De stad Herentals heeft zich vrijwillig laten hacken door ethische hackers in het kader van de Streamz reeks 'Hacked'. Burgemeester Jan Bertels (Vooruit) gaf in het geheim zijn toestemming voor dit project, met als doel de zwakke punten in de cyberbeveiliging van de stad bloot te leggen en het bewustzijn van cybersecurity bij medewerkers te vergroten.

Tijdens de opnames slaagden de ethische hackers er binnen een week in om volledige controle over het netwerk en de mailboxen van de stad te krijgen. Ze ontdekten een draaiboek met wachtwoorden voor onder meer de website, de nieuwsbrief, de stadapp en de sociale mediakanalen. De hackers bemachtigden ook wachtwoorden van medewerkers, waaronder dat van de burgemeester zelf.

De hackers kregen toegang tot het systeem door een computer aan te sluiten op een printer in sportcomplex De Vossenberg. Burgemeester Bertels benadrukt dat de stad hieruit geleerd heeft dat wachtwoorden beter beschermd moeten worden en dat er geen voor de hand liggende combinaties gebruikt mogen worden.

Bertels vergelijkt de actie met een brandoefening, die periodiek uitgevoerd moet worden om te controleren of het systeem nog waterdicht is. Hij raadt andere steden en gemeenten aan om een soortgelijke oefening te doen en alert te zijn op de bedreigingen voor informaticasystemen, zodat kwaadwillende hackers de steden niet kunnen afdreigen.

Bron: VRT NWS

Kwekerij Piet Vijverberg uit Monster, een van de grotere sierteeltbedrijven in het Westland, is getroffen door een ransomwareaanval. Het familiebedrijf bestaat sinds 1946 en is gespecialiseerd in de teelt van Phalaenopsis orchideeën en Dracaena planten. Vanuit een kas van acht hectare aan de Alkemadelaan produceert het bedrijf jaarlijks zo'n vijf miljoen planten die wereldwijd worden verkocht onder het merk Star Quality By5.

De aanval is opgeëist door AiLock, een ransomwaregroep die sinds begin 2025 actief is en zichzelf profileert als een groep die gebruikmaakt van kunstmatige intelligentie. AiLock opereert volgens het Ransomware as a Service model, waarbij de groep de malware ontwikkelt en partners de aanvallen uitvoeren. De groep past dubbele afpersing toe, waarbij systemen worden versleuteld en tegelijkertijd gevoelige bedrijfsgegevens worden gestolen. Slachtoffers die niet betalen worden bedreigd met publicatie van de gestolen data. De groep wordt in verband gebracht met Russische statelijke actoren en heeft in het eerste kwartaal van 2026 meerdere bedrijven wereldwijd getroffen.

De aanval op Piet Vijverberg is vandaag ontdekt door Cybercrimeinfo op het darkweb, waar de ransomwaregroep het bedrijf op hun leksite heeft geplaatst. Het is niet bekend welke gegevens zijn buitgemaakt of wat de impact is op de bedrijfsvoering van de kwekerij.

Darkweb screenshot

Meerdere ziekenhuizen hebben hun patiëntportalen offline gehaald als gevolg van een ransomware aanval op ChipSoft, een leverancier van software voor elektronische patiëntendossiers (EPD). ChipSoft heeft een geschat marktaandeel van zeventig procent in Nederlandse ziekenhuizen. Het bedrijf heeft klanten geïnformeerd over een incident, maar de melding maakte geen melding van een ransomware aanval.

Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, heeft in een bericht aan zorginstellingen bevestigd dat het om een ransomware aanval gaat, aldus de NOS. Ziekenhuizen zijn geadviseerd om hun vpn verbinding met ChipSoft te verbreken. De website van ChipSoft is op het moment van schrijven offline. De NOS meldt dat elf ziekenhuizen hun patiëntportalen offline hebben gehaald als gevolg van de aanval.

Het Slingeland Ziekenhuis in Doetinchem meldt op zijn website dat er zich een data incident heeft voorgedaan bij ChipSoft. Het ziekenhuis stelt dat patiëntgegevens naar alle waarschijnlijkheid niet betrokken zijn bij het incident en dat er maatregelen zijn genomen om eventuele gevolgen te beperken. De zorg voor patiënten gaat onverminderd door en patiëntendossiers blijven intern volledig toegankelijk. Om eventuele risico’s te beperken, heeft het ziekenhuis de verbindingen naar systemen van andere zorgverleners preventief afgesloten.

Het Diakonessenhuis in Utrecht heeft uit voorzorg de patiëntenportaal mijnDiak gesloten. Het Rijnstate Ziekenhuis in Arnhem meldt dat de hack bij ChipSoft het cloud gedeelte van huisartsenpraktijken betreft. Op advies van Z-CERT heeft Rijnstate de vpn verbinding naar dat gedeelte onmiddellijk dichtgezet. Patiëntgegevens en andere informatievoorzieningen zijn veiliggesteld en er zijn geen verstoringen in het systeem.

Het Tergooi MC heeft uit voorzorg mijn.tergooi.nl tijdelijk uitgezet. Ook zijn koppelingen van Tergooi MC naar BeterDichtbij, Luscii, Sananet of Gezondheidsmeter tijdelijk uitgeschakeld. Patiënten kunnen hierdoor niet inloggen op het patiëntenportaal, uitslagen inzien, online afspraken maken of wijzigen, of online inchecken voor een afspraak. Daarnaast werken de aanmeldzuilen in het ziekenhuis niet. Details over de wijze waarop de ransomware aanval heeft kunnen plaatsvinden, zijn niet bekendgemaakt.

Bron: ChipSoft

Odido waarschuwt haar klanten voor een nieuwe phishingmail die ogenschijnlijk van de telecomprovider afkomstig is. In de mail worden ontvangers aangespoord om de Odido App te updaten. Sinds het datalek bij de telecomprovider, waarbij de persoonlijke gegevens van meer dan zes miljoen mensen werden gestolen, hebben er diverse phishingaanvallen plaatsgevonden.

Begin maart waarschuwde Odido al voor een phishingmail over een 'compensatie aanvraagformulier'. De huidige phishingmail vraagt ontvangers om een app update te installeren via een externe link. Odido benadrukt dat dit geen bericht van hen is en adviseert om niet op de link te klikken, niets te downloaden en de mail direct te verwijderen. Het bedrijf geeft aan klanten nooit te vragen om de Odido App via een externe website te downloaden. Updates van de Odido App verlopen altijd via de Google Play Store of de Apple App Store.

De phishingmail heeft als onderwerp 'De app die bewust vernieuwd is' en beweert dat er allerlei verbeteringen aan de Odido App zijn doorgevoerd. Vervolgens kunnen ontvangers de nieuwe 'app' via de meegestuurde link downloaden. De Fraudehelpdesk heeft een afbeelding van het bericht gedeeld. Wat de link precies doet, laten Odido en de Fraudehelpdesk niet weten.

Bron: Odido

Patiënten van AZ Delta in Roeselare, Menen en Torhout konden op 8 april 2026 tijdelijk geen online afspraken maken of hun medisch dossier raadplegen via het zorgportaal mijnazedelta.be. De softwareleverancier die het ziekenhuis gebruikt voor elektronische patiëntendossiers was getroffen door een cyberaanval.

Uit voorzorg haalde AZ Delta een deel van zijn digitale diensten offline. Woordvoerder Ilse D'Hespeel benadrukte dat de ziekenhuiswerking zelf niet verstoord is en dat de impact voor de patiënten beperkt bleef. "De zorg gaat gewoon door." Ook de veiligheid van de gegevens was volgens haar niet in het geding: "De patiëntengegevens zijn veilig. Dat is voor ons absoluut de prioriteit."

Het ziekenhuis besloot preventief het zorgportaal af te sluiten, nadat de cyberaanval bij de leverancier bekend werd. Andere informatiesystemen van AZ Delta werkten normaal. Rond 16.30 uur waren de problemen opgelost en konden patiënten weer online een afspraak maken of hun dossier raadplegen.

Bron: VRT NWS

Het UWV heeft in de eerste tien maanden van vorig jaar 757 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP), waarvan drie datalekken een grote impact hadden. Deze datalekken waren het gevolg van een verstuurd Excel bestand, een open database en verouderde adresgegevens. Dit blijkt uit de nieuwste editie van de Stand van de uitvoering sociale zekerheid. De meeste datalekken betroffen enkelvoudige incidenten, zoals brieven die naar een verkeerd adres werden gestuurd.

Drie datalekken hadden een grotere impact. Gedurende een onbekende periode stond op het Intranet van het UWV een database met persoonsgegevens van 16.000 cliënten open, die toegankelijk was voor alle medewerkers. De database bevatte onder andere bsn nummers, adresgegevens, gegevens over ziekte, herstel en recht op WW. Het UWV kan niet met zekerheid zeggen of er sprake is geweest van onbevoegde inzage. Na ontdekking is de toegang beperkt tot geautoriseerde medewerkers en is het datalek gemeld bij de AP.

Een ander datalek ontstond door het gebruik van verouderde adresgegevens. In juli werden uitnodigingsbrieven voor fysieke afspraken verstuurd met gegevens zoals naam, geslacht, geboortedatum, leeftijd en mogelijk gezondheidsgegevens, naar verkeerde adressen. Het ging om 41 verkeerd geadresseerde brieven. Door een systeemwijziging worden nu actuele adresgegevens gebruikt. Ook dit incident is gemeld bij de toezichthouder.

Het derde datalek met grote impact deed zich voor bij het versturen van een overzicht van UWV medewerkers met een indicatie voor een banenafspraak. Door een menselijke fout werd het overzicht als Excel bestand verstuurd, waardoor de onderliggende gegevens zichtbaar werden. Het ging om gegevens zoals naam, geboortedata, adres, e-mail, intern personeelsnummer, afdelingsnummer, functiegroep, functienaam, naam van de manager, ingangsdatum contract, voorziene einddatum, soort dienstverband, selectie op indicatie banenafspraak en adres werkplek. De spreadsheet bevatte de informatie van 513 medewerkers. De directe ontvangers, UWV directeuren en hun secretariaat, zijn verzocht de ontvangen mail te verwijderen. Ook dit incident is gemeld bij de Autoriteit Persoonsgegevens.

Bron: UWV

Google heeft aangekondigd dat de AI-gestuurde ransomware detectie functie in Google Drive algemeen beschikbaar is en nu standaard is ingeschakeld voor alle betalende gebruikers. De bètaversie van deze functie werd in september 2025 aangekondigd en begin oktober uitgerold naar Google Workspace klanten wereldwijd.

Google Drive zal onmiddellijk de synchronisatie van bestanden pauzeren wanneer het een ransomware aanval detecteert. Gebruikers en IT beheerders worden op de hoogte gesteld van de inbreuk, waardoor de impact van dergelijke incidenten aanzienlijk wordt verminderd. Hoewel dit niet voorkomt dat de bestanden op de geïnfecteerde computer worden versleuteld, worden documenten die zijn opgeslagen in Google Drive beschermd en kunnen ze snel worden hersteld zodra de malware infectie is opgelost.

Na een geblokkeerde aanval krijgen gebruikers gedetailleerde instructies voor het herstellen van beschadigde bestanden met behulp van de Drive hersteltool om wijzigingen door ransomware ongedaan te maken. "Wanneer ransomware detectie is ingeschakeld, worden bestanden gescand op ransomware wanneer ze vanaf een desktopcomputer naar Drive worden gesynchroniseerd," aldus Google. "Als met ransomware versleutelde bestanden worden gevonden, wordt de desktop synchronisatie gepauzeerd. De getroffen gebruiker ontvangt een e-mailwaarschuwing en wordt op de hoogte gesteld in Drive, en er wordt een waarschuwing gemaakt in de Google Admin console."

Google meldt dat de functie nu standaard is ingeschakeld voor alle gebruikers in organisaties met business, enterprise, education en frontline licenties. De functie voor het herstellen van bestanden is beschikbaar voor alle Google Workspace klanten, Workspace individual abonnees en gebruikers met persoonlijke Google accounts.

Hoewel de functie standaard is ingeschakeld voor alle gebruikers, kunnen beheerders deze uitschakelen voor hun organisaties in de Admin console onder Apps > Google Workspace > Instellingen voor Drive en Docs > Malware en Ransomware. Beheerders moeten de nieuwste versie van Google Drive voor desktop (v.114 of later) op alle endpoints installeren om detectiewaarschuwingen in te schakelen. File synchronisatie wordt nog steeds gepauzeerd op oudere versies.

Microsoft biedt ook OneDrive ransomware detectie en herstel voor Microsoft 365 abonnees die hun bestanden in de cloud opslaan en synchroniseren. Dropbox biedt een vergelijkbare functie aan klanten met Business Plus, Advanced of Enterprise abonnementen, evenals voor Standard of Business abonnementen met de Security add-on.

Bron: support.microsoft.com | Bron 2: hubs.li

Anthropic heeft per ongeluk de broncode van Claude Code gelekt via een update op NPM. Hoewel Anthropic open source initiatieven steunt, is Claude Code altijd closed source gebleven. Het bedrijf benadrukt dat er geen klantgegevens of gevoelige informatie is blootgesteld.

De gelekte broncode werd ontdekt door Chaofan Shou (@Fried_rice) en heeft zich sindsdien verspreid via GitHub en andere platforms. De broncode is gelekt doordat Anthropic per ongeluk versie 2.1.88 van Claude Code publiceerde op NPM. Deze versie bevatte een cli.js.map bestand van 60 MB, dat de volledige broncode van de nieuwste versie bevatte. Dit .map bestand is een debugging file dat gecompileerde JavaScript teruglinkt naar de originele broncode. Als deze map files een "sourcesContent" veld bevatten, kan de volledige broncodeboom worden gereconstrueerd.

De gereconstrueerde broncode bevat ongeveer 1.900 bestanden, 500.000 regels code, en details over exclusieve functies van Claude. Anthropic heeft DMCA meldingen verstuurd om de verspreiding van de code tegen te gaan.

Ontwikkelaars zijn al begonnen met het analyseren van de broncode. Alex Finn ontdekte dat Anthropic een "Proactive mode" test, waarin Claude 24/7 codeert. Ook is er een "Dream" mode, waarin Claude op de achtergrond ideeën ontwikkelt en problemen probeert op te lossen terwijl de gebruiker afwezig is.

Daarnaast melden gebruikers dat Claude de gebruikslimieten heeft verlaagd. Anthropic onderzoekt een bug die ervoor zorgt dat de limieten sneller worden bereikt. Lydia Hallie van Anthropic meldde op X dat dit de hoogste prioriteit heeft voor het team.

Bron: Anthropic | Bron 2: github.com | Bron 3: hubs.li

In maart 2026 heeft de persoonlijke ontwikkelings- en prestatiesite SUCCESS een datalek gehad. Het incident onthulde 250.000 unieke e-mailadressen, samen met namen, IP adressen, telefoonnummers en, voor een beperkt aantal medewerkers, bcrypt password hashes. De data omvatte ook bestellingen met fysieke adressen en de gebruikte betaalmethode. In een verklaring meldt SUCCESS dat hun systeem ook is misbruikt om aanstootgevende nieuwsbrieven te versturen met citaten die valselijk aan medewerkers werden toegeschreven.

De gestolen data omvat apparaat informatie, e-mailadressen, IP adressen, namen, wachtwoorden (gehasht), telefoonnummers, fysieke adressen en aankoop informatie.

Als aanbevolen acties wordt aangeraden om direct het wachtwoord te wijzigen op alle accounts waar het getroffen wachtwoord werd gebruikt. Waar mogelijk wordt aangeraden om tweefactorauthenticatie in te schakelen.

Bron: SUCCESS | Bron 2: veiliginternetten.nl

De nieuwste versies van de bekende malware XLoader, die informatie steelt, zijn aanzienlijk verbeterd. Hierdoor is de malware moeilijker te detecteren en analyseren dan voorheen. XLoader is afgeleid van de malwarefamilie FormBook, die in 2016 opdook, en werd begin 2020 opnieuw gelanceerd. Sindsdien hebben de ontwikkelaars van XLoader voortdurend nieuwe updates uitgebracht om de malware actief en effectief te houden tegen moderne verdedigingsmechanismen.

XLoader is gericht op webbrowsers, e-mailclients en FTP applicaties om wachtwoorden, cookies en andere gevoelige inloggegevens van geïnfecteerde systemen te stelen. Naast het stelen van gegevens kan het ook willekeurige commando's uitvoeren en tweede-fase malware payloads inzetten op gecompromitteerde machines, waardoor aanvallers een breed scala aan controle krijgen over elke getroffen host. De meest recent waargenomen versie is 8.7, waarbij actieve ontwikkeling nieuwe mogelijkheden en ontwijkingsverbeteringen introduceert bij elke release. De malware bereikt slachtoffers voornamelijk via phishing e-mails en kwaadaardige bestandsbijlagen – aanvalsvectoren die effectief blijven omdat ze menselijk gedrag uitbuiten in plaats van uitsluitend op technische zwakke punten te vertrouwen.

Zscaler onderzoekers identificeerden de nieuwste iteraties van XLoader en merkten op dat vanaf versie 8.1 de ontwikkelaars van de malware aanzienlijk meer geavanceerde code obfuscatie en netwerkencryptietechnieken introduceerden dan in eerdere versies. Hun analyse onthulde dat deze updates opzettelijk en systematisch zijn, ontworpen om zowel geautomatiseerde analysetools als handmatige reverse engineering inspanningen van beveiligingsprofessionals te frustreren.

Een van de belangrijkste aspecten van het bijgewerkte gedrag van XLoader is de manier waarop het zijn echte command-and-control (C2) servers verbergt binnen een grote pool van decoy-adressen. De malware sluit in totaal 65 C2 IP adressen in zijn code in, maar elk adres is afzonderlijk versleuteld en wordt pas tijdens runtime ontsleuteld wanneer het op het punt staat te worden gebruikt, wat statische analyse van de binaire code uiterst moeilijk maakt voor onderzoekers. Wanneer XLoader een communicatiecyclus initieert, selecteert het willekeurig 16 van die 65 IP adressen en begint het HTTP verzoeken naar elk adres in de reeks te verzenden. Zowel interne request types - POST requests die gestolen inloggegevens bevatten en GET requests die commando's ophalen - worden zonder onderscheid over deze hele pool verzonden.

Om zijn verkeer verder te beschermen, past XLoader meerdere versleutelingslagen toe met behulp van RC4-ciphers en SHA-1-hashing van de C2-URL. De encryptiesleutels worden dynamisch afgeleid van de C2-URL-seed en worden pas in specifieke uitvoeringsfasen onthuld, waardoor onderschepping alleen onvoldoende is om de activiteiten van de malware bloot te leggen. Zelfs hoewel het verkeer via plaintext HTTP verloopt, zijn de werkelijke gegevens gelaagd met voldoende versleuteling dat het decoderen ervan zonder de juiste sleutels praktisch onmogelijk is.

Beveiligingsteams zouden moeten controleren op ongebruikelijke HTTP verkeerspatronen met herhaalde verzoeken die in korte tijd naar meerdere IP adressen worden verzonden, met name wanneer die verzoeken Base64-gecodeerde parameters met willekeurig gegenereerde namen bevatten. Het gebruik van netwerkemulatietools die daadwerkelijke verbindingen tot stand kunnen brengen en serverreacties kunnen verifiëren, blijft de meest betrouwbare methode om echte C2-servers van decoys te scheiden. Organisaties moeten ook endpoint detectie tools up-to-date houden om XLoader activiteit te vangen, die momenteel wordt gevolgd onder de indicator Win32.PWS.XLoader.

Bron: Zscaler

Mercor AI heeft officieel een ernstig datalek bevestigd, nadat de beruchte Lapsus$ hackinggroep claimde 4 terabyte aan gevoelige bedrijfsgegevens te hebben gestolen. Het incident komt voort uit een recente supply chain aanval op het open source LiteLLM project. Hierdoor zijn bedrijfseigen broncode, interne databases en grote hoeveelheden data voor gebruikersverificatie blootgesteld.

Het hackingcollectief Lapsus$ heeft de data van het Mercor platform te koop aangeboden via een live veiling op het dark web, waarbij geïnteresseerde kopers een bod kunnen doen. De dreigingsactoren beweren het volledige 4 terabyte dataset te hebben buitgemaakt door de Tailscale VPN van het bedrijf te compromitteren.

De gestolen cache omvat naar verluidt 939GB aan platform broncode, een 211GB gebruikersdatabase, en 3TB aan opslagbuckets met video interviews en identiteitsverificatie paspoorten.

Mercor AI heeft een publieke verklaring uitgegeven waarin het bedrijf benadrukt dat de privacy en veiligheid van hun klanten en contractanten de hoogste prioriteit hebben. Mercor stelt dat het datalek het directe gevolg is van een wijdverspreide supply chain aanval op de open source routing library LiteLLM. Het security team van Mercor heeft het incident onmiddellijk ingedamd en voert momenteel een uitgebreid onderzoek uit met behulp van externe forensische experts.

De oorzaak van het datalek bij Mercor ligt in eind maart 2026, toen een dreigingsactor bekend als TeamPCP de PyPI publishing credentials voor de LiteLLM library compromitteerde. TeamPCP injecteerde een drietraps malicious backdoor in versies 1.82.7 en 1.82.8, die ontworpen was om credentials te verzamelen en permanente systeemtoegang te creëren. Omdat LiteLLM op grote schaal is geïntegreerd in AI applicaties, werd de malware direct na installatie uitgevoerd en trof duizenden nietsvermoedende organisaties.

Mercor, opgericht in 2023, exploiteert een AI recruitment platform dat naar eigen zeggen meer dan $500 miljoen aan omzet genereert en gespecialiseerde experts verbindt met grote AI bedrijven zoals OpenAI en Anthropic. Het bedrijf faciliteert dagelijks meer dan $2 miljoen aan uitbetalingen en loopt nu aanzienlijke operationele risico's door de blootstelling van de persoonlijke informatie van zijn contractanten. Het lekken van interne AI broncode en gevoelige KYC materialen heeft ernstige gevolgen voor zowel het $10 miljard platform als zijn gebruikersbestand.

Lapsus$ is een bekend cybercrime syndicaat dat in het verleden spraakmakende technologiebedrijven heeft aangevallen met behulp van agressieve afpersingstactieken. De groep gebruikt vaak publieke datalekken en dark web veilingen om slachtoffers onder druk te zetten tot het betalen van losgeld, nadat initiële private onderhandelingen zijn mislukt. Hun betrokkenheid bij het Mercor AI datalek benadrukt een voortdurende trend van dreigingsactoren die upstream supply chain kwetsbaarheden uitbuiten om toegang te krijgen tot enorme downstream corporate datasets.

Bron: Mercor AI

De dreigingsactor ShadowByt3s, opererend onder de naam BlackVortex1, claimt Starbucks te hebben gehackt. Hierbij zou 10 GB aan data zijn buitgemaakt door een compromittering van de sbux-assets S3 bucket. De gestolen data omvat intellectueel eigendom, waaronder broncode, firmware en globale beheertools. De groep beschrijft dit als onderdeel van een nieuwe campagne gericht op verkeerd geconfigureerde cloud assets.

De ransomware-groep heeft een deadline gesteld voor de betaling van losgeld: 5 april 2026 om 17:00 uur. Na deze deadline dreigt de groep alle data publiekelijk te lekken. De gestolen data is onderverdeeld in vier categorieën, die allemaal afkomstig zijn uit de sbux-assets S3 bucket:

*   Proprietary Hardware en Operational Technology: Firmware in hex-formaat voor drankautomaten, inclusief Siren System componenten en Blue Sparq motor boards. Mastrena II espresso machine control logic, inclusief touch-screen interface code en stepper motor configuraties (Stepper\_050\_Board\_X.hex). FreshBlends proprietary code en UI packages voor geautomatiseerde smoothie- en frozen drink stations, inclusief ingrediëntratio's en prijslogica.

*   Global Management en Internal Software: Broncode voor de Global Management UI ("New Web UI") met een centraal dashboard voor het beheren van machines in internationale regio's. Inventory Management Portal (b4-inv/) voor het volgen van wereldwijde hardware-inventaris, supply chain logistiek en vendor orders. Operationele monitoring tools voor log uploads en data-range downloads, gebruikt door technici om de machinegezondheid en -prestaties te monitoren.

*   Developer Environment en Source Code: JavaScript bundles met hardcoded API endpoints, interne service URLs en authenticatie logica. SCSS source files voor management interface styling. Source maps (.map files) die het mogelijk maken om geminifiede productiecode te reconstrueren naar een leesbaar formaat. Developer backup en staging folders (v-2a-upload-problem, b4-temp-download) die mogelijk tijdelijke credentials of interne developer notes bevatten.

*   Visual en Brand Assets: Interne staff avatars en profielfoto's voor systeembeheerders en developers. Hoge resolutie Starbucks corporate branding en partner vendor logo's (Blue Sparq) gebruikt in interne applicaties.

De groep heeft samples van de gestolen data via Mega.nz gedeeld en gebruikt een Telegram-kanaal voor bestanden groter dan 1 GB. Daarnaast werft de groep actief corporate insiders met een 30/70 revenue split (30% voor de insider, 70% voor de groep) zonder upfront kosten.

Cybercrimeinfo ontdekte dat de firmware en OT-blootstelling het meest kritieke element van dit lek is. Hex-bestanden voor drankautomaten, espresso machine stepper motor configuraties en geautomatiseerde smoothie station code vertegenwoordigen de proprietary control logic voor fysieke machines die in tienduizenden Starbucks-locaties wereldwijd worden ingezet. In verkeerde handen kan dit hardwaremanipulatie, supply chain aanvallen tegen Starbucks-apparatuur of competitive reverse engineering van hun beverage automation technology mogelijk maken.

Bron: Darkweb

Unit 42 onderzoekers hebben een grootschalige supply chain aanval waargenomen gericht op de Axios JavaScript-bibliotheek. De aanval vond plaats nadat het npm-account van een Axios-onderhouder was gecompromitteerd, wat leidde tot de release van kwaadaardige updates (versies v1.14.1 en v0.30.4). Deze gecompromitteerde versies introduceerden een verborgen dependency genaamd `plain-crypto-js`.

Deze dependency is een cross-platform remote access Trojan (RAT) die Windows-, macOS- en Linux systemen kan infecteren. De malware is ontworpen om reconnaissance uit te voeren en persistentie te vestigen, met een extra functie om zichzelf te vernietigen ter ontwijking.

Axios is een populaire, promise-gebaseerde HTTP-clientbibliotheek voor JavaScript, die wordt gebruikt om API-requests te maken in browsers en Node.js. Het beschikt over automatische JSON-datatransformatie, request/response interceptie en request cancellation, waardoor het een standaard tool is voor het verbinden van frontend apps met backend services.

Analyse van de malware die de aanvallers gebruikten, overlapt met operaties waarvan eerder is gemeld dat ze betrokken waren bij de Democratische Volksrepubliek Korea (DPRK).

Deze campagne heeft de volgende sectoren getroffen in de VS, Europa, het Midden-Oosten, Zuid-Azië en Australië: zakelijke dienstverlening, klantenservice, financiële dienstverlening, high tech, hoger onderwijs, verzekeringen, media en entertainment, medische apparatuur, professionele en juridische dienstverlening en retail.

Palo Alto Networks klanten zijn beter beschermd tegen de bedreigingen die in dit artikel worden besproken door middel van Advanced URL Filtering, Advanced DNS Security, Advanced WildFire, Cortex Cloud, Cortex XDR en XSIAM. Het Unit 42 Incident Response team kan ook worden ingeschakeld om te helpen bij een compromis of om een proactieve beoordeling te geven om het risico te verlagen.

Bron: Unit 42 | Bron 2: docs.paloaltonetworks.com | Bron 3: docs-cortex.paloaltonetwork...

Een nieuw malafide kit genaamd EvilTokens integreert device code phishing functionaliteiten, waardoor aanvallers Microsoft accounts kunnen kapen en geavanceerde functies kunnen bieden voor business email compromise (BEC) aanvallen. De kit wordt verkocht aan cybercriminelen via Telegram en is voortdurend in ontwikkeling. De auteur geeft aan dat ze van plan zijn om ondersteuning uit te breiden voor Gmail- en Okta-phishingpagina's.

Device code phishing aanvallen maken misbruik van de OAuth 2.0 device authorization flow, waarbij aanvallers toegang krijgen tot een slachtofferaccount door de eigenaar te misleiden om een malafide apparaat te autoriseren. Deze techniek is al langer bekend en is gebruikt door verschillende dreigingsactoren, waaronder Russische groepen die bekend staan als Storm-237, UTA032, UTA0355, UNK_AcademicFlare en TA2723, en de ShinyHunters data extortion groep.

Onderzoekers van threat detection and response bedrijf Sekoia hebben EvilTokens aanvallen waargenomen waarbij de slachtoffers e-mails ontvingen met documenten (PDF, HTML, DOCX, XLSX of SVG) die een QR-code of een hyperlink bevatten naar een EvilTokens phishing template. Deze lokmiddelen doen zich voor als legitieme zakelijke inhoud, zoals financiële documenten, uitnodigingen voor vergaderingen, logistiek- of inkooporders, loonstroken of gedeelde documenten via diensten zoals DocuSign of SharePoint, en zijn vaak afgestemd op werknemers in de financiële, HR-, logistiek- of verkoopafdelingen.

Wanneer het slachtoffer op de link klikt, wordt een phishingpagina getoond die een vertrouwde dienst (bijvoorbeeld Adobe Acrobat of DocuSign) imiteert en een verificatiecode en instructies weergeeft om de identiteitsverificatie te voltooien. De pagina vraagt de gebruiker om op een "Continue to Microsoft" knop te klikken, die hen doorverwijst naar de legitieme Microsoft device login pagina. In deze stap gebruikt de aanvaller een legitieme client (een willekeurige Microsoft-applicatie) om een device code aan te vragen. Vervolgens misleiden ze het slachtoffer om zich te authenticeren op de legitieme Microsoft URL van de dreigingsactor.

Op deze manier ontvangt de aanvaller zowel een short-lived access token als een refresh token voor permanente toegang. Deze tokens geven de aanvaller onmiddellijk toegang tot de diensten die aan het slachtofferaccount zijn gekoppeld, waaronder e-mail, bestanden, Teams-gegevens en de mogelijkheid om SSO-imitatie uit te voeren in Microsoft-services.

