Cyberoorlog nieuws

Cyberbeveiligingsonderzoekers hebben details bekendgemaakt van een nieuwe, China-gelinkte spionagecampagne. Deze campagne richt zich op overheid en defensie sectoren in Zuid-, Oost en Zuidoost-Azië, evenals op één Europees NAVO-land, journalisten en activisten.

Trend Micro heeft de activiteit toegeschreven aan een cluster van dreigingsactoren dat het volgt onder de tijdelijke aanduiding SHADOW-EARTH-053. Deze groep is vermoedelijk al minstens sinds december 2024 actief en vertoont enige netwerkoverlap met CL-STA-0049, Earth Alux en REF7707. De aanvallers exploiteren N-dag kwetsbaarheden in met internet verbonden Microsoft Exchange en Internet Information Services (IIS) servers, zoals de ProxyLogon-keten. Vervolgens plaatsen zij webshells zoals Godzilla voor persistente toegang en implementeren zij ShadowPad-implantaten via DLL side-loading van legitieme, ondertekende uitvoerbare bestanden.

De landen die het doelwit waren van deze campagnes omvatten Pakistan, Thailand, Maleisië, India, Myanmar, Sri Lanka en Taiwan. Het enige Europese land dat voorkomt in de slachtofferlijst van de dreigingsactor is Polen. Trend Micro merkte op dat bijna de helft van de SHADOW-EARTH-053 doelwitten, met name in Maleisië, Sri Lanka en Myanmar, eerder ook waren gecompromitteerd door een gerelateerde inbraakgroep genaamd SHADOW-EARTH-054, hoewel er geen bewijs is van directe operationele coördinatie.

De aanvallen beginnen met het misbruiken van bekende beveiligingslekken om ongepatchte systemen binnen te dringen en webshells zoals Godzilla te plaatsen. Deze webshells faciliteren persistente toegang op afstand en maken uitvoering van commando's en verkenning mogelijk, wat uiteindelijk resulteert in de implementatie van de ShadowPad-backdoor via AnyDesk, gelanceerd met DLL side-loading. In ten minste één geval zou het misbruik van de React2Shell (CVE-2025-55182) de distributie van een Linux-versie van Noodle RAT (ook bekend als ANGRYREBEL en Nood RAT) hebben gefaciliteerd. De Google Threat Intelligence Group (GTIG) heeft deze aanvalsketen gelinkt aan de groep UNC6595. Er worden ook open source tunneling tools gebruikt zoals IOX, GO Simple Tunnel (GOST) en Wstunnel, evenals RingQ om kwaadaardige binaire bestanden te verpakken en detectie te omzeilen. Voor de escalatie van privileges maakt SHADOW-EARTH-053 gebruik van Mimikatz, terwijl laterale beweging wordt gerealiseerd met een aangepaste launcher voor Remote Desktop Protocol (RDP) en een C# implementatie van SMBExec genaamd Sharp-SMBExec.

Trend Micro adviseert organisaties om prioriteit te geven aan het toepassen van de nieuwste beveiligingsupdates en cumulatieve patches voor Microsoft Exchange en alle webapplicaties die op IIS worden gehost. Indien onmiddellijke patching niet haalbaar is, wordt aanbevolen Intrusion Prevention Systems (IPS) of Web Application Firewalls (WAF) te implementeren met regels die specifiek zijn afgestemd op het blokkeren van exploitpogingen tegen deze bekende CVE's (virtuele patching).

Daarnaast heeft Citizen Lab een nieuwe phishingcampagne gemeld, uitgevoerd door twee afzonderlijke China-gelinkte dreigingsactoren, gericht op journalisten en maatschappelijke organisaties, waaronder Oeigoerse, Tibetaanse, Taiwanese en Hongkongse diaspora-activisten. Deze campagnes, codenaam GLITTER CARP en SEQUIN CARP, werden respectievelijk in april en juni 2025 gedetecteerd. GLITTER CARP viseerde onder andere het International Consortium of Investigative Journalists (ICIJ), terwijl SEQUIN CARP zich richtte op ICIJ-journalist Scilla Alecci en andere internationale journalisten die schreven over onderwerpen van kritiek belang voor de Chinese overheid. De actoren gebruiken doordachte digitale impersonatieschema's in phishing-e-mails, inclusief het imiteren van bekende individuen en beveiligingswaarschuwingen van techbedrijven. De campagnes maken gebruik van dezelfde infrastructuur en tactieken, waarbij vaak dezelfde domeinen en geïmiteerde individuen worden hergebruikt.

GLITTER CARP is, naast grootschalige phishingaanvallen, ook in verband gebracht met phishingcampagnes gericht op de Taiwanese halfgeleiderindustrie. Sommige aspecten hiervan werden eerder in juli 2025 door Proofpoint gedocumenteerd onder de naam UNK_SparkyCarp. SEQUIN CARP (ook bekend als UNK_DualTone) vertoont overeenkomsten met een groep die door Volexity wordt gevolgd als UTA0388 en een inbraakgroep die door Trend Micro als TAOTH wordt beschreven. Het uiteindelijke doel van deze campagnes is het verkrijgen van initiële toegang tot e-mailaccounts via het stelen van inloggegevens, phishingpagina's of door middel van social engineering om het doelwit toegang te laten verlenen tot een OAuth-token van derden. Phishing-e-mails van GLITTER CARP bevatten ook 1x1 trackingpixels die naar een URL op het aanvallersdomein verwijzen om apparaatinformatie te verzamelen en te bevestigen of de e-mails zijn geopend.

Citizen Lab merkte een gelijktijdige targeting van specifieke organisaties op, zowel met de AiTM phishingkit (GLITTER CARP, UNK_SparkyCarp) als met de levering van HealthKick via verschillende phishingtactieken door een afzonderlijke groep (UNK_DropPitch). Dit duidt op enige overlap tussen deze groepen, hoewel de precieze aard van de relatie onbekend blijft. De analyse van Citizen Lab toont aan dat digitale transnationale repressie steeds meer opereert via een gedistribueerd netwerk van actoren, en de geïdentificeerde doelwitten sluiten aan bij de inlichtingprioriteiten van de Chinese overheid.

Bron: Trend Micro | Bron 2: github.com | Bron 3: citizenlab.ca

Een cyber-spionagegroep, bekend onder de naam HeartlessSoul, heeft zich gericht op Russische overheidsinstanties en bedrijven in de luchtvaartsector om gevoelige geospatiale data te stelen. De groep is minstens sinds september 2025 actief en voert cyberaanvallen uit om Russische organisaties en individuele gebruikers te infiltreren. Dit meldden onderzoekers van het Russische securityfirma Kaspersky in een recent rapport.

De aanvallers lijken bijzonder geïnteresseerd in het verkrijgen van geografische informatiesysteem (GIS)-data. Dit zijn gespecialiseerde bestandsformaten die gedetailleerde informatie kunnen bevatten over infrastructuur zoals wegen, technische netwerken, terrein en potentieel strategische faciliteiten. Dergelijke bestanden worden veelvuldig gebruikt door ingenieursbureaus, overheidsorganisaties en industriële bedrijven, en kunnen gedetailleerde kaartgegevens bevatten. Volgens de onderzoekers toont de analyse van HeartlessSoul's activiteiten een gerichte interesse van de aanvallers in Russische industriële ondernemingen met als doel het verkrijgen van vertrouwelijke, met name geospatiale, informatie.

De hackers verkrijgen voornamelijk toegang via phishing-e-mails met geïnfecteerde archiefbestanden. Daarnaast voeren ze malafide advertentiecampagnes uit die websites imiteren die software aanbieden die in luchtvaartsystemen wordt gebruikt. Op deze manier worden slachtoffers misleid om geïnfecteerde installatieprogramma's te downloaden. In sommige gevallen creëerden de aanvallers domeinen die luchtvaartgerelateerde bronnen nabootsten en gebruikten deze om malware te verspreiden, vermomd als legitieme software. Eenmaal gedownload, starten de bestanden automatisch het infectieproces.

De onderzoekers ontdekten ook dat de groep het legitieme software-hostingplatform SourceForge gebruikte om malware te verspreiden. Daar uploaden de aanvallers een nepversie van GearUP, een dienst die is ontworpen om de verbindingskwaliteit in online games te verbeteren. Gebruikers die naar deze tool zochten, konden in plaats daarvan een kwaadaardig archief downloaden dat spyware installeerde. Eenmaal op het apparaat van een slachtoffer kan de malware uitgebreide data verzamelen, waaronder schermafbeeldingen, toetsaanslagen, browserdata en op het systeem opgeslagen bestanden. Het kan ook inloggegevens extraheren uit de berichtenapp Telegram en de locatie van het apparaat bepalen.

