Supply chain aanvallen, Marimo gehackt en FBI leest Signal

Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.

Vertrouwde downloads, gestolen tokens en nep bedrijven

De supply chain als aanvalsvector werd dit weekend vanuit drie totaal verschillende hoeken benaderd. Bij CPUID, de ontwikkelaar van de populaire hardwaremonitor tools CPU-Z en HWMonitor, kregen aanvallers toegang tot een API waarmee ze de downloadlinks op de officiele website aanpasten. Gedurende zes uur werden bezoekers doorgestuurd naar malafide bestanden die de STX RAT remote access trojan installeerden. Beveiligingsonderzoekers ontdekten dat de malware zich vermomt als een legitiem installatieprogramma, volledig in het werkgeheugen draait en gericht is op het stelen van opgeslagen wachtwoorden uit webbrowsers. CPUID bevestigde dat een side API was gecompromitteerd en dat de originele installatiebestanden niet waren aangetast. Kaspersky identificeerde meer dan 150 slachtoffers, voornamelijk in Brazilie, Rusland en China.

Tegelijkertijd claimde de hackersgroep ShinyHunters toegang te hebben verkregen tot de Snowflake omgeving van gameontwikkelaar Rockstar Games via een inbraak bij Anodot, een SaaS platform voor cloudkostenmonitoring. De groep zou authenticatietokens hebben buitgemaakt die functioneren als vertrouwde credentials tussen services. Met deze tokens konden ze zonder kwetsbaarheden in Snowflake zelf te exploiteren bij de data komen. ShinyHunters dreigt met publicatie als Rockstar niet betaalt voor 14 april. Eerder dit jaar publiceerde de groep data van 26 organisaties die via Salesforce waren gecompromitteerd.

De Lazarus Group uit Noord-Korea koos voor een nog geraffineerder pad. Onderzoekers van ReversingLabs ontdekten dat de groep een legaal bedrijf genaamd Blockmerce registreerde als LLC in Florida, compleet met officieel ingediende documenten en een fictieve CEO. Vanuit deze schijnbaar legitieme entiteit verspreidden ze malware via valse vacatures gericht op blockchain ontwikkelaars. De campagne, genaamd graphalgo, gebruikt typosquatting om GitHub accounts van bekende ontwikkelaars na te bootsen en vervalst de commit geschiedenis om het vertrouwen van doelwitten te winnen.

Kwetsbaarheden sneller misbruikt en beveiligingssoftware uitgeschakeld

Een kritieke kwetsbaarheid in Marimo, een Python notebook platform dat wordt gebruikt door data scientists en AI specialisten, werd binnen tien uur na openbaarmaking actief misbruikt. CVE-2026-39987 (CVSS 9.3) maakt remote code execution mogelijk zonder authenticatie via het WebSocket endpoint /terminal/ws. Onderzoekers van Sysdig observeerden dat aanvallers de credential diefstal in minder dan drie minuten voltooiden, waarbij ze gericht .env bestanden met cloud credentials en SSH keys buitmaakten. Marimo heeft versie 0.23.0 uitgebracht om het probleem te verhelpen.

ESET waarschuwde dat ransomware groepen steeds vaker zogeheten EDR killers inzetten om beveiligingssoftware uit te schakelen voordat ze hun encryptie activeren. Het bedrijf volgt momenteel bijna negentig actieve EDR killers, waarvan 54 gebruikmaken van kwetsbare drivers. Een groeiende trend is het gebruik van driverless methoden die de netwerkcommunicatie tussen het endpoint en de beveiligingsbackend blokkeren. Er wordt vermoed dat sommige groepen kunstmatige intelligentie gebruiken om hun EDR killer code te schrijven. Commerciele tools worden verkocht op darkweb forums, compleet met klantenservice.

In een update op het ChipSoft incident van vorige week heeft het LUMC de invoering van een nieuw elektronisch patientendossier uitgesteld op dringend advies van ChipSoft. Het patientenportaal mijnLUMC blijft beschikbaar omdat dit door een andere partij wordt gehost. Adobe dichtte deze week een kwetsbaarheid in Acrobat en Reader die al sinds november 2025 actief werd misbruikt voor het uitvoeren van willekeurige code via malafide PDF bestanden.