Sekoia-onderzoekers onderzochten de infrastructuur van EvilTokens en ontdekten campagnes met een wereldwijd bereik, waarbij de meest getroffen landen de Verenigde Staten, Canada, Frankrijk, Australië, India, Zwitserland en de Verenigde Arabische Emiraten waren. Naast geavanceerde phishing biedt de EvilTokens phishing-as-a-service (PhaaS) operatie ook geavanceerde functies om BEC aanvallen uit te voeren door middel van automatisering. De verscheidenheid aan campagnes suggereert dat EvilTokens al op grote schaal wordt gebruikt door dreigingsactoren die betrokken zijn bij phishing en BEC-activiteiten. Sekoia biedt indicators of compromise (IoC), technische details en YARA-regels om verdedigers te helpen aanvallen te blokkeren die gebruikmaken van de EvilTokens PhaaS-kit.

Bron: Sekoia | Bron 2: hubs.li

Cybercrimeinfo heeft een dreigingsalert onderschept waarin de cybercriminele groep ShinyHunters dreigt interne data en chatlogs te publiceren. De groep zou hebben geweigerd verder commentaar te geven en in plaats daarvan alle data te lekken, inclusief de voornamen van leden (R. is PCP, A. is Vect). Het type dreiging is nog onbekend.

Bron: Int. Cyber Digest

Het platform Mercor, dat AI-bedrijven helpt bij het verbeteren van hun modellen, heeft een beveiligingsincident bevestigd dat verband houdt met een recente supply chain aanval. Het incident is gerelateerd aan de compromittering van het open-source project LiteLLM. Mercor, een rekruteringsbedrijf dat samenwerkt met bedrijven zoals OpenAI voor het aannemen van experts en het trainen van AI modellen, was een van de duizenden bedrijven die door de aanval werden getroffen. In oktober 2025 werd het bedrijf naar verluidt gewaardeerd op 10 miljard dollar.

Volgens een verklaring van een woordvoerder van Mercor, Heidi Hagberg, is de privacy en veiligheid van hun klanten en contractanten essentieel voor Mercor. Het security team van Mercor heeft snel gehandeld om het incident in te dammen en te herstellen. Mercor voert een onderzoek uit met behulp van externe forensische experts.

Hoewel de LiteLLM-aanval naar verluidt verband houdt met een groep genaamd TeamPCP, claimde de hacking groep Lapsus$ op haar website dat ze honderden gigabytes aan Mercor-data had buitgemaakt. LiteLLM bevestigde de hack op zijn systemen vorige week en zei dat het een vermoedelijke supply chain aanval onderzocht waarbij ongeautoriseerde PyPI-pakketten waren gepubliceerd. Het open-source project zei dat er aanwijzingen waren dat het PyPI-account van een gebruiker mogelijk was gecompromitteerd en gebruikt om kwaadaardige code te verspreiden. Een schone versie van LiteLLM is maandag uitgebracht.

Bron: Mercor | Bron 2: techcrunch.com | Bron 3: docs.litellm.ai

Onderzoekers van McAfee hebben een nieuwe Android malware ontdekt, genaamd NoVoice, die verborgen zat in meer dan 50 apps op Google Play. Deze apps, waaronder cleaners, image galleries en games, zijn minstens 2,3 miljoen keer gedownload. De malware vereiste geen verdachte permissies en bood de beloofde functionaliteit.

Na de lancering van een geïnfecteerde app probeerde de malware root-toegang te verkrijgen door oude kwetsbaarheden in Android te misbruiken die tussen 2016 en 2021 zijn gepatcht. De onderzoekers konden de NoVoice-operatie niet aan een specifieke dreigingsactor linken, maar zagen wel overeenkomsten met de Triada Android trojan.

De dreigingsactor verborg de kwaadaardige componenten in het com.facebook.utils package, vermengd met de legitieme Facebook SDK classes. Een gecodeerde payload (enc.apk), verborgen in een PNG-afbeelding met behulp van steganografie, wordt uitgepakt (h.apk) en in het systeemgeheugen geladen, terwijl alle tussenliggende bestanden worden verwijderd. De malware vermijdt infectie van apparaten in bepaalde regio's, zoals Beijing en Shenzhen in China, en voert 15 controles uit op emulators, debuggers en VPN's. Als locatiepermissies niet beschikbaar zijn, zet de malware de infectieketen voort.

De malware contacteert de command-and-control (C2) server en verzamelt apparaatinformatie, zoals hardware details, kernelversie, Android-versie (en patchniveau), geïnstalleerde apps en root-status, om de exploitstrategie te bepalen. Vervolgens polt de malware de C2 elke 60 seconden en downloadt diverse componenten voor apparaatspecifieke exploits om het systeem te rooten. McAfee zegt 22 exploits te hebben waargenomen, waaronder use-after-free kernel bugs en Mali GPU driver flaws. Deze exploits geven de operators een root shell en stellen hen in staat om SELinux enforcement uit te schakelen.

Na het rooten van het apparaat worden belangrijke systeembibliotheken zoals libandroid_runtime.so en libmedia_jni.so vervangen door hooked wrappers die systeem calls onderscheppen en de uitvoering naar aanvalscode omleiden. De rootkit installeert recovery scripts, vervangt de systeem crash handler met een rootkit loader en slaat fallback payloads op de systeempartitie op. Een watchdog daemon draait elke 60 seconden om de integriteit van de rootkit te controleren en installeert automatisch ontbrekende componenten opnieuw.

Tijdens de post-exploitatie fase wordt aanvallerscode geïnjecteerd in elke app die op het apparaat wordt gestart. Twee hoofdcomponenten worden ingezet: één die stille installatie of verwijdering van apps mogelijk maakt, en een andere die werkt binnen elke app met internettoegang. Deze laatste dient als een primair mechanisme voor datadiefstal en McAfee heeft waargenomen dat het voornamelijk gericht is op de WhatsApp messaging app. Wanneer WhatsApp wordt gelanceerd op een geïnfecteerd apparaat, extraheert de malware gevoelige data die nodig is om de sessie van het slachtoffer te repliceren, inclusief encryptie databases, de Signal protocol keys en account identifiers zoals telefoonnummer en Google Drive backup details. Deze informatie wordt vervolgens geëxfiltreerd naar de C2, waardoor de aanvallers de WhatsApp-sessie van het slachtoffer op hun eigen apparaat kunnen klonen.

De kwaadaardige Android-applicaties die NoVoice payloads bevatten, zijn verwijderd van Google Play nadat McAfee ze aan Google heeft gemeld. Gebruikers die ze eerder hebben geïnstalleerd, moeten hun apparaten en data als gecompromitteerd beschouwen. Omdat NoVoice zich richt op kwetsbaarheden die tot mei 2021 zijn verholpen, is het effectief om te upgraden naar een apparaat met een latere security patch. Het wordt aanbevolen dat Android-gebruikers upgraden naar actief ondersteunde modellen en alleen apps installeren van vertrouwde, bekende uitgevers, zelfs op Google Play.

Bron: McAfee | Bron 2: hubs.li

Een waterzuiveringsinstallatie in Minot, North Dakota, is twee weken geleden getroffen door ransomware. Dat hebben functionarissen van de stad bevestigd aan Recorded Future News. De waterzuiveringsinstallatie en alle faciliteiten die verband houden met het watersysteem van de stad bleven te allen tijde operationeel en veilig, aldus de functionarissen.

Jennifer Kleen, de public relationsfunctionaris van de stad, verklaarde dat er geen directe vraag om geld was en er geen directe interactie was buiten een brief op een scherm. Alle noodzakelijke lokale, staats- en federale rapporten zijn gemaakt. Op de vraag of de groep zich had geïdentificeerd, antwoordde Kleen dat de brief op het scherm nu in handen is van de FBI en deel uitmaakt van elk onderzoek dat ze zouden kunnen uitvoeren, dus verdere details over de brief zouden van hen moeten komen. De FBI heeft niet gereageerd op verzoeken om commentaar over de brief.

Uit een bericht van de regering van Minot, dat ongeveer 50.000 inwoners telt en de op twee na grootste stad van de staat is, bleek dat de ransomware aanval op 14 maart werd ontdekt. Stadsfunctionarissen ontkoppelden de getroffen server en voerden ongeveer 16 uur lang handmatige procedures uit, waarbij ze regelmatig de watermeters ter plaatse controleerden. Tijdens dit incident hadden de betrokken afdelingen twee doelen: ervoor zorgen dat het water veilig bleef en ervoor zorgen dat de juiste druk in alle wateropslagfaciliteiten werd gehandhaafd.

Waterbedrijven hebben de afgelopen twee jaar te kampen gehad met een spervuur van cyberaanvallen van cybercriminelen en statelijke actoren, mede door een gebrek aan financiering voor veiligheidsmaatregelen. Hoewel sommige staten financiering hebben proberen te verstrekken naast strengere cybersecurityregels, hebben lobbygroepen uit de waterindustrie zich eerder verzet tegen federale inspanningen om elementaire cybersecurityregels in te voeren.

De kwestie is steeds belangrijker geworden in het licht van recente campagnes van Iran en China die de watersector de afgelopen twee jaar hebben aangevallen. Amerikaanse functionarissen en cybersecurity-experts hebben in stilte hun bezorgdheid geuit over een mogelijke toename van cyberaanvallen op waterbedrijven door Iran, gezien het feit dat aan de Islamic Revolutionary Guard Corps verbonden hackinggroepen verantwoordelijk waren voor een campagne gericht op Amerikaanse waterbedrijven in 2023 en 2024. Hoewel de incidenten grotendeels bestonden uit het bekladden van utiliteitstechnologie, waarschuwden Amerikaanse functionarissen destijds dat de aanvallers hun toegang tot de apparaten zouden kunnen gebruiken als een manier om diepere toegang tot het netwerkniveau te krijgen, waardoor ze fysieke schade aan apparatuur of erger zouden kunnen veroorzaken.

Bron: Recorded Future

Cybercrimeinfo heeft ontdekt dat de volledige productie database van Smarteez, een Marokkaanse digital factory exclusief ontwikkeld voor L'Oréal Marokko, is gelekt. Het datalek, openbaar gemaakt door de dreigingsactor xNov, omvat een breed scala aan gevoelige informatie met betrekking tot de activiteiten van L'Oréal in Marokko.

De gelekte data, die loopt van medio 2023 tot begin 2026, omvat gegevens van vier L'Oréal merken die actief zijn op het platform: La Roche-Posay, Vichy, CeraVe en Dercos. De omvang van het lek is aanzienlijk en omvat verschillende categorieën data, waaronder:

*   26 gebruikersaccounts, inclusief superusers, een L'Oréal administrator en vertegenwoordigers in Casablanca, Rabat, Marrakech en andere steden. Wachtwoorden zijn opgeslagen als PBKDF2 hashes.

*   Gedetailleerde informatie over 296 apotheken in Marokko, inclusief namen, adressen, GPS-coördinaten en sales informatie.

*   Meer dan 361.000 sales records, 10.000 aankooporders en 10.000 contactmomenten zonder aankoop. De data bevat productnamen, barcodes, prijzen, merknamen, apotheeknamen, namen van vertegenwoordigers en tijdstempels.

*   Een productcatalogus met 2.495 referenties, inclusief barcodes, prijzen en artikelcodes.

*   Meer dan 1 miljoen merchandising bezoek records en 1 miljoen media bestanden met concurrentie informatie.

*   22 OAuth2 applicaties met client ID's en 128-karakter client secrets in plaintext, plus 519 Django sessie records.

*   Een admin audit trail met 4.504 entries die elke wijziging aan het platform documenteren.

*   Systeemconfiguratie details, inclusief de Android APK download URL en versie identifier.

*   Geaggregeerde KPI views per apotheek, maandelijkse en jaarlijkse sales vergelijkingen van 2023 tot 2025, en gebruikersactiviteit data.

De blootstelling van deze data omvat de complete sales infrastructuur, field intelligence, het apotheek distributie netwerk en de product pricing strategie van L'Oréal Marokko.

Bron: Darkweb

FulcrumSec heeft naar eigen zeggen een datalek gepubliceerd van 140 GB aan data, afkomstig van drie aan elkaar verbonden bedrijven die onder één AWS-account opereerden: Unique Computing LLC, Gennet AI en ReFocus AI. Het datalek zou verkregen zijn via CVE-2025-55182 (React2Shell) op een niet-gepatchte, internetgerichte host. Deze kwetsbaarheid gaf toegang tot ECS-credentials, waarmee 57 S3 buckets en de AWS Secrets Manager konden worden benaderd.

Volgens FulcrumSec deelden de drie bedrijven, samen met een non-profit educatief platform (Duaa.org) en persoonlijke developer projecten, één AWS-account (086134439114) zonder accountscheiding of omgevingsisolatie. Dit zou betekenen dat één gecompromitteerde sleutel toegang gaf tot een breed scala aan data, van een wiskundecurriculum voor kinderen tot rijbewijsnummers van verzekeringspolishouders.

De gelekte data bevat verzekeringsgegevens met een totale premiewaarde van $796.847.366, afkomstig van onder meer Patriotic Insurance (New York), Alliance Insurance Services (Winston-Salem, NC) en Ohio Mutual Insurance Group. De data omvat namen, geboortedata, adressen, rijbewijsnummers, telefoonnummers, e-mailadressen, VINs, polisgeschiedenis, claims data, factuurgegevens, werkgeversnamen, inkomensklassen en beroepen.

Naast verzekeringsdata zijn ook ReFocus AI's machine learning modellen, Gennet AI's klinische platform met FHIR patient data, Databricks workspaces met biotech cell imaging analyse, voice cloning modellen en AWS billing rapporten gelekt. FulcrumSec beschuldigt Unique Computing van nalatigheid omdat ze CVE-2025-55182 niet tijdig zouden hebben gepatcht. FulcrumSec biedt getroffen Patriotic Insurance polishouders $70 in Monero aan als compensatie voor de kosten van het vervangen van hun rijbewijs.

De gecompromitteerde data categorieën omvatten rijbewijsnummers, burgerservicenummers, volledige namen en adressen, verzekeringspolissen, claims en factuurgeschiedenis, medische polisdata, voertuigidentificatienummers, werkgevers- en inkomensgegevens, proprietary ML modellen en pipelines, client configuratie YAMLs, AWS secrets en ECS credentials, SageMaker ML workspaces, biotech cell imaging data, voice cloning modellen, AWS billing en cost reports en WorkMail email archieven.

Bron: Darkweb

Een nieuwe phishingcampagne maakt gebruik van valse LinkedIn-notificaties om professionele accounts te kapen. Onderzoek van het Cofense Phishing Defense Center (PDC) laat zien hoe vervalste domeinen, zoals inedindigital, worden gebruikt om inloggegevens en professionele data te stelen.

Het controleren van een LinkedIn-notificatie is voor velen een routine geworden. Nieuwe bevindingen suggereren echter dat een enkele klik op een ogenschijnlijk standaard bericht uw accountgegevens rechtstreeks in handen van criminelen kan spelen. Deze tactiek staat centraal in een nieuw rapport van het Cofense PDC. Het onderzoek, dat werd gedeeld met Hackread.com, identificeert een slimme phishingcampagne die is ontworpen om zelfs de meest voorzichtige professionals te misleiden. Door de exacte lay-out van een echte notificatie na te bootsen, stelen aanvallers met succes de inloggegevens van nietsvermoedende gebruikers.

De zwendel begint met een e-mail die lijkt op een standaard alert van LinkedIn. De ontvanger wordt geïnformeerd dat een vertegenwoordiger van een gerenommeerd bedrijf een urgent bericht heeft gestuurd over een potentiële zakelijke kans. Volgens onderzoekers van Cofense PDC is de e-mail een bijna perfecte replica van het origineel, met dezelfde lettertypen, logo's en kleuren. De e-mail is echter een valstrik die vertrouwt op een gevoel van urgentie om te voorkomen dat de lezer de details controleert. De berichten waren oorspronkelijk in het Chinees geschreven, wat suggereert dat de aanvallers zich richtten op professionals in die regio of op mensen die zaken doen met Chinese partners.

De e-mail is afkomstig van een domein genaamd khanieteam.com, dat slechts enkele dagen oud was toen het in maart 2026 voor het eerst werd opgemerkt. Dit zou gebruikers direct moeten alarmeren, omdat een legitieme notificatie van een wereldwijd platform nooit afkomstig zou zijn van zo'n willekeurig, recentelijk aangemaakt adres. Als een gebruiker nog steeds argeloos is of in de verleiding komt en op een van de knoppen in de e-mail klikt, wordt hij niet naar LinkedIn geleid, maar naar een frauduleuze inlogpagina met het webadres inedindigital. Het is vermeldenswaard dat de aanvallers deze naam opzettelijk hebben gekozen, omdat de letters visueel lijken op het echte merk.

Verder onderzoek wees uit dat deze valse site slechts twee maanden voor de start van de campagne werd opgezet, met behulp van verschillende internetadressen, waaronder 104.21.80.1, om actief te blijven. Enrico Silverio van het Cofense PDC legde uit dat de zwendel zo gevaarlijk is omdat het de menselijke nieuwsgierigheid en het vertrouwen misbruikt. Zodra een gebruiker zijn wachtwoord in de valse site typt, krijgen de hackers volledige toegang tot zijn professionele netwerk en persoonlijke gegevens. Daarom adviseren beveiligingsexperts altijd om het e-mailadres van de afzender te controleren en met de muis over links te bewegen om te zien waar ze daadwerkelijk naartoe leiden voordat u op iets klikt. Als een bericht te mooi lijkt om waar te zijn, is dat waarschijnlijk ook zo.

Bron: Cofense

Een dreigingsactor onder de naam vultapower heeft Vulta Intelligence gelanceerd, een dienst voor het opzoeken en extraheren van inloggegevens. De dienst claimt 14,2 miljard records in URL:Login:Password (ULP) formaat te indexeren. Vulta Intelligence is toegankelijk via een Telegram bot en een webdashboard op vulta.pw, waarbij beide interfaces in real-time worden gesynchroniseerd. De dienst wordt aangeprezen als een tool voor het doorzoeken van domeinen, e-mailadressen of zoekwoorden in omvangrijke databases met gestolen inloggegevens, afkomstig van infostealer logs en combolists.

Het proces werkt in vier stappen: gebruikers voeren een domein, e-mailadres of zoekwoord in via de Telegram bot of webinterface. Een demo screenshot toont een zoekopdracht naar "binance" die 4.146.129 resultaten oplevert. Het systeem geeft vervolgens het aantal hits weer en vraagt hoeveel regels de gebruiker wil extraheren. Gebruikers selecteren een niveau (1.000 regels voor $0,50, 5.000 regels voor $2,50, 10.000 regels voor $5,00) of voeren een aangepast aantal regels in. De ULP-bestanden worden direct geleverd in de Telegram-chat of het webdashboard van de gebruiker.

Vulta Intelligence adverteert met de volgende functies: toegang tot databases met milliseconde-latentie, real-time synchronisatie tussen de Telegram bot en webinterface, accurate ULP-resultaten die direct bruikbaar zouden zijn met bestaande tools, en onmiddellijke levering van bestanden. Het ecosysteem omvat een Telegram bot (@VULTABOT), een webportaal (@VULTANETWORKS), de hoofdsite (vulta.pw) en een support channel. De promotiecode WELCOMEVULTA biedt 20% bonus op de eerste storting. Betalingen verlopen via cryptocurrency.

De claim van 14,2 miljard records en de 4,1 miljoen hits bij een zoekopdracht naar Binance suggereren dat de database is samengesteld uit meerdere grootschalige infostealer log collecties. De dienst biedt mogelijkheden voor het zoeken op domein, e-mail en zoekwoord, en levert de resultaten via de Telegram bot of het webdashboard.

De dienst kan worden gebruikt voor het verzamelen van slachtoffergegevens (T1589.001), het verkrijgen van valide accounts (T1078) en credential stuffing (T1110.004). Telegram wordt gebruikt als een leveringsmechanisme en command interface (T1102).

Bron: Darkweb

Safeonweb.be waarschuwt voor een phishingmail die afgelopen week 2674 keer is doorgestuurd naar verdacht@safeonweb.be. De inhoud van de mail is volgens Safeonweb hilarisch en bevat termen als "hyperfluïde chronomatrices", "interdigiterende fluxogrammen" en "quasi-onomatopeeën". Safeonweb vermoedt dat de oplichter een onbekende vertaaltool heeft gebruikt. Als men deze e-mail ontvangt, adviseert Safeonweb om erom te lachen, de mail door te sturen naar verdacht@safeonweb.be en vervolgens te verwijderen.

Bron: Safeonweb

Volgens het 2026 Annual Threat Report van Blackpoint Cyber spelen remote access en vertrouwde administratieve tools een steeds grotere rol bij het begin van cyberaanvallen. Het rapport is gebaseerd op de analyse van duizenden security onderzoeken en laat een verschuiving zien in het gedrag van aanvallers. In plaats van primair te vertrouwen op het exploiteren van kwetsbaarheden, krijgen dreigingsactoren vaak toegang door gebruik te maken van geldige credentials, legitieme tools en routine gebruikersacties.

Het rapport toont aan dat aanvallers vaker inloggen met legitieme toegang dan dat ze kwetsbaarheden exploiteren als primaire toegangspoort. Misbruik van SSL VPN's was verantwoordelijk voor 32,8 procent van alle identificeerbare incidenten, waardoor dit een van de meest voorkomende initiële toegangspunten is. In veel gevallen authenticeerden dreigingsactoren met behulp van geldige, maar gecompromitteerde inloggegevens, wat resulteerde in VPN-sessies die legitiem leken voor security controles. Eenmaal toegang verkregen, boden deze sessies vaak een breed intern bereik, waardoor aanvallers zich snel konden verplaatsen naar waardevolle systemen zonder direct alerts te triggeren.

Het rapport documenteert ook frequent misbruik van legitieme Remote Monitoring and Management (RMM) tools als methode voor toegang en persistentie. RMM-misbruik kwam voor in 30,3 procent van de identificeerbare incidenten, waarbij ScreenConnect in meer dan 70 procent van de malafide RMM-gevallen aanwezig was. Omdat deze tools vaak worden gebruikt voor standaard IT-administratie, leken ongeautoriseerde installaties vaak op verwachte activiteit en waren ze moeilijk te onderscheiden zonder sterke visibility.

Hoewel legitieme toegangspaden veel inbraken mogelijk maakten, vertegenwoordigde gebruikersinteractie de grootste aanjager van het totale incidentvolume. Fake CAPTCHA- en ClickFix-achtige campagnes waren verantwoordelijk voor 57,5 procent van alle identificeerbare incidenten, waardoor dit het meest voorkomende aanvalspatroon is dat in het rapport wordt gedocumenteerd. In plaats van software kwetsbaarheden te exploiteren, vertrouwden deze campagnes op misleidende prompts. Gebruikers werden geïnstrueerd om commando's in het Windows Run-dialoogvenster te plakken als onderdeel van wat een routine verificatiestap leek te zijn. De uitvoering maakte gebruik van ingebouwde Windows tools, zonder traditionele malware downloads of exploit activiteit.

In veel cloud omgevingen was multi-factor authenticatie (MFA) ingeschakeld, maar accountcompromittering kwam nog steeds voor. Adversary-in-the-Middle phishing was verantwoordelijk voor ongeveer 16 procent van de cloud account uitschakelingen die in het rapport werden gedocumenteerd. In deze scenario's functioneerde MFA zoals bedoeld. In plaats van authenticatie te omzeilen, legden aanvallers geauthenticeerde sessietokens vast die waren uitgegeven na succesvolle MFA en hergebruikten ze deze om toegang te krijgen tot cloud services. Vanuit het perspectief van het cloud platform kwam deze activiteit overeen met een legitieme geauthenticeerde sessie.

In een recent onderzoek identificeerde het SOC van Blackpoint Cyber een nieuw implantaat genaamd Roadk1ll, ontworpen om over systemen te pivoteren met behulp van WebSocket-gebaseerde communicatie en toegang te behouden terwijl het opgaat in het netwerkverkeer.

Het rapport benadrukt dat veel succesvolle inbraken vertrouwden op activiteit die opging in normale operaties. In plaats van te vertrouwen op nieuwe exploits of geavanceerde malware, misbruikten aanvallers alledaagse workflows, zoals remote logins, vertrouwde tools en standaard gebruikersacties. Op basis van de geanalyseerde aanvalsketens identificeert het rapport verschillende defensieve prioriteiten, waaronder het behandelen van remote access als high-risk, high-impact activiteit, het versterken van de beveiliging van remote access tools, het verbeteren van de visibility van interne netwerken en het implementeren van robuuste detectie- en response mogelijkheden.

Bron: Blackpoint Cyber

Amazon Web Services (AWS) heeft de algemene beschikbaarheid aangekondigd van twee nieuwe frontier agenten: AWS Security Agent en AWS DevOps Agent. Deze autonome AI-systemen zijn ontworpen om complexe beveiligings- en operationele taken zelfstandig uit te voeren, zonder constante menselijke sturing. De frontier agenten functioneren als een verlengstuk van het IT-team, waarbij ze zelfstandig problemen oplossen, beslissingen nemen in meerdere stappen en blijven werken tot het gestelde doel is bereikt. Een eerste preview van deze agenten werd vorig jaar al getoond op re:Invent.

De AWS Security Agent maakt het mogelijk om penetratietesten on-demand en doorlopend uit te voeren. In tegenstelling tot handmatige pentests, die vaak beperkt blijven tot kritieke applicaties vanwege tijds- en kostenoverwegingen, kan deze agent alle applicaties 24/7 monitoren tegen lagere kosten. De tool verwerkt broncode, architectuurdiagrammen en documentatie om kwetsbaarheden te identificeren, zelfs binnen complexe aanvalsketens die traditionele scanners mogelijk missen.

De AWS DevOps Agent fungeert als een digitale teamgenoot voor operationele teams, zowel in AWS- als multicloud- en on-premises omgevingen. Deze agent corrigeert incidenten autonoom door telemetrie, code en deploymentgegevens te analyseren via integraties met bestaande tools zoals Datadog, GitHub en Grafana. Klanten rapporteren tot 75 procent lagere MTTR (Mean Time To Resolve) en ruim 80 procent snellere analyses. Western Governor’s University wist bijvoorbeeld de resolutietijd bij een serviceverstoringsscenario terug te brengen van twee uur tot 28 minuten, doordat de agent zelfstandig de oorzaak in een Lambda-configuratie achterhaalde.

Volgens AWS vormen deze agenten het begin van bredere ontwikkelingen waarbij AI-systemen een integraal onderdeel worden van IT-teams en repetitief werk overnemen. De frontier agenten werken zelfstandig, schalen mee met de omvang van het portfolio en ronden complexe workflows af zonder menselijke supervisie, waardoor beveiligingsteams kunnen evolueren van periodiek testen naar continue monitoring, en operationele teams proactiever kunnen werken.

Bron: AWS

Google heeft de algemene beschikbaarheid aangekondigd van zijn AI-aangedreven ransomware-detectiefunctie in Google Drive. Deze functie, die in oktober 2025 als open bèta werd geïntroduceerd voor Google Workspace-klanten, is nu verbeterd en beschikbaar voor alle klanten. Volgens Google kan het vernieuwde AI model veertien keer meer ransomware-infecties detecteren dan de bètaversie.

De AI-aangedreven ransomware-detectie in Google Drive stopt automatisch de bestandssynchronisatie wanneer een ransomware aanval wordt gedetecteerd. Gebruikers ontvangen een waarschuwing op hun computer, terwijl beheerders een melding krijgen in het beveiligingscentrum van de Admin-console. Daarnaast worden er waarschuwingsmails verstuurd naar zowel gebruikers als beheerders. De detectie werkt alleen als de nieuwste versie van Drive voor desktop (v.114 of later) is geïnstalleerd. Bij oudere versies blijft de synchronisatie gepauzeerd, maar zijn detectiemeldingen niet beschikbaar. Beheerders kunnen de ransomware-detectie centraal beheren via de Admin-console.

Google biedt bestandsherstel aan voor alle Google Workspace-klanten, Workspace Individual-abonnees en gebruikers met persoonlijke Google accounts. De ransomware-detectie is beschikbaar voor zakelijke gebruikers met een Business Standard- of Plus-abonnement, Enterprise-gebruikers met een Starter-, Standard- of Plus-editie, onderwijsinstellingen met een Onderwijsstandaard- of Plus-abonnement, en Frontline-gebruikers met een Standard- of Plus-editie.

Bron: workspaceupdates.googleblog.com

Een nieuwe malwarecampagne gebruikt actief WhatsApp om schadelijke bestanden rechtstreeks naar Windows-gebruikers te sturen. Kwaadwillenden versturen kwaadaardige Visual Basic Script (VBS)-bestanden via WhatsApp-berichten. Wanneer een ontvanger een van deze bestanden uitvoert, vindt er een silent infectieproces plaats op de achtergrond, zonder zichtbare waarschuwing.

De aanvallers maken gebruik van "living-off-the-land"-technieken, waarbij ze gebruikmaken van tools die Windows al heeft. Legitieme hulpprogramma's zoals curl.exe en bitsadmin.exe worden hernoemd om op standaard systeembestanden te lijken en worden in verborgen mappen in C:\ProgramData geplaatst. Secundaire payloads worden vervolgens opgehaald van vertrouwde cloudservices zoals AWS S3, Tencent Cloud en Backblaze B2, waardoor de kwaadaardige downloads lijken op routine systeemverkeer.

Het Microsoft Defender Security Research Team identificeerde deze campagne voor het eerst eind februari 2026. De aanval combineert social engineering met stealth-gebaseerde infectietechnieken, waarbij in meerdere fasen kwaadaardige MSI-pakketten worden geïnstalleerd, persistentie wordt gehandhaafd na systeemherstarts en remote access kanalen worden geopend. Dit geeft aanvallers volledige controle over het systeem.

