Cyberoorlog nieuws

Tijdens gezamenlijke preventieve luchtaanvallen van Israëlische en Amerikaanse troepen op Teheran, vond een geavanceerde cyber-psychologische operatie plaats. Miljoenen Iraanse burgers en militair personeel werden niet alleen gewekt door explosies, maar ook door ongeautoriseerde push notificaties van een gecompromitteerde mobiele applicatie. Dit incident markeert een nieuwe escalatie in cyberoorlog tussen natiestaten, waarbij digitale inbraak wordt gecombineerd met kinetische militaire operaties.

De primaire vector voor dit digitale offensief was de 'BadeSaba Calendar', een populaire gebedstijden-app met meer dan 5 miljoen downloads in de Google Play Store. Kort na het begin van de fysieke aanvallen op zaterdagochtend, werd het notificatiesysteem van de app gekaapt om berichten van psychologische oorlogsvoering uit te zenden. Vanaf 09:52 uur lokale tijd ontvingen gebruikers een reeks push notificaties met de titel "Hulp is onderweg". Screenshots toonden aan dat deze berichten Iraanse militairen expliciet opriepen hun posten te verlaten en hun wapens neer te leggen in ruil voor amnestie.

De exacte malware of exploitatietechniek is nog niet geidentificeerd. Cybersecurity experts beschouwen dit als een gecoordineerde operatie van een natiestaat en niet als een standaard cybercriminele aanval. De dreigingsactoren hebben waarschijnlijk de backend infrastructuur van de applicatie al vroegtijdig gecompromitteerd en de notificaties klaargezet als getriggerde payloads, perfect getimed om samen te vallen met de kinetische luchtaanvallen.

Gelijktijdig met de app-inbreuk ervoer Iran een ernstige digitale black-out. Het nationale netwerkverkeer daalde tot slechts 4 procent van het normale niveau. Staatsgelieerde persbureaus, waaronder IRNA en ISNA, werden offline gehaald door vermoedelijke gecoordineerde cyberaanvallen.

Het Amerikaanse Cyber Command heeft online aanvallen uitgevoerd op Iraanse communicatiesystemen, wat volgens een topgeneraal de weg vrijmaakte voor een gezamenlijke Amerikaanse en Israëlische bombardementscampagne. Tijdens een persconferentie in het Pentagon verklaarde generaal Dan Caine, voorzitter van de Joint Chiefs of Staff, dat de acties van het Cyber Command, samen met het U.S. Space Command, essentieel waren in het ondersteunen van de missie genaamd "Operation Epic Fury". Deze operatie resulteerde in de dood van de Iraanse Supreme Leider Ayatollah Ali Khamenei en andere hooggeplaatste Iraanse functionarissen.

Volgens Caine hebben gecoördineerde ruimte- en cyberoperaties de communicatie- en sensornetwerken in het betreffende gebied effectief verstoord, waardoor de tegenstander niet in staat was om effectief te zien, te coördineren of te reageren. Deze inspanningen hebben bijgedragen aan het verstoren, desoriënteren en verwarren van de vijand.

Caine's opmerkingen vormen de meest expliciete erkenning tot nu toe van de rol van Cyber Command in de militaire operaties die de tweede termijn van de regering-Trump hebben gekenmerkt. Eerder meldde Recorded Future News al dat het commando vorig jaar Iraanse raketafweersystemen had verstoord ter ondersteuning van een succesvolle bombardementsoperatie tegen belangrijke nucleaire sites in Iran. Caine en president Donald Trump hadden eerder dit jaar al gezinspeeld op de inspanningen van Cyber Command om de stroom in de Venezolaanse hoofdstad uit te schakelen en om de luchtverdedigingsradar en handradio's te verstoren als onderdeel van de missie om president Nicolás Maduro gevangen te nemen.

Sinds de gezamenlijke Amerikaans-Israëlische aanvallen op doelen in Iran zijn er een aantal cyberoperaties uitgevoerd, waaronder de hacking van meerdere nieuwssites en een religieuze kalender-app, naar verluidt door Israëlische digitale troepen. Deze acties bevatten berichten waarin werd opgeroepen tot desertie en verzet tegen het Iraanse regime.

Zowel Washington als Jeruzalem bereiden zich voor op mogelijke vergeldingsaanvallen van Iraanse proxygroepen of bondgenoten van Teheran. In het verleden heeft Iran een reeks kwaadaardige activiteiten uitgevoerd, variërend van ransomwareaanvallen tot denial-of-service aanvallen. Jordanië meldde dat zijn National Cybersecurity Center een Iraanse cyberaanval op de graanopslagsystemen van het land had verijdeld.

Bron: wsj.com | Bron 2: recordedfuture.com

Cisco Talos houdt de ontwikkelingen in het Midden-Oosten in de gaten en waarschuwt voor mogelijke cyberincidenten die verband houden met het conflict. Tot nu toe zijn er enkele kleine incidenten waargenomen, zoals website defacements en kleinschalige DDoS aanvallen. Talos verwacht dat Iraanse groeperingen zich vooral zullen richten op spionage, destructieve aanvallen en hack-and-leak operaties.

Hoewel de focus van het conflict momenteel op kinetische activiteiten lijkt te liggen, kan de situatie veranderen. Talos ziet nog geen significante toename van cyberactiviteit door statelijke actoren of aan hen gelieerde groepen. Wel waarschuwen ze voor sympathiserende groepen, zoals hacktivisten, die website defacements en DDoS campagnes kunnen uitvoeren. Cybercriminelen kunnen proberen de situatie uit te buiten door middel van social engineering, waarbij ze het conflict gebruiken als dekmantel voor het verspreiden van malware via links en documenten.

