Cyberoorlog nieuws

Het Oekraïense cyber incident response team (CERT-UA) waarschuwt dat Russische hackers steeds vaker proberen opnieuw toegang te krijgen tot systemen die ze eerder al gecompromitteerd hebben. Eerdere inbraken worden gebruikt als uitvalsbasis voor vervolgoperaties, aldus CERT-UA in een nieuw rapport.

Volgens het rapport controleren de aanvallers of de toegang tot eerder gecompromitteerde infrastructuur nog steeds mogelijk is, of kwetsbaarheden zijn gepatcht en of eerder verkregen inloggegevens nog geldig zijn. CERT-UA geeft aan dat deze pogingen soms succesvol zijn als de oorzaak van het oorspronkelijke incident niet volledig is weggenomen.

Deze trend weerspiegelt een verschuiving in de tactieken van aanvallers gedurende 2025. In de eerste helft van het jaar vertrouwden veel cyberincidenten op een "steal and go"-aanpak, waarbij malware werd ingezet om snel inloggegevens of andere gevoelige data te verzamelen en vervolgens het systeem te verlaten om detectie te voorkomen. In de tweede helft van het jaar werd er echter een groeiende focus waargenomen op het behouden van langdurige toegang tot gecompromitteerde netwerken. Deze strategie stelt dreigingsactoren in staat om de waarde van succesvolle inbraken te maximaliseren door later terug te keren om de toegang uit te breiden, spionage uit te voeren of andere fasen van cyberoperaties te ondersteunen.

CERT-UA constateert ook veranderingen in de manier waarop aanvallers aanvankelijk toegang krijgen tot Oekraïense netwerken. Traditionele phishing e-mails en kwaadaardige bijlagen worden minder effectief omdat organisaties zich bewuster worden van veelvoorkomende cyberdreigingen. In plaats daarvan vertrouwen aanvallers steeds vaker op geavanceerde social engineering tactieken om vertrouwen te winnen bij slachtoffers. Hackers nemen rechtstreeks telefonisch contact op met doelwitten via Oekraïense mobiele nummers en legitieme messaging accounts, spreken vloeiend Oekraïens en tonen gedetailleerde kennis over de personen of organisaties die ze aanvallen. Pas nadat ze vertrouwen hebben opgebouwd via telefoongesprekken of videochats, sturen aanvallers kwaadaardige bestanden via messaging apps, waardoor de kans aanzienlijk toeneemt dat slachtoffers ze openen.

Volgens CERT-UA hebben aan Rusland gelinkte hackinggroepen, waaronder APT28 (Fancy Bear) en de dreigingsactor Void Blizzard, deze techniek gebruikt bij aanvallen op leden van de Oekraïense strijdkrachten en overheidsinstellingen. Ondanks de evolutie in tactieken, daalde het totale aantal cyberincidenten in de tweede helft van 2025 in vergelijking met de eerste helft van het jaar. De veiligheids- en defensiesector blijft het belangrijkste doelwit, aldus CERT-UA, omdat het verstoren of infiltreren van die netwerken de loop van de oorlog direct kan beïnvloeden.

Bron: CERT-UA | Bron 2: cip.gov.ua | Bron 3: recordedfuture.com

Cybercrimeinfo heeft een dreigingsanalyse ontdekt, waarin een toename van cyberaanvallen in een conflictgebied wordt beschreven over de periode van 28 februari tot 3 april. In totaal werden 1098 cyberaanvallen waargenomen, waarbij 14 landen werden getroffen en 84 dreigingsactoren betrokken waren. Het type dreiging is niet nader gespecificeerd in de beschikbare informatie.

Bron: Cybercrimeinfo

Een grootschalige stroomstoring heeft de internetverbinding in een groot deel van Donetsk Oblast, in door Rusland bezet Oekraïne, lamgelegd. De verstoring wordt toegeschreven aan Oekraïense UAV aanvallen gericht op de energie infrastructuur. Het herstel van de connectiviteit is inmiddels bijna volledig.

Bron: NetBlocks

De dreigingsactor NoName claimt verantwoordelijk te zijn voor een DDoS aanval op meerdere websites in Oekraïne. Cybercrimeinfo heeft deze claim ontdekt. De doelwitten omvatten SE Kharkiv Morozov Machine Building Design, Research and Production Complex Photoprylad, Spets Techno Export, Zorya-Mashproekt, ERC, Ferrexpo, Ukrainian Scientific Research Institute of Aviation Technologies en OCTAVA CAPITAL. Het is op dit moment niet bevestigd of de aanval succesvol was en welke impact deze heeft gehad op de getroffen websites.

Bron: Darkweb

Een Noord-Koreaanse hacker, vermoedelijk in dienst van de staat, heeft zichzelf ontmaskerd tijdens een sollicitatiegesprek. De persoon in kwestie werd gevraagd om de zin "Kim Jong-un is een dik, lelijk varken" uit te spreken. De hacker weigerde dit, omdat hij aangaf dat het uitspreken van dergelijke woorden vrijwel zeker tot zijn executie zou leiden.

Bron: Int. Cyber Digest

De FBI, het Pentagon en andere federale agentschappen waarschuwen voor een toename van cyberaanvallen door hackers gelieerd aan de Iraanse overheid. Deze aanvallen richten zich op internet verbonden operational technology (OT)-apparaten in verschillende kritieke infrastructuursectoren in de Verenigde Staten, wat leidt tot operationele verstoringen en financieel verlies. Volgens een nieuw advies zijn de aanvallen geëscaleerd in reactie op het militaire conflict tussen de VS en Iran.

De Iraanse actoren richten zich specifiek op OT apparaten zoals programmable logic controllers (PLC's) van Rockwell Automation (Allen-Bradley) en mogelijk ook Siemens. Sinds maart 2026 hebben de betrokken instanties een Iraanse APT groep geïdentificeerd die de functie van PLC's heeft verstoord. De aanvallen hebben geleid tot verstoringen door manipulatie van projectbestanden en data op human machine interface (HMI)- en supervisory control and data acquisition (SCADA)-displays.

De doelwitten omvatten lokale gemeenten, water- en afvalwatersystemen en de energiesector. Deze waarschuwing volgt op een ransomware aanval vorige week op een waterzuiveringsinstallatie in Minot, North Dakota, hoewel er geen direct losgeld werd geëist. De FBI is betrokken bij onderzoeken naar de aanval in Minot en een andere aanval op een county government in Indiana.

De FBI benadrukt specifiek CVE-2021-22681, een kwetsbaarheid in Rockwell OT producten. CISA had een maand eerder al gewaarschuwd voor misbruik van deze kwetsbaarheid en federale agentschappen opgedragen deze vóór 26 maart te patchen. Organisaties worden dringend verzocht PLC's en andere OT systemen niet direct aan het internet bloot te stellen en logs te controleren op verdacht verkeer.

De activiteit wordt vergeleken met een Iraanse campagne in 2023 en 2024, waarbij hackers gelinkt aan het Islamic Revolutionary Guard Corps (IRGC) PLC's van het Israëlische Unitronics aanvielen. Uit nieuwe informatie blijkt dat bij de campagne van 2023 minstens 75 apparaten werden gecompromitteerd. Hoewel het toen vooral om defacement ging, waarschuwden functionarissen dat de aanvallers de toegang konden gebruiken voor diepere netwerktoegang en fysieke schade. Het State Department loofde een beloning van 10 miljoen dollar uit voor informatie over de Iraniërs achter de aanvallen van 2023, waarbij zes functionarissen van het IRGC's Cyber Electronic Command (CEC) werden genoemd, waaronder Hamid Reza Lashgarian.

Bron: FBI | Bron 2: cisa.gov | Bron 3: ic3.gov

Het Amerikaanse ministerie van Justitie (DoJ) en de FBI hebben een grootschalige cyberespionagecampagne van de Russische militaire inlichtingendienst (GRU) ontmanteld. De operatie, genaamd "Operation Masquerade", was gericht op een netwerk van routers in huis- en kleine kantoorsituaties, die door hackers werden gebruikt om nietsvermoedende gebruikers te bespioneren.

De groep achter de aanval is een bekende eenheid van de Russische GRU, vaak aangeduid als APT28, Fancy Bear of Forest Blizzard. Sinds minstens 2024 compromitteerde deze groep stilletjes apparaten, met een sterke focus op TP-Link routers. Door bekende kwetsbaarheden te exploiteren, wisten ze duizenden apparaten in meer dan 23 staten en vele andere landen te kapen.