De campagne levert uiteindelijk een set niet-ondertekende MSI-installatiepakketten, waaronder Setup.msi, WinRAR.msi, LinkPoint.msi en AnyDesk.msi. Het ontbreken van een geldig code-ondertekeningscertificaat op alle vier de bestanden is een waarschuwing, aangezien legitieme enterprise software meestal een trusted publisher signature heeft. Zodra deze installers worden uitgevoerd, creëren ze permanente remote access, waardoor aanvallers gegevens kunnen stelen, extra malware kunnen implementeren of het gecompromitteerde systeem kunnen gebruiken als onderdeel van een bredere aanval.

De aanval begint wanneer een gebruiker het kwaadaardige VBS-bestand uitvoert dat via WhatsApp is ontvangen. Het script maakt onmiddellijk verborgen mappen in C:\ProgramData en plaatst hernoemde versies van legitieme Windows tools: curl.exe wordt netapi.dll en bitsadmin.exe wordt vermomd als sc.exe. Ondanks de naamswijzigingen dragen beide bestanden nog steeds hun originele PE-metadata, met name het veld OriginalFileName. Deze mismatch tussen de zichtbare naam en de embedded metadata is een detecteerbaar signaal dat security tools kunnen gebruiken.

Die hernoemde tools downloaden vervolgens secundaire VBS-payloads van cloud-gehoste attacker infrastructuur, waaronder bestanden met de naam auxs.vbs en WinUpdate_KB5034231.vbs. Het hosten van deze bestanden op bekende platforms zoals AWS S3 en Backblaze B2 is een bewuste zet, aangezien corporate firewalls zelden verkeer naar deze services blokkeren. De bestandsnamen zijn ook gemaakt om op legitieme Windows update pakketten te lijken.

Zodra de secundaire scripts op het systeem terechtkomen, begint de malware te knoeien met User Account Control (UAC)-instellingen. Het probeert continu cmd.exe uit te voeren met verhoogde privileges en wijzigt registry entries onder HKLM\Software\Microsoft\Win totdat administratieve rechten zijn verkregen. Met die rechten worden security prompts onderdrukt, zodat de uiteindelijke MSI-installers worden uitgevoerd zonder waarschuwingen.

Microsoft adviseert organisaties om script hosts zoals wscript en cscript te blokkeren vanaf niet-vertrouwde paden en te controleren op hernoemde Windows utilities die worden uitgevoerd met ongebruikelijke command-line flags. Security teams moeten verkeer naar cloudplatforms zoals AWS S3, Tencent Cloud en Backblaze B2 inspecteren en filteren. Registry wijzigingen onder HKLM\Software\Microsoft\Win moeten in real time worden gevolgd en elke herhaalde UAC tampering moet worden gemarkeerd als een indicator of compromise.

Het inschakelen van EDR in block mode stopt kwaadaardige artifacts, zelfs als de primaire antivirusoplossing ze mist, terwijl het inschakelen van tamper protection voorkomt dat aanvallers security services uitschakelen. Het configureren van attack surface reduction rules om te voorkomen dat VBScript gedownloade executables start, voegt een extra laag toe. Het trainen van eindgebruikers om onverwachte WhatsApp-bijlagen in twijfel te trekken, blijft een manier om deze aanval te stoppen voordat deze begint.

Bron: Microsoft

Een nieuwe malware-as-a-service (MaaS) genaamd CrystalRAT, wordt via Telegram aangeboden. De malware biedt mogelijkheden voor toegang op afstand, gegevensdiefstal, keylogging en het kapen van klembordgegevens. De malware, die in januari 2026 opkwam, werkt met een gelaagd abonnementsmodel. Naast het Telegram-kanaal werd de MaaS ook gepromoot op YouTube via een marketingkanaal waarop de mogelijkheden werden gedemonstreerd.

Volgens onderzoekers van Kaspersky vertoont de malware sterke overeenkomsten met WebRAT (Salat Stealer), waaronder hetzelfde paneelontwerp, Go-gebaseerde code en een vergelijkbaar bot-gebaseerd verkoopsysteem. CrystalX bevat ook een uitgebreide lijst met prankware-functies die zijn ontworpen om de gebruiker te irriteren of hun werk te verstoren. Ondanks de "leuke" kant biedt CrystalX een groot aantal mogelijkheden voor gegevensdiefstal.

Kaspersky meldt dat de malware een gebruiksvriendelijk bedieningspaneel en een geautomatiseerde builder-tool biedt die aanpassingsopties ondersteunt, waaronder geoblocking, aanpassing van uitvoerbare bestanden en anti-analyse functies (anti-debugging, VM-detectie, proxy-detectie, enz.). De gegenereerde payloads zijn zlib-gecomprimeerd en versleuteld met de ChaCha20 symmetrische stroomcipher voor bescherming.

De malware maakt verbinding met de command-and-control (C2) server via WebSocket en verzendt informatie over de host voor profilering en infectie-tracking. Het infostealer-component van CrystalX, dat volgens Kaspersky tijdelijk is uitgeschakeld omdat het wordt voorbereid voor een upgrade, richt zich op Chromium-gebaseerde browsers via de ChromeElevator-tool, Yandex en Opera. Daarnaast verzamelt de tool gegevens van desktop-apps zoals Steam, Discord en Telegram.

De module voor toegang op afstand kan worden gebruikt om commando's uit te voeren via CMD, bestanden te uploaden/downloaden, door het bestandssysteem te bladeren en de machine in realtime te bedienen via ingebouwde VNC. De malware vertoont ook spyware-achtig gedrag, omdat het video en audio van de microfoon kan vastleggen. Ten slotte beschikt CrystalX over een keylogger die toetsaanslagen in realtime naar de C2 streamt, en een clipper-tool die reguliere expressies gebruikt om wallet-adressen op het klembord te detecteren en te vervangen door adressen die de aanvaller opgeeft.

Wat CrystalX onderscheidt, is de uitgebreide set prankware-functies. Volgens Kaspersky kan de malware het volgende doen op geïnfecteerde apparaten: het bureaubladachtergrond wijzigen, de schermoriëntatie in verschillende hoeken aanpassen, het systeem geforceerd afsluiten, muisknoppen opnieuw toewijzen, invoerapparaten uitschakelen (toetsenbord/muis/monitor), valse meldingen weergeven, de cursorpositie op het scherm wijzigen, verschillende componenten verbergen (bureaubladpictogrammen, taakbalk, Taakbeheer en de Command Prompt).

Hoewel de bovenstaande functies het verdienmodel van de aanval voor cybercriminelen niet verbeteren, maken ze het product wel onderscheidend en zouden ze script kiddies en beginnende dreigingsactoren kunnen verleiden tot een abonnement. Een andere reden voor de grapfuncties zou de mogelijkheid kunnen zijn om slachtoffers te manipuleren of zelfs af te leiden, terwijl de modules voor gegevensdiefstal op de achtergrond draaien.

Om het risico op malware-infecties te verminderen, wordt gebruikers aangeraden voorzichtig te zijn bij interactie met online content en het downloaden van software of media van niet-vertrouwde of onofficiële bronnen te vermijden.

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: hubs.li

Het DeFi handelsplatform Drift Protocol heeft minstens 280 miljoen dollar verloren nadat een dreigingsactor de administratieve bevoegdheden van de Security Council overnam in een geplande operatie. blockchain onderzoeksbureaus Elliptic en TRM Labs linken de aanval aan uit Noord-Korea afkomstige dreigingsactoren, op basis van meerdere on-chain indicatoren die consistent zijn met de werkwijze van Noord-Korea. Deze omvatten het gebruik van Tornado Cash, de timing van de CarbonVote-implementatie (09:30 Pyongyang tijd), cross-chain bridging patronen en snelle grootschalige witwaspraktijken, vergelijkbaar met de hack van Bybit.

De aanvaller maakte gebruik van durable nonce accounts en pre-signed transacties om de uitvoering te vertragen en op een gekozen moment toe te slaan. Drift benadrukt dat de hacker geen misbruik heeft gemaakt van fouten in de programma's of smart contracts, en dat er geen seed phrases zijn gecompromitteerd. Drift Protocol is een DeFi handelsplatform gebouwd op de Solana blockchain dat fungeert als een non-custodial exchange, waardoor gebruikers volledige controle hebben over hun fondsen terwijl ze interageren met on-chain markten. Eind 2024 claimde het platform 200.000 handelaren te hebben, met een totaal handelsvolume van meer dan 55 miljard dollar en een dagelijkse piek van 13 miljoen dollar.

Volgens het rapport van Drift werd de aanval tussen 23 en 30 maart voorbereid, waarbij de aanvaller durable nonce accounts opzette en 2/5 multisig-goedkeuringen van Security Council leden verkreeg om aan de vereiste drempel te voldoen. Dit stelde hen in staat om kwaadaardige transacties vooraf te ondertekenen die niet onmiddellijk werden uitgevoerd. Op 1 april voerde de aanvaller een legitieme transactie uit en voerde onmiddellijk de vooraf ondertekende kwaadaardige transacties uit, waardoor de admin controle binnen enkele minuten naar zichzelf werd overgedragen. Nadat ze admin controle hadden verkregen, introduceerden ze een kwaadaardige asset, verwijderden ze opnamelimieten en lieten uiteindelijk de fondsen leeglopen.

Drift Protocol schat de verliezen op ongeveer 280 miljoen dollar, terwijl blockchain tracking account PeckShieldAlert ze heeft berekend op 285 miljoen dollar. Toen ongebruikelijke activiteit op het protocol werd gedetecteerd, gaf Drift een openbare waarschuwing aan gebruikers, waarin stond dat ze een onderzoek waren gestart en er bij hen op aandrongen geen geld te storten tot nader order. Als gevolg van de aanval zijn borrow/lend deposits, vault deposits en trading funds getroffen, en alle protocolfuncties zijn nu in feite bevroren. Drift zegt dat DSOL niet is getroffen en dat de activa van het verzekeringsfonds veilig zijn. Het platform werkt nu samen met beveiligingsbedrijven, cryptocurrency exchanges en wetshandhavingsinstanties om de gestolen fondsen te traceren en te bevriezen. Drift heeft beloofd om in de komende dagen een gedetailleerd post-mortem rapport te publiceren.

Bron: Elliptic | Bron 2: trmlabs.com | Bron 3: drift.trade

Cisco Talos waarschuwt voor een toename van business email compromise (BEC) fraude, waarbij criminelen zich voordoen als vertrouwde personen om geld over te maken naar hun rekening. Historisch gezien richtte BEC zich op grote organisaties vanwege de hoge potentiële uitbetalingen die de tijdsinvestering rechtvaardigden. Echter, door de inzet van AI is de drempel verlaagd en zijn nu ook kleine organisaties, zoals lokale verenigingen en kleine bedrijven, doelwit.

AI stelt aanvallers in staat om snel en goedkoop informatie over kleine organisaties te verzamelen. Met door AI gegenereerde content kunnen ze e-mails personaliseren, de juiste terminologie gebruiken en de toon van de organisatie nabootsen. Hierdoor is de aanval minder arbeidsintensief en gerichter. Het scannen van kleinere bedragen van veel slachtoffers kan net zo winstgevend zijn als het scannen van grote bedragen van minder slachtoffers. Omdat kleinere organisaties vaak minder bekend zijn met deze dreiging, zijn ze kwetsbaarder.

Cisco Talos adviseert om alert te zijn op onverwachte betalingsverzoeken, vooral als er sprake is van urgentie of redenen waarom een telefoontje "niet mogelijk" is. Verifieer verzoeken via andere kanalen voordat er een overboeking plaatsvindt. Bel een bekend nummer van de contactpersoon, niet het nummer dat in de verdachte e-mail staat. Hanteer strikte regels voor inkoop die last-minute spoedbetalingen voorkomen.

Daarnaast heeft Cisco Talos een grootschalige geautomatiseerde campagne voor het verzamelen van inloggegevens ontdekt die misbruik maakt van React2Shell, een remote code execution kwetsbaarheid in Next.js applicaties (CVE-2025-55182). Met behulp van een custom framework genaamd "NEXUS Listener" extraheren en aggregeren de aanvallers automatisch gevoelige data, waaronder cloud tokens, database credentials en SSH keys, van honderden gecompromitteerde hosts om verdere kwaadaardige activiteiten te faciliteren.

Organisaties wordt aangeraden om Next.js applicaties te controleren op de React2Shell kwetsbaarheid en alle potentieel gecompromitteerde inloggegevens te roteren, inclusief API keys en SSH keys. Forceer IMDSv2 op AWS instances en implementeer RASP of getunede WAF regels om kwaadaardige payloads te detecteren. Pas ten slotte strikte toegangscontroles met minimale privileges toe binnen container omgevingen om de potentiële impact van een compromis te beperken.

Bron: Cisco Talos | Bron 2: cybernews.com | Bron 3: youtu.be

De dreigingsgroep ShinyHunters heeft Cisco een "laatste waarschuwing" gegeven en een deadline van 3 april 2026 gesteld. Na deze datum zal de groep data lekken die ze naar eigen zeggen hebben gestolen. Het bericht verscheen op de dark web leak site van de groep, waar al data is gepubliceerd die verband houdt met eerdere aan Salesforce gerelateerde incidenten die bedrijven wereldwijd troffen.

Volgens het bericht claimt de groep toegang te hebben tot data via drie verschillende routes: UNC6040, Salesforce Aura en gecompromitteerde AWS accounts. In totaal zouden meer dan drie miljoen Salesforce records zijn buitgemaakt, samen met persoonlijk identificeerbare informatie, GitHub repositories, AWS opslagbuckets en interne bedrijfsdata. De groep waarschuwt Cisco om contact op te nemen vóór de gestelde deadline. Het niet naleven hiervan zal niet alleen leiden tot datalekken, maar ook tot niet nader gespecificeerde "digitale problemen".

Deze dreiging komt enkele dagen nadat dezelfde groep 350 GB aan data van de Europese Commissie lekte, bestaande uit mailserver dumps, database exports, interne documenten en contracten. Google Threat Intelligence Group (GTIG) heeft ShinyHunters in augustus 2025 aangeduid als UNC6040. Cisco publiceerde details over een campagne waarbij voice phishing (vishing) werd gebruikt om werknemers te targeten en toegang te krijgen tot interne systemen en klantdata. Door de claims te koppelen aan die campagne, erkent ShinyHunters niet alleen de betrokkenheid, maar suggereert het ook dat een deel van de vermeende data van Cisco afkomstig kan zijn van social engineering aanvallen in plaats van alleen aan Salesforce gerelateerde aanvallen.

De groep heeft drie afbeeldingen gedeeld om de legitimiteit van hun claims aan te tonen. Deze afbeeldingen tonen toegang tot delen van een AWS omgeving die naar verluidt aan Cisco is gekoppeld, waaronder een organisatorisch dashboard, opslagvolumes en bucket listings. Hoewel deze screenshots geen gevoelige data bevatten, wijzen ze op zichtbaarheid in de cloudinfrastructuur in plaats van een enkel geïsoleerd systeem. De aanwezigheid van een organisatiebreed overzicht is opmerkelijk, omdat dit meestal duidt op toegang tot meerdere gekoppelde accounts en services onder gecentraliseerde controle.

In het afgelopen jaar heeft ShinyHunters herhaaldelijk geclaimd toegang te hebben tot aan Salesforce gerelateerde data bij meerdere organisaties, waarbij vaak samples werden gepubliceerd om de claims te ondersteunen. In verschillende gevallen wees de groep op misconfiguraties, gecompromitteerde credentials of third-party integraties als toegangspunten, in plaats van fouten binnen Salesforce zelf. Eerdere incidenten die aan de groep werden gekoppeld, volgden een vergelijkbaar patroon waarbij data eerst op leak sites werd vermeld met beperkte details, en vervolgens volledige dumps werden gepubliceerd wanneer bedrijven niet reageerden. Die lekken omvatten klantrecords, interne communicatie en operationele data afkomstig van aangesloten systemen.

Bron: Cisco

Cybercrimeinfo heeft een dreigingsalert onderschept waarin staat dat een dreigingsactor, bekend als Mr. Raccoon, webcamtoegang heeft verkregen op de computer van een medewerker. Dit gebeurde via een Remote Access Trojan (RAT) die via e-mail was verspreid. Daarnaast heeft Mr. Raccoon ook privéconversaties via WhatsApp onderschept. De omvang van de inbreuk wordt bevestigd door meerdere bestanden.

Bron: Int. Cyber Digest

Residentiële proxies die worden gebruikt om kwaadaardig verkeer te routeren, vormen een groot probleem voor IP reputatiesystemen. Er is namelijk geen duidelijk onderscheid tussen aanvallers en legitieme gebruikers. Dit komt doordat residentiële proxies te kort bestaan, niet betrokken zijn of systematisch worden geroteerd, waardoor verdedigingssystemen ze niet op tijd kunnen catalogiseren.

Dat concludeert het cybersecurity intelligence platform GreyNoise na onderzoek van een dataset van 4 miljard kwaadaardige sessies gericht op de edge over een periode van drie maanden, en data van IPInfo.io. Ongeveer 39% van deze sessies lijkt afkomstig te zijn van thuisnetwerken en maakt waarschijnlijk deel uit van residentiële proxies. Maar liefst 78% van deze sessies is onzichtbaar voor reputatie feeds. Volgens GreyNoise daagt dit een kernassumptie van netwerkverdediging uit: dat je aanvallers kunt onderscheiden van legitieme gebruikers op basis van de herkomst van het verkeer.

De meeste residentiële IP adressen worden een of twee keer gebruikt en verdwijnen dan, terwijl aanvallers ze roteren met andere adressen. Dit tempo is te hoog voor reputatiesystemen om ze te detecteren. Ongeveer 89,7% van de residentiële IP adressen is minder dan een maand actief in kwaadaardige operaties, slechts 8,7% is 2 maanden actief en 1,6% 3 maanden. De adressen die langer actief blijven, lijken volgens de onderzoekers gespecialiseerd te zijn in SSH en gebruiken Linux TCP stacks.

De diversiteit van de IP adressen bemoeilijkt het detecteren en blokkeren. De data van GreyNoise laat zien dat de residentiële IP adressen die deelnemen aan aanvallen, toebehoren aan 683 internet service providers. Een andere reden voor hun heimelijkheid is dat ze voornamelijk worden gebruikt voor netwerkscanning en reconnaissance, waarbij slechts 0,1% betrokken is bij daadwerkelijke exploits. Een klein percentage (1,3%) richt zich op enterprise VPN login pagina's, terwijl in sommige gevallen residentiële IP adressen worden gebruikt voor path traversal en credential stuffing pogingen.

Volgens GreyNoise zijn China, India en Brazilië belangrijke bronnen van residentiële proxies. Het verkeer van de IP adressen volgt menselijke slaappatronen en daalt met een derde 's nachts, wanneer de meeste mensen hun apparaten uitschakelen. Het residentiële proxy verkeer wordt gegenereerd door twee verschillende, niet overlappende ecosystemen: IoT botnets en geïnfecteerde computers. In het laatste geval zijn de proxies afkomstig van SDK's in gratis VPN's, adblockers en vergelijkbare apps, die gebruikersapparaten inschrijven in bandbreedte verkoopschema's.

GreyNoise benadrukt de veerkracht van deze netwerken aan de hand van IPIDEA, een van 's werelds grootste residentiële proxynetwerken, die onlangs werd verstoord door Google Threat Intelligence Group (GTIG) en partners. De verstoring verminderde de proxy pool met ongeveer 40%, maar in de periode daarna nam het datacenter verkeer toe, wat aangeeft dat de vraag kan worden opgevangen door anderen en dat verloren capaciteit snel wordt vervangen.

GreyNoise stelt dat residentiële proxying ontwijkingstactieken vereisen dat IP reputatie als primaire signaal wordt losgelaten en dat de focus in plaats daarvan op gedrag komt te liggen. De onderzoekers suggereren het detecteren van sequentiële probing van roterende residentiële IP adressen, het blokkeren van duidelijk illegitieme protocollen zoals SMB vanuit ISP ruimte en het volgen van apparaat fingerprints die IP rotatie overleven.

Bron: GreyNoise | Bron 2: hubs.li

De Google Threat Intelligence Group (GTIG) waarschuwt voor de toenemende dreiging van BRICKSTORM malware gericht op VMware vSphere omgevingen, met name de vCenter Server Appliance (VCSA) en ESXi hypervisors. Deze aanvallen maken gebruik van zwakke plekken in de beveiligingsarchitectuur, identiteitsontwerp, gebrekkige configuratiehandhaving en beperkte zichtbaarheid in de virtualisatielaag. Door persistentie te vestigen in de virtualisatielaag, opereren aanvallers onder het niveau van het guest operating system, waar traditionele beveiligingsmaatregelen vaak niet effectief zijn.

De VCSA is het centrale punt van controle voor de vSphere infrastructuur en draait op een gespecialiseerd Photon Linux besturingssysteem. Het hosten van kritieke Tier-0 workloads, zoals domein controllers en privileged access management (PAM) oplossingen, betekent dat het onderliggende virtualisatieplatform hetzelfde risicoprofiel erft als de gevoelige assets die het ondersteunt. Een compromis van het vCenter controle vlak geeft een aanvaller administratieve controle over elke beheerde ESXi host en virtuele machine.

Volgens Google biedt de VCSA aanvallers gecentraliseerd commando, totale data toegang en command-line logging gaps. Veel organisaties hosten hun Active Directory domein controllers als virtuele machines binnen hetzelfde vSphere cluster beheerd door een vCenter dat zelf AD-geïntegreerd is. Als een aanvaller het virtuele netwerk uitschakelt of de datastores versleutelt, verliest vCenter zijn vermogen om beheerders te authenticeren.

vSphere 7 bereikte End of Life (EoL) in oktober 2025, waardoor organisaties met deze legacy software geen kritieke beveiligingspatches meer ontvangen. Dit biedt aanvallers de mogelijkheid om bekende kwetsbaarheden te misbruiken die niet meer worden opgelost.

Om de controle vlak te beveiligen, adviseert Google een strategie waarbij de infrastructuur zelf als de primaire verdedigingslinie fungeert, door technische hardening en detectie en respons. Mandiant heeft een vCenter Hardening Script uitgebracht dat deze beveiligingsconfiguraties direct op de Photon Linux laag afdwingt.

Bron: github.com

In een nieuwe aflevering van "Talos Threat Perspective" wordt onderzocht hoe identiteiten worden gebruikt om toegang te krijgen tot systemen en die te behouden. Op basis van het "2025 Talos Year in Review" rapport, analyseert Cisco Talos hoe aanvallers te werk gaan.

De belangrijkste punten zijn, het richten op identiteitssystemen en MFA workflows, het verkrijgen van permanente toegang met hoge privileges, het gebruik van interne phishing om zich lateraal te verplaatsen binnen een netwerk, en het potentieel misbruiken van AI agents met te veel rechten en identiteitsgebonden toegang. Aanvallers proberen zich te mengen met normaal gebruikersgedrag om detectie te vermijden.

De focus ligt op hoe identiteitsmisbruik aanvallers in staat stelt hun operaties op te schalen. Het rapport bespreekt ook de implicaties hiervan voor verdedigers die dergelijke activiteiten proberen te detecteren en te stoppen.

Bron: Cisco Talos

Onderzoekers van Team Cymru hebben een nieuwe afpersingscampagne ontdekt waarbij gebruik wordt gemaakt van de Yurei ransomware toolkit. De groep achter deze campagne, die voor het eerst opdook in september 2025, valt op door agressieve tactieken en de gewoonte om tools te vernoemen naar karakters en thema's uit de televisieserie Stranger Things.

Volgens Team Cymru maakt de campagne gebruik van een groeiende trend waarbij hackers modulaire toolkits samenstellen met behulp van direct beschikbare middelen, waardoor het eenvoudiger en sneller is om aanvallen uit te voeren. De toegang tot een bedrijfsnetwerk verloopt via gestolen wachtwoorden die op online criminele marktplaatsen worden gekocht. Eenmaal binnen gebruiken ze tools zoals SoftPerfect NetScan en NetExec om het netwerk in kaart te brengen en waardevolle data te lokaliseren.

De groep gebruikt Rubeus om Administrator-rechten te verkrijgen en installeert AnyDesk om verbinding te behouden, zelfs als ze ontdekt worden. Een opvallend onderdeel van de Yurei toolkit is een PowerShell script genaamd Vecna.ps1, dat net als de schurk uit de serie verborgen blijft en toeslaat wanneer de tijd rijp is. Het script wacht op een user login en lanceert dan automatisch het belangrijkste ransomware bestand, StrangerThings.exe. De Yurei ransomware is gebaseerd op Prince Ransomware, een open-source project geschreven in de Go programmeertaal.

Voordat de groep bestanden vergrendelt, schakelen ze Windows Defender uit met een script genaamd FixingIssues2.ps1 en gebruiken ze SDelete om bewijs te wissen en shadow copies te verwijderen. Tussen december 2025 en januari 2026 monitorde Team Cymru het serververkeer van de groep (NetFlow) om te zien hoe ze zich door systemen verplaatsten met tools zoals PsExec. Hoewel de publieke leak site van de groep slechts drie slachtoffers vermeldt, maakt het gemak waarmee ze deze aanvallen kunnen uitvoeren experts bezorgd.

Bron: Team Cymru

Varonis Threat Labs heeft de Storm infostealer ontdekt, een malicious subscription service die Google encryptie van Chrome omzeilt. Deze tool maakt gebruik van server-side decryptie en cookie theft om crypto wallets en private accounts te targeten zonder beveiligingsalarmen te activeren.

Storm is een programma dat, na infectie, browser credentials, sessiecookies, crypto wallets en gerelateerde data verzamelt. De gestolen informatie wordt naar een private server van de aanvallers verzonden. Volgens onderzoekers gebruikt Storm infostealer server-side decryptie, waardoor detectie door antivirussoftware bemoeilijkt wordt. Dit is een reactie op App-Bound Encryption, een beveiligingsmechanisme dat Google in juli 2024 introduceerde in Chrome 127. Storm infostealer kan deze beveiliging omzeilen.

Naast Google Chrome kan de malware ook data extraheren uit andere Chromium-gebaseerde browsers en Gecko-gebaseerde browsers, waaronder Microsoft Edge, Firefox en Waterfox. De tool wordt verkocht als een subscription feature, met prijzen vanaf $300 voor een demo van zeven dagen tot $1.800 voor professionele criminele teams.

Omdat Storm infostealer sessies kan kapen, wordt Multi-Factor Authentication (MFA) irrelevant. Varonis heeft vastgesteld dat de tool al in het wild wordt gebruikt, met 1.715 entries van slachtoffers. Storm Infostealer target ook Telegram-, Signal- en Discord accounts en crypto wallets op platforms zoals Binance en Coinbase. Het kan zelfs screenshots maken over meerdere monitoren.

Om apparaten en data te beschermen tegen Storm infostealers, is het belangrijk om handmatig uit te loggen van gevoelige bank- of crypto-accounts wanneer men klaar is, in plaats van alleen het tabblad te sluiten. De gestolen sessies zijn vaak slechts het begin van account overnames, zelfs met sterke wachtwoorden.

Bron: Varonis | Bron 2: security.googleblog.com

Cisco Talos heeft een grootschalige, geautomatiseerde credential harvesting campagne ontdekt, uitgevoerd door een dreigingsactor die ze volgen onder de naam UAT-10608. Na de initiële compromittering gebruikt UAT-10608 geautomatiseerde scripts om credentials te extraheren en te exfiltreren uit diverse applicaties, waarna deze naar de command and control (C2) server worden verzonden. De C2-server host een web-based graphical user interface (GUI) genaamd "NEXUS Listener", die gebruikt kan worden om gestolen informatie te bekijken en analytische inzichten te verkrijgen op basis van precompiled statistieken over credentials en gecompromitteerde hosts.

De campagne maakt voornamelijk gebruik van een collectie framework genaamd "NEXUS Listener". Deze systematische exploitatie- en exfiltratiecampagne heeft geleid tot de compromittering van minstens 766 hosts in verschillende geografische regio's en cloudproviders. De aanval richt zich op Next.js applicaties die kwetsbaar zijn voor React2Shell (CVE-2025-55182) om initiële toegang te krijgen. Vervolgens wordt een multi-phase credential harvesting tool ingezet die op grote schaal credentials, SSH-sleutels, cloud tokens en environment secrets verzamelt. Het brede scala aan slachtoffers en het willekeurige targetingpatroon duiden op geautomatiseerde scanning, waarschijnlijk gebaseerd op hostprofielgegevens van diensten zoals Shodan, Censys of aangepaste scanners om publiek bereikbare Next.js deployments te inventariseren en te onderzoeken op de beschreven React configuratie kwetsbaarheden.

De kern van het framework is een webapplicatie die alle geëxfiltreerde data beschikbaar maakt voor de operator in een grafische interface met in-depth statistieken en zoekmogelijkheden om door de gecompromitteerde data te filteren.

UAT-10608 richt zich op publiek toegankelijke webapplicaties met componenten, voornamelijk Next.js, die kwetsbaar zijn voor CVE-2025-55182, ook wel "React2Shell" genoemd. React2Shell is een pre-authentication remote code execution (RCE) kwetsbaarheid in React Server Components (RSC). RSC's stellen Server Function endpoints beschikbaar die geserialiseerde data van clients accepteren. De getroffen code deserialiseert payloads van inkomende HTTP requests naar deze endpoints zonder adequate validatie of sanitatie.

Een aanvaller identificeert een publiek toegankelijke applicatie met een kwetsbare versie van RSC's of een framework dat erop is gebouwd (bijv. Next.js). De aanvaller maakt een kwaadaardige geserialiseerde payload die is ontworpen om de deserialisatie routine te misbruiken  -  een techniek die vaak wordt gebruikt om arbitrary object instantiation of method invocation op de server te triggeren. De payload wordt via een HTTP request rechtstreeks naar een Server Function endpoint verzonden, zonder dat authenticatie vereist is. De server deserialiseert de kwaadaardige payload, wat resulteert in arbitrary code execution in het server-side Node.js proces.

