Cyberoorlog nieuws

Het Oekraïense cyber incident response team (CERT-UA) waarschuwt dat Russische hackers steeds vaker proberen opnieuw toegang te krijgen tot systemen die ze eerder al gecompromitteerd hebben. Eerdere inbraken worden gebruikt als uitvalsbasis voor vervolgoperaties, aldus CERT-UA in een nieuw rapport.

Volgens het rapport controleren de aanvallers of de toegang tot eerder gecompromitteerde infrastructuur nog steeds mogelijk is, of kwetsbaarheden zijn gepatcht en of eerder verkregen inloggegevens nog geldig zijn. CERT-UA geeft aan dat deze pogingen soms succesvol zijn als de oorzaak van het oorspronkelijke incident niet volledig is weggenomen.

Deze trend weerspiegelt een verschuiving in de tactieken van aanvallers gedurende 2025. In de eerste helft van het jaar vertrouwden veel cyberincidenten op een "steal and go"-aanpak, waarbij malware werd ingezet om snel inloggegevens of andere gevoelige data te verzamelen en vervolgens het systeem te verlaten om detectie te voorkomen. In de tweede helft van het jaar werd er echter een groeiende focus waargenomen op het behouden van langdurige toegang tot gecompromitteerde netwerken. Deze strategie stelt dreigingsactoren in staat om de waarde van succesvolle inbraken te maximaliseren door later terug te keren om de toegang uit te breiden, spionage uit te voeren of andere fasen van cyberoperaties te ondersteunen.

CERT-UA constateert ook veranderingen in de manier waarop aanvallers aanvankelijk toegang krijgen tot Oekraïense netwerken. Traditionele phishing e-mails en kwaadaardige bijlagen worden minder effectief omdat organisaties zich bewuster worden van veelvoorkomende cyberdreigingen. In plaats daarvan vertrouwen aanvallers steeds vaker op geavanceerde social engineering tactieken om vertrouwen te winnen bij slachtoffers. Hackers nemen rechtstreeks telefonisch contact op met doelwitten via Oekraïense mobiele nummers en legitieme messaging accounts, spreken vloeiend Oekraïens en tonen gedetailleerde kennis over de personen of organisaties die ze aanvallen. Pas nadat ze vertrouwen hebben opgebouwd via telefoongesprekken of videochats, sturen aanvallers kwaadaardige bestanden via messaging apps, waardoor de kans aanzienlijk toeneemt dat slachtoffers ze openen.

Volgens CERT-UA hebben aan Rusland gelinkte hackinggroepen, waaronder APT28 (Fancy Bear) en de dreigingsactor Void Blizzard, deze techniek gebruikt bij aanvallen op leden van de Oekraïense strijdkrachten en overheidsinstellingen. Ondanks de evolutie in tactieken, daalde het totale aantal cyberincidenten in de tweede helft van 2025 in vergelijking met de eerste helft van het jaar. De veiligheids- en defensiesector blijft het belangrijkste doelwit, aldus CERT-UA, omdat het verstoren of infiltreren van die netwerken de loop van de oorlog direct kan beïnvloeden.

Bron: CERT-UA | Bron 2: cip.gov.ua | Bron 3: recordedfuture.com

Cybercrimeinfo heeft een dreigingsanalyse ontdekt, waarin een toename van cyberaanvallen in een conflictgebied wordt beschreven over de periode van 28 februari tot 3 april. In totaal werden 1098 cyberaanvallen waargenomen, waarbij 14 landen werden getroffen en 84 dreigingsactoren betrokken waren. Het type dreiging is niet nader gespecificeerd in de beschikbare informatie.

Bron: Cybercrimeinfo

Een grootschalige stroomstoring heeft de internetverbinding in een groot deel van Donetsk Oblast, in door Rusland bezet Oekraïne, lamgelegd. De verstoring wordt toegeschreven aan Oekraïense UAV aanvallen gericht op de energie infrastructuur. Het herstel van de connectiviteit is inmiddels bijna volledig.

Bron: NetBlocks

De dreigingsactor NoName claimt verantwoordelijk te zijn voor een DDoS aanval op meerdere websites in Oekraïne. Cybercrimeinfo heeft deze claim ontdekt. De doelwitten omvatten SE Kharkiv Morozov Machine Building Design, Research and Production Complex Photoprylad, Spets Techno Export, Zorya-Mashproekt, ERC, Ferrexpo, Ukrainian Scientific Research Institute of Aviation Technologies en OCTAVA CAPITAL. Het is op dit moment niet bevestigd of de aanval succesvol was en welke impact deze heeft gehad op de getroffen websites.