Fancy Bear maakte gebruik van DNS hijacking. GRU hackers braken in routers en vervingen de DNS instellingen door hun eigen valse versies. Eenmaal in controle, gebruikten ze een geautomatiseerd filter om waardevolle doelwitten binnen het leger en de overheid te identificeren. Voor deze specifieke personen toonden de hackers valse inlogpagina's, zoals een nagemaakte Microsoft Outlook Web Access scherm, om ongecodeerde wachtwoorden, e-mails en authenticatietokens te stelen zonder dat de gebruiker iets in de gaten had.

De FBI heeft, in plaats van alleen een waarschuwing uit te geven, een gerechtelijk bevel verkregen om rechtstreeks met de geïnfecteerde routers te communiceren. Het bureau stuurde een reeks commando's naar deze apparaten om hun DNS instellingen te resetten en de toegang van de hackers te blokkeren. Onderzoekers van Microsoft Threat Intelligence, MIT Lincoln Laboratory en Black Lotus Labs hebben geholpen bij het testen van deze fixes om ervoor te zorgen dat ze de internetverbinding van niemand zouden verbreken.

Hoewel de FBI de onmiddellijke dreiging heeft weggenomen, wordt het publiek nog steeds aangespoord voorzichtig te zijn. Special Agent Ted E. Docks merkt op dat de FBI "onze partners in de private sector en internationale partners heeft ingezet om deze kwaadaardige activiteit te ontmaskeren en routers te herstellen." Gebruikers van TP-Link apparaten wordt aangeraden onmiddellijk te controleren op de nieuwste firmware updates. Als een router een ouder model is dat geen updates meer ontvangt, is het wellicht tijd om deze te vervangen.

Bron: U.S. Department of Justice

Twee prominente Egyptische journalisten zijn het doelwit geweest van een geavanceerde spearphishingcampagne, volgens een nieuw rapport van de digitale burgerrechtenorganisatie Access Now en het mobiele beveiligingsbedrijf Lookout. De campagne, die begon in oktober 2023 en doorging tot januari 2024, richtte zich op de Apple- en Google accounts van de slachtoffers.

De aanvallers deden zich voor als legitieme personen en diensten en gebruikten meerdere kanalen om contact te leggen met de slachtoffers. Er zijn aanwijzingen dat de infrastructuur die gebruikt werd voor de aanvallen mogelijk ingezet kan worden om spyware te verspreiden en data te exfiltreren, evenals het installeren van kwaadaardige apps. De onderzoekers van Lookout en Access Now konden de locatie van de "hack for-hire" organisatie niet definitief vaststellen, maar vermoeden dat deze banden heeft met Azië. De aanvallers gebruikten valse accountprofielen, berichten en andere tactieken om zich voor te doen als legitieme diensten en platforms, waaronder Signal.

Geen van de accounts van de slachtoffers werd uiteindelijk gecompromitteerd. Een van de slachtoffers ontving een bericht dat afkomstig leek te zijn van Apple. Het doelwit voerde zijn accountgegevens in, maar stopte nadat hij een "verdachte" authenticatiemelding met twee factoren ontving vanuit een locatie in Egypte. Beide slachtoffers zijn in het verleden vervolgd door de Egyptische autoriteiten en hebben het Egyptische regime uitgedaagd. Mostafa Al-A’sar is een Egyptische journalist en mensenrechtenverdediger die bijna vier jaar in een Egyptische gevangenis heeft doorgebracht voordat hij het land ontvluchtte. Ahmed Eltantawy, ook een bekende journalist, berichtte kritisch over de Egyptische regering en werd later lid van het parlement. Hij was van plan om zich in 2023 kandidaat te stellen tegen de Egyptische president Abdel Fattah al-Sisi, maar trok zich vervolgens terug nadat tientallen van zijn supporters en familieleden waren gearresteerd en hij niet mocht campagne voeren. Hij werd later gevangengezet. Citizen Lab, een digitaal forensisch onderzoeksinstituut, ontdekte dat zijn telefoon in september 2021 en tussen mei en september 2023 het doelwit was van de Predator spyware van Intellexa.

Marwa Fatafta, een directeur bij Access Now, waarschuwt journalisten in het Midden Oosten en Noord Afrika om voorzichtig te zijn en hun digitale beveiliging te verbeteren.

Bron: Access Now

Oekraïne meldt dat het initiatief in de oorlog terugwint na recente Russische successen, mede dankzij de ontwikkeling van AI gestuurde drones. Oleksandr Syrsky, de Oekraïense opperbevelhebber, stelt dat Oekraïense troepen "de ruggengraat van Rusland breken" en dat drones aanzienlijke verliezen toebrengen aan de Russische troepen. Russische bronnen zouden zich zorgen maken over de nieuwe AI drones van Oekraïne.

Moskou overweegt naar verluidt de traditionele militaire parade van 9 mei te annuleren uit angst voor Oekraïense aanvallen. Oekraïense aanvallen op Russische olie installaties vinden dagelijks plaats. Kyrylo Boedanov, voormalig hoofd van de Oekraïense inlichtingendienst en huidig hoofd van het presidentieel bureau, zegt dat deze aanvallen de Russische aanpak in toekomstige onderhandelingen kunnen beïnvloeden. Deze onderhandelingen zijn echter opnieuw uitgesteld door Iran, aldus president Zelensky.

De Oekraïense veiligheidsdienst (SBU) heeft naar eigen zeggen een spionage eenheid ontmaskerd die wapenopslagplaatsen beheerde voor huurmoorden. Het ministerie van Buitenlandse Zaken heeft nieuwe diplomatieke nummerplaten geïntroduceerd, waarmee een historische band met Moskou wordt verbroken. Op economisch vlak heeft het Oekraïense Asvio een overeenkomst getekend om de insolvente Motor Bank over te nemen. De voormalige eigenaar van deze bank, ooit de belangrijkste aandeelhouder van vliegtuigmotorenfabrikant Motor Sich, wordt nu in Oekraïne beschuldigd van verraad.

In Hongarije zijn nieuwe beschuldigingen geuit aan het adres van de topdiplomaat, die ervan wordt verdacht de EU toetredingsdocumenten van Kyiv met Moskou te hebben gedeeld. Een ander gelekt telefoongesprek beweert dat Boedapest Teheran hulp heeft aangeboden na de pager explosies van 2024. Zelensky heeft kritiek geuit op de campagne van de Amerikaanse president JD Vance voor de Hongaarse premier Viktor Orban en waarschuwde dat Rusland naar verluidt inlichtingen over Amerikaanse bases aan Iran heeft verstrekt.

Het Verenigd Koninkrijk en Noorwegen zeggen een Russische onderzeeër in de buurt van cruciale onderzeese kabels te hebben gevolgd, terwijl Moskou beweert dat Kyiv aanvallen op het Noordpoolgebied beraamt.

Bron: Kyiv Post

De Russische autoriteiten hebben een voormalig freelance journalist van Radio Free Europe (RFE) gearresteerd op beschuldiging van hoogverraad. Volgens de Federale Veiligheidsdienst (FSB) zou de journalist informatie hebben doorgespeeld aan Oekraïne, die gebruikt zou zijn bij cyberaanvallen tegen Russische doelen.

De FSB verklaarde dat de verdachte zich had aangesloten bij een Telegram kanaal dat werd beheerd door de Oekraïense veiligheidsdienst SBU. Via dit kanaal zou hij informatie hebben verstrekt over een lokale publicatie die berichtte over de oorlog in Oekraïne, evenals gegevens over een kritieke infrastructuurvoorziening in de regio. Volgens de autoriteiten is deze informatie gebruikt om cyberaanvallen te faciliteren.

Na een huiszoeking, waarbij computerapparatuur en communicatieapparaten in beslag werden genomen, is de verdachte in voorlopige hechtenis geplaatst. De FSB beweert dat de in beslag genomen items bewijs bevatten van activiteiten "gericht tegen de veiligheid van Rusland". De FSB heeft de naam van de arrestant niet bekendgemaakt. Het onafhankelijke Russische medium 7x7 meldt echter dat het waarschijnlijk gaat om de 65-jarige Alexander Andreyev, een journalist uit de regio Zabaykalsky die in het begin van de jaren 2010 voor verschillende lokale media en als freelancer voor Radio Free Europe werkte.

De Russische veiligheidsdiensten beweren dat Andreyev heeft samengewerkt met "anti Russische mensenrechtenorganisaties" en na het begin van de oorlog een "duidelijk pro Oekraïens standpunt" heeft ingenomen. Radio Free Europe heeft nog niet publiekelijk gereageerd op de arrestatie. In 2020 werd Radio Liberty door het Russische ministerie van Justitie aangemerkt als "buitenlandse agent", en in 2025 werd de organisatie bestempeld als "ongewenst", waardoor haar activiteiten in Rusland effectief werden verboden.