Zodra de dreigingsactor een kwetsbaar endpoint identificeert, neemt de geautomatiseerde toolkit het over. Er is geen verdere handmatige interactie vereist om credentials te extraheren en te exfiltreren. Data wordt verzameld via nohup-uitgevoerde shell scripts die in /tmp worden geplaatst met willekeurige namen. Het harvesting script doorloopt verschillende fases om data te verzamelen: environ (omgevingsvariabelen), jsenv (JSON-parsed environment), ssh (SSH private keys), tokens (credential strings), history (shell command history), cloud_meta (cloud metadata APIs), k8s (Kubernetes service account tokens), docker (container configuraties), cmdline (process command lines) en proc_all (process environment variables).

Na elke fase wordt een HTTP request naar de C2-server (NEXUS Listener) gestuurd, meestal op poort 8080, met hostname, phase en ID.

Talos heeft serviceproviders geïnformeerd over blootgestelde credentials en werkt samen met GitHub en AWS om credentials in quarantaine te plaatsen en slachtoffers te informeren.

Bron: Cisco Talos | Bron 2: github.com

Cisco Talos heeft een analyse gepubliceerd van een kwaadaardige "msimg32.dll" die wordt gebruikt in Qilin ransomware aanvallen. Deze DLL is de eerste fase van een infectieketen die endpoint detection and response (EDR)-oplossingen uitschakelt. De malware kan meer dan 300 verschillende EDR-drivers van diverse leveranciers uitschakelen.

De eerste fase bestaat uit een PE-loader die de uitvoeringsomgeving voorbereidt voor de EDR killer component. Deze payload is versleuteld ingebed in de loader. De loader maakt gebruik van geavanceerde technieken om EDR te ontwijken, waaronder het neutraliseren van user-mode hooks en het onderdrukken van Event Tracing for Windows (ETW) event generatie. Structured exception handling (SEH) en vectored exception handling (VEH) worden gebruikt om de controle flow te verbergen en API invocation patronen te verdoezelen. Hierdoor kan de EDR killer payload worden gedecodeerd, geladen en uitgevoerd in het geheugen zonder detectie door de lokaal geïnstalleerde EDR oplossing.

Na activering laadt de EDR killer component twee helper drivers. De eerste driver ("rwdrv.sys") biedt toegang tot het fysieke geheugen van het systeem, terwijl de tweede driver ("hlpdrv.sys") wordt gebruikt om EDR processen te beëindigen. Voorafgaand aan het laden van de tweede driver, deregistreert de EDR killer component monitoring callbacks die door de EDR zijn ingesteld, zodat het beëindigen van processen zonder interferentie kan plaatsvinden.

De kwaadaardige DLL wordt waarschijnlijk side-geladen door een legitieme applicatie die functies importeert van "msimg32.dll". Om de verwachte functionaliteit te behouden, worden de originele API aanroepen doorgestuurd naar de legitieme library in "C:\Windows\System32". De versie van "msimg32.dll" die door de dreigingsactor wordt ingezet, activeert de kwaadaardige logica vanuit de DllMain-functie. Als gevolg hiervan wordt de payload uitgevoerd zodra de legitieme applicatie de DLL laadt. Tijdens de initialisatie alloceert de loader een heap buffer in het procesgeheugen die fungeert als een slot-policy table. De grootte van deze buffer wordt berekend als "ntdll.dll" OptionalHeader.SizeOfCode gedeeld door 16 (SizeOfCode >> 4), wat resulteert in één byte per 16-byte code slot die de code region dekt zoals gedefinieerd door OptionalHeader.SizeOfCode.

Bron: Cisco Talos | Bron 2: github.com

Het Cisco Talos Year in Review 2025 laat zien dat aanvallers sneller te werk gaan en identiteitsgerelateerde aanvallen centraal staan. Christopher Marshall, VP van Cisco Talos, en Peter Bailey, SVP en GM van Cisco Security, bespreken de belangrijkste bevindingen. Oude kwetsbaarheden worden sneller uitgebuit, mede door de inzet van AI, terwijl oudere kwetsbaarheden nog steeds succesvol zijn. Organisaties hebben te maken met complexe omgevingen en lange apparaatlevenscycli, waardoor patch management achterblijft. Het updaten van systemen wordt bemoeilijkt doordat kritieke netwerkinfrastructuur stabiel moet blijven. Cisco biedt ingebouwde bescherming in netwerkapparatuur die zonder downtime kan worden toegepast, en mogelijkheden om systemen af te schermen wanneer patchen niet direct mogelijk is.

Identiteit is een belangrijk doelwit. In 2025 stonden identiteitsaanvallen centraal in laterale bewegingen, privilege escalation en persistentie. Fraudeuleuze apparaatregistratie steeg met 178 procent. Aanvallers overtuigen beheerders om apparaten namens hen te registreren via vishing, waarbij ze zich richten op door beheerders beheerde registratiestromen. Gestolen inloggegevens zijn breed beschikbaar. Na authenticatie is continue monitoring en risicogebaseerde aanpassing van toegang nodig om afwijkend gedrag te detecteren. Interne phishing neemt toe, waarbij berichten worden verzonden vanaf gecompromitteerde accounts. Aanvallers maken mailboxregels aan om antwoorden te verbergen en de zichtbaarheid te onderdrukken. Ze zoeken naar gevoelige informatie op gedeelde schijven en samenwerkingsplatforms. Sterke zichtbaarheid in normaal gebruikersgedrag is essentieel.

Staatssponsoring blijft evolueren. onderzoeken van Talos naar campagnes met een link naar China zijn in 2025 met bijna 75 procent gestegen. Deze actoren maken gebruik van zero-day en n-day kwetsbaarheden en zijn financieel gemotiveerd. Russische activiteit correleert met geopolitieke ontwikkelingen, waarbij ongepatchte netwerkapparatuur wordt misbruikt voor langdurige toegang. uit Noord-Korea afkomstige actoren verfijnden hun "Contagious Interview"-campagnes en compromitteren ontwikkelaars via valse vacatures. Iraanse actoren verhoogden hacktivistische operaties met ongeveer 60 procent. Actoren zoals ShroudedSnooper zetten moeilijk te detecteren backdoors in om langdurige toegang tot kritieke telecommunicatie-infrastructuur te behouden. De grens tussen statelijke en criminele actoren vervaagt.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com | Bron 3: cisco.sharepoint.com

In 2025 zijn in Japan 134 ransomware incidenten gemeld, een stijging van 17,5% ten opzichte van 2024. Van deze incidenten werden er 22 toegeschreven aan Qilin, wat neerkomt op 16,4% van het totaal. Onderzoekers van Cisco Talos verwachten dat Qilin in 2026 zijn impact verder zal vergroten, tenzij er externe druk of verstoring optreedt. Hoewel er variaties zijn in de tactieken van de verschillende affiliates, wordt verwacht dat de activiteiten meer geautomatiseerd zullen worden. Er zijn aanwijzingen dat sommige Qilin-affiliates banden hebben met landen in de post-Sovjetregio, waaronder de Baltische staten.

Uit een analyse blijkt dat de maakindustrie het grootste aandeel getroffen organisaties vertegenwoordigt (28%). Gevolgd door de auto-industrie (8%), handelsbedrijven (7%), IT (6%) en onderwijs (5%). Het onderzoek toont aan dat het MKB het primaire doelwit was van ransomware aanvallen met 57% van de getroffen organisaties, vergeleken met 17% voor grote ondernemingen. Qilin is verantwoordelijk voor het grootste aandeel (16,4%) van alle incidenten, ongeveer vier keer zoveel als Lynx, de op een na meest actieve groep.

Cisco Talos onderzocht de redenen achter de toename van het aantal aanvallen door Qilin. Ten eerste vertrouwt Qilin voornamelijk op gestolen inloggegevens om toegang te krijgen. Deze inloggegevens worden verkregen via platforms zoals Telegram, Breach Forums en andere online platforms. Na een succesvolle inbraak legt de groep veel nadruk op activiteiten na de compromittering, waardoor ze hun controle methodisch kunnen uitbreiden en de impact maximaliseren. Ten tweede blijkt uit berichten dat de operators zich bewust zijn van penetratietesters, wat duidt op een relatief hoge mate van operationele volwassenheid. Ten slotte blijkt uit de statistieken van 2025 dat Qilin zich het vaakst richt op sectoren als de maakindustrie, professionele, wetenschappelijke en technische diensten, de groothandel, de gezondheidszorg en maatschappelijke dienstverlening, en de bouw. Vooral de gezondheidszorg en maatschappelijke dienstverlening springen eruit, wat erop wijst dat Qilin de neiging heeft om prioriteit te geven aan sectoren waar door ransomware veroorzaakte operationele verstoringen bijzonder ernstige gevolgen kunnen hebben.

Cisco Talos ontdekte recentelijk dat een Qilin-affiliate malware gebruikt die specifiek is ontworpen om EDR op endpoints van slachtoffers uit te schakelen. Deze tooling is bedoeld om endpoint security monitoring te omzeilen en aanvallers in staat te stellen met verminderde zichtbaarheid te opereren op gecompromitteerde systemen. De malware implementeert geo-fencing en sluit systemen uit die zijn geconfigureerd voor talen die vaak worden gebruikt in post-Sovjetlanden.

Bron: Cisco Talos | Bron 2: github.com | Bron 3: jsac.jpcert.or.jp

Cybercriminelen, variërend van statelijke actoren tot cybercrimegroepen, integreren kunstmatige intelligentie (AI) in de planning, verfijning en het onderhouden van cyberaanvallen. Hoewel de doelstellingen zoals credential diefstal, financieel gewin en spionage hetzelfde blijven, zijn de snelheid, iteratie en schaal van de aanvallen aanzienlijk toegenomen dankzij generatieve AI. Dit blijkt uit onderzoek van Microsoft dat is gepresenteerd tijdens de RSAC 2026 Conferentie.

AI wordt gebruikt om de wrijving over de gehele aanvalscyclus te verminderen, waardoor dreigingsactoren sneller onderzoek kunnen doen, betere lokmiddelen kunnen schrijven, malware kunnen ontwikkelen en gestolen data kunnen triëren. E-mail blijft de snelste en goedkoopste manier om initiële toegang te verkrijgen, waarbij AI helpt bij het verfijnen van berichten om gebruikers te verleiden tot klikken. phishing operaties die gebruik maken van AI laten een click-through rate zien van 54%, vergeleken met 12% bij traditionele campagnes, een toename van 450%.

Tycoon2FA is een voorbeeld van hoe de actor Storm-1747 zich richtte op verfijning en veerkracht. Dit was geen phishing kit, maar een platform dat maandelijks tientallen miljoenen phishing e-mails genereerde en sinds 2023 aan bijna 100.000 gecompromitteerde organisaties is gekoppeld. Op zijn hoogtepunt was Tycoon2FA verantwoordelijk voor ongeveer 62% van alle phishing pogingen die Microsoft maandelijks blokkeerde. Deze operatie was gespecialiseerd in adversary-in-the-middle aanvallen om multi-factor authenticatie (MFA) te omzeilen, waarbij credentials en sessie tokens in real-time werden onderschept. Aanvallers konden zo authenticeren als legitieme gebruikers zonder alerts te triggeren, zelfs na het resetten van wachtwoorden.

Microsoft's Digital Crimes Unit heeft Tycoon2FA eerder deze maand ontmanteld, waarbij 330 domeinen in beslag werden genomen in coördinatie met Europol en partners uit de industrie. Het doel was om druk uit te oefenen op de supply chain, aangezien cybercrime draait om schaalbare service modellen die de drempel verlagen. Identiteit is het primaire doelwit en MFA bypass wordt nu als een feature aangeboden.

Bron: Microsoft

Microsoft heeft een onderzoek gepubliceerd over een dreigingsactor die zich richt op Linux hosting omgevingen door middel van door cookies gecontroleerde PHP webshells. De aanvallers maken gebruik van een gelaagde aanpak om detectie te vermijden en een duurzame, stille aanwezigheid te creëren binnen gecompromitteerde systemen.

Na de eerste base64-decodering onthult het PHP script niet direct zijn functionaliteit. In plaats daarvan is er een tweede laag van obfuscatie. Kritieke operaties worden programmatisch herbouwd tijdens runtime, waarbij functie namen en uitvoeringslogica karakter voor karakter worden samengesteld. Dit zorgt ervoor dat de werkelijke functie verborgen blijft tot aan de uitvoering.

De dreigingsactor maakt gebruik van legitieme beheerinterfaces om een cron job te registreren. In omgevingen met beperkte shell toegang kunnen geauthenticeerde gebruikers op deze manier opdrachten uitvoeren binnen hun account, inclusief het registreren of starten van geplande taken. Omdat deze acties normale administratieve paden volgen, lijken ze op routine account-level operaties in plaats van opvallende systeemaanpassingen.

De cron job wordt met regelmatige tussenpozen uitgevoerd en roept een shell routine aan die een geobfusceerde PHP loader reconstrueert op een web-toegankelijke locatie. Dit gedrag is bewust geïmplementeerd om persistentie te behouden. Als de loader wordt verwijderd, maakt de geplande taak deze opnieuw aan bij de volgende uitvoeringscyclus. De taak past ook restrictieve bestandsrechten toe, waardoor handmatige aanpassing of verwijdering moeilijker wordt tijdens incident response. Dit "self-healing" mechanisme, gecontroleerd door de dreigingsactor, zorgt ervoor dat het kwaadaardige bestand opnieuw verschijnt na opruim pogingen.

Web-facing processen, zoals php-fpm, genereren shell commando's die geobfusceerde PHP bestanden reconstrueren met behulp van het herkenbare echo | base64 -d > file.php patroon. In andere gevallen worden equivalente commando's uitgevoerd binnen beperkte shell omgevingen, zoals via cPanel jailshell, of ingesteld via geplande taken op het hosting account niveau.

Microsoft adviseert om multi-factor authenticatie te gebruiken voor hosting control panels, SSH toegang en administratieve interfaces. Ook wordt aangeraden om het vermogen van web-facing services zoals php-fpm te beperken om shell processen te genereren en het uitvoeren van shell interpreters te beperken, tenzij dit expliciet vereist is door de applicatie. Account-level cron jobs en geplande taken dienen regelmatig te worden gecontroleerd.

Bron: Microsoft

WhatsApp heeft ongeveer tweehonderd gebruikers gewaarschuwd voor het downloaden van een malafide versie van de chatapp, die met spyware is besmet. De slachtoffers, die via social engineering zouden zijn verleid tot het installeren van de nepversie, bevinden zich voornamelijk in Italië, zo melden Italiaanse media.

De spyware, ontwikkeld door het Italiaanse bedrijf Asigint, kan sms berichten stelen en chats van Facebook Messenger, Signal en WhatsApp onderscheppen, evenals data uit het adresboek. Daarnaast kon de spyware telefoongesprekken onderscheppen, de microfoon inschakelen om de omgeving van het slachtoffer af te luisteren en de camera gebruiken om foto's te maken.

Volgens WhatsApp zijn de getroffen gebruikers gericht aangevallen. WhatsApp heeft de accounts van de slachtoffers van de nepversie uitgelogd en gebruikers geadviseerd de app te verwijderen. Tevens heeft WhatsApp de spywareleverancier een formele waarschuwing gestuurd om met alle schadelijke activiteiten te stoppen. Verdere details, zoals wie de slachtoffers zijn en hoe slachtoffers werden verleid om de nepversie te installeren, zijn niet gegeven.

Bron: WhatsApp

Cybercrimeinfo heeft een threat intelligence alert ontvangen van Int. Cyber Digest over een recent geregistreerd domein. Het domein, geregistreerd op de voorgaande dag, maakt gebruik van Cloudflare bescherming en ImprovMX maildiensten. Int. Cyber Digest meldt dat ze niet gecompromitteerd zijn, omdat ze al voorzorgsmaatregelen hadden getroffen tegen dergelijke aanvallen en sindsdien extra maatregelen hebben genomen. Het type dreiging is nog onbekend.

Bron: Int. Cyber Digest

Een voormalig core infrastructure engineer heeft schuld bekend aan het vergrendelen van Windows apparaten. De 57-jarige Daniel Rhyne uit Kansas City, Missouri, gebruikte tussen 9 en 25 november een administrator account om zonder autorisatie toegang te krijgen tot het netwerk van zijn werkgever, een industrieel bedrijf in Somerset County, New Jersey.

Volgens de aanklacht plande Rhyne taken op de Windows domain controller om netwerk administrator accounts te verwijderen en de wachtwoorden van 13 domain admin accounts en 301 domain user accounts te wijzigen in "TheFr0zenCrew!". Hij plande ook taken om de wachtwoorden te wijzigen van twee lokale admin accounts, wat 3.284 workstations zou treffen, en van nog twee lokale admin accounts, wat 254 servers zou beïnvloeden. Daarnaast plande hij taken om gedurende meerdere dagen in december 2023 willekeurige servers en workstations op het netwerk af te sluiten.

Op 25 november stuurde Rhyne een e-mail naar zijn collega's met de titel "Your Network Has Been Penetrated". Hierin stond dat alle IT administrators waren buitengesloten van hun accounts en dat serverbackups waren verwijderd om dataherstel onmogelijk te maken. De e-mails dreigden ook met het dagelijks afsluiten van 40 willekeurige servers gedurende de volgende tien dagen, tenzij het bedrijf een losgeld van 20 bitcoin (destijds ongeveer $750.000 waard) betaalde.

Forensisch onderzoek wees uit dat Rhyne op 22 november een verborgen virtuele machine en zijn account gebruikte om op internet te zoeken naar informatie over het wissen van Windows logs, het wijzigen van domain user passwords en het verwijderen van domain accounts. Een week eerder zocht Rhyne op zijn laptop naar vergelijkbare informatie, waaronder "command line to remotely change local administrator password" en "command line to change local administrator password".

Rhyne werd op dinsdag 27 augustus gearresteerd in Missouri en na zijn eerste verschijning in de federale rechtbank vrijgelaten. De aanklachten van hacking en afpersing waarop hij schuldig heeft gepleit, hebben een maximale straf van 15 jaar gevangenisstraf. Eerder deze maand werd een data analist in North Carolina schuldig bevonden aan het afpersen van zijn werkgever, Brightly Software, voor $2,5 miljoen.

Bron: U.S. Department of Justice | Bron 2: hubs.li

Het Europa.eu platform van de Europese Commissie is mogelijk gehackt via een supplychain aanval gericht op vulnerability scanner Trivy. Dat meldt CERT-EU, het computer emergency response team voor EU instanties. Bij de aanval is 340 gigabyte aan data gestolen, waaronder persoonlijke informatie zoals namen, e-mailadressen en de inhoud van e-mailberichten. Het gehackte AWS account maakt deel uit van de technische infrastructuur waar meerdere websites van de Europese Commissie gebruik van maken. De aanvallers hebben mogelijk gegevens van zeker 29 andere EU entiteiten in handen gekregen.

Op 25 maart waarschuwde de Europese Commissie het CERT-EU dat een van de AWS cloudaccounts was gehackt. Onderzoek wees uit dat de aanvaller een Amazon Web Services (AWS) API key had buitgemaakt waarmee hij controle kreeg over andere AWS accounts van de Europese Commissie. De aanvaller gebruikte ook de tool TruffleHog om andere geheimen te vinden en AWS credentials te valideren. De gecompromitteerde AWS secrets werden vervolgens gebruikt voor het maken en toevoegen van een nieuwe access key aan een bestaande gebruiker.

Volgens het CERT-EU was de hack van vulnerability scanner Trivy de oorzaak van de datadiefstal. Trivy is een tool van securitybedrijf Aqua Security waarmee systemen en omgevingen op kwetsbaarheden en misconfiguraties kunnen worden gescand. Aanvallers hadden toegang gekregen tot credentials van de ontwikkelaars van Trivy en konden zo een malafide versie uitbrengen die bij gebruikers allerlei informatie buitmaakte, waaronder hun AWS credentials.

De Europese Commissie maakt gebruik van Trivy en ontving via de normale updatekanalen de besmette versie, waardoor de AWS credentials konden worden gestolen. Een groep criminelen genaamd ShinyHunters heeft de gestolen data inmiddels op de eigen website gepubliceerd.

Bron: CERT-EU | Bron 2: cert.europa.eu

Cybercriminelen maken gebruik van een nieuwe Malware as a Service platform genaamd Venom Stealer, dat verder gaat dan het stelen van credentials en een geautomatiseerde aanvalsketen bouwt. Deze keten begint met social engineering en eindigt met de diefstal van digitale gegevens, inclusief cryptocurrency wallets. Venom Stealer integreert ClickFix social engineering in het operator panel en automatiseert elke fase van de aanval, van initiële toegang tot data diefstal. De exfiltratie pipeline blijft actief, zelfs nadat de eerste payload is voltooid.

Volgens analisten van BlackFog is Venom Stealer gevaarlijker dan andere stealers zoals Lumma, Vidar en RedLine, die stoppen bij het oogsten van credentials en geen aanhoudende toegang behouden na de initiële infectie. De ontwikkelaar, bekend als "VenomStealer", biedt toegang via een abonnement, geprijsd tussen $250 per maand en $1.800 voor een lifetime licentie. Het platform omvat op Telegram gebaseerde licenties, een affiliate programma van 15% en een native C++ binary payload die afzonderlijk wordt gecompileerd voor elke operator via het web panel. Er zijn meerdere updates uitgebracht in maart 2026, wat wijst op een actieve criminele operatie.

De aanval begint wanneer een slachtoffer een pagina van ClickFix bezoekt die door de operator wordt beheerd. Venom biedt templates voor Windows en macOS, zoals een nep Cloudflare CAPTCHA, een nep besturingssysteem update, een nep SSL certificaatfout en een nep pagina voor de installatie van lettertypen. Elk template misleidt het slachtoffer om een Run dialoog of Terminal venster te openen, een commando te plakken en op Enter te drukken. Omdat de gebruiker het commando zelf uitvoert, omzeilt dit beveiligingstools die op zoek zijn naar verdachte parent-child process relaties.

Na de uitvoering scant de payload elke Chromium en op Firefox gebaseerde browser op de machine en extraheert opgeslagen wachtwoorden, sessie cookies, browser geschiedenis, autofill data en cryptocurrency wallet vaults uit elk profiel. Chrome's v10 en v20 wachtwoord encryptie wordt omzeild via een silent privilege escalation met behulp van de CMSTPLUA COM interface, die de decryptie sleutel ophaalt zonder een UAC dialoog te activeren en geen forensisch spoor achterlaat. Systeem fingerprinting en browser extensie inventarissen worden ook verzameld.

Venom Stealer blijft actief op de geïnfecteerde machine en monitort continu Chrome's Login Data bestand, waarbij nieuwe credentials worden vastgelegd die na de infectie zijn opgeslagen. Deze sessie listener scant het bestand elke 30 seconden. Cryptocurrency wallet data wordt naar een server side GPU cracking engine gestuurd, die automatisch wallets kraakt en leegmaakt op negen blockchain netwerken, waaronder MetaMask, Phantom, Exodus en Electrum. Een update van 9 maart voegde een File Password en Seed Finder toe die het lokale bestandssysteem scant op seed phrases.

Organisaties kunnen hun blootstelling aan bedreigingen zoals deze verminderen door PowerShell execution policies te beperken, het Run dialoog voor standaard gebruikersaccounts uit te schakelen via Group Policy en regelmatige training te geven aan werknemers over het herkennen van ClickFix stijl social engineering pagina's. Het monitoren en controleren van uitgaand netwerkverkeer is cruciaal om exfiltratie activiteit te detecteren of te onderbreken.

Bron: BlackFog

De Kimsuky Advanced Persistent Threat (APT)-groep, vermoedelijk gelieerd aan Noord-Korea, is ontdekt met behulp van kwaadaardige .LNK bestanden (snelkoppelingen) in een recente campagne. Deze bevinding onthult de voortdurende evolutie van de tactieken van de groep, die zich richt op het infiltreren van systemen en het compromitteren van gegevens. De aanval begint met een spear phishing e-mail die een kwaadaardig LNK bestand bevat. Wanneer een nietsvermoedende gebruiker op dit bestand klikt, voert het een reeks opdrachten uit die zijn ontworpen om malware te downloaden en uit te voeren op het systeem van het slachtoffer. De LNK bestanden zijn ontworpen om legitieme documenten na te bootsen, waardoor gebruikers worden misleid om erop te klikken. Eenmaal geactiveerd, maakt het LNK bestand verbinding met een externe server om extra kwaadaardige payloads op te halen. Deze payloads kunnen variëren van keyloggers en tools voor het stelen van inloggegevens tot backdoors die aanvallers in staat stellen de controle over het geïnfecteerde systeem over te nemen.

Kimsuky staat bekend om zijn vermogen om zich aan te passen en nieuwe technieken te gebruiken om zijn doelstellingen te bereiken. Het gebruik van kwaadaardige LNK bestanden is een voorbeeld van de inspanningen van de groep om detectie te ontwijken en voet aan de grond te krijgen in doelnetwerken. Door gebruik te maken van LNK bestanden kunnen aanvallers gebruikmaken van de vertrouwde aard van snelkoppelingen, waardoor het voor gebruikers en beveiligingssoftware moeilijker wordt om de kwaadaardige intentie te herkennen.

Beveiligingsexperts raden aan om waakzaam te zijn bij het omgaan met e-mails van onbekende afzenders en om voorzichtig te zijn met het klikken op links of het downloaden van bijlagen, vooral die met .LNK extensies. Organisaties moeten robuuste e-mailbeveiligingsmaatregelen implementeren en werknemers voorlichten over de risico's van spear phishing aanvallen. Regelmatige systeemscans en het actueel houden van beveiligingssoftware kunnen ook helpen bij het detecteren en voorkomen van infecties die worden veroorzaakt door kwaadaardige LNK bestanden.

Bron: CyberSecurityNews

In de afgelopen weken is er een aanzienlijke toename waargenomen van supply chain aanvallen. Een voorbeeld hiervan is de kwaadaardige aanpassing van Axios, een HTTP client library voor JavaScript. Ook TeamPCP, een "chaos as a service" groep, injecteerde kwaadaardige code in gehackte GitHub repositories voor open source projecten, waaronder Trivy, een open source security scanner.

De impact van deze supply chain aanvallen is groot. Axios ontvangt wekelijks 100 miljoen downloads en talloze organisaties vertrouwen op de frameworks en libraries die door TeamPCP zijn gecompromitteerd. De problemen die deze aanvallen veroorzaken voor organisaties en hun security personeel zijn aanzienlijk, omdat de getroffen utilities zo diep geïntegreerd kunnen zijn dat het moeilijk is om ze volledig te catalogiseren en te herstellen.

Uit de onlangs gepubliceerde Talos 2025 Year in Review blijkt dat bijna 25% van de top 100 targeted kwetsbaarheden die in 2025 werden waargenomen, betrekking hebben op veelgebruikte frameworks en libraries. De React2Shell kwetsbaarheid in React Server Components werd de meest aangevallen kwetsbaarheid van 2025, ondanks dat deze pas in december werd ontdekt. De aanwezigheid van Log4j kwetsbaarheden laat zien hoe diep embedded deze utilities kunnen zijn, waardoor het moeilijk is om het aanvalsoppervlak te verkleinen.

De gevolgen van deze aanvallen kunnen variëren van ransomware tot spionage. Het beschermen van identiteit is essentieel, inclusief het beveiligen van CI/CD pipelines om dit soort compromissen te voorkomen. Organisaties moeten proberen de software libraries en frameworks die ze gebruiken in kaart te brengen, op de hoogte te blijven van security incidenten en snel reageren om patches en andere maatregelen te implementeren. Security fundamentals zoals segmentatie, robuuste logging, multi factor authenticatie (MFA) en emergency response plannen blijven van belang.

Cisco Talos biedt bescherming tegen deze dreigingen, waaronder ClamAV signaturen (Txt.Trojan.TeamPCP-10059839-0) en behavioral protections voor LiteLLM Supply Chain Compromise.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Het cybersecurity agentschap van de Europese Unie (CERT EU) heeft bekendgemaakt dat de hackinggroep TeamPCP verantwoordelijk is voor een omvangrijk datalek bij de Europese Commissie. De hackers wisten in te breken in het Amazon Web Services (AWS) account van de EU en hebben ongeveer 92 gigabyte aan gecomprimeerde data buitgemaakt.

Volgens het rapport van CERT EU, dat op 19 maart plaatsvond, bevat de gestolen data namen, e-mailadressen en een deel van de inhoud van e-mails. Het datalek betrof het Europa.eu platform van de Commissie, dat gehost wordt op de AWS cloudinfrastructuur en gebruikt wordt door EU-lidstaten voor het hosten van websites van EU-entiteiten. Er is mogelijk data gestolen van 42 interne klanten en minstens 29 EU-entiteiten.

De dataset bevatte minstens 52.000 bestanden gerelateerd aan uitgaande e-mailcommunicatie, met een totale omvang van 2,2 gigabyte. CERT EU vermoedt dat de meeste van deze berichten geautomatiseerd waren en weinig tot geen inhoud bevatten. In sommige gevallen kunnen bounceback notificaties echter een risico vormen voor de blootstelling van persoonlijke data.

De cyber officials van de Commissie werden zich op 24 maart bewust van het datalek, toen ze notificaties ontvingen over potentieel misbruik van Amazon API's, een mogelijke account compromise en een abnormale toename van netwerkverkeer. CERT EU is ervan overtuigd dat de hackers initieel toegang kregen via de Trivy supply chain compromise, die toegeschreven wordt aan TeamPCP. De dreigingsactor verkreeg ook "management rechten" voor de gecompromitteerde AWS API key, wat hen in staat zou hebben gesteld om lateraal te bewegen naar andere AWS accounts van de Europese Commissie. Er zijn momenteel echter geen aanwijzingen voor dergelijke bewegingen.

Op 28 maart verscheen de gestolen data op de dark web site van ShinyHunters. Dit incident is waarschijnlijk een recent voorbeeld van cybercriminele organisaties die samenwerken om geld te verdienen met hacks. ShinyHunters claimde dat het "data dumps van mailservers, databases, vertrouwelijke documenten, contracten en veel meer gevoelig materiaal" had gestolen.

Het onderzoek wijst uit dat de hack kan worden toegeschreven aan de Trivy compromise vanwege de timing, de doelwitten en het feit dat de Commissie "onbewust een gecompromitteerde versie van Trivy gebruikte tijdens de relevante periode, die via normale software update kanalen was ontvangen." TeamPCP wordt ook gezien als de dader achter de recente LiteLLM cyberaanval, die Mercor en duizenden andere organisaties trof. De hackinggroep is ook in verband gebracht met "worm driven ransomware, data exfiltratie en cryptomining campagnes".