Tijdens hun onderzoek identificeerden de Kaspersky-onderzoekers ook verbanden tussen HeartlessSoul en een andere hackinggroep genaamd Goffee, die eerder Russische systemen had aangevallen en bekend stond om het stelen van gevoelige bestanden van USB-sticks die waren aangesloten op geïnfecteerde computers. Deze overlap kan duiden op gecoördineerde of gerelateerde operaties. Hoewel Kaspersky stelde dat de luchtvaartindustrie het hoofddoel was van HeartlessSoul's recente campagne, merkte de onafhankelijke Russische cybersecurity-analist Oleg Shakirov op dat de door de onderzoekers beschreven malware ook werd verspreid via bestanden die waren vermomd als FPV-drone-simulators en tools die zijn ontworpen om beperkingen op de satellietinternetservice Starlink te omzeilen. Indien bevestigd, zou dit kunnen suggereren dat de aanvallen niet alleen gericht waren op luchtvaartbedrijven, maar ook op drone-operators, communicatiespecialisten of ander militair personeel.

Bron: Kaspersky | Bron 2: securelist.ru

Cybercrimeinfo zag op het darkweb en sociale media dat de met Iran verbonden hacktivistengroep 313 Team verantwoordelijkheid heeft opgeëist voor een aanhoudende DDoS aanval op Canonical en Ubuntu. Canonical, het Britse bedrijf achter de populaire Linux distributie Ubuntu, bevestigde de aanval zelf in een verklaring op 1 mei 2026 en sprak van een aanhoudende, grensoverschrijdende aanval op zijn webinfrastructuur.

De aanval startte rond 30 april 2026 en raakte een groot aantal centrale diensten van Canonical, waaronder de hoofdwebsite, de mondiale Ubuntu downloadmirrors, de pakketbeheerder Launchpad, de Snap store, het Canonical Single Sign On systeem en de Ubuntu Security API met informatie over kwetsbaarheden en beveiligingsadviezen. Door de uitval lopen patchprocessen, geautomatiseerde beveiligingscontroles en softwareupdates vertraging op bij organisaties die afhankelijk zijn van deze diensten.

313 Team, voluit bekend als Islamic Cyber Resistance in Iraq, opereert sinds eind 2023 en wordt door verschillende analisten in verband gebracht met het Iraanse Ministerie van Inlichtingen en Veiligheid. De groep coördineert acties via Telegram en richtte zich eerder op platforms als Truth Social, ebay Japan en Verenigde Staten, en BlueSky. Volgens berichten op het darkweb stuurde de groep aanvullend een afpersingsbericht naar Canonical via een Session contact ID, met een dreigement om de aanval voort te zetten zolang er niet wordt gereageerd.

Voor Nederlandse en Belgische organisaties die op Ubuntu draaien betekent de uitval dat tijdige toegang tot beveiligingsupdates onder druk komt te staan. Het gebruik van eigen interne mirrors voor pakketten, het tijdelijk uitstellen van niet-kritieke installaties en het volgen van Canonical via alternatieve communicatiekanalen helpt om de gevolgen te beperken zolang de aanval voortduurt.

Bron: Cybercrimeinfo darkweb-onderzoek

De luchtvaartsector wordt steeds vaker geconfronteerd met significante verstoringen van GPS signalen, een direct gevolg van elektronische oorlogsvoering. Deze interferentie, die signalen verstoort of vervalst, leidt tot ongewone en potentieel gevaarlijke situaties in cockpits wereldwijd. Piloten en luchtvaartexperts melden dat vliegtuigen te maken krijgen met valse alarmen die waarschuwen voor naderend terrein, terwijl de toestellen zich op een veilige vlieghoogte bevinden.

Volgens een rapportage van CNN worden dagelijks naar schatting honderden vluchten over de hele wereld getroffen door deze GPS interferentie. De verstoringen zijn niet beperkt tot specifieke geografische gebieden, maar manifesteren zich breed, wat duidt op een wijdverspreide dreiging voor de operationele veiligheid van commerciële en andere vluchten. Deze incidenten benadrukken de kwetsbaarheid van moderne navigatiesystemen voor externe, kwaadwillende beïnvloeding en de noodzaak voor luchtvaartmaatschappijen en regelgevende instanties om hun procedures en technologieën hierop aan te passen.

Bron: BNR Nieuwsradio

Een geavanceerde, aan China gelinkte Advanced Persistent Threat (APT)-groep, bekend als UAT-8302, is verantwoordelijk gehouden voor aanvallen op overheidsinstanties in Zuid-Amerika sinds eind 2024 en op overheidsinstanties in Zuidoost-Europa in 2025. Cisco Talos volgt deze activiteiten en rapporteert over de inzet van op maat gemaakte malwarefamilies die ook door andere Chinese hackgroepen worden gebruikt.

Een van de opvallende malwarefamilies is een op .NET gebaseerde backdoor genaamd NetDraft, ook bekend als NosyDoor. Dit is een C# variant van FINALDRAFT (Squidoor), die eerder in verband is gebracht met dreigingsclusters zoals Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug en REF7707. ESET volgt het gebruik van NosyDoor door een groep die het LongNosedGoblin noemt. Opmerkelijk is dat dezelfde malware ook is ingezet tegen Russische IT-organisaties door een dreigingsactor genaamd Erudite Mogwai (Space Pirates en Webworm), die door het Russische cybersecuritybedrijf Solar de naam LuckyStrike Agent heeft gekregen.

UAT-8302 maakt ook gebruik van andere tools, waaronder CloudSorcerer, een backdoor die sinds mei 2024 is waargenomen bij aanvallen op Russische entiteiten. SNOWLIGHT, een VShell stager, wordt gebruikt door UNC5174, UNC6586 en UAT-6382. Deed RAT (Snappybee), een opvolger van ShadowPad, en Zingdoor zijn beide eind 2024 door Earth Estries ingezet. Draculoader, een generieke shellcode loader, wordt gebruikt om Crowdoor en HemiGate te leveren.

Onderzoekers van Talos, Jungsoo An, Asheer Malhotra en Brandon White, stelden in een technisch rapport vast dat de door UAT-8302 ingezette malware de groep verbindt met verschillende eerder publiekelijk bekendgemaakte dreigingsclusters. Dit wijst op een zeer nauwe operationele relatie tussen deze groepen. De diverse kwaadaardige artefacten die door UAT-8302 zijn ingezet, duiden erop dat de groep toegang heeft tot tools die worden gebruikt door andere geavanceerde APT-actoren, die allemaal door verschillende externe sectorrapporten als China-gelinkt of Chinees-sprekend zijn beoordeeld.

De initiële toegangsmethoden die de aanvallers gebruiken om netwerken binnen te dringen, zijn momenteel onbekend, maar er wordt vermoed dat dit via beproefde methoden gebeurt, zoals het misbruiken van zero-day en N-day exploits in webapplicaties. Na het verkrijgen van toegang voeren de aanvallers uitgebreide verkenningen uit om het netwerk in kaart te brengen, gebruiken ze open-source tools zoals gogo voor geautomatiseerd scannen en bewegen ze lateraal door de omgeving. De aanvalsketens culmineren in de implementatie van NetDraft, CloudSorcerer (versie 3.0) en VShell.

UAT-8302 is ook waargenomen bij het gebruik van een op Rust gebaseerde variant van SNOWLIGHT, genaamd SNOWRUST, om de VShell payload van een externe server te downloaden en uit te voeren. Naast het gebruik van aangepaste malware, zet de dreigingsactor alternatieve backdoor-toegangsmiddelen op met behulp van proxy en VPN tools zoals Stowaway en SoftEther VPN.

De bevindingen benadrukken de trend van geavanceerde samenwerkingstactieken tussen meerdere aan China gelinkte groepen. In oktober 2025 heeft Trend Micro een fenomeen belicht dat bekend staat als "Premier Pass-as-a-Service". Hierbij wordt initiële toegang die door Earth Estries is verkregen, doorgegeven aan Earth Naga voor verdere exploitatie, wat de inspanningen voor attributie bemoeilijkt. Deze samenwerking wordt geschat sinds ten minste eind 2023 te bestaan. Volgens Trend Micro biedt "Premier Pass-as-a-Service" directe toegang tot kritieke activa, waardoor de tijd die wordt besteed aan verkenning, initiële exploitatie en laterale beweging wordt verkort. Hoewel de volledige omvang van dit model nog niet bekend is, suggereren het beperkte aantal waargenomen incidenten en het aanzienlijke risico van blootstelling dat een dergelijke dienst met zich meebrengt, dat de toegang waarschijnlijk beperkt is tot een kleine kring van dreigingsactoren.