Op dezelfde dag doorzochten Russische veiligheidsdiensten ook de redactie van Novaya Gazeta in Moskou. De reden voor de doorzoeking is niet bekendgemaakt. Een bron bij de wetshandhaving meldde dat de operatie verband houdt met een onderzoek naar het illegale gebruik van persoonlijke gegevens. Een andere bron vertelde dat onderzoekers onderzoeken of Novaya Gazeta banden heeft met Novaya Gazeta Europe en het Anti War Committee of Russia, die beide in Rusland als "ongewenst" respectievelijk "terroristisch" zijn bestempeld.

De zaak van Radio Free Europe is de meest recente in een reeks strafrechtelijke onderzoeken die verband houden met activiteiten op Telegram. Eerder deze maand werd in Sevastopol een inwoner gearresteerd op verdenking van het aanzetten tot terrorisme en extremisme via het platform. Sinds februari zijn er minstens drie strafzaken geopend die verband houden met Telegram Stars, een virtuele valuta die volgens onderzoekers wordt gebruikt om organisaties die in Rusland verboden zijn financieel te steunen.

Bron: TASS | Bron 2: iz.ru | Bron 3: novayagazeta.eu

Amerikaanse federale agentschappen waarschuwen voor een toename van cyberaanvallen door Iraanse actoren gericht op Amerikaanse kritieke infrastructuren. Uit een gezamenlijk advies blijkt dat sinds maart 2026 groepen met banden met de Iraanse overheid zich richten op Rockwell Automation/Allen-Bradley PLC apparaten, wat operationele verstoringen en financiële schade veroorzaakt. De aanvallen lijken een reactie op de vijandelijkheden tussen Iran, de Verenigde Staten en Israël.

Volgens cybersecuritybedrijf Censys zijn er wereldwijd meer dan 5.200 industriële controlesystemen online toegankelijk, waarvan driekwart zich in de Verenigde Staten bevindt. Het gaat om 3.891 hosts die reageren op EtherNet/IP (EIP) en zich identificeren als Rockwell Automation/Allen-Bradley apparaten. De blootstelling via cellulaire netwerken duidt op implementatie in het veld via cellulaire modems. Het FBI heeft vastgesteld dat bij deze activiteiten projectbestanden werden buitgemaakt en dat data op HMI en SCADA displays werden gemanipuleerd.

Om zich te verdedigen tegen deze aanvallen, wordt aangeraden om PLC's te beveiligen met een firewall of ze van het internet te ontkoppelen. Ook is het belangrijk om logs te scannen op tekenen van kwaadaardige activiteit en verdacht verkeer op OT poorten te controleren, vooral als dit afkomstig is van hostingproviders in het buitenland. Verder wordt aangeraden om meervoudige authenticatie (MFA) te gebruiken voor toegang tot OT netwerken, alle PLC apparaten actueel te houden en ongebruikte services en authenticatiemethoden uit te schakelen.

Deze campagne volgt op eerdere aanvallen van bijna drie jaar geleden, waarbij de groep CyberAv3ngers, gelieerd aan het Iraanse Islamitische Revolutionaire Garde (IRGC), zich richtte op kwetsbaarheden in operationele technologie systemen (OT) van Unitronics in de VS. Tussen november 2023 en januari 2024 compromitteerden CyberAv3ngers minstens 75 Unitronics PLC apparaten, waarvan de helft in water en afvalwaternetwerken. Meer recentelijk wist de hacktivistische groep Handala, gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid, ongeveer 80.000 apparaten van het netwerk van het Amerikaanse medische bedrijf Stryker.

Bron: Censys | Bron 2: cisa.gov | Bron 3: unit42.paloaltonetworks.com

De Britse regering heeft bekendgemaakt dat ze een geheime Russische onderzeeëroperatie heeft ontmaskerd in de wateren ten noorden van het Verenigd Koninkrijk, gericht op pijpleidingen en kabels. Volgens het Britse Ministerie van Defensie (MoD) waren een Russische aanvalsonderzeeër en schepen van het Russische directoraat voor diepzeeonderzoek (GUGI) betrokken bij deze activiteiten. Het MoD omschreef de activiteiten als "schadelijke activiteiten gericht op kritieke onderzeese infrastructuur".

Het GUGI, aldus het MoD, voert in vredestijd gespecialiseerde diepzee operaties uit om onderwaterinfrastructuur in kaart te brengen, als voorbereiding op sabotage tijdens een conflict. De Britse minister van Defensie, John Healey, verklaarde dat Britse schepen, vliegtuigen en geallieerde troepen de drie Russische onderzeeërs gedurende meerdere weken hebben gevolgd en sonoboeien hebben ingezet om de onderzeeëreenheden te laten weten dat ze werden geobserveerd en hun missie "niet langer geheim was zoals Poetin had gepland".

De Russische schepen zouden zich vervolgens hebben teruggetrokken zonder hun operatie in het geheim te kunnen voltooien, aldus het MoD. Er zijn geen meldingen van schade aan de onderzeese infrastructuur. Healey gaf aan dat de Russische activiteiten zowel pijpleidingen als kabels bedreigden, maar specificeerde niet waar de activiteiten plaatsvonden. De meest cruciale energieverbindingen lopen via de Noordzee aan de oostkust van het land naar Noorwegen.

Healey waarschuwde Poetin dat pogingen tot beschadiging van de onderwaterinfrastructuur niet getolereerd zouden worden en ernstige gevolgen zouden hebben. De Britse regering stelt dat de Russische activiteiten onderdeel zijn van een bredere poging om te opereren in gebieden waar kritieke infrastructuur op de zeebodem zich bevindt. Het doel van de openbaarmaking is om de aandacht te vestigen op de potentiële risico's die dergelijke activiteiten vormen voor de connectiviteit van het VK.

Het Ministerie van Defensie benadrukte het belang van onderzeese glasvezelkabels voor de verbinding van het VK met de rest van de wereld. Meer dan 99% van alle internationale data, van communicatie tot handel, verloopt via deze infrastructuur. De bescherming ervan is van vitaal belang voor de economische veiligheid, wereldwijde connectiviteit en nationale veerkracht van het VK.

John Hardie, de adjunct-directeur van het Rusland programma bij de Foundation for Defense of Democracies, merkte op dat GUGI al lange tijd betrokken is bij verdachte activiteiten in de buurt van onderzeese kabels. Rusland zou deze schepen kunnen gebruiken om afluisterapparatuur te plaatsen of inlichtingen te verzamelen ter ondersteuning van plannen om de NAVO communicatie in geval van oorlog te verstoren.

De ontwikkelingen benadrukken de samenhang tussen fysieke en cyberveiligheid, aangezien schade aan onderzeese kabels financiële systemen, communicatie en essentiële diensten kan verstoren, ver buiten de directe omgeving van een incident. Britse functionarissen hebben aangegeven de surveillance en samenwerking met bondgenoten te zullen intensiveren om de onderzeese infrastructuur te beschermen.

Bron: UK Ministry of Defence

Cybercrimeinfo heeft een threat intelligence alert ontdekt waarin staat dat Israël het meest getroffen land is door cyberaanvallen. Koeweit, Iran en de Verenigde Arabische Emiraten zijn het zwaarst getroffen qua impact. De sectoren energie/utilities, ICT en professionele/wetenschappelijke/technische dienstverlening ondervinden de meeste hinder. Niet nader genoemde technieken, identiteitsdiefstal/account cracking en malware zijn de meest gebruikte aanvalsmethoden.

Bron: Darkweb

De Algemene Inlichtingen en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD) gaan te ver bij het uitvoeren van onderzoeken. Dat stelt de Toetsingscommissie Inzet Bevoegdheden (TIB) in haar jaarverslag dat op 14 april 2026 is verschenen. De TIB controleert de inzet van bijzondere bevoegdheden door de inlichtingendiensten, zoals het binnendringen van telefoons of het afluisteren van gesprekken.

In 2025 behandelde de TIB 4.615 verzoeken van de AIVD en MIVD. Het overgrote deel van de verzoeken (96 procent) werd als rechtmatig beoordeeld. In een deel van de overige vier procent was sprake van vermijdbare juridische slordigheden. In 1,3 procent van de gevallen was de inzet, ook na aanpassingen, niet rechtmatig. Volgens de TIB betekent dit in de praktijk dat iedere week een voorgenomen inzet van de diensten waarvoor door de minister toestemming is verleend, niet rechtmatig is.

Het gaat dan bijvoorbeeld om inzet op mensen in de omgeving van een target, waarbij de diensten hopen zicht te krijgen op dat target. De TIB vindt dat niet altijd proportioneel. Ook het hacken van computers en het daarna verwerven van enorme hoeveelheden data gaat soms te ver als het gaat om gegevens van grote groepen mensen of organisaties die geen voorwerp van onderzoek zijn en dat ook nooit zullen worden.

De TIB stelt ook dat de diensten in 2025 verder zijn gegaan met de inzet van interceptie van internetverkeer dat verloopt via de glasvezelkabel. Dit gaat gepaard met het ongericht verwerven van zeer aanzienlijke hoeveelheden gegevens van personen of organisaties uit meerdere gegevensstromen vanuit meerdere accespoints. De TIB blijft zorgen houden over de inbreuk op grondrechten enerzijds en de achterblijvende opbrengst anderzijds. De TIB voegt toe dat het bewaken van de balans tussen de bescherming van grondrechten en de inbreuk daarop ons een democratische rechtsstaat maakt.

Bron: TIB

Volgens het Talos 2025 Year in Review rapport vertonen door staten gesteunde dreigingsactoren uit China, Rusland, Noord-Korea en Iran, ondanks uiteenlopende motieven zoals spionage, verstoring, financieel gewin en geopolitieke invloed, opvallend veel overeenkomsten in hun tactieken, technieken en procedures (TTP's). Het rapport benadrukt het verkrijgen van toegang via kwetsbaarheden en identiteiten, en het onder de radar blijven gedurende langere perioden.

Chinese dreigingsactoren vielen op door zowel volume als efficiëntie, met een toename van bijna 75% in Talos onderzoeken ten opzichte van 2024. Nieuw ontdekte kwetsbaarheden werden vrijwel direct uitgebuit, soms al voordat patches beschikbaar waren. Tegelijkertijd bleven langdurige, ongepatchte kwetsbaarheden in netwerkapparatuur en veelgebruikte software betrouwbare toegangspunten bieden. Na toegang verschuift de focus naar persistentie, waarbij web shells, aangepaste backdoors, tunneling tools en credential harvesting worden ingezet voor langdurige toegang. Er is ook een toenemende overlap tussen statelijk gesponsorde en financieel gemotiveerde activiteiten.

Russische cyberactiviteit blijft nauw verbonden met geopolitieke doelstellingen, met name de oorlog in Oekraïne. Veel operaties maken gebruik van ongepatchte, oudere kwetsbaarheden, vooral in netwerkapparatuur, om initiële toegang te verkrijgen. Bekende malware families zoals Dark Crystal RAT (DCRAT), Remcos RAT en Smoke Loader kwamen frequent voor in Talos onderzoeken naar operaties tegen Oekraïne in 2025.

Noord-Koreaanse cyberoperaties leunden zwaar op social engineering en insider access, zowel voor financiële als spionagedoeleinden. Campagnes zoals Contagious Interview, uitgevoerd door Famous Chollima, gebruikten valse recruiters van legitieme bedrijven om doelen te manipuleren om code uit te voeren of inloggegevens over te dragen. Noord-Koreaanse cyberactoren pleegden ook de grootste cryptocurrency-diefstal in de geschiedenis in 2025, waarbij $1,5 miljard werd gestolen. Duizenden IT-medewerkers gebruikten gestolen identiteiten en AI-gegenereerde profielen om posities te verwerven bij Fortune 500-bedrijven, wat miljarden aan jaarlijkse inkomsten genereerde voor de Noord-Koreaanse nucleaire wapen en ballistische raketprogramma's.

Iraanse cyberdreigingsactiviteit combineerde zichtbare verstoring met langdurige toegang. Hacktivistische operaties namen met 60% toe als reactie op geopolitieke gebeurtenissen, met name het conflict tussen Israël en Hamas. Groepen zoals ShroudedSnooper richtten zich op sectoren zoals telecommunicatie, met behulp van aangepaste compacte backdoors die ontworpen zijn om op te gaan in normaal verkeer en onopgemerkt te blijven. ShroudedSnooper is een APT die volgens publieke rapporten wordt toegeschreven aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).

Talos adviseert security teams om oudere systemen niet te negeren, identiteitsbeveiliging te prioriteren, de zichtbaarheid in netwerk en edge-infrastructuur te vergroten en te anticiperen op activiteit die globale gebeurtenissen volgt.

Bron: Cisco Talos | Bron 2: ic3.gov

Oekraïense ziekenhuizen en lokale overheidsinstanties zijn het doelwit geworden van een nieuwe spionagecampagne. Hierbij wordt gebruikgemaakt van een malwaretool genaamd AgingFly. Onderzoekers melden dat de campagne zich richt op het stelen van gevoelige data en in sommige gevallen het misbruiken van gecompromitteerde systemen voor cryptocurrency mining.

Het Computer Emergency Response Team van Oekraïne (CERT-UA) meldt dat de activiteit wordt uitgevoerd door een groep die bekend staat als UAC-0247. Deze groep heeft de afgelopen twee maanden meerdere aanvallen uitgevoerd op gemeentelijke autoriteiten, klinische ziekenhuizen en spoedeisende medische diensten. De aanvallen beginnen doorgaans met phishing e-mails die zich voordoen als discussies over voorstellen voor humanitaire hulp. Slachtoffers worden gevraagd een link te volgen die leidt naar het downloaden van een kwaadaardig archiefbestand. Om de berichten overtuigender te maken, creëren de aanvallers soms websites voor valse organisaties, mogelijk gegenereerd met behulp van kunstmatige intelligentie, of ze sluiten kwaadaardige scripts in op verder legitieme websites.

Na opening installeert het archief verschillende soorten malware, waaronder AgingFly, SilentLoop, ChromeElevator en ZapixDesk. AgingFly stelt aanvallers in staat een geïnfecteerde computer op afstand te bedienen, waardoor ze opdrachten kunnen uitvoeren, bestanden kunnen downloaden, screenshots kunnen maken, toetsaanslagen kunnen registreren en willekeurige code kunnen uitvoeren. SilentLoop kan opdrachten uitvoeren en het huidige adres van de command-and-controlserver van de aanvallers ophalen via een Telegram-kanaal. De aanvallers proberen ook authenticatiegegevens en andere gevoelige informatie uit internetbrowsers te extraheren met behulp van ChromeElevator, of uit WhatsApp-accounts met behulp van ZapixDesk.

In één geval ontdekten onderzoekers het gebruik van XMRig, een legitiem cryptocurrency miningtool, wat suggereert dat aanvallers de computerbronnen van slachtoffers hebben gebruikt om digitale valuta te genereren. CERT-UA waarschuwt ook dat leden van de Oekraïense strijdkrachten via soortgelijke tactieken doelwit kunnen worden. In maart ontving de instantie meldingen dat aanvallers via de Signal messaging app een vermeend bijgewerkt softwarepakket voor drone operators hadden verspreid. Het archiefbestand bevatte echter malware die AgingFly installeerde.

Eerder deze week meldde Reuters dat in een afzonderlijk incident door Rusland gelieerde hackers in meer dan 170 e-mailaccounts waren ingebroken van aanklagers en onderzoekers in Oekraïne, evenals doelwitten in naburige NAVO-landen en de Balkan. Cyberonderzoekers van Ctrl-Alt-Intel schreven die campagne toe aan de groep die bekend staat als APT28, ook wel Fancy Bear, BlueDelta of Forest Blizzard genoemd. Onderzoekers zeggen dat de hackers waarschijnlijk de Oekraïense wetshandhaving viseerden om onderzoeken naar Russische spionageactiviteiten te volgen of om mogelijk gevoelige informatie over hoge functionarissen in Kiev te verzamelen.

Bron: CERT-UA | Bron 2: cert.gov.ua | Bron 3: reuters.com

Een nieuwe malware, ZionSiphon genaamd, is specifiek ontworpen voor operationele technologie (OT) en richt zich op waterzuiveringsinstallaties en ontziltingsinstallaties om hun werking te saboteren. De malware kan hydraulische druk aanpassen en het chloorgehalte tot gevaarlijke niveaus verhogen, zo ontdekten onderzoekers. Op basis van de IP targeting en politieke boodschappen in de code, lijkt ZionSiphon zich te richten op doelen in Israël.

Onderzoekers van Darktrace, een cybersecuritybedrijf dat gebruikmaakt van AI, ontdekten een fout in de encryptielogica van het validatiemechanisme van de malware. Hierdoor is de malware momenteel niet functioneel. Ze waarschuwen echter dat toekomstige versies van ZionSiphon deze fout mogelijk verhelpen, waardoor de malware alsnog schade kan aanrichten.

Na implementatie controleert de malware of het IP adres van de host binnen Israëlische ranges valt en of het systeem software of bestanden bevat die gerelateerd zijn aan water/OT. Dit om er zeker van te zijn dat het op waterzuiveringssystemen of ontziltingssystemen draait. Darktrace merkt op dat de logica voor landverificatie defect is vanwege een XOR mismatch, waardoor de targeting mislukt en het zelfvernietigingsmechanisme wordt geactiveerd in plaats van de payload uit te voeren.

Als ZionSiphon zou worden geactiveerd, zou het aanzienlijke schade kunnen veroorzaken door het chloorgehalte te verhogen en de druk te maximaliseren. Dit gebeurt via een functie genaamd "IncreaseChlorineLevel()", die een tekstblok toevoegt aan bestaande configuratiebestanden om de chloordosis en de doorstroming zo veel mogelijk te maximaliseren als fysiek mogelijk is. "IncreaseChlorineLevel()" controleert een hardcoded lijst van configuratiebestanden die zijn gekoppeld aan ontzilting, omgekeerde osmose, chloorregeling en waterbehandeling OT/Industrial Control Systems (ICS), aldus Darktrace. Zodra een van deze bestanden aanwezig is, voegt het een vast tekstblok toe en keert direct terug. Het toegevoegde tekstblok bevat de volgende vermeldingen: "Chlorine_Dose=10", "Chlorine_Pump=ON", "Chlorine_Flow=MAX", "Chlorine_Valve=OPEN" en "RO_Pressure=80".

De intentie om te communiceren met industriële besturingssystemen (ICS) blijkt uit het scannen van het lokale subnet op de Modbus-, DNP3- en S7comm communicatieprotocollen. Darktrace heeft echter slechts gedeeltelijk functionele code voor Modbus gevonden, en slechts placeholders voor de andere twee, wat erop wijst dat de malware zich nog in een vroege ontwikkelingsfase bevindt. ZionSiphon heeft ook een USB propagatie mechanisme dat zichzelf kopieert naar verwijderbare schijven als een verborgen 'svchost.exe'-proces en maakt kwaadaardige shortcutbestanden die de malware uitvoeren wanneer erop wordt geklikt.

USB propagatie is essentieel in kritieke infrastructuresystemen, waar computers die beveiligingskritieke functies beheren vaak "air-gapped" zijn, wat betekent dat ze niet rechtstreeks met internet zijn verbonden. Hoewel ZionSiphon in de huidige versie niet operationeel is, zijn de intentie en het potentieel voor schade zorgwekkend. Het enige dat nodig is om beide te ontsluiten, is het herstellen van een kleine verificatiefout.

Bron: Darktrace

Een Oekraïense cyberfunctionaris heeft bevestigd dat verschillende lokale overheidsinstanties doelwit waren van een langdurige cyber-spionagecampagne die wordt toegeschreven aan een Russische staatsgelieerde hackersgroep, APT28, ook bekend als Fancy Bear, BlueDelta of Forest Blizzard.

Taras Dzyuba, hoofd van de afdeling informatiecommunicatie bij de Oekraïense Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP), vertelde dat de autoriteiten op de hoogte zijn van de aanvallen, die volgens westerse onderzoekers e-mailaccounts van Oekraïense aanklagers en onderzoekers hebben gecompromitteerd.

Eerder deze week meldde Reuters dat hackers gelinkt aan Rusland in de afgelopen maanden meer dan 170 e-mailaccounts van aanklagers en onderzoekers in Oekraïne hebben gehackt. Volgens Dzyuba lijkt de activiteit die in het Reuters-rapport wordt beschreven deel uit te maken van een bredere campagne die de Oekraïense autoriteiten sinds 2023 volgen.

Het computer emergency response team van Oekraïne (CERT-UA) heeft drie aanvalsgolven geïdentificeerd die waarschijnlijk deel uitmaken van dezelfde campagne. De inbraken maakten gebruik van kwetsbaarheden in het open-source Roundcube webmail platform, waardoor aanvallers schadelijke code kunnen uitvoeren wanneer een slachtoffer simpelweg een e-mail in zijn inbox opent - zonder op links te hoeven klikken of bijlagen te downloaden.

Dzyuba zei dat een deel van de informatie die tijdens deze aanvallen van verschillende Oekraïense overheidsinstanties zou zijn gestolen, eerder in maart online is gepubliceerd, maar hij voegde eraan toe dat het gelekte materiaal waarschijnlijk geen vertrouwelijke gegevens bevat. Hij zei dat Rusland deze cyberincidenten zou kunnen gebruiken als basis voor desinformatiecampagnes om Oekraïense instellingen in diskrediet te brengen.

Onderzoekers van Ctrl-Alt-Intel schrijven de campagne toe aan de hackinggroep APT28, waarvan westerse regeringen en cybersecuritybedrijven algemeen aannemen dat deze is gelinkt aan de Russische militaire inlichtingendienst, de GRU. Dzyuba bevestigde dat alle indicaties naar deze groep wijzen. CERT-UA heeft eerder melding gemaakt van verschillende APT28-aanvallen die misbruik maakten van kwetsbaarheden in Roundcube.

Volgens een rapport van Ctrl-Alt-Intel bevonden de meeste slachtoffers van de laatste campagne zich in Oekraïne, hoewel sommige gecompromitteerde accounts waren gekoppeld aan buurlanden van de NAVO en de Balkan, waaronder Roemenië, Bulgarije, Griekenland en Servië.

Onder de Oekraïense instellingen die naar verluidt getroffen zijn, bevinden zich het Gespecialiseerde Anti-Corruptie Openbaar Ministerie (SAP) en het Agentschap voor Activaherstel en -beheer (ARMA), dat toezicht houdt op activa die in beslag zijn genomen van criminelen en Russische collaborateurs. Het waarnemend hoofd van ARMA, Yaroslava Maksymenko, bevestigde donderdag dat de werknemers van het agentschap het doelwit waren van een Russische cyberaanval, maar zei dat de hackers geen toegang kregen tot de interne systemen. SAP zei eerder deze week dat het een onderzoek had ingesteld naar aanleiding van berichten dat Russische hackers tientallen e-mailaccounts van Oekraïense wetshandhavers hadden geschonden, waaronder die van het agentschap. Tot dusver hebben onderzoekers geen bewijs gevonden dat er gegevens zijn gestolen van SAP-systemen, hoewel het onderzoek nog loopt.

Bron: Recorded Future News | Bron 2: ctrlaltintel.com | Bron 3: reuters.com

Oekraïense hackers hebben een besloten bijeenkomst van het Russische ministerie van Industrie en Handel over droneproductie gehackt. Dit is gemeld door IntCyberDigest. Tijdens de bijeenkomst bleek dat Rusland zelfs basiscomponenten niet kan verkrijgen en nu volledig afhankelijk is van China. Er werd gesproken over de noodzaak om zelfs koperdraad en plastic te importeren.

Bron: Int. Cyber Digest

De locatie van het Nederlandse luchtverdedigingsfregat Zr.Ms. Evertsen werd ongeveer 24 uur lang blootgelegd door een Bluetooth tracker van 5 euro, verstopt in een ansichtkaart. Het schip maakt deel uit van de NAVO carrier strike group rond het Franse vliegdekschip Charles de Gaulle. Journalist Just Vervaart van Omroep Gelderland stuurde de kaart via de militaire post en kon de route volgen van vertrek uit de haven van Heraklion op Kreta richting Cyprus.

De tracker bleef ongeveer 24 uur actief voordat het Ministerie van Defensie hem ontdekte tijdens het sorteren van binnenkomende post en uitschakelde. Volgens Defensie was er geen operationeel risico, omdat het schip op dat moment geen gevoelige missie uitvoerde. Het bredere veiligheidsprobleem blijft wel overeind, een kaart van 5 euro kan de locatie van een fregat van 585 miljoen euro blootleggen.

Defensie heeft direct maatregelen genomen. Wenskaarten met batterijen worden vanaf nu niet meer aan boord van schepen toegelaten. De instructies voor militaire post worden opnieuw doorgelicht om te voorkomen dat vergelijkbare apparaten ongecontroleerd aan boord komen. Het incident laat zien dat supply chain risico's verder reiken dan IT systemen alleen, ook fysieke post kan een aanvalsvector zijn.

Bron: NOS | Bron 2: vrt.be | Bron 3: security.nl

De Europese Unie heeft dinsdag sancties opgelegd aan twee pro-Russische organisaties die worden beschuldigd van het verspreiden van desinformatie en het ondersteunen van de hybride invloedsoperaties van Moskou tegen Europa en Oekraïne. Deze maatregelen zijn gericht op Euromore, een mediakanaal dat volgens EU-functionarissen de narratieven van het Kremlin versterkt, en de Stichting ter Ondersteuning en Bescherming van de Rechten van in het Buitenland Woonachtige Landgenoten (Pravfond). Deze laatste is een door de Russische staat gefinancierde groep die wordt beschuldigd van het promoten van propaganda die aansluit bij het buitenlandse beleid van Rusland.

