剣 KENSAI
← Back to archive

🛡️ Beveiligingsonderzoek Briefing

Zondag 29 maart 2026 — 04:00 CET · Gegenereerd uit BleepingComputer, The Hacker News, SecurityWeek

TL;DR: Aan Iran gelinkte hackers hebben het persoonlijke e-mailaccount van de FBI-directeur gekraakt en Stryker getroffen met een wiper. Kritieke CVE's in Citrix NetScaler (9.3) en F5 BIG-IP worden actief misbruikt. Een grote supply chain-aanval door TeamPCP heeft het Telnyx PyPI-pakket gecompromitteerd met steganografie in WAV-bestanden. Het Chinese Red Menshen werd diep in de backbone-infrastructuur van telecom aangetroffen. De Europese Commissie onderzoekt een inbreuk op een AWS-account. Meerdere iOS-exploit kits circuleren — Apple stuurt nu vergrendelschermmeldingen naar verouderde apparaten.

🔓 Datalekken en incidenten

Persoonlijke e-mail van FBI-directeur Kash Patel gekraakt door aan Iran gelinkte groep

KRITIEKSTATELIJKE ACTOR

Het pro-Iraanse Handala Hack Team heeft met succes het persoonlijke e-mailaccount van FBI-directeur Kash Patel gecompromitteerd. De groep lekte foto's en documenten online. Daarnaast claimden zij een wiper-aanval tegen Stryker, een groot defensie- en medisch technologiebedrijf.

Europese Commissie onderzoekt inbreuk op AWS-cloudaccount

KRITIEKCLOUD

De Europese Commissie onderzoekt een beveiligingsinbreuk nadat een dreigingsactor toegang heeft verkregen tot haar Amazon-cloudomgeving. De omvang van de inbreuk wordt nog vastgesteld.

Datalek bij Hightower Holding treft 130.000 personen

HOOGPII

Hightower Holding maakte bekend dat hackers namen, burgerservicenummers en rijbewijsnummers van 130.000 personen hebben gestolen.

Nederlandse Politie meldt beveiligingsinbreuk na phishingaanval

PHISHING

De Nederlandse Politie meldde een beveiligingsinbreuk als gevolg van een succesvolle phishingaanval. De impact werd omschreven als beperkt, zonder dat gegevens van burgers zijn getroffen.

Ajax-hack legt fangegevens bloot en maakt ticketkaping mogelijk

DATALEK

De systemen van Ajax Amsterdam werden gehackt, waarbij fangegevens werden blootgesteld en ticketkaping mogelijk werd gemaakt.

🚨 Kritieke kwetsbaarheden

CVE-2026-3055 — Citrix NetScaler geheugenoverlezing (CVSS 9.3)

KRITIEKACTIEVE VERKENNING

Een kritieke kwetsbaarheid voor geheugenoverlezing in Citrix NetScaler ADC en Gateway wordt actief verkend. Onvoldoende invoervalidatie stelt aanvallers in staat gevoelige informatie uit het geheugen te lekken. Patches beschikbaar — onmiddellijk toepassen.

CVE-2025-53521 — F5 BIG-IP APM RCE toegevoegd aan CISA KEV (CVSS 9.3)

KRITIEKACTIEF MISBRUIKT

CISA heeft deze F5 BIG-IP Access Policy Manager RCE-kwetsbaarheid toegevoegd aan de catalogus van bekende misbruikte kwetsbaarheden. Bevestigd actief misbruik in het wild. Onmiddellijk patchen.

CVE-2026-4681 — Kritieke kwetsbaarheid in PTC Windchill (Duitse politie gemobiliseerd)

KRITIEKICS/OT

CISA markeerde een kritieke PTC Windchill-kwetsbaarheid die zo ernstig was dat de Duitse politie fysiek organisaties bezocht om hen te waarschuwen. Industriële en productieomgevingen lopen risico.

Kwetsbaarheden in LangChain en LangGraph stellen bestanden, geheimen en databases bloot

HOOGAI/ML

Drie kwetsbaarheden in de veelgebruikte AI-frameworks LangChain en LangGraph (meer dan 52 miljoen wekelijkse downloads) stellen bestandssysteemgegevens, omgevingsgeheimen en gespreksgeschiedenis bloot via onafhankelijke aanvalspaden.

Ernstige kwetsbaarheden in TP-Link-routers gepatcht

HOOGNETWORKING

TP-Link heeft kwetsbaarheden gepatcht die authenticatieomzeiling, willekeurige opdrachtuitvoering en ontsleuteling van configuratiebestanden in routers mogelijk maakten.

Ernstige kwetsbaarheden in BIND DNS-resolver

HOOGDNS

Speciaal samengestelde domeinen konden out-of-memory-condities en geheugenlekken veroorzaken in BIND-resolvers. Updates beschikbaar.

Meerdere kwetsbaarheden in Cisco IOS

HOOGNETWORKING

Meerdere kwetsbaarheden van hoge en gemiddelde ernst in Cisco IOS kunnen leiden tot DoS, omzeiling van secure boot, informatielekken en privilege-escalatie.

🎯 Dreigingsactoren en campagnes

Chinees Red Menshen diep geïnfiltreerd in telecom backbone-infrastructuur

APTCHINAKRITIEK

Rapid7 ontdekte dat de door de Chinese staat gesponsorde groep Red Menshen (Earth Bluecrow / DecisiveArchitect) langdurige onopgemerkte toegang heeft gehad tot telecomnetwerken met behulp van BPFDoor kernel-implantaten, passieve backdoors en platformonafhankelijke commandoframeworks — omschreven als "enkele van de meest onopvallende digitale slaapcelelen" ooit aangetroffen in telecombedrijven. Doelwitten: telecombedrijven in het Midden-Oosten en Azië.