Bron: Cisco Talos | Bron 2: github.com | Bron 3: blog.talosintelligence.com

Een China-gelieerde dreigingsgroep, bekend als SHADOW-EARTH-053, maakt misbruik van niet-gepatchte kwetsbaarheden in Microsoft Exchange servers. Het doel is cyberespionage tegen overheden en aan defensie gerelateerde doelwitten in Azië en daarbuiten. De activiteiten van de groep dateren van minstens december 2024 en omvatten campagnes in minstens acht landen, gericht op ministeries, defensiecontractanten, IT-adviesbureaus en transportorganisaties in Zuid-Azië, Oost-Azië en Zuidoost-Azië. Opvallend is dat ook een NAVO-lidstaat in Europa, Polen, tot de doelwitten behoorde, wat wijst op een bredere strategische aanwezigheid buiten de Aziatische regio.

Trend Micro-analisten Daniel Lunghi en Lucas Silva identificeerden deze campagne door een analyse van ShadowPad-implantaten die gericht waren op Zuid-Azië en Zuidoost-Azië. Zij volgden de activiteiten onder de tijdelijke intrusiesetnaam SHADOW-EARTH-053 en beoordelen deze als in lijn met de bredere strategische belangen van China. De onderzoekers constateerden aanzienlijke overlappingen met een gerelateerde intrusieset, SHADOW-EARTH-054, waarvan de activiteiten vaak maanden voorafgingen aan de implementatie van ShadowPad-implantaten. Beide sets deelden identieke toolhashes en overlappende tactieken, technieken en procedures (TTP's). Gezien de doelwitprofielen en operationele patronen, beoordelen de onderzoekers deze operaties primair gericht op cyberespionage en diefstal van intellectueel eigendom.

De belangrijkste aanvalsvector omvat het misbruiken van N-day (bekende maar niet-gepatchte) kwetsbaarheden in via internet toegankelijke Microsoft Exchange en Internet Information Services (IIS) servers. Specifiek maakte SHADOW-EARTH-053 gebruik van de ProxyLogon-keten van kwetsbaarheden, waaronder CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. Hoewel deze kwetsbaarheden al jaren oud zijn, bleven ze effectieve toegangspunten in omgevingen met verouderde of niet-gepatchte Exchange-installaties. Dit bevestigt dat organisaties die geen patches hebben toegepast een aanzienlijk risico lopen op compromittering van mailboxen, diefstal van inloggegevens en langdurige toegang voor aanvallers.

De impact van deze campagne is aanzienlijk. De groep slaagde erin ministeries, aan defensie gerelateerde IT-contractanten en transportorganisaties in minstens acht landen te compromitteren. In sommige gevallen gebruikte SHADOW-EARTH-053 de toegang tot de Exchange server van het slachtoffer om een snap-in voor Exchange-beheer te installeren. Vervolgens werden waardevolle mailboxen geïnventariseerd en de inhoud ervan geëxporteerd met behulp van een aangepaste ExchangeExport-tool via de Exchange Web Services (EWS) API, een techniek die Microsoft eerder heeft waargenomen bij Silk Typhoon (Hafnium)-operaties.

De belangrijkste malware die door SHADOW-EARTH-053 wordt gebruikt, is ShadowPad, een geavanceerd modulair implantaat dat sinds 2017 voor het eerst werd gebruikt door APT41 en later vanaf 2019 werd gedeeld onder meerdere China-gelieerde intrusiesets. De door deze groep ingezette variant mist de geavanceerde obfuscatiemechanismen en anti-debugging-functies die bij builds van andere groepen worden gezien, wat suggereert dat SHADOW-EARTH-053 alleen toegang heeft tot een oudere builder in plaats van de broncode zelf. Bij de waargenomen intrusies gebruikte de groep consequent een laadmechanisme met drie bestanden om ShadowPad te implementeren. Dit mechanisme bestaat uit een legitiem ondertekend uitvoerbaar bestand dat kwetsbaar is voor DLL-sideloading, een kwaadaardige DLL die de payload van schijf of uit het Windows-register laadt, en een versleutelde ShadowPad-payload die in het register wordt opgeslagen en na het eerste gebruik wordt verwijderd. De groep misbruikte uitvoerbare bestanden van software die is ondertekend door erkende leveranciers, waaronder Samsung Electronics en Mainline Net Holdings, om de sideloading-activiteit te maskeren. Een belangrijke loader die in deze campagne werd gebruikt, betrof een legitiem Toshiba Bluetooth Stack-uitvoerbaar bestand dat werd hernoemd naar CIATosBtKbd.exe om een kwaadaardige DLL genaamd TosBtKbd.dll te sideloaden. Deze loader haalt zijn payload uit het Windows-register in plaats van deze in het binaire bestand in te sluiten, waarbij GetComputerNameA wordt aangeroepen om de host te identificeren en toegang te krijgen tot een machinespecifieke registersleutel op HKEY_CURRENT_USER\Software.

Organisaties die via internet toegankelijke Microsoft Exchange of IIS-infrastructuur gebruiken, dienen de volgende stappen te ondernemen op basis van de onderzoeksbevindingen:

*   Pas onmiddellijk de nieuwste beveiligingsupdates en cumulatieve patches toe op Microsoft Exchange en alle webapplicaties die op IIS worden gehost.

*   Waar onmiddellijke patching niet mogelijk is, implementeer Intrusion Prevention Systems (IPS) of Web Application Firewalls (WAF) met regels die zijn afgestemd op het blokkeren van exploitpogingen tegen bekende CVE's.

*   Implementeer strikte File Integrity Monitoring (FIM) op kritieke webdirectory's zoals C:\inetpub\wwwroot en Exchange Client Access-paden, met alerts geconfigureerd voor het maken of wijzigen van uitvoerbare server-side scripts (.aspx, .ashx, .jsp).

*   Zorg ervoor dat het IIS-workerproces (w3wp.exe) met de laagst mogelijke privileges wordt uitgevoerd en geen administratieve rechten heeft of de mogelijkheid om naar willekeurige directory's te schrijven.

*   Verwijder onnodige IIS-modules en handlers die niet nodig zijn voor bedrijfsvoering om het aanvalsoppervlak te verkleinen.

*   Handhaaf application whitelisting-beleid dat voorkomt dat het IIS-proces ongeautoriseerde binaire bestanden of script-interpreters start.

*   Stel alerts in voor wanneer het IIS-workerproces command-shells (cmd.exe, powershell.exe) of reconnaissance-tools (whoami.exe, net.exe) start, aangezien dit een zeer betrouwbare indicator is van remote code execution.

*   Monitor onverwachte uitgaande verbindingen die door de webserver zijn geïnitieerd, wat kan duiden op command-and-control (C2)-communicatie.

*   Monitor en beperk de toegang tot directory's die vaak worden gebruikt als staging grounds, waaronder C:\ProgramData, C:\Users\Public, C:\PerfLogs en C:\Windows\Temp.

Bron: Trend Micro

De Noord-Koreaanse hackersgroep APT37, ook bekend als ScarCruft en Ricochet Chollima, verspreidt een variant voor Android van de backdoor BirdCall via een supply chain aanval op een videogameplatform. Hoewel BirdCall reeds bekend is als backdoor voor systemen met Windows, heeft APT37 een variant voor Android ontwikkeld die functioneert als spyware.

Volgens onderzoekers van cybersecuritybedrijf ESET creëerde de dreigingsactor de BirdCall-variant voor Android rond oktober 2024 en heeft deze inmiddels ten minste zeven versies ontwikkeld. De aanvallen die ESET waarnam, leverden de malware via sqgame[.]net, een Chinese website die games aanbiedt voor Android, iOS en Windows. De onderzoekers stelden echter vast dat alleen systemen met Android en Windows het doelwit zijn van de ScarCruft-aanvallen. Het specifieke platform richt zich op Koreanen in de autonome Yanbian-regio in China, een gebied dat fungeert als oversteekpunt voor Noord-Koreaanse overlopers en vluchtelingen.

BirdCall is een bekende malwarefamilie die sinds 2021 wordt geassocieerd met ScarCruft. De versie voor Windows kan toetsaanslagen registreren, schermafbeeldingen maken, data van het klembord stelen, bestanden exfiltreren en commando's uitvoeren. De campagne die door ESET is geïdentificeerd, introduceert een eerder ongedocumenteerde versie van BirdCall die is ontwikkeld voor Android. Deze werd geleverd door APK-bestanden op sqgame[.]net te trojaniseren.

De Android-variant van BirdCall beschikt over de volgende mogelijkheden:

*   Het extraheert IP-geolocatie-informatie.

*   Het verzamelt contactlijsten, oproeplogboeken en SMS-berichten.

*   Het verzamelt informatie over het besturingssysteem van het apparaat, de kernel, de rooted status, het IMEI-nummer, het MAC-adres, het IP-adres en netwerkinformatie.

*   Het stuurt informatie naar de C2-server over de batterijtemperatuur, RAM, opslag, cloudconfiguratie, de backdoor-versie en interessante bestandsextensies (.jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a en .p12).

*   Het maakt periodiek schermafbeeldingen.