De Raad van de Europese Unie heeft verklaard dat de twee entiteiten een rol spelen in informatie-manipulatiecampagnes die zijn ontworpen om democratische instellingen, stabiliteit en veiligheid binnen de EU en in Oekraïne te ondermijnen. Euromore fungeert volgens de verklaring als een informeel kanaal binnen het informatie-netwerk van het Kremlin, waarbij narratieven worden versterkt en gerecycled die de legitimiteit van EU-instellingen betwisten en de oorlog van Rusland tegen Oekraïne proberen te rechtvaardigen. De EU heeft opgemerkt dat het platform regelmatig bijdragers presenteert die zijn gekoppeld aan complottheorieën en desinformatie. Hoewel de meeste originele inhoud van Euromore van de website lijkt te zijn verwijderd, blijft het domein actief en wordt het nu doorgestuurd naar een site genaamd Euroview Media, die materiaal van door de Russische staat gesteunde nieuwsbronnen zoals RT en Sputnik herpubliceert.

De EU heeft ook sancties opgelegd aan Pravfond, die door functionarissen wordt omschreven als een instrument van de wereldwijde invloedsoperaties van Rusland. De organisatie, opgericht en gefinancierd door de Russische staat, produceert materiaal dat de kernnarratieven van het Kremlin versterkt. Dit omvat beweringen dat Oekraïne 'genazificeerd' is en beschuldigingen dat Russischsprekende bevolkingen systematisch worden vervolgd in buurlanden. EU-autoriteiten stellen dat Pravfond ook financiële steun kanaliseert naar actoren die zijn verbonden met pro-Kremlin invloedsnetwerken.

Onder de sancties zullen alle activa van de twee entiteiten binnen de EU worden bevroren. EU-burgers en -bedrijven is het ook verboden om hen van fondsen of economische middelen te voorzien. Deze stap maakt deel uit van de bredere inspanningen van de EU om Russische informatie-manipulatie en hybride operaties gericht op Europa tegen te gaan sinds het begin van de grootschalige invasie van Oekraïne door Moskou. De EU heeft tot nu toe sancties opgelegd aan 69 personen en 19 entiteiten die verband houden met de Russische hybride oorlogvoering.

Bron: Europese Unie | Bron 2: consilium.europa.eu | Bron 3: recordedfuture.com

Een recent overzicht van Talos, de dreigingsinlichtingendienst van Cisco, voor het jaar 2025 wijst op een alarmerende toename van interne phishingcampagnes en de voortdurende evolutie van staatsgestuurde cyberaanvallen. In een podcast bespraken Amy Ciminnisi en Martin Lee de belangrijkste trends uit de Talos Year in Review 2025. Zij benadrukten de effectiviteit van interne phishing, die traditionele perimeterbeveiliging steeds vaker omzeilt. Een opvallende ontwikkeling hierbij is de wijdverspreide bewapening van de Direct Send functionaliteit binnen Microsoft 365, die door aanvallers wordt misbruikt voor hun campagnes.

De analyse gaat verder dan eenvoudige phishing en beschrijft de agressieve en gelaagde operaties van staatsgestuurde actoren uit China en Noord-Korea. Deze groeperingen combineren geavanceerde zero-day exploits met geraffineerde social engineering technieken om hun doelen te bereiken. Voorbeelden van dergelijke tactieken omvatten de "Dear Leader" interviewtest, waarbij slachtoffers worden verleid tot het uitvoeren van specifieke acties onder valse voorwendselen, en het gebruik van valse identiteiten van ontwikkelaars om toegang te verkrijgen. Deze methoden illustreren hoe tegenstanders moderne organisaties infiltreren door zowel technische kwetsbaarheden als menselijke factoren te exploiteren.

De bevindingen van Talos onderstrepen de noodzaak voor organisaties om hun verdediging te versterken tegen zowel externe als interne dreigingen, en om aandacht te besteden aan de complexe tactieken die door staatsgestuurde actoren worden ingezet. De combinatie van zero-day kwetsbaarheden en social engineering vormt een aanzienlijke uitdaging voor de hedendaagse cyberbeveiliging.

Bron: Cisco Talos | Bron 3: storage.ghost.io

De beruchte Noord-Koreaanse Lazarus Group, een door de staat gesponsord cyberleger onder leiding van de inlichtingendienst van Kim Jong-un, heeft afgelopen weekend een gigantische cryptoroof gepleegd. Met een ingenieuze aanval op het platform KelpDAO wisten de hackers in korte tijd 250 miljoen euro buit te maken, wat deze operatie tot de grootste cryptoroof van het jaar maakt.

De aanval richtte zich op de 'digitale brug' die verschillende cryptosystemen en blockchains met elkaar verbindt. Door een strategisch deel van dit netwerk plat te leggen met een cyberaanval, dwongen de cybercriminelen het systeem om over te schakelen naar onveilige servers die zij zelf onder controle hadden. Via deze achterdeur konden de aanvallers in slechts enkele minuten tijd honderden miljoenen aan valse transacties goedkeuren en de fondsen overhevelen.

Hoewel cyberbeveiligingsteams en de politie snel actie ondernamen, slaagden zij er slechts in om ongeveer 75 miljoen dollar (circa 64 miljoen euro) te bevriezen. Het overgrote deel van de gestolen crypto is nog altijd spoorloos. Volgens rapporten van Moneyweb zijn de Noord-Koreanen bezig de miljoenen in hoog tempo door diverse digitale witwaskanalen te sluizen om hun sporen uit te wissen en de herkomst van het geld te verhullen. Deze methode stelt het regime in staat om de buitgemaakte fondsen te gebruiken voor hun eigen doeleinden, waaronder de financiering van wapenprogramma's.

Bron: HLN.be

De samenwerking tussen Rusland en Iran verdiept, waarbij Rusland Iran voorziet van inlichtingen, drone expertise en lessen van het slagveld in Oekraïne. Dit bleek uit waarschuwingen die Amerikaanse wetgevers te horen kregen tijdens een hoorzitting van de Amerikaanse Helsinki Commissie. De rol van Iran in Oekraïne strekt zich nu uit van drones tot inlichtingen, cybertools en regionale militaire coördinatie.

Behnam Ben Taleblu, senior directeur van het Iran Programma bij de Foundation for Defense of Democracies, benadrukte dat de groeiende partnerschap niet als een geïsoleerd regionaal probleem moet worden gezien. Hij beschreef het als onderdeel van een bredere autoritaire alliantie die ook China en Noord-Korea omvat. Deze staten worden steeds meer verenigd door anti-Amerikanisme, binnenlandse repressie en revisionistische ambities in het buitenland. Taleblu noemde hen een "autoritaire en anti-Amerikaanse as van agressors" die op zoek zijn naar goedkope manieren om hun macht uit te breiden ten koste van de Verenigde Staten en haar democratische partners.

De bedreigingen van Moskou en Teheran zijn steeds meer met elkaar verweven, waarbij de oorlog in Oekraïne dient als een belangrijke arena voor hun strategische samenwerking. De relatie tussen Rusland en Iran is het product van een politieke keuze. De beslissing van Teheran om in 2023 toe te treden tot de Shanghai Samenwerkingsorganisatie en in 2024 tot BRICS, weerspiegelt de groeiende integratie van Iran in een breder anti-westerse blok.

Een belangrijke ontwikkeling was de ondertekening van een strategische overeenkomst voor twintig jaar in 2025. Deze overeenkomst omvat samenwerking op het gebied van veiligheid, energie, economie, technologie, cyber en politiek. Iran heeft Rusland drones voor eenrichtingsaanvallen geleverd voor gebruik in Oekraïne en heeft Moskou geholpen bij het opzetten van de capaciteit om dergelijke drones op Russisch grondgebied te produceren. Dit markeerde een historisch keerpunt, aldus Taleblu, aangezien Iran hiermee voor het eerst als een actieve deelnemer aan een oorlog op het Europese continent kan worden beschouwd.