Bron: CERT-EU | Bron 2: cert.europa.eu | Bron 3: aquasec.com

LinkedIn gebruikt verborgen JavaScript scripts om de browsers van bezoekers te scannen op geïnstalleerde extensies en apparaatgegevens te verzamelen. Dat meldt een nieuw rapport genaamd "BrowserGate". Volgens Fairlinked e.V., een organisatie van commerciële LinkedIn gebruikers, injecteert het platform JavaScript in gebruikerssessies dat duizenden browserextensies controleert en de resultaten koppelt aan identificeerbare gebruikersprofielen.

Het rapport stelt dat dit gedrag wordt gebruikt om gevoelige persoonlijke en bedrijfsinformatie te verzamelen, omdat LinkedIn accounts zijn gekoppeld aan echte identiteiten, werkgevers en functies. LinkedIn scant op meer dan 200 producten die rechtstreeks concurreren met de eigen verkooptools, waaronder Apollo, Lusha en ZoomInfo. Het bedrijf kan zo in kaart brengen welke bedrijven welke concurrerende producten gebruiken. LinkedIn zou handhavingsdreigingen hebben gestuurd naar gebruikers van tools van derden, met behulp van gegevens die zijn verkregen via deze verborgen scan.

BleepingComputer heeft onafhankelijk een deel van deze beweringen bevestigd door middel van eigen tests. Hierbij werd een JavaScript bestand met een willekeurige bestandsnaam geladen door de LinkedIn website. Dit script controleerde op 6.236 browserextensies door te proberen toegang te krijgen tot bestandsbronnen die aan een specifieke extensie ID zijn gekoppeld, een bekende techniek voor het detecteren of extensies zijn geïnstalleerd. Dit fingerprinting script werd eerder in 2025 gerapporteerd, maar detecteerde toen slechts ongeveer 2.000 extensies. Een andere GitHub repository van twee maanden geleden toonde aan dat er 3.000 extensies werden gedetecteerd, wat aantoont dat het aantal gedetecteerde extensies blijft groeien.

Hoewel veel van de extensies die worden gescand gerelateerd zijn aan LinkedIn, detecteert het script ook taal- en grammatica extensies, tools voor belastingprofessionals en andere functies. Het script verzamelt ook een breed scala aan browser- en apparaatgegevens, waaronder het aantal CPU cores, beschikbaar geheugen, schermresolutie, tijdzone, taalinstellingen, batterijstatus, audio informatie en opslagfuncties.

LinkedIn ontkent de beschuldigingen over het gebruik van de data. Het bedrijf stelt dat het de informatie gebruikt om het platform en zijn gebruikers te beschermen. Het bedrijf claimt dat het rapport afkomstig is van iemand wiens account is verbannen voor het scrapen van LinkedIn content en het schenden van de gebruiksvoorwaarden van de site. Een Duitse rechtbank heeft het verzoek van de ontwikkelaar om een voorlopige voorziening afgewezen. De rechtbank oordeelde dat de geautomatiseerde gegevensverzameling op zichzelf al inbreuk kan maken op de gebruiksvoorwaarden van LinkedIn en dat het gerechtigd was om de accounts te blokkeren om zijn platform te beschermen.

Bron: jeremy-hyde | Bron 2: gist.github.com | Bron 3: browsergate.eu

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen bevolen om uiterlijk 16 april een kwetsbaarheid in de video conferencing tool TrueConf te patchen. Het gaat om CVE-2026-3502, een bug met een score van 7.8 op een schaal van 10.

De waarschuwing van CISA volgt op een rapport van Check Point, waarin een Chinese hacking campagne tegen overheden in Zuidoost Azië wordt beschreven. Volgens Check Point maken Chinese hackers sinds begin 2026 misbruik van de kwetsbaarheid in een campagne genaamd TrueChaos. Hierbij wordt doorgaans gebruik gemaakt van de Havoc penetration testing tool, die het afgelopen jaar vaker door Chinese actoren is ingezet.

Check Point meldt de kwetsbaarheid te hebben gemeld aan TrueConf, waarna een fix in maart is uitgebracht. De onderzoekers observeerden een reeks gerichte aanvallen op overheidsinstanties in Zuidoost Azië, uitgevoerd via legitieme TrueConf software die in de omgeving van de doelwitten was geïnstalleerd. De kwetsbaarheid zit in het updater validatie mechanisme van de applicatie. Een aanvaller die een on premises TrueConf server controleert, kan zo willekeurige bestanden distribueren en uitvoeren op verbonden endpoints.

Tijdens de exploitatie van de bug gebruikten de hackers het vertrouwde update kanaal om kwaadaardige updates te verspreiden. Het feit dat overheden het doelwit waren, wijst volgens Check Point op een campagne gericht op spionage. TrueConf wordt wereldwijd door ongeveer 100.000 organisaties gebruikt, voornamelijk in de overheid, het leger en de kritieke infrastructuur. Het wordt ingezet om data privacy en communicatie autonomie te waarborgen in beveiligde of remote omgevingen. In gebieden met slechte of geen internetverbinding, of tijdens natuurrampen, faciliteert het essentiële coördinatie. Doordat de server op interne hardware wordt gehost, blijft al het audio-, video- en chatverkeer strikt on site. Offline activatie is beschikbaar voor volledig air gapped systemen.

De meeste infecties begonnen waarschijnlijk via een link die naar de slachtoffers werd gestuurd. Deze links lanceerden de TrueConf client en toonden een update prompt die aangaf dat er een nieuwere versie beschikbaar was. De aanvallers hadden het update pakket op de on premises TrueConf server al vervangen door een kwaadaardige versie. Hierdoor haalde de client via het normale update proces een schadelijk bestand op. De gecompromitteerde TrueConf server werd beheerd door de IT-afdeling van de overheid en diende als video conferencing platform voor tientallen overheidsinstanties in het land, die allemaal van dezelfde kwaadaardige update werden voorzien.

Check Point schrijft de campagne toe aan Chinese actoren op basis van de gebruikte tactieken en het gebruik van Alibaba Cloud en Tencent hosting tools. Het bedrijf zag hetzelfde slachtoffer ook al doelwit van de ShadowPad malware, een kenmerk van Chinese actoren.

Bron: Check Point | Bron 2: recordedfuture.com

De Amerikaanse telehealth gigant Hims & Hers Health waarschuwt voor een datalek nadat support tickets zijn gestolen van een customer service platform van een derde partij. Hims & Hers is een Amerikaans bedrijf dat zich richt op direct to consumer gezondheidszorg, met abonnementen voor behandelingen tegen haarverlies, erectiestoornissen, mentale gezondheid, huidverzorging, gewichtsverlies en andere aandoeningen. Het bedrijf heeft een sterke marketing en een jaarlijkse omzet van bijna 1 miljard dollar.

Volgens een melding aan de autoriteiten in Californië vond het datalek begin februari 2026 plaats. Op 5 februari 2026 werd Hims & Hers op de hoogte gesteld van verdachte activiteit op hun customer service platform. Het bedrijf ondernam direct actie om het platform te beveiligen en startte een onderzoek naar de aard en omvang van het mogelijke beveiligingsincident. Uit het onderzoek bleek dat tussen 4 en 7 februari 2026 bepaalde tickets die naar de klantenservice waren gestuurd, zonder toestemming zijn ingezien of verkregen.

Na een intern onderzoek concludeerde het bedrijf op 3 maart dat hackers toegang hadden gekregen tot support tickets die in sommige gevallen persoonlijke informatie bevatten. De blootgestelde informatie kan namen, contactgegevens en andere niet gespecificeerde gegevens bevatten, waarschijnlijk gerelateerd aan het supportverzoek. Het bedrijf benadrukt dat er geen medische dossiers of communicatie met artsen zijn gecompromitteerd.

Hoewel het bedrijf geen verdere details deelde, meldde BleepingComputer vorige maand dat de ShinyHunters extortion gang achter de inbraak zat. De data werd gestolen als onderdeel van een grootschalige campagne waarbij dreigingsactoren Okta SSO accounts compromitteerden om toegang te krijgen tot cloud storage services en SaaS platforms van derden om data te stelen. In dit specifieke geval gebruikten de dreigingsactoren het Okta SSO account om toegang te krijgen tot de Zendesk instantie van Hims & Hers, waar ze miljoenen support tickets stalen.

Het bedrijf biedt nu 12 maanden gratis credit monitoring services aan alle getroffen personen. Klanten worden ook aangemoedigd om extra alert te zijn op ongevraagde communicatie die phishing of social engineering lures kan bevatten. Daarnaast wordt geadviseerd om rekeningafschriften te controleren en kredietrapporten te monitoren op verdachte activiteiten.

Twee recente high profile beveiligingsincidenten met klantensupport die leidden tot datalekken zijn die van DIY winkelketen ManoMano in februari en Crunchyroll in maart. In beide gevallen was het gecompromitteerde platform Zendesk.

Bron: Hims & Hers | Bron 2: oag.ca.gov | Bron 3: hubs.li

Onderzoekers van FortiGuard Labs hebben een spionagecampagne ontdekt die zich richt op Zuid-Koreaanse bedrijven. Noord-Koreaanse hackers maken gebruik van LNK bestanden, verborgen PowerShell scripts en legitieme GitHub repositories om detectie te ontwijken en gevoelige systeemdata van Windows gebruikers te stelen. De aanvallen zijn terug te voeren tot 2024, maar de hackers hebben hun methoden recentelijk geüpdatet om ze nog geheimer te maken.

De aanvallers gebruiken social engineering en diverse phishing thema's, zoals valse bestellingen en technische documenten, om werknemers te verleiden. Ze vermijden het gebruik van malware en maken in plaats daarvan gebruik van native Windows tools zoals PowerShell, VBScript en WScript. Door deze ingebouwde functies te gebruiken, kunnen ze verborgen blijven en een breed publiek bereiken met een lage detectiegraad.

De aanval begint met een LNK bestand, dat eruitziet als een onschuldig kantoordocument. Wanneer een gebruiker hierop dubbelklikt, verschijnt een decoy PDF, terwijl op de achtergrond een script wordt uitgevoerd dat de privacy van de computer aantast. Dit script controleert op de aanwezigheid van security tools zoals Wireshark, Fiddler, x64dbg en Procmon, en virtuele omgevingen zoals vmtoolsd. Als een van deze tools wordt gevonden, sluit het script direct af om te voorkomen dat het wordt bestudeerd. Als de kust veilig is, gebruikt het een XOR sleutel om de code te versleutelen en zich te verbergen voor antivirussoftware.

De hackers gebruiken GitHub om data te verplaatsen. Onderzoekers van Fortinet identificeerden accounts zoals motoralis, Pigresy80 en brandonleeodd93-blip, waar gestolen informatie wordt opgeslagen in private repositories. Omdat GitHub breed wordt vertrouwd, passeert dit verkeer vaak de beveiligingssystemen van bedrijven zonder te worden opgemerkt. Om toegang te behouden, zetten ze een Scheduled Task op, vermomd als een technisch document voor de Creata Chain Task, die de malware elke 30 minuten activeert.

De huidige versie van de malware richt zich op surveillance en steelt OS-versies, buildnummers en actieve processen, en stuurt een keep alive log terug naar de hackers. Omdat deze aanvallen gebruikmaken van Windows' eigen ingebouwde tools, is het belangrijk om voorzichtig te zijn met onverwachte bestanden.

Jason Soroko van Sectigo merkte op dat moderne cyberespionage steeds meer gebruikmaakt van een evasieve strategie die bekend staat als "living off the land." Jamie Boote van Black Duck benadrukte dat deze aanval laat zien hoe kwaadwillenden legitieme infrastructuur kunnen omzetten in een aanvalsoppervlak.

Bron: Fortinet

Een noodcommunicatiesysteem dat gebruikt wordt door verschillende kleine steden in het noorden van Massachusetts is getroffen door een cyberaanval die op dinsdag begon. Het Patriot Regional Emergency Communications Center meldt dat de inbraak de computer systemen van de stad en de openbare veiligheid heeft aangetast.

Hoewel de 9-1-1 telefoon systemen nog steeds werken, zijn niet noodnummers en zakelijke telefoonlijnen buiten dienst. Het centrum wordt gebruikt door de steden Pepperell, Ashby, Dunstable, Groton en anderen als een regionale hub voor het ontvangen van noodoproepen en het verzenden van politie, brandweer of medische diensten. Het centrum is gevestigd in Pepperell.

Ambtenaren zeiden woensdag dat ze samenwerken met IT-leveranciers om de aanval te onderzoeken en van het incident te herstellen. "We hebben onmiddellijk onze verzekeraar en gerenommeerde externe cybersecurity bureaus ingeschakeld om op deze aanval te reageren en deze te beperken," aldus Pepperell Town Administrator Andrew MacLean. Het gemeentebestuur van Pepperell reageerde niet op verzoeken om commentaar over het incident. Federale wetshandhavers zijn op de hoogte gebracht van de aanval. Cybersecurity experts zijn bezig met het vaststellen van welke informatie mogelijk is ingezien of gestolen tijdens de aanval.

De politie en brandweer van Pepperell reageren nog steeds op noodoproepen en de stad zei dat andere lokale politie- en brandweerkorpsen "het Patriot Regional Emergency Communications Center nog steeds kunnen bereiken via de normale wederzijdse hulpkanalen." Het systeem is gekoppeld aan CodeRED - een noodmeldingsdienst waarmee gemeentelijke leiders lokale bewoners op de hoogte kunnen brengen van noodsituaties, weersveranderingen, updates over rampen, AMBER alerts en evacuatiebevelen.

Het CodeRED systeem kreeg in november te maken met een eigen cyberaanval toen een ransomwarebende het moederbedrijf Crisis24 aanviel. Dat incident legde het CodeRED systeem plat in tientallen gemeenten in de VS. Crisis24 vertelde destijds dat de hackers niet alleen de CodeRED omgeving beschadigden, maar ook informatie stalen over de lokale ambtenaren die het CodeRED systeem van hun gemeenten controleerden. Het bedrijf drong er bij gebruikers die hun CodeRED wachtwoord voor andere persoonlijke of zakelijke accounts gebruikten, aan om die wachtwoorden onmiddellijk te wijzigen. Verschillende gemeenten in Massachusetts waarschuwden lokale overheidsfunctionarissen destijds om de wachtwoorden te wijzigen die ze voor het CodeRED platform gebruikten.

Ransomware bendes hebben eerder een prominente ambulancedienst in Milwaukee en andere hulpdiensten in gemeenten in de VS aangevallen.

Bron: town.pepperell.ma.us | Bron 2: eastbridgewaterma.gov | Bron 3: recordedfuture.com

Het AI rekruteringsbedrijf Mercor heeft bevestigd dat het te maken heeft met een beveiligingsincident na een cyberaanval die verband houdt met een gecompromitteerde open source tool. Het datalek is onderdeel van een grootschalige supply chain aanval die duizenden organisaties wereldwijd heeft getroffen.

Het incident dateert van eind maart 2026 en betreft LiteLLM, een open source tool die wordt gebruikt om communicatie tussen verschillende AI modellen mogelijk te maken. Aanvallers publiceerden twee kwaadaardige versies van het LiteLLM PyPI pakket, versies 1.82.7 en 1.82.8. De impact was aanzienlijk, ondanks dat de gecompromitteerde pakketten slechts ongeveer 40 minuten beschikbaar waren.

Uit onderzoek van Snyk blijkt dat LiteLLM miljoenen downloads per dag ziet. Dit betekent dat organisaties die geautomatiseerde CI/CD pipelines gebruiken, mogelijk onbewust de kwaadaardige code hebben binnengehaald gedurende die korte periode. Wiz Research meldt dat LiteLLM aanwezig is in ongeveer 36% van de cloudomgevingen.

Mercor bevestigde dat het een van de duizenden organisaties is die getroffen zijn door de LiteLLM supply chain aanval. Het incident is in verband gebracht met de TeamPCP groep, die naar verluidt gecompromitteerde beheerdersgegevens gebruikte om kwaadaardige pakketversies te publiceren. Het bedrijf heeft maatregelen genomen om het incident te beheersen en te herstellen, en heeft forensische experts ingeschakeld voor onderzoek. Onderzoekers hebben het datalek teruggevoerd naar een eerder compromis met de Trivy tool, waarbij gevoelige tokens werden blootgelegd die werden gebruikt in downstream ontwikkelingsworkflows.

De situatie verergerde toen de Lapsus$ afpersingsgroep Mercor op haar lek site vermeldde en claimde 4TB aan gestolen data in bezit te hebben. Volgens de vermelding bevat de data kandidaatprofielen, persoonsgegevens, werkgeversdata en technische assets zoals broncode, API keys en geheimen. Er wordt ook melding gemaakt van data met betrekking tot Tailscale VPN gebruik, samen met video interviews tussen AI systemen en contractors. Deze claims zijn niet onafhankelijk geverifieerd en Mercor heeft de omvang of authenticiteit van het vermeende lek niet bevestigd. Het is ook onduidelijk hoe Lapsus$ de data heeft verkregen en of er een direct verband is met het LiteLLM compromis. Er wordt een mogelijk verband gesuggereerd tussen Lapsus$ en de TeamPCP groep achter de supply chain aanval.

Mercor helpt bedrijven zoals OpenAI en Anthropic bij het vinden van experts om hun AI systemen te trainen. Het bedrijf werd onlangs gewaardeerd op $10 miljard na een financieringsronde van $350 miljoen in oktober 2025.

Bron: Snyk

Sinds begin 2024 is er een gecoördineerde phishingcampagne actief die zich richt op klanten van banken in de Filipijnen. De aanvallers maken gebruik van vertrouwde internetplatforms om bankgegevens en eenmalige wachtwoorden te stelen en gebruiken deze om binnen enkele minuten de rekeningen van slachtoffers leeg te halen.

De campagne richt zich op online bankgebruikers. Slachtoffers ontvangen e-mails die afkomstig lijken van een legitieme afzender, waarin ze worden gewaarschuwd voor een ongeautoriseerde transactie of een verdachte login vanaf een onbekend apparaat. In deze berichten wordt de ontvanger aangespoord om op een link te klikken en hun bankgegevens in te voeren.

Group IB CERT onderzoekers hebben deze phishingoperatie, die ze volgen onder de naam PHISLES, geïdentificeerd en bevestigd dat deze sinds januari 2024 continu actief is. Uit hun onderzoek bleek dat er meer dan 900 kwaadaardige links naar potentiële slachtoffers zijn verspreid, waarbij minstens drie grote Filipijnse banken werden geïmiteerd. Tussen januari 2024 en januari 2026 zijn er meer dan 400 mensen getroffen.

Zodra een slachtoffer zijn gebruikersnaam, wachtwoord en OTP op een valse bankpagina invoert, handelen de aanvallers onmiddellijk. Binnen enkele minuten worden er gelden opgenomen, zoals bevestigd door slachtoffers die screenshots op sociale media deelden. De campagne is ontworpen voor real time financiële fraude en is bedoeld om inloggegevens te verzamelen en multi factor authenticatie te omzeilen.

De campagne maakt gebruik van gecompromitteerde e-mailaccounts om phishingberichten te versturen. De afzenders waren geen valse adressen, maar echte accounts afkomstig van combolists, databases met gestolen inloggegevens die op dark web forums en Telegramkanalen worden verhandeld. Dit zorgde ervoor dat de phishing mails betrouwbaarder leken en spam- en e-mailbeveiligingsfilters onopgemerkt konden passeren.

Vanaf medio 2025 stopten de aanvallers met het rechtstreeks insluiten van phishinglinks in e-mails. In plaats daarvan begonnen ze slachtoffers via ketens van bekende platforms naar een valse bankpagina te leiden. Deze strategie was bedoeld om Secure Email Gateways te misleiden door elke zichtbare link volledig legitiem te laten lijken.

Verschillende platforms werden misbruikt in deze campagne. Google Business Profile links werden gebruikt vanwege de reputatie van het vertrouwde domein van Google. Phishing URL's werden ook verpakt in Google's AMP CDN (cdn.ampproject.org), waardoor de zichtbare link eruitzag als een Google adres. URL verkorters zoals loom.ly en shorturl.at verborgen verdachte bestemmingen achter schone links, terwijl Google Cloud Workstations tijdelijke redirectors met geldige SSL certificaten creëerden. Cloudflare managed domeinen, met name workers.dev en pages.dev, werden ook misbruikt.

De meest alarmerende ontdekking was de kaping van het domein van een Filipijnse onderwijsinstelling. Aanvallers creëerden verborgen subdomeinen, verkregen geldige SSL certificaten en leidden al het verkeer naar hun eigen servers, zonder de normale activiteiten van de school te verstoren.

Bankklanten wordt aangeraden om alle urgente e-mails met scepsis te behandelen en altijd de volledige URL te verifiëren voordat ze inloggegevens invoeren. Ze moeten vermijden om hetzelfde wachtwoord voor verschillende diensten te gebruiken en regelmatig hun inloggegevens bijwerken, terwijl ze multi factor authenticatie op alle accounts inschakelen. Financiële instellingen moeten klanten proactief informeren over actieve oplichtingscampagnes via officiële kanalen. Beveiligingsteams moeten systemen configureren om ongeautoriseerde Referer headers van cloudsubdomeinen te detecteren wanneer banking assets zoals afbeeldingen of scripts extern worden geladen. Onderwijsinstellingen moeten multi factor authenticatie afdwingen op alle domeinregistraraccounts en regelmatig DNS records controleren om ongeautoriseerde subdomeinen op te sporen en te verwijderen die naar onbekende of externe IP-adressen verwijzen.

Bron: Group-IB

Het Phorpiex botnet, dat sinds 2011 actief is, is opnieuw in de schijnwerpers gekomen. Het botnet, ook bekend als Trik, is geëvolueerd van een eenvoudige spamtool tot een crimineel platform dat in staat is om ransomware te verspreiden, sextortion mails naar miljoenen slachtoffers te sturen en stilletjes cryptocurrency te stelen van geïnfecteerde computers.

De meest recente versie, bekend als de Twizt variant, is moeilijker te stoppen dan voorheen. Het combineert traditionele command and control (C2)-servers met een peer to peer (P2P)-netwerk, wat betekent dat zelfs als één server wordt uitgeschakeld, het botnet blijft functioneren omdat geïnfecteerde machines rechtstreeks met elkaar communiceren.

Het botnet draait momenteel op tussen de 70.000 en 80.000 actieve apparaten per dag, en er zijn meer dan 1,7 miljoen unieke IP-adressen getraceerd in de afgelopen 90 dagen. De meest getroffen landen zijn Iran, Oezbekistan, China, Kazachstan en Pakistan.

Bitsight onderzoekers hebben vastgesteld dat Phorpiex tegelijkertijd drie belangrijke criminele activiteiten uitvoert, massale ransomware distributie, grootschalige sextortion e-mailcampagnes en real time cryptocurrency wallet hijacking. Hun telemetrie toont ongeveer 125.000 actieve infecties per dag, waarvan ongeveer 70.000 behoren tot het P2P netwerk.

De ransomware campagnes zijn bijzonder agressief geweest. In oktober 2025 werd Phorpiex gebruikt om LockBit Black ransomware te verspreiden naar apparaten die zich in bedrijfsnetwerken of Windows domeinen bevonden. In januari 2026 werd een variant die lijkt op de Globalransomware familie ingezet tegen apparaten in China, waarbij een openbare IP-lookup API werd gebruikt om de locatie van het doelwit te verifiëren voordat de payload werd gedropt. Een vervolgcampagne kort daarna trof machines in 21 landen, waaronder de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Frankrijk en verschillende andere. Elke spamcampagne is gericht op tussen de 2 miljoen en 6 miljoen e-mailadressen.

Naast ransomware verspreidt dezelfde botnet infrastructuur sextortion e-mails die valselijk beweren dat hackers slachtoffers via hun webcams hebben opgenomen tijdens het bezoeken van expliciete websites, waarbij $ 1.800 in Bitcoin wordt geëist om de beelden privé te houden. Deze berichten zijn bedoeld om ontvangers bang te maken om snel te betalen en circuleren al sinds minstens 2023, waarbij het geëiste bedrag in de loop van de tijd gestaag is gestegen.

Zodra een apparaat is geïnfecteerd, vestigt Phorpiex snel een sterke basis en begint het te werken om onzichtbaar te blijven. Het kopieert zichzelf naar systeemdirectory's en schrijft een autorun registersleutel om ervoor te zorgen dat het na elke herstart opnieuw opstart. De malware verspreidt zich ook naar verwijderbare USB drives en gedeelde netwerkmappen door een verborgen executable met de naam DrvMgr.exe te plaatsen, samen met een vermomd snelkoppelingsbestand (.lnk) dat Phorpiex start op elke machine waarop de geïnfecteerde schijf is aangesloten. Om detectie te voorkomen, voegt de malware zichzelf stilletjes toe aan de lijst met toegestane programma's van de Windows Firewall onder de naam "Microsoft Corporation", waardoor het lijkt op een vertrouwd systeemcomponent. Het gebruikt ook API Hashing om de Windows functies die het tijdens runtime aanroept te verbergen en bouwt verdachte strings in het geheugen byte voor byte om statische beveiligingsscanners te omzeilen. Elke opdracht die naar het botnet wordt gepusht, is verpakt in een 256-byte RSA gecodeerde header, wat betekent dat alleen de aanvaller de sleutel heeft om geldige instructies te geven, waardoor externe partijen het netwerk niet kunnen overnemen.

Organisaties wordt geadviseerd om bekende Phorpiex C2 IP-adressen te blokkeren, te controleren op onverwachte autorun registerwijzigingen en de toegang tot USB apparaten op bedrijfscomputers te beperken. Het uitschakelen van UPnP op netwerkrouters, het volledig patchen van besturingssystemen en het implementeren van gelaagde e-mailfilteroplossingen kan het risico op infectie aanzienlijk verminderen. Alle indicators of compromise (IOC's) en gerelateerde cryptocurrency wallet adressen zijn openbaar beschikbaar op Malware Bazaar onder de tag dropped by Phorpiex.

Bron: Bitsight

De CEO van de grootste bank van België en voorzitter van bankenkoepel Febelfin, Michael Anseeuw, heeft gereageerd op de kritiek dat banken te weinig doen om phishing te stoppen. Anseeuw stelt dat banken niet verantwoordelijk kunnen worden gehouden als klanten zelf hun codes aan oplichters verstrekken. Hij vergelijkt het met een situatie waarin Volkswagen zou betalen als iemand tegen een muur rijdt.

Anseeuw zegt zelf ook regelmatig phishingberichten te ontvangen, zelfs uit naam van banken waar hij geen rekening heeft. Hij benadrukt dat geen enkel systeem een klant kan beschermen als deze zelf de deur openzet door codes te delen. De CEO's uitspraken zullen waarschijnlijk niet door iedereen worden gewaardeerd.

Bron: CEO Febelfin

In april 2026 heeft het muziek trivia platform SongTrivia2 een datalek gehad, waarna de gegevens op een publiek hacking forum zijn gepubliceerd. Het datalek bevat in totaal 291.000 unieke e-mailadressen, afkomstig van Google OAuth logins of accounts die op de site zijn aangemaakt. De accounts bevatten tevens bcrypt password hashes, namen, gebruikersnamen en avatars.

De getroffen data omvatten authenticatietokens, avatars, e-mailadressen, namen, wachtwoorden en gebruikersnamen.

Als gevolg van dit datalek wordt gebruikers aangeraden om onmiddellijk hun wachtwoord te wijzigen op elk account waar hetzelfde wachtwoord wordt gebruikt. Waar mogelijk wordt ook aangeraden om tweefactorauthenticatie in te schakelen voor een extra beveiligingslaag.

In Nederland adviseert veiliginternetten.nl mensen over hun online veiligheid.

Bron: SongTrivia2 | Bron 2: veiliginternetten.nl

Device code phishingaanvallen, waarbij misbruik wordt gemaakt van de OAuth 2.0 Device Authorization Grant flow om accounts te kapen, zijn dit jaar meer dan 37 keer toegenomen. Bij dit type aanval stuurt de dreigingsactor een device authorization request naar een serviceprovider en ontvangt een code, die onder verschillende voorwendselen naar het slachtoffer wordt gestuurd. Vervolgens wordt het slachtoffer overgehaald om de code in te voeren op de legitieme inlogpagina, waardoor het apparaat van de aanvaller toegang krijgt tot het account via geldige access en refresh tokens. Deze flow is ontworpen om het verbinden van apparaten zonder toegankelijke invoeropties (bijv. IoT apparaten, printers, streaming apparaten en smart tv's) te vereenvoudigen.

De device code phishingtechniek werd voor het eerst gedocumenteerd in 2020, maar kwaadaardige exploitatie werd een paar jaar later geregistreerd. Het is gebruikt door zowel statelijke hackers als financieel gemotiveerde actoren. Onderzoekers van Push Security hebben een enorme toename in het gebruik van deze aanvallen waargenomen en waarschuwen dat ze op grote schaal zijn overgenomen door cybercriminelen.

Begin maart 2026 werd al een 15-voudige toename waargenomen in device code phishingpagina's die door het onderzoeksteam van Push Security werden gedetecteerd, met meerdere kits en campagnes die werden gevolgd. De kit die nu wordt geïdentificeerd als EvilTokens is de meest prominente. Eerder deze week publiceerde Sekoia onderzoek naar de EvilTokens phishing as a service (PhaaS) operatie. De onderzoekers benadrukken dat het een prominent voorbeeld is van een phishing kit die device code phishing "democratiseert", waardoor het beschikbaar komt voor minder ervaren cybercriminelen.