Talos adviseert organisaties om extra alert te zijn en de basisprincipes van security hygiene toe te passen, zoals multi-factor authenticatie (MFA), waakzaamheid bij het klikken op links en het openen van documenten, en adequate monitoring om voorbereid te zijn op eventuele gevolgen. Organisaties dienen zich bewust te zijn van de impact op partners en leveranciers in de regio en mogelijk extra inspecties of controles uit te voeren.

Werknemers worden gewaarschuwd voor "hacktivistische" lokmiddelen, zoals links met nieuws of humanitaire hulp, die kunnen leiden tot infostealers of backdoors. Talos adviseert om de frequentie van phishing-simulaties te verhogen met actuele geopolitieke thema's. Daarnaast is het belangrijk om de afhankelijkheden van de organisatie in kaart te brengen, inclusief leveranciers, service providers en ontwikkelaars in of verbonden met het conflictgebied. Voor toegang door derden dient strikte MFA te worden gehanteerd en "zero-trust" audits uit te voeren op administratieve tools. Om publieke merken te beschermen, wordt het gebruik van een Content Delivery Network (CDN) met DDoS mitigatie aanbevolen en web content management systemen (CMS) volledig te patchen. Zorg er tevens voor dat alle software is bijgewerkt naar de nieuwste versies.

Bron: Cisco Talos

Op 28 februari 2026 lanceerden de Verenigde Staten en Israël een gezamenlijke offensieve operatie genaamd "Epic Fury" (VS) en "Roaring Lion" (Israël). In de uren na deze actie begon Iran een vergeldingscampagne die is uitgegroeid tot een transregionaal conflict, aldus Unit 42.

Unit 42 heeft een toename waargenomen in cyberaanvallen van activisten buiten Iran. De beperkte internetconnectiviteit in Iran (tussen 1-4% sinds 28 februari 2026) zal naar verwachting de capaciteit van staatstroepen om gecoördineerde cyberaanvallen uit te voeren, hinderen. Dit kan leiden tot tactische autonomie voor cellen buiten Iran, hoewel de capaciteit voor complexe operaties waarschijnlijk verminderd is.

Iraanse hacktivistische groepen zullen zich richten op organisaties die als tegenstanders worden gezien, maar de impact hiervan zal waarschijnlijk laag tot gemiddeld zijn. Andere staatstroepen kunnen proberen de situatie te misbruiken om cyberaanvallen te activeren die hun eigen belangen dienen. Geografisch verspreide operators en cyber proxies kunnen zich richten op overheden in regio's met Amerikaanse militaire bases om de logistiek te verstoren. Deze activiteiten zullen waarschijnlijk bestaan uit verstoringen met een lage tot gemiddelde complexiteit, zoals DDoS aanvallen en hack en lek campagnes.

Bron: Unit 42 | Bron 2: virustotal.com

Onderzoekers hebben een vermeende Russische spionagecampagne ontdekt die gericht is op Oekraïne. Hierbij worden twee niet eerder gedocumenteerde malwarevarianten gebruikt. De campagne begint met een phishingmail met een link naar een ZIP archief. Dit archief bevat een kwaadaardig document in het Oekraïens, dat een vergunning lijkt te verlenen voor het overschrijden van een Oekraïens grenspunt, aldus onderzoekers van cybersecuritybedrijf ClearSky.

Het openen van het archief triggert de download van een malwareloader genaamd BadPaw, die vervolgens een tweede tool installeert, genaamd MeowMeow. MeowMeow is een geavanceerde backdoor die aanvallers toegang geeft tot geïnfecteerde systemen en lokaal opgeslagen bestanden kan manipuleren. Volgens ClearSky kan de backdoor controleren of specifieke bestanden op een apparaat aanwezig zijn en gegevens op de geïnfecteerde machine lezen, schrijven of verwijderen.

Beide malwarevarianten bevatten mechanismen die zijn ontworpen om detectie te vermijden. De MeowMeow backdoor scant geïnfecteerde systemen op tekenen van virtuele machines en veelgebruikte tools voor cybersecurityanalyse. De malware beëindigt zichzelf automatisch als het een onderzoeks- of sandboxomgeving detecteert.

ClearSky schrijft de campagne met een hoge mate van zekerheid toe aan een Russische, door de staat gesteunde dreigingsactor, en met een lage mate van zekerheid aan de hackinggroep APT28, ook wel bekend als Fancy Bear, BlueDelta of Forest Blizzard. De focus op Oekraïense entiteiten, in combinatie met de geopolitieke aard van de lokmail, komt overeen met de Russische strategische doelstellingen, aldus de onderzoekers.

De phishingmails werden verzonden vanaf adressen die worden gehost door ukr.net, een veelgebruikte Oekraïense e-maildienst die volgens onderzoekers in eerdere campagnes gekoppeld aan APT28 is gebruikt om inloggegevens te verzamelen en informatie te verzamelen. Het rapport vermeldt niet de doelwitten van de campagne of dat de aanvallen succesvol waren.

CERT-UA, het Oekraïense computer emergency response team, meldde eerder deze week een afzonderlijke hackingcampagne gericht op Oekraïense overheidsinstellingen met behulp van de ShadowSniff- en SalatStealer malware die informatie steelt. Het agentschap schreef de activiteit toe aan een dreigingsactor die wordt gevolgd als UAC-0252.

Bron: ClearSky | Bron 2: cert.gov.ua | Bron 3: recordedfuture.com

Na het uitbreken van openlijke conflicten tussen Iran, Israël en de Verenigde Staten is een nieuw hoofdstuk in de geopolitiek van het Midden-Oosten aangebroken. Vorige week lanceerden de Amerikaanse en Israëlische strijdkrachten Operation Lion's Roar, een gecoördineerde militaire aanval gericht op Iraanse militaire en nucleaire installaties. De aanval leidde onmiddellijk tot vergeldingsmaatregelen van Iran, die zich snel uitbreidden van fysieke slagvelden tot raket- en droneaanvallen in de Golfregio.

Naarmate het fysieke conflict intensiveert, is het cyberdomein tegelijkertijd uitgegroeid tot een kritiek en actief slagveld. Iraanse, aan de staat gelieerde cyberactoren, die al lange tijd worden erkend om hun geavanceerde aanhoudende dreigingscapaciteiten, richten zich routinematig op buitenlandse netwerken en industriële controlesystemen als onderdeel van bredere strategische doelstellingen. Deze operaties zijn bedoeld om de infrastructuur en de besluitvormingsprocessen van tegenstanders te verstoren, te degraderen of te beïnvloeden, met name in perioden van verhoogde geopolitieke spanning.

Exploitatie van standaard inloggegevens, misbruik van geldige accounts, brute force aanvallen en actieve netwerkscans domineren het huidige detectielandschap, wat erop wijst dat aanvallers in stilte doelomgevingen in kaart brengen om waardevolle activa te identificeren en een voet aan de grond te krijgen. Uit waarnemingen van de afgelopen twee weken blijkt dat de MITRE ATT&CK technieken sterk suggereren dat tegenstanders zich momenteel in een vroege verkennings- en positioneringsfase bevinden. Organisaties in het Midden-Oosten lopen een bijzonder groot risico, aangezien 61% van de gedetecteerde kwetsbaarheden in de regio HOGE of KRITIEKE CVSS scores hebben, ruim boven het wereldwijde gemiddelde van 48%. Kwetsbaarheden met een EPSS score boven 1% zijn ook goed voor ongeveer 8% van de detecties in de regio, het dubbele van het wereldwijde gemiddelde van 4%.

Vier belangrijke dreigingsgroepen stimuleren momenteel deze toename van activiteit. MuddyWater, vermoedelijk opererend namens het Iraanse ministerie van Inlichtingen en Veiligheid, is goed gedocumenteerd voor cyberespionagecampagnes tegen overheidsinstanties, energiebedrijven en telecommunicatieproviders in het Midden-Oosten, Europa, Azië en Noord-Amerika. OilRig, ook bekend als APT34 en Helix Kitten, richt zich voornamelijk op financiële diensten, defensiecontractanten en energieorganisaties door middel van spearphishing en het verzamelen van inloggegevens. APT33, ook bekend als Elfin of Refined Kitten, is actief in de lucht- en ruimtevaart-, luchtvaart-, energie- en overheidssector en heeft een staat van dienst op het gebied van zowel spionage als potentieel ontwrichtende operaties. De vierde groep, UNC1549, richt haar campagnes op defensie-, lucht- en ruimtevaart- en telecommunicatie entiteiten en stemt haar operaties nauw af op de bredere geopolitieke prioriteiten van Iran.

Kritieke infrastructuurbedrijven worden geconfronteerd met een groeiende golf van destructieve malwarecampagnes, gerichte spionage en opzettelijke aanvallen, gedreven door Iraanse dreigingsactoren die digitale operaties inzetten als een strategische krachtvermenigvuldiger. Nozomi analisten van Palo Alto Networks volgen deze evoluerende situatie op de voet, volgen zorgvuldig de activiteit van aan Iran gelinkte dreigingsgroepen en observeren een systematische toename van de bijbehorende APT-activiteit gedurende de afgelopen twee weken. De productie- en transportsector zijn in deze vroege fase van het conflict de meest voorkomende doelwitindustrieën gebleken.

Bron: Nozomi Networks

Cybersecurity onderzoekers waarschuwen voor een toename van hacktivistische activiteiten als gevolg van de militaire campagne van de VS en Israël tegen Iran, genaamd Epic Fury en Roaring Lion. Tussen 28 februari en 2 maart waren Keymous+ en DieNet verantwoordelijk voor bijna 70% van alle aanvalsactiviteiten, aldus een rapport van Radware. De eerste DDoS-aanval werd gelanceerd door Hider Nex (Tunisian Maskers Cyber Force) op 28 februari 2026.

Orange Cyberdefense meldt dat Hider Nex een Tunesische hacktivistische groep is die pro-Palestijnse doelen steunt. De groep gebruikt een hack-and-leak strategie, waarbij DDoS-aanvallen worden gecombineerd met datalekken om gevoelige data te lekken en hun geopolitieke agenda te bevorderen. De groep is actief sinds medio 2025.

In totaal werden 149 hacktivistische DDoS-claims geregistreerd, gericht op 110 verschillende organisaties in 16 landen. De aanvallen werden uitgevoerd door 12 verschillende groepen, waaronder Keymous+, DieNet en NoName057(16), die samen 74,6% van alle activiteit voor hun rekening namen.