De uitwisseling tussen de twee landen is niet eenzijdig. Hoewel Iran Rusland naar schatting vier miljard dollar aan wapens heeft geleverd, kan Rusland Iran aanzienlijke hulp bieden. Deze steun omvat contant geld, goud, buitgemaakte westerse wapens van het Oekraïense slagveld, cybertools die kunnen worden gebruikt om Iraanse burgers te surveilleren en te onderdrukken, en recentelijk ook targetinggegevens over Amerikaanse posities in de regio, verkregen via satellietpassages. Rusland speelt ook een groeiende rol in het ruimteprogramma van Iran, met de lancering van acht Iraanse satellieten in een lage baan om de aarde sinds 2022 zonder storingen, en zelfs de bouw van een satelliet voor het gesanctioneerde Iraanse ruimteagentschap in 2022.

Taleblu suggereerde dat de partnerschap tussen Rusland en Iran nu crossregionale militaire lessen genereert, met name op het gebied van drone oorlogvoering. De ervaringen opgedaan op het slagveld in Oekraïne kunnen directe relevantie hebben voor de Perzische Golf, het bredere Midden-Oosten en het verantwoordelijkheidsgebied van het Amerikaanse Centraal Commando. Hij riep het Congres op om de Joint Interagency Task Force 401 uit te breiden en te onderzoeken hoe lessen uit Oekraïne kunnen worden toegepast op het detecteren en verslaan van Iraanse en Russische onbemande luchtdreigingen elders.

Bron: Kyiv Post

Het National Cyber Security Centre (NCSC-UK) heeft, ondersteund door de UK Cyber League en in samenwerking met diverse internationale partners, een waarschuwing uitgegeven over de tactieken van cyberactoren gelieerd aan China. Deze actoren maken op grote schaal gebruik van heimelijke netwerken van gecompromitteerde apparaten om cyberactiviteiten uit te voeren. Onder de internationale partners bevinden zich ook de Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD).

De waarschuwing beschrijft een significante verschuiving in de tactieken, technieken en procedures (TTP's) van deze actoren. Waar zij voorheen individueel aangeschafte infrastructuur gebruikten, zetten zij nu grootschalige netwerken van gecompromitteerde apparaten in. Deze "heimelijke netwerken" bestaan voornamelijk uit gehackte Small Office/Home Office (SOHO)-routers, IoT en slimme apparaten. Het NCSC-UK vermoedt dat de meeste door China gelieerde dreigingsactoren deze netwerken gebruiken, dat er meerdere van dergelijke netwerken bestaan die constant worden bijgewerkt, en dat één netwerk door meerdere actoren kan worden benut.

De heimelijke netwerken worden ingezet als een goedkope, risicoarme en ontkenbare methode om cyberactiviteiten uit te voeren, waarbij de oorsprong en attributie van kwaadaardige handelingen worden gemaskeerd. De actoren gebruiken deze netwerken in elke fase van hun Cyber Kill Chain, variërend van scans voor verkenning tot de levering van malware, communicatie met de malware en het exfiltreren van gestolen data. Ze dienen ook voor anoniem internetbrowsen, zodat dreigingsactoren exploitatietechnieken, nieuwe TTP's en hun slachtoffers kunnen onderzoeken zonder te worden opgespoord.

Voorbeelden van het gebruik van deze netwerken zijn de Chinese door de staat gesponsorde actor Volt Typhoon, die ze gebruikte om offensieve cybermogelijkheden te positioneren op kritieke nationale infrastructuur. De groep Flax Typhoon zette een ander heimelijk netwerk in voor cyberespionage. Het gebruik van botnets voor kwaadaardige cyberactiviteit is niet nieuw, maar de door China gelieerde cyberactoren passen deze methode nu strategisch en op grote schaal toe.

Er is bewijs dat deze heimelijke netwerken worden gecreëerd en onderhouden door Chinese informatiebeveiligingsbedrijven. Een bekend netwerk, Raptor Train, infecteerde in 2024 meer dan 200.000 apparaten wereldwijd en werd gecontroleerd door het Chinese bedrijf Integrity Technology Group. Dit bedrijf werd door de FBI ook verantwoordelijk geacht voor de computerinbraakactiviteiten die aan de in China gevestigde hackers van Flax Typhoon werden toegeschreven.

Paul Chichester, Director of Operations bij het NCSC-UK, benadrukt dat botnetoperaties een significante dreiging vormen, aangezien ze kwetsbaarheden in alledaagse, met het internet verbonden apparaten uitbuiten en het potentieel hebben om grootschalige cyberaanvallen uit te voeren. Naast SOHO-routers omvatten de gecompromitteerde apparaten ook webcamera's, videorecorders, firewalls en Network Attached Storage (NAS)-apparaten. Het KV Botnet, gebruikt door Volt Typhoon, bestond voornamelijk uit kwetsbare Cisco en NetGear-routers.

Bron: NCSC-UK | Bron 2: attack.mitre.org | Bron 3: justice.gov

De cyberdreiging vanuit Iran kenmerkt zich waarschijnlijk minder door grootschalige, verwoestende aanvallen op kritieke infrastructuur dan door een "low and slow"-benadering, zo stellen functionarissen en cybersecurityexperts. Na een waarschuwing van het Cybersecurity and Infrastructure Security Agency (CISA) over aan Iran gelinkte cyberactoren die "disruptieve effecten in de Verenigde Staten" wilden veroorzaken, bereidde de VS zich voor op een grote cyberaanval. Echter, tijdens de Asness Summit on Modern Conflict and Emerging Threats in Nashville, gaven voormalig NSA-directeur Tim Haugh en cybersecurityexpert Kevin Mandia aan dat de meer waarschijnlijke dreiging stiller is: opportunistische intrusies die groter worden voorgesteld dan ze werkelijk zijn.

Volgens Haugh en Mandia leunen de cyberoperaties van Iran minder op nieuwe capaciteiten en meer op het exploiteren van fundamentele beveiligingslekken, waarbij de resultaten vervolgens worden versterkt via informatieoperaties. Haugh vergeleek de cybercapaciteit van Iran met die van een criminele actor: "Ze zullen gerichte, opportunistische aanvallen uitvoeren en dat vervolgens proberen te koppelen aan een informatieoperatie om het groot te maken." Deze aanpak - eerst toegang verkrijgen, later het narratief vormgeven - is tot nu toe kenmerkend gebleken.

Een recent voorbeeld hiervan is het incident met het bedrijf in medische hulpmiddelen Stryker, dat als de meest spraakmakende vergeldingscyberaanval wordt gezien. Hoewel hackers duizenden apparaten zouden hebben uitgeschakeld en dit veel media-aandacht kreeg, was de operatie volgens Haugh en Mandia niet gebaseerd op geavanceerde malware of een voorheen onbekende kwetsbaarheid. In plaats daarvan begon het met een persoon die via social engineering werd benaderd, waarna legitieme inloggegevens werden gebruikt om schade aan te richten. De aanvallers gebruikten een legitieme functionaliteit om gegevens te verwijderen waarvoor ze al toestemming hadden.

Het incident werd breed omschreven als een destructieve cyberaanval, maar weerspiegelde in de praktijk een bekender probleem: aanvallers die geldige inloggegevens gebruiken om van binnenuit schade aan te richten. Mandia benadrukte dat organisaties dit patroon, in plaats van zeer specifieke exploits, moeten verwachten. Hij gaf aan dat de aanvallers "geldige inloggegevens van het dark web hebben gekocht." Zijn advies aan CISO's is om diensten te gebruiken die proberen in te loggen op elke inlogpagina en API, en om overal meervoudige authenticatie (MFA) te implementeren.

Bovendien is er een timingelement dat deze operaties geavanceerder kan doen lijken. Aanvallers claimen vaak publiekelijk een doelwit dat ze al succesvol hebben gecompromitteerd om de indruk van snelheid en precisie te wekken. In een conflictsituatie kan deze perceptie verder worden versterkt. Mandia merkte op dat de cyberwereld een "slechte buurt" is en dat in tijden van oorlog "het volume tot 11 wordt opgeschroefd."

De waarschijnlijke doelwitten weerspiegelen deze pragmatische benadering. Iran zal zich eerder richten op specifieke organisaties met banden met Israël of de VS, en elke intrusie koppelen aan een informatiecampagne. Mandia verwacht geen geavanceerde webapplicatieaanvallen, maar eerder problemen met identiteitsbeveiliging door inlogpogingen. Zelfs als de spanningen afnemen, zal deze basisaanpak waarschijnlijk niet veranderen, omdat hackers "elke dag acht tot tien uur hacken." Voor verdedigers is de implicatie duidelijk: de volgende fase van cyberconflict zal niet afhangen van nieuwe tools of tactieken, maar van de vraag of organisaties de meest fundamentele lekken hebben gedicht die aanvallers al die tijd al exploiteren.