Bron: Darkweb

Een Noord-Koreaanse hacker, vermoedelijk in dienst van de staat, heeft zichzelf ontmaskerd tijdens een sollicitatiegesprek. De persoon in kwestie werd gevraagd om de zin "Kim Jong-un is een dik, lelijk varken" uit te spreken. De hacker weigerde dit, omdat hij aangaf dat het uitspreken van dergelijke woorden vrijwel zeker tot zijn executie zou leiden.

Bron: Int. Cyber Digest

De FBI, het Pentagon en andere federale agentschappen waarschuwen voor een toename van cyberaanvallen door hackers gelieerd aan de Iraanse overheid. Deze aanvallen richten zich op internet verbonden operational technology (OT)-apparaten in verschillende kritieke infrastructuursectoren in de Verenigde Staten, wat leidt tot operationele verstoringen en financieel verlies. Volgens een nieuw advies zijn de aanvallen geëscaleerd in reactie op het militaire conflict tussen de VS en Iran.

De Iraanse actoren richten zich specifiek op OT apparaten zoals programmable logic controllers (PLC's) van Rockwell Automation (Allen-Bradley) en mogelijk ook Siemens. Sinds maart 2026 hebben de betrokken instanties een Iraanse APT groep geïdentificeerd die de functie van PLC's heeft verstoord. De aanvallen hebben geleid tot verstoringen door manipulatie van projectbestanden en data op human machine interface (HMI)- en supervisory control and data acquisition (SCADA)-displays.

De doelwitten omvatten lokale gemeenten, water- en afvalwatersystemen en de energiesector. Deze waarschuwing volgt op een ransomware aanval vorige week op een waterzuiveringsinstallatie in Minot, North Dakota, hoewel er geen direct losgeld werd geëist. De FBI is betrokken bij onderzoeken naar de aanval in Minot en een andere aanval op een county government in Indiana.

De FBI benadrukt specifiek CVE-2021-22681, een kwetsbaarheid in Rockwell OT producten. CISA had een maand eerder al gewaarschuwd voor misbruik van deze kwetsbaarheid en federale agentschappen opgedragen deze vóór 26 maart te patchen. Organisaties worden dringend verzocht PLC's en andere OT systemen niet direct aan het internet bloot te stellen en logs te controleren op verdacht verkeer.

De activiteit wordt vergeleken met een Iraanse campagne in 2023 en 2024, waarbij hackers gelinkt aan het Islamic Revolutionary Guard Corps (IRGC) PLC's van het Israëlische Unitronics aanvielen. Uit nieuwe informatie blijkt dat bij de campagne van 2023 minstens 75 apparaten werden gecompromitteerd. Hoewel het toen vooral om defacement ging, waarschuwden functionarissen dat de aanvallers de toegang konden gebruiken voor diepere netwerktoegang en fysieke schade. Het State Department loofde een beloning van 10 miljoen dollar uit voor informatie over de Iraniërs achter de aanvallen van 2023, waarbij zes functionarissen van het IRGC's Cyber Electronic Command (CEC) werden genoemd, waaronder Hamid Reza Lashgarian.

Bron: FBI | Bron 2: cisa.gov | Bron 3: ic3.gov

Het Amerikaanse ministerie van Justitie (DoJ) en de FBI hebben een grootschalige cyberespionagecampagne van de Russische militaire inlichtingendienst (GRU) ontmanteld. De operatie, genaamd "Operation Masquerade", was gericht op een netwerk van routers in huis- en kleine kantoorsituaties, die door hackers werden gebruikt om nietsvermoedende gebruikers te bespioneren.

De groep achter de aanval is een bekende eenheid van de Russische GRU, vaak aangeduid als APT28, Fancy Bear of Forest Blizzard. Sinds minstens 2024 compromitteerde deze groep stilletjes apparaten, met een sterke focus op TP-Link routers. Door bekende kwetsbaarheden te exploiteren, wisten ze duizenden apparaten in meer dan 23 staten en vele andere landen te kapen.

Fancy Bear maakte gebruik van DNS hijacking. GRU hackers braken in routers en vervingen de DNS instellingen door hun eigen valse versies. Eenmaal in controle, gebruikten ze een geautomatiseerd filter om waardevolle doelwitten binnen het leger en de overheid te identificeren. Voor deze specifieke personen toonden de hackers valse inlogpagina's, zoals een nagemaakte Microsoft Outlook Web Access scherm, om ongecodeerde wachtwoorden, e-mails en authenticatietokens te stelen zonder dat de gebruiker iets in de gaten had.