Russisch TA446 verspreidt DarkSword iOS-exploit kit via spear-phishing

APTRUSLAND

De door de Russische staat gesponsorde groep TA446 (Callisto) maakt gebruik van de DarkSword-exploit kit gericht op iOS-apparaten via gerichte e-mailcampagnes. Afzonderlijk lijkt de Coruna iOS-exploit kit een bijgewerkte versie te zijn van de kernel-exploit van Operatie Triangulation uit 2023.

AitM-phishingcampagne richt zich op TikTok Business-accounts

PHISHINGSOCIAL MEDIA

Adversary-in-the-middle phishingpagina's die Cloudflare Turnstile-omzeiling gebruiken, worden ingezet om TikTok for Business-accounts te kapen. Gecompromitteerde accounts worden vervolgens ingezet voor malvertising en malwaredistributie.

Infinity Stealer — Nieuwe macOS info-stealer via ClickFix

MALWAREMACOS

Een nieuwe info-stealer gericht op macOS maakt gebruik van nep-CAPTCHA-pagina's met Cloudflare-thema, Bash-scripts, een met Nuitka gecompileerde loader en een op Python gebaseerde payload. Verspreid via ClickFix social engineering-lokmiddelen.

Nep VS Code-beveiligingswaarschuwingen op GitHub verspreiden malware

SUPPLY CHAINONTWIKKELAARS

Een grootschalige campagne plaatst nep VS Code-beveiligingswaarschuwingen in de Discussions-secties van GitHub om ontwikkelaars te misleiden tot het downloaden van malware. Afzonderlijk maakte een bug in Open VSX het mogelijk dat kwaadaardige VS Code-extensies de pre-publicatiescanning omzeilden.

Beheerder van RedLine-malware uitgeleverd aan de VS

RECHTSHANDHAVING

Hambardzum Minasyan uit Armenië, vermeend beheerder van de RedLine-infostealer, is uitgeleverd aan de Verenigde Staten om terecht te staan.

📦 Supply chain-aanvallen

TeamPCP compromitteert Telnyx PyPI-pakket — Stealer verborgen in WAV-bestanden

SUPPLY CHAINKRITIEK

De dreigingsactor TeamPCP (eerder verantwoordelijk voor het compromitteren van Trivy, KICS en litellm) publiceerde kwaadaardige Telnyx-versies 4.87.1 en 4.87.2 op PyPI. De aanval maakt gebruik van een drietraps-keten: levering via audiosteganografie (inloggegevens verborgen in WAV-bestanden), uitvoering in het geheugen en vervolgens data-exfiltratie. Treft Windows, Linux en macOS. Onmiddellijk downgraden naar versie 4.87.0. Het PyPI-project is in quarantaine geplaatst.

🔧 Beveiligingstools en aankondigingen

OpenAI lanceert bug bounty-programma voor misbruik- en veiligheidsrisico's

AI-BEVEILIGING

OpenAI heeft zijn bug bounty-programma uitgebreid om ontwerp- of implementatieproblemen die materiële schade veroorzaken te dekken, specifiek gericht op misbruik- en veiligheidsrisico's in AI-systemen.

Apple stuurt vergrendelschermmeldingen voor verouderde iOS-apparaten

VERDEDIGINGMOBIEL

Apple stuurt nu vergrendelschermmeldingen naar iPhones en iPads met oudere iOS/iPadOS-versies, om gebruikers te waarschuwen voor actieve webgebaseerde exploits en aan te dringen op onmiddellijke updates.

Windows 11 KB5079391 — Verbeteringen in Smart App Control

VERDEDIGINGWINDOWS

Microsoft heeft een preview-update uitgebracht voor Windows 11 24H2/25H2 met 29 wijzigingen, waaronder verbeteringen aan de beveiligingsfuncties van Smart App Control.

Aankondigingen RSAC 2026-conferentie (Dag 3-4)

SECTOR

Aankondigingen van leveranciers van de derde en vierde dag van de RSAC 2026-conferentie blijven binnenkomen, met meerdere lanceringen van beveiligingsproducten en platformupdates.

Belangrijkste trends deze week

1. iOS onder vuur: Meerdere iOS-exploit kits gelijktijdig actief — DarkSword (Rusland/TA446), Coruna (opvolger van Operatie Triangulation), plus actieve webgebaseerde exploits die Apple ertoe aanzetten ongekende vergrendelschermwaarschuwingen te versturen. iOS is niet langer het "veilige" mobiele platform.

2. Steganografie in de supply chain: Het gebruik door TeamPCP van WAV-audiosteganografie om credential stealers te verbergen in PyPI-pakketten vertegenwoordigt een evolutie in de verfijning van supply chain-aanvallen. Verwacht meer op mediabestanden gebaseerde payload-verhulling.

3. Ontwikkelaarstools als aanvalsoppervlak: VS Code, Open VSX, GitHub Discussions, PyPI — het ontwikkelaarsecosysteem wordt systematisch aangevallen. Nep-beveiligingswaarschuwingen en omzeilde scanningpipelines tonen aan dat aanvallers de vertrouwensmodellen van ontwikkelaars begrijpen.

4. Statelijke persistentie in telecom: De BPFDoor-implantaten van Red Menshen in de backbone-infrastructuur van telecom, omschreven als "digitale slaapcelelen", benadrukken de diepgang van Chinese spionage in communicatie-infrastructuur.

5. Golf van CVE's in netwerkapparatuur: Kritieke CVE's in Citrix NetScaler, F5 BIG-IP, TP-Link-routers en Cisco IOS allemaal in dezelfde cyclus. Netwerkperimeterapparaten blijven de belangrijkste vector voor initiële toegang.