Cyberoorlog 2026 januari

Europese regeringsleiders hebben bij de start van het nieuwe jaar de noodzaak van verhoogde weerbaarheid benadrukt in een verslechterend mondiaal veiligheidsklimaat. In officiële verklaringen wijzen leiders uit Duitsland, Frankrijk en Polen op een structurele toename van vijandige activiteiten die de stabiliteit van de Europese Unie direct raken, variërend van cyberaanvallen tot fysieke sabotage aan vitale infrastructuur, zoals onderzeese kabels.

De Duitse bondskanselier Friedrich Merz kwalificeert de huidige situatie als een tijdperkverschuiving. Volgens Merz is de Russische agressie onderdeel van een breder plan tegen Europa, waarbij lidstaten dagelijks worden geconfronteerd met sabotage, spionage en cyberaanvallen. Hij stelt dat de veiligheidsarchitectuur verandert, aangezien de rol van de Verenigde Staten als traditionele garant voor veiligheid verschuift. Merz benadrukt dat de nationale kracht en de bescherming van kritieke sectoren, zoals de energievoorziening, direct gekoppeld zijn aan de economische stabiliteit en het verminderen van bureaucratische belemmeringen.

President Emmanuel Macron van Frankrijk waarschuwt voor de erosie van de internationale orde en de toenemende instabiliteit door de terugkeer van geopolitieke machtsblokken. Hij wijst specifiek op het risico van buitenlandse inmenging in democratische processen en de noodzaak om waakzaam te blijven tegen de destabilisatie van de publieke orde. Deze zorgen worden ondersteund door de Poolse president Karol Nawrocki, die bondgenoten oproept tot standvastigheid op zowel militair als economisch vlak om de veiligheid op het continent te waarborgen.

Terwijl Zuid-Europese leiders zoals de Spaanse premier Pedro Sánchez en de Italiaanse president Sergio Mattarella zich in hun toespraken meer richtten op interne economische groei en sociale cohesie, blijft de overkoepelende Europese boodschap er een van noodzakelijke autonomie. De leiders concluderen dat Europa niet overgeleverd is aan externe grootmachten, mits er collectief wordt geïnvesteerd in de beveiliging van vitale netwerken en een gecoördineerde aanpak van hybride dreigingen.

Bron 1

De Finse autoriteiten hebben twee bemanningsleden van het vrachtschip Fitburg gearresteerd en aan twee andere opvarenden een reisverbod opgelegd. Deze maatregelen zijn genomen in het kader van een strafrechtelijk onderzoek naar de beschadiging van een vitale onderzeese telecommunicatiekabel in de Finse Golf, die de verbinding vormt tussen Finland en Estland. Het schip werd op 31 december 2025 aan de ketting gelegd tijdens een vaart vanuit Sint-Petersburg naar Haifa. Uit de eerste onderzoeksresultaten blijkt dat het vaartuig met een slepend anker over de zeebodem heeft gevaren op de locatie waar de kabelbreuk van provider Elisa is vastgesteld. De Finse politie onderzoekt de zaak momenteel als gekwalificeerde zaaksbeschadiging en de verstoring van telecommunicatieverbindingen.

Bij het onderzoek zijn in totaal veertien bemanningsleden met diverse nationaliteiten betrokken, waaronder personen uit Rusland, Georgië, Kazachstan en Azerbeidzjan. Zij zijn allen vastgehouden voor verhoor. Parallel aan het onderzoek naar de fysieke schade heeft de Finse douane een bevinding gedaan met betrekking tot de lading van het schip. Er is constructiestaal aangetroffen dat zijn oorsprong vindt in Rusland. Omdat de import van dergelijke goederen verboden is onder de Europese sanctieregelgeving, wordt onderzocht in hoeverre de Fitburg de geldende wetgeving heeft overtreden. De autoriteiten hebben inmiddels diverse objecten van het schip in beslag genomen voor verder forensisch onderzoek.

De beschadiging van de kabel tussen Helsinki en Tallinn staat niet op zichzelf, maar past in een patroon van incidenten met onderzeese infrastructuur in de Baltische regio. In de afgelopen twee jaar zijn op meerdere locaties telecommunicatie- en stroomkabels beschadigd geraakt. Een precedent hiervoor is het incident met de tanker Eagle S op 25 december 2024, waarbij eveneens meerdere kabels werden doorgesneden door een slepend anker. De herhaaldelijke incidenten hebben geleid tot een verhoogde staat van paraatheid en intensievere surveillance door de Finse kustwacht en marine. Inlichtingenrapporten wijzen op een toename van activiteiten waarbij schepen vitale onderzeese verbindingen in de regio fysiek benaderen.

Bron 1

Op 3 januari 2026 is er een melding naar buiten gebracht betreffende een mogelijke cyberaanval op de website van de Belgische gemeente Bever. De actie is opgeëist door een groepering die zichzelf identificeert als BD Anonymous. De claim van de groep richt zich specifiek op het domein bever-bievene.be, de officiële webpagina van de gemeente.

Volgens de binnengekomen informatie zou het gaan om een Distributed Denial of Service aanval, waarbij getracht wordt de website onbereikbaar te maken door een overmaat aan digitaal verkeer te genereren. Uit controle op het moment van de melding bleek echter dat de website van de gemeente Bever operationeel bleef. Er is geen bewijs geleverd dat de website daadwerkelijk uit de lucht is gegaan of dat de dienstverlening is onderbroken. De situatie wordt gekenmerkt als een geclaimde aanval zonder direct waarneembare uitval.

De Oekraïense militaire inlichtingendienst (DIU) heeft een geavanceerde contraspionage-operatie uitgevoerd waarbij digitale informatievoorziening en fysieke enscenering werden gecombineerd om een Russisch moordcomplot te verijdelen. Op 1 januari 2026 werd bekendgemaakt dat de dood van Denis Kapustin, de commandant van het Russische Vrijwilligerskorps, in scène was gezet. Deze strategische misleiding leidde niet alleen tot het behoud van het doelwit, maar stelde de dienst ook in staat om de uitgeloofde premie van 500.000 dollar te onderscheppen die door Moskou beschikbaar was gesteld voor zijn eliminatie.

De operatie begon eind december met het verspreiden van gedetailleerde desinformatie via diverse communicatiekanalen. Op 27 december werden berichten en specifiek geproduceerd beeldmateriaal verspreid die wezen op een succesvolle moordaanslag in de regio Zaporizja. Om de Russische inlichtingendiensten te overtuigen van het overlijden, werd een video gefabriceerd waarin een ogenschijnlijke drone-aanval op het voertuig van Kapustin te zien was, gevolgd door beelden van de nasleep. Deze digitale bewijslast werd door de opdrachtgevers in Moskou als authentiek beschouwd, waarna de procedure voor de uitbetaling van de premie in gang werd gezet.

Luitenant-generaal Kyrylo Budanov bevestigde tijdens een persconferentie op nieuwjaarsdag dat de operatie meer dan een maand aan voorbereiding vergde. Naast het financiële gewin heeft de operatie geleid tot het blootleggen van het netwerk van agenten dat bij het moordcomplot betrokken was. Kapustin verscheen tijdens de briefing levend in beeld om het succes van de misleidingscampagne te onderstrepen. De inlichtingendienst toont met deze casus aan hoe verificatieprocessen van inlichtingendiensten in moderne conflicten vatbaar zijn voor manipulatie door gecontroleerde informatielekken en visuele misleiding.

Bron 1

De Amerikaanse president Donald Trump heeft op 3 januari 2026 tijdens een persconferentie in Mar-a-Lago zijn ontevredenheid geuit over de Russische president Vladimir Poetin. Trump stelde dat hij "niet enthousiast" is over de houding van de Russische leider en benadrukte dat er in de oorlog in Oekraïne te veel slachtoffers vallen. Deze verklaring volgt op een grootschalige Amerikaanse militaire operatie in Venezuela, waarbij Nicolás Maduro en zijn echtgenote zijn gevangenomen. Maduro wordt in de Verenigde Staten aangeklaagd voor narcoterrorisme en is inmiddels overgebracht naar New York voor berechting.

De escalatie in Zuid-Amerika en de aanhoudende strijd in Oekraïne hebben geleid tot een verhoogd risico op hybride dreigingen. Rusland beschuldigde Oekraïne recentelijk van een drone-aanval op een presidentiële residentie in Valdai, een claim die door de Amerikaanse inlichtingendienst CIA is weersproken. Volgens de CIA was er geen sprake van een aanval op de woning van Poetin. Dergelijke geopolitieke spanningen dienen in de regel als voedingsbodem voor digitale vergeldingsacties. In het verleden vertaalde dit zich naar een toename in DDoS-aanvallen en pogingen tot infiltratie van vitale infrastructuur in NAVO-lidstaten, waaronder Nederland en België.

Voor de digitale veiligheid in de Benelux betekent dit een periode van verhoogde waakzaamheid. Terwijl diplomaten in Kyiv werken aan een vredesplan en er voor 5 januari 2026 topoverleg gepland staat in Parijs, is de dreiging van cyberoperaties door statelijke actoren of gelieerde collectieven reëel. Naast directe technische aanvallen op systemen, wordt de actuele berichtgeving rondom Maduro en Oekraïne intensief misbruikt voor phishingcampagnes en de verspreiding van malware. Voor cybersecurity-experts is het monitoren van deze geopolitieke ontwikkelingen essentieel om proactief in te spelen op verschuivingen in het dreigingsbeeld.

Een ernstige fout in de informatiebeveiliging van de Russische overheid heeft geleid tot de onbedoelde publicatie van een geheim rapport van de Russische ombudsman voor de mensenrechten. Deze datalek, die door internationale waarnemers wordt bestempeld als een significante operationele blunder, biedt een zeldzame en ongefilterde inkijk in de werkelijke omstandigheden binnen de Russische krijgsmacht. De vrijgekomen documenten bevatten duizenden officiële klachten die een beeld schetsen van extreme wanhoop en systematisches misstanden aan het front in Oekraïne, dat haaks staat op de officiële staatscommunicatie.

Uit de geanalyseerde gegevens blijkt dat de personele tekorten binnen het Russische leger hebben geleid tot het inzetten van fysiek zwaar gehandicapte militairen. Het rapport bevat concrete getuigenverklaringen van soldaten die hebben waargenomen hoe personen met ernstige amputaties, waaronder het verlies van armen of benen, in rolstoelen naar de frontlinies zijn gestuurd. Deze bevindingen bevestigen eerdere, maar tot nu toe onbewezen speculaties over de verregaande maatregelen die het Kremlin treft om de troepenaantallen op peil te houden, ongeacht de fysieke inzetbaarheid van het personeel.

Naast de zorgwekkende rekruteringspraktijken onthult de data een patroon van intern geweld en corruptie binnen de militaire hiërarchie. De ombudsman maakt melding van talloze gevallen waarin soldaten het slachtoffer zijn geworden van marteling en zware mishandeling door hun eigen superieuren. Bovendien wordt er veelvuldig gerapporteerd over afpersing en beroving, waarbij leidinggevenden eigendommen van ondergeschikten in beslag nemen. Deze interne misdrijven duiden op een vergaande erosie van de commandostructuur en discipline.

Voor experts op het gebied van inlichtingen en defensie vormt dit lek een cruciale bron van verificatie. Waar dergelijke informatie voorheen vaak afkomstig was van anonieme bronnen of onderschepte communicatie, betreft het hier officiële administratieve data van de Russische staat zelf. De openbaarmaking onderstreept niet alleen de humanitaire crisis binnen de Russische rangen, maar legt tevens een pijnlijke kwetsbaarheid bloot in de beheersing van staatsgeheimen door de Russische autoriteiten.

Bron 1

De technologische ontwikkelingen op het moderne slagveld dwingen tot een herwaardering van de veiligheidsprotocollen binnen de Navo. Een hoge Oekraïense officier heeft vastgesteld dat de grootschalige inzet van onbemande systemen de traditionele medische evacuatieketen heeft ontregeld. In de huidige strijd in Oekraïne is het concept van het gouden uur, de kritieke eerste zestig minuten waarin medische interventie de overlevingskans maximaliseert, nagenoeg komen te vervallen door de constante dreiging van drone-surveillance en directe aanvallen op transportmiddelen.

Deze verandering in de oorlogsvoering heeft directe gevolgen voor de verwachte verliescijfers bij een eventueel direct militair conflict tussen de Navo en Rusland. Waar de Navo-doctrine voorheen uitging van luchtoverwicht en het veilig kunnen afvoeren van personeel, zorgt de huidige alomtegenwoordigheid van drones ervoor dat elk bewegend voertuig aan de frontlinie direct kan worden gedetecteerd en bestreden. Dit bemoeilijkt de logistieke operaties aanzienlijk, aangezien gewonden nu vaak urenlang niet geëvacueerd kunnen worden of aangewezen zijn op riskante verplaatsingen te voet.

Militaire planners binnen de alliantie analyseren deze data om oplossingen te vinden voor de kwetsbaarheid van medische en logistieke systemen. De waarschuwing vanuit de praktijk is dat de Navo-strijdkrachten zonder fundamentele technologische en tactische aanpassingen te maken zullen krijgen met zwaardere verliezen dan de Oekraïense troepen. De focus ligt hierbij op het herstellen van de overlevingskansen op het slagveld in een omgeving waar conventionele bescherming door de inzet van drones en moderne detectiemiddelen onder druk staat.

Bron 1

De Europese cyberweerbaarheid in de ruimte krijgt een fysieke uitbreiding met de realisatie van een nieuw grondstation in de Arctische woestijn van Kangerlussuaq op Groenland. Het Litouwse technologiebedrijf Astrolight ontwikkelt deze faciliteit met ondersteuning van de Europese Ruimtevaartorganisatie ESA. Het station maakt gebruik van optische lasercommunicatie om dataverkeer van satellieten sneller en veiliger naar de aarde te transporteren. Deze technologische stap is onderdeel van een bredere strategie om de Europese infrastructuur te beschermen tegen de toenemende dreiging van ruimtehacks, spionage en elektronische verstoring.

De urgentie voor deze beveiligingsmaatregelen is toegenomen sinds 2022, het jaar waarin een grootschalige cyberaanval op het Viasat-netwerk plaatsvond gelijktijdig met de Russische invasie van Oekraïne. Dit incident markeerde een omslag in het veiligheidsdenken, waarbij satellieten niet langer enkel als civiele nutsvoorziening worden gezien, maar als strategische en kwetsbare doelwitten. De Europese Commissie heeft de ruimte sindsdien bestempeld als een betwist domein waarin cyberaanvallen en interferentie op satellieten en grondstations frequent voorkomen.

Het nieuwe station op Groenland fungeert als essentiële redundantie voor de huidige Europese infrastructuur op Spitsbergen. Het station op Spitsbergen, dat cruciaal is voor de Europese navigatie- en observatiesystemen Galileo en Copernicus, is voor zijn dataverbinding afhankelijk van één enkele onderzeese internetkabel. Schade aan deze kabel, door sabotage of ongeval, zou direct leiden tot het verlies van toegang tot vitale geo-inlichtingensatellieten. De locatie in Groenland moet dit 'single point of failure' elimineren en de continuïteit van datastromen waarborgen.

Naast de fysieke versterking van grondstations werkt Europa aan het IRIS²-programma, een miljardenproject voor een eigen satellietconstellatie. Dit systeem van achttien satellieten moet dienen als een veilig en onafhankelijk alternatief voor commerciële netwerken zoals Starlink, waarvan de strategische betrouwbaarheid door Europese beleidsmakers als risicovol wordt ervaren. IRIS² richt zich op versleutelde communicatie en moet over circa vier jaar operationeel zijn.

De combinatie van het nieuwe grondstation en de eigen satellietconstellatie is een direct antwoord op waarschuwingen van onder meer Duitsland en het Verenigd Koninkrijk over buitenlandse spionagesatellieten die Europese systemen observeren. Door te investeren in zowel eigen hardware als geavanceerde lasercommunicatie tracht Europa de digitale soevereiniteit te vergroten en de afhankelijkheid van derden voor kritieke communicatie te minimaliseren.

Bron 1

De grootschalige stroomuitval die grote delen van Venezuela, waaronder de hoofdstad Caracas, heeft getroffen, is volgens de Amerikaanse president Donald Trump het gevolg van een bewuste cyberoperatie. Tijdens een persconferentie op zaterdag 3 januari 2026 verklaarde de president dat de stroomvoorziening is onderbroken door de inzet van specifieke technologische expertise waarover de Verenigde Staten beschikken. Deze uitspraak duidt op een offensieve digitale interventie gericht op het nationale energienet van het Zuid-Amerikaanse land.

De claim van de president impliceert dat Amerikaanse eenheden in staat zijn geweest om kritieke infrastructuur op afstand te beïnvloeden of uit te schakelen. Dergelijke operaties richten zich doorgaans op de industriële controlesystemen (ICS) die de opwekking en distributie van elektriciteit reguleren. Hoewel de officiële verklaring de nadruk legt op digitale superioriteit, zijn er gelijktijdig rapportages verschenen van fysieke explosies bij elektriciteitsstations. Het blijft onbevestigd of deze incidenten het directe resultaat zijn van digitale manipulatie van beveiligingsprotocollen of dat er andere oorzaken aan ten grondslag liggen.

Voor experts in cybersecurity markeert deze gebeurtenis een belangrijk moment, aangezien een staatshoofd hiermee publiekelijk de verantwoordelijkheid opeist voor een operatie tegen de vitale infrastructuur van een andere natie. De transparantie over het gebruik van dergelijke offensieve capaciteiten is uitzonderlijk binnen de internationale politiek. Het incident onderstreept de toenemende integratie van cybercapaciteiten in geopolitieke conflicten en de directe impact die dit heeft op de civiele samenleving.

In de nasleep van de black-out wordt gezocht naar forensisch bewijs dat de aard van de aanval kan bevestigen. De discussie binnen de internationale gemeenschap richt zich nu op de technische verificatie van de claim en de mogelijke gevolgen voor de mondiale normen met betrekking tot digitale oorlogvoering. De situatie in Caracas dient als een casestudy voor de kwetsbaarheid van moderne infrastructuren voor geavanceerde statelijke actoren.

De technische infrastructuur achter de gecentraliseerde surveillance-database van Venezuela, bekend als Crystal Vault, is blootgelegd door ernstige beveiligingslacunes in de API-configuratie. Het systeem werd in december 2024 geïmplementeerd met als doel de integratie van identiteitsgegevens, bankrecords en sociale overheidsdata van meer dan dertig miljoen burgers. Het platform is ontwikkeld door de technologische leverancier ZTE en fungeert als een centraal knooppunt voor persoonlijke informatie.

Uit technisch onderzoek is gebleken dat de database-infrastructuur verbonden was met onbeveiligde WordPress REST API's. Door het ontbreken van noodzakelijke authenticatie-instellingen was het mogelijk om zonder toegangscontrole data uit het systeem te onttrekken. In totaal is er circa 27,7 gigabyte aan informatie gedownload. De gelekte data bevatten specifieke operationele details, waaronder de geografische locaties van overheidsgebouwen, de exacte GPS-coördinaten van personeelsleden en uitgebreide statistieken over de interne bedrijfsvoering. De blootstelling van deze gegevens is direct te herleiden naar het gebruik van publiek toegankelijke interfaces die geen beveiligingsvalidatie vereisten.

Bron 1, 2

Het National Security Bureau (NSB) van Taiwan heeft in een officieel rapport over het jaar 2025 een scherpe toename van digitale agressie vanuit China gedocumenteerd. De Taiwanese vitale infrastructuur werd vorig jaar geconfronteerd met gemiddeld 2,63 miljoen inbraakpogingen per dag. Dit aantal markeert een stijging van zes procent vergeleken met 2024 en is meer dan een verdubbeling van het daggemiddelde in 2023. De operaties richtten zich op negen primaire sectoren, waaronder de overheid, energievoorziening, financiële instellingen en de zorg.

Volgens de Taiwanese inlichtingendienst is er sprake van een gecoördineerde strategie van hybride oorlogsvoering. Cyberaanvallen werden daarbij gesynchroniseerd met militaire oefeningen en politieke gebeurtenissen. Opvallende pieken in de aanvalsactiviteit vielen samen met de eerste verjaardag van de inauguratie van president Lai Ching-te in mei en het Europese bezoek van vicepresident Hsiao Bi-khim in november. Het NSB concludeert dat deze acties bedoeld zijn om maatschappelijke functies te ontwrichten en de weerbaarheid van de Taiwanese overheid te testen.

De impact verschilt sterk per sector, waarbij de energiesector een incidentgroei van 1.000 procent rapporteerde ten opzichte van het voorgaande jaar. In de zorgsector en bij noodhulpdiensten steeg het aantal aanvallen met 54 procent. Het rapport bevestigt ten minste twintig gevallen van ransomware-aanvallen op grote ziekenhuizen, waarbij in sommige gevallen gestolen patiëntgegevens werden verhandeld op fora op het dark web.

Het rapport identificeert vijf prominente hackersgroepen die verantwoordelijk worden gehouden voor de offensieven: APT41, Mustang Panda, BlackTech, Flax Typhoon en UNC3886. Deze groepen maakten gebruik van diverse methoden, waarbij de focus lag op het uitbuiten van softwarekwetsbaarheden en het uitvoeren van Distributed Denial of Service (DDoS) aanvallen om de digitale bereikbaarheid te verstoren.

Taiwan heeft naar aanleiding van deze dreiging de internationale samenwerking opgevoerd. De NSB voert momenteel gezamenlijke onderzoeken uit met cybersecurity-instanties uit meer dan dertig landen. Deze samenwerking is met name gericht op het in kaart brengen van malicious relay nodes, die door aanvallers worden gebruikt om hun werkelijke locatie te maskeren. Internationale organen zoals de NAVO en de Europese Unie hebben China in het afgelopen jaar eveneens aangemerkt als een primaire bron van wereldwijde cybersecurity-dreigingen.

Bron 1

De aan Rusland gelieerde actorgroep UAC-0184, ook geïdentificeerd onder de naam Hive0156, maakt gebruik van de berichtenapplicatie Viber om schadelijke software te verspreiden. Deze activiteiten maken deel uit van een voortdurende campagne gericht op het verzamelen van inlichtingen bij militaire en overheidsinstanties. De groep heeft in 2025 een hoge operationele intensiteit vertoond en breidt de inzet van alternatieve communicatiekanalen, na eerder gebruik van Signal en Telegram, nu verder uit naar Viber.

