▽ JANUARI 2026

De ontwikkelaar van Notepad++ heeft bekendgemaakt dat de infrastructuur van de teksteditor het doelwit is geweest van een aanval die wordt toegeschreven aan staatshackers. Uit onderzoek in samenwerking met externe beveiligingsexperts blijkt dat de aanval niet voortkwam uit kwetsbaarheden in de broncode van de software, maar het gevolg was van een compromittering op infrastructuurniveau bij de toenmalige hostingprovider. Hierdoor waren kwaadwillenden in staat om het updateverkeer van specifieke gebruikers te onderscheppen en om te leiden naar servers die onder hun controle stonden. Onafhankelijke onderzoekers hebben vastgesteld dat de verantwoordelijke actoren waarschijnlijk gelieerd zijn aan de Chinese staat, wat de zeer selectieve doelwitkeuze gedurende de campagne verklaart.

Het incident ving aan in juni 2025. Volgens een verklaring van de hostingprovider was de server waarop de update-functionaliteit werd gehost gecompromitteerd tot 2 september 2025. Hoewel de aanvallers na die datum de directe toegang tot de server verloren door onderhoud en updates, bleven zij in het bezit van inloggegevens voor interne diensten. Deze toegang bleef in stand tot 2 december 2025, waardoor de actoren in staat bleven om verkeer bestemd voor de download-URL om te leiden en gemanipuleerde update-manifesten te serveren. De aanvallers zochten specifiek naar het domein van Notepad++ met als doel gebruik te maken van de destijds aanwezige ontoereikende verificatiecontroles voor updates in oudere versies van de applicatie.

De hostingprovider heeft aangegeven dat er geen aanwijzingen zijn dat andere klanten op dezelfde gedeelde server doelwit waren. Naar aanleiding van het incident zijn diverse herstelmaatregelen uitgevoerd, waaronder het dichten van kwetsbaarheden en het roteren van alle inloggegevens die voor 2 september 2025 verkregen konden zijn. Hoewel de analyse van de beveiligingsexpert aangeeft dat de aanvalsactiviteiten stopten op 10 november 2025, bevestigt de provider dat de potentiële toegang tot 2 december 2025 mogelijk was. Met de doorgevoerde wijzigingen en beveiligingsversterkingen wordt de situatie inmiddels als volledig opgelost beschouwd.

Bron

Volgens een recent rapport zijn Russische hackers actief bezig met het aanvallen van organisaties in Denemarken. De campagne, die al enkele weken aan de gang is, richt zich op kritieke infrastructuur en overheidsinstanties. De aanvallers, vermoedelijk gelieerd aan een bekende Russische hackersgroep, maken gebruik van geavanceerde technieken om toegang te krijgen tot de systemen van hun doelwitten.

De hackers gebruiken phishing-e-mails om malware te verspreiden. Deze e-mails bevatten vaak bijlagen met schadelijke code die, wanneer geopend, de systemen van de slachtoffers infecteren. De malware stelt de aanvallers in staat om op afstand toegang te krijgen tot de geïnfecteerde systemen, gegevens te stelen en mogelijk schade aan te richten.

De Deense autoriteiten hebben inmiddels een onderzoek ingesteld naar de aanvallen en werken samen met internationale partners om de daders te identificeren en te vervolgen. Er zijn nog geen details vrijgegeven over de exacte aard van de gestolen gegevens of de omvang van de schade. Wel wordt er gewaarschuwd voor verdere aanvallen in de nabije toekomst.

Experts raden Deense organisaties aan om hun beveiligingsmaatregelen te versterken en hun medewerkers bewust te maken van de risico's van phishing-e-mails. Het is belangrijk om verdachte e-mails niet te openen en geen bijlagen te downloaden van onbekende afzenders. Daarnaast wordt geadviseerd om de nieuwste beveiligingsupdates te installeren en gebruik te maken van sterke wachtwoorden.

De aanvallen op Denemarken benadrukken de aanhoudende dreiging van cyberaanvallen door statelijke actoren. Het is essentieel dat overheden en organisaties wereldwijd samenwerken om deze dreiging te bestrijden en de digitale veiligheid te waarborgen.

Bron

De KyivPost heeft op 1 februari 2026 een uitgebreide analyse gepubliceerd over de huidige stand van zaken in de cyberoorlog. De analyse werpt licht op de evoluerende tactieken, de belangrijkste actoren en de aanzienlijke impact van cyberaanvallen op zowel militaire als civiele infrastructuren.

Volgens het rapport is de intensiteit van cyberaanvallen in de afgelopen jaren aanzienlijk toegenomen. Statelijke actoren en cybercriminele groeperingen gebruiken steeds geavanceerdere methoden om kritieke systemen te infiltreren, data te stelen en verstoring te veroorzaken. De analyse benadrukt dat de cyberoorlog niet langer een toekomstig scenario is, maar een realiteit van de dag.

Een belangrijk aspect van de analyse is de verschuiving in de aard van de doelwitten. Waar cyberaanvallen zich voorheen voornamelijk richtten op militaire doelwitten, zien we nu een toename van aanvallen op civiele infrastructuren, zoals energievoorzieningen, communicatienetwerken en financiële instellingen. Deze aanvallen hebben tot doel de economische stabiliteit te ondermijnen en maatschappelijke ontwrichting te veroorzaken.

De analyse identificeert verschillende belangrijke actoren die betrokken zijn bij cyberoorlogsvoering. Naast bekende statelijke actoren zoals Rusland, China en Noord-Korea, worden ook steeds meer niet-statelijke actoren, zoals hacktivistische groeperingen en cybercriminele organisaties, actief in het cyberdomein. Deze actoren gebruiken verschillende technieken, waaronder malware, phishing en denial-of-service aanvallen, om hun doelwitten te compromitteren.

Het rapport benadrukt de noodzaak van een gecoördineerde internationale inspanning om de dreiging van cyberoorlogsvoering aan te pakken. Dit omvat het delen van informatie, het ontwikkelen van gemeenschappelijke normen en het versterken van de cyberdefensiecapaciteiten. De analyse waarschuwt dat een gebrek aan actie de wereldwijde veiligheid en stabiliteit in gevaar kan brengen.

De KyivPost analyse concludeert dat cyberoorlogsvoering een complexe en evoluerende dreiging vormt die serieuze aandacht vereist. Het rapport roept op tot een proactieve aanpak om de risico's te beperken en de kritieke infrastructuren te beschermen tegen cyberaanvallen.

Bron

Volgens de aangeleverde informatie misbruikt de aan Rusland gelinkte dreigingsgroep UAC 0001, ook bekend als APT28, actief een kritieke zero day kwetsbaarheid in Microsoft Office om malware te verspreiden. De campagne zou zich richten op Oekraïense overheidsinstanties en organisaties binnen de Europese Unie. De kwetsbaarheid wordt in de bron aangeduid als CVE-2026-21509.

Microsoft maakte op 26 januari 2026 melding van CVE-2026-21509 en waarschuwde daarbij voor actieve misbruikpogingen. Binnen 24 uur na die publieke melding zouden aanvallers de kwetsbaarheid al hebben omgezet in een werkende aanval. Op 27 januari 2026 werd in dit verband een kwaadaardig Word document genoemd met de bestandsnaam “Consultation_Topics_Ukraine(Final).doc”, dat een exploit voor CVE-2026-21509 zou bevatten. Het document was thematisch opgezet rond consultaties van het comité van permanente vertegenwoordigers bij de Europese Unie, COREPER, over Oekraïne.

Op 29 januari 2026 zou CERT UA daarnaast een bredere phishingcampagne hebben vastgesteld waarbij kwaadaardige documenten werden verspreid die zich voordeden als weerbulletins van het Ukrhydrometeorological Center. Deze campagne richtte zich volgens de bron op meer dan 60 e mailadressen, voornamelijk van Oekraïense centrale uitvoerende overheidsorganen. De combinatie van bestuurlijke thema’s en actuele geopolitieke onderwerpen werd in de bron beschreven als onderdeel van de gebruikte social engineering.

