Alles gaat mis: wat het nieuws van vandaag ons vertelt over digitale kwetsbaarheid
Het is een dinsdag in april, en de wereld van digitale veiligheid heeft het druk. Niet op de goede manier. Hieronder een overzicht van de opvallendste incidenten en trends van vandaag, want als er één ding is dat dit blog samenbindt, dan is het dit: systemen falen. Altijd. Overal.
Rusland hackt je thuisrouter
Het grootste verhaal van vandaag is de APT28-campagne, gekoppeld aan de Russische militaire inlichtingendienst GRU. Ze hebben op grote schaal thuisrouters en kleine bedrijfsrouters gecompromitteerd om DNS te kapen en Microsoft 365-inloggegevens te stelen.
De aanval werkt simpel en effectief: zodra een router onder controle is, wordt inkomend verkeer omgeleid. Gebruikers denken in te loggen bij hun eigen Microsoft-omgeving, maar hun wachtwoorden en tokens gaan rechtstreeks naar Moskou.
Meerdere organisaties rapporteren hierover tegelijk: het Britse NCSC, Microsoft zelf, en Krebs on Security. Dat is geen toeval. Dit is breed, gecoördineerd en actief.
Wat gaat hier mis? Thuisrouters worden zelden gepatcht. Fabrikanten geven ze jaren support, of helemaal niet. Consumenten herkennen ze niet als aanvalsvlak. En toch zitten ze tussen het open internet en alles wat je doet.
Gerelateerde bronnen:
- NCSC: APT28 exploit routers to enable DNS hijacking operations
- Microsoft: SOHO router compromise leads to DNS hijacking
- Krebs on Security: Russia Hacked Routers to Steal Microsoft Office Tokens
- BleepingComputer: Authorities disrupt DNS hijacks used to steal Microsoft 365 logins
Een golf van kritieke kwetsbaarheden
Vandaag zijn er meerdere ernstige kwetsbaarheden tegelijk in het nieuws. Dat is geen bijzonderheid meer. Dat is de norm.
Flowise (een populaire AI agent builder) heeft een CVSS 10.0 RCE-kwetsbaarheid die actief wordt uitgebuit. Meer dan 12.000 instanties zijn blootgesteld aan het internet. Een maximale score op de ernst-schaal, gecombineerd met actieve exploitatie en een groot aanvalsoppervlak: het kan eigenlijk niet slechter.
Fortinet FortiClient heeft een zero-day gekregen waarvoor noodpatches zijn uitgebracht. Zero-days in beveiligingssoftware zijn extra wrang, want je installeert het juist om veiliger te zijn.
Docker (CVE-2026-34040) laat aanvallers autorisatie omzeilen en toegang krijgen tot de host. Containers zijn geen magische scheiding.
GPUBreach is een nieuwe aanvalstechniek die via GPU-geheugen (GDDR6 bit-flips, vergelijkbaar met rowhammer) volledige CPU-privileges kan escaleren. Hardware-aanvallen die via software worden getriggerd worden steeds toegankelijker.
Gerelateerde bronnen:
- The Hacker News: Flowise AI Agent Builder Under Active CVSS 10.0 RCE Exploitation
- BleepingComputer: Max severity Flowise RCE vulnerability now exploited in attacks
- Dark Reading: Fortinet Issues Emergency Patch for FortiClient Zero-Day
- The Hacker News: Docker CVE-2026-34040 Lets Attackers Bypass Authorization
- BleepingComputer: New GPUBreach attack enables system takeover via GPU rowhammer
AI helpt aanvallers sneller werken
Er was een tijd dat supply chain-aanvallen op GitHub een aanzienlijke investering in tijd en vaardigheid vereisten. Die tijd lijkt voorbij. Een AI-geassisteerde aanval op GitHub toont aan dat de drempel voor complexe aanvallen zakt.
Tegelijk worden SaaS-notificatiepipelines als aanvalsvector ingezet: legitieme diensten zoals Slack-meldingen, e-mailintegraties en webhooks worden misbruikt om malware te verspreiden of gegevens te exfiltreren. Ze zien eruit als normaal verkeer, omdat ze dat grotendeels ook zijn.
En dan is er nog GrafanaGhost: een kwetsbaarheid waarbij via AI-injectie gegevens worden gestolen uit Grafana-dashboards. Prompt injection, maar dan in je monitoringtool.
Gerelateerde bronnen:
- Dark Reading: AI-Assisted Supply Chain Attack Targets GitHub
- Talos Intelligence: The Trojan horse of cybercrime: Weaponizing SaaS notification pipelines
- Hackread: GrafanaGhost Vulnerability Allows Data Theft via AI Injection
China, ransomware en zero-days
Storm-1175, gekoppeld aan China, maakt gebruik van zero-day kwetsbaarheden om Medusa-ransomware snel uit te rollen. De combinatie van statelijke actoren met ransomware-as-a-weapon wordt een terugkerend patroon.
Tegelijk identificeerden Duitse autoriteiten de leiders achter REvil en GandCrab, twee van de meest destructieve ransomware-operaties ooit. Goed nieuws, maar het laat ook zien hoe lang dit soort operaties ongestoord kunnen draaien.
Gerelateerde bronnen:
- The Hacker News: China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware
- BleepingComputer: German authorities identify REvil and GandCrab ransomware bosses
- Talos Intelligence: Talos Takes: 2025’s ransomware trends and zombie vulnerabilities
CISA krijgt 700 miljoen dollar minder, precies nu het misgaat
De Amerikaanse regering wil het budget van CISA, het nationale cyberbeveiligingsagentschap, met 700 miljoen dollar korten. Dit terwijl Russische en Chinese actoren actief aanvallen uitvoeren op kritieke infrastructuur en er een waarschuwing is voor Iraanse hackers die zich richten op diezelfde infrastructuur.
Het is het equivalent van bezuinigen op de brandweer terwijl de stad in brand staat.
Gerelateerde bronnen:
- TechCrunch: Trump administration plans to cut cybersecurity agency’s budget by $700 million
- BleepingComputer: US warns of Iranian hackers targeting critical infrastructure
Conclusie: het systeem faalt niet toevallig
Wat vandaag opvalt is niet dat er dingen misgaan. Dat is altijd zo. Wat opvalt is de schaal, de snelheid, en het gebrek aan structurele tegendruk.
Thuisrouters worden niet gepatcht. AI verlaagt de aanvalsdrempel. Kritieke tools zoals Flowise draaien onbeveiligd op het open internet. En de overheden die het meest zouden moeten doen, krimpen juist in.
Systemen falen. Maar soms is het geen bug. Het is een keuze.
Bronnen zijn verzameld op 7 april 2026. Zie de links per sectie hierboven.
Photo by Stephen Phillips - Hostreviews.co.uk on Unsplash