De aanvalsmethode maakt gebruik van sociale manipulatie door ZIP-archieven te versturen die Windows-snelkoppelingsbestanden bevatten. Deze bestanden zijn vermomd als Microsoft Word- en Excel-documenten om de ontvanger te misleiden. Bij activering wordt een PowerShell-script uitgevoerd dat een tweede ZIP-archief van een externe server ophaalt. Terwijl dit proces op de achtergrond plaatsvindt, krijgt de gebruiker een lokdocument te zien om de kwaadaardige activiteit te maskeren.

Het proces resulteert in de uitvoering van Hijack Loader, een malware-instrument dat specifieke technieken hanteert zoals DLL side-loading en module stomping om detectie door beveiligingssoftware te vermijden. De loader controleert het systeem op de aanwezigheid van diverse antivirusproducten door CRC32-hashes van geïnstalleerde programma's te berekenen. Daarnaast wordt persistentie op het systeem gecreëerd via geplande taken, waardoor de software actief blijft na een herstart van de computer.

In de laatste fase van de aanvalsketen wordt de Remcos RAT (Remote Access Trojan) geïnjecteerd in het proces chime.exe. Deze Remote Administration Tool stelt aanvallers in staat om volledige controle over het eindpunt te verkrijgen. Hierdoor kunnen zij systemen beheren, extra payloads uitvoeren, gebruikersactiviteiten monitoren en gegevens ontvreemden. Hoewel Remcos als legitieme beheersoftware beschikbaar is, wordt het door deze actoren ingezet als instrument voor cyberspionage en structurele datadiefstal.

Bron 1

Het onderzoeksbureau Evident Institute heeft een waarschuwing afgegeven over de ontwikkeling van economische desinformatie in 2026. Volgens de onderzoekers is er een duidelijke trend zichtbaar waarbij praktijken van desinformatie steeds systematischer worden ingezet. Deze zogenoemde DFK-praktijken hebben in het huidige jaar het potentieel om op een gestructureerde en instrumentele manier te worden gebruikt om de uitvoering van strategisch beleid en nationale programma's van landen te hinderen.

De analyse wijst uit dat de aard van desinformatie over economische onderwerpen een transformatie ondergaat. Waar dergelijke uitingen voorheen vaak incidenteel waren, waarschuwt het instituut nu voor een georganiseerde aanpak waarbij economische onwaarheden doelgericht worden ingezet als instrument. Dit fenomeen beperkt zich niet tot geïsoleerde incidenten, maar vormt een integraal onderdeel van bredere strategieën om het economische sentiment te beïnvloeden en de effectiviteit van overheidsinterventies te ondermijnen.

Het rapport benadrukt dat deze vormen van gestructureerde misleiding specifiek gericht zijn op het blokkeren of vertragen van cruciale strategische plannen. Door onjuiste informatie te verspreiden over de economische gevolgen of de haalbaarheid van beleid, kan de publieke opinie en het vertrouwen van investeerders worden gemanipuleerd. Het instrumentele karakter hiervan betekent dat de desinformatie dient als een specifiek middel om politieke of economische doelen te bereiken die indruisen tegen het vastgestelde overheidsbeleid.

Bron 1

De recente arrestatie van de Venezolaanse president Nicolás Maduro tijdens de militaire operatie 'Absolute Resolve' werpt nieuw licht op de verregaande integratie van digitale oorlogsvoering bij fysieke interventies. De inzet van de Amerikaanse eenheid CyberCom was cruciaal voor het slagen van de actie, waarbij de focus lag op het manipuleren van de vitale infrastructuur in de hoofdstad Caracas.

Methodiek en technische manipulatie
De voorbereiding op de bliksemactie bestond uit het binnendringen van de industriële controlesystemen (Industrial Control Systems) die verantwoordelijk zijn voor het elektriciteitsnetwerk. Door deze systemen digitaal over te nemen, konden hackers op het moment van de inval de stroomvoorziening in de stad uitschakelen. Deze actie resulteerde in het uitvallen van lokale verdedigingsmechanismen en beveiligingsapparatuur, wat de weg vrijmaakte voor de fysieke eenheden om de president en zijn echtgenote van hun bed te lichten.

Security-experts onderscheiden verschillende scenario's voor dergelijke infiltraties. In de praktijk blijkt dat veel industriële systemen kwetsbaarheden bevatten die door statelijke actoren geëxploiteerd kunnen worden. Dit kan gebeuren via directe softwarematige zwakheden of door toegang te verkrijgen tot de beheernetwerken van de nutsbedrijven.

Risicoanalyse voor de Nederlandse context
De gebeurtenissen in Venezuela hebben de discussie over de veiligheid van de Europese kritieke infrastructuur aangescherpt. Er wordt specifiek gekeken naar de risico's van hardware die onderdeel uitmaakt van het stroomnet, zoals slimme meters. Omdat een aanzienlijk deel van deze apparatuur in China wordt geproduceerd, bestaat de zorg dat buitenlandse overheden via achterdeuren in deze apparaten de capaciteit hebben om de elektriciteitsvoorziening in Nederland op afstand te ontregelen. De casus in Caracas dient hierbij als feitelijk bewijs van de effectiviteit van dergelijke digitale sabotage bij het uitschakelen van nationale infrastructuren.

In het zuidwesten van Berlijn is op woensdag 7 januari de stroomvoorziening hersteld na een onderbreking die op 3 januari begon. De uitval, veroorzaakt door een vermoedelijke brandstichting bij een elektriciteitscentrale, trof circa 45.000 huishoudens en meer dan 2.000 bedrijven. Het incident wordt door autoriteiten aangemerkt als de langste stroomstoring in de Duitse hoofdstad sinds de Tweede Wereldoorlog. Naast de directe stroomvoorziening raakte de aanval ook de communicatie-infrastructuur, waaronder mobiele netwerken, en de logistieke sector door verstoringen van het lokale treinverkeer.

De verantwoordelijkheid voor de aanval is online opgeëist door de Vulkangruppe. In hun verklaring stelt de groepering dat de actie gericht was tegen de fossiele economie en de toenemende energievraag van datacenters voor kunstmatige intelligentie. De groep claimde eerder ook verantwoordelijkheid voor sabotageacties bij de Tesla Gigafactory in maart vorig jaar. De aanval onderstreept de kwetsbaarheid van fysieke knooppunten die essentieel zijn voor zowel de energievoorziening als de digitale continuïteit.

Tijdens de blackout waren ziekenhuizen afhankelijk van noodaggregaten en werden openbare faciliteiten zoals scholen ingezet als noodopvang voor burgers die door de vrieskou getroffen werden. De burgemeester van Berlijn, Kai Wegner, kwalificeerde de daders als professionele criminelen die zich bewust hebben gericht op het ontregelen van de stedelijke infrastructuur. Hij heeft de federale autoriteiten verzocht om extra ondersteuning bij de beveiliging van vitale netwerken.

De Duitse binnenlandse veiligheidsdienst waarschuwt dat infrastructurele objecten sinds 2011 vaker het doelwit zijn van militante acties. Dit incident heeft geleid tot hernieuwde politieke discussies over de fysieke beveiliging van transformatorstations en de beschikbaarheid van technische gegevens over het stroomnet. De binnenlandse commissie van de Bondsdag komt later deze week bijeen om de veiligheidssituatie van de nationale infrastructuur te evalueren en de noodzaak voor extra investeringen in grid-bescherming te bespreken.

Bron 1

De recente gebeurtenissen in Venezuela markeren een belangrijk moment in de publieke erkenning van cyberoperaties als instrument binnen internationale conflicten. Tijdens een militaire interventie die leidde tot de arrestatie van president Nicolás Maduro, werd de elektriciteitsvoorziening in de hoofdstad Caracas nagenoeg volledig uitgeschakeld. President Donald Trump heeft publiekelijk verklaard dat deze black-out het gevolg was van de inzet van Amerikaanse technische expertise en cybercapaciteiten. Deze directe erkenning is opmerkelijk, aangezien offensieve digitale operaties tegen de nationale infrastructuur van andere landen doorgaans strikt geclassificeerd blijven.

De operatie werd uitgevoerd als een zogenaamde multi-domein operatie, waarbij digitale middelen werden geïntegreerd met fysieke acties. Volgens verklaringen van de Joint Chiefs of Staff werden effecten van verschillende commando's, waaronder Cyber Command en Space Command, gecombineerd om een operationeel pad te banen. Deze aanpak stelt statelijke actoren in staat om vitale systemen te ontregelen zonder dat daar directe fysieke vernietiging van faciliteiten voor nodig is. Het incident onderstreept de kwetsbaarheid van centrale systemen, zoals het energienetwerk en de communicatie-infrastructuur, voor geavanceerde digitale interventies.

Voor specialisten die zich bezighouden met de beveiliging van vitale processen biedt dit incident een feitelijke casus over de reikwijdte van statelijke cybermacht. Onafhankelijke netwerkmonitoren bevestigden dat de stroomuitval samenviel met een grootschalige verstoring van de internetconnectiviteit in de regio. Het aantonen van het vermogen om de energievoorziening van een miljoenenstad te manipuleren, illustreert de strategische impact die digitale interventies hebben op de soevereiniteit en stabiliteit van een land. De gebeurtenissen in Caracas tonen aan dat de beveiliging van kritieke infrastructuur tegen complexe cyberdreigingen een essentieel onderdeel is geworden van moderne nationale veiligheidsstrategieën.

Bron 1

De aan China gelieerde actorgroep UAT-7290 voert sinds 2022 grootschalige spionage-operaties uit waarbij de focus ligt op telecommunicatieproviders. Onderzoek van Cisco Talos toont aan dat deze groep, die voorheen voornamelijk actief was in Zuid-Azië, recentelijk haar werkgebied heeft uitgebreid naar Zuidoost-Europa. De groepering vervult een dubbelrol als spionagemotor en als leverancier van netwerkinfrastructuur voor andere aanvalsgroepen.

De inbraakmethode van UAT-7290 begint met gedetailleerde technische verkenningen van de doelorganisaties. De groep maakt gebruik van bekende kwetsbaarheden in edge-apparatuur, zoals routers en firewalls, waarbij zij vaak vertrouwen op openbaar beschikbare exploit-code. Daarnaast worden gerichte SSH brute-force aanvallen ingezet om toegang te verkrijgen tot publiek toegankelijke apparaten. Eenmaal binnen het netwerk worden privileges geëscaleerd om controle over de infrastructuur te verkrijgen.

Centraal in de operaties staat een gespecialiseerde malware-suite voor Linux-systemen. Deze bestaat uit de componenten RushDrop, DriveSwitch en SilentRaid. RushDrop, ook bekend als ChronosRAT, dient als de initiële dropper. DriveSwitch wordt ingezet om SilentRaid te executeren, een modulair implantaat dat persistente toegang garandeert. SilentRaid ondersteunt functies voor poortdoorsturing, het opzetten van remote shells en complexe bestandsoperaties. Hoewel de focus op Linux ligt, worden ook Windows-implantaten zoals RedLeaves en ShadowPad ingezet, welke in de cybersecurity-gemeenschap exclusief worden toegeschreven aan Chinese staatshackers.

Een essentieel onderdeel van de strategie is de opbouw van een netwerk van Operational Relay Boxes (ORBs). Hiervoor gebruikt de groep de backdoor Bulbature, die gecompromitteerde apparatuur omvormt tot knooppunten in een proxy-netwerk. Deze infrastructuur stelt UAT-7290 en andere actoren, waaronder Stone Panda en RedFoxtrot, in staat om kwaadaardig verkeer te maskeren en de herkomst van aanvallen te verhullen. De integratie van deze technieken duidt op een werkwijze die gericht is op langdurige aanwezigheid binnen kritieke infrastructuren voor het verzamelen van inlichtingen.

Bron 1

De aan Rusland gelieerde hackersgroep BlueDelta, waarvan bekend is dat deze banden heeft met de militaire inlichtingendienst GRU, heeft gedurende het jaar 2025 zijn operaties voor het verzamelen van inloggegevens aanzienlijk geïntensiveerd. Tussen februari en september voerde de groep diverse geavanceerde phishing-campagnes uit die specifiek gericht waren op het compromitteren van accounts voor Microsoft Outlook Web Access (OWA), Google-diensten en Sophos VPN-oplossingen. De doelwitten bevinden zich voornamelijk binnen de Europese overheid, de energiesector en defensie-gerelateerde onderzoeksinstellingen.

Uit technische analyses van beveiligingsonderzoekers van Recorded Future blijkt dat de werkwijze van BlueDelta zich kenmerkt door een combinatie van legitieme documenten en vervalste inlogportalen. De aanvallers maken hierbij intensief gebruik van gratis hostingdiensten en tunneling-tools, zoals Webhook.site, InfinityFree en ngrok. Deze strategie stelt de actoren in staat om hun infrastructuur snel en kosteloos op te zetten en even snel weer te verwijderen, wat detectie en attributie bemoeilijkt.

De infectieketen start wanneer een doelwit een link in een phishing-bericht opent. In eerste instantie wordt een legitiem ogend PDF-document getoond, bijvoorbeeld afkomstig van een gerenommeerd onderzoeksinstituut. Na circa twee seconden wordt de gebruiker automatisch doorgeleid naar een gespoofde inlogpagina die een exacte kopie is van de Microsoft-, Google- of Sophos-interface. Op de achtergrond voeren JavaScript-functies direct een inventarisatie uit van het systeem van het slachtoffer, waarbij gegevens zoals het e-mailadres, IP-adres en browserconfiguratie naar de command-and-control server worden gestuurd.

Wanneer de gebruiker vervolgens zijn inloggegevens invoert, worden deze via HTTP POST-verzoeken buitgemaakt. Om argwaan te minimaliseren, manipuleert de malware de URL die in de adresbalk van de browser wordt weergegeven. De gebruiker ziet termen als '/owa/' of '/pdfviewer', wat de illusie wekt van een legitieme sessie. Na het voltooien van de inlogpoging wordt het slachtoffer doorgeleid naar het daadwerkelijke document of de echte inlogportal van de betreffende organisatie. Door deze naadloze overgang hebben slachtoffers zelden door dat hun authenticatiegegevens zijn gecompromitteerd, waardoor BlueDelta langdurig toegang kan behouden tot gevoelige netwerken.

Bron 1

Een grootschalige cybercampagne, toegeschreven aan de Chinese hackersgroep Salt Typhoon, heeft geleid tot de compromittering van e-mailsystemen van medewerkers van het Amerikaanse Huis van Afgevaardigden. Volgens rapportages van de Financial Times kregen aanvallers toegang tot de communicatie van stafleden van invloedrijke commissies, waaronder die voor inlichtingen, defensie en buitenlandse zaken. De inbreuk werd in december gedetecteerd, maar de volledige omvang van de blootgestelde informatie wordt nog onderzocht.

De aanval richtte zich specifiek op de digitale infrastructuur van medewerkers die toezicht houden op de nationale veiligheid en de strategische competitie met China. Het incident volgt op een eerdere waarschuwing van de Senate Sergeant at Arms in november over een cyberincident bij het Congressional Budget Office. Hoewel is vastgesteld dat de systemen van de stafleden zijn binnengedrongen, is het nog onduidelijk of de hackers ook toegang hebben gekregen tot de persoonlijke correspondentie van de congresleden zelf.

Inlichtingendiensten typeren Salt Typhoon als een actor die zich niet alleen richt op klassieke spionage, maar ook op het strategisch infiltreren van vitale netwerken om deze in de toekomst te kunnen verstoren. Deze vorm van 'pre-positioning' vormt een groeiende dreiging voor de digitale weerbaarheid. De methodiek van de groep omvat onder meer het misbruiken van kwetsbaarheden in netwerkapparatuur zoals routers. De groep is ook in Europa waargenomen; de Nederlandse diensten AIVD en MIVD meldden eerder dat Salt Typhoon ook Nederlandse internetproviders en universiteiten als doelwit heeft gekozen.

Vanuit de Chinese overheid worden de beschuldigingen ontkend. Een woordvoerder van de Chinese ambassade in Washington noemde de claims ongegronde speculatie. Amerikaanse instanties zoals de FBI en het Witte Huis hebben nog geen officiële details over de schade gedeeld, maar het incident verhoogt de druk op de beveiliging van politieke en strategische communicatienetwerken wereldwijd.

Bron 1

De aan Iran gelieerde dreigingsactor MuddyWater maakt gebruik van een nieuwe spear-phishingcampagne om de op Rust gebaseerde malware 'RustyWater' te verspreiden. De aanval maakt gebruik van gemanipuleerde Microsoft Word-documenten die specifiek zijn ontworpen om beveiligingsoplossingen zoals antivirussoftware en Endpoint Detection and Response (EDR) te omzeilen. Hoewel de huidige activiteiten zijn waargenomen binnen de diplomatieke, maritieme en financiële sectoren in het Midden-Oosten, vertoont de gebruikte toolkit een hoge mate van technische complexiteit die relevant is voor de bredere cybersecurity-gemeenschap.

De infectie start bij het openen van een kwaadaardig Word-document dat is vermomd als een officieel beleidsstuk of een beveiligingsrichtlijn. Zodra de gebruiker macro's inschakelt, wordt VBA-code uitgevoerd die twee specifieke functies hanteert. De eerste functie, WriteHexToFile, extraheert hexadecimale data die verborgen zijn in een UserForm en converteert deze naar een binair bestand met de naam CertificationKit.ini in de ProgramData-map. De tweede functie gebruikt ASCII-obfuscatie om dynamisch opdrachten samen te stellen die de payload via cmd.exe activeren. Deze methode is erop gericht om statische signature-gebaseerde detectie te vermijden.

RustyWater beschikt over geavanceerde ontwijkingstechnieken. De malware voert bij opstarten een controle uit op de aanwezigheid van meer dan 25 verschillende antivirus- en EDR-producten door te zoeken naar specifieke servicenamen en agentbestanden. Bij detectie van beveiligingssoftware past de malware zijn uitvoeringsproces aan om onopgemerkt te blijven. Voor persistentie binnen het systeem wordt een waarde toegevoegd aan de Run-sleutel in het Windows-register, waardoor de malware bij elke systeemstart opnieuw wordt geladen.

De exfiltratie van gegevens verloopt via een gestructureerd proces waarbij systeeminformatie, zoals computernamen en gebruikersgegevens, wordt verzameld in JSON-formaat. Deze gegevens worden beveiligd met drie lagen van versleuteling, bestaande uit Base64-codering en XOR-encryptie, voordat ze naar de command-and-control-servers worden verzonden. De communicatie wordt afgehandeld via de Rust-bibliotheek reqwest, waarbij gebruik wordt gemaakt van variabele intervallen tussen de verbindingen om afwijkende netwerkpatronen te maskeren.

Bron 1

Op 9 januari 2026 is er een melding gepubliceerd over een mogelijke cyberaanval op de Nederlandse waterschapsbank NWB Bank. De dreigingsgroep Inteid claimt verantwoordelijk te zijn voor het uitvoeren van een Distributed Denial of Service-aanval gericht op de website van de financiële instelling. De claim werd geregistreerd en verspreid via kanalen die gespecialiseerd zijn in het monitoren van digitale dreigingen en acties van cybercollectieven.

Bij een DDoS-aanval wordt getracht de beschikbaarheid van een website of online dienst te onderbreken door de server te overspoelen met een grote hoeveelheid gelijktijdig verkeer. Dit type aanval richt zich op de externe toegankelijkheid van het platform. Hoewel de website hierdoor onbereikbaar kan worden, staat dit doorgaans los van de interne bankomgeving en de systemen waarin privacygevoelige gegevens zijn opgeslagen.

De vermeende aanval heeft betrekking op het domein nwbbank.com. NWB Bank is een belangrijke financier voor de Nederlandse publieke sector, waaronder waterschappen en decentrale overheden. Op het moment van de melding zijn er geen verdere feitelijke details naar buiten gebracht over de exacte omvang van de aanval of de specifieke motieven van de betrokken actoren.

De dreigingsactor Inteid heeft geclaimd verantwoordelijk te zijn voor het uitvoeren van Distributed Denial of Service-aanvallen op meerdere organisaties. Volgens informatie van een platform voor dreigingsanalyse zijn hierbij specifiek twee grote Nederlandse entiteiten als doelwit aangemerkt. Het betreft de betaaldienstverlener Buckaroo en het logistieke bedrijf PostNL N.V. Deze organisaties vervullen een belangrijke rol in respectievelijk het digitale betalingsverkeer en de postvoorziening binnen Nederland.

Naast de Nederlandse doelwitten claimt de actor ook een aanval te hebben uitgevoerd op het Oekraïense scholenportaal. Bij een DDoS-aanval wordt getracht de digitale bereikbaarheid van een organisatie te verstoren door servers te overbelasten met een grote hoeveelheid gelijktijdig verkeer. De claim van de actor is gericht op het verstoren van de online infrastructuur van deze specifieke bedrijven en instanties. Er is op dit moment geen verdere informatie beschikbaar over de exacte duur of de technische omvang van de geclaimde incidenten.

De Deense veiligheidssituatie wordt gekenmerkt door een significante toename van vijandige activiteiten in het digitale domein. In november werd het land getroffen door een reeks grootschalige cyberaanvallen die gericht waren op vitale overheidsinstellingen, defensie-gerelateerde ondernemingen en politieke organisaties. Deze gebeurtenissen hebben de discussie over nationale veiligheid en de noodzaak voor technologische defensie-innovatie in een stroomversnelling gebracht.

De Deense Militaire Inlichtingendienst (FE) heeft in officiële verklaringen vastgesteld dat de militaire dreiging vanuit Rusland tegen NAVO-lidstaten toeneemt. Hoewel een conventionele militaire aanval op Deens grondgebied momenteel niet als onmiddellijk dreigend wordt beschouwd, is er sprake van een structurele verschuiving in het dreigingsbeeld. De inlichtingendienst wijst erop dat cyberoperaties een integraal onderdeel vormen van deze verhoogde spanningen. Naast digitale aanvallen werden er recent ook meldingen gemaakt van ongeïdentificeerde drones in de nabijheid van militaire locaties en kritieke infrastructuur.

De geografische ligging van Denemarken is van doorslaggevend belang voor de regionale veiligheidsarchitectuur. De controle over het eiland Bornholm en daarmee de toegang tot de Oostzee wordt gezien als een strategisch ijkpunt. Daarnaast zorgt de klimaatverandering voor het toegankelijk worden van nieuwe maritieme routes in het noordpoolgebied. Denemarken beheert via Groenland de op twee na grootste exclusieve economische zone ter wereld en beschikt over een van de grootste civiele scheepvaartvloten. De beveiliging van deze logistieke ketens en de controle over maritieme routes worden beschouwd als fundamenten voor toekomstige economische en fysieke veiligheid.

