• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

• Overzicht maand november 2025

NATO overweegt een meer proactieve benadering in reactie op de steeds intensievere hybride aanvallen van Rusland. Deze aanvallen omvatten onder andere cyberaanvallen, sabotage-operaties en schendingen van het luchtruim. NATO-functionarissen hebben zelfs de mogelijkheid van een zogenaamde "preventieve aanval" op Russische doelwitten in overweging genomen.

Admiral Giuseppe Cavo Dragone, voorzitter van de militaire commissie van NATO, verklaarde in een interview met de Financial Times dat de alliantie haar traditionele reactieve houding heroverweegt, nu Europa wordt geconfronteerd met een toename van hybride incidenten die aan Rusland worden toegeschreven. Recente gevallen omvatten het doorsnijden van onderzeese kabels in de Baltische Zee, grootschalige cyberinbreuken over het continent en drone-activiteit nabij de grenzen van bondgenoten.

Dragone benadrukte dat hoewel een offensieve cyberreactie de eenvoudigste optie zou zijn, gezien veel lidstaten over dergelijke capaciteiten beschikken, het reageren op fysieke sabotage of drone-inbraken complexer zou zijn. Hij stelde dat een "preventieve aanval" onder bepaalde omstandigheden als een defensieve actie kan worden beschouwd, hoewel dit verder gaat dan de gebruikelijke manier van denken en handelen binnen NATO.

De zorgen over een te passieve benadering worden gedeeld door diplomaten, vooral uit Oost-Europa, die pleiten voor maatregelen die Rusland kosten zouden opleggen. Zij stellen dat als NATO alleen reactief blijft, Rusland wordt uitgenodigd om door te gaan met aanvallen. Tegelijkertijd wijst NATO op het succes van de operatie Baltic Sentry, die werd opgezet om vitale onderwaterinfrastructuur te beschermen. Deze gezamenlijke maritieme en luchtaanvallen hebben herhaling van de kabeldoorsnijdingsincidenten die in 2023 en 2024 plaatsvonden, voorkomen.

Bron 1, 2

De hacker-groep APT36, die wordt geassocieerd met Pakistan en ook wel bekend is onder de naam Transparent Tribe, heeft een geavanceerde cyberespionagecampagne opgezet gericht op Indiase overheidsinstanties. Deze campagne maakt gebruik van nieuwe, Python-gebaseerde ELF-malware, wat een significante stap vooruit betekent in de capaciteiten van de groep. De groep heeft een verfijnde aanvalsmethode ontwikkeld die specifiek is aangepast voor Linux-besturingssystemen, waarmee ze hun aanvallen kunnen uitbreiden naar een nieuw platform dat veel wordt gebruikt door de Indiase overheid.

De aanval werd uitgevoerd via spear-phishing e-mails, die wapens bevatten in de vorm van schadelijke Linux-snelkoppelingbestanden. Deze bestanden werden zodanig ontworpen dat, wanneer ze werden geopend, de malware in de achtergrond werd gedownload en uitgevoerd zonder dat de gebruiker zich bewust was van de infectie. De malware werd vervolgens geïnstalleerd via een complexe, meerlagige aanvalsmethode die de aanvallers in staat stelde hun aanwezigheid geheim te houden en tegelijkertijd permanente toegang te verkrijgen tot kritieke infrastructuur.

De keuze van APT36 om over te schakelen van Windows naar Linux markeert een strategische wijziging in hun werkwijze. Hoewel de groep eerder vooral gericht was op Windows-systemen, toont deze nieuwe campagne aan dat ze zich nu ook richten op het BOSS-besturingssysteem, dat veelvuldig wordt ingezet binnen Indiase overheidsorganisaties. Dit wijst op een evolutie van hun operationele doctrines, waarbij meerdere platformen worden benut om de effectiviteit van hun aanvallen te vergroten.

De malware maakt gebruik van .desktop-bestanden om de schadelijke payload te verbergen en zo traditionele beveiligingsmaatregelen te omzeilen. Het bestand wordt gepresenteerd als een legitiem Linux-bestand, maar bevat verborgen commando’s die de malware naar het systeem brengen. De malware zelf is een krachtige tool voor het verkrijgen van op afstand toegang, het uitvoeren van willekeurige commando’s, het maken van schermafbeeldingen en het exfiltreren van data. Door gebruik te maken van systemd-gebruikerservices kan de malware zichzelf persistent maken, zodat deze blijft draaien na herstarts van het systeem.