*   Het neemt audio op via de microfoon van 19:00 tot 22:00 uur lokale tijd.

*   Het speelt een stille MP3 in een lus af om het opschorten van het proces te voorkomen.

*   Het exfiltreert bestanden uit een gespecificeerde directory.

De analyse van ESET toont aan dat de Android-versie van BirdCall nog niet alle commando's bevat die aanwezig zijn in de versie voor Windows. Ontbrekende mogelijkheden op Android zijn onder meer de uitvoering van shell-commando's, verkeer proxyen, het richten op data van browsers en messenger-apps, het verwijderen en droppen van bestanden, en het beëindigen van processen. Op systemen met Windows begint de infectieketen met de installatie van een getrojaniseerde DLL (mono.dll) die RokRAT downloadt en uitvoert, waarna de Windows-versie van BirdCall wordt geïnstalleerd.

ScarCruft staat bekend om het gebruik van een breed scala aan op maat gemaakte malware, waaronder THUMBSBD, dat Windows systemen die zijn afgeschermd van het netwerk aanvalt, de KoSpy malware voor Android die eerder Google Play infiltreerde, de M2RAT-malware die werd gebruikt bij gerichte spionageaanvallen, en de Dolphin mobiele backdoor. Om het risico op malware-infecties te minimaliseren, wordt gebruikers geadviseerd software alleen te downloaden via officiële marktplaatsen en websites van vertrouwde uitgevers.

Bron: ESET | Bron 2: welivesecurity.com

Cybercrimeinfo ontdekte op een darkwebforum een onbevestigde claim waarbij een dreigingsactor beweert een database met gegevens van 8,5 miljoen Oekrainse burgers te verkopen voor 200 dollar via Telegram. De bewering omvat namen, telefoonnummers en geboortedata van rond 500.000 personen.

De lage vraagprijs en het ontbreken van een duidelijke bronorganisatie of herkomst wekken twijfels over de authenticiteit. De data kan bestaan uit samengesteld materiaal van eerdere lekken, telecomgegevens of openbare bronnen, samengebracht onder een geopolitiek label. Er is geen verifieerbaar schermmonster beschikbaar gesteld.

Toch geldt dat zelfs gedeeltelijk accurate data met geboortedatum, naam en telefoonnummer risicos oplevert voor gerichte phishing, simkaartfraude en identiteitsmisbruik. In de context van het aanhoudende conflict vormt dit type data ook een risico voor inlichtingenvergaring en gerichte bedreigingen.

Bron: Cybercrimeinfo darkweb-onderzoek

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuw initiatief, CI Fortify, gelanceerd. Het doel is organisaties in de kritieke infrastructuur voor te bereiden op technologische en telecommunicatiestoringen als gevolg van cyberaanvallen. CISA publiceerde een gids waarin deze organisaties worden aangespoord om zich voor te bereiden op het functioneren tijdens een crisis of conflict, en om diensten te blijven leveren, zelfs wanneer zij worden aangevallen.

CI Fortify richt zich op isolatie en herstelinspanningen. Dit houdt in dat organisaties proactief de verbinding verbreken met afhankelijkheden van derden en manieren vinden om te opereren zonder betrouwbare telecommunicatie en internet. Het document benadrukt tevens de noodzaak om snel gecompromitteerde systemen te herstellen, ook in isolatie.

Volgens Nick Andersen, waarnemend directeur van CISA, biedt CI Fortify "tijdige, bruikbare richtlijnen die organisaties helpen hun netwerken en kritieke diensten te beschermen tegen cyberdreigingsactoren die infrastructuur willen aantasten of verstoren." Andersen kondigde aan dat CISA gerichte beoordelingen zal uitvoeren bij organisaties in de kritieke infrastructuur. Het doel is dat organisaties gedetailleerde noodplannen en systemen van operationele technologie (OT) hebben die gesegmenteerd en geïsoleerd zijn van andere delen van een netwerk.

Het initiatief wordt gepresenteerd als een middel om recente hackcampagnes van natiestaten te bestrijden, zoals de Volt Typhoon cyberaanvallen. Hierbij positioneerden Chinese dreigingsactoren zich in de kritieke infrastructuur van de Verenigde Staten om destructieve cyberacties mogelijk te maken bij een militair conflict. Een CISA-advies uit 2024 over de Volt campagne van Typhoon wordt als eerste link op de CI Fortify-website gedeeld. Hoewel Amerikaanse functionarissen in 2023 aangaven alle Chinese hackers uit de Amerikaanse kritieke infrastructuur te willen verwijderen, waarschuwen onderzoekers dat deze hackers nog steeds diep ingebed zijn.

Andersen benadrukte dat de CI Fortify-inspanning niet specifiek gericht is op één enkele natiestaatactor, maar ontworpen is om "de potentiële destructieve impact op operationele technologie door elke natiestaatactor te voorkomen." Hij merkte op dat het initiatief, naast de Chinese Volt campagne van Typhoon, ook tactieken zou aanpakken die werden gebruikt tijdens vermeende Russische cyberaanvallen op netwerken voor operationele technologie in Polen eerder dit jaar.

Cybersecurity expert Matthew Hartman verklaarde dat het verdrijven van dreigingsactoren zoals Volt Typhoon, die al diep zijn ingebed, geen onmiddellijke, deterministische uitkomst meer is. "Evictie blijft het doel, maar kan niet de enige strategie zijn. Prioriteit geven aan segmentatie en veerkracht is een pragmatische verschuiving, uitgaande van compromittering en het beperken van de impact, in plaats van een voortdurend terugkerende dreiging achterna te jagen."

Daarnaast is kunstmatige intelligentie (AI) een belangrijke zorg die de verschuiving naar CI Fortify heeft versneld. Andersen sprak over de toenemende snelheid en de manier waarop AI de aard van de impact voor cyberverdedigers zal veranderen, zowel voor kritieke infrastructuur en operationele technologie als voor traditionele informatietechnologie. Recente gevallen, zoals gemeld door incidentresponsfirma Dragos, laten zien dat hackers modellen met kunstmatige intelligentie gebruiken om grote delen van cyberinbraken uit te voeren, bijvoorbeeld bij een gemeentelijk waterleidingbedrijf in Monterrey, Mexico.

Bron: CISA | Bron 2: gambit.security | Bron 3: dragos.com

De Iraanse hackergroep MuddyWater, ook bekend als Static Kitten, Mango Sandstorm en Seedworm, heeft recentelijk operaties uitgevoerd waarbij Chaos ransomware werd ingezet als afleidingsmanoeuvre. Dit is ontdekt door onderzoekers van Rapid7, die op basis van infrastructurele overlappingen, specifieke code-ondertekeningscertificaten en operationele tactieken de aanvallen met matige zekerheid toeschrijven aan MuddyWater. De groep staat bekend als een door de staat gesponsorde cyber-spionagegroep die banden heeft met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).

De aanval startte met social engineering via Microsoft Teams. Aanvallers initieerden chats met werknemers, zetten schermdeelsessies op, stalen inloggegevens, manipuleerden multi-factor authenticatie (MFA) instellingen en installeerden in sommige gevallen AnyDesk voor externe toegang. Credentialdiefstal vond plaats via phishingpagina's die zich voordeden als Microsoft Quick Assist of door slachtoffers te verleiden hun wachtwoorden in lokale tekstbestanden in te voeren.

Na het compromitteren van accounts kregen de aanvallers toegang tot interne systemen, waaronder een domein controller. Ze zorgden voor persistentie met behulp van RDP, DWAgent en AnyDesk. Vervolgens gebruikten ze een malware loader (ms_upd.exe) om een op maat gemaakte backdoor (Game.exe) te installeren, die zich voordeed als een Microsoft WebView2-applicatie. Deze malware bevat anti-analyse- en anti-VM-controles en ondersteunt twaalf commando's, waaronder het uitvoeren van PowerShell- en CMD-commando's, het uploaden en verwijderen van bestanden, en persistente shell-toegang.

Hoewel de aanval credentialdiefstal, persistentie, externe toegang, data exfiltratie, afpersings-e-mails en een vermelding op het Chaos lekportaal omvatte, wijzen de gebruikte infrastructuur en technieken op MuddyWater. Rapid7 vermoedt dat de ransomware-component waarschijnlijk werd gebruikt om de werkelijke cyber-spionageoperatie te verhullen en de toeschrijving te bemoeilijken. De strategie benadrukt de convergentie tussen door de staat gesponsorde intrusieactiviteiten en criminele methoden, waarbij de primaire doelstelling niet financiële winst was. MuddyWater heeft in het verleden al ransomware ingezet om spionageactiviteiten te maskeren, zoals eind 2025 met Qilin ransomware tegen een Israëlische organisatie. De onderzoekers suggereren dat de dreigingsgroep mogelijk is overgestapt op een andere ransomware-merknaam na de toeschrijving van die eerdere aanval aan MOIS-operatives.

Chaos is een ransomware-as-a-service (RaaS) operatie die in 2025 ontstond en bekendstaat om zijn 'big-game hunting' aanvallen, dubbele afpersingstactieken en social engineering campagnes, voornamelijk gericht op organisaties in de Verenigde Staten.

Bron: Rapid7 | Bron 2: blog.talosintelligence.com | Bron 3: hubs.li

Onderzoek van Trend Micro heeft een grootschalige cyberspionagecampagne aan het licht gebracht die wordt uitgevoerd door de dreigingsgroep Shadow-Earth-053, een entiteit die gelieerd is aan de Chinese staat. Deze campagne richt zich specifiek op overheidsinstanties, bedrijven in de defensiesector en kritieke infrastructuur in verschillende landen in Azië, alsook in een lidstaat van de NAVO, namelijk Polen.

De activiteiten van Shadow-Earth-053 zijn terug te traceren tot december 2024. De groep maakt misbruik van bekende, maar nog ongepatchte, kwetsbaarheden in Microsoft Exchange en IIS servers. Specifiek wordt de zogenaamde ProxyLogon-keten ingezet, bestaande uit de kwetsbaarheden CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. Door deze lekken te exploiteren, verkrijgen de aanvallers toegang tot de getroffen systemen, waarna zij webshells zoals GODZILLA installeren. Dit vormt de opstap naar de verdere installatie van de ShadowPad-malware.

De campagne omvat ten minste acht landen, waarbij de doelwitten variëren van ministeries en defensiebedrijven tot IT consultants en transportorganisaties. Het primaire doel van Shadow-Earth-053 is cyberspionage en de diefstal van intellectueel eigendom. De aanhoudende focus op strategische sectoren in diverse regio's, waaronder een NAVO-lid, onderstreept de geopolitieke aard van deze dreiging en de noodzaak voor organisaties om hun systemen proactief te patchen tegen reeds bekende kwetsbaarheden.

Bron: Trend Micro | Bron 2: thehackernews.com

Iraanse staatshackers zetten de Chaos ransomware in als dekmantel voor spionage en diefstal van gegevens. Dit blijkt uit nieuw onderzoek van cybersecuritybedrijf Rapid7. Incidentresponders Alexandra Blia en Ivan Feigl van Rapid7 publiceerden een rapport over een recente inbraak die aanvankelijk leek op een Chaos aanval met ransomware. Later bleek de aanval echter toe te schrijven aan MuddyWater, een Iraanse APT-groep die gelieerd is aan het Ministerie van Inlichtingen en Veiligheid (MOIS) van het land.

Volgens de onderzoekers weerspiegelt het gebruik van de Chaos ransomware een consistente poging om operationele intenties te verhullen en attributie te bemoeilijken. Hoewel het vermijden van attributie een gemeenschappelijk kenmerk is van staatsgelieerde actoren, heeft de toegenomen operationele activiteit van MuddyWater sinds begin 2026 waarschijnlijk geleid tot een intensivering van hun afhankelijkheid van misleidende valse vlag-operaties. Deze activiteiten omvatten voornamelijk cyberspionage en potentiële voorpositionering voor disruptieve operaties binnen Westerse en Midden-Oosterse netwerken.

De Chaos ransomware-operatie bestaat sinds februari 2025. Cybersecurity-experts vermoeden dat deze is gecreëerd door voormalige leden van de inmiddels opgeheven BlackSuit en Royal ransomware-groepen. Rapid7 gaf weinig informatie over het slachtoffer van het incident, maar vermeldde wel dat de hackers initiële toegang verkregen via een social engineering-campagne met Microsoft Teams. De aanvallers namen contact op met medewerkers via externe chatverzoeken en startten één-op-één-gesprekken. Uiteindelijk wisten ze een schermdeelsessie met het slachtoffer op te zetten, waarbij de hacker toegang kreeg tot bestanden met betrekking tot VPN-configuraties en de slachtoffers vroeg om inloggegevens in te voeren.

De dreigingsactoren implementeerden ook een remote management tool om diepere toegang tot het systeem van het slachtoffer mogelijk te maken. Na een onbekende periode stuurden de hackers meerdere e-mails naar medewerkers van het bedrijf, waarin ze dreigden gestolen gegevens te lekken als er geen losgeld werd betaald. Het afpersingsproces was onhandig, maar de hackers publiceerden later gestolen gegevens die door het bedrijf als legitiem werden bevestigd, aldus de onderzoekers. Rapid7 merkte op dat de afwezigheid van bestandsencryptie een andere inconsistentie was die hen deed twijfelen aan de ware dader achter de aanval.

De onderzoekers vonden bergen technisch bewijs dat wees op het Iraanse MOIS. De ingezette malware en gebruikte certificaten kwamen overeen met de toolkit die doorgaans wordt gebruikt door de Iraanse MuddyWater hackinggroep. De infrastructuur die bij de aanval werd gebruikt, was eerder door beveiligingsleveranciers gekoppeld aan een andere MuddyWater-campagne die in maart organisaties in het Midden-Oosten en Noord-Afrika trof. Blia en Feigl voegden eraan toe dat het incident de toenemende convergentie tussen staatsgesponsorde inbraakactiviteiten en cybercriminele methoden benadrukt.

Vorig jaar legden onderzoekers al een verband tussen MuddyWater en het Qilin ransomware-ecosysteem, nadat deze stam werd gebruikt om een Israëlische organisatie aan te vallen. Die aanval werd uiteindelijk direct toegeschreven aan het Iraanse MOIS, wat mogelijk heeft geleid tot de adoptie van het Chaos ransomware-merk door de hackers om "attributierisico te verminderen en een zekere mate van plausibele ontkenning te behouden," aldus Rapid7. Meerdere nationaal-statelijke groepen uit China, Rusland, Noord-Korea en Iran zijn waargenomen bij het adopteren van het ransomware-as-a-service (RaaS) framework, hetzij als dekmantel voor spionageaanvallen, hetzij als middel om verstoringen bij tegenstanders te veroorzaken. Ransomware stelt staatsactoren in staat om motieven te vervagen, wat de attributie door westerse wetshandhavingsinstanties en cyberverdedigers bemoeilijkt.

Onderzoekers waarschuwden in februari dat Noord-Koreaanse staatshackers de Medusa ransomware gebruiken bij aanvallen. In verschillende andere gevallen is ransomware gebruikt als dekmantel voor Chinese spionageactiviteiten. Wetshandhavingsinstanties hebben ook gevallen gezien waarin Iraanse staatshackers hun officiële toegang gebruikten om later financieel gemotiveerde aanvallen uit te voeren, als onderdeel van een poging om hun hackingvaardigheden te gelde te maken. De FBI meldde eerder dat zij getuige waren van Iraanse actoren die samenwerkten met affiliates van de NoEscape, Ransomhouse en AlphV ransomware-operaties, waarbij zij uiteindelijk een percentage van de losgeldbetalingen ontvingen. Bij het begin van de kinetische vijandelijkheden tussen Iran en de Verenigde Staten was er een golf van cyberactiviteit, waaronder vermeende ransomware aanvallen en wiper-incidenten die door Iraanse actoren werden gelanceerd. Een Amerikaanse gezondheidsorganisatie werd eind februari getroffen door de Iraanse Pay2Key ransomware en een prominent medisch hulpmiddelenbedrijf leed wekenlang schade na een cyberaanval door Iraanse hackers.

Bron: Rapid7 | Bron 2: recordedfuture.com

De Poolse binnenlandse inlichtingendienst, de Agencja Bezpieczeństwa Wewnętrznego (ABW), heeft in een recent openbaar rapport gewaarschuwd dat waterbehandelingsinstallaties in vijf Poolse steden in 2025 zijn aangevallen. In sommige gevallen kregen de aanvallers toegang tot industriële controlesystemen, wat de watervoorziening had kunnen verstoren. De getroffen locaties waren Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko en Sierakowo.

Volgens het ABW-rapport hadden de aanvallers, door toegang te krijgen tot de industriële controlesystemen, de mogelijkheid om technische parameters van apparatuur te wijzigen. Dit creëerde een "direct risico" voor de continuïteit van de watervoorziening. Hoewel de ABW de incidenten niet publiekelijk heeft toegeschreven aan een specifieke groep of land, stelt het rapport dat Polen in 2024 en 2025 te maken kreeg met een toename van vijandige cyberactiviteit, met "bijzondere nadruk op de speciale diensten van de Russische Federatie."

Eerder had de Poolse cybersecurity publicatie CyberDefence24 al diverse incidenten bij waterfaciliteiten in verband gebracht met een pro-Russische hacktivistische groep. Deze groep publiceerde propagandavideo's van hun inbraken online. Zo werd gemeld dat aanvallers bij één faciliteit instellingen met betrekking tot pompen en alarmen wijzigden na toegang te hebben verkregen tot een beheerdersaccount.

Het ABW-rapport beschrijft Rusland als zijnde bezig met een langdurige campagne gericht op het destabiliseren van NAVO-landen en Europese Unie staten. De Russische inlichtingendiensten zouden grootschalige verkenningen in Polen hebben uitgevoerd ter voorbereiding op sabotageoperaties gericht op militaire locaties, kritieke infrastructuur en openbare voorzieningen. Incidenten zoals een hack van het communicatienetwerk van de nationale spoorwegen en een storing van het luchtverkeersleidingssysteem van het land hebben herhaaldelijk bezorgdheid gewekt over Russische pogingen om het normale leven in Polen te ontwrichten.

Na de arrestatie van tientallen verdachten in vermeende aan Rusland gerelateerde sabotage , waaronder zaken met brandstichting, verkenning en schade aan spoorweginfrastructuur , verklaarde de Poolse premier, Donald Tusk, dat de regering "meedogenloos zal optreden" tegen iedereen die "direct of indirect de Russische diensten helpt."

Volgens het ABW-rapport evolueren Russische operaties van het gebruik van losjes gerekruteerde online medewerkers voor sabotage naar meer gestructureerde netwerken gekoppeld aan georganiseerde misdaadgroepen. Rekruteurs maakten gebruik van versleutelde berichtenplatforms en betalingen met cryptocurrency om mensen in te huren voor taken die vaak als gewoon werk werden gepresenteerd. De ABW stelde dat cyberdreigingen tegen Polen de afgelopen twee jaar sterk zijn geïntensiveerd. Het overheidsincidentenresponsteam van Polen registreerde meer dan 40.000 meldingen van potentiële cybersecurity-incidenten gedurende de rapportageperiode.

In een ander spraakmakend incident vorig jaar compromitteerden hackers het Poolse staatspersbureau PAP en publiceerden kortstondig een vals bericht waarin werd beweerd dat het land militaire mobilisatie had bevolen. De ABW rapporteerde ook een scherpe toename van spionageonderzoeken die grotendeels verband houden met Rusland en Belarus. In 2025 werden alleen al 48 spionageonderzoeken geopend, vergeleken met zes in 2022, het jaar waarin Rusland Oekraïne binnenviel. Het rapport waarschuwde dat Russische inlichtingendiensten in toenemende mate het risico van burgerslachtoffers bij sabotageoperaties accepteren, en dat sommige van deze activiteiten rampen bij spoor of luchtvaart hadden kunnen veroorzaken. Polen heeft op deze dreiging gereageerd met arrestaties, uitzettingen en diplomatieke maatregelen, waaronder de sluiting van drie Russische consulaten sinds eind 2024.

De publicatie van het rapport markeerde de eerste openbare activiteitenoverzicht van de ABW sinds 2014, vóór de Russische invasie van de Krim. ABW-chef Kolonel Rafał Syrysko verklaarde dat het agentschap van plan is de reguliere openbare rapportage over nationale veiligheidsdreigingen te hervatten.

Bron: Agencja Bezpieczeństwa Wewnętrznego | Bron 2: abw.gov.pl | Bron 3: cyberdefence24.pl

Cybersecurityonderzoekers hebben op de Python Package Index (PyPI)-repository drie pakketten ontdekt die zijn ontworpen om ongemerkt een voorheen onbekende malwarefamilie genaamd ZiChatBot te verspreiden op systemen met Windows en Linux. Deze activiteit wordt door het Russische cybersecuritybedrijf Kaspersky omschreven als een "zorgvuldig geplande en uitgevoerde supply chain aanval via PyPI".

De pakketten, die inmiddels zijn verwijderd, droegen de namen `uuid32-utils` (1.479 downloads), `colorinal` (614 downloads) en `termncolor` (387 downloads). Alle drie de pakketten werden tussen 16 en 22 juli 2025 geüpload naar PyPI. Hoewel de webpagina's van PyPI voor deze pakketten legitieme functionaliteiten beschrijven, is hun ware doel het heimelijk leveren van kwaadaardige bestanden. In tegenstelling tot traditionele malware communiceert ZiChatBot niet met een specifieke command-and-control (C2) server, maar gebruikt het een reeks REST API's van de openbare team chat-app Zulip als zijn C2 infrastructuur.

Op systemen met Windows wordt na installatie van `uuid32-utils` of `colorinal` de kwaadaardige code geactiveerd. Deze code extraheert een DLL dropper met de naam "terminate.dll" en schrijft deze naar de schijf. Zodra deze bibliotheek in een project wordt geïmporteerd, wordt de DLL geladen, waarna deze fungeert als dropper voor ZiChatBot. Vervolgens wordt een auto-run-entry in het Windows Register aangemaakt en wordt code uitgevoerd om zichzelf van de host te verwijderen.

De Linux-versie van de shared object dropper, genaamd "terminate.so", installeert de malware in het pad "/tmp/obsHub/obs-check-update" en configureert een crontab entry. Ongeacht het besturingssysteem waarop het draait, is ZiChatBot ontworpen om shellcode uit te voeren die het ontvangt van de C2 server. Na het uitvoeren van een commando stuurt de malware een hart-emoji als reactie om de server te signaleren dat de bewerking succesvol was.

De identiteit van de daders achter deze campagne is nog niet volledig duidelijk. Kaspersky heeft echter opgemerkt dat de dropper een "64% overeenkomst" vertoont met een andere dropper die werd gebruikt door OceanLotus (ook bekend als APT32), een hackersgroep die gelieerd is aan Vietnam. Eind 2024 werd deze dreigingsactor waargenomen bij het aanvallen van de Chinese cybersecuritygemeenschap met besmette Visual Studio Code projecten. Deze projecten camoufleerden zich als Cobalt Strike plugins om een trojan te leveren die automatisch werd uitgevoerd bij het compileren van het project, waarbij de notitie-app Notion als C2 werd gebruikt.

Kaspersky suggereert dat, indien de PyPI supply chain campagne inderdaad het werk is van OceanLotus, dit een uitbreiding van de doelgroepstrategie van de dreigingsactor vertegenwoordigt. De groep verkent actief nieuwe methoden om slachtoffers te compromitteren via diverse supply chain aanvallen, naast hun veelgebruikte methode van phishing e-mails.

Bron: Kaspersky

Iran ervaart momenteel een langdurige internetonderbreking die vandaag de zeventigste dag ingaat, wat neerkomt op meer dan 1656 uur zonder stabiele digitale connectiviteit. Deze aanhoudende blackout heeft verstrekkende gevolgen voor de bevolking en de economie van het land.

Digitale connectiviteit is van cruciaal belang, vooral in tijden van crisis. Het beperken van internetdiensten treft degenen die het meest kwetsbaar zijn en het hardst hulp nodig hebben. Specifiek worden mensen met een beperking, studenten, kleine bedrijven en het algemene publiek ernstig benadeeld door het gebrek aan toegang tot online middelen en communicatiemogelijkheden. De verstoring van essentiële digitale diensten belemmert onderwijs, economische activiteiten en de mogelijkheid voor burgers om informatie te verkrijgen en te delen. De exacte reden of oorzaak van de blackout wordt niet verder gespecificeerd in de monitoring, maar de impact op het dagelijks leven en de maatschappelijke functies is aanzienlijk.

Bron: NetBlocks

Een pro-Oekraïense hacktivistengroep, bekend als BO Team, lijkt zijn cyberoperaties te coördineren met een andere groep, Head Mare, bij aanvallen gericht op Russische organisaties. Dit blijkt uit een recent rapport. Onderzoekers van het in Moskou gevestigde cybersecuritybedrijf Kaspersky hebben overlappende infrastructuur en tools geïdentificeerd die door beide groepen worden gebruikt. Hieronder vallen command-and-control systemen die opereren op dezelfde gecompromitteerde host, wat duidt op een zekere mate van coördinatie.

Eerdere rapporten van Kaspersky gaven aan dat BO Team, ook bekend als Black Owl, autonomer opereerde dan andere pro-Oekraïense hacktivistengroepen, met eigen middelen en benaderingen voor het inzetten van kwaadaardige tools. Tot op heden was er onvoldoende bewijs van interactie van de groep met andere hacktivisten. In eerdere campagnes heeft BO Team samengewerkt met de Oekraïense militaire inlichtingendienst, onder meer bij aanvallen gericht op een belangrijke Russische droneleverancier, de federale digitale handtekeningautoriteit van het land en een wetenschappelijk onderzoekscentrum.

Zowel BO Team als Head Mare richten hun activiteiten op Russische en Wit-Russische doelwitten, maar tot nu toe was er weinig operationeel bewijs dat de groepen met elkaar in verband bracht. Een mogelijk scenario van samenwerking, volgens Kaspersky, is een multi-stage aanval. Hierbij verkrijgt Head Mare initiële toegang tot het netwerk van een slachtoffer via phishing, waarna BO Team malware inzet om de toegang uit te breiden en verdere operaties uit te voeren.

BO Team verscheen voor het eerst begin 2024 via een Telegram-kanaal en heeft zich sindsdien gepositioneerd naast andere pro-Oekraïense hacktivistengroepen. De groep heeft het afgelopen jaar zijn capaciteiten uitgebreid en is verschoven van voornamelijk destructieve aanvallen naar meer covert operaties, waaronder cyberspionage. In het eerste kwartaal van 2026 heeft de groep twintig organisaties aangevallen, waarbij de focus verschoof van zorginstellingen naar bedrijven in de productie, telecommunicatie en de olie en gassector. De aanvallers gebruiken doorgaans gerichte phishing-e-mails met kwaadaardige bestanden, vermomd als legitieme documenten, om initiële toegang te verkrijgen. Ze zetten vervolgens backdoors zoals BrockenDoor in, evenals andere malware waaronder Remcos en DarkGate. Volgens de onderzoekers blijft BO Team een serieuze en continu evoluerende dreiging in het Russische cyberdreigingslandschap.

Head Mare, dat in 2023 op het sociale platform X verscheen, staat bekend om het gebruik van eigen aangepaste malware, waaronder PhantomDL en PhantomCore, en om het exploiteren van recent bekendgemaakte kwetsbaarheden in phishingcampagnes. Hoewel de exacte aard van de relatie tussen de twee groepen onduidelijk blijft, wijzen de onderzoekers erop dat de overlap in infrastructuur en tools op zijn minst een zekere mate van coördinatie in operaties tegen Russische organisaties aantoont.

Bron: Kaspersky | Bron 2: securelist.ru | Bron 3: securelist.com

Een dreigingsactor beweert interne documenten te hebben gepubliceerd die zouden toebehoren aan de Russische nucleaire faciliteit Mining and Chemical Combine, onderdeel van staatsbedrijf Rosatom. Naar verluidt gaat het om geredigeerde interne documenten waarvan de zwarte vlakken zijn verwijderd, die gedeeld worden via ondergrondse kanalen. De authenticiteit van de documenten is niet onafhankelijk geverifieerd en de mogelijke operationele impact is onbekend.

Bron: Cybercrimeinfo

De Belarus-gelinkte dreigingsgroep Ghostwriter, ook bekend onder namen als FrostyNeighbor, PUSHCHA en UNC1151, wordt verantwoordelijk gehouden voor een nieuwe reeks aanvallen op overheidsorganisaties in Oekraïne. Ghostwriter is al sinds minstens 2016 actief en staat bekend om cyberespionage en beïnvloedingsoperaties gericht op Oost-Europese landen.

Volgens een rapport van ESET, gedeeld met The Hacker News, voert FrostyNeighbor voortdurend cyberoperaties uit, waarbij de toolset, compromisketen en methoden om detectie te omzeilen regelmatig worden bijgewerkt. Eerdere aanvallen van de groep maakten gebruik van de malwarefamilie PicassoLoader, die vervolgens Cobalt Strike Beacon en njRAT afleverde. Eind 2023 misbruikte de dreigingsactor ook een kwetsbaarheid in WinRAR (CVE-2023-38831, CVSS-score: 7.8) om PicassoLoader en Cobalt Strike te verspreiden. Vorig jaar was Ghostwriter betrokken bij een phishingcampagne tegen Poolse entiteiten, waarbij een cross-site kwetsbaarheid in Roundcube (CVE-2024-42009, CVSS-score: 9.3) werd uitgebuit om kwaadaardige JavaScript uit te voeren en e-mailinloggegevens te bemachtigen.

In sommige gevallen werden de buitgemaakte inloggegevens gebruikt om mailboxen te analyseren, contactlijsten te downloaden en het gecompromitteerde account te misbruiken voor verdere phishingberichten, aldus een rapport van CERT Polska uit juni 2025. Tegen het einde van 2025 begon de groep ook anti-analyse technieken toe te passen, waarbij lokaasdocumenten afhankelijk waren van dynamische CAPTCHA-controles om de aanvalsketen te activeren.

De meest recente activiteiten, waargenomen sinds maart 2026, omvatten het gebruik van links in kwaadaardige PDF-bestanden die via spear-phishingbijlagen naar overheidsentiteiten in Oekraïne werden gestuurd. Dit leidde uiteindelijk tot de implementatie van een JavaScript-versie van PicassoLoader om Cobalt Strike te droppen. De PDF-lokaasdocumenten bleken de Oekraïense telecommunicatiebedrijf Ukrtelecom na te bootsen. De infectiesequentie omvat een geofencing-controle, waarbij een goedaardig PDF-bestand wordt aangeboden aan slachtoffers waarvan het IP-adres niet overeenkomt met Oekraïne. De ingebedde link in het PDF-document levert een RAR-archief met een JavaScript-payload, die een lokaasdocument toont terwijl PicassoLoader op de achtergrond wordt gestart. De downloader is ook ontworpen om de gecompromitteerde host te profileren, waarna de operators handmatig kunnen besluiten een derde-fase JavaScript-dropper voor Cobalt Strike Beacon te sturen. Het systeemprofiel wordt elke 10 minuten naar de door de aanvaller gecontroleerde infrastructuur verzonden, zodat de dreigingsactor kan beoordelen of het slachtoffer van belang is. De activiteiten lijken zich voornamelijk te richten op militaire, defensiesector en overheidsorganisaties in Oekraïne, terwijl de slachtoffers in Polen en Litouwen veel breder zijn, gericht op industriële en productie-, gezondheidszorg en farmaceutische, logistieke en overheidssectoren.

Tegelijkertijd is de aan Rusland gelinkte hackergroep Gamaredon sinds september 2025 in verband gebracht met een spear-phishingcampagne tegen Oekraïense staatsinstellingen. Deze campagne had tot doel de downloadermalware GammaDrop en GammaLoad te verspreiden via RAR-archieven die misbruik maken van CVE-2025-8088. Ook zijn pro-Oekraïense hacktivistische groepen, zoals BO Team (Black Owl), actief tegen Russische organisaties, mogelijk in samenwerking met Head Mare (PhantomCore). De BO aanvallen met Team in 2026 gebruikten spear-phishing om BrockenDoor en ZeronetKit te verspreiden, waarbij laatstgenoemde ook Linux systemen kan compromitteren. Een eerder ongedocumenteerde Go-gebaseerde backdoor, ZeroSSH, is ook waargenomen in deze aanvallen.

Bron: Kaspersky | Bron 2: nvd.nist.gov | Bron 3: welivesecurity.com

Het Kazuar-botnet, een geavanceerde malwarefamilie die wordt toegeschreven aan de Russische staatsactor Secret Blizzard, heeft een significante ontwikkeling doorgemaakt. Wat begon als een relatief traditionele backdoor, is geëvolueerd naar een modulair peer-to-peer (P2P) botnet-ecosysteem. Deze transformatie is gericht op het verkrijgen van langdurige en heimelijke toegang tot doelwitsystemen voor het verzamelen van inlichtingen, ter ondersteuning van de Russische buitenlandse politiek en militaire doelstellingen.

Secret Blizzard heeft historisch gezien organisaties in de overheids en diplomatieke sector in Europa en Centraal-Azië aangevallen, evenals systemen in Oekraïne die eerder door Aqua Blizzard waren gecompromitteerd. De recente upgrade van Kazuar naar een modulair botnet onderstreept de inspanningen van Secret Blizzard om veerkracht en onzichtbaarheid direct in hun tooling te integreren. Waar veel dreigingsactoren afhankelijk zijn van het toenemende gebruik van native tools (living-off-the-land binaries of LOLBins) om detectie te omzeilen, kiest Secret Blizzard voor een architectuur die de detecteerbare voetafdruk minimaliseert.

De functionaliteit van Kazuar is verdeeld over drie afzonderlijke moduletypen: Kernel, Bridge en Worker. Externe communicatie wordt beperkt tot één gekozen leider binnen het botnet, waardoor het volume aan extern verkeer van meerdere geïnfecteerde hosts wordt verminderd. Deze architectuur zorgt voor flexibele taaktoewijzing, datastaging en meerdere fallback-kanalen voor command-and-control (C2). Defensie kan zich hierdoor richten op gedragingen die het botnet operationeel houden, zoals leiderschapsverkiezingen, inter-proces communicatie (IPC), staging van de werkdirectory en periodieke exfiltratie.

Kazuar wordt verspreid via diverse dropper-varianten. Een veelvoorkomende methode is de Pelmeni-dropper, die de versleutelde payload van de tweede fase direct in de dropper insluit als een versleutelde byte-array. Deze payload is vaak gebonden aan de doelomgeving, bijvoorbeeld versleuteld met de hostnaam van het doelwit, zodat deze alleen op de beoogde host wordt gedecodeerd en uitgevoerd. Een andere methode maakt gebruik van een kleine .NET-loader die samen met de uiteindelijke payload wordt ingezet. De dropper roept vervolgens de loader aan, vaak geconfigureerd als een COM-object, en levert de gedecodeerde payload, waardoor de Kazuar-modules kunnen worden geladen en uitgevoerd.

De Kernel-module fungeert als centrale coördinator van het botnet. Deze module deelt taken uit aan de Worker-modules, beheert de communicatie met de Bridge-module en onderhoudt logboeken van acties en verzamelde gegevens. Vroeg in de uitvoering voert de Kernel-module uitgebreide anti-analyse en sandbox-controles uit, zoals het controleren op de aanwezigheid van een debugger of het vergelijken van systeemtijden. De configuratie van Kazuar, die tot 150 verschillende typen kan omvatten en is onderverdeeld in acht functionele categorieën, is nu ingebed in de samples en kan op elk moment worden bijgewerkt vanaf de C2-server.

Voor interne communicatie maakt Kazuar gebruik van Named Pipes, Mailslot en ALPC. Externe communicatie verloopt via HTTP/HTTPS, DNS en RAW TCP/UDP, vaak met redundante of fallback-opties. De unieke leider per botnet-architectuur, waarbij de leider wordt gekozen via Mailslot op basis van de looptijd versus herstarts, minimaliseert de zichtbaarheid van het botnet. Alleen de gekozen leider communiceert extern met de Bridge-module, terwijl andere Kernel-modules in een 'SILENT'-modus opereren, maar wel deelnemen aan interne IPC voor verkiezingen en statusupdates.

Bron: Microsoft Security

De Russische hackinggroep Turla, die volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) gelieerd is aan Centrum 16 van de Federale Veiligheidsdienst (FSB) van Rusland, heeft haar geavanceerde Kazuar-backdoor omgevormd tot een modulair peer-to-peer (P2P) botnet. Deze ontwikkeling stelt de groep in staat om langdurige toegang tot systemen te verkrijgen voor het verzamelen van inlichtingen. Turla is ook bekend onder de namen ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug en WRAITH.

De groep staat bekend om haar aanvallen op overheids-, diplomatieke en defensiesectoren in Europa en Centraal-Azië. Ook worden systemen misbruikt die eerder zijn gecompromitteerd door Aqua Blizzard (ook bekend als Actinium en Gamaredon) om de strategische doelstellingen van het Kremlin te ondersteunen. De transformatie van Kazuar, een geavanceerde .NET backdoor die sinds 2017 wordt gebruikt, werd gedetailleerd beschreven in een recent rapport van de Microsoft Threat Intelligence teams.

Volgens Microsoft is de upgrade van Kazuar in lijn met het bredere doel van Secret Blizzard om langdurige toegang tot systemen te verkrijgen voor inlichtingenverzameling. Waar veel dreigingsactoren vertrouwen op het toenemende gebruik van native tools (living-off-the-land binaries of LOLBins) om detectie te omzeilen, laat de ontwikkeling van Kazuar tot een modulair botnet zien hoe Secret Blizzard veerkracht en stealth direct in hun tooling inbouwt.

Het rapport van Microsoft brengt de evolutie van Kazuar in kaart van een "monolithisch" framework naar een modulair bot-ecosysteem met drie verschillende componenttypen, elk met goed gedefinieerde rollen:

*   **Kernel:** Dit is de centrale coördinator van het botnet. De Kernel-module geeft taken aan Worker-modules, beheert de communicatie met de Bridge-module, onderhoudt logs van acties en verzamelde gegevens, voert controles uit om analyse en sandboxing te omzeilen, en stelt de omgeving in door middel van een configuratie die diverse parameters specificeert met betrekking tot command-and-control (C2) communicatie, timing van data-exfiltratie, taakbeheer, bestandsscan en -verzameling, en monitoring.

*   **Bridge:** Deze module fungeert als proxy tussen de leidende Kernel-module en de C2-server.

*   **Worker:** De Worker-module logt toetsaanslagen, haakt in op Windows-gebeurtenissen, volgt taken en verzamelt systeeminformatie, bestandslijsten en Messaging Application Programming Interface (MAPI) details.

Aanvallen die de malware verspreiden, maken gebruik van droppers zoals Pelmeni en ShadowLoader om de modules te decoderen en te lanceren. De Kernel-module exposeert drie interne communicatiemechanismen (via Windows Messaging, Mailslot en named pipes) en drie verschillende methoden voor contact met de infrastructuur van de aanvaller (via Exchange Web Services, HTTP en WebSockets). De component "kiest" ook een enkele Kernel-leider om namens de andere Kernel-modules met de Bridge-module te communiceren. Deze verkiezingen vinden plaats via Mailslot, waarbij de leider wordt gekozen op basis van de hoeveelheid werk (looptijd van de Kernel-module) gedeeld door onderbrekingen (reboots, logoffs, beëindigde processen).

Het uiteindelijke doel van de Kernel-module is het opvragen van nieuwe taken van de C2-server, het parseren van inkomende berichten, het toewijzen van taken aan de Worker-module, het bijwerken van de configuratie en het terugsturen van de resultaten van de taken naar de server. De module bevat ook een taakhandler die het mogelijk maakt om commando's van de Kernel-leider te verwerken.

Gegevens die door de Worker-module zijn verzameld, worden vervolgens geaggregeerd, versleuteld en naar de werkmap van de malware geschreven, vanwaar ze worden geëxfiltreerd naar de C2-server. Kazuar gebruikt een speciale werkmap als een centrale, tijdelijke opslaglocatie op schijf om interne operaties tussen modules te ondersteunen. Deze map wordt gedefinieerd via configuratie en wordt consequent gebruikt met volledig gekwalificeerde paden om dubbelzinnigheid tussen uitvoeringscontexten te voorkomen. Binnen de werkmap organiseert Kazuar gegevens per functie, waarbij taken, verzamelde output, logs en configuratiemateriaal worden geïsoleerd in afzonderlijke locaties. Dit ontwerp stelt de malware in staat om taakuitvoering los te koppelen van gegevensopslag en -exfiltratie, operationele status te behouden bij herstarts en asynchrone activiteit tussen modules te coördineren, terwijl directe interactie met externe infrastructuur wordt geminimaliseerd.

**

Bron: Microsoft

Bijna veertienduizend gebruikers van de chat app Signal zijn het doelwit geweest van een geavanceerde phishingaanval. Het doel van de aanvallers was om toegang te verkrijgen tot accounts en de bijbehorende berichten. Donncha Ó Cearbhaill, spyware-onderzoeker en hoofd van het Security Lab van Amnesty International, heeft deze bevindingen gedeeld. De afgelopen maanden hebben diverse inlichtingendiensten, waaronder de Nederlandse AIVD en MIVD, al gewaarschuwd voor dergelijke phishingaanvallen.

De Nederlandse inlichtingendiensten hebben aangegeven dat in het kader van deze campagne ook chat accounts van Nederlandse ambtenaren zijn gecompromitteerd. De FBI heeft bovendien gemeld dat wereldwijd duizenden Signal accounts zijn overgenomen. De aanvallers doen zich bij deze phishingpogingen voor als een 'Support chatbot' van Signal. Via deze methode proberen zij verificatiecodes en pincodes van hun doelwitten te ontfutselen, waarmee zij de controle over het gebruikersaccount kunnen overnemen. Daarnaast maken de aanvallers misbruik van de functionaliteit binnen Signal voor het koppelen van apparaten. Doelwitten worden hierbij gevraagd een QR code te scannen, wat de aanvallers in staat stelt mee te lezen met de communicatie, terwijl het slachtoffer de controle over het eigen account behoudt.

Ó Cearbhaill deelde via het online platform X dat hij zelf ook een van de doelwitten was. De onderzoeker beweert begin dit jaar inzicht te hebben gekregen in de campagne, waarbij hij ontdekte dat op dat moment al 13.700 Signal-gebruikers waren aangevallen. Hij heeft niet bekendgemaakt hoe hij deze informatie heeft verkregen. Volgens Ó Cearbhaill waren onder andere Europese politici en journalisten het doelwit van deze aanvallen. Het Duitse magazine Der Spiegel rapporteerde, op basis van ontvangen informatie, dat veel van de phishingberichten werden verzonden via Poolse en Nederlandse telefoonnummers. Inlichtingendiensten hebben de aanvallen toegeschreven aan Russische inlichtingendiensten. Recentelijk heeft Signal extra waarschuwingen uitgegeven om gebruikers beter te beschermen tegen phishingpraktijken.

**

Bron: Amnesty International | Bron 2: molly.im | Bron 3: privacyguides.org