De bron beschrijft dat het openen van een bewapend document in Microsoft Office een netwerkverbinding opzet naar infrastructuur van de aanvallers via het WebDAV protocol. Daarna zou malware een snelkoppeling downloaden met uitvoerbare code, die meerdere kwaadaardige componenten neerzet, waaronder “EhStoreShell.dll” en “SplashScreen.png”, waarbij die laatste shellcode zou bevatten. Voor persistentie zou de aanval COM hijacking gebruiken door Windows registerwaarden aan te passen en een geplande taak met de naam “OneDriveHealth” aan te maken.

Als eindlading wordt in de bron het post exploitation framework COVENANT genoemd, dat voor command and control legitieme cloudopslag van entity["company","Filen","cloudopslagdienst"] (filen.io) zou gebruiken, met als doel het netwerkverkeer te laten opgaan in normaal cloudverkeer. Ook wordt gemeld dat eind januari 2026 aanvullende kwaadaardige documenten zijn aangetroffen die zich op EU landen richtten, en dat in een geval domeinnamen voor de aanvalsinfrastructuur op dezelfde dag als de aanval zouden zijn geregistreerd. CERT UA waarschuwde volgens de bron dat het aantal misbruikpogingen waarschijnlijk toeneemt door trage patchcycli en het niet tijdig kunnen updaten van Microsoft Office installaties, terwijl Microsoft in dit verband registry gebaseerde mitigaties zou hebben aanbevolen en er wordt gesproken over het monitoren en blokkeren van geïdentificeerde indicators of compromise.

Bron

De Poolse autoriteiten hebben dinsdag een medewerker van het ministerie van Defensie aangehouden op verdenking van spionage voor een buitenlandse inlichtingendienst. Hoewel het ministerie het betrokken land niet officieel bij naam noemde, verklaarden staatsfunctionarissen tegenover lokale media dat de verdachte samenwerkte met Russische en Wit-Russische inlichtingendiensten. De zestigjarige arrestant is een Pools staatsburger en was werkzaam op de afdeling strategie en planning van het ministerie, waar hij onder meer betrokken was bij militaire moderniseringsprojecten.

De verdachte werd gearresteerd op zijn werkplek in het hoofdkwartier van het ministerie in Warschau. Volgens de berichten betreft het een burgerambtenaar en geen hoge functionaris of militair officier. De man werkte al sinds de jaren negentig bij het ministerie en had toegang tot documenten die van significant belang worden geacht voor de Poolse defensie. Na zijn arrestatie hebben functionarissen van de contraspionage zowel zijn kantoor als zijn woning doorzocht, waarbij telefoons, computers en opslagapparaten in beslag zijn genomen.

Aanklagers hebben de man inmiddels aangeklaagd voor spionage. Jacek Dobrzyński, woordvoerder van de minister-coördinator voor speciale diensten, meldde dat onderzoekers uitgebreid bewijsmateriaal hebben verzameld dat de spionageactiviteiten bevestigt. Het bewijs wijst er volgens de woordvoerder op dat de man Polen heeft verraden en handelde namens een buitenlandse inlichtingendienst. Verdere details worden pas vrijgegeven na afronding van het onderzoek.

Polen is in toenemende mate het doelwit van wat functionarissen omschrijven als Russische hybride oorlogsvoering, waaronder sabotage, spionage en desinformatiecampagnes. In juli maakten de Poolse autoriteiten bekend dat zij sinds het begin van de Russische invasie in Oekraïne meer dan dertig mensen hebben aangehouden die verdacht worden van samenwerking met Russische inlichtingendiensten voor het uitvoeren van sabotage en brandstichting. Daarnaast werd in december melding gemaakt van hackers, vermoedelijk gelinkt aan de Russische militaire inlichtingendienst, die het Poolse elektriciteitsnet als doelwit kozen en systemen bij ongeveer dertig energiefaciliteiten compromitteerden.