Het merendeel van de aanvallen (107) was geconcentreerd in het Midden-Oosten, waarbij vooral publieke infrastructuur en overheidsdoelen werden getroffen. Europa was het doelwit van 22,8% van de totale wereldwijde activiteit in die periode. Bijna 47,8% van alle doelwitorganisaties wereldwijd behoorde tot de overheidssector, gevolgd door de financiële sector (11,9%) en de telecommunicatiesector (6,7%).

Volgens Radware breidt het digitale front zich uit in de regio, waarbij hacktivistische groepen tegelijkertijd meer landen in het Midden-Oosten aanvallen dan ooit tevoren. De aanvallen waren geconcentreerd in Koeweit (28%), Israël (27,1%) en Jordanië (21,5%). Naast Keymous+, DieNet en NoName057(16) zijn andere groepen die betrokken zijn bij disruptieve operaties onder meer Nation of Saviors (NOS), de Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, de Cyber Islamic Resistance, Dark Storm Team, the FAD Team, Evil Markhors en PalachPro. Deze data is afkomstig van Flashpoint, Palo Alto Networks Unit 42 en Radware.

Pro-Russische hacktivistische groepen zoals Cardinal en Russian Legion claimen Israëlische militaire netwerken te hebben gehackt, waaronder het Iron Dome raketafweersysteem. Er is een actieve SMS phishing campagne waargenomen die een replica van de Israëlische Home Front Command RedAlert applicatie gebruikt om mobiele surveillance en data-exfiltrerende malware te verspreiden.

Flashpoint meldt dat Iran's Islamic Revolutionary Guard Corps (IRGC) de energie- en digitale infrastructuur in het Midden-Oosten aanviel, waarbij Saudi Aramco en een Amazon Web Services datacenter in de V.A.E. werden getroffen. Check Point meldt dat Cotton Sandstorm (Haywire Kitten) zijn oude cyber persona, Altoufan Team, heeft nieuw leven ingeblazen en claimt websites in Bahrein te hebben gehackt.

Sophos heeft een toename van hacktivistische activiteit waargenomen, maar geen escalatie in risico, voornamelijk van pro-Iran persona's, waaronder Handala Hack team en APT Iran in de vorm van DDoS-aanvallen, website defacements en niet-geverifieerde claims van compromissen met betrekking tot Israëlische infrastructuur. Het Britse National Cyber Security Centre (NCSC) waarschuwde organisaties voor een verhoogd risico op Iraanse cyberaanvallen en spoorde hen aan hun cybersecurity te versterken om beter te reageren op DDoS-aanvallen, phishing en ICS targeting.

Bron: Check Point | Bron 2: sophos.com | Bron 3: cisa.gov

Cyberaanvallen, gelinkt aan Iraanse dreigingsactoren, nemen een nieuwe vorm aan in het Midden Oosten conflict. Sinds eind februari 2026 is er een gecoördineerde campagne gaande om internet-verbonden IP camera's te compromitteren in meerdere landen in de regio. Dit roept ernstige vragen op over hoe cyberoperaties actief worden gebruikt om fysieke militaire activiteiten te ondersteunen.

De campagne werd voor het eerst waargenomen op 28 februari 2026, met een sterke piek in pogingen tot misbruik gericht op IP camera's in Israël, de Verenigde Arabische Emiraten, Qatar, Bahrein, Koeweit, Libanon en Cyprus. De aanvalsactiviteit is afkomstig van infrastructuren die zijn gekoppeld aan Iraanse dreigingsactoren, waarbij gebruik wordt gemaakt van commerciële VPN exit nodes – waaronder Mullvad, ProtonVPN, Surfshark en NordVPN – naast virtual private servers om hun ware herkomst te maskeren.

Check Point Research analisten identificeerden deze patronen door continue monitoring van Iran-gelinkte infrastructuur en stelden vast dat pieken in camera-exploitatie consistent overeenkomen met grote geopolitieke gebeurtenissen. De activiteit op 24 januari viel bijvoorbeeld samen met een bezoek van de U.S. Central Command commander aan Israël voor ontmoetingen op hoog niveau met de stafchef van de Israel Defense Forces.

De primaire doelwitten zijn apparaten gemaakt door twee van 's werelds meest gebruikte camerafabrikanten: Hikvision en Dahua. Beide merken zijn routinematig geïnstalleerd in openbare ruimtes, kritieke infrastructuur sites en commerciële gebouwen in de regio. Hun wijdverspreide aanwezigheid maakt ze waardevolle doelwitten voor actoren die op zoek zijn naar real-time visuele informatie. Er waren geen pogingen tot misbruik van deze infrastructuur gericht op camera's van andere fabrikanten.

Tijdens het 12-daagse conflict tussen Israël en Iran in juni 2025 werd camera-compromittering waarschijnlijk gebruikt om schade aan te richten en doelcorrectie te ondersteunen. Een voorbeeld hiervan is de Iraanse raketaanval op het Weizmann Institute of Science. Iraanse actoren zouden de controle hebben overgenomen van een camera aan de straatzijde vlak voor de inslag van de raket.

Check Point Research's analyse bracht specifiek vijf bekende kwetsbaarheden in kaart die worden aangevallen op Hikvision en Dahua apparaten. CVE-2017-7921 is een improper authenticatie fout in Hikvision camera firmware; CVE-2021-36260 is een command injection kwetsbaarheid in Hikvision's web server component. CVE-2023-6895 richt zich op een OS command injection fout in het Hikvision Intercom Broadcasting System, terwijl CVE-2025-34067 — de meest recentelijk onthulde — een unauthenticated remote code execution kwetsbaarheid is in Hikvision's Integrated Security Management Platform. CVE-2021-33044 is een authentication bypass die meerdere Dahua producten treft.