Push Security is het ermee eens dat EvilTokens een belangrijke aanjager is geweest van de mainstream adoptie van de techniek, maar merkt op dat er verschillende andere platforms op dezelfde markt concurreren, die prominenter zouden kunnen worden in het geval dat wetshandhaving EvilTokens verstoort. Voorbeelden van andere kits zijn: VENOM (een closed source PhaaS kit die zowel device code phishing als AiTM mogelijkheden biedt), SHAREFILE (een kit gethematiseerd rond Citrix ShareFile document transfers), CLURE (een kit die roterende API endpoints en een anti bot gate gebruikt), LINKID (een kit die Cloudflare challenge pagina's en self hosted API's gebruikt), AUTHOV (een kit die popup based device code entry gebruikt), DOCUPOLL (een kit die DocuSign workflows nabootst), FLOW_TOKEN (een kit die Tencent Cloud backend infrastructuur gebruikt), PAPRIKA (een kit die Microsoft login clone pagina's gebruikt) en DCSTATUS (een minimale kit met generieke Microsoft 365 lures).

Om device code phishingaanvallen te blokkeren, stelt Push Security voor om de flow uit te schakelen wanneer deze niet nodig is door conditional access policies in te stellen op accounts. Het wordt ook aanbevolen om logs te controleren op onverwachte device code authenticatie events, ongebruikelijke IP adressen en sessies.

Bron: Push Security | Bron 2: hubs.li

De beheerders van de populaire Axios HTTP client hebben een gedetailleerd verslag gepubliceerd over hoe een van hun ontwikkelaars het doelwit werd van een campagne van social engineering, die in verband wordt gebracht met Noord-Koreaanse hackers. Eerder hadden de aanvallers al een beheerdersaccount gecompromitteerd om twee kwaadaardige versies van Axios (1.14.1 en 0.30.4) te publiceren in het npm pakketregister, wat een supply chain aanval veroorzaakte. Deze releases injecteerden een dependency genaamd plain-crypto-js, die een remote access trojan (RAT) installeerde op macOS, Windows en Linux systemen.

De kwaadaardige versies waren ongeveer drie uur beschikbaar voordat ze werden verwijderd. Systemen die ze gedurende die periode hebben geïnstalleerd, moeten als gecompromitteerd worden beschouwd en alle credentials en authenticatiesleutels moeten worden vervangen. De beheerders van Axios hebben naar eigen zeggen de getroffen systemen gewist, alle credentials opnieuw ingesteld en wijzigingen doorgevoerd om soortgelijke incidenten te voorkomen.

De Google Threat Intelligence Group (GTIG) heeft deze aanval inmiddels toegeschreven aan Noord-Koreaanse dreigingsactoren die worden gevolgd als UNC1069. Volgens Google gebruikt UNC1069 een bijgewerkte versie van WAVESHAPER (WAVESHAPER.V2), die eerder door deze dreigingsactor werd gebruikt. Analyse van infrastructuurartefacten die in deze aanval werden gebruikt, vertoont overlappingen met infrastructuur die UNC1069 in het verleden heeft gebruikt.

Volgens het verslag begon de compromittering weken eerder via een gerichte aanval via social engineering op Jason Saayman, de lead maintainer van het project. De aanvallers deden zich voor als een legitiem bedrijf, kloonden de branding en de uiterlijke kenmerken van de oprichters, en nodigden de maintainer uit in een Slack workspace die was ontworpen om het bedrijf na te bootsen. Saayman zegt dat de Slack server realistische kanalen bevatte, met geënsceneerde activiteit en nepprofielen die zich voordeden als werknemers en andere opensourcemaintainers.

De aanvallers planden vervolgens een vergadering op Microsoft Teams die de indruk wekte dat er veel mensen aan deelnamen. Tijdens het gesprek werd een technische foutmelding weergegeven, waarin werd beweerd dat iets op het systeem verouderd was. De maintainer werd gevraagd een Teams update te installeren om de fout te verhelpen. Deze nepupdate was echter RAT malware die de dreigingsactoren toegang gaf tot het apparaat van de maintainer, waardoor ze de npm credentials voor het Axios project konden bemachtigen.

Andere maintainers meldden soortgelijke aanvallen via social engineering, waarbij de dreigingsactoren hen probeerden over te halen een valse Microsoft Teams SDK update te installeren. Deze aanval lijkt op een ClickFix aanval, waarbij slachtoffers een valse foutmelding te zien krijgen en vervolgens wordt gevraagd stappen te volgen om malware te installeren.

Pelle Wessman, een maintainer van diverse opensourceprojecten, waaronder het populaire Mocha framework, meldde op LinkedIn dat hij het doelwit was van dezelfde campagne en deelde een screenshot van een valse RTC verbindingsfoutmelding die werd gebruikt om slachtoffers te misleiden tot het installeren van malware. Toen Wessman weigerde de app te installeren, probeerden de dreigingsactoren hem over te halen een Curl commando uit te voeren dat iets zou downloaden en uitvoeren.

Cybersecuritybedrijf Socket waarschuwde ook voor de campagne en de gebruikte technieken, en adviseert ontwikkelaars om extra voorzichtig te zijn bij het installeren van software of het uitvoeren van opdrachten die door onbekende partijen worden verstrekt.

Bron: Axios | Bron 2: github.com | Bron 3: socket.dev

Volgens een analyse van ChainAnalysis hebben Noord-Koreaanse hackers in 2025 voor $2,02 miljard aan cryptocurrency gestolen. Dit is een stijging van 51% ten opzichte van het voorgaande jaar, waarmee hun totale buit op $6,75 miljard komt. Cybercrimeinfo ontdekte deze informatie via een dreigingsalert.

Bron: ChainAnalysis

Oplichters versturen valse sms berichten uit naam van rechtbanken in de Verenigde Staten, waarin ze slachtoffers onder druk zetten om een QR code te scannen. Deze QR code leidt naar een phishingsite waar een betaling van 6,99 dollar wordt geëist, terwijl persoonlijke en financiële informatie wordt gestolen. Deze nieuwe variant is een vervolg op de eerdere oplichting met tol- en parkeerovertredingen die in 2025 veel slachtoffers maakte.

De nieuwe campagne begon enkele weken geleden. Een voorbeeld van een sms bericht gericht op inwoners van New York werd gedeeld met BleepingComputer, waarna meldingen van vergelijkbare berichten in andere staten volgden, waaronder Californië, North Carolina, Illinois, Virginia, Texas, Connecticut en New Jersey. In tegenstelling tot de vorige campagne, die links naar phishingsites bevatte, bevat deze nieuwe variant een afbeelding van een vermeende gerechtelijke kennisgeving met een QR code.

De valse kennisgeving meldt een openstaande verkeersovertreding en waarschuwt voor formele handhaving. De sms beweert afkomstig te zijn van de "Criminal Court of the City of New York" en vermeldt een onbetaalde parkeer- of tolovertreding die onmiddellijk betaald moet worden, anders moet de persoon voor de rechter verschijnen. Het scannen van de QR code leidt naar een tussenliggende site die eerst een captcha vereist om te bewijzen dat de gebruiker een mens is. De QR codes en CAPTCHA's worden gebruikt om het moeilijker te maken voor geautomatiseerde beveiligingssoftware en onderzoekers om de phishingcampagne te analyseren.

Na het oplossen van de CAPTCHA wordt de gebruiker doorgestuurd naar een andere phishingsite die zich voordoet als de DMV (Department of Motor Vehicles) van de staat of een andere instantie, waarbij wordt beweerd dat er een openstaande tol- of parkeerboete is van 6,99 dollar. phishingsites die de New York DMV nabootsen, gebruiken bijvoorbeeld de hostnamen "ny.gov-skd[.]org" of "ny.ofkhv[.]life". Na het klikken op 'continue' kan de gebruiker persoonlijke- en creditcardgegevens invoeren om de vermeende kosten te betalen. Dit formulier wordt gebruikt om gegevens te stelen, waaronder naam, adres, telefoonnummer, e-mailadres en creditcardgegevens. Deze informatie kan vervolgens worden gebruikt voor verschillende kwaadaardige activiteiten, waaronder vervolgphishingaanvallen, financiële fraude, identiteitsdiefstal en de verkoop van de gegevens aan andere dreigingsactoren.

Het advies is om sms berichten van onbekende nummers of e-mailadressen waarin om een betaling wordt gevraagd, te negeren. Overheidsinstanties hebben herhaaldelijk aangegeven dat ze geen sms berichten versturen waarin om persoonlijke- of betalingsinformatie wordt gevraagd.

Bron: governor.ny.gov | Bron 2: hubs.li

Hackers voeren een grootschalige campagne uit om op geautomatiseerde wijze inloggegevens te stelen door misbruik te maken van React2Shell (CVE-2025-55182) in kwetsbare Next.js-apps. Volgens Cisco Talos zijn minstens 766 hosts bij verschillende cloudproviders en geografische locaties gecompromitteerd om database- en AWS credentials, SSH private keys, API keys, cloud tokens en omgevingsgeheimen te verzamelen.

De operatie maakt gebruik van een framework genaamd NEXUS Listener en gebruikt geautomatiseerde scripts om gevoelige gegevens uit verschillende applicaties te extraheren en te exfiltreren. Cisco Talos schrijft de activiteit toe aan een dreigingscluster dat wordt gevolgd als UAT-10608. De onderzoekers kregen toegang tot een blootgestelde NEXUS Listener instantie, waardoor ze het type gegevens konden analyseren dat van gecompromitteerde systemen werd verzameld en konden begrijpen hoe de webapplicatie werkt.

De aanval begint met geautomatiseerde scanning naar kwetsbare Next.js-apps, die worden binnengedrongen via de React2Shell kwetsbaarheid. Een script dat een meerfasige routine voor het verzamelen van credentials uitvoert, wordt in de standaard tijdelijke directory geplaatst. Volgens Cisco Talos onderzoekers omvatten de op deze manier gestolen gegevens:

*   Omgevingsvariabelen en geheimen (API keys, database credentials, GitHub/GitLab tokens)

*   SSH keys

*   Cloud credentials (AWS/GCP/Azure metadata, IAM credentials)

*   Kubernetes tokens

*   Docker/container informatie

*   Command history

*   Proces- en runtime data

Gevoelige gegevens worden in chunks geëxfiltreerd, elk verzonden via een HTTP verzoek over poort 8080 naar een command-and-control (C2)-server waarop de NEXUS Listener component draait. De aanvaller krijgt dan een gedetailleerd overzicht van de gegevens, inclusief zoek-, filter- en statistische inzichten.

De gestolen geheimen stellen aanvallers in staat om cloud accounts over te nemen en toegang te krijgen tot databases, betalingssystemen en andere diensten, en openen ook de deur naar supply chain aanvallen. SSH keys kunnen worden gebruikt voor laterale verplaatsing. Cisco benadrukt dat de gecompromitteerde gegevens, inclusief persoonlijk identificeerbare details, slachtoffers ook blootstellen aan wettelijke gevolgen van schendingen van de privacywetgeving.

De onderzoekers bevelen aan dat systeembeheerders de beveiligingsupdates voor React2Shell toepassen, server side datablootstelling controleren en alle credentials onmiddellijk roteren als er een vermoeden is van een compromis. Ook wordt aanbevolen om AWS IMDSv2 af te dwingen en alle hergebruikte SSH keys te vervangen. Ze moeten ook secret scanning inschakelen, WAF/RASP beveiligingen voor Next.js implementeren en least-privilege afdwingen in containers en cloudrollen om de impact te beperken.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com | Bron 3: hubs.li

Cybercrimeinfo heeft een dreigingsalert ontdekt van Int. Cyber Digest, waarin staat dat na grote diefstallen het witwassen van het geld vaak binnen 45 dagen volgt. Dit gebeurt voornamelijk via Chinese diensten, bridges en mixing protocollen.

Bron: Int. Cyber Digest

Noord-Korea zet IT medewerkers in bij crypto ondernemingen en gebruikt geavanceerde imitatietactieken gericht op leidinggevenden. Het aantal aanvallen is afgenomen, maar de buit is groter. Dit blijkt uit een threat intelligence alert dat Cybercrimeinfo heeft ontdekt. Het type dreiging is op dit moment nog onbekend.

Bron: Int. Cyber Digest

De security research community toont interesse in METATRON, een nieuw opensource penetration testing framework. Het framework valt op door zijn volledig offline, door AI gestuurde benadering van vulnerability assessment.

METATRON is gebouwd voor Parrot OS en andere Debian-gebaseerde Linuxdistributies. Het combineert geautomatiseerde reconnaissance tooling met een lokaal gehost large language model (LLM), waardoor cloudconnectiviteit, API keys of third-party subscriptions overbodig zijn.

METATRON is een CLI-gebaseerde penetration testing assistent, geschreven in Python 3. Het accepteert een target IP adres of domein en orkestreert autonoom een reeks standaard reconnaissance tools, waaronder nmap voor port scanning, nikto voor web server vulnerability detection, whois en dig voor DNS en registration data, whatweb voor technology fingerprinting, en curl voor HTTP header inspection.

Nadat de recon data is verzameld, worden alle resultaten direct doorgevoerd naar een lokaal draaiend AI model - metatron-qwen - een fine-tuned variant van het huihui_ai/qwen3.5-abliterated:9bbase model, specifiek aangepast voor penetration testing analysis. Het model wordt aangeboden via Ollama, een lokale LLM runner, en is geconfigureerd met een 16.384-token context window, een temperatuur van 0.7, top-k van 10, en top-p van 0.9 - parameters die zijn geoptimaliseerd voor nauwkeurige, technisch onderbouwde security analysis in plaats van creatieve generatie.

Een van de meer technisch opvallende features van METATRON is de agentic loop, het AI model kan autonoom extra tool executions aanvragen tijdens de analyse als het meer data nodig heeft voordat het een oordeel velt. Dit maakt een dynamische, iteratieve assessment workflow mogelijk in plaats van een enkele statische scan pass.

Het framework integreert ook DuckDuckGo-gebaseerde web search en CVE lookups zonder dat API credentials nodig zijn, waardoor het model ontdekte services en versies in real time kan cross-referencen met bekende public vulnerability databases.

METATRON gebruikt een five-table MariaDB schema om alle scan data te persisteren, gestructureerd rond een centrale history table, gekoppeld per session number (sl_no). Gekoppelde tables slaan ontdekte vulnerabilities op met severity ratings, aanbevolen fixes afkomstig van AI analysis, pogingen tot exploits met payloads en resultaten, en een volledige summary table met raw scan output naast de complete AI analysis dump en overall risk level.

Gebruikers kunnen elk opgeslagen record direct vanuit de CLI bewerken of verwijderen, en rapporten exporteren in PDF- of HTML-formaat voor documentatie of client delivery.

Het project is beschikbaar op GitHub onder de MIT License op github.com/sooryathejas/METATRON, met minimale hardware vereisten van 8.4 GB RAM voor de 9b model variant.

Bron: METATRON | Bron 2: github.com

De ransomwaregroep Krybit heeft aangekondigd dat het van plan is om binnen 9 tot 10 dagen data te publiceren. Cybercrimeinfo ontdekte deze dreiging op 2 april 2026. Het type dreiging is momenteel nog onbekend.

Bron: Darkweb

De Medusa-ransomwaregroep maakt in toenemende mate gebruik van nieuwe kwetsbaarheden, soms slechts dagen voordat deze openbaar worden gemaakt. Dit blijkt uit onderzoek van Microsoft. Microsoft publiceerde een analyse van de activiteiten van de groep, die recentelijk de verantwoordelijkheid claimde voor een aanval op het grootste ziekenhuis in Mississippi en een county in New Jersey.

Microsoft stelt dat de effectiviteit van Medusa opvallend is. In meerdere gevallen wist de groep binnen 24 uur van initiële toegang tot data-exfiltratie en ransomware-deployatie over te gaan. Medusa richt zich op kwetsbare, publiekelijk toegankelijke systemen in de periode tussen de bekendmaking van een kwetsbaarheid en de brede acceptatie van patches.

De dreigingsactor is succesvol in het identificeren van blootgestelde perimeter assets, met recente inbraken die zware gevolgen hebben voor organisaties in de gezondheidszorg, het onderwijs, de professionele dienstverlening en de financiële sector in Australië, het Verenigd Koninkrijk en de Verenigde Staten.

Incident responders hebben gezien dat Medusa-hackers direct na het binnendringen van systemen nieuwe gebruikersaccounts aanmaken om hun toegang te behouden. Hoewel veel aanvallen slechts 24 uur duren, lopen Medusa-incidenten doorgaans vijf tot zes dagen en maken ze gebruik van legitieme remote management tools zoals ConnectWise ScreenConnect, AnyDesk en SimpleHelp.

Microsoft benadrukt twee recente bugs, CVE-2026-23760 in SmarterMail en CVE-2025-10035 in GoAnywhere Managed File Transfer, als voorbeelden van kwetsbaarheden die door Medusa werden misbruikt, een week voordat ze openbaar werden gemaakt. CISA heeft eerder bevestigd dat CVE-2026-23760 en CVE-2025-10035 zijn gebruikt in ransomware aanvallen.

Microsoft adviseert organisaties om hun digitale footprint in kaart te brengen, zodat ze zich beter kunnen verdedigen tegen perimeter network attacks. Experts vermoeden dat de Medusa-operatie vanuit Rusland wordt geleid, gezien het vermijden van doelen in het Gemenebest van Onafhankelijke Staten, de activiteiten op Russische forums en het gebruik van Cyrillisch schrift in operationele tools.

De groep, die in 2021 opkwam, heeft herhaaldelijk blijk gegeven van de bereidheid om zich te richten op zorginstellingen en gemeentelijke overheden in de VS. De groep claimde recentelijk aanvallen op Passaic County in New Jersey en het University of Mississippi Medical Center (UMMC). Het ziekenhuis is op 2 maart volledig heropend met de hulp van de FBI en het Department of Homeland Security.

Cybersecurity-experts van Symantec hebben ook gezien dat leden van Lazarus, een Noord-Koreaanse hacking groep, Medusa-ransomware inzetten.

Bron: Microsoft | Bron 2: cisa.gov | Bron 3: halcyon.ai

Cybercrimeinfo heeft een dreigingsalert onderschept van Int. Cyber Digest over een proof-of-concept (PoC) dat misbruik maakt van de interne RPC interface (IMpService) van Microsoft Defender. De PoC maakt verbinding met deze interface en roept de "ServerMpUpdateEngineSignature" methode aan. Dit is dezelfde methode die Defender intern gebruikt om engine updates toe te passen. Hierdoor kan een aanvaller het SYSTEM-level proces van Defender naar een directory leiden die onder controle staat van de aanvaller.

Bron: Int. Cyber Digest

Een nieuw type aanval, genaamd GPUBreach, kan Rowhammer bit-flips veroorzaken op GPU GDDR6-geheugens, waardoor privileges kunnen worden verhoogd en een volledig systeemcompromis mogelijk wordt. GPUBreach is ontwikkeld door een team van onderzoekers aan de Universiteit van Toronto en de volledige details worden gepresenteerd op het IEEE Symposium on Security & Privacy op 13 april in Oakland.

De onderzoekers hebben aangetoond dat Rowhammer-geïnduceerde bit-flips in GDDR6 GPU-paginatabellen (PTE's) kunnen beschadigen en willekeurige GPU-geheugenlees- en schrijftoegang kunnen verlenen aan een niet-geprivilegieerde CUDA-kernel. Een aanvaller kan dit vervolgens koppelen aan een CPU-side escalatie door memory-safety bugs in de NVIDIA-driver te misbruiken, wat mogelijk kan leiden tot een volledig systeemcompromis zonder dat de Input-Output Memory Management Unit (IOMMU)-beveiliging hoeft te worden uitgeschakeld. IOMMU is een hardware-eenheid die beschermt tegen directe geheugenaanvallen. Het controleert en beperkt hoe apparaten toegang krijgen tot het geheugen door te beheren welke geheugenregio's toegankelijk zijn voor elk apparaat. Ondanks dat het een effectieve maatregel is tegen de meeste direct memory access (DMA)-aanvallen, stopt IOMMU GPUBreach niet.

De onderzoekers leggen uit dat GPUBreach aantoont dat GPU aanvallen met Rowhammer verder kunnen gaan dan datacorruptie en kunnen leiden tot echte privilege-escalatie. Door GPU-paginatabellen te beschadigen, kan een niet-geprivilegieerde CUDA-kernel willekeurige GPU-geheugenlees- en schrijftoegang krijgen en die mogelijkheid vervolgens koppelen aan CPU-side escalatie door nieuw ontdekte memory-safety bugs in de NVIDIA-driver te misbruiken. Het resultaat is een systeemwijd compromis tot aan een root shell, zonder IOMMU uit te schakelen, waardoor GPUBreach een grotere bedreiging vormt.

Dezelfde onderzoekers demonstreerden eerder GPUHammer, de eerste aanval die aantoonde dat aanvallen met Rowhammer op GPU's praktisch zijn, wat NVIDIA ertoe aanzette een waarschuwing aan gebruikers te geven en de activering van de System Level Error-Correcting Code-mitigatie voor te stellen om dergelijke pogingen op GDDR6-geheugen te blokkeren. GPUBreach tilt de dreiging echter naar een hoger niveau en laat zien dat het mogelijk is om niet alleen gegevens te corrumperen, maar ook om root privileges te verkrijgen met IOMMU ingeschakeld. De onderzoekers illustreerden de resultaten met een NVIDIA RTX A6000 GPU met GDDR6. Dit model wordt veel gebruikt in AI-ontwikkeling en training workloads.

De onderzoekers van de Universiteit van Toronto rapporteerden hun bevindingen op 11 november 2025 aan NVIDIA, Google, AWS en Microsoft. Google erkende het rapport en kende de onderzoekers een bug bounty van $600 toe. NVIDIA verklaarde dat het mogelijk zijn bestaande security notice van juli 2025 zal bijwerken om de nieuw ontdekte aanvalsmogelijkheden op te nemen. Zoals aangetoond door de onderzoekers is IOMMU alleen onvoldoende als GPU-gecontroleerd geheugen de vertrouwde driver state kan corrumperen, dus gebruikers die risico lopen, mogen niet uitsluitend op die beveiligingsmaatregel vertrouwen. Error Correcting Code (ECC)-geheugen helpt single-bit flips te corrigeren en double-bit flips te detecteren, maar is niet betrouwbaar tegen multi-bit flips. Uiteindelijk benadrukten de onderzoekers dat GPUBreach volledig niet wordt gemitigeerd voor consumenten-GPU's zonder ECC.

De onderzoekers publiceren op 13 april de volledige details van hun werk, inclusief een technisch paper en een GitHub-repository met het reproductiepakket en scripts. NVIDIA heeft aan BleepingComputer laten weten dat ze voor enterprise customer omgevingen aanbevelen om System Level Error-Correcting Codes in te schakelen om Rowhammer-style aanvallen te voorkomen. Dit is standaard ingeschakeld op de Hopper en Blackwell Data Center class van GPU's.

Bron: University of Toronto | Bron 2: github.com | Bron 3: gpubreach.ca

Cybercrimeinfo heeft een nieuwe ransomwaregroep ontdekt, genaamd "cry0". De groep heeft een eerste slachtoffer toegevoegd aan hun dark web portaal, zo blijkt uit informatie die Cybercrimeinfo heeft gevonden.

Bron: Darkweb

Cybercriminelen proberen in te spelen op de angst rondom het conflict tussen de Verenigde Staten, Israël en Iran door middel van phishingcampagnes gericht op het stelen van Microsoft-logingegevens. Onderzoekers van e-mailbeveiligingsbedrijf Cofense ontdekten dat de aanvallers valse noodwaarschuwingen versturen om mensen te bewegen hun wachtwoorden te onthullen.

Het Cofense Phishing Defense Center (PDC) heeft vastgesteld dat de aanvallers zich voordoen als het Ministerie van Binnenlandse Zaken en Civiele Bescherming, en e-mails versturen met als onderwerp "Public Safety Advisory – Action Recommended". Deze e-mails worden vaak verzonden vanaf een nep-adres: [email protected] Hoewel de phishing-mails niet expliciet de term "Iran missile alert" vermelden, verwijst de gebruikte taal, zoals dringende raketwaarschuwingen en instructies om dekking te zoeken, naar echte civiele beschermingsberichten die te zien zijn tijdens regionale spanningen met betrekking tot Israël en Iran.

De berichten zijn opzettelijk geschreven om paniek te zaaien. Ze tonen een "SEVERE / ACTIVE" waarschuwing en bevelen onmiddellijke dekking vanwege een raketaanval. In plaats van een normale weblink wordt de ontvanger gevraagd een QR-code te scannen om officiële noodprocedures te bekijken. Volgens het rapport van Cofense, gedeeld met Hackread.com, is dit een truc om beveiligingsfilters te omzeilen.

Wanneer het slachtoffer de QR-code scant, wordt hij doorgestuurd naar een valse "human check"-pagina op ministry.sharedfilescorps.com/interior/$, waar hij een vak moet aanklikken om te bewijzen dat hij geen robot is. Daarna wordt hij naar een nagemaakte Microsoft-loginpagina geleid, die sterk lijkt op de echte, maar in werkelijkheid een val is om zijn inloggegevens te stelen.

De onderzoekers benadrukken dat deze tactiek een klassiek voorbeeld is van social engineering, waarbij gebruik wordt gemaakt van paniek en autoriteit om gebruikers te misleiden snel te handelen zonder verificatie. De herhaalde formulering, het gebrek aan personalisatie en het gebruik van een QR-code in plaats van een geverifieerde bron wijzen allemaal op een massale phishing-poging om te profiteren van panieksituaties en impulsieve acties uit te lokken. Experts adviseren om nooit een wachtwoord in te typen op een site die via een onverwachte QR-code is gevonden.

Bron: Cofense

Uit een recent onderzoek van Lunar, een darkweb monitoring platform, blijkt dat 85% van de organisaties gestolen inloggegevens als een hoog risico beschouwt, waarbij 62% het zelfs als een van hun top drie prioriteiten ziet. Echter, veel bedrijven vertrouwen nog steeds op basisoplossingen en generieke tools om dit probleem aan te pakken.

Volgens het rapport "Cost of a Data Breach" van IBM kost een datalek waarbij inloggegevens zijn gecompromitteerd tussen de 4,81 en 4,88 miljoen dollar. Lunar observeerde in 2025 alleen al 4,17 miljard gecompromitteerde inloggegevens. Slechts 32% van de onderzochte bedrijven gebruikt speciale oplossingen voor het monitoren van inloggegevens, terwijl 17% helemaal geen tools heeft. Meer dan 60% van de organisaties controleert slechts maandelijks of zelden op gelekte inloggegevens.

Veelgebruikte oplossingen richten zich vaak op datalekken in plaats van infostealers, bevatten ULP's en niet-forensische infostealer data, hebben een hoge latency en verouderde databronnen, en missen automatisering, integraties en onderzoeksmogelijkheden.

Infostealers zoals LummaC2, Rhadamanthys, Vidar en Acreed omzeilen vaak de monitoring van bedrijven. Hoewel velen denken dat macOS veiliger is dan Windows, zijn er ook macOS-varianten zoals Atomic macOS Stealer (AMOS), Odyssey, MacSync, MioLab en Atlas. Moderne infostealers worden verkocht als producten met abonnementen, dashboards en documentatie gericht op het verzamelen van cookies, sessietokens en SaaS-toegang.

Sessiecookies bieden toegang zonder wachtwoordprompt, MFA-uitdaging en vaak zonder spoor in standaard authenticatielogboeken. Lunar biedt gratis monitoring van breaches en infostealers om te zien waar bedrijfsgegevens en sessiecookies al zijn blootgesteld.

Bron: Lunar

Een nieuwe aanvalscampagne richt zich op open-source repositories op GitHub. Cybercriminelen vermommen kwaadaardige code als reguliere CI (Continuous Integration) build configuratie updates. De campagne, genaamd prt-scan, maakt misbruik van een veelgebruikte GitHub Actions workflow trigger om gevoelige tokens, credentials en cloud secrets te stelen van ontwikkelaars. Deze ontwikkelaars activeren onbewust frauduleuze pull requests. De aanval is voor het eerst waargenomen, waarbij aanvallers de workflow trigger misbruiken om gevoelige informatie te verzamelen.

Bron: CyberSecurityNews

Cybercrimeinfo heeft een dreigingsalert onderschept van een darkweb bron, waaruit blijkt dat minder actieve dreigingsactoren nog steeds een onevenredig grote schade aanrichten. Spanje, Oekraïne en Italië laten de sterkste toename in impact zien. Deze editie introduceert de Industry Impact Exposure Matrix, een nieuw visueel model dat laat zien waar cyberrisico's geconcentreerd zijn.

Bron: Darkweb

Een dreigingsactor voert een actieve campagne uit op Reddit, waarbij gebruik wordt gemaakt van valse posts die gratis TradingView Premium toegang beloven. Via deze posts wordt malware verspreid: Vidar voor Windows en AMOS voor macOS. De operatie is nog steeds actief, waarbij nieuwe posts verschijnen zodra oudere worden verwijderd.

TradingView is een populair platform voor retail traders, crypto-investeerders en forex-enthousiastelingen. Het Premium-abonnement ontgrendelt geavanceerde indicatoren en real-time marktgegevens, maar veel gebruikers willen de kosten liever vermijden. De dreigingsactor speelt hierop in door op verschillende subreddits posts te plaatsen met stapsgewijze instructies die slachtoffers door de volledige infectieketen leiden zonder argwaan te wekken.

Analisten van Hexastrike hebben deze infecties herleid tot Reddit tijdens het behandelen van recente stealer-gevallen. Ze identificeerden één dreigingsactor die actief is op minstens vijf subreddits, met behulp van oude, gekochte of gecompromitteerde accounts om geloofwaardig over te komen. Opvallend is niet zozeer de technische complexiteit, maar de operationele discipline: hostingdomeinen worden vervangen zodra ze worden gemarkeerd, waarschuwingscommentaren van echte gebruikers worden binnen enkele minuten verwijderd en de posts lijken te zijn gegenereerd door een LLM om een consistente toon te behouden.

De subreddits vertellen een duidelijk verhaal. r/BitBullito en r/CryptoCurrencyDM hadden respectievelijk slechts twee en 29 abonnees, terwijl de accounts die er postten drie tot zes jaar oud waren, wat valse legitimiteit aan de operatie verleende. Een account, u/BroadDepartment573, had een "Four Year Club Reddit"-trofee, maar had slechts één post in zijn hele geschiedenis. Elke post volgt hetzelfde sjabloon en beweert dat de software is reverse-engineered en dat alle licentiecontroles zijn verwijderd. Er worden afzonderlijke downloadlinks aangeboden voor Windows, macOS en macOS 15 - een niveau van platform targeting dat laat zien dat de actor de Gatekeeper-beperkingen van Apple in macOS Sequoia begrijpt.