De FBI heeft, in plaats van alleen een waarschuwing uit te geven, een gerechtelijk bevel verkregen om rechtstreeks met de geïnfecteerde routers te communiceren. Het bureau stuurde een reeks commando's naar deze apparaten om hun DNS instellingen te resetten en de toegang van de hackers te blokkeren. Onderzoekers van Microsoft Threat Intelligence, MIT Lincoln Laboratory en Black Lotus Labs hebben geholpen bij het testen van deze fixes om ervoor te zorgen dat ze de internetverbinding van niemand zouden verbreken.

Hoewel de FBI de onmiddellijke dreiging heeft weggenomen, wordt het publiek nog steeds aangespoord voorzichtig te zijn. Special Agent Ted E. Docks merkt op dat de FBI "onze partners in de private sector en internationale partners heeft ingezet om deze kwaadaardige activiteit te ontmaskeren en routers te herstellen." Gebruikers van TP-Link apparaten wordt aangeraden onmiddellijk te controleren op de nieuwste firmware updates. Als een router een ouder model is dat geen updates meer ontvangt, is het wellicht tijd om deze te vervangen.

Bron: U.S. Department of Justice

Twee prominente Egyptische journalisten zijn het doelwit geweest van een geavanceerde spearphishingcampagne, volgens een nieuw rapport van de digitale burgerrechtenorganisatie Access Now en het mobiele beveiligingsbedrijf Lookout. De campagne, die begon in oktober 2023 en doorging tot januari 2024, richtte zich op de Apple- en Google accounts van de slachtoffers.

De aanvallers deden zich voor als legitieme personen en diensten en gebruikten meerdere kanalen om contact te leggen met de slachtoffers. Er zijn aanwijzingen dat de infrastructuur die gebruikt werd voor de aanvallen mogelijk ingezet kan worden om spyware te verspreiden en data te exfiltreren, evenals het installeren van kwaadaardige apps. De onderzoekers van Lookout en Access Now konden de locatie van de "hack for-hire" organisatie niet definitief vaststellen, maar vermoeden dat deze banden heeft met Azië. De aanvallers gebruikten valse accountprofielen, berichten en andere tactieken om zich voor te doen als legitieme diensten en platforms, waaronder Signal.

Geen van de accounts van de slachtoffers werd uiteindelijk gecompromitteerd. Een van de slachtoffers ontving een bericht dat afkomstig leek te zijn van Apple. Het doelwit voerde zijn accountgegevens in, maar stopte nadat hij een "verdachte" authenticatiemelding met twee factoren ontving vanuit een locatie in Egypte. Beide slachtoffers zijn in het verleden vervolgd door de Egyptische autoriteiten en hebben het Egyptische regime uitgedaagd. Mostafa Al-A’sar is een Egyptische journalist en mensenrechtenverdediger die bijna vier jaar in een Egyptische gevangenis heeft doorgebracht voordat hij het land ontvluchtte. Ahmed Eltantawy, ook een bekende journalist, berichtte kritisch over de Egyptische regering en werd later lid van het parlement. Hij was van plan om zich in 2023 kandidaat te stellen tegen de Egyptische president Abdel Fattah al-Sisi, maar trok zich vervolgens terug nadat tientallen van zijn supporters en familieleden waren gearresteerd en hij niet mocht campagne voeren. Hij werd later gevangengezet. Citizen Lab, een digitaal forensisch onderzoeksinstituut, ontdekte dat zijn telefoon in september 2021 en tussen mei en september 2023 het doelwit was van de Predator spyware van Intellexa.

Marwa Fatafta, een directeur bij Access Now, waarschuwt journalisten in het Midden Oosten en Noord Afrika om voorzichtig te zijn en hun digitale beveiliging te verbeteren.

Bron: Access Now

Oekraïne meldt dat het initiatief in de oorlog terugwint na recente Russische successen, mede dankzij de ontwikkeling van AI gestuurde drones. Oleksandr Syrsky, de Oekraïense opperbevelhebber, stelt dat Oekraïense troepen "de ruggengraat van Rusland breken" en dat drones aanzienlijke verliezen toebrengen aan de Russische troepen. Russische bronnen zouden zich zorgen maken over de nieuwe AI drones van Oekraïne.

Moskou overweegt naar verluidt de traditionele militaire parade van 9 mei te annuleren uit angst voor Oekraïense aanvallen. Oekraïense aanvallen op Russische olie installaties vinden dagelijks plaats. Kyrylo Boedanov, voormalig hoofd van de Oekraïense inlichtingendienst en huidig hoofd van het presidentieel bureau, zegt dat deze aanvallen de Russische aanpak in toekomstige onderhandelingen kunnen beïnvloeden. Deze onderhandelingen zijn echter opnieuw uitgesteld door Iran, aldus president Zelensky.

De Oekraïense veiligheidsdienst (SBU) heeft naar eigen zeggen een spionage eenheid ontmaskerd die wapenopslagplaatsen beheerde voor huurmoorden. Het ministerie van Buitenlandse Zaken heeft nieuwe diplomatieke nummerplaten geïntroduceerd, waarmee een historische band met Moskou wordt verbroken. Op economisch vlak heeft het Oekraïense Asvio een overeenkomst getekend om de insolvente Motor Bank over te nemen. De voormalige eigenaar van deze bank, ooit de belangrijkste aandeelhouder van vliegtuigmotorenfabrikant Motor Sich, wordt nu in Oekraïne beschuldigd van verraad.

In Hongarije zijn nieuwe beschuldigingen geuit aan het adres van de topdiplomaat, die ervan wordt verdacht de EU toetredingsdocumenten van Kyiv met Moskou te hebben gedeeld. Een ander gelekt telefoongesprek beweert dat Boedapest Teheran hulp heeft aangeboden na de pager explosies van 2024. Zelensky heeft kritiek geuit op de campagne van de Amerikaanse president JD Vance voor de Hongaarse premier Viktor Orban en waarschuwde dat Rusland naar verluidt inlichtingen over Amerikaanse bases aan Iran heeft verstrekt.

Het Verenigd Koninkrijk en Noorwegen zeggen een Russische onderzeeër in de buurt van cruciale onderzeese kabels te hebben gevolgd, terwijl Moskou beweert dat Kyiv aanvallen op het Noordpoolgebied beraamt.

Bron: Kyiv Post

De Russische autoriteiten hebben een voormalig freelance journalist van Radio Free Europe (RFE) gearresteerd op beschuldiging van hoogverraad. Volgens de Federale Veiligheidsdienst (FSB) zou de journalist informatie hebben doorgespeeld aan Oekraïne, die gebruikt zou zijn bij cyberaanvallen tegen Russische doelen.

De FSB verklaarde dat de verdachte zich had aangesloten bij een Telegram kanaal dat werd beheerd door de Oekraïense veiligheidsdienst SBU. Via dit kanaal zou hij informatie hebben verstrekt over een lokale publicatie die berichtte over de oorlog in Oekraïne, evenals gegevens over een kritieke infrastructuurvoorziening in de regio. Volgens de autoriteiten is deze informatie gebruikt om cyberaanvallen te faciliteren.

Na een huiszoeking, waarbij computerapparatuur en communicatieapparaten in beslag werden genomen, is de verdachte in voorlopige hechtenis geplaatst. De FSB beweert dat de in beslag genomen items bewijs bevatten van activiteiten "gericht tegen de veiligheid van Rusland". De FSB heeft de naam van de arrestant niet bekendgemaakt. Het onafhankelijke Russische medium 7x7 meldt echter dat het waarschijnlijk gaat om de 65-jarige Alexander Andreyev, een journalist uit de regio Zabaykalsky die in het begin van de jaren 2010 voor verschillende lokale media en als freelancer voor Radio Free Europe werkte.

De Russische veiligheidsdiensten beweren dat Andreyev heeft samengewerkt met "anti Russische mensenrechtenorganisaties" en na het begin van de oorlog een "duidelijk pro Oekraïens standpunt" heeft ingenomen. Radio Free Europe heeft nog niet publiekelijk gereageerd op de arrestatie. In 2020 werd Radio Liberty door het Russische ministerie van Justitie aangemerkt als "buitenlandse agent", en in 2025 werd de organisatie bestempeld als "ongewenst", waardoor haar activiteiten in Rusland effectief werden verboden.

Op dezelfde dag doorzochten Russische veiligheidsdiensten ook de redactie van Novaya Gazeta in Moskou. De reden voor de doorzoeking is niet bekendgemaakt. Een bron bij de wetshandhaving meldde dat de operatie verband houdt met een onderzoek naar het illegale gebruik van persoonlijke gegevens. Een andere bron vertelde dat onderzoekers onderzoeken of Novaya Gazeta banden heeft met Novaya Gazeta Europe en het Anti War Committee of Russia, die beide in Rusland als "ongewenst" respectievelijk "terroristisch" zijn bestempeld.

De zaak van Radio Free Europe is de meest recente in een reeks strafrechtelijke onderzoeken die verband houden met activiteiten op Telegram. Eerder deze maand werd in Sevastopol een inwoner gearresteerd op verdenking van het aanzetten tot terrorisme en extremisme via het platform. Sinds februari zijn er minstens drie strafzaken geopend die verband houden met Telegram Stars, een virtuele valuta die volgens onderzoekers wordt gebruikt om organisaties die in Rusland verboden zijn financieel te steunen.