Om deze uitdagingen het hoofd te bieden, verschuift Denemarken de focus naar de integratie van geavanceerde technologie in de defensiestrategie. Er wordt actief gezocht naar samenwerking met de Oekraïense defensiesector, specifiek vanwege hun opgedane expertise in asymmetrische en technologisch gedreven oorlogsvoering. De samenwerking is gericht op de ontwikkeling van kostenefficiënte wapensystemen en industriële automatisering. Hiermee beoogt Denemarken niet alleen de nationale defensie te versterken, maar ook de weerbaarheid tegen moderne hybride dreigingen te vergroten.

Bron 1

Het Chinese staatsbedrijf Norinco heeft technische specificaties vrijgegeven van de Hurricane 3000, een nieuw ontwikkeld wapensysteem dat gebruikmaakt van hoogvermogen microgolven om onbemande luchtvaartuigen uit te schakelen. Het systeem is specifiek ontworpen om zowel individuele lichte drones als complete zwermen te neutraliseren door de interne elektronica op afstand te vernietigen. Hoewel het wapen in september reeds zichtbaar was tijdens een militaire parade, zijn de operationele details nu pas door de ontwikkelaar toegelicht.

De Hurricane 3000 onderscheidt zich door een effectief bereik van drie kilometer. Hiermee beschikt het systeem over een groter bereik dan zijn voorganger, de Hurricane 2000, en het vergelijkbare Amerikaanse Leonidas-systeem, dat effectief is tot twee kilometer. Volgens experts van Norinco maakt deze actieradius het systeem geschikt voor meer dan alleen puntverdediging van specifieke objecten. Het kan hierdoor ook worden ingezet voor de beveiliging van grotere sectoren, zoals stedelijke gebieden, kustlijnen en grensregio's.

Het operationele proces van de Hurricane 3000 begint met detectie via radar, waarna optische sensoren de doelen nauwkeurig volgen. Zodra de positie is vastgelegd, zendt het systeem krachtige microgolven uit. Deze energiepulsen zorgen ervoor dat de elektronische circuits van de drones direct doorbranden, een methode die wordt geclassificeerd als 'hard kill'-technologie. Dit verschilt fundamenteel van 'soft kill'-methoden die signalen enkel verstoren. Een belangrijk tactisch voordeel van deze microgolftechnologie ten opzichte van laserwapens is de zogenoemde 'sweep-and-kill'-capaciteit. Waar lasers zich op één doel tegelijk moeten richten, kan de Hurricane 3000 meerdere drones binnen een bepaald gebied gelijktijdig uitschakelen.

Ten opzichte van eerdere generaties zijn de detectiesnelheid, tracking-precisie en de mate van automatisering verbeterd. De Hurricane 3000 is ontworpen om volledig autonoom te functioneren, maar kan ook worden gekoppeld aan andere defensiesystemen. In een gecombineerde opstelling werkt het systeem samen met laserwapens en traditionele artillerie om een gelaagde verdediging te vormen tegen luchtdreigingen.

Bron 1

De grootschalige stroomstoring die de Venezolaanse hoofdstad Caracas trof tijdens de Amerikaanse militaire operatie op 3 januari 2026, biedt een cruciaal referentiekader voor de inzet van hybride middelen tegen civiele infrastructuur. Terwijl speciale eenheden de stad binnenvielen voor de arrestatie van president Nicolás Maduro, werd de energievoorziening in vitale delen van de stad chirurgisch onderbroken. Na afloop van de missie werd de stroomvoorziening relatief snel hersteld. President Donald Trump verklaarde nadien dat de Verenigde Staten specifieke expertise hadden aangewend om de lichten in de hoofdstad tijdelijk uit te schakelen. Deze gebeurtenis illustreert hoe cybercapaciteiten, elektronische oorlogsvoering en fysieke operaties samensmelten om een specifiek operationeel voordeel te behalen.

De aard van de uitval wijst volgens technische experts niet op een toevallig falen van het elektriciteitsnet of op de inzet van willekeurige, destructieve malware. De storing was geografisch nauwkeurig afgebakend en tijdelijk van aard, wat duidt op een gecontroleerde en omkeerbare interventie. Hoewel er discussie is over het mogelijke gebruik van fysieke middelen zoals grafietbommen om kortsluiting te veroorzaken, ontbreekt hiervoor tot dusver onafhankelijk bewijs. Het patroon van de disruptie duidt eerder op een diepgaand begrip van de lokale netwerkinfrastructuur en de bijbehorende beheersystemen.

Deskundigen benadrukken dat een dergelijke operatie zelden rust op één enkel digitaal wapen. In plaats daarvan is er sprake van een gecoördineerde aanpak waarbij de minst complexe maar meest effectieve methoden worden gecombineerd. Dit omvat onder meer het manipuleren van internetroutering en het verstoren van telecommunicatieverbindingen om de informatievoorziening en coördinatie van de tegenpartij te belemmeren. Publieke data over internetroutering toonde al uren voor de fysieke inval onregelmatigheden die wijzen op uitgebreide digitale verkenning en het omleiden van dataverkeer.

Daarnaast wijzen analisten op het belang van menselijke inlichtingen en fysieke toegang in de aanloop naar de operatie. Het verkrijgen van inzicht in de werking van onderstations en de handmatige overrides binnen het energienetwerk is essentieel voor een succesvolle en gecontroleerde uitschakeling. Het incident in Caracas toont aan dat civiele infrastructuur in moderne conflicten fungeert als operationeel terrein. De moeilijkheid om dergelijke acties direct toe te schrijven aan cyberaanvallen, elektronische verstoring of fysieke sabotage maakt de verdediging van vitale infrastructuur in de toekomst tot een uiterst complexe uitdaging voor beveiligingsexperts wereldwijd.

Bron 1

De Amerikaanse regering evalueert momenteel de inzet van digitale en technologische instrumenten als reactie op de grootschalige internetblokkades en repressie in Iran. Terwijl het Iraanse regime tracht de landelijke protesten te beheersen door de digitale communicatie plat te leggen, verschuift de focus van de Verenigde Staten naar middelen die deze informatieblokkade kunnen doorbreken. Het herstellen van de internettoegang voor de Iraanse bevolking via satellietcommunicatie wordt hierbij als een serieuze optie beschouwd om de overheidscontrole op de informatiestroom te omzeilen.

De inzet van technologie zoals Starlink wordt nadrukkelijk genoemd als methode om burgers opnieuw van connectiviteit te voorzien in een omgeving waar de lokale infrastructuur door de autoriteiten is afgesloten. Volgens verklaringen vanuit de Amerikaanse administratie wordt er gekeken naar samenwerkingen om satellietinternet operationeel te krijgen in de regio. Deze stap is bedoeld om de huidige communicatie-blackout te beëindigen, waardoor het voor de buitenwereld en voor de lokale bevolking mogelijk wordt om informatie over de situatie op de grond te verspreiden.

Naast het herstellen van verbindingen adviseren specialisten op het gebied van buitenlands beleid om offensieve cyberoperaties in te zetten tegen het Iraanse staatsapparaat. Er wordt gepleit voor gerichte cyberaanvallen die specifiek bedoeld zijn om de surveillance- en censuursystemen van het regime uit te schakelen. Dergelijke operaties zouden de technische middelen waarmee de autoriteiten demonstranten opsporen en vervolgen direct kunnen verzwakken. Ook digitale interventies tegen de beveiligingsnetwerken van de Iraanse veiligheidsdiensten worden in dit kader genoemd als alternatief voor of aanvulling op fysieke maatregelen.

De situatie kenmerkt zich door een strijd om digitale controle, waarbij de Amerikaanse overheid aangeeft klaar te staan om in te grijpen als de gewelddadige repressie aanhoudt. Hoewel er sprake is van diplomatieke toenadering vanuit Tehran, blijft de Amerikaanse focus liggen op het creëren van technologische hefboomwerking. De nadruk op cybermiddelen en satellietcommunicatie onderstreept hoe digitale infrastructuur een centraal onderdeel is geworden van internationale politieke conflicten en de handhaving van informatiestromen in crisissituaties.

Bron 1

De aard van dreigingen van binnenuit bij organisaties heeft een significante transformatie ondergaan. Waar beveiligingsstrategieën zich traditioneel richtten op ontevreden medewerkers of nalatige contractanten, wordt de digitale infrastructuur nu in toenemende mate bedreigd door externe actoren die onder valse voorwendselen worden aangenomen. Deze tactiek wordt specifiek toegeschreven aan de Democratische Volksrepubliek Korea (DPRK). Volgens schattingen van experts van de Verenigde Naties en internationale wetshandhavingsinstanties genereert het regime in Pyongyang jaarlijks circa 600 miljoen dollar via een geavanceerd netwerk van externe werknemers die posities bekleden bij westerse ondernemingen.

Uit analyses van beveiligingsonderzoekers blijkt dat de DPRK doorgaans twee verschillende operationele methoden hanteert om organisaties binnen te dringen. De eerste variant betreft het plaatsen van infiltranten voor de lange termijn in legitieme IT-functies. Deze personen functioneren maandenlang als reguliere medewerkers, terwijl ze op de achtergrond toegang tot systemen veiligstellen en inkomsten genereren voor het regime. De tweede variant maakt gebruik van fictieve entiteiten die legitieme softwarebedrijven nabootsen. Deze nepbedrijven zijn opgezet om bekwame professionals naar sollicitatiegesprekken te lokken, met als doel hun systemen te compromitteren door middel van kwaadaardige code.

De technische uitvoering van deze infiltraties legt kwetsbaarheden in standaard wervingsprocessen bloot. De aanvallers weten identiteitscontroles te omzeilen door gebruik te maken van gestolen burgerservicenummers en geavanceerde, door AI aangedreven deepfake-technologie tijdens video-interviews. Hierdoor falen traditionele verificatiemethoden die enkel gebaseerd zijn op documentatie en visuele inspectie.

Eenmaal aangenomen, hanteren de operatieven complexe technieken om hun werkelijke locatie te maskeren en detectie te voorkomen. Hoewel beveiligingsteams vaak vertrouwen op IP-geolocatie, omzeilen deze actoren dergelijke controles door netwerkverkeer te routeren via fysieke apparaten die daadwerkelijk in de Verenigde Staten zijn opgesteld. Het gebruik van deze zogenoemde laptopfarms zorgt ervoor dat het verkeer afkomstig lijkt van residentiële adressen in plaats van datacenters. Bovendien doorstaan deze fysieke apparaten controles op MAC-adressen en hardware-integriteit, controles die bij het gebruik van virtuele machines vaak alarmbellen doen afgaan.

De gevolgen van deze infiltraties zijn aanzienlijk voor getroffen organisaties. Naast directe financiële schade riskeren bedrijven het onomkeerbare verlies van intellectueel eigendom en schending van internationale sanctiewetgeving. Tevens installeren deze actoren vaak achterdeurtjes die toegang verschaffen aan door de staat gesponsorde hackgroepen, wat noodzaakt tot kostbare en uitgebreide audits van de volledige IT-infrastructuur.

Bron 1

Op 13 januari 2026 is er melding gemaakt van een geclaimde cyberaanval gericht op de webinfrastructuur van de Belgische stad Ronse. De groepering die opereert onder de naam BD Anonymous heeft aangegeven de website ronse.be als doelwit te hebben gekozen voor een Distributed Denial of Service aanval.

In het bericht wordt gesteld dat de website het doelwit was van de aanval. Uit verificatie op het moment van de melding bleek echter dat de website van de stad Ronse functioneel en toegankelijk was. De technische waarneming bevestigt dat de claim van de aanvallers op dat specifieke tijdstip niet resulteerde in een zichtbare onderbreking van de dienstverlening.

De Amerikaanse president Donald Trump heeft dinsdag een strategische bijeenkomst belegd om de reactie van de Verenigde Staten op de situatie in Iran te formaliseren. Centraal in dit overleg staat de keuze tussen conventionele militaire middelen, zoals luchtbombardementen en langeafstandsraketten, en de inzet van offensieve cyberoperaties en psychologische oorlogsvoering. Deze overweging volgt op berichten over aanhoudende repressie en protesten binnen de Islamitische Republiek, waarbij digitale oorlogsvoering expliciet als vergeldingsoptie op tafel ligt.

Naast de mogelijke digitale of fysieke vergelding heeft de Amerikaanse regering de economische druk reeds opgevoerd als onderdeel van de bredere strategie. President Trump kondigde maandag een handelstarief van 25 procent aan voor elk land dat zakelijke betrekkingen onderhoudt met het Iraanse regime. Deze economische maatregelen dienen als voorloper op de definitieve besluitvorming over de inzet van kinetische of cybernetische wapens.

Ondanks de verharde opstelling en de voorbereiding op escalatie hebben zowel Washington als Teheran aangegeven de diplomatieke route nog niet volledig te willen sluiten. De veiligheidssituatie wordt echter als precair beoordeeld; Amerikaanse staatsburgers in Iran zijn dringend opgeroepen het land te verlaten. De spanningen worden verder gekenmerkt door directe waarschuwingen, waarbij een Amerikaanse senator de Iraanse leider Khamenei wees op de dreiging van drones.

Bron 1: El Mundo, Bron 2: Walla!, Bron 3: Ground News

De netwerkinfrastructuur in Iran ondervindt momenteel een aanhoudende en grootschalige verstoring, waardoor het land inmiddels 120 uur nagenoeg volledig is afgesloten van het wereldwijde internet. Volgens actuele metingen van het internetobservatorium NetBlocks is het grote publiek hierdoor verstoken van digitale connectiviteit met de buitenwereld.

Hoewel technische analyses aantonen dat sommige telefonische verbindingen inmiddels weer sporadisch tot stand komen, blijft de toegang tot veilige en versleutelde communicatiekanalen geblokkeerd. Dit maakt het voor burgers nagenoeg onmogelijk om verifieerbare informatie naar buiten te brengen of veilig te communiceren. De beperkte data en beelden die ondanks de blokkade het land verlaten, duiden op een inzet van uitgebreid geweld tegen de burgerbevolking.

Naast de blokkade van regulier internetverkeer zijn er technische indicaties die wijzen op pogingen om alternatieve communicatiemethoden, zoals satellietverbindingen, te verstoren. Deze langdurige afsluiting wordt door experts beschouwd als een ernstige inbreuk op de digitale informatievrijheid en bemoeilijkt het onafhankelijk verifiëren van de situatie ter plaatse aanzienlijk.

Bron 1

Op 13 januari 2026 hebben live netwerkmetingen een grootschalige verstoring van de internetverbindingen in Oeganda bevestigd. De uitval treft het gehele nationale netwerk en vindt plaats twee dagen voor de algemene verkiezingen van 15 januari. Deze technische ingreep volgt op een officiële instructie van de Uganda Communications Commission (UCC) om de toegang tot internetdiensten te beperken. Als formele reden voor de maatregel wordt het beheersen van desinformatie en het waarborgen van de nationale veiligheid tijdens de verkiezingsperiode aangevoerd.

De vastgestelde blokkade vormt een breuk met eerdere toezeggingen van de Oegandese overheid. Op 5 januari 2021 verklaarden vertegenwoordigers van het Ministerie van ICT en de UCC nog dat er geen plannen waren voor een internetstop en noemden zij berichten hierover misleidend. Op 13 januari werd echter bekend dat de UCC, op advies van de nationale veiligheidsdiensten, de toegang tot sociale media, webbrowsing en berichtendiensten heeft opgeschort. Infrastructuur voor vitale sectoren zoals het bankwezen en de luchtvaart is volgens de autoriteiten buiten de blokkade gehouden.

Onderzoeksdata van onafhankelijke monitoringinstanties tonen aan dat de connectiviteit op landelijk niveau is geminimaliseerd. De huidige restricties passen in een patroon van eerdere interventies tijdens politiek gevoelige momenten in het land. Naast de algehele internetstop werd eerder deze maand ook al de dienstverlening van satelliet-internetproviders zoals Starlink in Oeganda stopgezet op last van de toezichthouder. Experts wijzen erop dat deze gecoördineerde acties de informatiestroom naar de burgerbevolking op een kritiek moment in het democratische proces beperken.

Bron 1

Een officieel onderzoeksrapport naar de recente blackout bij de Griekse luchtverkeersleiding heeft aangetoond dat de storing niet het gevolg was van een cyberaanval. De bevindingen van de auditoren sluiten digitale sabotage of externe inmenging definitief uit als oorzaak van de systeemuitval in het luchtruim boven Athene.

Olga Toki, vicevoorzitter van de vereniging van luchtverkeersleiders, heeft naar aanleiding van het rapport verklaard dat de audit de eerdere vermoedens van de experts heeft bevestigd. Waar in de periode direct na het incident gespeculeerd werd over een gerichte cyberoperatie of andere externe factoren, wijst het feitelijke bewijsmateriaal nu uit dat de oorzaak binnen de eigen technische infrastructuur ligt.

De uitkomsten van het onderzoek leggen de nadruk op de staat van de interne systemen en het beheer daarvan. Door het uitsluiten van een cyberaanval is de aandacht verschoven naar de structurele tekortkomingen in de kritieke infrastructuur die het luchtverkeer moet reguleren. De vakbond voor luchtverkeersleiders benadrukt dat het rapport de noodzaak aantoont van een betrouwbaar systeembeheer om de veiligheid van het luchtruim te waarborgen.

Er wordt nu gekeken naar de verantwoordelijke instanties voor de afhandeling van deze technische gebreken. De publicatie van de bevindingen heeft binnen de sector geleid tot een roep om maatregelen tegen degenen die verantwoordelijk zijn voor de operationele staat van de systemen ten tijde van de blackout.

Bron 1

De commissie voor Binnenlandse Veiligheid van het Amerikaanse Huis van Afgevaardigden is op de ochtend van dinsdag 13 januari 2026 samengekomen voor een evaluatie van de nationale cybercapaciteiten. De zitting was specifiek gericht op het beoordelen van methoden om kwaadaardige buitenlandse activiteiten die gericht zijn op de Amerikaanse infrastructuur af te schrikken en actief te verstoren.

Tijdens deze bijeenkomst stond het concept 'verdediging door aanval' centraal. De commissie onderzocht hoe de Verenigde Staten hun aanpak van offensieve cyberoperaties kunnen versterken binnen een breder nationaal veiligheidskader. Hierbij werd gekeken naar de operationele, juridische en beleidsmatige kaders die deze activiteiten reguleren. Het doel is om proactiever op te treden tegen dreigingen van statelijke actoren zoals China, Rusland en Iran, die steeds vaker vitale netwerken viseren.

Naast de offensieve mogelijkheden werd ook de noodzaak besproken voor een verbeterde coördinatie tussen overheidsinstanties en de private sector. Deskundigen benadrukten tijdens hun getuigenis dat alleen defensieve maatregelen niet langer volstaan in het huidige geopolitieke klimaat. De hoorzitting diende om vast te stellen hoe de Amerikaanse overheid een leidende rol kan behouden in het verstoren van vijandige digitale infrastructuren voordat deze schade kunnen toebrengen aan de nationale veiligheid.

Bron 1

De Poolse minister van Energie, Miłosz Motyka, heeft op dinsdag 13 januari 2026 bevestigd dat het nationale elektriciteitssysteem recent het doelwit is geweest van een grootschalige cyberaanval. Het incident vond plaats in de laatste week van december 2025 en wordt door de bewindsman omschreven als de zwaarste aanval op de energievoorziening in jaren. De autoriteiten zijn erin geslaagd de digitale aanval af te slaan, waardoor de operationele continuïteit van de stroomvoorziening gewaarborgd bleef.

Volgens het ministerie onderscheidde deze aanvalsvlaag zich door een veranderd patroon ten opzichte van eerdere incidenten. De focus van de aanvallers lag specifiek op de installaties voor hernieuwbare energie en in mindere mate op warmte-krachtkoppelingscentrales. Motyka sprak van een nieuw type aanval dat gericht was op het ontregelen van deze specifieke onderdelen van de kritieke infrastructuur. Ondanks de intensiteit van de poging hebben de beveiligingssystemen effectief gefunctioneerd.

Hoewel de minister geen technische details heeft vrijgegeven over de gebruikte methodieken of specifieke kwetsbaarheden, verklaarde hij dat de Poolse autoriteiten op de hoogte zijn van de identiteit van de verantwoordelijke actoren. De aanval wordt beschouwd als een ernstige test voor de weerbaarheid van het Poolse energienetwerk. De overheid benadrukt dat de bescherming van vitale infrastructuur onverminderd prioriteit heeft, mede gezien de strategische ligging van het land en de aanhoudende digitale dreigingen in de regio.

Bron 1

Met de aanstelling van Mykhailo Fedorov als minister van Defensie op woensdag 14 januari 2026, kiest Oekraïne voor een koers waarbij digitale expertise centraal staat in de militaire strategie. De 34-jarige Fedorov, die de afgelopen zes jaar de digitalisering van de Oekraïense overheid leidde, krijgt de opdracht om de krijgsmacht te transformeren door middel van automatisering, kunstmatige intelligentie en cyberoperaties. Zijn aantreden markeert een formele integratie van technologische innovatie binnen de traditionele defensiestructuur.

Strategische integratie van cybercapaciteiten

De nieuwe minister heeft bij zijn aantreden in het parlement expliciet de prioriteit gelegd bij het uitbouwen van digitale offensieven. Fedorov verklaarde dat Oekraïne de capaciteit voor asymmetrische aanvallen en cyberoperaties tegen de vijandelijke infrastructuur en economie substantieel zal versterken. Deze benadering is gericht op het creëren van een technologische voorsprong waarbij de digitale component wordt ingezet om fysieke en numerieke nadelen op het slagveld te neutraliseren.

Autonome systemen en kunstmatige intelligentie

Onderdeel van de nieuwe defensiestrategie is de grootschalige inzet van kunstmatige intelligentie (AI) in onbemande systemen. Oekraïne heeft systemen ontwikkeld die in staat zijn om volledig autonoom op een doelwit af te navigeren. Deze technologie is specifiek ontworpen om operationeel te blijven in omgevingen waar elektronische oorlogsvoering (jamming) het contact tussen de menselijke operator en het systeem verbreekt. Fedorov stelt dat de inzet van robots en geautomatiseerde technologie direct bijdraagt aan het verminderen van menselijke verliezen aan het front.