De payloads worden gehost op gecompromitteerde legitieme zakelijke websites, wat extra geloofwaardigheid verleent aan de downloadlinks. Op Windows is het uitgepakte uitvoerbare bestand opgeblazen tot meer dan 784 megabytes door null-byte padding in de PE-resource sectie, opzettelijk zo groot gemaakt dat het de antivirusscan limieten overschrijdt. Onder de padding bevindt zich een 44-kilobyte zelf-uitpakkend cabinet dat een batchscript met de naam Receipt.gif dropt. Ondanks de afbeeldings extensie is het een 235-regelig geobfuskeerd script dat een Vidar infostealer samenstelt uit gesplitste bestandsfragmenten met behulp van karakter substitutie om signature-based detectie te omzeilen. Het archiefwachtwoord - "github" of "codeberg" - wordt rechtstreeks in de Reddit-thread geplaatst, beide namen gekozen om legitieme ontwikkelaarsplatforms op te roepen en de verdenking te verminderen.

Op macOS is de download een schijfkopie die wordt gemount met een TradingView-branded achtergrond om een echte installer na te bootsen. Binnenin bevindt zich een compact 217-kilobyte Mach-O binary die een AMOS stealer decrypt met runtime via een polymorfe XOR-loop. Eenmaal uitgevoerd, verzamelt AMOS inloggegevens en cookies van Chrome, Firefox, Safari, Brave, Edge en Opera, kopieert wallet bestanden van Exodus, Electrum en MetaMask, en exfiltreert alles binnen enkele seconden via HTTP.

Organisaties zouden de geïdentificeerde distributiedomeinen moeten toevoegen aan webproxy- en DNS-blokkeerlijsten en moeten zoeken naar patronen waarbij Reddit-browsen snel wordt gevolgd door een grote ZIP-download van een niet-gerelateerd domein. Op Windows, markeer wextract.exe dat cmd.exe spawnt met vertraagde variabele expansie. Op macOS, monitor op niet-ondertekende applicaties die osascript aanroepen of onverwachte dscl authonly credential validatie pogingen doen. Iedereen die twijfelt over blootstelling, moet dit behandelen als een bevestigde compromis - browserwachtwoorden, sessiecookies en crypto wallet keys moeten allemaal als gestolen worden beschouwd. Het downloaden van gekraakte software blijft een van de meest betrouwbare manieren waarop dreigingsactoren vandaag de dag slachtoffers vinden.

Bron: Hexastrike

Uit onderzoek van Unit 42 blijkt dat Kubernetes-gerelateerde activiteiten van dreigingsactoren, waaronder het stelen van Kubernetes-tokens, het afgelopen jaar met 282% zijn toegenomen. De IT-sector was het meest getroffen en vertegenwoordigde meer dan 78% van de waargenomen activiteit.

Het onderzoek gaat verder dan traditionele container escape-scenario's en laat zien hoe dreigingsactoren Kubernetes-identiteiten misbruiken en blootgestelde aanvalsoppervlakken gebruiken om privileges te escaleren, waarbij ze van initiële toegang naar gevoelige backend cloudinfrastructuur gaan. Twee praktijkvoorbeelden illustreren de werking van deze aanvallen:

*   **Gestolen service account tokens:** In 2025 werd in 22% van de cloudomgevingen verdachte activiteit waargenomen die verband houdt met mogelijke diefstal van service account tokens. Aanvallers compromitteerden Kubernetes-identiteiten om lateraal te bewegen van een productiecluster naar de financiële kernsystemen van een cryptocurrency exchange.

*   **React2Shell (CVE-2025-55182):** Binnen twee dagen na de openbaarmaking van deze kwetsbaarheid werden aanvallen op cloudservices waargenomen. Aanvallers maakten gebruik van deze applicatiekwetsbaarheid om op afstand code uit te voeren binnen Kubernetes-workloads. Hierdoor konden ze backdoors installeren en gevoelige informatie stelen, zoals cloud credential files en database wachtwoorden.

Deze gevallen illustreren een gemeenschappelijk aanvalspatroon: het misbruiken van misconfiguraties of kwetsbaarheden om remote code execution in de container te bereiken, het stelen van Kubernetes-identiteiten uit de container, en het gebruiken van de gestolen identiteiten om privileges te escaleren over clusters en cloudservices.

Bron: Unit 42 | Bron 2: github.com | Bron 3: attack.mitre.org

De Duitse politie heeft twee mannen beschuldigd van het uitvoeren van 130 ransomware aanvallen in Duitsland. De verdachten zouden betrokken zijn geweest bij de leiding van de ransomwaregroep GandCrab/REvil, zo meldt het Bundeskriminalamt (BKA). De aanvallen vonden plaats tussen 2019 en in ieder geval juli 2021.

Bij de aanvallen werden bestanden versleuteld en data gestolen. De ransomwaregroep dreigde de gestolen data openbaar te maken als slachtoffers het gevraagde losgeld niet betaalden. In 25 gevallen betaalden de getroffen organisaties. De totale losgeldbetalingen bedroegen 1,9 miljoen euro. De economische schade van de ransomware aanvallen wordt geschat op meer dan 35 miljoen euro. Volgens het BKA bevinden de verdachten zich vermoedelijk in Rusland. De autoriteiten hebben om informatie over de verblijfplaats van het tweetal gevraagd.

Bron: Politie

Meerdere bedrijven zijn het slachtoffer geworden van datadiefstal nadat een SaaS integratieprovider was gecompromitteerd en authenticatietokens waren gestolen. Hoewel diverse cloudopslag- en SaaS leveranciers doelwit waren met behulp van de gestolen tokens, blijkt uit onderzoek van Cybercrimeinfo dat de meeste datadiefstalaanvallen gericht waren op het cloud dataplatform Snowflake.

Snowflake heeft aan Cybercrimeinfo bevestigd dat er "ongewone activiteit" is waargenomen bij een klein aantal klanten. Snowflake benadrukt dat de aanvallen geen betrekking hebben op een kwetsbaarheid of compromittering van hun systemen.

De aanvallers probeerden de gestolen authenticatietokens te gebruiken om data van Salesforce te stelen, maar dit werd gedetecteerd voordat ze succes konden boeken.

Volgens diverse bronnen is het datalek te herleiden naar een beveiligingsincident bij data analysebedrijf Anodot, dat real time anomaly detection biedt voor bedrijfs- en operationele data. Anodot werd in november 2025 overgenomen door Glassbox.

De ShinyHunters extortiegroep claimt verantwoordelijk te zijn voor de aanvallen en eist losgeld om te voorkomen dat gestolen data wordt vrijgegeven. De groep beweert data van tientallen bedrijven te hebben gestolen en zegt dat hun poging om data van Salesforce te stelen werd geblokkeerd door AI detectie.

Payoneer bevestigde aan Cybercrimeinfo op de hoogte te zijn van het incident bij Anodot, maar stelt dat Payoneer geen impact heeft ondervonden. Google's Threat Intelligence Group is op de hoogte van het incident en volgt het.

Cybercrimeinfo heeft Anodot en Glassbox om een reactie gevraagd, maar nog geen antwoord ontvangen.

Bron: adaptivesecurity.com | Bron 2: hubs.li

Op het darkweb wordt een dataset aangeboden met de gegevens van 1,2 miljoen Franse bankklanten. De dataset zou afkomstig zijn van FICOBA (Fichier des Comptes Bancaires et Assimilés), het Franse nationale register van bankrekeningen dat wordt beheerd door de Franse belastingdienst. De aanbieder, die de naam "bestdata" gebruikt, claimt dat de gegevens afkomstig zijn van meer dan 15 Franse banken.

De dataset bevat een breed scala aan persoonlijke en financiële gegevens, waaronder volledige namen, geboortedata, geboorteplaats en -departement, burgerservicenummers, belasting identificatienummers (SPI), IBANs, BIC/SWIFT codes, banknamen en -filiaalinformatie, rekeningtypen, telefoonnummers, e-mailadressen, hoofd- en secundaire adressen, informatie over familieleden (namen en geboortedata) en mogelijke wachtwoorden.

De combinatie van IBANs, burgerservicenummers, belasting identificatienummers en volledige identiteitsgegevens maakt dit een aantrekkelijk pakket voor identiteitsfraude. Aanvallers zouden de gegevens kunnen gebruiken om frauduleuze SEPA overboekingen te initiëren, valse belastingaangiften in te dienen, rekeningen te openen op naam van slachtoffers of gerichte social engineering uit te voeren.

De volgende banken worden genoemd als bron van de gegevens: BNP Paribas, Societe Generale, Credit Lyonnais (LCL), Credit Agricole (meerdere regionale banken), Caisse d'Epargne, Credit Mutuel, CIC, Banque Populaire, AXA Banque, Boursorama, Revolut, Monabanq, Carrefour Banque, HSBC, Allianz Banque, BRED, BforBank en andere regionale instellingen.

Cybercrimeinfo heeft de MITRE ATT&CK mapping van deze dreiging geanalyseerd: T1589.001 (Gather Victim Identity: CredentialsHarvests), T1213 (Data from Information Repositories), T1657 (Financial Theft) en T1567 (Exfiltration Over Web Service).

Bron: Darkweb

Sinds eind 2023 voert een groep hackers, bekend als REF1695, een cryptomining operatie uit door malware te verstoppen in valse software installers. Volgens onderzoek van Elastic Security Labs is dit geen poging tot snelle winst, maar een systeem dat ontworpen is om maandenlang onopgemerkt te blijven en de computer te gebruiken voor het delven van cryptocurrency.

De aanval begint met een nep download, vaak een ISO bestand. Om beveiligingscontroles te omzeilen, bevatten de hackers een ReadMe.txt bestand dat gebruik maakt van social engineering. Hierin wordt beweerd dat de software afkomstig is van een klein non-profit team van ontwikkelaars dat geen officiële Windows certificaten kan betalen en de software gratis aanbiedt. Gebruikers worden overgehaald om SmartScreen te omzeilen door op "Meer info" en "Toch uitvoeren" te klikken.

In plaats van de beloofde software installeert een reeks loaders een toolkit bestaande uit CNB Bot, PureRAT en SilentCryptoMiner. Deze tools geven de hackers toegang tot bestanden, de mogelijkheid om hun code bij te werken en de computer te gebruiken voor cryptocurrency mining.

De malware monitort het systeem van het slachtoffer voortdurend op 35 verschillende beveiligingstools, van Task Manager tot Wireshark. Als een van deze tools wordt geopend, stopt de malware direct het mining proces, waardoor de prestaties van de computer weer normaal worden. Zodra de tool wordt gesloten, start de miner weer op.

De hackers verdienen geld door middel van cryptojacking, waarbij ze via een driver genaamd WinRing0x64.sys toegang krijgen tot de processor om Monero (XMR) te minen. Onderzoekers hebben vier specifieke wallets gevonden die al meer dan 27.88 Monero (ongeveer $9.400) hebben verzameld. Daarnaast worden slachtoffers misleid tot CPA (Cost Per Action) fraude, waarbij ze enquêtes moeten invullen of zich moeten aanmelden voor proefabonnementen om een registratiesleutel te ontgrendelen, waardoor de hackers een commissie verdienen voor elke aanmelding.

Om verborgen te blijven, host de groep kwaadaardige bestanden op platforms zoals GitHub en gebruikt high level RSA-2048 encryptie om hun bots te controleren. De beste bescherming tegen deze dreiging is het vermijden van onofficiële installatieprogramma's en gekraakte software. Als een download vraagt om handmatig beveiligingsfuncties uit te schakelen, is het vrijwel zeker een valstrik.

Bron: Elastic

Automated penetration testing tools (pentesting) leveren vaak een stortvloed aan kritieke bevindingen bij de eerste uitvoering, maar de bruikbaarheid ervan neemt snel af. Gemiddeld, tegen de vierde of vijfde uitvoering, rapporteren de tools dezelfde oude problemen. Dit fenomeen staat bekend als de "Validation Gap", het groeiende verschil tussen wat organisaties daadwerkelijk valideren en wat ze rapporteren als gevalideerd. De markt begint te beseffen dat, hoewel geautomatiseerde pentesting een krachtige functie is, het een steeds gevaarlijkere strategie wordt wanneer deze geïsoleerd wordt gebruikt.

Securityonderzoekers noemen dit de Proof of Concept (PoC) Cliff: de sterke daling van het aantal nieuwe bevindingen zodra de tool zijn vaste scope heeft uitgeput. Geautomatiseerde pentesting oplossingen leveren hun beste resultaten bij de eerste uitvoering. Binnen enkele cycli zijn de exploiteerbare paden binnen hun scope uitgeput. Dat betekent echter niet dat de omgeving veilig is. Het betekent alleen dat de tool zijn limieten heeft bereikt, terwijl diepere problemen ongetest blijven. Dit is het structurele plafond van een tool die werkt tegen een deterministisch oppervlak. Het is een architecturale beperking, geen operationele.

Breach and Attack Simulation (BAS) daarentegen, emuleert continu en veilig aanvalstechnieken, malware payloads, laterale bewegingen en exfiltratie om te verifiëren of specifieke beveiligingscontroles daadwerkelijk hun werk doen. BAS voert duizenden onafhankelijke, atomic simulaties uit. Elke techniek krijgt zijn eigen schone uitvoering. Een geblokkeerde exfiltratietest via DNS verhindert niet dat exfiltratie via HTTPS vervolgens wordt getest. Een mislukte laterale bewegingstechniek weerhoudt de tool er niet van om 19 andere te testen.

Geautomatiseerde pentesting en BAS delen het brede doel van validatie, maar ze gebruiken verschillende methoden om verschillende vragen te beantwoorden. BAS is een reeks onafhankelijke metingen. Het primaire doel is om te testen of de verdediging bekende dreigingsgedragingen blokkeert of erop alerteert. Geautomatiseerde penetratietesten daarentegen zijn directioneel. Het neemt een meer chirurgische, vijandige benadering door kwetsbaarheden en verkeerde configuraties aan elkaar te koppelen op de manier waarop een echte aanvaller dat zou doen. Het blinkt uit in het blootleggen van complexe aanvalspaden.

Bron: Picus Security | Bron 2: hubs.li

Cybercrimeinfo heeft een ransomware alert ontdekt waarin de KRYBIT ransomware claimt FRAFER COMERCIAL S.A.C. (fraper.com) te hebben aangevallen. FRAFER COMERCIAL is een in Spanje gevestigd management consulting bedrijf. De ransomware groep zou van plan zijn om de data binnen 9 tot 10 dagen te publiceren. De melding werd op 7 april 2026 gerapporteerd.

Bron: Darkweb

Op 7 april 2026 publiceerden Amy Ciminnisi en Pierre Cadieux van Cisco Talos een analyse van de ransomware- en kwetsbaarheidstrends die 2025 kenmerkten. De analyse gaat in op de aanhoudende ransomware dreigingen gericht op de maakindustrie en de opkomst van heimelijke "living off the land"-tactieken. Talos geeft inzicht in hoe organisaties verder kunnen gaan dan alleen reageren op bedreigingen en hoe ze een veerkrachtigere, proactieve beveiligingshouding kunnen opbouwen voor het komende jaar. De onderzoekers bespreken waarom aanvallers zich steeds vaker richten op de managementinfrastructuur van bedrijven en hoe men het verschil kan zien tussen een systeembeheerder en een dreigingsactor.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Het National Cyber Security Centre (NCSC), onderdeel van GCHQ, heeft een nieuw advies gepubliceerd waarin staat hoe Russische cyberactoren veelgebruikte routers hebben gecompromitteerd. Hierdoor kunnen ze internetverkeer heimelijk omleiden via kwaadaardige servers onder hun controle.

Het advies waarschuwt dat de Russische staatscybergroep APT28 kwetsbare internetrouters heeft misbruikt om DNS hijacking mogelijk te maken. Dit geeft de aanvallers de mogelijkheid om verkeer te onderscheppen en inloggegevens, waaronder wachtwoorden en toegangstokens, van persoonlijke web- en e-maildiensten te verzamelen. Bij een DNS hijackingaanval grijpen actoren in in dit proces om gebruikers heimelijk naar kwaadaardige websites te sturen die zijn ontworpen om inloggegevens of andere gevoelige informatie te stelen.

De activiteit is waarschijnlijk opportunistisch van aard, waarbij de actor een breed net uitwerpt om veel potentiële slachtoffers te bereiken, alvorens zich te richten op doelwitten van inlichtingenbelang naarmate de aanval zich ontwikkelt. APT28 is eerder door het Verenigd Koninkrijk in verband gebracht met het GRU 85th Main Special Service Centre (GTsSS), Military Unit 26165 van Rusland.

Paul Chichester, NCSC Director of Operations, zegt dat deze activiteit aantoont hoe misbruikte kwetsbaarheden in veelgebruikte netwerkapparaten kunnen worden ingezet door geavanceerde, vijandige actoren. Het NCSC spoort organisaties en netwerkverdedigers aan om zich vertrouwd te maken met de technieken die in het advies worden beschreven en het mitigatieadvies op te volgen. Het NCSC zal doorgaan met het blootleggen van Russische kwaadaardige cyberactiviteiten en praktische begeleiding bieden om Britse netwerken te helpen beschermen. Organisaties en netwerkverdedigers worden aangemoedigd het mitigatieadvies op te volgen om zich effectief te beschermen tegen DNS hijackingaanvallen, waaronder het beschermen van de beheerinterfaces van systemen, het zorgen dat apparaten en software worden onderhouden en up to date zijn, en het instellen van tweestapsverificatie.

Het NCSC heeft APT 28 / Unit 26165, ook bekend als Fancy Bear, Forest Blizzard, de Sednit Gang en Sofacy, eerder al genoemd voor het inzetten van geavanceerde malware genaamd AUTHENTIC ANTICS en het richten op westerse logistieke entiteiten en technologiebedrijven.

Bron: NCSC | Bron 2: gov.uk | Bron 3: krebsonsecurity.com

Uit een rapport van Keeper Security blijkt dat veel bedrijven er niet in slagen om non human identities (NHI's) te beheren, waardoor er aanzienlijke beveiligingsgaten ontstaan. NHI's zijn softwarematige assets zoals service accounts, API keys en AI gestuurde tools die systeem tot systeem interacties mogelijk maken zonder menselijke tussenkomst. Het onderzoek, dat exclusief met Hackread.com werd gedeeld, ondervroeg 109 cybersecurity experts.

Uit het onderzoek blijkt dat bijna de helft (46%) van de bedrijven AI gestuurde tools toegang geeft tot hun meest gevoelige data en kritieke systemen. Ondanks dit feit heeft 76% van deze organisaties geen consistente regels om deze identiteiten te beheren onder privileged access policies. Dit betekent dat software buitensporige privileges krijgt zonder adequate supervisie.

Een van de grootste problemen die Keeper Security identificeerde, is een gebrek aan zichtbaarheid. Slechts 28% van de ondervraagde professionals zegt dat ze elke non human identity in hun cloud-, office- en SaaS omgevingen kunnen zien. Dit is een groot probleem, aangezien 53% van de experts dit gebrek aan zichtbaarheid in AI, automatisering en machine access als hun grootste beveiligingsrisico beschouwt. Zonder een helder overzicht van deze verbindingen kunnen security teams geen least privilege access afdwingen.

Het rapport onthult dat meer dan 40% van de ondervraagde experts toegeeft dat hun bedrijf het afgelopen jaar een security incident heeft gehad met machine credentials of NHI's. Nog eens 32% wist niet zeker of ze getroffen waren. Slechts 26% van de bedrijven gebruikt geautomatiseerde detectie en response om te controleren wat deze machines doen, terwijl de meeste nog steeds vertrouwen op trage, handmatige processen.

Darren Guccione, CEO van Keeper Security, stelt dat deze verschuiving nieuwe complexiteit rondom identiteit introduceert en een unified aanpak vereist. Een softwareplatform dat password management en secrets control combineert, is essentieel om data veilig te houden. Het beheren van AI Agents moet nu een topprioriteit worden om te voorkomen dat hackers een groot datalek veroorzaken.

Bron: Keeper Security

Cisco Talos heeft een toename waargenomen in het misbruik van notificatiekanalen van populaire samenwerkingsplatforms zoals GitHub en Jira voor de verspreiding van spam- en phishingmails. Deze e-mails worden verzonden via de legitieme mail delivery infrastructuur van GitHub en Jira, waardoor ze minder snel geblokkeerd worden. Door gebruik te maken van de ingebouwde notificatiefunctionaliteit van deze platforms, kunnen aanvallers e-mailbeveiliging en monitoringoplossingen omzeilen en hun slachtoffers effectiever bereiken.

Deze campagnes zijn vaak gericht op phishing en het oogsten van inloggegevens, wat kan leiden tot verdere aanvallen zodra de credentials zijn gecompromitteerd of initiële toegang is verkregen. Tijdens een campagne op 17 februari 2026, bleek ongeveer 2,89% van de verzonden e-mails van GitHub gerelateerd te zijn aan dit misbruik.

Het Platform as-a-Proxy (PaaP) model maakt misbruik van SaaS functies om e-mails te genereren die voldoen aan alle standaard authenticatievereisten (SPF, DKIM en DMARC). Aanvallers maken repositories aan en pushen commits met payloads in de commit messages. De gebruikersinterface heeft twee velden voor tekstinvoer, een verplichte samenvatting en een optionele, uitgebreide beschrijving. Aanvallers gebruiken de samenvatting voor de initiële social engineering hook en de uitgebreide beschrijving voor de daadwerkelijke scam content, zoals valse factuurgegevens of frauduleuze supportnummers.

Bij Jira wordt de functie voor collaboratieve uitnodigingen misbruikt. Aanvallers hebben geen toegang tot de onderliggende HTML/CSS templates van Atlassian's e-mails, maar misbruiken de datavelden die het platform in die templates injecteert. Wanneer een aanvaller een Jira Service Management project aanmaakt, kan hij verschillende velden configureren. Wanneer het platform een geautomatiseerde "Customer Invite" of "Service Desk" notificatie verstuurt, wordt de input van de aanvaller automatisch verpakt binnen een cryptografisch ondertekende, vertrouwde e-mailtemplate.

Bron: Cisco Talos | Bron 2: github.com

Uit het jaaroverzicht van Talos voor 2025 blijkt dat verouderde infrastructuur en identiteitssystemen belangrijke doelwitten waren voor aanvallers. Vooral kwetsbaarheden in PHPUnit, ColdFusion en Log4j, die vaak diep in applicaties zijn ingebed, bleven een probleem. De snelle opkomst van React2Shell als een van de meest gebruikte aanvalsmethoden in de laatste weken van 2025 benadrukt de snelheid waarmee nieuwe kwetsbaarheden kunnen worden uitgebuit.

De inzet van Agentic AI voor het ontwikkelen en inzetten van proof of concepts en exploit kits heeft de tijd die aanvallers nodig hebben om kwetsbaarheden uit te buiten aanzienlijk verkort. Dit heeft geleid tot een verschuiving in het dreigingslandschap, waarbij verdedigers steeds minder tijd hebben om te reageren.

Aanvallers richten zich steeds meer op software en firmware in netwerkapparatuur, systemen die identiteiten beheren en veelgebruikte open source componenten. Remote code execution (RCE)-kwetsbaarheden, die toegang mogelijk maken zonder gebruikersinteractie, zijn hierbij favoriet. Het compromitteren van identiteitssystemen stelt aanvallers in staat om authenticatiecontroles te omzeilen en toegang te krijgen tot systemen, zelfs met multi factor authenticatie (MFA).

Talos adviseert organisaties om hun identiteit centrische netwerkcomponenten en beheerplatforms te evalueren en prioriteit te geven aan het patchen van netwerkapparatuur. Het is belangrijk om patching gaps en policy weaknesses in vendor lifecycles aan te pakken.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Meerdere maintainers van het Node.js project zijn doelwit geworden van social engineering aanvallen. De aanvallers, die eerder al de maintainer van het Axios project compromitteerden, benaderden verschillende ontwikkelaars via LinkedIn en andere kanalen. Dat meldt securitybedrijf Socket in een analyse.

Onder de doelwitten bevonden zich onder andere de ontwikkelaar van WebTorrent, StandardJS en buffer, maintainers van honderden ECMAScript polyfills en shims, de ontwikkelaar van Lodash, de maintainer van Fastify, Pino en Undici, leden van de Node Package Maintenance Working Group, medewerkers van Platformatic, de bedenker van Dotenv, een maintainer van mocha, neostandard, npm run-all2 en type fest en personen betrokken bij de Node.js Security Working Group.

Eén van de aangevallen maintainers beschreef hoe de aanvallers probeerden hem een malafide app te laten installeren. Toen hij dit weigerde, vroegen ze hem een curl commando in zijn terminal uit te voeren. Nadat de maintainer ook hier niet op inging, verdwenen de aanvallers en verwijderden ze alle gesprekken.

De aanvalsmethode lijkt op die gebruikt bij de hack van de Axios maintainer. Die werd benaderd door aanvallers die zich voordeden als de oprichter van een bedrijf. Ze vroegen hem deel te nemen aan een videogesprek via Microsoft Teams, waarbij hij een melding kreeg dat software op zijn systeem verouderd was en hij iets moest installeren. In werkelijkheid ging het om een remote access trojan (RAT) waarmee de aanvallers toegang kregen tot zijn systeem en session cookies, tokens en andere credentials konden stelen. Via het gehackte account werden besmette versies van Axios gepubliceerd, die bij slachtoffers een RAT installeerden.

De aanvallers zouden gelieerd zijn aan het Noord Koreaanse regime en zich in het verleden hebben beziggehouden met aanvallen op cryptobedrijven en personen die over veel crypto bezitten. Sommige van de aangevallen maintainers zijn verantwoordelijk voor packages met 114 miljoen en 137 miljoen wekelijkse downloads.

"Het npm ecosysteem geeft aanvallers een ander soort toegang, schrijfrechten voor packages die worden gebruikt in de software supply chain van bedrijven wereldwijd", aldus Socket. Een beveiligingsonderzoeker stelt dat het belangrijk is dat slachtoffers en doelwitten hun verhalen blijven delen.

Bron: Socket

07 april 2026 | Hackers misbruiken Kubernetes configuratiefouten voor toegang tot cloudaccounts

Cybercriminelen exploiteren misconfiguraties in Kubernetes clusters om containers te verlaten en direct toegang te krijgen tot de cloudaccounts waarin ze worden gehost. Volgens recente telemetriegegevens is het aantal dreigingsoperaties gerelateerd aan Kubernetes, waaronder diefstal van service account tokens, het afgelopen jaar met 282% gestegen. De informatie technologiesector is goed voor meer dan 78% van alle waargenomen activiteit.

De aanvallen zijn berekend en maken misbruik van zwakke identiteitsconfiguraties en te permissieve toegangscontroles. Het doel is om vanuit een eerste toegangspunt door te dringen tot de kern van de cloudinfrastructuur. In ongeveer 22% van de in 2025 geobserveerde cloudomgevingen werd verdachte activiteit vastgesteld die verband houdt met diefstal van service account tokens.

Deze incidenten volgen een duidelijk patroon, code executie verkrijgen binnen een container, gemonteerde credentials extraheren, API permissies testen en zich verplaatsen naar waardevollere cloud resources. Unit 42 onderzoekers hebben deze groeiende dreiging geïdentificeerd aan de hand van real world inbraakgevallen. Hieruit blijkt hoe dreigingsactoren Kubernetes misconfiguraties combineren met misbruik van cloud credentials om ernstige financiële en operationele schade te veroorzaken. Een van de meest alarmerende voorbeelden is een inbraak die verband houdt met Slow Pisces, een door de staat Noord Korea gesteunde groep die ook bekend staat als Lazarus en TraderTraitor.

Medio 2025 richtte deze groep zich op een cryptocurrency exchange, nadat ze via spearphishing persistentie hadden gekregen op het werkstation van een ontwikkelaar. Met behulp van de actieve, geprivilegieerde cloudsessie van de ontwikkelaar plaatsten de aanvallers een kwaadaardige pod rechtstreeks in het Kubernetes cluster voor productie. Deze pod was gebouwd om het gemonteerde service account token bloot te leggen, een JSON Web Token (JWT) dat Kubernetes automatisch toewijst aan pods voor authenticatie met de API server. Het gestolen token behoorde tot een hooggeprivilegieerd management service account met brede RBAC permissies. Met behulp van deze gestolen identiteit authenticeerde de dreigingsactor zich bij de Kubernetes API server, maakte een lijst van geheimen, communiceerde met workloads in verschillende namespaces en plaatste een backdoor in een productiepod om permanente toegang te behouden.

De aanval stopte niet bij de clustergrens. Met behulp van de privileges die aan het gestolen token waren verbonden, verplaatste de dreigingsactor zich lateraal van Kubernetes naar het bredere cloudplatform. Ze kregen toegang tot backend systemen, haalden gevoelige credentials op en bereikten de financiële infrastructuur van de exchange, wat resulteerde in de diefstal van miljoenen aan cryptocurrency.

Een tweede belangrijk incident betrof CVE-2025-55182, een kritieke kwetsbaarheid in React Server Components, bekend als React2Shell. Deze kwetsbaarheid werd op 3 december 2025 openbaar gemaakt. Binnen twee dagen werd deze actief misbruikt gericht op cloudservices. Aanvallers misbruikten onveilige deserialisatie in het React Server Components flight protocol om code executie te bereiken binnen applicatiecontainers. Van daaruit verzamelden ze service account tokens, ondervroegen ze de Kubernetes API en verzamelden ze cloud credentials uit omgevingsvariabelen, waardoor ze toegang kregen tot het cloudaccount om backdoors te installeren en cryptominers te implementeren.

Om de blootstelling te verminderen, wordt aanbevolen om het principe van de minste privileges af te dwingen via strikte RBAC policies en het vermijden van wildcard permissies over service account rollen. Langdurige statische tokens moeten worden vervangen door kortstondige, geprojecteerde service account tokens die automatisch verlopen. Runtime monitoring tools die ongebruikelijke procesuitvoering, onverwachte uitgaande verbindingen en ongeautoriseerde toegang tot gevoelige systeempaden in containers signaleren, zijn essentieel. Kubernetes audit logs moeten altijd zijn ingeschakeld en beoordeeld, omdat ze de vroegste tekenen van API misbruik, token toegang en laterale verplaatsing tussen namespaces vastleggen.