Bron: TASS | Bron 2: iz.ru | Bron 3: novayagazeta.eu

Amerikaanse federale agentschappen waarschuwen voor een toename van cyberaanvallen door Iraanse actoren gericht op Amerikaanse kritieke infrastructuren. Uit een gezamenlijk advies blijkt dat sinds maart 2026 groepen met banden met de Iraanse overheid zich richten op Rockwell Automation/Allen-Bradley PLC apparaten, wat operationele verstoringen en financiële schade veroorzaakt. De aanvallen lijken een reactie op de vijandelijkheden tussen Iran, de Verenigde Staten en Israël.

Volgens cybersecuritybedrijf Censys zijn er wereldwijd meer dan 5.200 industriële controlesystemen online toegankelijk, waarvan driekwart zich in de Verenigde Staten bevindt. Het gaat om 3.891 hosts die reageren op EtherNet/IP (EIP) en zich identificeren als Rockwell Automation/Allen-Bradley apparaten. De blootstelling via cellulaire netwerken duidt op implementatie in het veld via cellulaire modems. Het FBI heeft vastgesteld dat bij deze activiteiten projectbestanden werden buitgemaakt en dat data op HMI en SCADA displays werden gemanipuleerd.

Om zich te verdedigen tegen deze aanvallen, wordt aangeraden om PLC's te beveiligen met een firewall of ze van het internet te ontkoppelen. Ook is het belangrijk om logs te scannen op tekenen van kwaadaardige activiteit en verdacht verkeer op OT poorten te controleren, vooral als dit afkomstig is van hostingproviders in het buitenland. Verder wordt aangeraden om meervoudige authenticatie (MFA) te gebruiken voor toegang tot OT netwerken, alle PLC apparaten actueel te houden en ongebruikte services en authenticatiemethoden uit te schakelen.

Deze campagne volgt op eerdere aanvallen van bijna drie jaar geleden, waarbij de groep CyberAv3ngers, gelieerd aan het Iraanse Islamitische Revolutionaire Garde (IRGC), zich richtte op kwetsbaarheden in operationele technologie systemen (OT) van Unitronics in de VS. Tussen november 2023 en januari 2024 compromitteerden CyberAv3ngers minstens 75 Unitronics PLC apparaten, waarvan de helft in water en afvalwaternetwerken. Meer recentelijk wist de hacktivistische groep Handala, gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid, ongeveer 80.000 apparaten van het netwerk van het Amerikaanse medische bedrijf Stryker.

Bron: Censys | Bron 2: cisa.gov | Bron 3: unit42.paloaltonetworks.com

De Britse regering heeft bekendgemaakt dat ze een geheime Russische onderzeeëroperatie heeft ontmaskerd in de wateren ten noorden van het Verenigd Koninkrijk, gericht op pijpleidingen en kabels. Volgens het Britse Ministerie van Defensie (MoD) waren een Russische aanvalsonderzeeër en schepen van het Russische directoraat voor diepzeeonderzoek (GUGI) betrokken bij deze activiteiten. Het MoD omschreef de activiteiten als "schadelijke activiteiten gericht op kritieke onderzeese infrastructuur".

Het GUGI, aldus het MoD, voert in vredestijd gespecialiseerde diepzee operaties uit om onderwaterinfrastructuur in kaart te brengen, als voorbereiding op sabotage tijdens een conflict. De Britse minister van Defensie, John Healey, verklaarde dat Britse schepen, vliegtuigen en geallieerde troepen de drie Russische onderzeeërs gedurende meerdere weken hebben gevolgd en sonoboeien hebben ingezet om de onderzeeëreenheden te laten weten dat ze werden geobserveerd en hun missie "niet langer geheim was zoals Poetin had gepland".

De Russische schepen zouden zich vervolgens hebben teruggetrokken zonder hun operatie in het geheim te kunnen voltooien, aldus het MoD. Er zijn geen meldingen van schade aan de onderzeese infrastructuur. Healey gaf aan dat de Russische activiteiten zowel pijpleidingen als kabels bedreigden, maar specificeerde niet waar de activiteiten plaatsvonden. De meest cruciale energieverbindingen lopen via de Noordzee aan de oostkust van het land naar Noorwegen.

Healey waarschuwde Poetin dat pogingen tot beschadiging van de onderwaterinfrastructuur niet getolereerd zouden worden en ernstige gevolgen zouden hebben. De Britse regering stelt dat de Russische activiteiten onderdeel zijn van een bredere poging om te opereren in gebieden waar kritieke infrastructuur op de zeebodem zich bevindt. Het doel van de openbaarmaking is om de aandacht te vestigen op de potentiële risico's die dergelijke activiteiten vormen voor de connectiviteit van het VK.