Camera systemen en NVR apparaten moeten worden verwijderd van directe internet toegang en achter een VPN of zero-trust access gateway worden geplaatst, waardoor het directe aanvalsoppervlak wordt geëlimineerd. Standaard inloggegevens moeten worden vervangen door sterke, unieke wachtwoorden op alle apparaten. Firmware en management software moeten regelmatig worden bijgewerkt, en end-of-life apparaten die geen beveiligingspatches meer ontvangen, moeten worden vervangen. Camera's moeten op geïsoleerde VLAN's worden geplaatst, waarbij uitgaand verkeer wordt beperkt tot alleen de noodzakelijke endpoints. Beveiligingsteams moeten actief controleren op herhaalde mislukte inlogpogingen, onverwachte toegang op afstand en ongebruikelijke uitgaande verbindingen van camerasystemen.

Bron: Check Point Research | Bron 2: research.checkpoint.com

De Amerikaanse Federal Bureau of Investigation (FBI) heeft bevestigd dat het een inbraak onderzoekt die systemen heeft getroffen die worden gebruikt voor het beheer van bevelschriften voor surveillance en het afluisteren van telefoongesprekken. Hoewel de federale wetshandhavingsinstantie geen verdere details wilde delen over de omvang en de algemene impact van het incident, zei ze dat het incident al is aangepakt.

"De FBI heeft verdachte activiteiten op FBI-netwerken geïdentificeerd en aangepakt, en we hebben alle technische mogelijkheden benut om te reageren," aldus de wetshandhavingsinstantie tegenover BleepingComputer.

CNN meldde dat de inbreuk betrekking heeft op FBI-systemen die worden gebruikt om bevelschriften voor het afluisteren van telefoongesprekken en buitenlandse inlichtingen te beheren. Het is momenteel onduidelijk of dit incident verband houdt met een eerder incident waarbij Chinese hackers, onderdeel van een door de staat gesteunde dreigingsgroep genaamd Salt Typhoon, Amerikaanse federale overheidssystemen hebben gecompromitteerd die worden gebruikt voor door de rechtbank goedgekeurde verzoeken tot het aftappen van netwerken in 2024.

Dat incident kwam aan het licht nadat Salt Typhoon de netwerken van telecommunicatieproviders in de VS (AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Comcast, Digital Realty en Windstream) had binnengedrongen, evenals tientallen andere landen. De hackers kregen ook toegang tot de "privécommunicatie" van sommige Amerikaanse overheidsfunctionarissen.

In november 2021 werden de e-mailservers van de FBI ook gehackt om spam-e-mails te verspreiden die zich voordeden als het bureau en waarin ontvangers werden gewaarschuwd voor valse cyberaanvallen. De FBI onthulde in februari 2023 ook dat het een kwaadaardige cyberactiviteit onderzocht waarbij een computersysteem van het FBI New York Field Office betrokken was dat werd gebruikt om onderzoek te doen naar seksuele uitbuiting van kinderen.

Bron: FBI | Bron 2: edition.cnn.com | Bron 3: hubs.li

De Nederlandse militaire inlichtingendienst (MIVD) en de binnenlandse veiligheidsdienst (AIVD) waarschuwen voor een wereldwijde campagne van Russische staatshackers die proberen Signal- en WhatsApp-accounts van overheidsfunctionarissen en militairen te compromitteren. Ook Nederlandse overheidsmedewerkers behoren tot de slachtoffers. De campagne richt zich op hoogwaardigheidsbekleders, ambtenaren en leden van de strijdkrachten, maar kan zich ook richten op journalisten en anderen die interessant zijn voor de Russische overheid.

De aanvallen zijn gericht op individuele accounts en duiden niet op een inbreuk op de messaging platforms zelf. Signal en WhatsApp gebruiken het Signal Protocol, een end-to-end encryptiesysteem dat algemeen wordt beschouwd als de sterkste beschikbare methode om de inhoud van berichten tijdens de verzending te beschermen. Berichten blijven echter leesbaar als een aanvaller toegang krijgt tot het apparaat of account van een gebruiker.

De campagne maakt geen gebruik van technische gebreken, maar misbruikt legitieme beveiligingsfuncties in de apps en vertrouwt op social engineering. Aanvallers doen zich voor als klantenservice en proberen slachtoffers te misleiden om verificatiecodes of pincodes te delen die nodig zijn om toegang te krijgen tot hun messaging accounts. De hackers kunnen die codes triggeren door het normale registratieproces te starten met behulp van het telefoonnummer van het doelwit. Signal en WhatsApp sturen automatisch een verificatiecode naar elk nummer dat tijdens de accountregistratie wordt ingevoerd.

Vervolgens beweren de aanvallers, zich voordoend als supportmedewerkers, dat het slachtoffer de code moet delen om hun account te beveiligen of te verifiëren. Als het slachtoffer de code verstrekt, kan de aanvaller de code op zijn eigen apparaat invoeren en de controle over het account overnemen, waardoor hij berichten kan lezen en verzenden terwijl hij zich voordoet als het slachtoffer. Een andere methode is om gebruikers over te halen om kwaadaardige QR-codes te scannen of op links te klikken die het apparaat van een hacker verbinden met het account van het slachtoffer via de functie "gekoppelde apparaten" van de apps, waardoor aanvallers toegang krijgen tot chats en berichtgeschiedenis.