Technologische ontwikkelingen en interceptie

De technische agenda van het ministerie omvat de verdere ontwikkeling van gespecialiseerde systemen:

• Maritieme technologie: De verdere inzet en optimalisatie van de "Sea Baby" drones voor operaties op zee.
• Langeafstandssystemen: De productie van de "Flamingo", een grondgebonden kruisraket met een bereik van 3.000 kilometer.
• Luchtverdediging: Het bouwen van een systeem dat in staat is om inkomende dreigingen, waaronder de Russische hypersonische "Oreshnik" raketten, te bestrijden. Hierbij ligt de nadruk op de productie van goedkope onderscheppingsdrones die zwermen vijandelijke drones onschadelijk kunnen maken.

Audit en technologische cycli

Fedorov heeft aangekondigd onmiddellijk een audit uit te voeren binnen het ministerie van Defensie om budgettaire tekorten en inefficiënties aan te pakken. Een kernonderdeel van zijn beleid is het verkorten van de technologische cyclus, waarbij innovaties uit de tech-sector sneller moeten worden vertaald naar inzetbare militaire middelen. Door zijn achtergrond in de digitale sector wordt verwacht dat hij de bureaucratie rondom technologische inkoop zal minimaliseren om de technologische voorsprong op Rusland te behouden of te vergroten.

Bron 1

De Iraanse autoriteiten hebben in de eerste weken van 2026 een nagenoeg volledige internetblokkade afgedwongen als reactie op de aanhoudende burgerprotesten in alle 31 provincies van het land. Sinds 8 januari 2026 is de digitale toegang stelselmatig afgesloten, waarbij de connectiviteit in grote delen van het land is teruggevallen tot een kritiek minimum. Deze maatregel is ingezet om de verspreiding van informatie over het gewelddadige optreden van veiligheidstroepen en de coördinatie tussen demonstranten te verhinderen. Monitoringorganisaties bevestigen dat de huidige blackout een van de meest ingrijpende vormen van digitale repressie is die het land tot nu toe heeft gekend.

Centraal in deze operaties staat de Islamitische Revolutionaire Garde (IRGC), die niet alleen de fysieke repressie uitvoert, maar ook een directe controlerende rol heeft over de nationale inlichtingendiensten en de technische communicatie-infrastructuur. De Europese Unie en de Verenigde Staten onderzoeken momenteel juridische kaders om de IRGC officieel op de terroristenlijst te plaatsen. Een dergelijke classificatie zou leiden tot het bevriezen van digitale activa en het blokkeren van financiële stromen die door de organisatie worden gebruikt voor zowel binnenlandse surveillance als internationale operaties.

De digitale afsluiting heeft geleid tot een internationale roep om het verstrekken van alternatieve verbindingsmiddelen, zoals satellietinternet, om de informatieblokkade te doorbreken. Ondertussen hebben de Iraanse autoriteiten cyberoperaties geïntensiveerd om de verspreiding van beelden van de protesten tegen te gaan en kritische digitale kanalen te verstoren. De situatie wordt verergerd door de blokkade van sociale mediaplatforms en berichtenapps, waardoor de burgerbevolking nagenoeg volledig is afgesneden van het wereldwijde web.

Naast de binnenlandse repressie is er internationaal verhoogde aandacht voor de technologische en militaire samenwerking tussen Iran en Rusland. Recente rapporten wijzen uit dat Teheran sinds eind 2021 voor meer dan vier miljard dollar aan militaire goederen heeft geleverd aan Moskou, waaronder geavanceerde drones en raketsystemen. Nu de geopolitieke spanningen escaleren en de Amerikaanse president Trump heeft gedreigd met interventie, neemt de vrees voor digitale confrontaties toe. De focus van internationale veiligheidsexperts ligt hierbij op het monitoren van mogelijke cyberdreigingen vanuit staatstactoren gericht op vitale infrastructuren in het Westen.

Bron 1

Het Amerikaanse ruimtevaartbedrijf SpaceX heeft de abonnementskosten voor de Starlink-satellietinternetdienst in Iran laten vallen. Volgens activisten is deze stap gezet om demonstranten te ondersteunen bij het delen van informatie over de aanhoudende landelijke protesten. De maatregel volgt op een volledige blokkade van telecommunicatie en internet door de Iraanse overheid, die op 8 januari werd ingesteld naar aanleiding van groeiende onrust over de verslechterende economie en de val van de nationale munteenheid.

Hoewel SpaceX de beslissing niet officieel heeft aangekondigd, melden betrokkenen dat Starlink sinds dinsdag gratis toegankelijk is voor iedereen in Iran die over de benodigde ontvangers beschikt. Daarnaast zou het bedrijf een firmware-update hebben gepusht om pogingen van de Iraanse overheid om satellietsignalen te storen te omzeilen. Deze technologische ondersteuning wordt door activisten als cruciaal gezien, omdat het demonstranten in staat stelt beelden van het gewelddadige optreden van veiligheidstroepen naar de buitenwereld te sturen. Sinds het uitbreken van de demonstraties op 28 december is het dodental volgens mensenrechtenorganisaties opgelopen tot meer dan 2.500 personen.

De inzet van Starlink in Iran is niet zonder risico's. De apparatuur is door de lokale autoriteiten verboden en nooit officieel goedgekeurd voor import of gebruik. Gebruikers riskeren beschuldigingen van spionage, wat in Iran kan leiden tot de doodstraf. Desondanks zijn er naar schatting al meer dan 50.000 eenheden het land binnengesmokkeld sinds de eerdere protesten in 2022. Gebruikers nemen uitgebreide voorzorgsmaatregelen, zoals het gebruik van VPN-verbindingen om hun IP-adressen te verbergen en het fysiek camoufleren van de satellietontvangers om detectie door de autoriteiten te voorkomen.

Bron

Iran heeft maatregelen genomen om de toegang tot het internet via Starlink fors te beperken. Dit komt te midden van massale protesten in het land, waar de overheid al geruime tijd een strikte internetblokkade hanteert. Starlink, de satellietinternetdienst van Elon Musk, werd door veel Iraniërs gebruikt om deze blokkades te omzeilen. Er zijn naar schatting 50.000 tot 100.000 Starlink-terminals het land binnengesmokkeld, en de service was tijdelijk gratis beschikbaar voor de bevolking.

Echter, volgens rapporten van Iranwire, een collectief van gevluchte Iraanse dissidenten, maakt de Iraanse regering gebruik van geavanceerde verstoringstechnieken om het Starlink-signaal te blokkeren. Dit gebeurt vermoedelijk met ondersteuning van Rusland of China. Onderzoekers hebben militaire jammers geïdentificeerd die op de satellieten gericht zijn, waardoor in de eerste uren na de blokkade 30% van al het Starlink-verkeer werd verstoord. Dit percentage steeg al snel naar 80%.

Het gebruik van dergelijke geavanceerde technologie is ongekend in Iran. Onderzoeker Amir Rashidi verklaart dat deze aanpak mogelijk gebruik maakt van geavanceerde technologie afkomstig uit Rusland, China, of Iran zelf. Hij benadrukt dat dergelijke verstoringen niet alleen het gevolg zijn van gps-signaalstoringen, maar een complexere technische ingreep vereisen. Ondanks eerdere blokkades, zoals in de zomer van 2025 tijdens een conflict met Israël, bleef Starlink destijds grotendeels operationeel.

Channel 4 brengt de situatie in verband met de Russische militaire technologie, vergelijkbaar met de technologie die Rusland gebruikt in hun technologische strijd met Oekraïne, waar Starlink een cruciale rol speelt. Het Russische leger zou dergelijke technologie inzetten vanuit vrachtwagens vol geavanceerde apparatuur om verbindingen in een groot gebied te verstoren.

De huidige situatie in Iran, waarbij de internettoegang stevig onder druk staat, heeft ertoe geleid dat er weinig informatie naar buiten komt over de protesten. Desalniettemin duiden de schaarse beelden en berichten op gewelddadige onderdrukking van demonstranten door de Iraanse autoriteiten. De schattingen van het aantal slachtoffers door deze repressieve maatregelen zijn opgelopen tot boven de 2500.

Bron

De Poolse premier Donald Tusk heeft op donderdag 15 januari 2026 bekendgemaakt dat er sterke aanwijzingen zijn dat een groep verbonden aan de Russische geheime diensten verantwoordelijk is voor een grootschalige cyberaanval op de Poolse energie-infrastructuur. De aanval vond plaats tijdens de kerstperiode in december en had als doel de communicatie tussen installaties voor hernieuwbare energie en distributienetbeheerders te verstoren. Volgens de Poolse regering kon een landelijke blackout ternauwernood worden voorkomen door tijdig ingrijpen.

De Poolse minister van Digitale Zaken en vicepremier Krzysztof Gawkowski omschreef het incident als de grootste aanval op de energiesector in de afgelopen jaren. De sabotage duidt volgens de Poolse autoriteiten op een verschuiving in de strategie van aanvallers, waarbij de focus is verplaatst van conventionele energiecentrales naar de communicatiesystemen van duurzame energiebronnen. In de eerste drie kwartalen van 2025 werden er in Polen reeds 170.000 cyberincidenten geregistreerd die door de overheid in verband worden gebracht met door Rusland gesteunde actoren.

De Poolse regering beschouwt de digitale oorlogsvoering als een direct gevolg van de toenemende spanningen en een veranderend strijdtoneel waarin infrastructuur vaker het doelwit is. Hoewel de Poolse autoriteiten de aanval officieel hebben toegeschreven aan Rusland, is er vanuit Moskou nog geen reactie gekomen op de beschuldigingen. Minister van Energie Miłosz Motyka benadrukte dat de aanval specifiek gericht was op het destabiliseren van het land door de stroomvoorziening te saboteren.

Bron

Het Chinese Volksbevrijdingsleger (PLA) heeft bekendgemaakt dat het momenteel meer dan tien experimentele instrumenten voor cyberoorlogsvoering op basis van kwantumtechnologie ontwikkelt. Volgens het staatsmedium Science and Technology Daily worden veel van deze nieuwe tools al actief getest tijdens missies in de frontlinie. Deze onthulling markeert een significante stap in de integratie van geavanceerde kwantumtoepassingen binnen operationele militaire strategieën en inlichtingendiensten.

Het project staat onder leiding van een laboratorium voor supercomputing aan de National University of Defence Technology. Deze instelling heeft bevestigd dat een recent prototype, met een gewicht van ongeveer drie kilogram, succesvol signalen heeft ontvangen over afstanden van tientallen kilometers. Tijdens recente veldoefeningen bleek het apparaat in staat tot het real-time decoderen van informatie. De focus van deze ontwikkeling ligt op het verzamelen van hoogwaardige militaire inlichtingen uit de publieke digitale ruimte en het ontwikkelen van geavanceerde navigatie- en stealth-detectiesystemen die aansluiten bij nationale veiligheidsdoelen.

Naast de inlichtingentools testen grenseenheden momenteel wat wordt omschreven als 's werelds eerste draagbare kwantumradio. Na succesvolle proeven in de Saibei-graslanden ten noorden van de Chinese Muur, wordt deze technologie ingezet ter ondersteuning van noodcommunicatie. De kwantumradio is specifiek ontworpen om te functioneren in uitdagende omgevingen zoals valleien en dichte bossen, waar standaard communicatiesystemen vaak falen.

De ontwikkelingen blijven niet onopgemerkt in de internationale veiligheidsgemeenschap. Een rapport van een Amerikaanse commissie merkte op dat kwantumtechnologieën de toekomst van detectie, encryptie en dataveiligheid ingrijpend zullen veranderen. Zowel China als de Verenigde Staten investeren zwaar in deze sector, waarbij China gebruikmaakt van gecentraliseerde financiering om de technologische vooruitgang te versnellen en een strategisch voordeel te behalen in het informatiedomein.

Bron

Cisco heeft een patch uitgebracht voor een zero-day kwetsbaarheid met maximale ernst, aangeduid als CVE-2025-20393, in Cisco AsyncOS. Deze kwetsbaarheid werd sinds november 2025 misbruikt in aanvallen op Secure Email Gateway (SEG) en Secure Email en Web Manager (SEWM) apparaten.

De kwetsbaarheid bevindt zich in Cisco SEG en Cisco SEWM apparaten met niet-standaard configuraties, waarbij de Spam Quarantine functie is ingeschakeld en via het internet toegankelijk is. Door een gebrekkige inputvalidatie kunnen aanvallers willekeurige commando's uitvoeren met root-privileges op het onderliggende besturingssysteem van een getroffen apparaat.

Cisco heeft gedetailleerde instructies gepubliceerd voor het upgraden van kwetsbare apparaten naar een beveiligde softwareversie in een security advisory.

Cisco Talos, het team voor dreigingsinformatie van het bedrijf, vermoedt dat een Chinese hackinggroep, die ze volgen onder de naam UAT-9686, verantwoordelijk is voor de aanvallen waarbij de kwetsbaarheid wordt misbruikt. De aanvallers voeren willekeurige commando's uit met root-privileges.

Tijdens het onderzoek naar de aanvallen heeft Cisco Talos vastgesteld dat de aanvallers AquaShell persistent backdoors, AquaTunnel en Chisel reverse-SSH tunnel malware implantaten en de AquaPurge log-clearing tool inzetten om sporen van hun kwaadaardige activiteiten te wissen.

AquaTunnel en andere kwaadaardige tools die in deze campagne zijn ingezet, zijn in het verleden ook in verband gebracht met andere Chinese, door de staat gesteunde dreigingsgroepen, zoals APT41 en UNC5174.

Cisco Talos schat in dat UAT-9686 een Chinese APT-actor (advanced persistent threat) is, wiens toolgebruik en infrastructuur overeenkomen met andere Chinese dreigingsgroepen. De groep zet een custom persistentie mechanisme in, bekend als AquaShell, samen met tooling voor reverse tunneling en het verwijderen van logs.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-20393 op 17 december 2025 toegevoegd aan de catalogus van bekende, misbruikte kwetsbaarheden. Federale agentschappen werden opgedragen hun systemen binnen een week te beveiligen volgens de richtlijnen van Cisco, uiterlijk 24 december 2025, zoals vastgelegd in Binding Operational Directive (BOD) 22-01.

CISA adviseert om de richtlijnen van Cisco te volgen om de blootstelling te beoordelen en risico's te beperken. Er moet gecontroleerd worden op tekenen van mogelijke compromittering op alle internettoegankelijke Cisco-producten die door deze kwetsbaarheid worden getroffen. Alle definitieve maatregelen die door de leverancier worden verstrekt, moeten zo snel mogelijk worden toegepast. CISA benadrukt dat dit soort kwetsbaarheden vaak worden gebruikt door kwaadwillende cyberactoren en aanzienlijke risico's vormen.

Bron

Beveiligingsexperts hebben details onthuld over een nieuwe campagne die zich richt op Amerikaanse overheids- en beleidsinstanties met behulp van politiek getinte lokmiddelen om een backdoor te leveren die bekend staat als LOTUSLITE.

De gerichte malwarecampagne maakt gebruik van afleidingsmanoeuvres die verband houden met de recente geopolitieke ontwikkelingen tussen de VS en Venezuela om een ZIP-archief ("US now deciding what's next for Venezuela.zip") te verspreiden dat een kwaadaardige DLL bevat die wordt gestart met behulp van DLL side-loading technieken. Het is niet bekend of de campagne erin is geslaagd een van de doelwitten succesvol te compromitteren.

De activiteit is met een redelijke mate van zekerheid toegeschreven aan een door de Chinese staat gesteunde groep die bekend staat als Mustang Panda (ook bekend als Earth Pret, HoneyMyte en Twill Typhoon), waarbij tactische en infrastructurele patronen worden aangehaald. Het is vermeldenswaardig dat de dreigingsactor erom bekend staat in hoge mate te vertrouwen op DLL side-loading om zijn backdoors te lanceren, waaronder TONESHELL.

"Deze campagne weerspiegelt een voortdurende trend van gerichte spear phishing met behulp van geopolitieke lokmiddelen, waarbij de voorkeur wordt gegeven aan betrouwbare uitvoeringstechnieken zoals DLL side-loading boven op exploits gebaseerde initiële toegang," aldus Acronis-onderzoekers Ilia Dafchev en Subhajeet Singha in een analyse.

De backdoor ("kugou.dll") die in de aanval wordt gebruikt, LOTUSLITE, is een op maat gemaakte C++ implant die is ontworpen om te communiceren met een hard-gecodeerde command-and-control (C2) server met behulp van Windows WinHTTP API's om beaconing activiteit, remote tasking met behulp van "cmd.exe" en data exfiltratie mogelijk te maken. De volledige lijst met ondersteunde commando's is als volgt:

0x0A, om een remote CMD shell te initiëren
0x0B, om de remote shell te beëindigen
0x01, om commando's via de remote shell te verzenden
0x06, om de beacon status te resetten
0x03, om bestanden in een map op te sommen
0x0D, om een leeg bestand te creëren
0x0E, om gegevens aan een bestand toe te voegen
0x0F, om de beacon status op te halen

LOTUSLITE is ook in staat persistentie te vestigen door Windows Registry aanpassingen aan te brengen om ervoor te zorgen dat het automatisch wordt uitgevoerd telkens wanneer de gebruiker zich aanmeldt bij het systeem.

Acronis zei dat de backdoor "de gedragsmatige streken van Claimloader nabootst door provocerende berichten in te bedden." Claimloader is de naam die is toegewezen aan een DLL die wordt gestart met behulp van DLL side-loading en wordt gebruikt om PUBLOAD te implementeren, een ander hulpprogramma van Mustang Panda. De malware werd voor het eerst gedocumenteerd door IBM X-Force in juni 2025 in verband met een cyberespionagecampagne gericht op de Tibetaanse gemeenschap.

"Deze campagne laat zien hoe simpele en goed geteste technieken nog steeds effectief kunnen zijn in combinatie met gerichte levering en relevante geopolitieke lokmiddelen," concludeerde het Singaporese cybersecuritybedrijf. "Hoewel de LOTUSLITE backdoor geen geavanceerde ontwijkingsfuncties heeft, weerspiegelt het gebruik van DLL side-loading, een betrouwbare uitvoeringsflow en basis command-and-control functionaliteit een focus op operationele betrouwbaarheid in plaats van verfijning."

De onthulling komt op het moment dat The New York Times details publiceerde over een vermeende cyberaanval uitgevoerd door de VS om de elektriciteit voor de meeste inwoners van de hoofdstad Caracas enkele minuten te verstoren, voorafgaand aan de militaire operatie van 3 januari 2026 waarbij de Venezolaanse president Nicolás Maduro werd gevangengenomen.

"Het uitschakelen van de stroom in Caracas en het storen van radar stelde Amerikaanse militaire helikopters in staat om onopgemerkt het land binnen te vliegen tijdens hun missie om Nicolás Maduro, de Venezolaanse president die nu naar de Verenigde Staten is gebracht om terecht te staan voor drugsmisdrijven, gevangen te nemen," meldde de Times.

"De aanval zorgde ervoor dat de meeste inwoners van Caracas enkele minuten zonder stroom kwamen te zitten, hoewel sommige buurten in de buurt van de militaire basis waar Maduro werd gevangengenomen tot 36 uur zonder elektriciteit zaten."

Bron

Sinds minstens vorig jaar richt een dreigingsactor, vermoedelijk gelieerd aan China, zich op kritieke infrastructuursectoren in Noord-Amerika.

Cisco Talos, die de activiteit volgt onder de naam UAT-8837, schat in dat het om een Chinese advanced persistent threat (APT) actor gaat, met een middelmatig betrouwbaarheidsniveau gebaseerd op tactische overeenkomsten met andere campagnes van dreigingsactoren uit die regio.

Het cybersecuritybedrijf merkte op dat de dreigingsactor "voornamelijk belast is met het verkrijgen van initiële toegang tot hoogwaardige organisaties," op basis van de waargenomen tactieken, technieken en procedures (TTP's) en post-compromisactiviteit.

"Na het verkrijgen van initiële toegang - hetzij door succesvolle exploitatie van kwetsbare servers, hetzij door gebruik te maken van gecompromitteerde inloggegevens - zet UAT-8837 voornamelijk open-source tools in om gevoelige informatie te verzamelen, zoals inloggegevens, beveiligingsconfiguraties en domein- en Active Directory (AD) informatie om meerdere toegangskanalen tot hun slachtoffers te creëren," voegde het bedrijf eraan toe.

UAT-8837 zou recentelijk een kritieke zero-day kwetsbaarheid in Sitecore (CVE-2025-53690, CVSS score: 9.0) hebben geëxploiteerd om initiële toegang te verkrijgen. De inbraak vertoont overeenkomsten in TTP's, tooling en infrastructuur met een campagne die in september 2025 door Mandiant (Google) werd beschreven.

Hoewel het onduidelijk is of deze twee clusters het werk zijn van dezelfde actor, suggereert het dat UAT-8837 mogelijk toegang heeft tot zero-day exploits om cyberaanvallen uit te voeren.

Zodra de aanvaller voet aan de grond krijgt in doelnetwerken, voert hij voorlopige verkenningen uit, gevolgd door het uitschakelen van RestrictedAdmin voor Remote Desktop Protocol (RDP), een beveiligingsfunctie die ervoor zorgt dat inloggegevens en andere gebruikersbronnen niet worden blootgesteld aan gecompromitteerde externe hosts.

UAT-8837 opent ook "cmd.exe" om hands-on keyboard activiteit uit te voeren op de geïnfecteerde host en downloadt verschillende artefacten om post-exploitatie mogelijk te maken. Enkele van de opmerkelijke tools zijn:

GoTokenTheft, om toegangstokens te stelen
EarthWorm, om een reverse tunnel te creëren naar door de aanvaller gecontroleerde servers met behulp van SOCKS
DWAgent, om persistente remote access en Active Directory verkenning mogelijk te maken
SharpHound, om Active Directory informatie te verzamelen
Impacket, om commando's uit te voeren met verhoogde privileges
GoExec, een Golang-gebaseerde tool om commando's uit te voeren op andere verbonden remote endpoints binnen het netwerk van het slachtoffer
Rubeus, een C#-gebaseerde toolset voor Kerberos interactie en misbruik
Certipy, een tool voor Active Directory discovery en misbruik

"UAT-8837 kan een reeks commando's uitvoeren tijdens de inbraak om gevoelige informatie te verkrijgen, zoals inloggegevens van slachtofferorganisaties," aldus onderzoekers Asheer Malhotra, Vitor Ventura en Brandon White.

"In één slachtofferorganisatie heeft UAT-8837 DLL-gebaseerde shared libraries met betrekking tot de producten van het slachtoffer geëxfiltreerd, waardoor de mogelijkheid ontstaat dat deze libraries in de toekomst getrojaniseerd kunnen worden. Dit creëert mogelijkheden voor supply chain compromissen en reverse engineering om kwetsbaarheden in die producten te vinden."

