-ontwijking
PHISHINGNieuwe phishingcampagne gericht op TikTok for Business-accounts die anti-bottechnieken gebruikt om beveiligingstools te verhinderen kwaadaardige pagina's te analyseren. Zakelijke accounts op sociale media blijven waardevolle doelwitten voor het stelen van inloggegevens.
VK sanctioneert Xinbi-marktplaats
SANCTIESHet VK sanctioneerde Xinbi, een Chinestalige crypto-marktplaats die gestolen gegevens en satellietinternetapparatuur verkoopt aan oplichtersnetwerken in Zuidoost-Azië. Verbonden met «pig butchering»-oplichting en andere georganiseerde fraudeoperaties.
🛡️ Beveiligingstools & industrie
RSAC 2026 Conferentie — Aankondigingen Dag 2
RSAC 2026De RSAC 2026 is gaande met belangrijke leveranciersaankondigingen. Kernthema's omvatten door AI aangedreven beveiligingsoperaties, post-quantum cryptografie-gereedheid en identiteitsgerichte verdedigingsstrategieën.
Dell & HP — Quantumbestendige apparaatbeveiliging
PQCZowel Dell als HP kondigden nieuwe quantumbestendige beveiligingsmogelijkheden aan voor pc's en printers, in lijn met Googles recent gepubliceerde PQC-migratietijdlijn 2029. Google integreert ML-DSA (Module-Lattice-Based Digital Signature Algorithm) in het geverifieerde opstartproces van Android 17.
GitHub — AI-aangedreven kwetsbaarheidsdetectie
AI SECURITYGitHub kondigde AI-aangedreven beveiligingsdetecties aan in GitHub Code Security, als aanvulling op CodeQL om kwetsbaarheden te vinden die traditionele statische analyse mist. Het hybride detectiemodel toont problemen en voorgestelde oplossingen binnen pull request-workflows. Publieke preview verwacht begin Q2 2026.
Onit Security — $11M voor exposure management
FINANCIERINGOnit Security haalde $11M op om te investeren in zijn exposure management-platform en uit te breiden naar nieuwe sectoren. De exposure management-markt blijft investeringen aantrekken naarmate organisaties zoeken naar continue zichtbaarheid in hun aanvalsoppervlak.
FCC verbiedt in het buitenland gemaakte consumentenrouters
REGELGEVINGDe FCC verbood nieuwe consumentenrouters die buiten de VS zijn vervaardigd, onder verwijzing naar risico's voor de nationale veiligheid. Het verbod sluit aan bij een bepaling van het Witte Huis dat alle in het buitenland geproduceerde routers een veiligheidsbedreiging vormen. Aanzienlijke gevolgen voor de toeleveringsketen van de netwerkindustrie.
📊 Opkomende patronen
1. AI-infrastructuur is het nieuwe aanvalsoppervlak
CVE-2026-33017 (Langflow) misbruikt in 20 uur. AI-workflowtools zijn blootgesteld aan internet, vaak niet gepatcht, en bevatten API-sleutels en cloudcredentials. Verwacht meer AI-specifieke CVEs naarmate de adoptie versnelt. Organisaties die AI-tools implementeren moeten deze als kritieke infrastructuur behandelen.
2. CSP-omzeiling via niet-HTTP-kanalen
De WebRTC-betaalskimmer vertegenwoordigt een paradigmaverschuiving: aanvallers gebruiken DTLS-versleutelde UDP-datakanalen om gegevens te exfiltreren die volledig onzichtbaar zijn voor HTTP-gerichte beveiligingstools. CSP alleen is niet langer voldoende. Beveiligingsmonitoring moet verder reiken dan HTTP om WebRTC, WebSocket en andere browser-API's te dekken.
3. Toeleveringsketenaanvallen worden ecosysteemoverschrijdend
De uitbreiding van TeamPCP van GitHub Actions → NPM → Docker Hub → VS Code → PyPI toont dat aanvallers het gehele OSS-ecosysteem als één aanvalsoppervlak behandelen. Het compromitteren van één pakketbeheerder biedt houvast in anderen. SBOM en afhankelijkheidsmonitoring zijn nu essentieel, niet optioneel.
4. Tijdlijn post-quantum cryptografie wordt concreet
Googles PQC-migratietermijn 2029 + Dell/HP hardware-aankondigingen + Android 17 ML-DSA-integratie signaleren dat PQC overgaat van theoretisch naar praktisch. «Sla nu op, ontcijfer later»-aanvallen maken dit een huidige, geen toekomstige bedreiging. NIS2-plichtige organisaties moeten beginnen met PQC-gereedheidbeoordelingen.
5. Identiteit blijft de zwakste schakel
PwC's onderzoek bevestigt dat AI de snelheid en schaal van aanvallen versterkt, terwijl identiteitsdiefstal evolueert naar een volledige cybercriminele toeleveringsketen. De uitlevering van de RedLine-beheerder en de sluiting van LeakBase tonen hoe geïndustrialiseerd credentialsdiefstal is geworden. MFA-omzeilingstechnieken blijven zich ontwikkelen naast AITM-phishingkits.
6. Compromittering op firmware-niveau op grote schaal
Keenadu die vooraf geïnstalleerd wordt op meer dan 500 apparaten over 50 modellen toont dat firmware-toeleveringsketenaanvallen reëel en wijdverbreid zijn. Budgetapparaten blijven vectoren voor massasurveillance. Organisaties met BYOD-beleid lopen verhoogd risico door gecompromitteerde consumentenhardware.