Bron: ballisticventures.com | Bron 2: cnbc.com | Bron 3: recordedfuture.com

Terwijl het Pentagon kunstmatige intelligentie (AI) steeds verder integreert in de machinerie van oorlog, staat het voor een minder zichtbare, maar even cruciale uitdaging: hoe de software te beveiligen en te controleren die binnenkort beslissingen op het slagveld kan helpen nemen. Autonome wapens zijn geen verre toekomst meer, zo stelde generaal Dan Caine, voorzitter van de Joint Chiefs of Staff, tijdens de Asness Summit aan de Vanderbilt University. Ze zullen een "sleutel en essentieel onderdeel van alles wat we doen" worden, voegde hij eraan toe.

Deze verschuiving gaat verder dan het inzetten van slimmere drones of snellere systemen. Het omvat ook de opbouw van een digitale infrastructuur, variërend van command- en controlnetwerken tot machine learning modellen, die betrouwbaar moet zijn onder vijandige omstandigheden. Generaal Caine benadrukte dat er veel nagedacht wordt over de groeiende rol van autonomie in gebieden zoals doelbepaling, logistiek en coördinatie op het slagveld.

De urgentie wordt versterkt door een groeiende kloof tussen het leger en de private sector, waar veel van de meest geavanceerde ontwikkeling van AI plaatsvindt. Het Amerikaanse Ministerie van Defensie is in toenemende mate afhankelijk van commercieel ontwikkelde softwaresystemen die oorspronkelijk niet voor militair gebruik zijn ontworpen. Dit roept zorgen op over kwetsbaarheden, risico's in de toeleveringsketen en de mogelijkheid dat tegenstanders hiervan misbruik maken.

Deze zorgen kwamen recentelijk scherp naar voren in een conflict met Anthropic, een van de leidende bedrijven die zich richten op AI. Het bedrijf heeft de openbare release van zijn krachtige model, Mythos Preview, uitgesteld vanwege cyberbeveiligingsrisico's en bezorgdheid over misbruik bij wijdverspreide implementatie. Tegelijkertijd hebben inlichtingendiensten interesse getoond in de capaciteiten van het model; de National Security Agency (NSA) heeft naar verluidt toegang gekregen tot het model.

Eerder dit jaar weigerde Anthropic de beperkingen op het gebruik van zijn systemen te versoepelen, waaronder limieten op binnenlandse surveillance en volledig autonome wapens. Deze weigering leidde tot een publieke ruzie waarin het Pentagon het bedrijf aanmerkte als een "risico in de toeleveringsketen", een term die doorgaans wordt gebruikt voor buitenlandse leveranciers wiens technologie beveiligingskwetsbaarheden in overheidssystemen zou kunnen introduceren. Het Witte Huis volgde met een bevel om het gebruik van de tools van Anthropic geleidelijk af te bouwen, een besluit dat door een federale rechter tijdelijk werd geblokkeerd in maart na een juridische uitdaging van het bedrijf. De regering heeft aangegeven in beroep te gaan, alhoewel president Donald Trump recentelijk suggereerde dat het geschil aan het verzachten is.

Dit incident benadrukt een dieper, onopgelost probleem: de Verenigde Staten haasten zich om AI te adopteren voor nationale veiligheidsdoeleinden, terwijl ze afhankelijk zijn van een commercieel ecosysteem dat niet altijd overeenkomt met militaire prioriteiten, met name wat betreft risicotolerantie en controle. Voor militaire planners is de zorg niet alleen of systemen met AI sneller of beter kunnen beslissen, maar ook of deze systemen kunnen worden beveiligd tegen manipulatie, datavervuiling of onbedoeld gedrag in risicovolle omgevingen.

Deze risico's zijn niet langer theoretisch. Wetgevers hebben het Pentagon reeds om opheldering gevraagd over het mogelijke gebruik van AI-systemen bij een dodelijke aanval op een Iraanse school tijdens de beginfase van de oorlog tussen de VS, Israël en Iran, wat vragen oproept over hoe dergelijke tools worden getest, gecontroleerd en bestuurd. Generaal Caine wees ook op een meer alledaags obstakel: het eigen inkoopsysteem van de overheid. Hij pleit voor betere contracten, omdat de huidige acquisitiekaders ongeschikt zijn voor software die voortdurend evolueert en doorlopende beveiligingsupdates vereist. Traditionele contracten, ontworpen voor vaste hardwaresystemen, kunnen de implementatie van kritieke technologieën vertragen en leiden tot lacunes in de verantwoordelijkheid.

Naarmate het Pentagon dieper doordringt in oorlogsvoering met AI, gaat de uitdaging minder over de functionaliteit van de technologie en meer over de betrouwbaarheid, beveiliging en controle ervan in een domein waar de foutmarge minimaal is.

Bron: axios.com | Bron 2: recordedfuture.com

Meer dan 10.000 Zimbra Collaboration Suite (ZCS) installaties die online toegankelijk zijn, blijken kwetsbaar te zijn voor aanhoudende aanvallen die misbruik maken van een cross-site scripting (XSS) beveiligingslek. Dit is gebleken uit een waarschuwing van de non-profit beveiligingsorganisatie Shadowserver. Zimbra is een veelgebruikt e-mail- en samenwerkingsplatform dat door honderden miljoenen mensen wereldwijd wordt gebruikt, waaronder honderden overheidsinstanties en duizenden bedrijven.

Het beveiligingslek, bekend onder de identificatie CVE-2025-48700, treft ZCS versies 8.8.15, 9.0, 10.0 en 10.1. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om gevoelige informatie te verkrijgen door willekeurige JavaScript-code uit te voeren binnen de gebruikerssessie. Synacor, de ontwikkelaar van Zimbra, heeft in juni 2025 beveiligingspatches uitgebracht om dit lek te dichten. Destijds waarschuwden zij al dat exploits voor CVE-2025-48700 geen gebruikersinteractie vereisen en geactiveerd kunnen worden wanneer een gebruiker een kwaadaardig opgesteld e-mailbericht bekijkt in de Zimbra Classic gebruikersinterface.

Het Amerikaanse cybersecurity-agentschap CISA heeft CVE-2025-48700 recentelijk toegevoegd aan haar 'Known Exploited Vulnerabilities (KEV) Catalog', wat betekent dat er bewijs is van actieve uitbuiting in de praktijk. CISA gaf federale civiele uitvoerende tak (FCEB) agentschappen de opdracht om hun Zimbra servers binnen drie dagen, uiterlijk 23 april, te beveiligen. Op vrijdag waarschuwde internetbeveiligingswaakhond Shadowserver dat meer dan 10.500 Zimbra servers die online toegankelijk zijn, nog steeds niet gepatcht zijn. Het grootste deel hiervan bevindt zich in Azië (3.794) en Europa (3.793), wat een aanzienlijk risico vormt voor organisaties in deze regio's, inclusief Nederland en België.

Hoewel CISA geen specifieke details deelde over de huidige aanvallen op CVE-2025-48700, is een andere kwetsbaarheid in XSS (CVE-2025-66376), die begin november werd gepatcht, eerder al misbruikt. Deze werd door de door de staat gesteunde APT28 (ook bekend als Fancy Bear of Strontium) militaire hackers ingezet bij phishingaanvallen gericht op Oekraïense overheidsinstanties, beginnend in januari. Deze phishingcampagne, door onderzoekers van Seqrite Labs 'Operation GhostMail' genoemd, richtte zich onder meer op het Oekraïense Staatsbureau voor Hydrologie en leverde een versluierde JavaScript-payload af wanneer ontvangers de kwaadaardige e-mails openden in kwetsbare Zimbra webmail-sessies. Seqrite Labs merkte op dat de phishing-e-mail geen kwaadaardige bijlagen, verdachte links of macro's bevatte; de gehele aanvalsketen bevond zich binnen de HTML-body van één enkele e-mail.

Zimbra-lekken worden regelmatig misbruikt bij aanvallen. Zo gebruikten Russische Winter Vivern cyber-spionnen in februari 2023 een reflected XSS-exploit om Zimbra webmail-portalen te doorbreken en e-mails te stelen van NATO-gelieerde organisaties en individuen, waaronder militair personeel, overheidsfunctionarissen en diplomaten. Meer recentelijk, in oktober 2024, waarschuwden Amerikaanse en Britse cyberagentschappen dat APT29 (ook bekend als Cozy Bear of Midnight Blizzard) hackers, gelinkt aan de Russische buitenlandse inlichtingendienst (SVR), Zimbra servers op grote schaal aanvielen, waarbij een beveiligingsprobleem werd misbruikt dat eerder al was ingezet om e-mailaccountgegevens te stelen.

Bron: Shadowserver | Bron 2: cisa.gov | Bron 3: nvd.nist.gov