Het Ministerie van Defensie benadrukte het belang van onderzeese glasvezelkabels voor de verbinding van het VK met de rest van de wereld. Meer dan 99% van alle internationale data, van communicatie tot handel, verloopt via deze infrastructuur. De bescherming ervan is van vitaal belang voor de economische veiligheid, wereldwijde connectiviteit en nationale veerkracht van het VK.

John Hardie, de adjunct-directeur van het Rusland programma bij de Foundation for Defense of Democracies, merkte op dat GUGI al lange tijd betrokken is bij verdachte activiteiten in de buurt van onderzeese kabels. Rusland zou deze schepen kunnen gebruiken om afluisterapparatuur te plaatsen of inlichtingen te verzamelen ter ondersteuning van plannen om de NAVO communicatie in geval van oorlog te verstoren.

De ontwikkelingen benadrukken de samenhang tussen fysieke en cyberveiligheid, aangezien schade aan onderzeese kabels financiële systemen, communicatie en essentiële diensten kan verstoren, ver buiten de directe omgeving van een incident. Britse functionarissen hebben aangegeven de surveillance en samenwerking met bondgenoten te zullen intensiveren om de onderzeese infrastructuur te beschermen.

Bron: UK Ministry of Defence

Cybercrimeinfo heeft een threat intelligence alert ontdekt waarin staat dat Israël het meest getroffen land is door cyberaanvallen. Koeweit, Iran en de Verenigde Arabische Emiraten zijn het zwaarst getroffen qua impact. De sectoren energie/utilities, ICT en professionele/wetenschappelijke/technische dienstverlening ondervinden de meeste hinder. Niet nader genoemde technieken, identiteitsdiefstal/account cracking en malware zijn de meest gebruikte aanvalsmethoden.

Bron: Darkweb

De Algemene Inlichtingen en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD) gaan te ver bij het uitvoeren van onderzoeken. Dat stelt de Toetsingscommissie Inzet Bevoegdheden (TIB) in haar jaarverslag dat op 14 april 2026 is verschenen. De TIB controleert de inzet van bijzondere bevoegdheden door de inlichtingendiensten, zoals het binnendringen van telefoons of het afluisteren van gesprekken.

In 2025 behandelde de TIB 4.615 verzoeken van de AIVD en MIVD. Het overgrote deel van de verzoeken (96 procent) werd als rechtmatig beoordeeld. In een deel van de overige vier procent was sprake van vermijdbare juridische slordigheden. In 1,3 procent van de gevallen was de inzet, ook na aanpassingen, niet rechtmatig. Volgens de TIB betekent dit in de praktijk dat iedere week een voorgenomen inzet van de diensten waarvoor door de minister toestemming is verleend, niet rechtmatig is.

Het gaat dan bijvoorbeeld om inzet op mensen in de omgeving van een target, waarbij de diensten hopen zicht te krijgen op dat target. De TIB vindt dat niet altijd proportioneel. Ook het hacken van computers en het daarna verwerven van enorme hoeveelheden data gaat soms te ver als het gaat om gegevens van grote groepen mensen of organisaties die geen voorwerp van onderzoek zijn en dat ook nooit zullen worden.

De TIB stelt ook dat de diensten in 2025 verder zijn gegaan met de inzet van interceptie van internetverkeer dat verloopt via de glasvezelkabel. Dit gaat gepaard met het ongericht verwerven van zeer aanzienlijke hoeveelheden gegevens van personen of organisaties uit meerdere gegevensstromen vanuit meerdere accespoints. De TIB blijft zorgen houden over de inbreuk op grondrechten enerzijds en de achterblijvende opbrengst anderzijds. De TIB voegt toe dat het bewaken van de balans tussen de bescherming van grondrechten en de inbreuk daarop ons een democratische rechtsstaat maakt.

Bron: TIB

Volgens het Talos 2025 Year in Review rapport vertonen door staten gesteunde dreigingsactoren uit China, Rusland, Noord-Korea en Iran, ondanks uiteenlopende motieven zoals spionage, verstoring, financieel gewin en geopolitieke invloed, opvallend veel overeenkomsten in hun tactieken, technieken en procedures (TTP's). Het rapport benadrukt het verkrijgen van toegang via kwetsbaarheden en identiteiten, en het onder de radar blijven gedurende langere perioden.

Chinese dreigingsactoren vielen op door zowel volume als efficiëntie, met een toename van bijna 75% in Talos onderzoeken ten opzichte van 2024. Nieuw ontdekte kwetsbaarheden werden vrijwel direct uitgebuit, soms al voordat patches beschikbaar waren. Tegelijkertijd bleven langdurige, ongepatchte kwetsbaarheden in netwerkapparatuur en veelgebruikte software betrouwbare toegangspunten bieden. Na toegang verschuift de focus naar persistentie, waarbij web shells, aangepaste backdoors, tunneling tools en credential harvesting worden ingezet voor langdurige toegang. Er is ook een toenemende overlap tussen statelijk gesponsorde en financieel gemotiveerde activiteiten.

