Defender zero-days, telecom-APT's en autonome AI-aanvallen — wat ik deze week in de SOC-logbooks zag

Vorige week zat ik in de SOC-bridgelijn toen een collega meldde: "Defender is gecrasht op drie werkstations, tegelijk." Mijn eerste instinct was: patchen we straks wel. Mijn tweede, na het CISA KEV-bericht: dit kön weleens geen storing zijn. Die ervaring, hoe snel een "gewoon incident" kantelt naar een security-event, is precies waarom ik deze drie signalen deze week aan elkaar knoop. De aanvalsketen versnelt. Als SOC moeten we sneller leren schakelen tussen patchmanagement, dreigingsanalyse en strategische risico-inschatting.

1. Microsoft Defender zero-days: security tooling als attack surface

Op 20 mei 2026 voegde CISA twee Defender-kwetsbaarheden toe aan de KEV-catalogus, met een BOD 22-01 deadline van 3 juni 2026. De eerste, CVE-2026-41091, is een Local Privilege Escalation (CWE-59: Improper Link Resolution) met een NVD-score van 7.8 HIGH, een lokale, geautoriseerde gebruiker kan rechten verhogen naar SYSTEM. De tweede, CVE-2026-45498, is een Denial of Service met een opvallend scoreverschil: NVD geeft 7.5 HIGH (netwerkvector, AV:N), Microsoft als CNA geeft 4.0 MEDIUM (lokale vector). Beide beschrijven dezelfde kwetsbaarheid, maar met fundamenteel andere aannames over de aanvalsvector. Wat telt voor een SOC: CISA vond beide ernstig genoeg voor KEV-opname.

Een kwetsbaarheid in je endpoint protection heeft een ander risicoprofiel dan eentje in Word of Exchange. Een aanvaller die LPE (CVE-2026-41091) combineert met Defender-DoS (CVE-2026-45498) opent een pad waarin detectie, preventie én containment onder druk komen staan. Daarom draaien we in ons SOC nu drie detectiehypotheses: (1) Defender EoP, abnormale privilege-overgang op een kwetsbare engine-versie; (2) security-control degradation, onverklaarbare Defender-service-statuswijzigingen buiten maintenance windows; (3) exploit chain, degradation gevolgd door verdacht proces, credential access of lateral movement. De kernvragen: welke engine- en platform-versies draaien op de endpoints, zijn updates succesvol uitgerold, en zijn er recente crashes of disabled states geweest?

2. Telecom APT: Showboat en JFMBackdoor, strategischer dan een endpointincident

De tweede dreiging is geen zero-day, maar een langlopende, gerichte campagne. Publieke rapportage (BleepingComputer, Dark Reading, Lumen Black Lotus Labs, PwC) beschrijft Chinese cyberespionage tegen telecomproviders, toegeschreven aan Calypso / Red Lamassu. De malware: Showboat/kworker op Linux, JFMBackdoor op Windows. De campagne is sinds medio 2022 actief.

Waarom dit ook relevant is als je geen telecomprovider bent: telecomproviders geven toegang tot metadata, interconnects, lawful-intercept-omgevingen, roaming, backbone-infrastructuur, DNS en routing. Een backdoor in zo'n omgeving is geen endpointincident, het is een strategisch intelligence-risk. Voor enterprises is dit een third-party en concentration-risk signaal: veel organisaties draaien op telecom-, MSP- en cloud-interconnects die over dezelfde infrastructurele knooppunten lopen.

Detectiestrategie, TTP-georiënteerd: let op onbekende processen met kernel/worker-achtige namen in Linux EDR, nieuwe systemd-units of cronjobs in syslog/journald, low-and-slow outbound beaconing in NetFlow/DNS, onbekende services of verdachte DLL-loading in Windows EDR, ongebruikelijke admin-logins in IAM/PAM, en infrastructurele correlatie via Calypso/Red Lamassu-indicatoren.

Signaal	Operationele les
Defender zero-days	Security tooling is zelf attack surface
Telecom APT	Strategische sectoren blijven doelwit van langlopende stealth-campagnes
AI-agent research	Aanval en verdediging worden meetbaar geautomatiseerd

3. AI-security: waarom de academische signalen er wél toe doen

Twee arXiv-publicaties markeren een strategisch kantelpunt. Autonomous LLM Agents & CTFs: A Second Look (arXiv 2605.21497) evalueert LLM-agenten op 30 web-based CTF-challenges over 14 kwetsbaarheidsklassen. Claude Code lost er 19 op, vergelijkbaar met op maat gemaakte agent-architecturen. De bottleneck is niet exploitatie, maar kwetsbaarheidsherkenning. Frequency-Domain Regularized Adversarial Alignment (arXiv 2605.21541) beschrijft overdraagbare aanvallen tegen 15 closed-source multimodale LLM's bij 7 leveranciers.

Is dit een bewijs dat autonome agents morgen jouw enterprise platleggen? Nee. Het is wel een signaal dat offensive security workflows, planning, executie, evaluatie, foutcorrectie, toolgebruik, steeds beter machine-amenable worden. Voor AI-security betekent dit: model robustness, multimodale inputvalidatie, agent-tool-autorisatie en red-team-evaluatie horen thuis in het reguliere SOC- en GRC-model, niet alleen in een apart AI-risico-hoekje.

Kort actieplan

24 uur: inventariseer Defender engine-versies, forceer updates op high-risk endpoints, detecteer service degradation, identificeer telecom/MSP-afhankelijkheden, leg AI-security-signalen vast in het risk register. 48 uur: verifieer patchcompliance voor beide CVE's, hunt op Defender tampering en privilege escalation, hunt op Linux-persistence en outbound connecties, controleer beheerwerkstations, vraag leveranciers naar Showboat/JFMBackdoor-exposure. 72 uur: sluit uitzonderingen bestuurlijk af, verhoog monitoring op control degradation, verwerk telecom-APT in threat models, actualiseer IR-playbooks voor EDR-blindness, start AI-security-baseline voor agents en tooling.

Conclusie

Drie signalen, één conclusie: SOC's moeten op drie niveaus tegelijk versnellen. Operationeel, patch Defender nu, monitor control-degradation alsof het een aanvalsfase kán zijn. Tactisch, behandel telecom-APT's als third-party en critical-infrastructure-risico, ook als je geen provider bent. Strategisch, neem AI-security serieus als versneller van zowel aanval als verdediging. De kern is niet harder rennen op losse alerts. De kern is beter correleren: kwetsbaarheid, control health, identity, netwerkgedrag, leveranciersrisico en AI-automatisering in één SOC-beeld.

---

Bronnen:

• NVD, CVE-2026-41091, Microsoft Defender LPE, CVSS 7.8 HIGH
• NVD, CVE-2026-45498, Microsoft Defender DoS, NVD 7.5 HIGH / Microsoft CNA 4.0 MEDIUM
• CISA, Known Exploited Vulnerabilities Catalog, beide CVE's opgenomen 20 mei 2026, deadline 3 juni 2026
• BleepingComputer, "Chinese hackers target telcos with new Linux, Windows malware"
• Dark Reading, "Chinese APTs share Linux backdoor in Central Asia telco attacks"
• arXiv, 2605.21497, Autonomous LLM Agents & CTFs: A Second Look
• arXiv, 2605.21541, Frequency-Domain Regularized Adversarial Alignment

---

DjimIT adviseert organisaties over SOC-volwassenheid, threat intelligence, vulnerability management en AI-security governance. Neem contact op voor een strategische sessie.