Bron

Het Amerikaanse leger heeft vorig jaar digitaal ingegrepen in de Iraanse luchtverdedigingssystemen als onderdeel van een gecoördineerde operatie om het nucleaire programma van het land uit te schakelen. Volgens diverse Amerikaanse functionarissen markeert deze actie de groeiende bereidheid van de Verenigde Staten om cyberwapens in te zetten tijdens oorlogsvoering. De aanval op een militair systeem, dat verbonden was met de nucleaire locaties in Fordo, Natanz en Isfahan, moest voorkomen dat Iran grond-luchtraketten kon lanceren op Amerikaanse gevechtsvliegtuigen die het Iraanse luchtruim waren binnengedrongen.

Amerikaanse operators wisten, met inlichtingenondersteuning van de National Security Agency, een specifiek knooppunt in het computernetwerk te raken. Door zich te richten op een router, server of ander randapparaat omzeilden zij de aanzienlijk lastigere taak om direct in te breken in de militaire systemen op de versterkte nucleaire locaties zelf. Een functionaris stelde dat militaire systemen vaak afhankelijk zijn van een complexe reeks componenten, waarbij een kwetsbaarheid op één punt kan worden benut om het gehele systeem te verstoren. Het vinden van deze zwakke plek werd door de bron omschreven als het vinden van de achilleshiel.

Het digitale element van de operatie, die plaatsvond in juni onder de naam Operation Midnight Hammer, wordt beschouwd als een van de meest geavanceerde acties die Cyber Command in zijn bijna zestienjarige geschiedenis tegen Iran heeft ondernomen. Hoewel de specifieke aard van het aangevallen apparaat niet is vrijgegeven vanwege nationale veiligheid, bevestigen bronnen dat de cyberaanval succesvol was in het ondersteunen van de fysieke operatie. Zowel Cyber Command als de NSA hebben geen officieel commentaar gegeven op de details van de inzet.

Bron

Het ministerie van Defensie zet in op het vastleggen van internationale afspraken over de verantwoorde inzet van kunstmatige intelligentie binnen de krijgsmacht. Tijdens de derde editie van de REAIM-conferentie in het Spaanse A Coruña, een initiatief onder leiding van Nederland en Zuid-Korea, wordt gezocht naar consensus over dit onderwerp. Jeroen van der Vlugt, CIO bij het ministerie van Defensie, stelt dat het Nederlandse bedrijfsleven een cruciale rol kan spelen bij de ontwikkeling van deze toepassingen. Hij trekt hierbij een vergelijking met de strategische positie van ASML in de halfgeleiderindustrie, waarbij het beheersen van specifieke technologische schakels zorgt voor internationaal gewicht.

Het hoofddoel van de top is het creëren van kaders voor AI-gebruik voor uiteenlopende defensiedoeleinden, van logistiek en strategie tot daadwerkelijke inzet op het slagveld. Volgens Van der Vlugt is het onmogelijk om de technologie als geheel te reguleren. In plaats daarvan wordt gekeken naar specifieke toepassingen binnen concrete militaire processen. Alleen op dat niveau kan worden bepaald hoe betrouwbaarheid gewaarborgd wordt en of de inzet in overeenstemming is met het internationaal humanitair recht. Daarnaast wordt benadrukt dat investeringen vanuit het onderwijs en het kabinet noodzakelijk zijn om schaars AI-talent voor Nederland te behouden.

Aan de conferentie nemen circa 1.500 deelnemers en 83 delegaties deel, waaronder vertegenwoordigers van de Verenigde Staten en China. Een belangrijk onderdeel van de gesprekken richt zich op het opbouwen van vertrouwen op operationeel niveau tussen landen die AI toepassen binnen hun strijdkrachten. De intentie is dat de gemaakte afspraken uiteindelijk verder worden uitgewerkt binnen NAVO- en VN-verbanden.

Bron