Russische cyberactiviteit blijft nauw verbonden met geopolitieke doelstellingen, met name de oorlog in Oekraïne. Veel operaties maken gebruik van ongepatchte, oudere kwetsbaarheden, vooral in netwerkapparatuur, om initiële toegang te verkrijgen. Bekende malware families zoals Dark Crystal RAT (DCRAT), Remcos RAT en Smoke Loader kwamen frequent voor in Talos onderzoeken naar operaties tegen Oekraïne in 2025.

Noord-Koreaanse cyberoperaties leunden zwaar op social engineering en insider access, zowel voor financiële als spionagedoeleinden. Campagnes zoals Contagious Interview, uitgevoerd door Famous Chollima, gebruikten valse recruiters van legitieme bedrijven om doelen te manipuleren om code uit te voeren of inloggegevens over te dragen. Noord-Koreaanse cyberactoren pleegden ook de grootste cryptocurrency-diefstal in de geschiedenis in 2025, waarbij $1,5 miljard werd gestolen. Duizenden IT-medewerkers gebruikten gestolen identiteiten en AI-gegenereerde profielen om posities te verwerven bij Fortune 500-bedrijven, wat miljarden aan jaarlijkse inkomsten genereerde voor de Noord-Koreaanse nucleaire wapen en ballistische raketprogramma's.

Iraanse cyberdreigingsactiviteit combineerde zichtbare verstoring met langdurige toegang. Hacktivistische operaties namen met 60% toe als reactie op geopolitieke gebeurtenissen, met name het conflict tussen Israël en Hamas. Groepen zoals ShroudedSnooper richtten zich op sectoren zoals telecommunicatie, met behulp van aangepaste compacte backdoors die ontworpen zijn om op te gaan in normaal verkeer en onopgemerkt te blijven. ShroudedSnooper is een APT die volgens publieke rapporten wordt toegeschreven aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).

Talos adviseert security teams om oudere systemen niet te negeren, identiteitsbeveiliging te prioriteren, de zichtbaarheid in netwerk en edge-infrastructuur te vergroten en te anticiperen op activiteit die globale gebeurtenissen volgt.

Bron: Cisco Talos | Bron 2: ic3.gov

Oekraïense ziekenhuizen en lokale overheidsinstanties zijn het doelwit geworden van een nieuwe spionagecampagne. Hierbij wordt gebruikgemaakt van een malwaretool genaamd AgingFly. Onderzoekers melden dat de campagne zich richt op het stelen van gevoelige data en in sommige gevallen het misbruiken van gecompromitteerde systemen voor cryptocurrency mining.

Het Computer Emergency Response Team van Oekraïne (CERT-UA) meldt dat de activiteit wordt uitgevoerd door een groep die bekend staat als UAC-0247. Deze groep heeft de afgelopen twee maanden meerdere aanvallen uitgevoerd op gemeentelijke autoriteiten, klinische ziekenhuizen en spoedeisende medische diensten. De aanvallen beginnen doorgaans met phishing e-mails die zich voordoen als discussies over voorstellen voor humanitaire hulp. Slachtoffers worden gevraagd een link te volgen die leidt naar het downloaden van een kwaadaardig archiefbestand. Om de berichten overtuigender te maken, creëren de aanvallers soms websites voor valse organisaties, mogelijk gegenereerd met behulp van kunstmatige intelligentie, of ze sluiten kwaadaardige scripts in op verder legitieme websites.

Na opening installeert het archief verschillende soorten malware, waaronder AgingFly, SilentLoop, ChromeElevator en ZapixDesk. AgingFly stelt aanvallers in staat een geïnfecteerde computer op afstand te bedienen, waardoor ze opdrachten kunnen uitvoeren, bestanden kunnen downloaden, screenshots kunnen maken, toetsaanslagen kunnen registreren en willekeurige code kunnen uitvoeren. SilentLoop kan opdrachten uitvoeren en het huidige adres van de command-and-controlserver van de aanvallers ophalen via een Telegram-kanaal. De aanvallers proberen ook authenticatiegegevens en andere gevoelige informatie uit internetbrowsers te extraheren met behulp van ChromeElevator, of uit WhatsApp-accounts met behulp van ZapixDesk.

