S02E41
Twee kritieke kwetsbaarheden in FortiClient EMS in één week, beide actief misbruikt als zeroday. Noord-Korea blijkt in 2025 voor meer dan twee miljard dollar aan crypto gestolen te hebben en hackt de populaire Axios library via een nep Teams update. Device code phishing neemt 37 keer toe door nieuwe phishing kits. En onderzoekers ontdekken dat LinkedIn meer dan 6.000 browserextensies scant van gebruikers.
FortiClient EMS, twee zerodays in een week
Fortinet heeft binnen een week twee kritieke kwetsbaarheden in FortiClient Enterprise Management Server (EMS) moeten patchen, beide actief misbruikt als zeroday voordat er een update beschikbaar was.
De nieuwste kwetsbaarheid, CVE-2026-35616, is een fout in de toegangscontrole waardoor aanvallers zonder inloggegevens code kunnen uitvoeren op het systeem. Cybersecuritybedrijf Defused ontdekte de kwetsbaarheid en meldde op X dat ze deze eerder die week al zagen worden misbruikt voordat ze het onder responsible disclosure aan Fortinet rapporteerden. Internet security watchdog Shadowserver heeft meer dan 2.000 blootgestelde FortiClient EMS systemen online gevonden, voornamelijk in de Verenigde Staten en Duitsland.
Dit volgt op CVE-2026-21643, een kritieke SQL injectie in dezelfde software die vorige week werd gemeld en eveneens actief werd misbruikt. Beide kwetsbaarheden werden ontdekt door Defused. Het NCSC heeft een waarschuwing uitgegeven en adviseert organisaties om de hotfixes voor versie 7.4.5 en 7.4.6 onmiddellijk te installeren, of te wachten op versie 7.4.7 die beide problemen oplost. FortiClient EMS wordt veel gebruikt door Nederlandse en Belgische organisaties voor het beheer van beveiligingssoftware op werkstations. Dat maakt deze dubbele kwetsbaarheid extra urgent voor de Benelux. Organisaties die niet kunnen patchen, wordt aangeraden om netwerktoegang tot de EMS server te beperken en inkomend verkeer te monitoren op verdachte patronen.
In de bredere kwetsbaarhedenlijst valt verder op dat Cisco Secure Firewall Management Center (CVE-2026-20131, CVSS 10.0) en Microsoft SharePoint (CVE-2026-20963, CVSS 9.8) eveneens actief worden misbruikt. Het NCSC waarschuwt voor beide. In totaal staan er 21 kwetsbaarheden op de CISA Known Exploited Vulnerabilities lijst van de afgelopen 30 dagen, een ongewoon hoog aantal dat de patchdruk op IT afdelingen vergroot.
Noord-Korea's cybercrime bereikt recordniveau
Noord-Koreaanse hackers hebben in 2025 voor 2,02 miljard dollar aan cryptocurrency gestolen, blijkt uit een analyse van blockchain onderzoeksbureau ChainAnalysis. Dat is een stijging van 51 procent ten opzichte van het voorgaande jaar. De totale buit van Noord-Korea komt daarmee op 6,75 miljard dollar.
De hackers zijn ook verantwoordelijk voor een supply chain aanval op Axios, een van de meest gebruikte HTTP libraries voor JavaScript met wekelijks meer dan 100 miljoen downloads. Google Threat Intelligence Group (GTIG) schreef de aanval toe aan de groep UNC1069. De aanvallers lokten de lead maintainer van Axios naar een nep Slack workspace die een legitiem bedrijf nabootste, compleet met geënsceneerde activiteit en nepprofielen. Vervolgens planden ze een Teams vergadering waarin een technische foutmelding verscheen. De maintainer werd gevraagd een Teams update te installeren, maar dit was een remote access trojan die de aanvallers toegang gaf tot zijn npm credentials. De kwaadaardige versies van Axios waren ongeveer drie uur beschikbaar voordat ze werden verwijderd.
Daarnaast zet Noord-Korea IT medewerkers in die zich voordoen als reguliere werknemers bij crypto ondernemingen. Met geavanceerde imitatietactieken gericht op leidinggevenden proberen ze van binnenuit toegang te krijgen tot systemen en geld. Het aantal aanvallen is afgenomen, maar de buit per aanval wordt groter. De combinatie van technologische aanvallen op supply chains, sociale manipulatie van ontwikkelaars en menselijke infiltratie maakt Noord-Korea tot een van de meest veelzijdige cyberdreigingen ter wereld. Opvallend is dat het witwassen van gestolen geld vaak binnen 45 dagen verloopt, voornamelijk via Chinese diensten, bridges en mixing protocollen.
Phishing evolueert, van QR codes tot device code kaping
Device code phishing is dit jaar 37 keer toegenomen, meldt Push Security. Bij dit type aanval misbruiken criminelen de OAuth 2.0 device authorization flow, een mechanisme dat oorspronkelijk is ontworpen om apparaten zonder toetsenbord (zoals smart tv's en printers) te verbinden met online accounts. De aanvaller stuurt een code naar het slachtoffer, dat deze invoert op de echte inlogpagina. Daardoor krijgt het apparaat van de aanvaller toegang tot het account via geldige tokens.