De onthulling komt een week nadat Talos een andere Chinese dreigingsactor, bekend als UAT-7290, toeschreef aan spionagegerichte inbraken tegen entiteiten in Zuid-Azië en Zuidoost-Europa met behulp van malwarefamilies zoals RushDrop, DriveSwitch en SilentRaid.

In de afgelopen jaren hebben zorgen over Chinese dreigingsactoren die zich richten op kritieke infrastructuur westerse regeringen ertoe aangezet verschillende waarschuwingen uit te geven. Eerder deze week waarschuwden cybersecurity- en inlichtingendiensten uit Australië, Duitsland, Nederland, Nieuw-Zeeland, het Verenigd Koninkrijk en de VS voor de groeiende bedreigingen voor operational technology (OT) omgevingen.

De richtlijnen bieden een kader voor het ontwerpen, beveiligen en beheren van connectiviteit in OT-systemen, waarbij organisaties worden aangespoord om blootstelling te beperken, netwerkverbindingen te centraliseren en te standaardiseren, veilige protocollen te gebruiken, de OT-grens te versterken, ervoor te zorgen dat alle connectiviteit wordt bewaakt en gelogd, en het vermijden van het gebruik van verouderde assets die het risico op beveiligingsincidenten kunnen vergroten.

"Blootgestelde en onveilige OT-connectiviteit staat bekend als een doelwit van zowel opportunistische als zeer capabele actoren," aldus de agentschappen. "Deze activiteit omvat door de staat gesponsorde actoren die actief kritieke nationale infrastructuur (CNI) netwerken aanvallen. De dreiging is niet alleen beperkt tot door de staat gesponsorde actoren, met recente incidenten die aantonen hoe blootgestelde OT-infrastructuur opportunistisch wordt aangevallen door hacktivisten."

Bron

De Frans-Britse satellietexploitant Eutelsat heeft een strategische overeenkomst gesloten met MaiaSpace, een Franse ruimtevaart-startup die in 2021 werd opgericht. MaiaSpace, een dochteronderneming van de ArianeGroup, krijgt de taak om vanaf volgend jaar satellieten te lanceren voor het OneWeb-netwerk van Eutelsat. Met deze stap probeert Eutelsat de positie van OneWeb te versterken in de concurrentiestrijd met het Amerikaanse Starlink van SpaceX.

Hoewel OneWeb reeds een vrijwel wereldwijde dekking biedt, blijven de huidige prestaties op het gebied van snelheid en bandbreedte achter bij de Amerikaanse concurrentie. Dit verschil wordt voornamelijk veroorzaakt door de hoogte van de satellietbaan. OneWeb beschikt momenteel over ongeveer 600 satellieten, tegenover meer dan 9.000 van Starlink. Om een wereldwijd bereik te garanderen met een kleiner aantal eenheden, moeten de satellieten van OneWeb in een hogere baan worden geplaatst, wat ten koste gaat van de snelheid.

De keuze voor MaiaSpace is ingegeven door de behoefte aan meer Europese autonomie op het gebied van ruimtevaartinfrastructuur. Tot op heden was Eutelsat voor lanceringen grotendeels afhankelijk van externe partijen zoals SpaceX en de Indiase ruimtevaartorganisatie ISRO. De onberekenbaarheid van zowel commerciële partijen in de Verenigde Staten als de Amerikaanse overheid heeft de roep om een volwaardig Europees alternatief versterkt. De Franse president Macron benadrukte eerder al de noodzaak om OneWeb uit te bouwen tot een strategisch instrument voor Europa.

MaiaSpace werkt aan de ontwikkeling van herbruikbare raketten, een technologie die essentieel wordt geacht om de lanceerkosten te verlagen en de frequentie van lanceringen te verhogen. Door de kostenstructuur te verbeteren, kan Eutelsat op termijn meer satellieten in een lagere baan brengen, wat de kwaliteit van het satellietinternet voor Europese gebruikers en overheidsinstanties moet verbeteren. Naast de civiele markt richt Eutelsat zich ook op defensie; momenteel voert de organisatie gesprekken met de Canadese strijdkrachten over de inzet van hun netwerk.

Bron

De website ICE List, ook bekend als de ICE List Wiki, is getroffen door een cyberaanval. De aanval vond plaats nadat de website zich voorbereidde op de publicatie van identiteiten van duizenden federale agenten in de Verenigde Staten, met name diegenen die werkzaam zijn bij Immigration and Customs Enforcement (ICE).

De oprichter van de site, de in Nederland gevestigde activist Dominick Skinner, bevestigde dat een DDoS-aanval hun servers heeft overspoeld. De aanval begon op dinsdagavond vorige week.

Een DDoS-aanval werkt door een website te overbelasten met verkeer, waardoor deze uiteindelijk uitvalt. Skinner vertelde dat de duur en intensiteit van deze aanval wijzen op een doelbewuste poging om de gelekte informatie uit de openbaarheid te houden.

Volgens The Daily Beast is de data afkomstig van een klokkenluider bij het Department of Homeland Security (DHS). Het lek zou de namen, telefoonnummers en werkgeschiedenissen bevatten van ongeveer 4.500 werknemers van ICE en Border Patrol.

De klokkenluider zou in actie zijn gekomen na de dood van Renee Nicole Good, die op 7 januari 2026 in Minneapolis werd doodgeschoten door een ICE-agent.

Binnen enkele uren na de schietpartij identificeerden activisten de betrokken agent als Jonathan E. Ross. Skinner merkte op dat dit incident voor de klokkenluider de aanleiding vormde om een dataset met e-mails, functietitels en achtergrondinformatie te overhandigen.

Hoewel de site weer online is, stelde Skinner vast dat een groot deel van het kwaadaardige verkeer afkomstig lijkt te zijn van een botnet in Rusland. Het is echter bijna onmogelijk om de werkelijke bron te traceren, aangezien proxies worden gebruikt om signalen via verschillende landen te leiden om de sporen te verbergen. Skinner omschreef de aanval als geavanceerd.

Het team van Skinner opereert vanuit Nederland. Ondanks de aanval is het team van plan om naar veiligere servers te verhuizen. Ze zijn van plan om de meeste namen te publiceren, met uitzondering van bepaalde personeelsleden, zoals verpleegkundigen.

Bron

Na een bijna volledige digitale isolatie van ruim een week is er een zeer beperkte toename van het internetverkeer in Iran waargenomen. De internetwaakhond NetBlocks meldt dat momenteel ongeveer twee procent van de Iraanse bevolking weer toegang lijkt te hebben tot het wereldwijde web. Hoewel dit percentage een lichte stijging betreft ten opzichte van de voorgaande dagen, benadrukt de monitoringsorganisatie dat er geenszins sprake is van een significante terugkeer van de internetverbinding. Het overgrote deel van de negentig miljoen inwoners blijft afgesloten van internationale communicatiekanalen.

De blokkade werd in de nacht van 8 januari 2026 geïnitieerd door de Iraanse overheid als reactie op aanhoudende demonstraties tegen het regime en de stijgende prijzen. Volgens de officiële lezing van de autoriteiten is de afsluiting bedoeld om terroristische operaties een halt toe te roepen. Gedurende de eerste nacht van deze maatregel werden tevens de telefoonlijnen platgelegd, wat resulteerde in de onbereikbaarheid van hulpdiensten. Inmiddels zijn lokale telefoondiensten weer operationeel, maar het sms-verkeer blijft geblokkeerd. Sinds afgelopen dinsdag zijn uitgaande internationale telefoongesprekken wel weer mogelijk.

Het gebrek aan connectiviteit bemoeilijkt het verkrijgen van betrouwbare informatie over de situatie binnen de landsgrenzen aanzienlijk. De beperkte stroom aan nieuws die de buitenwereld bereikt, verloopt deels via alternatieve routes zoals de satellietinternetdienst Starlink. De huidige situatie vertoont parallellen met eerdere afsluitingen, zoals tijdens de massaprotesten in september 2022, waarbij de toegang tot informatie eveneens drastisch werd ingeperkt om de verspreiding van beelden en berichten omtrent de onrust te controleren.

Bron

De Iraanse overheid hanteert al geruime tijd een strategie waarbij het internet systematisch wordt afgesloten voor de eigen bevolking. Hoewel deze maatregelen primair gericht zijn op het dwarsbomen van protesten en het verhinderen van organisatie door de oppositie, brengen de blokkades aanzienlijke economische en politieke kosten met zich mee. Op dit moment heeft slechts twee procent van de bevolking in Iran toegang tot het wereldwijde web, nadat de verbindingen al geruime tijd platliggen. Deze situatie bemoeilijkt de communicatie via populaire diensten zoals WhatsApp en Instagram aanzienlijk.

Het systeem van overheidscontrole, door sommige inwoners ook wel 'halal internet' genoemd, stelt de autoriteiten in staat om burgers nauwgezet te controleren en het internet in tijden van crisis volledig uit te schakelen. Deze tactiek wordt sinds 2009 toegepast tijdens periodes van onrust. Experts wijzen er echter op dat deze isolatie niet onbeperkt kan voortduren. De Iraanse economie, die reeds kampt met een hoge inflatie en een munt die in het afgelopen halfjaar veertig procent van zijn waarde verloor, wordt door de digitale blokkades verder gedestabiliseerd.

Vooral de e-commercesector in het land wordt zwaar getroffen. Naar schatting maakt 83 procent van de Iraanse onlinebedrijven gebruik van sociale mediaplatforms voor hun omzet en marketing. Door het gebrek aan internetverbindingen liggen online vergaderingen en zakelijke afspraken volledig stil. Dit is opvallend aangezien economische tegenspoed juist een belangrijke drijfveer was voor de recente protesten. De internetstoringen maken de financiële situatie voor veel burgers nog complexer en instabieler, waardoor het moeilijker wordt om in het dagelijks onderhoud te voorzien.

Om de informatieblokkade te doorbreken, zoeken activisten en burgers voortdurend naar alternatieve methoden. Sommige mensen rijden naar de landsgrenzen om daar een signaal te vinden en zo nieuws naar het buitenland te verspreiden. Een van de meest effectieve middelen om de blokkades te omzeilen is het gebruik van Starlink. De afgelopen jaren zijn er tienduizenden van deze satellietcommunicatiesystemen het land binnengesmokkeld. Via deze weg slagen gebruikers erin om beelden en informatie over de situatie in het land alsnog met de buitenwereld te delen.

Bron

De Europese Commissie overweegt een voorstel in te dienen om Chinese netwerkapparatuur en zonnepanelen te verbieden in kritieke infrastructuur binnen de Europese Unie. Dit mogelijke verbod, ingegeven door veiligheidsoverwegingen, zou een significante impact kunnen hebben op zowel leveranciers als afnemers binnen de EU. De Financial Times bericht dat de Commissie het voorstel naar verwachting aanstaande dinsdag zal presenteren.

Momenteel ontbreken uniforme regels op Europees niveau die het gebruik van Chinese netwerkapparatuur in mobiele netwerken expliciet verbieden. Echter, verschillende lidstaten, waaronder Nederland en België, hebben al maatregelen getroffen om apparatuur van Huawei en ZTE uit hun mobiele netwerken te weren. Dit potentiële verbod op Europees niveau zou de druk op andere landen verder kunnen verhogen om soortgelijke stappen te ondernemen.

De precieze implicaties van het voorgestelde verbod op Chinese zonnepanelen in kritieke infrastructuur zijn nog niet volledig duidelijk. Op dit moment is circa 90 procent van de zonnepanelen die in de EU worden gebruikt van Chinese makelij. Verwacht wordt dat het verbod zich specifiek zal richten op zonnesystemen die worden gebruikt in bijvoorbeeld overheidsgebouwen en andere cruciale locaties. Deze systemen bevatten vaak inverters van fabrikanten zoals Huawei. De zorg is dat de Chinese staat, waarvan de belangen regelmatig conflicteren met die van de EU, controle zou kunnen krijgen over essentiële elektronica die op strategische locaties binnen de EU operationeel is.

De discussie over het gebruik van Chinese apparatuur in kritieke infrastructuur speelt al langer, mede gestimuleerd door het handelsconflict tussen de Verenigde Staten en China. Daarbij zijn er beschuldigingen geuit dat Chinese apparatuur kan worden gebruikt voor spionage, alhoewel hier geen concreet bewijs voor is geleverd.

Het is belangrijk te benadrukken dat een voorstel van de Europese Commissie niet automatisch resulteert in wetgeving. De lidstaten zullen het voorstel uitgebreid bespreken en het Europees Parlement zal uiteindelijk over een definitieve wetstekst stemmen. Het is dus mogelijk dat er aanzienlijke verschillen ontstaan tussen het oorspronkelijke voorstel van de Commissie en de uiteindelijke wet, of dat het voorstel zelfs verworpen wordt. De komende maanden zullen cruciaal zijn om de ontwikkelingen rond dit voorstel te volgen en de mogelijke impact op de Europese IT- en securitysector te beoordelen.

Bron

Verschillende Iraanse staatstelevisiekanalen zijn zondag kortstondig gehackt, waarbij de reguliere programmering werd onderbroken om protestbeelden en boodschappen van een verbannen oppositieleider uit te zenden. Dat melden diverse media. De getroffen kanalen werden uitgezonden via de Badr-satelliet, die de Iraanse staatsomroep gebruikt om een aantal regionale televisiestations landelijk te bedienen.

Videofragmenten die op sociale media circuleren, lijken boodschappen in het Farsi te tonen waarin demonstranten worden opgeroepen om te blijven demonstreren. Ook zijn beelden te zien van solidariteitsbijeenkomsten in het buitenland en steunbetuigingen die aan internationale figuren worden toegeschreven.

De uitzending toonde ook Reza Pahlavi - de zoon van de laatste sjah van Iran, die in de Verenigde Staten woont - die opriep tot meer protesten en het Iraanse leger en de veiligheidstroepen aanspoorde om de demonstranten te steunen.

Fragmenten van de vermeende inbreuk werden gepubliceerd door de in Londen gevestigde omroep Iran International, evenals door lokale media en het mediateam van Pahlavi. Recorded Future News kon de beelden niet onafhankelijk verifiëren.

Volgens mediaberichten duurde de ongeautoriseerde uitzending ongeveer 10 minuten. De verantwoordelijke groep is niet onmiddellijk geïdentificeerd en de Iraanse autoriteiten hebben nog niet publiekelijk gereageerd op het incident.

Het gemelde incident komt te midden van onrust die eind december in Iran begon na een scherpe economische neergang die werd gekenmerkt door een torenhoge inflatie en stijgende voedselprijzen. Demonstranten leggen de ontberingen steeds meer aan banden aan overheidscorruptie en wanbeheer, waarbij velen oproepen tot een politieke verandering.

Iraanse functionarissen zeiden dat tijdens de onrust minstens 5.000 mensen zijn omgekomen, waaronder ongeveer 500 leden van de veiligheidstroepen.

Iran legde ook een bijna totale afsluiting van internet- en mobiele communicatie op gedurende bijna twee weken, hoewel mediaberichten meldden dat de autoriteiten de beperkingen in de komende dagen mogelijk zullen versoepelen. De protesten zijn nu afgenomen na een hardhandig optreden van de veiligheidstroepen.

Bron

De Britse overheid waarschuwt voor aanhoudende kwaadaardige activiteiten van Russische hacktivistische groepen die zich richten op kritieke infrastructuur en lokale overheidsorganisaties in het land door middel van verstorende Denial-of-Service (DDoS)-aanvallen.

De aanvallen zijn gericht op het offline halen van websites en het uitschakelen van diensten, meldt het Britse National Cyber Security Centre (NCSC) in een vandaag uitgebrachte waarschuwing. Hoewel DDoS-aanvallen doorgaans niet complex zijn, kunnen ze aanzienlijke kosten veroorzaken voor een getroffen organisatie.

"Hoewel DoS-aanvallen doorgaans weinig geavanceerd zijn, kan een succesvolle aanval volledige systemen verstoren, waardoor organisaties aanzienlijke tijd, geld en operationele veerkracht verliezen door ze te moeten analyseren, verdedigen en ervan te herstellen," aldus het cyberagentschap.

Het NCSC verwijst naar een specifieke DDoS-dreigingsactor, de beruchte NoName057(16), die bekend staat als een pro-Russische hacktivistische groep die sinds maart 2022 actief is.

Deze actor exploiteert het DDoSia-project, een platform dat vrijwilligers in staat stelt computerbronnen bij te dragen om crowdsourced DDoS-aanvallen uit te voeren en monetaire beloningen of erkenning van de community te ontvangen.

Een internationale wetshandhavingsoperatie, genaamd "Operation Eastwood", verstoorde de activiteiten van NoName057(16) medio juli 2025 door twee leden van de groep te arresteren, acht arrestatiebevelen uit te vaardigen en 100 servers uit de lucht te halen.

Echter, omdat de belangrijkste operators van de groep buiten bereik zijn, vermoedelijk in Rusland verblijven, konden de cybercriminelen hun activiteiten hervatten, zoals bevestigd door de meest recente bulletin van het NCSC.

Het agentschap merkt op dat NoName057(16) ideologisch gemotiveerd is in plaats van gedreven door financieel gewin, en een evoluerende dreiging vertegenwoordigt die ook operationele technologie (OT)-omgevingen treft. Een speciale beveiligingshandleiding voor OT-eigenaren wordt hier gedeeld.

Om DDoS-risico's te beperken, adviseert het NCSC organisaties het volgende:

* Begrijp hun diensten om potentiële resource-exhaustion punten en verantwoordelijkheidsgrenzen te identificeren.
* Versterk upstream verdediging, inclusief ISP mitigaties, DDoS-bescherming van derden, CDN's en door de provider opgelegde beveiligingen, en overweeg redundantie met meerdere providers.
* Ontwerp voor snelle schaalbaarheid, met behulp van cloud auto-scaling of virtualisatie met reserve capaciteit.
* Definieer en oefen responsplannen die een gracieuze degradatie ondersteunen, zich aanpassen aan veranderende aanvalstactieken, beheerderstoegang behouden en zorgen voor schaalbare back-ups voor essentiële services.
* Test en monitor continu om aanvallen vroegtijdig te detecteren en de effectiviteit van de verdediging te valideren.

Russische hacktivisten vormen sinds 2022 een toenemende dreiging, omdat de dreigingsactoren zich richten op organisaties in de publieke en private sector in NAVO-lidstaten en andere landen in Europa die een standpunt innemen tegen "Ruslands geopolitieke ambities".
Bron

De nieuw aangestelde Oekraïense minister van Defensie, Mykhailo Fedorov, heeft een strategisch doel gesteld om de Russische strijdkrachten verliezen toe te brengen van vijftigduizend soldaten per maand. Dit aantal betreft uitsluitend dodelijke slachtoffers en sluit gewonden uit. Tijdens een bijeenkomst met journalisten schetste Fedorov een strategie die zwaar leunt op drones, kunstmatige intelligentie en asymmetrische oorlogsvoering om dit cijfer te bereiken. Momenteel worden er volgens de minister maandelijks ongeveer vijfendertigduizend Russische troepen uitgeschakeld, waarbij alle verliezen worden bevestigd via videobewijs.

Het ministerie hanteert een datagestuurde aanpak waarbij het ePoints-mechanisme binnen het Army of Drones-systeem een cruciale rol speelt voor de nauwkeurige boekhouding van verliezen. Deze methodiek biedt inzicht in de effectiviteit van specifieke eenheden en wapensystemen. Fedorov benadrukte dat oorlogsvoering niet enkel draait om gevechtshandelingen, maar evenzeer om management, logistiek en cognitieve oorlogsvoering. Om dit verder te ondersteunen lanceert het ministerie het Mission Control-project. Dit systeem maakt real-time monitoring mogelijk van drone-types, vliegroutes, lanceerlocaties en missie-effectiviteit.

Na volledige implementatie voor drones zal het systeem worden opgeschaald naar artillerie-eenheden. Daarnaast verzamelt het ministerie statistieken over drone-bemanningen en prestatiebeoordelingen van commandanten. Op het gebied van materieel verwacht Oekraïne deze maand veertigduizend interceptor-drones te ontvangen. Tevens wordt er gewerkt aan het verminderen van de afhankelijkheid van Chinese technologie door het testen van een Oekraïens alternatief voor de Mavic-drone, die beschikt over een vergelijkbare camera maar een groter vliegbereik.

Een specifieke prioriteit binnen de nieuwe strategie is het uitschakelen van Russische drone-operators door gespecialiseerde eenheden. Ook worden er drone-aanvalseenheden ontwikkeld met nieuwe operationele doctrines, zoals gedemonstreerd door de Code 9.2-eenheid in Kupyansk. Het overkoepelende doel, zoals opgedragen door president Volodymyr Zelensky, is om de kosten van de oorlog voor Rusland dusdanig op te drijven dat het conflict voor de tegenstander onhoudbaar wordt.

Bron

Noord-Koreaanse hackers, bekend van de aanhoudende "Contagious Interview" campagne, zetten kwaadaardige Microsoft Visual Studio Code (VS Code) projecten in als lokaas om een achterdeur op gecompromitteerde systemen te installeren. Deze nieuwe tactiek, die in december 2025 voor het eerst werd ontdekt, laat een voortdurende evolutie zien, aldus Jamf Threat Labs.

"Deze activiteit omvat de implementatie van een achterdeur die mogelijkheden biedt voor het uitvoeren van code op afstand op het systeem van het slachtoffer," zegt security researcher Thijs Xhaflaire in een rapport dat gedeeld is met The Hacker News.

De aanval, die vorige maand door OpenSourceMalware werd onthuld, houdt in dat potentiële doelwitten worden geïnstrueerd om een repository op GitHub, GitLab of Bitbucket te klonen en het project in VS Code te starten als onderdeel van een vermeende beoordeling voor een baan.

Het uiteindelijke doel is om misbruik te maken van VS Code taakconfiguratiebestanden om kwaadaardige payloads uit te voeren die op Vercel-domeinen worden gehost, afhankelijk van het besturingssysteem van de geïnfecteerde host. De taak is zo geconfigureerd dat deze wordt uitgevoerd telkens wanneer dat bestand of een ander bestand in de projectmap wordt geopend in VS Code, door de optie "runOn: folderOpen" in te stellen. Dit leidt uiteindelijk tot de implementatie van BeaverTail en InvisibleFerret malware.