07 april 2026 | Kritieke Flowise kwetsbaarheid CVE-2025-59528 wordt actief misbruikt

Hackers maken misbruik van een kritieke kwetsbaarheid (CVE-2025-59528) in het open source platform Flowise, dat gebruikt wordt voor het bouwen van LLM apps en agentic systemen. De kwetsbaarheid maakt het mogelijk om willekeurige code uit te voeren. Het probleem is dat de Flowise CustomMCP node configuratie instellingen toestaat om verbinding te maken met een externe Model Context Protocol (MCP) server, waarbij de mcpServerConfig input van de gebruiker onveilig wordt geëvalueerd. Tijdens dit proces kan JavaScript worden uitgevoerd zonder de veiligheid ervan te valideren. Succesvolle exploitatie kan leiden tot het uitvoeren van commando's en toegang tot het bestandssysteem.

De ontwikkelaar heeft het probleem aangepakt in Flowise versie 3.0.6. De meest recente versie is 3.1.1, die twee weken geleden is uitgebracht. Flowise is een low code platform waarmee gebruikers via een drag and drop interface componenten kunnen verbinden tot pipelines voor chatbots, automatisering en AI systemen.

Caitlin Condon, security researcher bij VulnCheck, meldde dat de exploitatie van CVE-2025-59528 is gedetecteerd door hun Canary netwerk. Hoewel de activiteit beperkt lijkt en afkomstig is van één Starlink IP adres, waarschuwen de onderzoekers dat er tussen de 12.000 en 15.000 Flowise instances online beschikbaar zijn. Het is echter onduidelijk welk percentage van deze servers kwetsbaar is. Condon merkt op dat de waargenomen activiteit met betrekking tot CVE-2025-59528 plaatsvindt naast CVE-2025-8943 en CVE-2025-26319, die ook invloed hebben op Flowise en waarvoor actieve exploitatie is waargenomen.

VulnCheck biedt exploit samples, network signatures en YARA rules aan haar klanten. Gebruikers van Flowise wordt aangeraden om zo snel mogelijk te upgraden naar versie 3.1.1 of ten minste 3.0.6. Ook wordt aangeraden om de instances van het publieke internet te verwijderen indien externe toegang niet nodig is.

Safetensors, een serialisatieformaat voor tensors en metadata in machinelearning modellen, is toegetreden tot de PyTorch Foundation. Dit formaat, ontwikkeld door Hugging Face, is ontworpen om de distributie van AI modellen veiliger te maken door het risico op willekeurige code uitvoering te minimaliseren. De aankondiging volgt op de toetreding van Helion tot de stichting en werd bekendgemaakt tijdens de eerste Europese PyTorch conferentie in Parijs.

Marc Collier, Executive Director van de PyTorch Foundation, benadrukt het belang van het uitbreiden van de capaciteiten van bestaande projecten en het toevoegen van nieuwe projecten. Safetensors sluit zich aan bij PyTorch, DeepSpeed, Ray, vLLM en Helion binnen de stichting. Het project wil een bekend risico aanpakken dat voortkomt uit oudere pickle gebaseerde formaten, waarbij modelbestanden kunnen worden misbruikt om niet vertrouwde code uit te voeren zodra ze worden geladen.

Collier verduidelijkt dat oudere formaten in sommige gevallen code injectie in open weight modellen mogelijk maken. SafeTensors is een nieuw formaat om modellen te publiceren, zodat duidelijk is dat ze zijn wat ze beweren te zijn. Het project leent zich volgens hem om een standaard te worden, waarbij de hele sector baat heeft bij een oplossing die breed wordt geadopteerd en door contributies veiliger wordt gemaakt.

Safetensors is inmiddels uitgegroeid tot een breed gebruikt formaat voor de distributie van modellen en bijbehorende metadata in het open source ML ecosysteem. Met de opname in de PyTorch Foundation krijgt het project een meer formele plaats binnen het open source AI landschap. De Foundation verstevigt hiermee haar positie als een organisatie die een groeiend ecosysteem aan open tools ondersteunt die open AI mogelijk maken.

Bron: Hugging Face

Onderzoekers van Unit 42 hebben een manier ontdekt om de netwerkisolatie van de Amazon Bedrock AgentCore Code Interpreter sandbox te omzeilen. Dit maakt het mogelijk om data te versturen en te ontvangen van externe endpoints via DNS tunneling. AgentCore is een framework waarmee organisaties AI agents kunnen bouwen, implementeren en beheren. De Code Interpreters, die het mogelijk maken voor AI agents om dynamisch code uit te voeren, worden door AgentCore beschermd door ze in sandbox modus te isoleren van externe netwerktoegang.

Het onderzoek toonde aan dat deze isolatie niet volledig is. Unit 42 identificeerde een kritieke security regressie waarbij de AgentCore Runtime gebruikmaakte van een microVM Metadata Service (MMDS) zonder sessie token af te dwingen. Voor de fixes van AWS zou deze configuratie het mogelijk hebben gemaakt voor een aanvaller om standaard webkwetsbaarheden, zoals server side request forgery (SSRF), te misbruiken om direct gevoelige credentials te extraheren, waardoor de gehele omgeving risico liep.

De bevindingen zijn gemeld aan het AWS Security team, waarna AWS interne aanpassingen heeft doorgevoerd en mitigatiestrategieën voor klanten heeft opgesteld. Gebruikers kunnen de beheerde omgeving niet direct patchen, maar kunnen wel gebruikmaken van platform level controls die AWS biedt.

Palo Alto Networks klanten zijn beter beschermd tegen de bedreigingen die in dit artikel worden besproken door middel van Cortex AI SPM en Cortex Cloud Identity Security.

Bron: Unit 42 | Bron 2: aws.amazon.com | Bron 3: owasp.org

De dreigingsactor UNC6783 compromitteert business process outsourcing (BPO)-providers om toegang te krijgen tot waardevolle bedrijven in diverse sectoren. Volgens de Google Threat Intelligence Group (GTIG) zijn tientallen bedrijven via deze methode doelwit geweest om gevoelige gegevens te stelen voor afpersing.

Austin Larsen, principal threat analyst bij GTIG, stelt dat UNC6783 doorgaans gebruik maakt van social engineering en phishing campagnes om BPO's te compromitteren die samenwerken met de beoogde bedrijven. Er zijn ook gevallen bekend waarbij de hackers rechtstreeks contact opnamen met support- en helpdeskmedewerkers binnen de doelorganisaties, in een poging om rechtstreekse toegang te verkrijgen. De onderzoekers vermoeden een verband tussen UNC6783 en Raccoon, een persona die bekend staat om het aanvallen van meerdere BPO's die diensten verlenen aan grote bedrijven.

Bij social engineering aanvallen via live chat stuurt de dreigingsactor supportmedewerkers naar vervalste Okta loginpagina's die worden gehost op domeinen die de domeinen van het doelbedrijf nabootsen en het patroon [.]zendesk support [.]com volgen. Het phishing kit dat bij deze aanvallen wordt ingezet, kan de inhoud van het klembord stelen om multi-factor authenticatie (MFA) te omzeilen, waardoor de aanvaller zijn apparaat kan registreren bij de organisatie. Google heeft ook aanvallen waargenomen waarbij UNC6783 valse beveiligingsupdates verspreidde om remote access malware te leveren.

Na het stelen van gevoelige gegevens gaat de dreigingsactor over tot het afpersen van slachtoffers, waarbij contact wordt opgenomen via ProtonMail adressen met betalingseisen. Hoewel GTIG geen verdere informatie over Raccoon gaf, meldde International Cyber Digest onlangs dat iemand die de alias "Mr. Raccoon" gebruikte, een inbreuk bij Adobe claimde, die het bedrijf nog moet bevestigen. De aanvaller claimde toegang te hebben gekregen tot Adobe gegevens na het compromitteren van een in India gevestigde BPO die voor het bedrijf werkte. Ze zetten een remote access trojan (RAT) in op de computer van een medewerker en richtten zich vervolgens op de manager van de medewerker in een phishing aanval. Mr. Raccoon zei dat ze 13 miljoen support tickets hadden gestolen met persoonlijke gegevens, personeelsgegevens, HackerOne inzendingen en interne documenten. De dreigingsactor achter de CrunchyRoll inbreuk bevestigde dat hij ook achter de Adobe aanval zat, maar leverde geen bewijs.

Mandiant, onderdeel van Google, heeft verschillende aanbevelingen gedaan om UNC6783-aanvallen te voorkomen, waaronder het implementeren van FIDO2 beveiligingssleutels voor MFA, het monitoren van live chat op misbruik, het blokkeren van vervalste domeinen die overeenkomen met Zendesk patronen en het regelmatig controleren van MFA apparaatregistraties.

Bron: Google Threat Intelligence

Een nieuwe campagne die de Atomic Stealer malware verspreidt onder macOS gebruikers, maakt misbruik van de Script Editor in een variant van de ClickFix aanval. Deze aanvalsmethode misleidt gebruikers om commando's uit te voeren in Terminal. Script Editor is een standaard macOS applicatie voor het schrijven en uitvoeren van scripts, voornamelijk AppleScript en JXA, die lokale scripts en shell commando's kan uitvoeren. Het is een vertrouwde applicatie die standaard op macOS systemen is geïnstalleerd.

Beveiligingsonderzoekers van Jamf hebben een nieuwe campagne waargenomen waarbij slachtoffers worden benaderd via valse Apple thema websites. Deze sites doen zich voor als handleidingen om schijfruimte vrij te maken op Mac computers. De pagina's bevatten legitiem ogende instructies voor systeemopschoning, maar gebruiken het applescript:// URL schema om Script Editor te starten met vooraf ingevulde, uitvoerbare code.

De kwaadaardige code voert een versluierd 'curl | zsh'-commando uit, dat een script downloadt en direct in het systeemgeheugen uitvoert. Dit script decodeert een base64 + gzip payload, downloadt een binair bestand (/tmp/helper), verwijdert beveiligingsattributen via 'xattr -c', maakt het uitvoerbaar en voert het uit. De uiteindelijke payload is een Mach-O binair bestand, geïdentificeerd als Atomic Stealer (AMOS).

Atomic Stealer is een malware-as-a-service die op grote schaal wordt ingezet in ClickFix campagnes. De malware richt zich op gevoelige data, waaronder informatie opgeslagen in de Keychain, desktop en browser cryptocurrency wallet extensions, browser autofill data, wachtwoorden, cookies, opgeslagen creditcards en systeeminformatie. Vorig jaar heeft AMOS ook een backdoor component toegevoegd om operators persistent toegang te geven tot gecompromitteerde systemen.

Mac gebruikers wordt aangeraden Script Editor prompts als risicovol te beschouwen en te vermijden deze uit te voeren, tenzij ze volledig begrijpen wat ze doen en de bron vertrouwen. Voor macOS handleidingen wordt aanbevolen uitsluitend gebruik te maken van officiële documentatie van Apple.

Bron: Jamf

Op 8 april 2026 heeft een dreigingsactor, bekend als s1ic3r, naar verluidt 175 MB aan gecomprimeerde documenten, schema's en intellectueel eigendom gelekt van Shanghai Fudan Microelectronics Group, Ltd. (FMSH). Fudan Microelectronics is een Chinees halfgeleiderbedrijf dat zich specialiseert in het ontwerp, de ontwikkeling en de levering van systeemoplossingen voor grootschalige geïntegreerde schakelingen (VLSI). Het bedrijf staat genoteerd aan de Shanghai Stock Exchange.

De gelekte gegevens omvatten naar verluidt interne documenten, schema's en intellectueel eigendom. De schema's bevatten gedetailleerde ontwerpen van chiparchitecturen, circuit lay-outs en component specificaties. De gelekte schema's zouden concurrenten in staat kunnen stellen om propriëtaire ontwerpen te reverse engineeren, hardwarematige kwetsbaarheden in chips te identificeren en inzicht te krijgen in de Chinese halfgeleidercapaciteiten.

Fudan Micro producten worden gebruikt in smartcards, beveiligingschips, RFID, niet-vluchtig geheugen en microcontrollers voor algemene doeleinden.

De MITRE ATT&CK technieken die gebruikt zijn, omvatten:

* T1190 Exploit Public Facing Application, gericht op de infrastructuur van het halfgeleiderbedrijf om toegang te krijgen tot interne systemen met propriëtaire IC ontwerpen, schema's en bedrijfsdocumentatie.

* T1213 Data from Information Repositories, extraheert interne documenten, circuitschema's en intellectueel eigendom uit het documentbeheer en de engineering systemen van het bedrijf.

* T1560 Archive Collected Data, verpakt de gestolen halfgeleider IP in een gecomprimeerd, wachtwoord beveiligd archief voor gratis distributie via webforums.

* T1567 Exfiltration Over Web Service: Distribueert het gelekte intellectuele eigendom als een gratis download met een openbaar gedeeld wachtwoord, waardoor de blootstelling van propriëtaire halfgeleiderontwerpen wordt gemaximaliseerd.

Bron: Cybercrimeinfo

Uit een vergelijkend onderzoek van Specops Software blijkt dat dure AI GPU's geen voordeel bieden bij het kraken van wachtwoorden ten opzichte van high-end consumenten GPUs. De onderzoekers vergeleken de Nvidia H200 en AMD MI300X AI accelerators met de Nvidia RTX 5090, Nvidia's topmodel consumenten GPU, om te zien of de duurdere AI hardware sneller wachtwoorden kan kraken.

De test maakte gebruik van Hashcat, een veelgebruikte tool voor wachtwoordherstel, om de benchmarks voor verschillende hashing algoritmen te meten: MD5, NTLM, bcrypt, SHA-256 en SHA-512. Deze algoritmen komen vaak voor in Active Directory omgevingen, van oudere, snelle hashes tot modernere algoritmen met sterkere cryptografie.

De resultaten toonden aan dat de RTX 5090 in alle geteste algoritmen betere prestaties leverde dan de AI accelerators in termen van hashgeneratiesnelheid. De RTX 5090 haalde bijna twee keer de snelheid van de H200. Een H200 kost minstens tien keer zo veel als een RTX 5090, waardoor de prijs prestatieverhouding opvallend is.

In 2017 bouwde IBM al een wachtwoordkraakinstallatie met acht Nvidia GTX 1080s, die een vergelijkbare of betere NTLM hash kraaksnelheid behaalde (334 GH/s) dan de huidige AI accelerators. Dit toont aan dat gespecialiseerde hardware niet nodig is voor het kraken van wachtwoorden.

Het onderzoek concludeert dat het echte risico voor organisaties ligt bij zwakke wachtwoorden. Een complex wachtwoord (cijfers, hoofdletters, kleine letters en symbolen) kan met SHA-256 in slechts 21 uur gekraakt worden. Het handhaven van sterke wachtwoorden, met name de lengte, is essentieel. Een 15-karakter wachtwoord met dezelfde complexiteit zou, gehasht met SHA-256, ongeveer 167 miljard jaar nodig hebben om te kraken, zelfs met krachtige GPU hardware.

Bron: Specops Software

De beruchte groep hackers, door Microsoft Threat Intelligence gevolgd als Storm-1175, veroorzaakt wereldwijd grote verstoring door de inzet van de Medusa ransomware. Storm-1175 specialiseert zich in het aanvallen van kwetsbare perimeter assets – systemen en apparaten die het bedrijfsnetwerk direct met het publieke internet verbinden – die nog geen beveiligingsupdates hebben gehad.

De groep richt zich op N-day kwetsbaarheden, beveiligingslekken die al openbaar zijn gemaakt. Waar sommige hackers maandenlang in een systeem verborgen blijven, voltooit Storm-1175 de klus vaak in slechts enkele dagen. In sommige gevallen stelen ze data en vergrendelen ze een heel netwerk binnen 24 uur. Microsoft onderzoekers merken op dat Storm-1175 snel van exploits wisselt in de periode tussen openbaarmaking en de beschikbaarheid van een patch.

Dit tempo werd duidelijk tijdens een recente aanval op een SAP NetWeaver systeem (CVE-2025-31324). Het lek werd op 24 april 2025 bekendgemaakt, en op 25 april gebruikte de groep het al om Medusa ransomware operaties te lanceren. Deze efficiëntie heeft grote problemen veroorzaakt voor scholen, advocatenkantoren en ziekenhuizen in het Verenigd Koninkrijk, de Verenigde Staten en Australië.

Uit verder onderzoek bleek dat de groep sinds 2023 al meer dan 16 verschillende lekken heeft misbruikt, waaronder software zoals Papercut (CVE-2023-27351) en JetBrains TeamCity (CVE-2024-27198). Ze zijn ook verrassend goed in het gebruik van zero-day exploits. Begin 2026 troffen ze een dienst genaamd SmarterMail (CVE-2026-23760), een week voordat iemand wist dat er een lek bestond.

Eenmaal binnen kapen ze alledaagse kantoor tools zoals AnyDesk en ConnectWise ScreenConnect om zich onopgemerkt te verplaatsen. Onderzoekers merkten op dat ze ook een tool genaamd PDQ Deployer gebruiken om de ransomware in één keer naar elke computer te verspreiden, terwijl tools zoals Rclone en Bandizip worden gebruikt om bestanden in te pakken en te stelen.

Storm-1175 is bedreven in security tampering. Na de eerste toegang gebruiken ze speciale permissies om de computer’s eigen antivirus te vertellen de C:\-drive te negeren door deze toe te voegen aan een exclusion path. Dit verblindt het systeem, waardoor de ransomware kan draaien zonder te worden gestopt.

Adrian Culley, Senior Sales Engineer bij SafeBreach, stelt dat Storm-1175 een verschuiving vertegenwoordigt in de manier waarop hackers opereren. Het vermogen van de groep om nieuwe lekken in enkele uren te bewapenen, creëert een gevaarlijke mismatch voor bedrijven die vertrouwen op trage, traditionele security checks. Culley benadrukt dat er een duidelijke escalatie is in de snelheid en coördinatie van operaties die verband houden met Storm-1175, met name in hoe snel nieuw ontdekte en zelfs zero-day kwetsbaarheden worden geoperationaliseerd.

Bron: Microsoft Threat Intelligence

Anthropic heeft Claude Mythos aangekondigd, een nieuw AI model dat is ontworpen om kwetsbaarheden en beveiligingsproblemen in software op te sporen. Het model is het resultaat van Project Glasswing, een samenwerking tussen grote technologiebedrijven zoals Amazon, Apple, Microsoft en Google. Project Glasswing is een initiatief dat kritieke software moet beveiligen met behulp van geavanceerde AI. Het maakt gebruik van het Claude Mythos Preview model, dat zelfstandig kwetsbaarheden kan vinden en uitbuiten in populaire systemen en applicaties. Naast de eerder genoemde bedrijven zijn ook Broadcom, CrowdStrike en Palo Alto Networks betrokken bij Project Glasswing.

Volgens Logan Graham, Frontier Red Team Lead bij Anthropic, is het model beschikbaar voor bedrijven die cruciale code beheren, zodat zij beveiligingsrisico's kunnen beperken. Anthropic beweert dat Claude Mythos Preview in korte tijd duizenden zero-day kwetsbaarheden heeft ontdekt in grote besturingssystemen en webbrowsers. Het model werkt grotendeels autonoom en heeft onder meer een 27 jaar oud lek in OpenBSD en een 16 jaar oude fout in FFmpeg opgespoord, ondanks miljoenen eerdere geautomatiseerde tests.

In benchmarks zoals CyberGym behaalde Mythos Preview een score van 83,1 procent op het reproduceren van kwetsbaarheden, vergeleken met 66,6 procent voor het oudere Opus 4.6-model. Ook bij andere evaluaties, zoals SWE bench Pro en Terminal Bench 2.0, presteert Mythos Preview beter dan zijn voorganger. Partners zoals AWS, Cisco en Microsoft zien in deze technologie een kans om software proactief te beveiligen en sneller kwetsbaarheden te dichten.

Anthropic erkent dat een dergelijk AI model ook misbruikt kan worden als het in verkeerde handen terechtkomt. Daarom is het model niet voor iedereen beschikbaar. Project Glasswing is een samenwerking waarbij Anthropic tot 100 miljoen dollar aan gebruikskredieten beschikbaar stelt voor deelnemende organisaties. De focus op open source is belangrijk, omdat veel moderne software afhankelijk is van open source componenten. Project Glasswing geeft kleinere ontwikkelteams en vrijwilligers toegang tot AI tools om hun software te scannen en te beveiligen, wat de algehele weerbaarheid van het digitale ecosysteem versterkt.

AI speelt een steeds belangrijkere rol in cyberbeveiliging, zowel aan de kant van aanvallers als verdedigers. Microsoft lanceerde recentelijk Microsoft Agent 365, dat een extra beveiligingslaag moet bieden voor AI agenten.

Bron: Anthropic

Onderzoekers van Netskope Threat Labs hebben een nieuwe aanval ontdekt, de zogenaamde aClickFixattack campagne, die sinds begin 2025 snel verspreidt. Deze campagne is gericht op het stelen van cryptocurrency van Windows gebruikers door middel van een valse CAPTCHA. Wanneer een nietsvermoedende gebruiker op de CAPTCHA klikt, wordt er op de achtergrond een verborgen PowerShell commando uitgevoerd. Dit commando haalt een bestand genaamd NodeServer Setup-Full.msi op van cloud verificatecom.

De gedownloade malware is een Remote Access Trojan (RAT) die gebruikmaakt van een eigen Node.js runtime. Hierdoor kan de malware op elke Windows pc draaien zonder afhankelijk te zijn van andere software. Om detectie te voorkomen, maakt de malware direct gebruik van het Tor netwerk om zijn verkeer te maskeren. Het installeert zichzelf in een map genaamd LogicOptimizer en voegt een sleutel toe aan het Windows Registry om ervoor te zorgen dat het bij elke opstart wordt geladen.

De malware is modulair van opzet, wat betekent dat de meest schadelijke delen van de code niet direct op de harde schijf worden opgeslagen. In plaats daarvan worden modules dynamisch van een server gedownload en in het tijdelijke geheugen van de computer bewaard, waardoor ze moeilijk te detecteren zijn met standaard scans. Voordat de malware begint met het stelen van cryptocurrency, voert het een 'fingerprint' check uit om het systeem te scannen. Het controleert de Windows versie, het CPU type en het beschikbare RAM. Er wordt ook gezocht naar meer dan 30 beveiligingsproducten, waaronder Windows Defender, Kaspersky, Norton en McAfee. Als de computer te goed beveiligd lijkt, blijft de malware inactief om detectie te voorkomen.

De onderzoekers ontdekten dat het hier niet om het werk van een eenzame hacker gaat, maar om een Malware-as-a-Service (MaaS) operatie. De onderzoekers kregen inzage in het admin panel, waar bestanden als support.proto en admin.proto een structurele kaart van de backend onthulden. De hackers gebruiken een protocol genaamd gRPC om in real time te communiceren met de geïnfecteerde computer. Dit stelt de individuele scammers die de technologie huren in staat om via Tor gebaseerde communicatie cryptocurrency wallets te volgen en succesmeldingen naar hun eigen Telegram kanalen te sturen.

Bron: Netskope

Cybercriminelen misbruiken legitieme notificaties van Meta Business Manager om phishing-e-mails te verspreiden. De campagne richt zich op bedrijven wereldwijd en maakt gebruik van een van de meest vertrouwde tools in digitale marketing: het Meta’s Business Manager platform. De e-mails lijken exact op echte Meta notificaties, waardoor het bijna onmogelijk is om een legitiem bericht van een valstrik te onderscheiden.

Wat deze aanval onderscheidt, is dat de e-mails niet afkomstig zijn van een nep- of verdacht adres, maar rechtstreeks van de Meta infrastructuur. De aanval begint wanneer cybercriminelen frauduleuze Facebook Business pagina's creëren die lijken op echte merken of geverifieerde Meta partners. Deze pagina's gebruiken professioneel ogende logo's en namen die de officiële Meta branding nabootsen. Zodra een neppagina live is, maken de aanvallers gebruik van de legitieme "partner request"-functie binnen Meta Business Manager om uitnodigingsmails naar hun doelwitten te sturen.

Omdat dit een echte Meta tool is, worden de meldingen verzonden vanaf facebookmail.com, een geverifieerd Meta communicatiedomein. Dit maakt het bijna onmogelijk om ze te markeren met behulp van standaard authenticatiecontroles zoals SPF en DKIM. Trustwave SpiderLabs analisten hebben deze campagne geïdentificeerd en merkten op dat dreigingsactoren opzettelijk legitieme Meta Facebook Business Manager partner notificaties misbruiken om phishing-e-mails te bezorgen bij nietsvermoedende gebruikers.

De schaal van deze campagne is aanzienlijk. Onderzoekers hebben meer dan 40.000 phishing-e-mails getraceerd die naar meer dan 5.000 organisaties in de Verenigde Staten, Europa, Canada en Australië zijn verzonden. Bedrijven die sterk afhankelijk zijn van Meta's advertentietools, zoals onroerend goed, onderwijs, automotive, hospitality en financiën, werden het zwaarst getroffen. Hoewel de meeste organisaties een paar honderd van deze berichten ontvingen, ontving één bedrijf meer dan 4.200 phishing-e-mails.

Wanneer een slachtoffer op de link in de phishing notificatie klikt, worden ze omgeleid naar een nagemaakte inlogpagina die er precies zo uitziet als de officiële interface van Meta. Deze neppagina's worden meestal gehost op externe domeinen, zoals vercel.app, om onmiddellijke detectie door beveiligingstools te voorkomen. Slachtoffers wordt vervolgens gevraagd om hun Meta inloggegevens, zakelijke e-mailadres en in sommige gevallen een two factor authentication (2FA)-code in te voeren. De 2FA bypass is alarmerend omdat aanvallers hiermee de volledige controle over het account kunnen krijgen, zelfs wanneer een extra beveiligingslaag is ingeschakeld.

security experts adviseren bedrijven en particulieren om nooit op links in e-mails te klikken, zelfs niet als ze afkomstig lijken van een vertrouwde bron zoals Meta. Ga altijd rechtstreeks naar het platform door het adres in de browser te typen. Multi-factor authenticatie moet worden ingeschakeld, maar gebruikers moeten voorzichtig blijven met het invoeren van verificatiecodes op pagina's die via een e-mail link worden bereikt. Organisaties moeten werknemers regelmatig trainen om onverwachte Meta Business notificaties te herkennen en in twijfel te trekken, met name die waarin om accountverificatie of deelname aan advertentieprogramma's wordt gevraagd. Bedrijven moeten ook periodiek alle partnertoegang binnen Meta Business Manager controleren en alle niet-herkende of ongeautoriseerde accounts onmiddellijk verwijderen.

Bron: Check Point

Een omvangrijke campagne, die bijna 100 webwinkels treft die het Magento e-commerce platform gebruiken, verbergt code voor het stelen van creditcardgegevens in een Scalable Vector Graphics (SVG) afbeelding van pixelgrootte. Wanneer het slachtoffer op de afrekenknop klikt, verschijnt er een overtuigende overlay die kaartgegevens en factuurgegevens kan valideren.

De campagne werd ontdekt door het e-commerce beveiligingsbedrijf Sansec. Onderzoekers van Sansec vermoeden dat de aanvallers toegang hebben gekregen door misbruik te maken van de PolyShell kwetsbaarheid, die half maart werd onthuld. PolyShell treft alle stabiele versies van Magento Open Source en Adobe Commerce 2, waardoor niet-geauthenticeerde code uitvoering en accountovername mogelijk is. Sansec waarschuwde dat meer dan de helft van alle kwetsbare winkels doelwit waren van PolyShell aanvallen, waarbij in sommige gevallen betaalkaartskimmers werden ingezet die WebRTC gebruikten voor stealthy data exfiltratie.

In de meest recente campagne ontdekten de onderzoekers dat de malware wordt geïnjecteerd als een 1x1-pixel SVG element met een 'onload'-handler in de HTML van de doelwebsite. "De onload handler bevat de volledige skimmer payload, base64 gecodeerd in een atob() call en uitgevoerd via setTimeout," legt Sansec uit. "Deze techniek vermijdt het creëren van externe scriptreferenties die beveiligingsscanners doorgaans markeren. De volledige malware bevindt zich inline, gecodeerd als een enkel stringattribuut."

Wanneer nietsvermoedende kopers klikken op 'afrekenen' in gecompromitteerde winkels, onderschept een kwaadaardig script de klik en toont een valse "Secure Checkout" overlay met velden voor kaartgegevens en een factuurformulier. Betalingsgegevens die op deze pagina worden ingediend, worden in realtime gevalideerd met behulp van de Luhn verificatie en geëxfiltreerd naar de aanvaller in een XOR gecodeerde, base64 geobfuskeerde JSON indeling.

Sansec identificeerde zes exfiltratie domeinen, die allemaal worden gehost bij IncogNet LLC (AS40663) in Nederland, en elk gegevens ontvangt van 10 tot 15 bevestigde slachtoffers.

Om zich te beschermen tegen deze campagne, beveelt Sansec het volgende aan:

* Zoek naar verborgen SVG tags met een onload attribuut dat atob() gebruikt en verwijder deze uit uw sitebestanden.

* Controleer of de _mgx_cv-sleutel bestaat in browser localStorage, omdat dit aangeeft dat betalingsgegevens mogelijk zijn gestolen.

* Monitor en blokkeer verzoeken aan /fb_metrics.php of andere onbekende analytics achtige domeinen.

* Blokkeer al het verkeer naar het IP adres 23.137.249.67 en bijbehorende domeinen.

Adobe heeft nog geen beveiligingsupdate uitgebracht om de PolyShell kwetsbaarheid in productie versies van Magento aan te pakken. De leverancier heeft alleen een fix beschikbaar gesteld in de pre-release versie 2.4.9-alpha3+. Website eigenaren/beheerders wordt geadviseerd alle beschikbare maatregelen toe te passen en, indien mogelijk, Magento te upgraden naar de nieuwste bètaversie.

Bron: Sansec