De Nederlandse diensten waarschuwen gebruikers om nooit verificatiecodes te delen, geen onbekende QR-codes te scannen en berichten die zogenaamd van Signal support afkomstig zijn te negeren.

Bron: AIVD | Bron 2: recordedfuture.com

Legers gebruiken al decennia satellieten, drones en spionnen voor verkenning en surveillance. Echter, onbeveiligde consumentenelektronica, zoals beveiligingscamera's, vormen een nieuw wapen. Check Point, een beveiligingsbedrijf uit Tel Aviv, publiceerde woensdag een onderzoek naar honderden hackpogingen op consumentencamera’s in het Midden-Oosten. Veel van deze pogingen vonden plaats tijdens Iraanse raketaanvallen op doelen in Israël, Qatar en Cyprus. Een hackersgroep met banden met de Iraanse inlichtingendienst wordt verdacht van het gebruik van burgercamera’s om doelen te selecteren, aanvallen te plannen of de schade na een inslag te inspecteren.

De Financial Times meldde vorige week dat het Israëlische leger toegang had tot "vrijwel alle" verkeerscamera’s in Teheran. Deze beelden werden in samenwerking met de CIA gebruikt om een luchtaanval te coördineren waarbij de Iraanse leider ayatollah Ali Khamenei om het leven zou zijn gekomen. Israëlische bronnen meldden dat ze het dagelijks leven van de bewakers rondom de leider in kaart brachten via livebeelden van verkeerscamera’s.

Volgens Check Point is het hacken van beveiligingscamera’s een integraal onderdeel van de moderne oorlogsvoering. De informatie is waardevol en de hacks zijn relatief eenvoudig, omdat camera’s zelden worden bijgewerkt met beveiligingsupdates. Vaak blijven camera’s in gebruik, zelfs nadat ze end-of-life zijn. Bij de recente Iraanse cyberaanvallen maakten hackers gebruik van bekende kwetsbaarheden in populaire modellen beveiligingscamera’s, waarvoor patches beschikbaar waren.

Ook in Oekraïne waarschuwen autoriteiten al jaren dat Rusland consumentencamera’s hackt om troepenbewegingen te bespioneren. De Oekraïense geheime dienst SSU heeft naar eigen zeggen al 10.000 met internet verbonden camera’s uitgeschakeld om te voorkomen dat Rusland ze kon gebruiken voor raketaanvallen. Oekraïne gebruikt de techniek zelf ook; beelden van een aanval op een Russische onderzeeër in de baai van Sebastopol leken afkomstig van een gekaapte bewakingscamera.

Bron: Check Point

De Finse inlichtingendienst SUPO waarschuwt dat Rusland en China aanhoudende cyberespionage en beïnvloedingsoperaties uitvoeren, gericht op de Finse technologiesector, onderzoeksinstellingen en de overheid. Deze waarschuwing komt voort uit een nieuwe nationale veiligheidsbeoordeling die dinsdag is gepubliceerd.

SUPO, verantwoordelijk voor buitenlandse inlichtingen en binnenlandse contraspionage, is vorig jaar gereorganiseerd om de informatievergaring te verbeteren. Uit de beoordeling na deze reorganisatie blijkt dat buitenlandse inlichtingenactiviteiten gericht op Finland wijdverspreid zijn en een combinatie vormen van cyberaanvallen, traditionele spionage en politieke beïnvloedingscampagnes, met als doel gevoelige informatie te verzamelen en de besluitvorming te beïnvloeden.

Volgens SUPO vormen de aanhoudende operaties van Russische en Chinese inlichtingendiensten in verschillende sectoren van de Finse samenleving de grootste bedreiging. Cyberespionage blijft de belangrijkste digitale dreiging, waarbij aanvallers zich richten op overheidssystemen, onderzoeksinstellingen en bedrijven die geavanceerde technologieën ontwikkelen. Finland wordt geconfronteerd met voortdurende pogingen tot cyberespionage, zonder dat er uitzicht is op vermindering, zelfs niet op de lange termijn.

In 2020 werd de psychotherapie provider Vastaamo gehackt, waarbij zeer gevoelige therapiegegevens van tienduizenden patiënten werden gestolen. De dader probeerde zowel het bedrijf als individuele slachtoffers af te persen. Aleksanteri Kivimäki, een Finse cybercrimineel, werd veroordeeld tot zeven jaar gevangenisstraf voor meer dan 20.000 pogingen tot afpersing. Ook de Amerikaanse staatsburger Daniel Lee Newhard, woonachtig in Estland, is aangeklaagd voor poging tot afpersing.

In hetzelfde jaar onthulde het Finse parlement een ernstige cyberaanval op interne IT systemen die door wetgevers en medewerkers werden gebruikt. Deze aanval werd algemeen beschouwd als een daad van door de staat gesteunde spionage, waarbij de schuld formeel werd gelegd bij de Chinese staat gesponsorde groep APT31.

SUPO waarschuwt ook dat buitenlandse inlichtingendiensten zich steeds vaker richten op universiteiten en onderzoeksinstellingen om gevoelige technologie en onderzoeksgegevens te bemachtigen. Cyberoperaties kunnen proberen R&D-informatie te stelen om het mondiale concurrentievermogen van autoritaire staten en hun bedrijfsactiviteiten te vergroten.