Latere versies van de campagne verbergen complexe, meerstaps droppers in taakconfiguratiebestanden, waarbij de malware wordt vermomd als onschuldige spellingscontrole woordenboeken als een fallback mechanisme, voor het geval de taak de payload niet van het Vercel domein kan ophalen.

Net als voorheen wordt de geobfusceerde JavaScript code die in deze bestanden is ingebed, uitgevoerd zodra het slachtoffer het project in de Integrated Development Environment (IDE) opent. De code zet een verbinding op met een externe server ("ip-regions-check.vercel[.]app") en voert alle JavaScript code uit die van die server wordt ontvangen. De laatste fase, geleverd als onderdeel van de aanval, is wederom zwaar geobfusceerde JavaScript.

Jamf ontdekte ook een andere wijziging in deze campagne: de dreigingsactoren gebruiken een eerder ongedocumenteerde infectiemethode om een achterdeur te leveren die mogelijkheden biedt voor het uitvoeren van code op afstand op de gecompromitteerde host. Het startpunt van de aanvalsketen is hetzelfde: de aanval wordt geactiveerd wanneer het slachtoffer een kwaadaardige Git repository kloont en opent met behulp van VS Code.

"Wanneer het project wordt geopend, vraagt Visual Studio Code de gebruiker om de auteur van de repository te vertrouwen," legt Xhaflaire uit. "Als dat vertrouwen wordt verleend, verwerkt de applicatie automatisch het tasks.json configuratiebestand van de repository, wat kan resulteren in de uitvoering van willekeurige commando's die in het systeem zijn ingebed."

Op macOS systemen resulteert dit in de uitvoering van een shell commando op de achtergrond dat "nohup bash -c" combineert met "curl -s" om een JavaScript payload op afstand op te halen en direct door te sluizen naar de Node.js runtime. Hierdoor kan de uitvoering onafhankelijk doorgaan als het Visual Studio Code proces wordt beëindigd, terwijl alle commando uitvoer wordt onderdrukt.

De JavaScript payload, gehost op Vercel, bevat de belangrijkste achterdeur logica om een persistente uitvoeringslus op te zetten die basis hostinformatie verzamelt en communiceert met een externe server om de uitvoering van code op afstand, system fingerprinting en continue communicatie mogelijk te maken.

In één geval observeerde Jamf meer JavaScript instructies die ongeveer acht minuten na de initiële infectie werden uitgevoerd. De nieuw gedownloade JavaScript is ontworpen om elke vijf seconden een signaal naar de server te sturen, extra JavaScript uit te voeren en sporen van zijn activiteit te wissen zodra er een signaal van de operator wordt ontvangen. Vermoed wordt dat het script is gegenereerd met behulp van een artificial intelligence (AI) tool, vanwege de aanwezigheid van inline comments en bewoordingen in de broncode.

Dreigingsactoren die banden hebben met de Democratische Volksrepubliek Korea (DPRK) richten zich specifiek op software engineers, met name degenen die werkzaam zijn in de cryptocurrency, blockchain en fintech sector, omdat zij vaak bevoorrechte toegang hebben tot financiële activa, digitale wallets en technische infrastructuur.

Het compromitteren van hun accounts en systemen kan de aanvallers ongeautoriseerde toegang geven tot broncode, intellectueel eigendom, interne systemen en digitale activa. De constante veranderingen in hun tactieken worden gezien als een poging om meer succes te boeken in hun cyberespionage en financiële doelen om het zwaar gesanctioneerde regime te ondersteunen.

Red Asgard heeft ook onderzoek gedaan naar een kwaadaardige repository die een VS Code taakconfiguratie gebruikt om geobfusceerde JavaScript op te halen dat is ontworpen om een full-featured achterdeur genaamd Tsunami (ook bekend als TsunamiKit) te droppen, samen met een XMRig cryptocurrency miner.

Een andere analyse van Security Alliance heeft ook aangetoond hoe VS Code taken worden misbruikt in een aanval waarbij een niet-gespecificeerd slachtoffer via LinkedIn werd benaderd, waarbij de dreigingsactoren zich voordeden als de chief technology officer van een project genaamd Meta2140 en een Notion[.]so link deelden met daarin een technische beoordeling en een URL naar een Bitbucket repository die de kwaadaardige code host.

De aanvalsketen valt terug op twee andere methoden: het installeren van een kwaadaardige npm dependency genaamd "grayavatar" of het uitvoeren van JavaScript code die verantwoordelijk is voor het ophalen van een geavanceerde Node.js controller, die op zijn beurt vijf verschillende modules uitvoert om toetsaanslagen te registreren, screenshots te maken, de home directory van het systeem te scannen op gevoelige bestanden, wallet adressen die naar het klembord zijn gekopieerd te vervangen, inloggegevens van webbrowsers te stelen en een permanente verbinding met een externe server tot stand te brengen.

De malware zet vervolgens een parallelle Python omgeving op met behulp van een stager script dat dataverzameling, cryptocurrency mining met XMRig, keylogging en de implementatie van AnyDesk voor toegang op afstand mogelijk maakt. De Node.js en Python lagen worden respectievelijk BeaverTail en InvisibleFerret genoemd.

Deze bevindingen geven aan dat de door de staat gesteunde actoren experimenteren met meerdere leveringsmethoden om de kans op succes van hun aanvallen te vergroten.

"Deze activiteit benadrukt de voortdurende evolutie van dreigingsactoren die banden hebben met de DPRK, die hun tooling en leveringsmechanismen consequent aanpassen om te integreren met legitieme ontwikkelaars workflows," aldus Jamf. "Het misbruik van Visual Studio Code taakconfiguratiebestanden en Node.js execution laat zien hoe deze technieken blijven evolueren naast veelgebruikte ontwikkeltools."
Bron

De door de Noord-Koreaanse staat gesponsorde dreigingsgroep PurpleBravo heeft zijn activiteiten uitgebreid richting de softwaretoeleveringsketen. Uit recent onderzoek blijkt dat deze groep, die overlappingen vertoont met de zogeheten Contagious Interview-campagne, zich specifiek richt op softwareontwikkelaars binnen sectoren als cryptocurrency, financiële dienstverlening, AI en IT-outsourcing. De aanvallers maken gebruik van frauduleuze LinkedIn-profielen, nep-recruiters en gemanipuleerde codeertests om toegang te verkrijgen tot bedrijfsnetwerken.

De werkwijze van PurpleBravo kenmerkt zich door geavanceerde social engineering waarbij slachtoffers worden verleid tot het uitvoeren van kwaadaardige code tijdens sollicitatieprocedures. Dit gebeurt onder meer via ClickFix-prompts en kwaadaardige repositories op GitHub. Wanneer een kandidaat, vaak gebruikmakend van een zakelijk apparaat, in de val trapt, installeren de aanvallers specifieke malware. Het arsenaal van de groep omvat BeaverTail, een JavaScript-infostealer en loader, evenals multi-platform remote access trojans zoals PyLangGhost en GolangGhost. Deze tools zijn geoptimaliseerd voor het stelen van browserinloggegevens en informatie over cryptocurrency-wallets.

Gedurende de periode van augustus 2024 tot september 2025 zijn ruim drieduizend unieke IP-adressen geïdentificeerd die gekoppeld zijn aan vermoedelijke doelwitten, met een sterke concentratie in Zuid-Azië en Noord-Amerika. Er zijn echter ook slachtoffers waargenomen in Europa, het Midden-Oosten en Centraal-Amerika. Doordat veel van de getroffen organisaties IT-diensten en personeel leveren aan andere bedrijven, vormt deze campagne een significant risico voor de bredere toeleveringsketen. Een compromittering bij een IT-dienstverlener kan direct leiden tot blootstelling van hun klantenbestand.

De infrastructuur van PurpleBravo wordt beheerd via servers die onder meer gebruikmaken van Astrill VPN en IP-reeksen in China. Hoewel PurpleBravo door beveiligingsonderzoekers wordt onderscheiden van PurpleDelta, de aanduiding voor Noord-Koreaanse IT-werkers die in het buitenland opereren, zijn er duidelijke raakvlakken waargenomen. Dit uit zich in overlappend netwerkverkeer en het gebruik van gedeelde VPN-adressen voor beheerstaken. Deze verwevenheid suggereert dat sommige individuen mogelijk actief zijn in beide operaties, wat de complexiteit van de dreiging voor organisaties die ontwikkelingstaken uitbesteden verder vergroot.

Bron

Het Wereld Economisch Forum in Davos, Zwitserland, stond in 2026 in het teken van oplopende geopolitieke spanningen. Voormalig VRT NWS-journalist Jan Balliauw beschreef de situatie als "22 dagen ver in 2026, maar het voelt als 22 weken." Meerdere ontwikkelingen droegen bij aan deze gespannen sfeer, waaronder een conflict binnen de NAVO rond Groenland, positieve gesprekken over veiligheidsgaranties voor Oekraïne, en de lancering van een nieuwe Vredesraad voor het Midden-Oosten door de Amerikaanse president Trump.
De discussie rond Groenland zette de NAVO onder druk. Trump maakte zijn eisen met betrekking tot het eiland nogmaals duidelijk, waarop NAVO-topman Rutte de situatie trachtte te de-escaleren met een zogenaamd "raamakkoord". De exacte inhoud van dit akkoord blijft echter onduidelijk. Balliauw benadrukt dat Rutte als secretaris-generaal van de NAVO niet kan onderhandelen over soevereiniteitskwesties, wat de rol van Denemarken en Groenland zelf is. Hoewel de Verenigde Staten hun militaire aanwezigheid mogelijk zullen verhogen, hebben ze al verregaande toegang tot militaire activiteiten via het Defensieverdrag van 1951. De strategische waarde van Groenland voor de VS, met name als "early warning" systeem voor raketlanceringen vanuit Rusland of China, blijft onverminderd groot.
Volgens Balliauw is de de-escalatie tussen Europa en de VS mede te danken aan Europese druk. Echter, er blijven barsten binnen het NAVO-bondgenootschap. De nationale veiligheidsstrategie van de VS wordt als anti-Europees beschouwd, en de speech van Trump in Davos versterkte dit beeld. Balliauw stelt dat Europa niet langer blindelings op Amerika kan rekenen als bondgenoot, wat een kantelpunt zou moeten vormen voor het continent. Europa zou nauwere samenwerking moeten zoeken met andere grote landen zoals China, India of Canada, maar wordt gehinderd door interne verdeeldheid.
De spanningen binnen de NAVO spelen Rusland in de kaart. Moskou ziet de verzwakking van het bondgenootschap graag gebeuren en kan zo de samenhorigheid testen, bijvoorbeeld door prikacties in de Baltische Staten. Ondanks deze ontwikkelingen bereikten de Oekraïense president Zelensky en Trump in Davos een akkoord over veiligheidsgaranties. Dit wordt gezien als een positief signaal, hoewel de territoriale discussie over de Donbas als "onoplosbaar" wordt beschouwd. Het vredesakkoord bevat een 20-puntenplan dat nog aan Rusland moet worden voorgelegd.
Trump lanceerde in Davos de Vredesraad voor het Midden-Oosten, een initiatief waar opvallend weinig Europese landen bij betrokken zijn. Balliauw suggereert dat Trump dit mogelijk ziet als een alternatief voor de Verenigde Naties, die hij als te laks beschouwt. Een belangrijk verschil is dat Trump in de Vredesraad vetorecht heeft en het lidmaatschap kan aanpassen, terwijl in de VN alle landen een stem hebben. De VN wordt verlamd door de spanningen tussen de grootmachten, waardoor het bijvoorbeeld geen rol kan spelen in Oekraïne vanwege het Russische vetorecht in de Veiligheidsraad.
Bron

Een groep prominente AI onderzoekers waarschuwt dat nieuwe technologie voor desinformatie op veel grotere schaal kan worden ingezet dan tot nu toe werd aangenomen. In hun analyse, gepubliceerd in het wetenschappelijke blad Science, beschrijven zij een ontwrichtende dreiging van moeilijk te detecteren AI zwermen die sociale media en berichtenkanalen kunnen aanvallen en daarmee democratische processen onder druk kunnen zetten.

De onderzoekers schetsen dat het hierbij gaat om grote aantallen bots die menselijk gedrag overtuigend nabootsen. Volgens de groep kunnen zulke systemen worden ingezet om politieke meningen te beïnvloeden en om verkiezingen te ontregelen. In de berichtgeving wordt ook genoemd dat de Filipijnse journalist Maria Ressa deel uitmaakt van de groep; zij ontving in 2021 de Nobelprijs voor de vrede voor haar werk.

Een kernpunt in hun waarschuwing is dat deze bots niet alleen afzonderlijk opereren, maar ook in staat zouden zijn om autonoom aanvallen te coördineren. Daarbij zouden ze gemeenschappen kunnen infiltreren en “consensus” kunnen fabriceren door adaptief menselijke sociale dynamiek na te bootsen. De combinatie van schaal, aanpasbaarheid en coördinatie maakt de dreiging volgens de auteurs moeilijker te herkennen dan eerdere vormen van geautomatiseerde beïnvloeding.

In het artikel wordt verder beschreven dat AI steeds beter in staat is om menselijke dynamiek na te bootsen, bijvoorbeeld door passend jargon te gebruiken en onregelmatig te posten om detectie te voorkomen. Een van de auteurs zegt hierover tegen de Britse krant The Guardian dat het eenvoudig is om met dit soort technieken kleine botlegers te creëren die online sociale mediaplatformen en e mail kunnen gebruiken en deze tools kunnen inzetten. In de context van beïnvloeding van het publieke debat gaat het daarbij om het opbouwen van schijnbaar authentieke interacties die discussies kunnen sturen, vertrouwen kunnen ondermijnen of groepen tegen elkaar kunnen opzetten.

Voor Nederland en België is dit onderwerp relevant omdat het raakt aan de betrouwbaarheid van informatie in het publieke domein, inclusief het debat op sociale media en in digitale berichtkanalen. De beschreven ontwikkeling past in een breder beeld waarin beïnvloeding niet alleen plaatsvindt via herkenbare nepaccounts of losse desinformatiecampagnes, maar ook via grootschaliger en dynamischer inzet van geautomatiseerde netwerken die zich gedragen als echte gebruikers. De waarschuwing uit Science, zoals aangehaald door BNR, benadrukt daarmee vooral het risico dat de grens tussen menselijk en geautomatiseerd gedrag op online platforms verder kan vervagen, terwijl de effecten zich kunnen vertalen naar maatschappelijke en politieke besluitvorming.

Bron

In een poging de spanningen te verminderen en een weg naar vrede te vinden, zullen Oekraïne, Rusland en de Verenigde Staten later deze week voor het eerst sinds het begin van de oorlog in 2022 een trilaterale bijeenkomst houden. Dit initiatief komt te midden van voortdurende militaire acties en complexe geopolitieke uitdagingen. De bijeenkomst vindt plaats in de Verenigde Arabische Emiraten.
De aankondiging volgt op een ontmoeting tussen de Russische president Vladimir Poetin en de Amerikaanse gezant Steve Witkoff in Moskou, die door het Kremlin als "in alle opzichten nuttig" werd omschreven. Hoewel de details van het gesprek niet openbaar zijn gemaakt, lijkt het erop dat beide partijen bereid zijn om een diplomatieke oplossing te zoeken. De diplomatieke adviseur van het Kremlin benadrukte dat Rusland "oprecht geïnteresseerd" is in een diplomatieke oplossing, maar dat er geen langdurig vredesakkoord kan worden bereikt zolang "de territoriale kwesties" niet zijn opgelost.
De Oekraïense president Volodymyr Zelensky en de Amerikaanse president Donald Trump zijn het eens geworden over Amerikaanse veiligheidsgaranties voor Oekraïne. De details over de concrete invulling en de duur van deze garanties zijn echter nog niet bekend. Zelensky benadrukte dat er nog steeds geen akkoord is over de Donbas-regio, met name over het afstaan van grondgebied, wat hij beschouwt als "het moeilijkste onderwerp dat nog niet opgelost is".
De situatie in de Donbas-regio blijft een belangrijk twistpunt. De Donbas bestaat uit Loehansk, dat volledig in handen is van Rusland, en Donetsk, dat deels in handen is. Het Kremlin heeft herhaald dat Oekraïense troepen de Donbas-regio moeten verlaten als voorwaarde voor een vredesakkoord. Woordvoerder Dmitri Peskov maakte duidelijk dat "zonder een oplossing voor de territoriale kwestie het geen zin heeft te hopen op een langetermijnakkoord."
Ondertussen blijft het conflict op het terrein voortduren. Russische droneaanvallen op het oosten van Oekraïne hebben geleid tot de dood van zeker vier burgers, waaronder een 5-jarige jongen. Daarnaast zijn er vijf andere personen gewond geraakt. Het Oekraïense leger heeft gezegd dat het een oliedepot in de westelijke Russische regio Penza heeft aangevallen, wat resulteerde in een brand.
De energiecrisis in Oekraïne, veroorzaakt door Russische aanvallen op de energie-infrastructuur, blijft een groot probleem. Polen heeft aangekondigd honderden stroomgeneratoren naar Oekraïne te sturen om de elektriciteitsvoorziening te helpen herstellen. De Poolse bevolking heeft via geldinzamelingen al 1,6 miljoen euro verzameld om de kosten te dekken.
De Nederlandse ambassadeur Ron Keller, die jarenlang in Oekraïne, Rusland en bij de NAVO heeft gewerkt, heeft de verwachtingen getemperd. Hij benadrukt dat hoewel de trilaterale ontmoeting belangrijk is, de belangen van de verschillende partijen complex zijn. Keller merkte op dat Rusland eigenlijk niet uit is op vier Oekraïense provincies, maar heel Oekraïne wil terugbrengen in de Russische invloedssfeer. Hij wees er ook op dat de dubbele rol van de Amerikanen, als zowel bijdrager aan de veiligheidsgaranties als bemiddelaar, de zaken compliceert.
De Franse marine heeft in de Middellandse Zee een olietanker onderschept die uit Rusland afkomstig was. De tanker, de Grinch-tanker, zou deel uitmaken van de Russische schaduwvloot die de oorlog tegen Oekraïne financiert. De tanker staat onder internationale sancties en vaart onder een valse vlag.
Bron

Duitsland heeft een Russische diplomaat uitgewezen die ervan wordt beschuldigd te spioneren, wat de spanningen tussen Berlijn en Moskou verder doet oplopen met betrekking tot inlichtingenactiviteiten die verband houden met de oorlog in Oekraïne. Het Duitse ministerie van Buitenlandse Zaken heeft donderdag bekendgemaakt dat het een lid van het Russische diplomatieke personeel tot persona non grata heeft verklaard en de ambassadeur van Moskou heeft ontboden om hem formeel op de hoogte te stellen van de beslissing.
"We accepteren geen spionage in Duitsland - en zeker niet onder het mom van diplomatieke status," aldus het ministerie, eraan toevoegend dat de persoon in kwestie is bevolen het land met onmiddellijke ingang te verlaten.
Het Duitse medium Der Spiegel en de Russische onafhankelijke mediaorganisatie The Insider identificeerden de uitgewezen diplomaat als Andrei Mayorov, de plaatsvervangend militair attaché van Rusland in Duitsland. Mayorov zou de rang van kolonel bekleden bij de Russische militaire inlichtingendienst, de GRU.
Mayorov zou hebben gehandeld als de contactpersoon voor Ilona Kopylova, een Oekraïens-Duitse staatsburger met een dubbele nationaliteit die eerder in Berlijn werd gearresteerd op verdenking van spionage voor Rusland. Duitse autoriteiten zijn van mening dat Kopylova sinds minstens november 2023 contact had met een functionaris van de Russische ambassade die voor een inlichtingendienst werkte.
Volgens aanklagers gebruikte Kopylova haar connecties met huidige en voormalige medewerkers van het Duitse ministerie van Defensie om informatie te verzamelen over militaire steun aan Oekraïne, drone-testlocaties en de wapenindustrie. Ze wordt er ook van beschuldigd haar Russische contactpersoon te hebben geholpen onder een valse identiteit deel te nemen aan politieke evenementen in Berlijn en nuttige contacten te leggen.
De Duitse minister van Buitenlandse Zaken, Johann Wadephul, zei dat de uitzetting een duidelijk signaal afgeeft aan Moskou. "We hebben duidelijk gemaakt dat dit een vijandige daad is en dat inlichtingenactiviteiten in ons land volstrekt onaanvaardbaar zijn, vooral onder het mom van diplomatie," zei hij. "De agressieve acties van Rusland hebben consequenties."
De Russische ambassade in Berlijn verwierp de beschuldigingen en noemde ze een "absurde, haastig verzonnen provocatie" en beschuldigde Duitsland ervan een groeiende "spionagemanie" aan te wakkeren. "Onhandige acties van Berlijn zullen niet onbeantwoord blijven," aldus de ambassade in een verklaring.
De spanningen tussen Berlijn en Moskou zijn de afgelopen maanden toegenomen. In december ontbood Duitsland de Russische ambassadeur na Moskou te hebben beschuldigd van het lanceren van een cyberaanval op de Duitse luchtverkeersleiding en het voeren van een desinformatiecampagne in aanloop naar de algemene verkiezingen van februari 2025. In mei riep Berlijn ook zijn ambassadeur in Moskou terug na wat volgens hen door Rusland gesteunde cyberaanvallen waren gericht op Duitse defensie-, ruimtevaart- en IT-bedrijven, evenals de regerende Sociaal-Democratische Partij. Deze incidenten onderstrepen de aanhoudende cyberdreiging en de complexe geopolitieke dynamiek tussen Duitsland en Rusland. De recente uitzetting van de Russische diplomaat draagt bij aan de al bestaande spanningen en benadrukt het belang van waakzaamheid tegen spionage en cyberaanvallen.
Organisaties in Nederland en België dienen zich bewust te zijn van de risico's van spionage en cyberaanvallen, vooral in de context van de oorlog in Oekraïne. Het is cruciaal om robuuste beveiligingsmaatregelen te implementeren, waaronder het monitoren van netwerkverkeer, het beveiligen van gevoelige informatie en het trainen van medewerkers om verdachte activiteiten te herkennen. Daarnaast is het belangrijk om op de hoogte te blijven van de laatste dreigingen en kwetsbaarheden, en om samen te werken met nationale en internationale partners om cybercriminaliteit te bestrijden. De toenemende complexiteit van de geopolitieke situatie vereist een proactieve en alerte houding om de digitale veiligheid te waarborgen.
Bron

Cybersecuritybedrijf ESET heeft vastgesteld dat de aan Rusland gelieerde hackersgroep Sandworm verantwoordelijk is voor een recente cyberaanval op de Poolse energiesector. Uit onderzoek blijkt dat de aanvallers gebruikmaakten van malware die specifiek is ontworpen om bestanden onherstelbaar te vernietigen. De aanval vond plaats in de laatste week van december en richtte zich op de communicatiesystemen tussen energie-installaties en netbeheerders. Hoewel de intentie destructief was, heeft het incident voor zover bekend niet geleid tot daadwerkelijke verstoringen van de energievoorziening.