Minstens negen verschillende phishing kits maken deze techniek nu toegankelijk voor minder ervaren criminelen. De meest prominente kit, EvilTokens, biedt zowel device code phishing als man in the middle mogelijkheden. Andere kits zijn onder meer VENOM, SHAREFILE en LINKID. Push Security adviseert organisaties om de device code flow uit te schakelen via conditional access policies als ze deze niet nodig hebben.
Tegelijkertijd duiken QR codes op in phishing sms berichten. Oplichters versturen valse verkeersboetes uit naam van rechtbanken in de Verenigde Staten, met een QR code die leidt naar een phishingsite. Na het scannen wordt een betaling van 6,99 dollar geëist terwijl persoonlijke en financiële gegevens worden gestolen. De campagne is actief in meerdere staten.
Het nieuwe Malware as a Service platform Venom Stealer gaat nog een stap verder. Het combineert ClickFix social engineering met permanente credential diefstal en automatische lediging van cryptocurrency wallets. In tegenstelling tot bekende stealers zoals Lumma blijft Venom Stealer actief op het geïnfecteerde systeem en monitort het continu nieuwe wachtwoorden. Het platform biedt abonnementen van 250 dollar per maand tot 1.800 dollar voor een lifetime licentie, compleet met een affiliate programma. Een recente update voegde een functie toe die het lokale bestandssysteem scant op seed phrases voor cryptocurrency wallets.
In het Westland is sierteeltbedrijf Piet Vijverberg uit Monster getroffen door de ransomwaregroep AiLock. Het familiebedrijf, dat sinds 1946 bestaat en jaarlijks vijf miljoen planten produceert, is op de darkweb leksite van de groep geplaatst. AiLock opereert als Ransomware as a Service en wordt in verband gebracht met Russische actoren.
LinkedIn scant duizenden browserextensies van gebruikers
Onderzoek genaamd BrowserGate, uitgevoerd door organisatie Fairlinked, stelt dat LinkedIn verborgen code gebruikt om meer dan 6.000 browserextensies te scannen die op computers van gebruikers zijn geïnstalleerd. In 2024 waren dit er nog 461, maar het aantal is in februari 2026 gegroeid tot meer dan 6.000.
Volgens het onderzoek koppelt LinkedIn specifieke softwarekeuzes aan echte personen en bedrijven. Door te scannen op bepaalde tools zou het platform religieuze overtuigingen, politieke opvattingen of neurodivergentie kunnen achterhalen. LinkedIn scant naar verluidt ook meer dan 200 producten die concurreren met eigen diensten en meer dan 500 tools voor het zoeken naar een baan. Een deel van de data zou worden gedeeld met HUMAN Security via onzichtbare tracking pixels.
LinkedIn ontkent de beschuldigingen en stelt dat het alleen controleert op extensies om scammers en scraping te stoppen. Een Duitse rechtbank stelde LinkedIn recent in het gelijk.
Anime streamingdienst Crunchyroll meldde een datalek dat mogelijk 6,8 miljoen gebruikers treft. E-mailadressen, namen, IP adressen en de inhoud van support tickets zijn blootgesteld via het Zendesk systeem van het bedrijf. Een subset van 1,2 miljoen e-mailadressen is verstrekt aan Have I Been Pwned. In België reageerde de CEO van bankenkoepel Febelfin op kritiek dat banken te weinig doen tegen phishing. Hij stelt dat banken niet verantwoordelijk kunnen worden gehouden als klanten zelf hun codes aan oplichters verstrekken.
In Nederland overweegt de vaste commissie Digitale Zaken van de Tweede Kamer een technische briefing over Artikel 5 van de AVG, specifiek naar aanleiding van het datalek bij Odido. Bij dat lek werden gegevens van meer dan zes miljoen mensen gestolen. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur zijn een onderzoek gestart naar de bewaartermijnen bij Odido. Eind juni volgt een commissiedebat over de bescherming van persoonsgegevens.
De belangrijkste punten
- FortiClient EMS dubbele zerodays: Twee kritieke kwetsbaarheden in een week, beide actief misbruikt, meer dan 2.000 systemen blootgesteld
- Noord-Korea steelt $2,02 miljard: Recordjaar 2025, totale buit $6,75 miljard, plus supply chain aanval op Axios
- Device code phishing 37x toegenomen: Negen phishing kits beschikbaar, OAuth 2.0 flow misbruikt voor accountkaping
- LinkedIn scant 6.000+ extensies: Onderzoek BrowserGate stelt dat het platform softwarekeuzes koppelt aan personen
- Kamercommissie AVG briefing: Tweede Kamer overweegt briefing over Artikel 5 AVG na Odido datalek
Lees ook
- S02E40: Supply chain domino, $280 miljoen DeFi diefstal en AI als cyberwapen - Achtergrond bij Mercor, ShinyHunters en AI in cybercrime
- S02E39: Drie NL datalekken, Noord-Korea hackt Axios en AI vindt kwetsbaarheden - Eerdere details over de Axios supply chain aanval
- Gehackt bij Odido, wat criminelen nu over jou weten - Achtergrond bij het Odido datalek dat de Kamercommissie bespreekt
Mis geen enkel Cyber Journaal - schrijf je in
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.