剣 KENSAI
← Back to archive

🛡️ Dagelijkse Beveiligingsonderzoek Briefing

Zaterdag 28 maart 2026 — 04:00 CET · Automatisch gegenereerd uit OSINT-bronnen

TL;DR: TeamPCP zet zijn opmars voort — nu met een destructieve wiper gericht op Iran via supply chain-compromittering van het Telnyx PyPI-pakket. De Europese Commissie werd getroffen door een AWS-cloudinbraak. CISA waarschuwt voor actieve exploitatie van Langflow (CVE-2026-33017). Aan China gelinkte groep Red Menshen diep doorgedrongen in telecom-backbone-infrastructuur. Vier grote IoT-botnets ontmanteld door het DOJ. Kwetsbaarheden in LangChain/LangGraph leggen bedrijfs-AI-geheimen bloot. RSAC 2026-aankondigingen omvatten quantumbestendige hardware van Dell en HP.

Dreigingsniveau: Verhoogd — actieve supply chain-aanvallen en staatsgestuurde operaties

🔴 Supply Chain-aanvallen & Malware

KRITIEK supply chain pypi

TeamPCP compromitteert Telnyx PyPI-pakket — Stealer verborgen in WAV-bestanden

De dreigingsgroep TeamPCP — eerder verantwoordelijk voor supply chain-aanvallen op Trivy, KICS en litellm — heeft nu het officiële telnyx Python-pakket op PyPI gecompromitteerd. Kwaadaardige versies 4.87.1 en 4.87.2 verbergen code voor het stelen van inloggegevens in een .WAV-audiobestand met behulp van steganografie. De aanvalsketen richt zich op Windows, Linux en macOS en injecteert malware via telnyx/_client.py bij het importeren. Het pakket is momenteel in quarantaine geplaatst.

Actie: Onmiddellijk downgraden naar versie 4.87.0. Controleer alle systemen die telnyx hebben geïmporteerd na 27 maart.

Bronnen: BleepingComputer, The Hacker News, Aikido, Socket, StepSecurity

KRITIEK wiper geopolitiek

TeamPCP zet CanisterWorm-wiper in tegen Iran

TeamPCP is overgeschakeld van financiële criminaliteit naar geopolitieke destructie. Dezelfde infrastructuur die werd gebruikt bij de Trivy supply chain-aanval verspreidt nu een wiper-payload genaamd CanisterWorm die wordt geactiveerd als de tijdzone van het systeem overeenkomt met Iran of als Farsi de standaardtaal is. Op Kubernetes-clusters vernietigt het gegevens op alle nodes; anders wist het de lokale machine. De worm verspreidt zich via blootgestelde Docker API's, Kubernetes-clusters, Redis-servers en de React2Shell-kwetsbaarheid.

Actie: Controleer blootgestelde cloud control planes. Volgens Flare-rapporten zijn Azure (61%) en AWS (36%) goed voor 97% van TeamPCP-compromitteringen.

Bron: KrebsOnSecurity, Aikido

HOOG social engineering github

Nep VS Code-beveiligingswaarschuwingen op GitHub verspreiden malware

Een grootschalige campagne richt zich op ontwikkelaars via valse Visual Studio Code-beveiligingswaarschuwingen die worden geplaatst in GitHub Discussions van diverse projecten. De waarschuwingen misleiden gebruikers om malware te downloaden die is vermomd als beveiligingspatches.

Actie: Verifieer alle VS Code-beveiligingswaarschuwingen uitsluitend via officiële kanalen. Meld verdachte GitHub Discussions.

Bron: BleepingComputer

🏛️ Grote Inbreuken

KRITIEK cloudinbraak overheid

AWS-cloudomgeving van de Europese Commissie gehackt

De Europese Commissie onderzoekt een beveiligingsinbreuk nadat een dreigingsactor toegang heeft gekregen tot haar Amazon-cloudomgeving. Het belangrijkste uitvoerende orgaan van de EU heeft het incident bevestigd en beoordeelt de omvang en impact.

Bron: BleepingComputer

HOOG datalek phishing

Nederlandse Nationale Politie gehackt via phishing

De Nederlandse Nationale Politie (Politie) heeft een beveiligingsinbreuk bekendgemaakt als gevolg van een geslaagde phishingaanval. Functionarissen zeggen dat de impact beperkt was en dat gegevens van burgers niet zijn getroffen.

Bron: BleepingComputer

datalek financieel

Datalek bij Hightower Holdings treft 130.000 personen

Het financiële holdingbedrijf bevestigde dat hackers namen, burgerservicenummers en rijbewijsnummers uit hun omgeving hebben gestolen, waardoor ongeveer 130.000 mensen zijn getroffen.

Bron: SecurityWeek

datalek hacktivisme

Pro-Iraanse groep claimt hack van account FBI-directeur Kash Patel

Een pro-Iraanse hackgroep beweert het persoonlijke account van FBI-directeur Kash Patel te hebben gecompromitteerd en stelt e-mails en documenten beschikbaar voor download.

Bron: SecurityWeek

⚠️ Kritieke Kwetsbaarheden

KRITIEK actief misbruikt AI

CVE-2026-33017 — Langflow RCE (CISA KEV)

CISA heeft CVE-2026-33017 toegevoegd aan zijn catalogus van Bekende Misbruikte Kwetsbaarheden. De kritieke fout in het Langflow-framework voor het bouwen van AI-agents wordt actief misbruikt om AI-workflows te kapen. Onmiddellijke patching is vereist.

Bron: BleepingComputer, CISA

HOOG AI-frameworks

LangChain & LangGraph — Drie kwetsbaarheden leggen bedrijfsgegevens bloot

Drie beveiligingskwetsbaarheden in LangChain en LangGraph leggen bestandssysteembestanden, omgevingsgeheimen en gespreksgeschiedenis bloot. Met gecombineerde wekelijkse downloads van meer dan 84 miljoen op PyPI is het blootstellingsoppervlak enorm. Elke fout biedt een onafhankelijk pad voor data-exfiltratie.

Bron: The Hacker News, Cyera

HOOG ICS/OT

CVE-2026-4681 — Kritieke PTC Windchill-kwetsbaarheid (waarschuwing Duitse politie)

CISA signaleerde een kritieke PTC Windchill-kwetsbaarheid die ernstig genoeg was voor de Duitse politie om getroffen organisaties fysiek op de hoogte te stellen. Details wijzen op een aanzienlijk risico voor productie- en engineeringomgevingen.

Bron: SecurityWeek, CISA

netwerken ios

Cisco IOS & TP-Link routerpatches

Cisco heeft meerdere hoge/gemiddelde kwetsbaarheden in IOS-software gepatcht, waaronder DoS, secure boot-bypass, informatielekken en privilege-escalatie. TP-Link heeft ernstige routerkwetsbaarheden gepatcht die authenticatiebypass, willekeurige opdrachtuitvoering en ontsleuteling van configuratiebestanden mogelijk maakten.

Bron: SecurityWeek

HOOG DNS

Ernstige BIND-kwetsbaarheden gepatcht

Updates voor de BIND DNS-resolver verhelpen ernstige kwetsbaarheden waarbij speciaal geconstrueerde domeinen out-of-memory-condities en geheugenlekken konden veroorzaken.

Bron: SecurityWeek

HOOG mobiel spionage

Coruna iOS-exploitkit — Bijgewerkte Operation Triangulation

Een nieuwe iOS-exploitkit genaamd "Coruna" bevat een bijgewerkte versie van de kernel-exploit die drie jaar geleden werd gebruikt bij Operation Triangulation, wat wijst op voortdurende ontwikkeling van geavanceerde mobiele surveillance-capaciteiten.

Bron: SecurityWeek

🕵️ Activiteit van Dreigingsactoren

KRITIEK APT China

Red Menshen (Earth Bluecrow) — Diep doorgedrongen in telecom-backbone

De aan China gelinkte dreigingsactor Red Menshen is diep ingebed aangetroffen in de netwerkinfrastructuur van telecombedrijven, met gebruik van kernel-level implantaten, passieve backdoors (BPFDoor), hulpprogramma's voor het stelen van inloggegevens en cross-platform commandoframeworks. Rapid7 beschrijft deze als "enkele van de meest onopvallende digitale slapercellen" ooit aangetroffen in de telecommunicatie. De campagne richt zich op overheidsspionage via telecomaanbieders in het Midden-Oosten en Azië sinds ten minste 2021.

Bronnen: The Hacker News, SecurityWeek, Rapid7

rechtshandhaving botnet

DOJ ontmantelt vier IoT-botnets — 3 miljoen+ apparaten gecompromitteerd

Het Amerikaanse DOJ heeft samen met Canadese en Duitse autoriteiten vier grote botnets neergehaald: Aisuru (200.000+ aanvalsopdrachten), JackSkid (90.000+ aanvallen), Kimwolf (25.000+ aanvallen) en Mossad (~1.000 aanvallen). Samen compromitteerden ze meer dan 3 miljoen IoT-apparaten, waaronder routers en webcams, en lanceerden ze recordbrekende DDoS-aanvallen tegen doelwitten waaronder DoD-infrastructuur.

Bron: KrebsOnSecurity, DOJ

rechtshandhaving infostealer

Beheerder van RedLine-malware uitgeleverd aan VS

Hambardzum Minasyan uit Armenië, vermoedelijk betrokken bij de ontwikkeling en het beheer van de RedLine infostealer-malware, is uitgeleverd aan de Verenigde Staten om terecht te staan.

Bron: SecurityWeek

🔧 Tools & Verdediging

AI-veiligheid bug bounty

OpenAI lanceert Bug Bounty-programma voor misbruik en veiligheid

OpenAI heeft een nieuw bug bounty-programma gelanceerd dat specifiek gericht is op misbruik- en veiligheidsrisico's, en beloont meldingen van ontwerp- of implementatieproblemen die kunnen leiden tot materiële schade door AI-systemen.

Bron: SecurityWeek

quantum hardware

Dell & HP leveren quantumbestendige apparaatbeveiliging

Zowel Dell als HP hebben op RSAC 2026 nieuwe quantumbestendige beveiligingsmogelijkheden aangekondigd voor pc's en printers, vooruitlopend op de overgang naar post-quantumcryptografie. Google heeft 2029 als deadline voor quantumgereedheid gesteld.

Bron: SecurityWeek

Windows

Windows 11 KB5079391 — Verbeteringen aan Smart App Control

Microsoft heeft een preview cumulatieve update uitgebracht voor Windows 11 24H2/25H2 met 29 wijzigingen, waaronder verbeteringen aan de Smart App Control-beveiligingsfuncties.

Bron: BleepingComputer

📊 Opkomende Patronen

Belangrijkste trends deze week

🎯 AI-infrastructuur onder vuur: Langflow wordt actief misbruikt (CVE-2026-33017), kwetsbaarheden in LangChain/LangGraph leggen bedrijfsgegevens bloot, en supply chain-aanvallen richten zich op AI-toolchains. Organisaties die bouwen met AI-frameworks zijn nu primaire doelwitten.

🔗 Industrialisering van de supply chain: TeamPCP vertegenwoordigt een nieuwe klasse dreigingsactoren die bekende aanvalstechnieken "industrialiseren" op cloudschaal. Hun overstap van financiële afpersing naar geopolitieke wipers (CanisterWorm tegen Iran) toont het escalatiepotentieel van supply chain-compromitteringen.

📡 Telecom als spionageplatform: De jarenlange infiltratie van Red Menshen in telecom-backbone-infrastructuur bevestigt dat staatsactoren telecombedrijven blijven beschouwen als strategische punten voor het verzamelen van inlichtingen.

🛡️ Post-quantum wapenwedloop: Dell, HP en Google stellen tijdlijnen vast voor quantumbestendige beveiliging, wat aangeeft dat de industrie overgaat van de onderzoeksfase naar de implementatiefase.

🤖 IoT-botnet kop-van-jut: Ondanks de ontmanteling van vier grote botnets (3 miljoen+ apparaten) blijft het onderliggende probleem van blootgestelde IoT-apparaten onopgelost.