De Poolse minister van Energie, Miłosz Motyka, stelt dat deze specifieke aanval wijst op een verandering in de strategie van de aanvallers. Waar hackers zich voorheen voornamelijk richtten op grote elektriciteitscentrales en het hoogspanningsnet, wordt nu de communicatie-infrastructuur als doelwit gekozen. Harm Teunis, cybersecurityexpert bij ESET Nederland, waarschuwt voor de ernstige gevolgen die dergelijke aanvallen in potentie kunnen hebben. Hij benadrukt dat het uitvallen van ICT-systemen keteneffecten kan veroorzaken waarbij vitale diensten zoals ziekenhuizen zonder stroom komen te zitten of verkeerslichten uitvallen, wat tot chaos en gevaarlijke situaties leidt.

Sinds de start van de oorlog in Oekraïne in februari 2022 rapporteert Polen een aanzienlijke toename van digitale dreigingen gericht op de kritieke infrastructuur. De Poolse minister van Digitale Zaken meldde eerder al een verdrievoudiging van de inzet van cybermiddelen door de Russische militaire inlichtingendienst tegen Poolse doelen. In de eerste drie kwartalen van 2025 registreerden de Poolse autoriteiten ongeveer 170.000 cyberincidenten, waarvan een groot deel wordt toegeschreven aan actoren uit Rusland.

Bron

Op 24 januari 2026 werd een nieuwe variant van wiper-malware, genaamd 'Dynowiper', ontdekt die gericht was op Oekraïense netwerken. De malware is ontworpen om gegevens te vernietigen en systemen onbruikbaar te maken, en vertegenwoordigt een significante bedreiging voor organisaties in de regio. De ontdekking van Dynowiper volgt op een reeks andere destructieve cyberaanvallen tegen Oekraïne, wat de aanhoudende cyberoorlogvoering in het gebied benadrukt.
Dynowiper onderscheidt zich van eerdere wiper-varianten door de manier waarop het te werk gaat. De malware overschrijft niet simpelweg bestanden met willekeurige data, maar maakt gebruik van een complexere techniek om de integriteit van de getroffen systemen te ondermijnen. Dit maakt herstel aanzienlijk moeilijker en verhoogt de impact van de aanval.
De analyse van Dynowiper toont aan dat de malware zich richt op verschillende soorten bestanden, waaronder documenten, afbeeldingen, databases en andere kritieke gegevens. De malware zoekt actief naar deze bestanden op de harde schijf en overschrijft de inhoud ervan. Daarnaast worden ook systeembestanden aangetast, wat leidt tot instabiliteit en uiteindelijk het onbruikbaar maken van het besturingssysteem.
Hoewel de exacte vector van de aanval nog niet volledig is vastgesteld, wordt aangenomen dat Dynowiper via een gecompromitteerd software-updatekanaal of via phishing-e-mails met kwaadaardige bijlagen is verspreid. Onderzoekers raden organisaties aan om hun beveiligingsmaatregelen te versterken, waaronder het implementeren van multi-factor authenticatie, het regelmatig patchen van systemen en het trainen van medewerkers om phishing-pogingen te herkennen.
De impact van Dynowiper kan aanzienlijk zijn voor organisaties die het slachtoffer worden. Naast het verlies van kritieke gegevens kan de malware leiden tot verstoring van de bedrijfsvoering, reputatieschade en financiële verliezen. Het is daarom essentieel dat organisaties in Oekraïne en daarbuiten zich bewust zijn van deze dreiging en proactieve maatregelen nemen om zichzelf te beschermen.
De ontdekking van Dynowiper benadrukt het belang van voortdurende waakzaamheid en investeringen in cybersecurity. Organisaties moeten hun beveiligingsstrategieën regelmatig evalueren en aanpassen om gelijke tred te houden met de evoluerende dreigingsomgeving. Het delen van informatie over nieuwe malware-varianten, zoals Dynowiper, is cruciaal om organisaties te helpen zich te beschermen tegen deze aanvallen. Samenwerking tussen overheden, cybersecurity-bedrijven en organisaties is essentieel om de dreiging van wiper-malware en andere cyberaanvallen effectief te bestrijden.
De complexiteit van Dynowiper toont aan dat cybercriminelen steeds geavanceerdere methoden gebruiken om hun doelen te bereiken. Organisaties moeten zich bewust zijn van deze trend en investeren in geavanceerde beveiligingsoplossingen, zoals threat intelligence, endpoint detection and response (EDR) en security information and event management (SIEM) systemen. Deze oplossingen kunnen helpen om kwaadaardige activiteiten te detecteren en te voorkomen voordat ze schade kunnen aanrichten.
Bron

Uit recent data-onderzoek van de NOS blijkt dat Nederland in verregaande mate afhankelijk is van Amerikaanse technologiebedrijven voor het functioneren van de digitale samenleving. Van de 16.500 onderzochte domeinnamen, die toebehoren aan overheden, zorginstellingen, scholen en vitale bedrijven, is 67 procent gekoppeld aan minimaal één Amerikaanse clouddienst. Deze afhankelijkheid betreft essentiële diensten zoals e-mailverkeer, websites en communicatieplatformen zoals Microsoft Teams. Zelfs vitale processen, variërend van online boodschappen doen tot communicatie met huisartsen, leunen op servers van Amerikaanse giganten.

De dominantie van Microsoft is hierbij opvallend groot. Het Amerikaanse bedrijf heeft een marktaandeel van 49 procent binnen de onderzochte domeinnamen. Dit staat in schril contrast met het marktaandeel van Nederlandse spelers zoals Solvinity, de beheerder van DigiD die momenteel onderwerp is van een mogelijke Amerikaanse overname. Solvinity bedient minder dan één procent van de onderzochte domeinen. De beweging naar Amerikaanse clouddiensten zet zich nog altijd voort; zo kondigde het demissionaire kabinet in oktober aan dat ook de Belastingdienst zijn e-mailverkeer naar Microsoft verplaatst, in navolging van de Eerste en Tweede Kamer en toezichthouders zoals de AFM.

Specifieke zorgen zijn er over de zorgsector. Van de zeventig ziekenhuizen hebben er negenentwintig een patiëntenportaal onder de loep genomen. In achtentwintig gevallen blijkt het elektronisch patiëntendossier gekoppeld aan een server van Microsoft, en in één geval aan Cloudflare. Volgens Chipsoft, de grootste leverancier van deze dossiers, hebben in ieder geval drie ziekenhuizen hun volledige dossiers naar Microsoft-servers gemigreerd. Dit betekent dat medische informatie van patiënten die inloggen via Amerikaanse infrastructuur stroomt, wat vragen oproept over de digitale soevereiniteit van medische data.

Autonomie-expert Bert Hubert stelt dat de aandacht voor dit probleem rijkelijk laat komt en wijst erop dat deze ontwikkeling al vijf jaar gaande is. Volgens hem worden afgeschreven ICT-systemen, die technisch gezien nog prima lokaal zouden kunnen draaien, in hoog tempo vervangen door Amerikaanse cloudoplossingen. Tweede Kamerlid Barbara Kathmann spreekt van een onbegrijpelijke situatie en stelt dat Nederland in een houdgreep zit. De angst bestaat dat bij een conflict of een wijziging in het Amerikaanse beleid onder president Trump, sancties kunnen leiden tot het staken van diensten. Dit scenario is niet langer hypothetisch, aangezien het Internationaal Strafhof in Den Haag recentelijk al met dergelijke sancties te maken kreeg.

Hoewel data vaak fysiek in Europa worden opgeslagen, biedt dit juridisch gezien geen garantie tegen inzage door Amerikaanse inlichtingen- en opsporingsdiensten. Amerikaanse wetgeving verschaft deze diensten toegang tot data van Amerikaanse bedrijven, ongeacht de opslaglocatie. Uit een rapport van Microsoft blijkt dat in de tweede helft van 2024 Amerikaanse diensten 57 keer data hebben opgevraagd die buiten de Verenigde Staten waren opgeslagen. In vijf gevallen betrof dit bedrijfsgegevens. Microsoft benadrukt dat dit enkel gebeurt bij een vermoeden van een ernstig misdrijf, maar de geopolitieke implicaties van deze juridische reikwijdte blijven een punt van zorg voor de Nederlandse digitale autonomie.

Bron

De Noord-Atlantische Verdragsorganisatie zet stappen om de verdediging langs de Europese grenzen met Rusland aanzienlijk te versterken door de inzet van een door kunstmatige intelligentie aangestuurde geautomatiseerde zone. Generaal Thomas Lowin, plaatsvervangend stafchef voor operaties bij de NAVO, heeft in een interview met de Duitse krant Welt am Sonntag uiteengezet dat deze nieuwe verdedigingslinie niet afhankelijk zal zijn van menselijke grondtroepen. De zone is bedoeld als een strategische buffer die vijandelijke troepen moet detecteren en vertragen voordat zij een gebied kunnen bereiken waar traditionele gevechtshandelingen noodzakelijk zouden zijn.

Het technologische hart van deze verdedigingslinie wordt gevormd door een uitgebreid netwerk van sensoren die operationeel zijn op de grond, in de lucht, in de ruimte en in cyberspace. Volgens generaal Lowin zullen deze sensoren een gebied van enkele duizenden kilometers bestrijken om vijandelijke bewegingen of de inzet van wapensystemen vroegtijdig te signaleren. De verzamelde data wordt in real-time gedeeld met alle aangesloten NAVO-lidstaten, waardoor een gecoördineerde respons mogelijk wordt gemaakt zonder directe menselijke aanwezigheid in de voorste linies.

Wanneer de sensoren een dreiging detecteren, kan het systeem diverse verdedigingsmechanismen activeren. Het arsenaal omvat onder meer drones, semi-autonome gevechtsvoertuigen, robots op het land en automatische luchtverdedigings- en raketsystemen. Hoewel de technologie een hoge mate van autonomie kent, benadrukte de generaal expliciet dat de uiteindelijke beslissing om dodelijk geweld te gebruiken te allen tijde onder menselijke verantwoordelijkheid zal blijven vallen. Het systeem fungeert hiermee als een versterking van de bestaande NAVO-wapens en troepenmacht, niet als een volledige vervanging van menselijke besluitvorming.

De plannen voor deze hoogtechnologische barrière bevinden zich reeds in een testfase. In Polen en Roemenië worden momenteel programma's uitgevoerd om de voorgestelde capaciteiten te beproeven in de praktijk. De NAVO streeft ernaar om het volledige systeem tegen het einde van 2027 operationeel te hebben. Deze ontwikkeling vindt plaats tegen de achtergrond van verhoogde waakzaamheid bij de Europese lidstaten, waarbij ook Polen recentelijk de aanschaf van een grootschalig anti-dronesysteem heeft aangekondigd om aan urgente operationele behoeften te voldoen.

Bron

De Lazarus-groep, een cybercriminele organisatie, is actief betrokken bij het aanvallen van Europese dronefabrikanten. Cybersecurity-experts hebben bevestigd dat de groep zich richt op het compromitteren van systemen en het stelen van gevoelige informatie van deze bedrijven. De aanvallen lijken gericht op het verkrijgen van technologische inzichten en mogelijk het saboteren van de productieprocessen. Er zijn indicaties dat de gestolen informatie gebruikt kan worden voor spionage of om de technologie zelf te kopiëren. Verschillende Europese landen hebben hun veiligheidsmaatregelen aangescherpt om zich te beschermen tegen deze dreiging. De Lazarus-groep staat bekend om haar geavanceerde aanvalstechnieken en haar vermogen om lange tijd onopgemerkt te blijven in de systemen van slachtoffers. De omvang van de schade die de groep heeft veroorzaakt, is nog niet volledig duidelijk, maar de autoriteiten onderzoeken de incidenten en werken samen met de getroffen bedrijven om de systemen te herstellen en toekomstige aanvallen te voorkomen.
Bron

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft in de afgelopen jaren meerdere onderzoeken ingesteld naar defensiemedewerkers vanwege mogelijke rechts-extremistische denkbeelden. Dit bevestigt het ministerie aan NU.nl. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwde eerder in het halfjaarlijkse Dreigingsbeeld Terrorisme voor rechts-extremisme binnen Defensie, dat volgens de NCTV hardnekkig lijkt. Defensie wil niet specificeren hoeveel onderzoeken er zijn gestart naar signalen van rechts-extremisme bij (aspirant-)defensiemedewerkers, maar stelt dat het beeld al enkele jaren hetzelfde is. Het ministerie kan ook geen informatie geven over het aantal personen dat de MIVD momenteel in de gaten houdt.
Wel is bekend dat het probleem van rechts-extremisme bij Defensie al minstens tien jaar speelt. De MIVD maakte in de jaarverslagen van 2021, 2022, 2023 en 2024 melding van meerdere onderzoeken naar medewerkers. In 2019 bleek uit onderzoek van de Volkskrant dat er in de vijf jaar daarvoor 21 onderzoeken waren gestart, wat leidde tot het vertrek van vier militairen met rechts-extremistische sympathieën. De MIVD besloot in 2020 om rechts-extremisme intensiever te onderzoeken, naar aanleiding van een rechts-extremistisch netwerk dat aan het licht kwam binnen een elite-eenheid van de Duitse krijgsmacht. Ook in 2025 was rechts-extremisme een aandachtspunt van de MIVD, zo blijkt uit een brief van demissionair minister van Defensie Ruben Brekelmans.
De NCTV stelt dat de aantrekkingskracht van Defensie op personen met rechts-extremistische denkbeelden te maken heeft met discipline, mannelijkheid en militaire trainingen. Hoewel de NCTV geen directe geweldsdreiging verwacht van deze personen, is het wel zorgelijk dat zij wapentraining krijgen en toegang hebben tot vuurwapens. Defensie deelt deze zorgen en wijst op een stelsel van beveiligingsmaatregelen en rechtspositionele maatregelen om risico's te minimaliseren. De MIVD onderzoekt actief signalen van mogelijk rechts-extremisme binnen de krijgsmacht. Een klein deel van de medewerkers die bij de MIVD in beeld zijn, neemt buiten Defensie om deel aan rechts-extremistische activiteiten en bijeenkomsten, wat volgens de NCTV het risico met zich meebrengt dat zij anderen wapenvaardigheden bijbrengen.
Bron

De cyberveiligheid van Nederlandse sluizen, bruggen en andere waterwerken blijkt onvoldoende op orde. Dit is gebleken uit ketenanalyses van TNO en signalen van experts, die wijzen op verouderde besturingssystemen en een tekort aan IT-personeel. Ondanks de investeringen van Rijkswaterstaat en waterschappen blijft de kwetsbaarheid voor cyberaanvallen groot. Experts stellen dat de digitale besturingssystemen vaak onvoldoende zijn beveiligd, met mogelijk grote gevolgen.

De afhankelijkheid van digitale systemen voor waterveiligheid neemt toe, waardoor het noodzakelijk is om de systemen beter te beschermen. Vooral in het hoogwaterseizoen kan een misbruik van kwetsbaarheden ernstige gevolgen hebben. Sommige stormvloedkeringen in Nederland worden automatisch gesloten wanneer er overstromingsgevaar dreigt, wat de noodzaak van een sterkere beveiliging vergroot. De waterschappen investeren structureel in digitale beveiliging en hebben inmiddels vier stappen geïmplementeerd om de cyberveiligheid te verbeteren. Hoewel de waterschappen nu voldoen aan de verplichte beveiligingsmaatregelen (niveau 3), had niveau 4, dat een verdere aanscherping van de beveiliging inhoudt, in 2021 bereikt moeten zijn. Dit bleek echter een te ambitieuze doelstelling.

Rijkswaterstaat heeft in de afgelopen jaren vooruitgang geboekt door het aantal bruggen en sluizen dat is aangesloten op het Security Operations Center uit te breiden. Dit centrum monitort objecten in het hoofdwatersysteem, hoofdwegennet en hoofdvaarwegennet. Desondanks erkennen zowel het ministerie van Infrastructuur en Waterstaat als Rijkswaterstaat dat er aanvullende maatregelen nodig zijn om te voldoen aan het vereiste weerbaarheidsniveau, zoals dat wordt vastgesteld door de nog in te voeren Cyberveiligheidswet.

Een bijkomend probleem is het tekort aan IT-personeel, wat de implementatie van verbeteringen bemoeilijkt. Veel van de installaties zijn al tientallen jaren oud en zijn oorspronkelijk ontworpen voor gesloten omgevingen, waardoor ze niet bestand zijn tegen moderne digitale dreigingen. De invoering van de nieuwe Cyberveiligheidswet, die gebaseerd is op een Europese richtlijn, loopt vertraging op. De wet moet landen verplichten om bepaalde veiligheidsmaatregelen te nemen, maar Nederland heeft de invoering meermaals uitgesteld. De streefdatum is nu 1 april 2026. Tot die tijd hebben organisaties wel rechten, maar nog geen verplichtingen. Zelfs wanneer de wet wordt ingevoerd, is het onzeker of waterschappen en Rijkswaterstaat in staat zullen zijn om aan de gestelde eisen te voldoen.

Volgens Max van der Horst, onderzoeker aan de TU Delft, is de veroudering van de machines een aanzienlijk probleem. Ethisch hacker Wouter van Dongen benadrukt dat het oplossen van kwetsbaarheden vaak meer kost dan de schade die voortkomt uit een hack. Ook bevestigt een rapport van kennisplatform NLdigital uit 2023 het beeld van een groeiend tekort aan IT-personeel binnen de overheid.

Bron

De Duitse autoriteiten hebben een beloning van 1 miljoen euro uitgeloofd voor de gouden tip die leidt tot de opheldering van de oorzaak van een grootschalige stroomuitval in Berlijn. De stroomstoring, die aanzienlijke delen van de stad trof, veroorzaakte chaos en economische schade. De autoriteiten vermoeden dat de stroomuitval mogelijk het gevolg is van sabotage of een cyberaanval, hoewel andere oorzaken nog niet zijn uitgesloten. De omvang van de storing en de impact op de kritieke infrastructuur hebben de Duitse regering ertoe aangezet een aanzienlijke beloning uit te loven in de hoop dat dit getuigen of insiders zal aanmoedigen zich te melden met informatie. De politie en inlichtingendiensten werken samen om de zaak te onderzoeken en de daders te identificeren. De beloning is bedoeld om de druk op potentiële betrokkenen te verhogen en de kans op een snelle oplossing van de zaak te vergroten.
Bron

In september 2025 ontdekten onderzoekers drie nieuwe backdoors die worden ingezet in een gerichte spionagecampagne tegen overheidsinstanties in India. De campagne, aangeduid als Sheet Attack, maakt gebruik van de malwarefamilies SHEETCREEP, FIREPOWER en MAILCREEP. Deze campagne valt op door het misbruik van legitieme clouddiensten van Google en Microsoft als command-and-control-kanaal, waardoor het netwerkverkeer opgaat in normaal internetverkeer en beveiligingsmaatregelen worden omzeild.

De Sheet Attack-campagne begon met de verspreiding van PDF-bestanden die slachtoffers verleiden om op een downloadknop te klikken. Na het klikken wordt de gebruiker doorgestuurd naar een door de aanvallers beheerde website die een ZIP-archief aanbiedt. De server controleert daarbij op geografische locatie en User-Agent-kenmerken, zodat de malware alleen wordt afgeleverd aan Windows-systemen in India. Bij een niet-overeenkomende configuratie krijgt de bezoeker een foutmelding. De ZIP-archieven bevatten de SHEETCREEP-backdoor. Latere varianten van de campagne zijn overgestapt op het gebruik van kwaadaardige LNK-bestanden om de FIREPOWER-backdoor te verspreiden.

SHEETCREEP is een compacte backdoor geschreven in C# die Google Sheets gebruikt als communicatiekanaal met de aanvallers. Bij uitvoering ontsleutelt de malware een ingesloten configuratie met TripleDES-encryptie. Deze configuratie bevat Google Cloud-credentials en een Google Sheet-ID. De backdoor genereert een slachtoffer-ID op basis van domein en gebruikersnaam en maakt een spreadsheet aan binnen de Google Sheets-werkmap. Vervolgens pollt SHEETCREEP elke drie seconden de spreadsheet op nieuwe commando's, die worden uitgevoerd via een verborgen cmd.exe-proces. De output van deze commando's wordt versleuteld, gecodeerd in Base primaire configuratie faalt, beschikt de backdoor over reserveconfiguraties die worden opgehaald via Firebase- en Google Cloud Storage-URL's.

FIREPOWER is een PowerShell-gebaseerde backdoor die gebruikmaakt van Google's Firebase Realtime Database als C2-kanaal. De malware genereert een slachtoffer-ID in het formaat ComputerName==Username en maakt standaardsleutels aan in de database voor elke geïnfecteerde machine. Via deze sleutels kan de aanvaller bestanden laten downloaden of commando's laten uitvoeren op het systeem. FIREPOWER verzamelt ook informatie over mappen en bestanden op het systeem van het slachtoffer en uploadt deze naar de Firebase-database. De polling-interval varieert van 120 tot 300 seconden, afhankelijk van de variant. Sommige varianten bevatten extra functionaliteit zoals persistentie via scheduled tasks, het tonen van lokmiddeldocumenten en het automatisch verwijderen van het oorspronkelijke LNK-bestand.

Als tweede-fase-payload werd bij geselecteerde doelwitten ook MAILCREEP ingezet, een in Golang geschreven backdoor die de Microsoft Graph API misbruikt voor C2-communicatie via een door de aanvallers beheerde Azure-tenant. MAILCREEP maakt voor elk slachtoffer een map aan in de mailbox en pollt op e-mails met onderwerpen die beginnen met "Input." De inhoud van deze e-mails wordt gedecodeerd met Base64 en ontsleuteld met AES-256 in CBC-modus, waarna de commando's worden uitgevoerd. Daarnaast werd een PowerShell-gebaseerde documentdiefstal-tool ingezet die bestanden met specifieke extensies zoekt op het systeem van het slachtoffer en deze uploadt naar een privé GitHub-repository van de aanvallers.

De onderzoekers identificeerden sterke aanwijzingen dat generatieve AI-tools zijn ingezet bij de ontwikkeling van de malware. In de foutafhandelingscode van SHEETCREEP werden emoji's aangetroffen, een ongebruikelijke codeerstijl die vaak wordt geassocieerd met door AI gegenereerde code. De FIREPOWER-backdoor bevat uitgebreide commentaarregels met Unicode-tekens zoals pijlen, wat eveneens wijst op het gebruik van AI-hulpmiddelen. Tegelijkertijd bevatten de scripts typefouten, wat suggereert dat de ontwikkeling niet volledig geautomatiseerd was maar ook handmatige aanpassingen omvatte. Tijdens monitoring van de Google Sheets C2-kanalen werden herhaalde commando's met typefouten waar in Pakistan suggereert. Tegelijkertijd zijn er verschillen met bekende APT36-operaties, waaronder het gebruik van server-side geografische filtering en filtering op User-Agent-strings, technieken die niet eerder aan APT36 waren toegeschreven. Ook het gereedschap en de metadata van de gebruikte PDF-bestanden wijken af van eerdere APT36-campagnes. Op basis hiervan wordt met gemiddeld vertrouwen beoordeeld dat de campagnes afkomstig zijn van een nieuwe aan Pakistan gelinkte APT-groep of een nieuwe subgroep van APT36.

De Sheet Attack-campagne blijft actief. De aanvallers blijven nieuwe backdoors introduceren in verschillende programmeertalen en met verschillende legitieme clouddiensten voor C2-communicatie. Het misbruik van breed gebruikte diensten zoals Google Sheets, Firebase, Google Cloud Storage en de Microsoft Graph API maakt detectie uitdagend omdat het verkeer opgaat in legitiem gebruik van deze platforms.

Bron

Premier De Wever heeft gewaarschuwd dat een van België's grootste bondgenoten mogelijk probeert de kwetsbaarheden van het land uit te buiten. De premier uitte zijn bezorgdheid over deze potentiële poging tot misbruik, zonder direct aan te geven om welk land het gaat. De waarschuwing komt in een tijd van toenemende geopolitieke spanningen en een groeiend bewustzijn van de risico's van cyberaanvallen en spionage.

De Wever benadrukte de noodzaak voor België om zijn digitale weerbaarheid te versterken en zich beter te beschermen tegen buitenlandse inmenging. Hij riep op tot meer investeringen in cybersecurity en een intensievere samenwerking tussen overheid, bedrijven en kennisinstellingen. De premier benadrukte dat het van cruciaal belang is dat België zich bewust is van de dreigingen en proactief maatregelen neemt om zijn belangen te beschermen.

De uitspraken van De Wever werden gedaan tijdens een toespraak over de nationale veiligheid. Hij wees erop dat de dreiging van cyberaanvallen en spionage steeds complexer wordt en dat België zich hierop moet voorbereiden. De premier waarschuwde dat de gevolgen van een succesvolle aanval ernstig kunnen zijn, variërend van economische schade tot verstoring van de openbare orde. Hij riep op tot een nationale inspanning om de cyberveiligheid te verbeteren en de digitale soevereiniteit van België te waarborgen.

Bron

HLN.be: https://www.hln.be/binnenland/premier-de-wever-waarschuwt-onze-grootste-bondgenoot-probeert-onze-kwetsbaarheid-uit-te-buiten~va30cfc58/

Oekraïne heeft een Russische cyberaanval gemeld die gericht was op een overheidswebsite. Volgens de Kyiv Post vond de aanval plaats op 28 januari 2026. De omvang en de impact van de aanval zijn nog niet volledig duidelijk, maar Oekraïense functionarissen onderzoeken de zaak en proberen de systemen te herstellen. De aanval wordt toegeschreven aan Russische actoren, hoewel er geen directe bewijzen zijn gepresenteerd. Oekraïne is al langer een doelwit van Russische cyberaanvallen, die vaak gepaard gaan met militaire en politieke spanningen tussen de twee landen. Het is nog onduidelijk welke specifieke informatie de aanvallers hebben proberen te bemachtigen of welke schade is aangericht. De Oekraïense regering heeft maatregelen genomen om de cyberveiligheid te verhogen, maar blijft kwetsbaar voor dergelijke aanvallen.

Bron

Kyiv Post: https://www.kyivpost.com/post/68935

De Britse regering is gewaarschuwd dat cyber- en hybride dreigingen een groeiende uitdaging vormen. Een rapport benadrukt de noodzaak voor een meer offensieve aanpak om deze dreigingen effectief te bestrijden. Het rapport waarschuwt voor de toenemende complexiteit van cyberaanvallen, waarbij statelijke actoren en criminele groepen steeds geavanceerdere technieken gebruiken. Deze aanvallen richten zich niet alleen op digitale infrastructuur, maar ook op kritieke nationale infrastructuur en democratische processen.

De focus ligt op de ontwikkeling van offensieve cybercapaciteiten om potentiële aanvallers af te schrikken en te reageren op aanvallen. Het rapport benadrukt dat een passieve verdediging niet langer voldoende is en dat een actieve aanpak noodzakelijk is om de nationale veiligheid te waarborgen. Er wordt gepleit voor een betere samenwerking tussen de overheid, het bedrijfsleven en de academische wereld om expertise te delen en gezamenlijk strategieën te ontwikkelen. De waarschuwing komt te midden van toenemende geopolitieke spanningen en een groeiend aantal cyberincidenten wereldwijd. De regering wordt opgeroepen om prioriteit te geven aan investeringen in cybersecurity en om een robuust kader te creëren voor het beheersen van cyberrisico's.

Bron

The Record: https://therecord.media/uk-government-warned-cyber-hybrid-threats-offensive-operations

Een gecoördineerde cyberaanval op het elektriciteitsnet van Polen in december heeft de controle- en communicatiesystemen van ongeveer 30 faciliteiten die verbonden zijn met gedistribueerde energieproductie verstoord. Dit blijkt uit nieuwe bevindingen van het cybersecuritybedrijf Dragos. De Poolse autoriteiten gaven eerder aan dat de aanval, die werd toegeschreven aan de Russische hackergroep Sandworm, werd afgewend voordat het leidde tot een stroomstoring die tot wel een half miljoen inwoners van stroom zou kunnen hebben beroofd.

In het rapport, dat deze week werd gepubliceerd, zei Dragos dat het elektriciteitstransmissiesysteem van Polen, dat de ruggengraat van het netwerk vormt, niet werd getroffen en dat de stroomvoorziening ononderbroken bleef. Desondanks had de aanval wel een meetbare impact. "Hoewel de aanval niet resulteerde in stroomuitval, kregen de aanvallers toegang tot systemen voor operationele technologie die cruciaal zijn voor de werking van het net en schakelden ze belangrijke apparatuur buiten gebruik op de getroffen locatie," aldus de onderzoekers.

De aanval trof specifiek de communicatie- en controlesystemen bij gecombineerde warmte- en krachtcentrales, evenals systemen die het beheer van de levering van hernieuwbare energie uit wind- en zonne-energieparken regelen. Hoewel verlies van communicatie niet automatisch tot een stillegging van de stroomvoorziening leidt, verhindert het dat operators de systemen op afstand kunnen monitoren of aansteken.

"Wat nog onduidelijk is, is of de hackers hebben geprobeerd operationele commando's naar de systemen te sturen, of dat ze zich alleen richtten op het uitschakelen van de communicatie," aldus de onderzoekers. De controle over de systemen die tijdens deze aanval werden gecompromitteerd vereist volgens Dragos echter meer dan alleen technische kennis van de kwetsbaarheden van de systemen; het vereist een gedetailleerd begrip van hoe deze systemen zijn geïmplementeerd.

In tegenstelling tot eerdere aanvallen op elektriciteitsnetwerken die gericht waren op gecentraliseerde infrastructuren, zijn gedistribueerde energiesystemen talrijker, sterk afhankelijk van externe connectiviteit en ontvangen ze vaak minder investering in cybersecurity. "Deze aanval laat zien dat ze nu een geldig doelwit zijn voor geavanceerde tegenstanders," concludeerden de onderzoekers. De bevindingen van Dragos voegen details toe aan eerder onderzoek van cybersecuritybedrijf ESET, dat vorige week meldde dat Sandworm gebruik had gemaakt van de data-wiper malware DynoWiper. Dragos kende de aanval eveneens met gematigd vertrouwen toe aan Sandworm.

Sandworm, die door westerse regeringen en onderzoekers wordt gelinkt aan de Russische militaire inlichtingendienst, is sinds 2013 actief en verantwoordelijk voor enkele van de meest destructieve cyberaanvallen van Rusland, waaronder eerdere operaties tegen elektriciteitsnetwerken in Oekraïne.

Bron

Eind december 2025 vond een gecoördineerde cyberaanval plaats op het Poolse elektriciteitsnetwerk, waarbij circa 30 locaties met gedistribueerde energiebronnen (DER) werden getroffen, waaronder warmtekrachtcentrales (WKC) en wind- en zonne-energie dispatch systemen. Hoewel de aanvallers operationele technologie (OT)-systemen compromitteerden en "belangrijke apparatuur onherstelbaar beschadigden", slaagden ze er niet in de stroomvoorziening te onderbreken. Het totale vermogen van de getroffen installaties bedroeg 1,2 GW, wat neerkomt op 5% van de Poolse energievoorziening. Publieke rapporten bevestigen minstens 12 getroffen locaties, maar onderzoekers van Dragos schatten het aantal op ongeveer 30.
Dragos schrijft de aanval met een redelijke mate van zekerheid toe aan een Russische dreigingsactor die zij volgen als Electrum. Hoewel er overlap is met Sandworm (APT44), benadrukken de onderzoekers dat het een afzonderlijke activiteit betreft. Electrum wordt in verband gebracht met andere wipers die zijn ingezet tegen Oekraïense netwerken, waaronder Caddywiper en Industroyer2. De operaties van de dreigingsgroep zijn recentelijk uitgebreid naar meer landen.
Electrum richtte zich op blootgestelde en kwetsbare systemen die betrokken zijn bij dispatch- en grid-facing communicatie, remote terminal units (RTU's), netwerk edge devices, monitoring- en controlesystemen en Windows-gebaseerde machines op DER-locaties. De aanvallers toonden diepgaande kennis van de inzet en het beheer van deze apparaten, waarbij ze herhaaldelijk vergelijkbare RTU- en edge-device configuraties op meerdere locaties compromitteerden. Communicatieapparatuur werd succesvol uitgeschakeld op meerdere locaties, wat resulteerde in verlies van remote monitoring en controle. Bepaalde OT/ICS-apparaten werden uitgeschakeld en hun configuraties werden onherstelbaar beschadigd, terwijl Windows-systemen op de locaties werden gewist.
Daarnaast loopt er een onderzoek naar een mogelijke link tussen een Russische entiteit en de Electrum-aanval van december 2025, gericht op gebruikers van de Electrum Bitcoin wallet. Deze aanval resulteerde in aanzienlijke financiële verliezen. Details over de omvang van de verliezen of de specifieke modus operandi zijn nog niet openbaar gemaakt. Het onderzoek richt zich op het traceren van geldstromen en het analyseren van de gebruikte infrastructuur om de betrokkenen te identificeren en te vervolgen.
Bron 1

Letland heeft Rusland aangewezen als de belangrijkste bron van cyberdreigingen, waarbij het land een toename van het aantal geregistreerde aanvallen constateert. Deze aanvallen richten zich voornamelijk op de kritieke infrastructuur en overheidsinstanties van Letland. Hoewel er geen specifieke details over de aard of omvang van de aanvallen worden verstrekt, benadrukt de waarschuwing de noodzaak voor Letland om zijn cyberdefensie voortdurend te versterken. De Letse autoriteiten werken aan het verbeteren van de detectie- en responsmechanismen om de impact van toekomstige incidenten te minimaliseren. Internationale samenwerking wordt eveneens gezien als een essentieel onderdeel van de strategie om de dreiging die uitgaat van Russische cyberactiviteiten tegen te gaan. De focus ligt op het beschermen van essentiële diensten en het waarborgen van de continuïteit van de overheid.
Bron

Een cyberaanval op de Vladimir Bread Factory, een van de grootste bakkerijen in de regio Vladimir in Rusland, heeft de leveringen van voedselproducten verstoord. De aanval, die zich op zondagavond voordeed, leidde tot een verstoring van de interne digitale systemen van de fabriek. Daardoor werden kantoormachines, servers, elektronische documentbeheertools en het veelgebruikte 1C-boekhoudsysteem buiten werking gesteld. Ondanks dat de productie niet werd beïnvloed en de bakkerijen operationeel bleven, leidde de storing tot problemen bij het verwerken van bestellingen en leveringen. Lokale bewoners, winkels en leveranciers van sociale instellingen meldden moeilijkheden bij het vervullen van bestaande contracten, wat leidde tot tijdelijke tekorten aan bakkerijproducten in de winkels.

Grote retailketens bevestigden de leveringsproblemen, maar gaven aan dat er geen wijdverspreide tekorten aan brood in de schappen waren. Om de bevoorrading op gang te houden, schakelde het bedrijf al het kantoorpersoneel naar een 24-uursdienst en keerde tijdelijk terug naar handmatige verwerking van bestellingen en zendingen. De fabriek heeft geen tijdlijn verstrekt voor het volledig herstellen van de digitale systemen en bood haar excuses aan voor de onderbreking van de dienstverlening.

De identiteit van de aanvallers en de aard van het incident blijven onduidelijk. Dit is niet de eerste cyberaanval die de voedselsector in Rusland treft. In juni van dit jaar meldden lokale zuivelproducenten leveringsproblemen nadat een cyberaanval het digitale certificeringssysteem voor dierlijke producten in het land had uitgeschakeld. Dit dwong bedrijven om terug te vallen op papieren veterinaire certificaten, wat leidde tot logistieke vertragingen. In december werd een grote zuivelverwerkingsfabriek in Zuid-Siberië getroffen door een ransomware-aanval die de systemen versleutelde. Hoewel lokale media speculeerden dat de inbreuk mogelijk verband hield met de steun van de fabriek aan de Russische troepen in Oekraïne, werd er geen officiële toewijzing van de aanval gedaan.

Bron

De Winterspelen van 2026 in Milaan Cortina worden mogelijk geconfronteerd met een verhoogd cyberrisico door de aanhoudende spanningen tussen Rusland en het Internationaal Olympisch Comité (IOC). De uitsluiting van Rusland van dit evenement, als gevolg van disputen over compliance en de geopolitieke gevolgen van de invasie van Oekraïne in 2022, heeft volgens onderzoekers van Unit 42 van Palo Alto Networks de traditionele afscherming die grote internationale evenementen doorgaans genieten, verminderd. Rusland beschouwt het IOC niet langer als een neutrale sportregulator, maar als een politieke tegenstander die handelt in het belang van Westerse naties.
Historisch gezien beschouwde de Russische staat de Olympische Spelen als een instrument om de superioriteit van het Sovjet-systeem en de communistische ideologie te demonstreren. De huidige situatie, waarin Rusland wordt uitgesloten van deelname onder eigen vlag en volkslied, wordt door het Kremlin gezien als een politieke aanval op de legitimiteit van de staat en een poging om de Russische identiteit van het wereldtoneel te wissen.
Uit een analyse van de Russische reacties op eerdere sancties en uitsluitingen blijkt een escalerend patroon van cyberactiviteiten. Zo werd in 2016 het World Anti-Doping Agency (WADA) getroffen door de dreigingsactor Fighting Ursa (APT28, Fancy Bear, Strontium, Forest Blizzard), die atleetgegevens lekte om de onderzoekers van Rusland in diskrediet te brengen. Tijdens de Winterspelen van 2018 in Pyeongchang richtte Razing Ursa (APT44, Sandworm, Iridium) zich op de IT-infrastructuur met de Olympic Destroyer malware en VPNFilter, waarbij valse vlagtactieken werden gebruikt om de aanval te wijten aan Noord-Koreaanse en Chinese actoren. Voor de uitgestelde Olympische Spelen van 2020 in Tokio claimde het UK Foreign, Commonwealth & Development Office dat de GRU cyberoperaties en verkenningen uitvoerde. Voorafgaand aan de Spelen van Parijs in 2024 gebruikten Russische actoren (Storm-1679 en Storm-1099) AI-gegenereerde desinformatie om veiligheidsdreigingen te fabriceren en de opkomst te onderdrukken.
Voor de Winterspelen van 2026 in Milaan Cortina wordt rekening gehouden met een combinatie van mogelijke aanvallen, waaronder kinetische cyber effecten op kritieke infrastructuur, het uitbuiten van de V2X "Smart Road" attack surface, AI-versterkte hybride dreigingen en deepfakes, geopolitieke informatieoorlog en strategische hack-en-lek operaties. Specifieke doelwitten zouden het elektriciteitsnet in de Dolomieten, sneeuwmachines en scoring netwerken kunnen zijn. De digitalisering van de Smart Road SS51 Alemagna naar Cortina creëert een nieuw aanvalsoppervlak via vehicle-to-infrastructure (V2I) systemen.
Cybersecurity professionals wordt geadviseerd zich te richten op de veerkracht van fysieke infrastructuur in plaats van alleen op bescherming. Prioriteit moet worden gegeven aan zero-trust visibility, anomaly detection voor IoT-apparaten en strikte telemetrie verificatie. Micro-segmentatie van infrastructuur is essentieel om laterale beweging van gecompromitteerde edge devices naar kritieke controlesystemen te voorkomen. Organisaties moeten content provenance maatregelen implementeren om legitieme communicatie te verifiëren en waakzaam te blijven tegen social engineering en phishing campagnes.
Bron

Een Amerikaanse federale jury heeft Linwei Ding, een voormalig software engineer bij Google, veroordeeld voor het stelen van AI supercomputer data van zijn werkgever en het heimelijk delen ervan met Chinese technologiebedrijven.

Ding werd oorspronkelijk in maart 2024 aangeklaagd nadat hij had gelogen en niet oprecht had meegewerkt aan Google's interne onderzoek, wat leidde tot zijn arrestatie in Californië. Volgens de aanklagers stal Ding tussen mei 2022 en april 2023 meer dan 2.000 pagina's aan vertrouwelijke AI-gerelateerde materialen van Google en uploadde deze naar zijn persoonlijke Google Cloud account. De gestolen bestanden bevatten belangrijke informatie over Google's AI supercomputing infrastructuur, bedrijfseigen TPU- en GPU-systeemtechnologieën, orchestratiesoftware voor grootschalige AI workloads en SmartNIC netwerktechnologie.

Ding, die in 2019 bij Google begon, was ook in het geheim verbonden aan twee in China gevestigde technologiebedrijven en onderhandelde zelfs over een rol als Chief Technology Officer (CTO) bij een van hen. Later richtte hij zijn eigen AI-bedrijf op in China (Shanghai Zhisuan Technology Co.), waar hij als CEO diende, en vertelde hij potentiële investeerders dat hij AI supercomputing infrastructuur kon bouwen die vergelijkbaar was met die van Google.

Bewijs toonde aan dat Ding entiteiten wilde helpen die verbonden waren aan de Volksrepubliek China, zich aanmeldde voor een door de overheid van Shanghai gesponsord talentenprogramma en verklaarde dat zijn doel was om China te helpen internationale computing infrastructuurmogelijkheden te bereiken. De Amerikaanse DoJ meldt dat de jury bewijs hoorde over de talentenprogramma's van de Chinese overheid om individuen aan te moedigen naar China te komen om bij te dragen aan de economische en technologische groei van het land. In Dings aanvraag voor dit talentenprogramma stond dat hij van plan was "China te helpen computing power infrastructuurmogelijkheden te hebben die op hetzelfde niveau liggen als het internationale niveau". Het bewijs tijdens het proces toonde ook aan dat Ding van plan was twee entiteiten te bevoordelen die door de Chinese overheid werden gecontroleerd door te helpen bij de ontwikkeling van een AI supercomputer en samen te werken aan het onderzoek en de ontwikkeling van custom machine learning chips.

Ding heeft Google nooit op de hoogte gesteld van zijn banden met de genoemde bedrijven of zijn reizen naar China bekendgemaakt. Hij vroeg zelfs een collega om periodiek zijn toegangspas op zijn werkplek te scannen om de schijn te wekken dat hij nog in de VS aan het werk was.

Na een proces van elf dagen in San Francisco werd Ding veroordeeld op zeven aanklachten van economische spionage en zeven aanklachten van diefstal van bedrijfsgeheimen, elk met een maximale gevangenisstraf van 10 tot 15 jaar. Er zijn echter nog geen straffen bekendgemaakt.

Bron

Een nieuwe cybercampagne, toegeschreven aan de Iraanse dreigingsactor RedKitten, richt zich op bedrijven in de defensie-industrie. Volgens onderzoekers van Proofpoint, die de campagne sinds oktober 2025 volgen, gebruikt RedKitten een combinatie van spear-phishing en malware om toegang te krijgen tot gevoelige informatie.
De campagne begint met spear-phishing e-mails die zijn ontworpen om werknemers van de beoogde bedrijven te misleiden. Deze e-mails bevatten vaak valse vacatures of uitnodigingen voor defensiegerelateerde evenementen. Wanneer een slachtoffer op een link in de e-mail klikt, wordt hij of zij naar een valse inlogpagina geleid die is ontworpen om inloggegevens te stelen.
Als de aanvallers eenmaal inloggegevens hebben bemachtigd, gebruiken ze deze om toegang te krijgen tot de netwerken van de beoogde bedrijven. Ze installeren vervolgens malware, waaronder een backdoor genaamd " প্রসিদ্ধ" (Prasiddhi), die hen in staat stelt om op afstand toegang te krijgen tot de systemen van het slachtoffer en gegevens te stelen.
De onderzoekers van Proofpoint hebben vastgesteld dat RedKitten gebruik maakt van verschillende technieken om detectie te voorkomen. Zo gebruiken ze Base64-codering om kwaadaardige code te verbergen en maken ze gebruik van gecompromitteerde infrastructuur om hun activiteiten te maskeren.
De campagne van RedKitten lijkt gericht op het verzamelen van inlichtingen over de defensie-industrie. De gestolen informatie kan worden gebruikt voor spionage, sabotage of andere kwaadaardige doeleinden. Het is belangrijk voor bedrijven in de defensie-industrie om zich bewust te zijn van deze dreiging en maatregelen te nemen om zich te beschermen. Dit omvat het trainen van werknemers om spear-phishing e-mails te herkennen, het implementeren van sterke wachtwoordrichtlijnen en het up-to-date houden van beveiligingssoftware.
Bron