De malware werd verspreid via phishingcampagnes die gebruik maakten van onlangs geregistreerde domeinen en gecompromitteerde servers in verschillende landen. De specifieke domeinen en IP-adressen die werden gebruikt om de payload te leveren, wijzen op een goed geplande en gecoördineerde aanval. De Indiase overheidsinstanties worden geadviseerd om onmiddellijk beveiligingsmaatregelen te versterken, zoals verbeterde e-mailbeveiliging en strikte endpointbeveiliging, om deze voortdurende dreiging te kunnen afweren.

Bron 1

Rusland heeft door de eeuwen heen herhaaldelijk verdragen geschonden, van het Russische rijk tot de moderne Russische Federatie. Dit gedrag heeft niet alleen geopolitieke instabiliteit veroorzaakt, maar heeft ook invloed op de digitale veiligheid van landen over de hele wereld, inclusief Nederland en België. De recente ontwikkelingen in Oekraïne, waaronder de annexatie van de Krim en de steun voor separatisten in het oosten van Oekraïne, zijn voorbeelden van hoe Rusland zich niet houdt aan internationale verdragen, wat heeft bijgedragen aan verhoogde cyberdreigingen en hybride oorlogsvoering in Europa.

Met het toenemende gebruik van cyberaanvallen, desinformatiecampagnes en andere digitale aanvallen door Rusland, moeten Europese landen, waaronder Nederland en België, waakzaam blijven. De onbetrouwbaarheid van Rusland in het naleven van internationale afspraken heeft geleid tot een grotere dreiging voor kritieke infrastructuur en de veiligheid van digitale systemen, wat een directe invloed heeft op de dagelijkse bedrijfsvoering en persoonlijke veiligheid van Europese burgers.

De gevolgen van deze schendingen zijn duidelijk in de huidige geopolitieke context, waar Russische cyberaanvallen een steeds groter onderdeel vormen van de bredere strategie om landen te destabiliseren. Dit heeft niet alleen directe implicaties voor de nationale veiligheid, maar ook voor de bescherming van de digitale infrastructuur in Nederland en België.

Bron 1

Noord-Korea voert een ongekend inlichtingenoperatie uit waarbij ontwikkelaars worden verleid om hun identiteit te verhuren voor illegale fondsenwervingsdoeleinden. Het beruchte Chollima, een onderdeel van de staatsgesponsorde Lazarus-groep van Noord-Korea, staat bekend om zijn social engineering-campagnes waarmee het Westerse bedrijven infiltreert voor spionage en het genereren van inkomsten voor het regime. Deze groep heeft erin geslaagd recruiters te misleiden en banen te verkrijgen bij Fortune 500-bedrijven door gestolen identiteiten te gebruiken en een breed scala aan AI-technologie, waaronder deepfake-video's, in te zetten. Opmerkelijk is dat de betrokkenen niet fysiek aanwezig waren bij sollicitatiegesprekken, omdat zij gebruikmaakten van technieken die hen onzichtbaar hielden voor de camera's.

Een andere tactiek is om legitieme ingenieurs te rekruteren die als figuurlijke voorhoede optreden in de operaties van de Noord-Koreaanse agenten. Deze ingenieurs krijgen de taak om de interacties met bedrijven tijdens sollicitatiegesprekken te verzorgen, waarbij ze een percentage van het salaris ontvangen – tussen de 20% en 35% – gedurende de duur van het contract. Als de ingenieur bereid is om zijn computer aan de agenten ter beschikking te stellen, kan hij een hoger bedrag verdienen. De Noord-Koreaanse agenten gebruiken de computer en de ingenieur als proxy voor hun kwaadaardige activiteiten, zodat hun locatie en sporen niet traceerbaar zijn.

Mauro Eldritch, een hacker en specialist in dreigingsanalyse bij BCA LTD, legt uit dat de ingenieurs die hun identiteit verhuren alle risico’s dragen. Zij zullen verantwoordelijk zijn voor de schade die wordt aangericht, aangezien zij de identiteit hebben verhuurd aan de agenten. Eldritch heeft eerder verschillende ontmoetingen gedocumenteerd met Noord-Koreaanse agenten die op zoek waren naar ingenieurs of ontwikkelaars die snel geld wilden verdienen.