De toegenomen strategische betekenis van Finland, dat in 2023 lid werd van de NAVO, heeft de interesse in inlichtingenactiviteiten in het land vergroot. De massale uitzettingen van Russische diplomaten, van wie velen werden beschouwd als inlichtingenofficieren die onder diplomatieke dekking opereerden, hebben traditionele spionagenetwerken verstoord en de Russische inlichtingencapaciteiten in Europa verzwakt.

Om dit tekort te compenseren, voeren buitenlandse overheden beïnvloedingscampagnes uit om het politieke debat en de publieke opinie te beïnvloeden, vaak door gedeeltelijk authentiek materiaal te combineren met misleidende verhalen. Finland en de omliggende Noordse landen hebben ook hybride verstoringen ondervonden die verband houden met Russische activiteiten, zoals GPS-interferentie die de luchtvaartnavigatie beïnvloedt.

SUPO benadrukt dat de meest hardnekkige risico's voor de Finse veiligheid voortkomen uit door de staat gesponsorde inlichtingenactiviteiten. Finland en zijn bevolking zijn voortdurend onderworpen aan een breed scala van onwettige inlichtingenoperaties. Naarmate Finland zijn integratie met westerse veiligheids- en technologienetwerken verdiept, zullen digitale spionage en buitenlandse inlichtingenoperaties waarschijnlijk een constant onderdeel blijven van het Finse veiligheidslandschap.

Bron: SUPO | Bron 2: recordedfuture.com

Cybercrimeinfo heeft ontdekt dat een dreigingsactor, opererend onder de naam zSenior, root-level toegang tot een Zuid-Koreaanse overheidsserver te koop aanbiedt. De server is gehost op een *.go.kr domein, het officiële top-level domein voor Zuid-Koreaanse overheidsinstanties. De actor claimt volledige privilege escalatie te hebben uitgevoerd en stelt dat pivoting naar 42 interne live hosts vanaf de gecompromitteerde server eenvoudig zou moeten zijn.

Naast de initiële root-toegang, meldt de actor PostgreSQL database superuser toegang te hebben verkregen op een tweede interne server op 192.168.0.147, die volgens hen persoonlijke identificeerbare informatie (PII) bevat. Ze vermoeden tevens dat deze secundaire server kwetsbaar is voor remote code execution, wat het potentiële aanvalsoppervlak verder vergroot.

De gecompromitteerde server draait op CentOS en is al 1.642 dagen continu online, met een schijfgebruik van een 50GB root-partitie en een 142GB home-partitie met een bezettingsgraad van 55%. De actor benadrukt dat ze alleen volledige toegang verkopen en expliciet aangeven dat dit niet voor verkeer, database of malware distributie is. Bewijs is op aanvraag beschikbaar, de prijs is bespreekbaar en escrow wordt geaccepteerd. Dit vertegenwoordigt een aanzienlijk nationaal veiligheidsrisico gezien het overheidsdomein en het uitgebreide laterale verplaatsingspotentieel over tientallen interne systemen.

Bron: Darkweb

Het Albanese parlement heeft bekendgemaakt dat het doelwit is geweest van een "geavanceerde" cyberaanval gericht op het verwijderen van data en het compromitteren van interne systemen. Volgens een verklaring aan lokale media bleven de hoofdsystemen en de officiële website operationeel, maar werden de interne e-mailservices van de parlementaire administratie tijdelijk opgeschort, waardoor zowel inkomende als uitgaande communicatie werd getroffen. Personeel en wetgevers konden urenlang geen toegang krijgen tot computers en e-mailsystemen.

De autoriteiten hebben het incident nog niet publiekelijk toegeschreven, maar de hackersgroep Homeland Justice claimt de verantwoordelijkheid. De groep zegt interne communicatie van Albanese wetgevers te hebben verkregen en publiceerde screenshots van vermeende gelekte documenten op hun Telegram-kanaal. Albanese autoriteiten hebben deze claims nog niet geverifieerd en onderzoeken het incident nog.

Homeland Justice is eerder door veiligheidsonderzoekers en westerse functionarissen gelinkt aan het Iraanse Islamic Revolutionary Guard Corps (IRGC). De groep heeft de verantwoordelijkheid opgeëist voor een reeks cyberaanvallen tegen Albanese doelen in de afgelopen jaren, waaronder operaties tegen het parlement, de nationale luchtvaartmaatschappij, telecommunicatiebedrijven en het nationale statistiekbureau.

Het incident komt te midden van verhoogde veiligheidsrisico's in Albanië na vergeldingsacties van Iran tegen landen die Amerikaanse militaire bases huisvesten, nadat de Verenigde Staten en Israël Teheran begonnen te bombarderen. Veel van de cyberoperaties die aan Homeland Justice worden toegeschreven, zijn gelinkt aan het feit dat Albanië onderdak biedt aan leden van de Iraanse oppositiegroep Mujahedeen-e-Khalq (MEK), die gevestigd zijn in de kustplaats Durrës. In een Telegram-bericht zei Homeland Justice dat de cyberaanval een vergelding was voor de steun van Albanië aan MEK. Deze claim volgt op recente verklaringen van MEK-leider Maryam Rajavi waarin ze de vorming aankondigde van een voorlopige regering die het huidige Iraanse leiderschap wil vervangen door een democratische republiek.