Russische onderzeeers en Iraanse hackers bedreigen infrastructuur

De Britse regering ontmaskerde een Russische onderzeeeroperatie in de wateren ten noorden van het Verenigd Koninkrijk. Een Russische aanvalsonderzeeeer en schepen van het directoraat voor diepzeeonderzoek GUGI waren wekenlang actief bij pijpleidingen en kabels. Het Britse Ministerie van Defensie stelde dat GUGI in vredestijd onderwaterinfrastructuur in kaart brengt als voorbereiding op sabotage tijdens een conflict. Britse schepen, vliegtuigen en geallieerde troepen volgden de drie onderzeeers en zetten sonoboeien in om duidelijk te maken dat de operatie was ontdekt. Meer dan 99 procent van alle internationale data verloopt via onderzeese glasvezelkabels.

Amerikaanse federale agentschappen waarschuwden voor een toename van cyberaanvallen door Iraanse actoren op kritieke infrastructuur. Groepen met banden met de Iraanse overheid richten zich sinds maart 2026 op Rockwell Automation/Allen-Bradley PLC apparaten. Het FBI stelde vast dat projectbestanden werden buitgemaakt en data op HMI en SCADA displays werden gemanipuleerd. Volgens cybersecuritybedrijf Censys zijn wereldwijd meer dan 5.200 industriele controlesystemen online bereikbaar, waarvan driekwart in de Verenigde Staten.

FBI leest gewiste berichten en internationale opsporingsacties

In een opmerkelijke onthulling tijdens een rechtszaak in Texas liet de FBI zien dat privé berichten in Signal van een iPhone hersteld kunnen worden, zelfs nadat de app is verwijderd. De forensische tool Cellebrite werd gebruikt om berichtpreviews te extraheren uit de push notificatie database van het besturingssysteem. Wanneer een bericht binnenkomt, slaat iOS een preview op die onafhankelijk van Signal bewaard blijft. Het is raadzaam de instelling Show Previews op Never te zetten in zowel Signal als andere berichten apps om te voorkomen dat berichtinhoud via notificatielogs wordt blootgesteld.

Het FBI Atlanta Field Office en de Indonesische Nationale Politie rolden het W3LLSTORE phishing platform op, dat wordt gelinkt aan meer dan twintig miljoen dollar aan pogingen tot fraude. De dienst verkocht phishingkits voor ongeveer vijfhonderd dollar waarmee cybercriminelen overtuigende replica's van legitieme inlogpagina's konden maken. Tussen 2019 en 2023 faciliteerde de marktplaats de verkoop van meer dan 25.000 gecompromitteerde accounts. De vermeende ontwikkelaar werd gearresteerd in Indonesie.

Tijdens een internationale operatie identificeerden de Britse politie, de Amerikaanse Secret Service en de Canadese politie meer dan twintigduizend verdachte wallets van slachtoffers van approval phishing, een methode waarbij criminelen slachtoffers misleiden om toegang tot hun cryptowallets goed te keuren. De autoriteiten bevroren twaalf miljoen dollar en identificeerden 45 miljoen dollar aan gestolen crypto.

De belangrijkste punten

- Supply chain via vertrouwen: CPUID (CPU-Z malware, 6 uur), ShinyHunters (Anodot tokens naar Snowflake), Lazarus (legale VS bedrijven als dekmantel)

- Marimo binnen tien uur geexploiteerd: CVE-2026-39987 (CVSS 9.3), credential diefstal in drie minuten, upgrade naar 0.23.0

- Negentig EDR killers actief: ESET waarschuwt voor driverless methoden die beveiligingscommunicatie blokkeren

- Signal berichten herstelbaar via iOS: FBI gebruikt Cellebrite op notificatiedatabase, zet previews uit

- Russische onderzeeers bij Britse kabels: GUGI brengt onderwaterinfrastructuur in kaart, 99% internationale data via kabels

- W3LLSTORE opgerold: FBI en Indonesie pakken phishing platform aan, twintig miljoen dollar aan fraude voorkomen

Lees ook

- ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel - Achtergrond bij het ChipSoft incident

- Supply chain domino, $280 miljoen DeFi diefstal en AI als cyberwapen - Supply chain als aanvalsvector

- ShinyHunters eist miljoenen, AI breekt door in 27 seconden - Eerder optreden van ShinyHunters

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam