Cyberoorlog nieuws

Gepubliceerd op 1 juli 2026 om 00:00

Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.

Cyberoorlog nieuws

Hybride dreigingen, geopolitieke cyberaanvallen en digitale oorlogsvoering. Gericht op Nederland en België.

Cyberoorlog en hybride oorlogvoering

De nadruk ligt op cyberoperaties van statelijke of aan staten gelieerde actoren die relevant kunnen zijn voor Nederland, België, Europa en NAVO partners.

2.0 Cyberoorlog:

01 juli 2026 | Duitse democratie onder voortdurende aanval volgens inlichtingendienst

De Duitse democratie bevindt zich onder een "voortdurende aanval" en staat onder aanzienlijke druk door een veelheid aan dreigingen, die zowel van binnenuit als van buitenaf het land komen. Deze alarmerende conclusie is afkomstig uit het recent gepubliceerde jaarrapport van de Duitse binnenlandse inlichtingendienst. Volgens het rapport worden de democratische fundamenten van Duitsland ondermijnd door een combinatie van sabotage-activiteiten, geavanceerde spionageoperaties, wijdverspreide desinformatiecampagnes, terrorisme en diverse vormen van extremisme.

De inlichtingendienst benadrukt in zijn analyse dat, hoewel externe krachten een rol spelen in dit complexe dreigingslandschap, de interne gevaren minstens zo prominent zijn. Met name rechts-extremisme wordt in het rapport geïdentificeerd als een aanzienlijk en groeiend probleem dat een directe bedreiging vormt voor de Duitse samenleving en haar democratische instellingen. De bevindingen schetsen een complex beeld van een democratie die zich genoodzaakt ziet zich te weren tegen een breed scala aan hybride dreigingen, waarbij de grenzen tussen traditionele en digitale aanvallen steeds meer vervagen. Dit rapport dient als een belangrijke waarschuwing voor de aanhoudende uitdagingen waarmee Duitsland wordt geconfronteerd op het gebied van nationale veiligheid en democratische stabiliteit in de huidige geopolitieke context.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

03 juli 2026 | Denktank ziet Russisch spionagepatroon in Europese dronewaarnemingen

Een recent rapport van de denktank International Institute for Strategic Studies (IISS) onthult een verontrustend patroon in 144 dronewaarnemingen boven Europa tussen augustus 2024 en februari 2026. Het IISS concludeert dat het "zeer waarschijnlijk" is dat Rusland verantwoordelijk is voor deze grootschalige spionage- en verkenningscampagne, die gericht is op kritieke infrastructuur en militaire faciliteiten.

De waarnemingen veroorzaakten aanzienlijke verstoringen en bezorgdheid in verschillende Europese landen. De Deense premier Mette Frederiksen sprak van de "ernstigste aanval op de Deense kritieke infrastructuur" nadat de luchthaven van Kopenhagen op 22 september bijna vier uur gesloten moest worden na een dronewaarneming, wat leidde tot de verstoring van meer dan 190 vluchten. Het Deense leger zette zelfs een mobiele radarinstallatie in. Ook de luchtmachtbasis van Aalborg, waar Deense speciale eenheden zijn gestationeerd, moest tweemaal het vliegverkeer opschorten. Begin 2025 werden tot twintig drones gesignaleerd boven de haven van Køge, die eerder werd gebruikt voor de ontscheping van NAVO-troepen.

Niet alleen Denemarken, maar ook België, Nederland, Frankrijk en Duitsland werden getroffen door dronewaarnemingen boven strategische locaties zoals luchthavens, energiecentrales en militaire bases. In België werden drones gesignaleerd boven Brussels Airport en de luchtmachtbasis van Kleine Brogel, waarover het federaal parket nog steeds onderzoek voert.

Volgens het IISS gebruikte Moskou waarschijnlijk zijn zogenaamde schaduwvloot om drones te lanceren en terug te halen. Deze conclusie is gebaseerd op een analyse van het scheepvaartverkeer in de omgeving van de incidenten. Zo werd bij de Deense incidenten in het najaar van 2025 de Arctica, een aan Rusland gelieerd schip, in de buurt gesignaleerd, en voer het schip in januari bij de drones boven Køge door Deense wateren. Een ander aan Rusland gelieerd schip, de Hav Dolphin, bevond zich eind 2024 in de buurt van Amerikaanse luchtmachtbasissen boven het Verenigd Koninkrijk, waar voorbereidingen liepen om kernwapens onder te brengen. Dit schip werd eerder al onderzocht door Duitse en Nederlandse autoriteiten na dronewaarnemingen boven een Duitse marinebasis voor onderzeeërs en later bij een incident boven een Franse marinebasis voor nucleaire onderzeeërs. Hoewel directe links tussen specifieke schepen en dronewaarnemingen niet konden worden gelegd, stelt het IISS dat het totale patroon niet verklaard kan worden door verkeerde identificatie of hobbyactiviteiten.

Het IISS wijst erop dat Rusland de capaciteit bezit om drones vanaf schepen te lanceren, verwijzend naar een incident eerder dit jaar waarbij een Russische drone, opgestegen vanaf het spionageschip Zhigulevsk, het Franse vliegdekschip Charles de Gaulle benaderde tijdens een NAVO-oefening, waarna het toestel door het Zweedse leger werd neergehaald.

De analyse toont aan dat 48 procent van de waarnemingen plaatsvond boven militaire faciliteiten, 18 procent boven civiele luchthavens en 26 procent boven kritieke infrastructuur, vaak 's nachts of in de vroege ochtenduren. Het primaire doel van deze campagne is vermoedelijk het in de gaten houden van nucleaire sites en infrastructuur voor tweeërlei gebruik, zoals locaties waar Amerikaanse B61-12-zwaartekrachtbommen zijn opgeslagen, waaronder Kleine Brogel in België. Opvallend is ook dat drones werden gesignaleerd boven militaire faciliteiten die betrokken zijn bij de training van Oekraïense militairen voor Patriot-luchtverdedigingssystemen en F-16-gevechtsvliegtuigen. De denktank suggereert dat het Kremlin met deze campagne een tekort in zijn inlichtingencapaciteit probeert op te vangen, veroorzaakt door de uitzetting van Russische inlichtingenofficieren uit Europa sinds de start van de oorlog in Oekraïne. Het IISS spreekt van "tactische successen" voor het Kremlin en een "strategische mislukking" van de geallieerde luchtverdediging, aangezien het merendeel van de drones niet werd neergehaald.

 

Bron: IISS

03 juli 2026 | Russische spionage met drones boven NAVO-landen, inclusief België en Nederland

De Britse denktank IISS (International Institute for Strategic Studies) stelt dat Rusland anderhalf jaar lang nagenoeg ongestoord spionageactiviteiten met drones heeft kunnen uitvoeren boven ten minste tien Europese NAVO-landen. De denktank heeft 144 incidenten met drones in kaart gebracht, die plaatsvonden tussen augustus 2024 en februari 2026 in dertien landen, waaronder België en Nederland. Ierland, dat geen NAVO-lid is, stond ook op de lijst.

Gedurende deze periode werd in Europa herhaaldelijk alarm geslagen voor de aanwezigheid van drones nabij luchthavens en militaire installaties. Hoewel hard bewijsmateriaal ontbreekt en niet elke melding aan Moskou kan worden toegeschreven, acht IISS het zeer waarschijnlijk dat Rusland een gecoördineerde dronecampagne uitvoerde. De denktank signaleert een duidelijk patroon waarbij drones werden gelanceerd vanaf tankers van de Russische schaduwvloot, vrachtschepen in de buurt van de kust of kleinere vaartuigen.

Het doel van deze campagne zou zijn geweest om kwetsbaarheden rond kritieke infrastructuur in kaart te brengen en het reactievermogen van NAVO-landen te testen. IISS wijst erop dat Rusland, na de uitzetting van vele diplomaten in februari 2022 als gevolg van de invasie in Oekraïne, in toenemende mate afhankelijk is van informatie die door drones wordt verzameld. Het rapport concludeert dat de campagne duidelijke zwakke punten in de Europese luchtverdediging heeft blootgelegd, die grotendeels nog gericht is op conventionele dreigingen.

Zowel België als Nederland zijn getroffen door waarnemingen van drones. De Belgische federale politie en het federaal parket onderzoeken acht dossiers rond zeventien incidenten met drones die zijn waargenomen op militaire bases en luchthavens. Deze Belgische incidenten van vorig jaar waren mogelijk een gevolg van de Russische campagne. Als reactie daarop worden in België drones en hun piloten voortaan verplicht geregistreerd, en wordt het National Air Security Center versterkt.

In Nederland werd in november 2025 het vliegverkeer boven Eindhoven Airport stilgelegd na meldingen van meerdere drones. Vluchten werden vertraagd of omgeleid naar onder meer Rotterdam, Brussel en Weeze. De Nederlandse minister van Defensie, Ruben Brekelmans, bevestigde dat Defensie maatregelen heeft getroffen, maar kon hierover geen verdere details delen om veiligheidsredenen. Ook boven vliegbasis Volkel, de thuisbasis van F-35 gevechtsvliegtuigen, zijn drones waargenomen. De ontslagnemende staatssecretaris van Defensie, Gijs Tuinman, gaf aan dat er middelen zijn ingezet om de drones te verjagen en dat de incidenten "onwijs serieus" worden genomen.

 

Bron: IISS

07 juli 2026 | Russische hackers richten zich steeds vaker op Oekraïense media

Russische hackers richten zich in toenemende mate op Oekraïense mediaorganisaties, zo waarschuwen lokale functionarissen. Nieuwszenders staan onder druk van zowel cyberoperaties als de aanhoudende militaire aanvallen van Rusland. De Oekraïense binnenlandse veiligheidsdienst SBU heeft verklaard dat mediaorganisaties "een van de prioritaire doelwitten" zijn geworden voor Russische cybercriminelen. Eerdere aanvallen waren voornamelijk gericht op het verstoren van uitzendingen, het verspreiden van propaganda en het ondermijnen van het publieke vertrouwen.

Volodymyr Karastelyov, hoofd van de cyberafdeling van de SBU, heeft details bekendgemaakt van twee voorheen ongerapporteerde cyberaanvallen op Oekraïense televisiemaatschappijen. Hij schreef de incidenten niet toe aan specifieke Russische entiteiten. Eerder dit jaar lanceerden Russische hackers een grootschalige distributed denial-of-service (DDoS) aanval tegen een niet nader genoemde landelijke televisiezender in een poging de bedrijfsvoering te ontregelen. De drie uur durende aanval genereerde tot 200.000 verzoeken per minuut vanuit een botnet van gecompromitteerde apparaten. De aanval werd afgeslagen voordat deze zijn doel kon bereiken, aldus Karastelyov.

Bij een ander incident vorig jaar richtten Russische hackers zich op een van de toonaangevende televisiegroepen van Oekraïne. Zij probeerden controle over het platform te krijgen en propaganda te publiceren, vermomd als content van een Oekraïens mediakanaal. Volgens Karastelyov lanceerden de aanvallers een phishingcampagne tegen de informatiesystemen van de omroep, terwijl ze tegelijkertijd probeerden toegang te verkrijgen via verbonden infrastructuur. Ook deze aanval werd beheerst, zo stelde hij.

Sinds de volledige invasie van Oekraïne vier jaar geleden heeft de SBU meer dan 16.000 cyberaanvallen en cyberincidenten geneutraliseerd die gericht waren op Oekraïense overheidsinstanties, financiële instellingen, defensieorganisaties en media. De Oekraïense Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP) meldde vorig jaar in een rapport dat Russische hackers meer dan 200 succesvolle cyberaanvallen hadden uitgevoerd tegen Oekraïense mediaorganisaties sinds het begin van de invasie. De dienst stelde dat de aanvallers een reeks tactieken gebruikten, waaronder phishingcampagnes, DDoS aanvallen, website-defacements, destructieve malware en de ongeautoriseerde publicatie van desinformatie op gecompromitteerde mediaplatforms.

Naast cyberaanvallen hebben Oekraïense mediaorganisaties ook herhaaldelijk fysieke schade opgelopen door Russische raket- en drone aanvallen. De Nationale Unie van Journalisten van Oekraïne heeft in de eerste helft van dit jaar 80 incidenten gedocumenteerd waarbij Russische aanvallen media-infrastructuur beschadigden of journalisten beïnvloedden tijdens hun werkzaamheden. Deze gevallen omvatten vernietigde of beschadigde redacties, beschadigde uitzendinfrastructuur en journalisten die onder Russisch vuur kwamen te liggen tijdens het verslag doen. Het meest recente incident vond deze week plaats, toen het kantoor van het Oekraïense Kanaal 5 voor de tweede keer tijdens de oorlog werd beschadigd. Een aanval op maandag beschadigde de televisiestudio, vernielde een deel van de filmapparatuur van het station en bracht zware schade toe aan de nieuwsredactie, terwijl Rusland die nacht 68 raketten en bijna 400 drones op Oekraïne afvuurde.

 

Bron: SBU | Bron 2: ssu.gov.ua | Bron 3: nsju.org

08 juli 2026 | China-gelinkte dreigingsactor UAT-7810 ontwikkelt nieuwe malware voor ORB-netwerken

Cisco Talos volgt actief de infrastructuur en malware die geassocieerd wordt met UAT-7810, een geavanceerde persistente dreigingsactor (APT). Deze actor is verantwoordelijk voor het onderhouden en verspreiden van het LapDogs Operational Relay Box (ORB)-netwerk, dat voor het eerst werd onthuld door SecurityScorecard in 2025. UAT-7810 heeft waarschijnlijk de taak om ORB-netwerken op te zetten die vervolgens kunnen worden gebruikt door geassocieerde secundaire dreigingsactoren voor hun eigen kwaadaardige aanvallen op waardevolle doelwitten.

De meest recente bevindingen van Talos over UAT-7810 geven aan dat de dreigingsactor doorgaat met het ontwikkelen van hun op maat gemaakte malware, genaamd "SHORTLEASH". Een nieuwere versie, die Talos "LONGLEASH" noemt, wordt al ontwikkeld en gehost op door aanvallers gecontroleerde infrastructuur. Daarnaast hebben de onderzoekers twee nieuwe malwarefamilies ontdekt in het arsenaal van UAT-7810: een backdoor gebaseerd op C, die zij "DOGLEASH" noemen, en een backdoor gebaseerd op Java, genaamd "JARLEASH".

Talos schat met grote zekerheid in dat UAT-7810 een dreigingsactor is met banden met China, gebaseerd op de infrastructuur die het levert aan secundaire APT's met banden met China, zoals UAT-5918. Openbare rapportage heeft ook een overlap in gebruikte tools tussen UAT-5918 en UAT-7810 aangetoond. Talos beschouwt UAT-5918 en UAT-7810 echter als afzonderlijke APT-actoren met hun eigen doelstellingen en doelwitten.

DOGLEASH is een kwaadaardige backdoor die willekeurige shellcode kan uitvoeren op gecompromitteerde Linux-apparaten. Talos heeft ook "LEASHTEST" ontdekt, een Linux-binary (ELF) die wordt gebruikt voor het testen van rudimentaire functionaliteit op ingebedde apparaten met MIPS-architectuur. De bevindingen van Talos illustreren verder dat UAT-7810 ten minste vier nieuwe servers gebruikte om diverse kleine variaties van DOGLEASH te hosten en in te zetten tegen gecompromitteerde doelwitten. Een extra backdoor gebaseerd op Java (JAR-pakket), JARLEASH, werd door UAT-7810 ingezet op ten minste één van de drie servers voor administratieve doeleinden, waaronder bestandsbeheer, FTP, SFTP en Netcat.

UAT-7810 maakt misbruik van reeds bekende kwetsbaarheden. Talos heeft waargenomen dat UAT-7810 voornamelijk bekende kwetsbaarheden in ongepatchte Ruckus draadloze routers uitbuit, een tactiek die UAT-7810 sinds 2025 toepast. De uitgebuitte CVE's omvatten CVE-2020-22653, CVE-2020-22658 en CVE-2023-25717.

Talos ontdekte vier nieuwe servers die door UAT-7810 werden gebruikt om kwaadaardige payloads te hosten voor diverse hardwareplatforms, waaronder MIPS, ARM en x64. De gehoste malware bestaat voornamelijk uit DOGLEASH, en bijbehorende shell-scripts worden uitgevoerd op gecompromitteerde systemen om DOGLEASH te downloaden en uit te voeren. Drie specifieke IP-adressen (194.233.92[.]26, 217.15.160[.]247, 217.15.164[.]147) waren geassocieerd met VPS-instances die aangaven dat UAT-7810 deze servers als downloadlocaties had verworven en gebruikt. Eén van deze IP-adressen, 217.15.164[.]147, werd begin 2026 ook gebruikt als infrastructuur voor de exploitatie van ASUS AiCloud Routers, specifiek CVE-2025-2492. Dit wijst erop dat UAT-7810 of een geassocieerde dreigingsactor waarschijnlijk probeerde hun ORB-netwerk uit te breiden naar AiCloud Routers. De andere twee IP-adressen (194.233.92[.]26 en 217.15.164[.]147) hostten een TLS-server op poort 99 met een specifiek certificaat vingerafdruk en een 'subject_dn' van "C=exploit, ST=exploit, L=exploit, O=exploit, OU=exploit, CN=exploit". Forensische analyse van gecompromitteerde netwerkapparaten leidde tot de ontdekking van een vierde IP-adres (95.182.100[.]231, gevestigd in Hong Kong) dat UAT-7810 gebruikte om hun kwaadaardige payloads te hosten.

LONGLEASH, de nieuwe versie van SHORTLEASH, bevat diverse extra mogelijkheden ten opzichte van zijn voorganger, wat aangeeft dat UAT-7810 deze actief ontwikkelt voor gebruik tegen hun doelwitten. Beide tools zijn intern "ff-agent" genoemd.

 

Bron: Cisco Talos | Bron 2: github.com | Bron 3: nvd.nist.gov

10 juli 2026 | NSA herstelt naam 'Tailored Access Operations' voor elite hackereenheid

De National Security Agency (NSA) heeft de naam van haar elite hackereenheid opnieuw ingevoerd, een term die bekend zal zijn bij iedereen die de geschiedenis van de offensieve cyberoperaties van het spionageagentschap heeft gevolgd. Vorige week wijzigde de NSA de benaming van haar Office of Computer Network Operations (CNO) terug naar Tailored Access Operations (TAO). Deze naam zal bij de bredere digitale gemeenschap nostalgie oproepen naar een groep met wortels in de vroege jaren negentig.

De verandering maakt deel uit van een reorganisatie door de nieuwe leiding van de NSA om het grootste elektronische spionageagentschap ter wereld beter toegerust te maken voor de evoluerende digitale dreigingen van landen als China en Rusland. De stap draait een deel van een eerdere interne herschikking, genaamd NSA21, terug. Die campagne, gelanceerd in 2016, herstructureerde offensieve operaties en inlichtingenverzameling in bredere directoraten, in plaats van TAO als een zelfstandig kantoor te behouden.

NSA Deputy Director Tim Kosiba, die eerder bij TAO werkte, leidde deze recente wijziging. Volgens een voormalig medewerker van het agentschap, die anoniem wenste te blijven, werd NSA21 niet als nuttig beschouwd. De intentie was om ontwikkelaars en operators dichter bij elkaar te brengen, maar ze werden juist gescheiden. De huidige leiding kijkt terug naar de periode van TAO als de hoogtijdagen van de operaties, wat deels de nostalgie verklaart.

De herziene structuur werd vorige week gepresenteerd aan minister van Defensie Pete Hegseth tijdens zijn bezoek aan Fort Meade in Maryland, de thuisbasis van zowel de NSA als het U.S. Cyber Command. De Pentagon-chef deelde een foto van een door hem gesigneerde TAO-pet op zijn officiële X-account. Andere voormalige NSA-medewerkers geloven dat het weer samenbrengen van de twee kanten onder één dak, TAO zal naar verwachting volgende maand een eigen gebouw openen op de Fort Meade-campus, de operaties zal versnellen en de creativiteit zal stimuleren bij het binnendringen van moeilijk toegankelijke netwerken, met name door de opkomst van kunstmatige intelligentie.

Een woordvoerder van de NSA verklaarde dat TAO een krachtige identiteit herstelt die diepgaand heeft weerklonken. TAO heeft een sterke geschiedenis van missieresultaten en de NSA eert deze geschiedenis en gebruikt het gewicht ervan om het agentschap de toekomst in te stuwen.

Zoals de naam al suggereert, ontwikkelt en implementeert TAO tools die op maat zijn gemaakt om computernetwerken van buitenlandse doelwitten te penetreren voor spionagedoeleinden. Het creëert hiervoor implantaten en andere methoden die volledig zijn gecodeerd in software die het zelf ontwikkelt. De geheime eenheid hielp onder meer bij het ontwerpen van het cyberwapen Stuxnet, dat werd gebruikt om het kernprogramma van Iran te saboteren.

De eenheid kwam ongeveer tien jaar geleden in de schijnwerpers te staan toen een mysterieuze internetgroep genaamd de Shadow Brokers online verscheen en de verkoop van gestolen hackingtechnieken adverteerde. De Verenigde Staten waren van mening dat Rusland en Noord-Korea profiteerden van deze gestolen tools om verwoestende wereldwijde cyberaanvallen uit te voeren. Het meest bekend is de WannaCry-ransomware uit 2017, die gebruikmaakte van de EternalBlue-exploit. Deze ransomware verspreidde zich over 150 landen en infecteerde 200.000 computers. Rond dezelfde tijd werd Harold Martin, een voormalig contractant van de NSA en medewerker van Booz Allen Hamilton (onder meer bij TAO van 2012 tot 2015), door federale aanklagers aangeklaagd wegens het hamsteren van enorme hoeveelheden geclassificeerde informatie in zijn huis in Maryland. Martin werd in 2019 veroordeeld tot negen jaar gevangenisstraf, maar onderzoekers vonden nooit bewijs dat hij de gestolen geheimen met anderen had gedeeld.

 

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

11 juli 2026 | Russische hackers bespioneren Nederlandse militaire routes via IP-camera's

Op 11 juli 2026 is bekendgemaakt dat Russische hackers IP-camera's langs militaire routes in Nederland hebben gehackt. Deze onthulling komt voort uit een gezamenlijk onderzoek uitgevoerd door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). De gecompromitteerde camera's zijn via het internet toegankelijk, wat de Russische hackers de mogelijkheid gaf om inzicht te verkrijgen in de verplaatsingen en activiteiten van het Nederlandse leger. Het onderzoek van de Nederlandse inlichtingendiensten wijst op gerichte spionageactiviteiten door statelijke actoren. De aard van de aanval, waarbij gebruik is gemaakt van internet-toegankelijke camera's, benadrukt een bekende kwetsbaarheid in de beveiliging van veel online verbonden apparaten. Door toegang te krijgen tot deze camera's konden de aanvallers potentieel waardevolle informatie verzamelen over logistiek en operationele patronen van de Nederlandse strijdkrachten. De AIVD en MIVD hebben geen verdere specifieke details over de exacte locaties van de getroffen camera's of de precieze methoden die de hackers hebben gebruikt openbaar gemaakt, omwille van de nationale veiligheid. Dit incident onderstreept de noodzaak voor verscherpte waakzaamheid en robuuste cybersecurity-maatregelen om dergelijke spionagepogingen te dwarsbomen en kritieke infrastructuur te beschermen tegen buitenlandse inmenging.

 

Bron: AIVD en MIVD

11 juli 2026 | China en India voerden parallelle spionagecampagnes uit tegen Pakistaanse politie**

Cybersecuritybedrijf SentinelOne heeft onlangs onthuld dat hackersgroepen gelinkt aan China en India gedurende meer dan twee jaar afzonderlijke, maar parallelle spionageoperaties hebben uitgevoerd tegen de Pakistaanse wetshandhaving. Tussen februari 2024 en april 2026 werden systemen van de Balochistan Police, de politie van de zuidwestelijke Pakistaanse provincie Balochistan, die al lang het toneel is van een separatistische opstand, het doelwit. In sommige gevallen werden zelfs exact dezelfde systemen gecompromitteerd.

Volgens het rapport van SentinelLabs, de onderzoekstak van SentinelOne, bevatten de getroffen systemen gevoelige informatie zoals strafregisters, biometrische en vingerafdrukgegevens, personeelsdossiers, hotel- en huurdersregistraties die gekoppeld zijn aan nationale identiteitsgegevens, en klachten van burgers. Deze gegevens, die door de aard van politienetwerken vaak centraal worden verzameld, bieden een schat aan interne veiligheidsinformatie voor overheden.

De interesse van groeperingen gelinkt aan China werd voornamelijk gedreven door de bescherming van Chinese staatsburgers in Pakistan, met name diegenen die betrokken zijn bij de China-Pakistan Economische Corridor (CPEC). Het rapport verwijst naar incidenten zoals een zelfmoordaanslag in maart 2024 en een aanval in oktober 2024 nabij de luchthaven van Karachi, die Chinese werknemers troffen. SentinelLabs schat in dat de Chinese inbreuken een poging waren om zelfstandig de dreiging te beoordelen, in plaats van te vertrouwen op Pakistaanse veiligheidsgaranties. Een van de specifieke tactieken die aan China gelinkt wordt, omvatte het compromitteren van het Balochistan Police Complaint Management System, een portaal dat zowel door politieagenten als burgers wordt gebruikt. Een Chinese operator plaatste malware vermomd als een portaal-update, een uitvoerbaar bestand dat een vals "update voltooid"-bericht toonde terwijl het het apparaat van de bezoeker infecteerde. Forensische sporen in de code, waaronder logstrings in het Chinees en artefacten van ontwikkelaars, wezen op een Chinese auteur. De aanvallers maakten gebruik van backdoors die veel voorkomen bij Chinese groeperingen, zoals PlugX en ShadowPad.

De activiteit gelinkt aan India werd waarschijnlijk ingegeven door de langdurige rivaliteit tussen de twee landen. Pakistan beschuldigt India ervan de Baloch-opstand te steunen, terwijl India vergelijkbare beschuldigingen uit over Kashmir. Toegang tot de gegevens van de Balochistan Police zou inzicht kunnen bieden in dit conflict. De Indiase inbraken werden met minder zekerheid toegeschreven aan een actor die de onderzoekers volgen als TAG-179, met overlappingen met groepen die ook bekend staan als Bitter en Mysterious Elephant. Een lokdocument over de repatriëring van ongedocumenteerde buitenlanders werd hierbij gebruikt.

Zowel Pakistan als India worden ervan beschuldigd cyberespionagecampagnes tegen elkaar te hebben uitgevoerd, waarbij Indiase overheids-, academische en strategische instellingen, evenals Pakistaanse overheidsinstanties en kritieke infrastructuuroperators het doelwit waren. De onderzoekers van SentinelLabs waarschuwen dat naarmate Pakistan zijn politiecentralisatie en -digitalisering voortzet, mede ondersteund door Europese moderniseringsprogramma's, het land een steeds grotere concentratie van waardevolle gegevens zal creëren die doelwit kunnen worden van kwaadwillende actoren.

 

Bron: SentinelOne

12 juli 2026 | China en Rusland beramen aanval op Starlink volgens gelekte documenten

Gelekte documenten onthullen dat China en Rusland een meerfasenstrategie voorbereiden om het Starlink satellietnetwerk van SpaceX uit te schakelen. Deze informatie is aan het licht gekomen dankzij een gezamenlijk onderzoek door de mediaorganisaties The Insider, Der Spiegel en Le Monde. De gelekte materialen omvatten vier presentaties die werden gehouden tijdens het derde China-Rusland Forum voor militair technische samenwerking in Guangzhou in november 2023, evenals een ondertekend bilateraal werkprotocol.

De beschreven strategie omvat drie escalatieniveaus. De eerste fase richt zich op juridische en diplomatieke druk, waarbij beide landen proberen via regelgeving de uitbreiding van het Starlink netwerk te beperken. In de tweede fase staat een gezamenlijke architectuur voor elektromagnetische verstoring centraal, bedoeld om Starlink in specifieke gebieden selectief te blokkeren. De derde en meest extreme fase omvat de fysieke uitschakeling van het netwerk.

Een opvallend element in de plannen is de cybercomponent. De documenten suggereren het verspreiden van malware via de gebruikersterminals van Starlink, die zich vervolgens over het hele netwerk zou moeten propageren. Technieken die hiervoor worden voorgesteld, zijn het vervalsen van toegang, het besmetten van systemen met virussen en het misbruiken van kwetsbaarheden in de software van het netwerk, met als uiteindelijk doel het verlammen van de infrastructuur. Beveiligingsonderzoekers waarschuwen dat de combinatie van elektromagnetische storing, gerichte cyberaanvallen en fysieke vernietiging een ernstige dreiging vormt voor civiele satellietcommunicatie wereldwijd.

 

Bron: The Insider

14 juli 2026 | Nederland ontbiedt Russische ambassadeur na digitale spionage

Nederland heeft aangekondigd de Russische ambassadeur te ontbieden na digitale spionage tegen camera's langs militaire transportroutes. De oproep volgt op Nederlandse inlichtingen waaruit blijkt dat Russische statelijke hackers een klein aantal slecht beveiligde camera's in Nederland hebben binnengedrongen.

De camera's konden zicht geven op routes waarlangs militair materieel naar Oekraïne wordt vervoerd. De betrokken organisaties zijn gewaarschuwd. De AIVD en MIVD adviseren eigenaren om standaardwachtwoorden te vervangen, actuele software te gebruiken en camera's niet onnodig rechtstreeks met het internet te verbinden.

 

Bron: Rijksoverheid | Bron 2: nltimes.nl

14 juli 2026 | Frankrijk schrijft langdurige Turla spionage toe aan Russische FSB

De Franse cyberautoriteit ANSSI schrijft digitale spionage met de werkwijze van Turla toe aan het zestiende centrum van de Russische veiligheidsdienst FSB. Franse autoriteiten zagen sinds 2010 dat publieke en private organisaties met deze werkwijze werden aangevallen en binnengedrongen.

Tot de genoemde Franse doelwitten behoren internetmail van het ministerie van Defensie vanaf 2017, het netwerk van de Franse ambassade in Moskou in 2018, een organisatie binnen justitie in 2019 en een organisatie die in 2025 aan geavanceerde technologie werkte. ANSSI beschrijft Turla als een internationale spionageoperatie die ook systemen van tussentijdse slachtoffers misbruikt als infrastructuur voor latere aanvallen.

 

Bron: ANSSI

14 juli 2026 | Bondgenoten waarschuwen voor Russische aanvallen via kwetsbare routers

Cyberautoriteiten uit twaalf landen waarschuwen dat het zestiende centrum van de Russische FSB slecht beveiligde routers en andere netwerkapparaten misbruikt. Vooral organisaties in communicatie, defensie, energie, financiële dienstverlening, overheid en zorg lopen volgens de gezamenlijke waarschuwing risico.

De aanvallers zoeken naar kwetsbare of verkeerd ingestelde apparaten om toegang tot netwerken te krijgen. Organisaties krijgen het advies ongebruikte beheerdiensten uit te schakelen, beheerinterfaces af te schermen, software bij te werken en netwerkverkeer op afwijkingen te controleren.

 

Bron: Brits Nationaal Centrum voor Cyberbeveiliging | Bron 2: media.defense.gov

14 juli 2026 | Europese Unie en Verenigd Koninkrijk sanctioneren Russische cybernetwerken

De Europese Unie en het Verenigd Koninkrijk hebben gelijktijdig sancties ingesteld tegen Russische staatsactoren, cybercriminelen en bedrijven die aanvallen mogelijk zouden maken. De Europese maatregelen raken negen personen en vier organisaties. Het Britse pakket omvat 24 personen en organisaties.

Onder de aangewezen partijen bevinden zich functionarissen van de Russische militaire inlichtingendienst, leveranciers van schadelijke infrastructuur en personen die betrokken zouden zijn bij LummaC2, Trickbot en Conti. Het is de eerste keer dat de Europese Unie en het Verenigd Koninkrijk gelijktijdig sancties vaststellen binnen hun regelingen voor digitale aanvallen.

 

Bron: Raad van de Europese Unie | Bron 2: gov.uk

Cyberoorlog nieuws

Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.

Lees meer »

Cyberoorlog 2026 juni

Op deze pagina vind je een overzicht van cyberoorlog in juni 2026, met aandacht voor hybride dreigingen, statelijke actoren, digitale spionage en aanvallen op kritieke infrastructuur.

Lees meer »

Cyberoorlog 2026 mei

Op deze pagina vind je een overzicht van cyberoorlog in mei 2026, met aandacht voor hybride dreigingen, statelijke actoren, digitale spionage en aanvallen op kritieke infrastructuur.

Lees meer »

Cyberoorlog 2026 april

Op deze pagina vind je een overzicht van cyberoorlog in april 2026, met aandacht voor hybride dreigingen, statelijke actoren, digitale spionage en aanvallen op kritieke infrastructuur.

Lees meer »

Cyberoorlog 2026 maart

▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025

Lees meer »

Cyberoorlog 2026 februari

▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025

Lees meer »