🛡️ Dagelijkse Beveiligingsonderzoek Briefing
Zaterdag 28 maart 2026 — 04:00 CET · Automatisch gegenereerd uit OSINT-bronnen
TL;DR: TeamPCP zet zijn opmars voort — nu met een destructieve wiper gericht op Iran via supply chain-compromittering van het Telnyx PyPI-pakket. De Europese Commissie werd getroffen door een AWS-cloudinbraak. CISA waarschuwt voor actieve exploitatie van Langflow (CVE-2026-33017). Aan China gelinkte groep Red Menshen diep doorgedrongen in telecom-backbone-infrastructuur. Vier grote IoT-botnets ontmanteld door het DOJ. Kwetsbaarheden in LangChain/LangGraph leggen bedrijfs-AI-geheimen bloot. RSAC 2026-aankondigingen omvatten quantumbestendige hardware van Dell en HP.
Dreigingsniveau: Verhoogd — actieve supply chain-aanvallen en staatsgestuurde operaties
🔴 Supply Chain-aanvallen & Malware
TeamPCP compromitteert Telnyx PyPI-pakket — Stealer verborgen in WAV-bestanden
De dreigingsgroep TeamPCP — eerder verantwoordelijk voor supply chain-aanvallen op Trivy, KICS en litellm — heeft nu het officiële telnyx Python-pakket op PyPI gecompromitteerd. Kwaadaardige versies 4.87.1 en 4.87.2 verbergen code voor het stelen van inloggegevens in een .WAV-audiobestand met behulp van steganografie. De aanvalsketen richt zich op Windows, Linux en macOS en injecteert malware via telnyx/_client.py bij het importeren. Het pakket is momenteel in quarantaine geplaatst.
Actie: Onmiddellijk downgraden naar versie 4.87.0. Controleer alle systemen die telnyx hebben geïmporteerd na 27 maart.
Bronnen: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity
TeamPCP zet CanisterWorm-wiper in tegen Iran
TeamPCP is overgeschakeld van financiële criminaliteit naar geopolitieke destructie. Dezelfde infrastructuur die werd gebruikt bij de Trivy supply chain-aanval verspreidt nu een wiper-payload genaamd CanisterWorm die wordt geactiveerd als de tijdzone van het systeem overeenkomt met Iran of als Farsi de standaardtaal is. Op Kubernetes-clusters vernietigt het gegevens op alle nodes; anders wist het de lokale machine. De worm verspreidt zich via blootgestelde Docker API's, Kubernetes-clusters, Redis-servers en de React2Shell-kwetsbaarheid.
Actie: Controleer blootgestelde cloud control planes. Volgens Flare-rapporten zijn Azure (61%) en AWS (36%) goed voor 97% van TeamPCP-compromitteringen.
Bron: KrebsOnSecurity, Aikido
Nep VS Code-beveiligingswaarschuwingen op GitHub verspreiden malware
Een grootschalige campagne richt zich op ontwikkelaars via valse Visual Studio Code-beveiligingswaarschuwingen die worden geplaatst in GitHub Discussions van diverse projecten. De waarschuwingen misleiden gebruikers om malware te downloaden die is vermomd als beveiligingspatches.
Actie: Verifieer alle VS Code-beveiligingswaarschuwingen uitsluitend via officiële kanalen. Meld verdachte GitHub Discussions.
Bron: BleepingComputer
🏛️ Grote Inbreuken
AWS-cloudomgeving van de Europese Commissie gehackt
De Europese Commissie onderzoekt een beveiligingsinbreuk nadat een dreigingsactor toegang heeft gekregen tot haar Amazon-cloudomgeving. Het belangrijkste uitvoerende orgaan van de EU heeft het incident bevestigd en beoordeelt de omvang en impact.
Bron: BleepingComputer
Nederlandse Nationale Politie gehackt via phishing
De Nederlandse Nationale Politie (Politie) heeft een beveiligingsinbreuk bekendgemaakt als gevolg van een geslaagde phishingaanval. Functionarissen zeggen dat de impact beperkt was en dat gegevens van burgers niet zijn getroffen.
Bron: BleepingComputer
Datalek bij Hightower Holdings treft 130.000 personen
Het financiële holdingbedrijf bevestigde dat hackers namen, burgerservicenummers en rijbewijsnummers uit hun omgeving hebben gestolen, waardoor ongeveer 130.000 mensen zijn getroffen.
Bron: SecurityWeek
Pro-Iraanse groep claimt hack van account FBI-directeur Kash Patel
Een pro-Iraanse hackgroep beweert het persoonlijke account van FBI-directeur Kash Patel te hebben gecompromitteerd en stelt e-mails en documenten beschikbaar voor download.
Bron: SecurityWeek
⚠️ Kritieke Kwetsbaarheden
CVE-2026-33017 — Langflow RCE (CISA KEV)
CISA heeft CVE-2026-33017 toegevoegd aan zijn catalogus van Bekende Misbruikte Kwetsbaarheden. De kritieke fout in het Langflow-framework voor het bouwen van AI-agents wordt actief misbruikt om AI-workflows te kapen. Onmiddellijke patching is vereist.
Bron: BleepingComputer, CISA
LangChain & LangGraph — Drie kwetsbaarheden leggen bedrijfsgegevens bloot
Drie beveiligingskwetsbaarheden in LangChain en LangGraph leggen bestandssysteembestanden, omgevingsgeheimen en gespreksgeschiedenis bloot. Met gecombineerde wekelijkse downloads van meer dan 84 miljoen op PyPI is het blootstellingsoppervlak enorm. Elke fout biedt een onafhankelijk pad voor data-exfiltratie.
Bron: The Hacker News, Cyera
CVE-2026-4681 — Kritieke PTC Windchill-kwetsbaarheid (waarschuwing Duitse politie)
CISA signaleerde een kritieke PTC Windchill-kwetsbaarheid die ernstig genoeg was voor de Duitse politie om getroffen organisaties fysiek op de hoogte te stellen. Details wijzen op een aanzienlijk risico voor productie- en engineeringomgevingen.
Bron: SecurityWeek, CISA
Cisco IOS & TP-Link routerpatches
Cisco heeft meerdere hoge/gemiddelde kwetsbaarheden in IOS-software gepatcht, waaronder DoS, secure boot-bypass, informatielekken en privilege-escalatie. TP-Link heeft ernstige routerkwetsbaarheden gepatcht die authenticatiebypass, willekeurige opdrachtuitvoering en ontsleuteling van configuratiebestanden mogelijk maakten.
Bron: SecurityWeek
Ernstige BIND-kwetsbaarheden gepatcht
Updates voor de BIND DNS-resolver verhelpen ernstige kwetsbaarheden waarbij speciaal geconstrueerde domeinen out-of-memory-condities en geheugenlekken konden veroorzaken.
Bron: SecurityWeek
Coruna iOS-exploitkit — Bijgewerkte Operation Triangulation
Een nieuwe iOS-exploitkit genaamd "Coruna" bevat een bijgewerkte versie van de kernel-exploit die drie jaar geleden werd gebruikt bij Operation Triangulation, wat wijst op voortdurende ontwikkeling van geavanceerde mobiele surveillance-capaciteiten.
Bron: SecurityWeek
🕵️ Activiteit van Dreigingsactoren
Red Menshen (Earth Bluecrow) — Diep doorgedrongen in telecom-backbone
De aan China gelinkte dreigingsactor Red Menshen is diep ingebed aangetroffen in de netwerkinfrastructuur van telecombedrijven, met gebruik van kernel-level implantaten, passieve backdoors (BPFDoor), hulpprogramma's voor het stelen van inloggegevens en cross-platform commandoframeworks. Rapid7 beschrijft deze als "enkele van de meest onopvallende digitale slapercellen" ooit aangetroffen in de telecommunicatie. De campagne richt zich op overheidsspionage via telecomaanbieders in het Midden-Oosten en Azië sinds ten minste 2021.
Bronnen: The Hacker News, SecurityWeek, Rapid7
DOJ ontmantelt vier IoT-botnets — 3 miljoen+ apparaten gecompromitteerd
Het Amerikaanse DOJ heeft samen met Canadese en Duitse autoriteiten vier grote botnets neergehaald: Aisuru (200.000+ aanvalsopdrachten), JackSkid (90.000+ aanvallen), Kimwolf (25.000+ aanvallen) en Mossad (~1.000 aanvallen). Samen compromitteerden ze meer dan 3 miljoen IoT-apparaten, waaronder routers en webcams, en lanceerden ze recordbrekende DDoS-aanvallen tegen doelwitten waaronder DoD-infrastructuur.
Bron: KrebsOnSecurity, DOJ
Beheerder van RedLine-malware uitgeleverd aan VS
Hambardzum Minasyan uit Armenië, vermoedelijk betrokken bij de ontwikkeling en het beheer van de RedLine infostealer-malware, is uitgeleverd aan de Verenigde Staten om terecht te staan.
Bron: SecurityWeek
🔧 Tools & Verdediging
OpenAI lanceert Bug Bounty-programma voor misbruik en veiligheid
OpenAI heeft een nieuw bug bounty-programma gelanceerd dat specifiek gericht is op misbruik- en veiligheidsrisico's, en beloont meldingen van ontwerp- of implementatieproblemen die kunnen leiden tot materiële schade door AI-systemen.
Bron: SecurityWeek
Dell & HP leveren quantumbestendige apparaatbeveiliging
Zowel Dell als HP hebben op RSAC 2026 nieuwe quantumbestendige beveiligingsmogelijkheden aangekondigd voor pc's en printers, vooruitlopend op de overgang naar post-quantumcryptografie. Google heeft 2029 als deadline voor quantumgereedheid gesteld.
Bron: SecurityWeek
Windows 11 KB5079391 — Verbeteringen aan Smart App Control
Microsoft heeft een preview cumulatieve update uitgebracht voor Windows 11 24H2/25H2 met 29 wijzigingen, waaronder verbeteringen aan de Smart App Control-beveiligingsfuncties.
Bron: BleepingComputer
📊 Opkomende Patronen
Belangrijkste trends deze week
🎯 AI-infrastructuur onder vuur: Langflow wordt actief misbruikt (CVE-2026-33017), kwetsbaarheden in LangChain/LangGraph leggen bedrijfsgegevens bloot, en supply chain-aanvallen richten zich op AI-toolchains. Organisaties die bouwen met AI-frameworks zijn nu primaire doelwitten.
🔗 Industrialisering van de supply chain: TeamPCP vertegenwoordigt een nieuwe klasse dreigingsactoren die bekende aanvalstechnieken "industrialiseren" op cloudschaal. Hun overstap van financiële afpersing naar geopolitieke wipers (CanisterWorm tegen Iran) toont het escalatiepotentieel van supply chain-compromitteringen.
📡 Telecom als spionageplatform: De jarenlange infiltratie van Red Menshen in telecom-backbone-infrastructuur bevestigt dat staatsactoren telecombedrijven blijven beschouwen als strategische punten voor het verzamelen van inlichtingen.
🛡️ Post-quantum wapenwedloop: Dell, HP en Google stellen tijdlijnen vast voor quantumbestendige beveiliging, wat aangeeft dat de industrie overgaat van de onderzoeksfase naar de implementatiefase.
🤖 IoT-botnet kop-van-jut: Ondanks de ontmanteling van vier grote botnets (3 miljoen+ apparaten) blijft het onderliggende probleem van blootgestelde IoT-apparaten onopgelost.