In één geval ontdekten onderzoekers het gebruik van XMRig, een legitiem cryptocurrency miningtool, wat suggereert dat aanvallers de computerbronnen van slachtoffers hebben gebruikt om digitale valuta te genereren. CERT-UA waarschuwt ook dat leden van de Oekraïense strijdkrachten via soortgelijke tactieken doelwit kunnen worden. In maart ontving de instantie meldingen dat aanvallers via de Signal messaging app een vermeend bijgewerkt softwarepakket voor drone operators hadden verspreid. Het archiefbestand bevatte echter malware die AgingFly installeerde.

Eerder deze week meldde Reuters dat in een afzonderlijk incident door Rusland gelieerde hackers in meer dan 170 e-mailaccounts waren ingebroken van aanklagers en onderzoekers in Oekraïne, evenals doelwitten in naburige NAVO-landen en de Balkan. Cyberonderzoekers van Ctrl-Alt-Intel schreven die campagne toe aan de groep die bekend staat als APT28, ook wel Fancy Bear, BlueDelta of Forest Blizzard genoemd. Onderzoekers zeggen dat de hackers waarschijnlijk de Oekraïense wetshandhaving viseerden om onderzoeken naar Russische spionageactiviteiten te volgen of om mogelijk gevoelige informatie over hoge functionarissen in Kiev te verzamelen.

Bron: CERT-UA | Bron 2: cert.gov.ua | Bron 3: reuters.com

Een nieuwe malware, ZionSiphon genaamd, is specifiek ontworpen voor operationele technologie (OT) en richt zich op waterzuiveringsinstallaties en ontziltingsinstallaties om hun werking te saboteren. De malware kan hydraulische druk aanpassen en het chloorgehalte tot gevaarlijke niveaus verhogen, zo ontdekten onderzoekers. Op basis van de IP targeting en politieke boodschappen in de code, lijkt ZionSiphon zich te richten op doelen in Israël.

Onderzoekers van Darktrace, een cybersecuritybedrijf dat gebruikmaakt van AI, ontdekten een fout in de encryptielogica van het validatiemechanisme van de malware. Hierdoor is de malware momenteel niet functioneel. Ze waarschuwen echter dat toekomstige versies van ZionSiphon deze fout mogelijk verhelpen, waardoor de malware alsnog schade kan aanrichten.

Na implementatie controleert de malware of het IP adres van de host binnen Israëlische ranges valt en of het systeem software of bestanden bevat die gerelateerd zijn aan water/OT. Dit om er zeker van te zijn dat het op waterzuiveringssystemen of ontziltingssystemen draait. Darktrace merkt op dat de logica voor landverificatie defect is vanwege een XOR mismatch, waardoor de targeting mislukt en het zelfvernietigingsmechanisme wordt geactiveerd in plaats van de payload uit te voeren.

Als ZionSiphon zou worden geactiveerd, zou het aanzienlijke schade kunnen veroorzaken door het chloorgehalte te verhogen en de druk te maximaliseren. Dit gebeurt via een functie genaamd "IncreaseChlorineLevel()", die een tekstblok toevoegt aan bestaande configuratiebestanden om de chloordosis en de doorstroming zo veel mogelijk te maximaliseren als fysiek mogelijk is. "IncreaseChlorineLevel()" controleert een hardcoded lijst van configuratiebestanden die zijn gekoppeld aan ontzilting, omgekeerde osmose, chloorregeling en waterbehandeling OT/Industrial Control Systems (ICS), aldus Darktrace. Zodra een van deze bestanden aanwezig is, voegt het een vast tekstblok toe en keert direct terug. Het toegevoegde tekstblok bevat de volgende vermeldingen: "Chlorine_Dose=10", "Chlorine_Pump=ON", "Chlorine_Flow=MAX", "Chlorine_Valve=OPEN" en "RO_Pressure=80".

De intentie om te communiceren met industriële besturingssystemen (ICS) blijkt uit het scannen van het lokale subnet op de Modbus-, DNP3- en S7comm communicatieprotocollen. Darktrace heeft echter slechts gedeeltelijk functionele code voor Modbus gevonden, en slechts placeholders voor de andere twee, wat erop wijst dat de malware zich nog in een vroege ontwikkelingsfase bevindt. ZionSiphon heeft ook een USB propagatie mechanisme dat zichzelf kopieert naar verwijderbare schijven als een verborgen 'svchost.exe'-proces en maakt kwaadaardige shortcutbestanden die de malware uitvoeren wanneer erop wordt geklikt.

USB propagatie is essentieel in kritieke infrastructuresystemen, waar computers die beveiligingskritieke functies beheren vaak "air-gapped" zijn, wat betekent dat ze niet rechtstreeks met internet zijn verbonden. Hoewel ZionSiphon in de huidige versie niet operationeel is, zijn de intentie en het potentieel voor schade zorgwekkend. Het enige dat nodig is om beide te ontsluiten, is het herstellen van een kleine verificatiefout.

Bron: Darktrace