Onlangs ontdekte Eldritch meerdere GitHub-accounts die vol stonden met recruteringsberichten van Famous Chollima. Deze berichten nodigden ingenieurs uit om deel te nemen aan technische sollicitatiegesprekken, waarbij de recruiters een valse identiteit aanboden om de ingenieurs te helpen "effectief" te reageren op interviewers. De technici werden niet verplicht om de technische onderwerpen volledig te beheersen, omdat de recruiter hen zou ondersteunen bij het beantwoorden van vragen.

De onderzoekers gebruikten sandboxdiensten van ANY.RUN om een gesimuleerde laptopfarm te creëren waarmee ze de activiteiten in real-time konden opnemen en later analyseren. In dit gecontroleerde onderzoek reageerde García, een van de onderzoekers, als een beginnende ingenieur op het recruteringsaanbod, met als doel de strategieën en gebruikte tools van de Noord-Koreaanse agenten te ontdekken. Ze stelden vast dat de recruiter onder meer gebruikmaakte van AI-gestuurde extensies zoals AIApply en Final Round AI om sollicitaties in te vullen en real-time reacties tijdens interviews te genereren.

Naast deze AI-tools ontdekte men ook de toepassing van Google Remote Desktop en technieken voor systeemverkenning. In sommige gevallen werd er zelfs een VPN-dienst gebruikt, Astrill VPN, die populair blijkt te zijn onder de Noord-Koreaanse IT-werknemers die zich achter valse identiteiten verschuilen.

Het onderzoek biedt waardevolle inzichten in de tactieken en tools die door de Noord-Koreaanse hackers worden gebruikt om bedrijven te infiltreren en legitieme ingenieurs te misleiden. De gegevens die zijn verzameld kunnen bedrijven helpen zich voor te bereiden op mogelijke infiltratiepogingen, hun werkprocessen te verstoren en hun detectiemethoden te verbeteren, verder dan de traditionele methoden voor malwaredetectie.

Bron 1

Hackers die gelinkt worden aan de Iraanse staat hebben opnieuw toeslagen uitgevoerd op Israëlische entiteiten in verschillende sectoren, waaronder onderwijs, techniek, lokale overheden, productie, technologie, transport en nutsvoorzieningen. De aanvallen maken gebruik van een nieuwe backdoor, genaamd MuddyViper, en omvatten geavanceerde loaders en hulpmiddelen voor het stelen van inloggegevens.

Deze cyberaanvallen worden toegeschreven aan de hacker-groep MuddyWater, ook bekend als Mango Sandstorm of TA450. Deze groep wordt verondersteld verbonden te zijn met het Iraanse Ministerie van Inlichting en Veiligheid (MOIS). De aanvallen hebben niet alleen Israëlische doelwitten getroffen, maar ook een technologiebedrijf in Egypte. Volgens gegevens van de Israëlische Nationale Cyber-directoraat (INCD) richtte MuddyWater zich op verschillende kritieke sectoren, waaronder lokale overheden, civiele luchtvaart, toerisme, gezondheidszorg, telecommunicatie, informatietechnologie en kleine en middelgrote bedrijven.

De aanvalsketens beginnen vaak met spear-phishing en het misbruik van kwetsbaarheden in VPN-infrastructuur om netwerken binnen te dringen. Traditioneel maakt de groep gebruik van legitieme tools voor remote management, zoals Atera, Level, PDQ en SimpleHelp. Sinds mei 2024 bevatten de phishingcampagnes echter een nieuwe backdoor, genaamd BugSleep (ook wel MuddyRot).

De MuddyViper-backdoor maakt het de aanvallers mogelijk om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en inloggegevens van Windows en browserdata te stelen. Het C/C++-gebaseerde MuddyViper ondersteunt twintig verschillende commando’s om toegang en controle over besmette systemen te verkrijgen. Verschillende versies van de loader, genaamd Fooder, imiteren het klassieke Snake-spel en bevatten een vertraagde uitvoering om detectie te vermijden. Het gebruik van Fooder werd voor het eerst in september 2025 onder de aandacht gebracht door Group-IB.

Daarnaast worden andere tools gebruikt, zoals VAXOne, een backdoor die zich voordoet als Veeam, AnyDesk, Xerox en de OneDrive-updater, evenals CE-Notes, een browserdata-steler die probeert de app-gebonden encryptie van Google Chrome te omzeilen. Ook worden de Blub- en LP-Notes-tools ingezet om gebruikersnaam- en wachtwoordinloggegevens te stelen. MuddyWater’s gebruik van deze nieuwe componenten, zoals de Fooder-loader en de MuddyViper-backdoor, geeft aan dat de groep zijn tactieken heeft verbeterd om stealth, persistentie en het verzamelen van inloggegevens te optimaliseren.

De onthulling van deze aanvallen volgt op eerdere aanvallen van een andere Iraanse groep, APT42, die werd gekoppeld aan een espionagecampagne gericht op individuen en organisaties in Israël. Het blijkt dat de verschillende Iraanse hackinggroepen gebruik maken van dezelfde infrastructuur en doelwitten, wat wijst op een gecoördineerde inspanning door de Iraanse staat.

Bron 1

Aan Oekraïne gelinkte hackers hebben hun cyberaanvallen op de Russische luchtvaartindustrie en de bredere defensiesector geïntensiveerd. Dit gebeurt met behulp van op maat gemaakte malware en gerichte spear-phishing om gevoelige informatie zoals ontwerpen, planningen en interne e-mails te stelen. De campagne richt zich zowel op de belangrijkste aannemers als op kleinere leveranciers binnen de sector. Het primaire doel van de operatie is het in kaart brengen van productieketens en het blootleggen van kwetsbaarheden binnen de Russische oorlogsindustrie. De gestolen data, waaronder informatie van onderzoekslaboratoria, testlocaties en logistieke bedrijven die vliegtuigen, drones en raketsystemen ondersteunen, kan inzicht geven in onderdelentekorten, leveringsvertragingen en softwarefouten. Dit biedt Oekraïense planners een duidelijker beeld van de operationele gereedheid van Rusland.

De kwaadaardige software werd voor het eerst opgemerkt eind 2024 in de vorm van spear-phishing golven. Deze e-mails werden gericht verstuurd naar ingenieurs en projectmanagers die werkzaam zijn in avionica, geleidingssystemen en satellietverbindingen. De lokmiddelen bestonden uit valse vacatures, uitnodigingen voor conferenties of updates over contracten. De bijlagen in deze e-mails exploiteerden vaak verouderde kantoorsoftware op Windows-hosts. Na het openen van het bestand, plaatste het een kleine loader die onopgemerkt de weg vrijmaakte voor de hoofd-payload. Beveiligingsanalisten van Intrinsec identificeerden de malware nadat ze herhaaldelijk uitgaand verkeer hadden waargenomen vanuit een afgelegen kantoor van een defensie-integrator naar zeldzame commandoservers die werden gehost op robuuste infrastructuur. Het technische onderzoek toonde aan dat de aanvallers elke payload zorgvuldig hadden afgestemd op de rol van het slachtoffer, door het toevoegen van op maat gemaakte modules voor het verzamelen van e-mails, het stelen van documenten en het vastleggen van inloggegevens.

De infectieketen, hoewel eenvoudig, wordt als intelligent beschouwd. De eerste loader, vaak een kleine DLL, wordt alleen in het geheugen uitgevoerd en haalt een tweede-fase script op via een vooraf gedefinieerde URL. Dit script injecteert vervolgens de uiteindelijke payload in een vertrouwd proces, zoals explorer.exe, waardoor het moeilijker te onderscheiden is van normale gebruikersactiviteit. De payload maakt gebruik van een compacte commandolus om flexibel te blijven. Deze logica stelt de operator in staat om te schakelen tussen stille data-diefstal en handmatige controle. Ondanks het duidelijke ontwerp, vermijdt de malware opzichtige persistentietrucs. In plaats daarvan vertrouwt het op geplande taken en gekaapte updatetools om na herstarts terug te keren, terwijl het moeilijk te detecteren blijft. De gebruikte tools zijn fundamenteel eenvoudig, maar worden ingezet met precisie en planning.

Rapport downloaden