Bron: euronews.al | Bron 2: balkanweb.com | Bron 3: middleeasteye.net

Oekraïne heeft verklaard dat zijn offensieve cyberoperaties in 2025 Rusland voor 220 miljoen dollar aan directe verliezen hebben toegebracht. Indirecte verliezen zouden zelfs de 1,5 miljard dollar overschrijden. Dat maakte de generale staf van de Oekraïense strijdkrachten bekend via een bericht op Facebook.

In het bericht werd de effectieve samenwerking tussen cyber warfare units en andere onderdelen van de Oekraïense strijdkrachten benadrukt. Deze samenwerking zou succesvol zijn geweest bij het identificeren en treffen van Russische militaire faciliteiten.

Cyberoperaties zijn een steeds belangrijker onderdeel van de oorlog geworden, waarbij zowel Oekraïne als Rusland hacking en digitale verstoring gebruiken naast conventionele militaire operaties. Dergelijke aanvallen kunnen gericht zijn op militaire communicatie, logistieke systemen, databases en infrastructuur, en worden vaak gebruikt om inlichtingen te verzamelen ter ondersteuning van aanvallen op het slagveld.

Het bericht benadrukte dat cyber warfare units al sinds het begin van de Russische invasie in februari 2022 offensieve cyberoperaties uitvoeren en dat de vorming van een Oekraïense Cyber Force een zaak van nationale veiligheid is.

Bron: Kyiv Post

Het internet in Iran is al meer dan tien dagen grotendeels afgesloten, waarbij data van Cloudflare Radar bevestigt dat het HTTP-verkeer vanuit het land ruim onder de 1% van het niveau van vóór de afsluiting blijft. Hierdoor zijn ongeveer 90 miljoen Iraniërs afgesneden van het wereldwijde internet. De bijna totale black-out begon rond 07:00 UTC op 28 februari 2026, samenvallend met gezamenlijke militaire aanvallen van de VS en Israël in Iran. Cloudflare Radar registreerde een bijna onmiddellijke daling van 98% in internetverkeer, waarbij HTTP-verzoeken in alle belangrijke Iraanse regio's instortten. Onafhankelijke internetmonitor NetBlocks bevestigde dat de afsluiting door de overheid was opgelegd en niet het gevolg was van een cyberaanval of schade aan de infrastructuur. De daling was snel en opzettelijk. Verkeersgegevens van Cloudflare laten zien dat alle drie de belangrijkste meetwaarden, totale bytes, HTTP-bytes en HTTP-verzoeken, gelijktijdig instortten op hetzelfde tijdstip op 28 februari, zonder herstel in de dagen daarna. De afsluiting is bijna universeel over het Iraanse grondgebied. Van de top vijf regio's van Iran qua verkeersaandeel domineert Teheran met 65%, gevolgd door Fars (7,9%), Isfahan (6,8%), Razavi Khorasan (4,8%) en Alborz Province (4,2%). Het verkeer van alle vijf regio's daalde vanaf 1 maart tot bijna nul, wat wijst op een centraal gecoördineerde afsluiting in plaats van geïsoleerde verstoringen. Op autonoom systeemniveau dragen de drie grootste Iraanse ISP's de meest zichtbare impact. AS197207 (MCCI) was goed voor 46,6% van het Iraanse verkeer van vóór de afsluiting, gevolgd door AS44244 (IranCell) met 25,7% en AS58224 (TCI) met 11,4%. Alle drie de netwerken gingen gelijktijdig op zwart, wat wijst op directe actie op de nationale infrastructuurlaag. Op 9 maart meldde NetBlocks dat de black-out 216 uur had bereikt, de tiende dag, waarbij de connectiviteit nog steeds werd gemeten op ongeveer 1% van het normale niveau. Op 10 maart overschreed de afsluiting de 240-uursgrens, waardoor het een van de meest ernstige door de overheid opgelegde landelijke internet shutdowns is die wereldwijd zijn geregistreerd en de op een na langste in de Iraanse geschiedenis, na de black-out van januari 2026 die werd veroorzaakt door anti-regeringsprotesten. Iran heeft nu ongeveer een derde van 2026 offline doorgebracht. De Iraanse minister van Communicatie erkende dat de afsluiting een economische kost van 35,7 miljoen dollar per dag met zich meebrengt, terwijl de online verkoop met maar liefst 80% is gedaald. Human Rights Watch heeft de black-out veroordeeld als een directe schending van fundamentele rechten en waarschuwt dat het ook de burgerlijke risico's vergroot door de toegang tot noodinformatie te blokkeren. Staatsmedia bevestigden dat alleen vooraf goedgekeurde websites op het Iraanse binnenlandse National Information Network toegankelijk blijven.

Bron CyberSecurityNews: https://cybersecuritynews.com/iran-internet-blackout/

Meta heeft een beïnvloedingsoperatie gelinkt aan Iran ontmanteld, waarbij gebruik werd gemaakt van "geavanceerde nep-persona's" op Instagram om relaties op te bouwen met Amerikaanse gebruikers, alvorens politieke boodschappen te introduceren. Het netwerk gebruikte accounts die zich voordeden als journalisten, commentatoren en gewone mensen om gebruikers te betrekken en geleidelijk politieke narratieven te introduceren. Een tweede laag van accounts versterkte berichten om de boodschap te verspreiden. De persona's kregen gedetailleerde achtergrondverhalen en beroepen, waaronder een politicoloog, een vrouwenrechtenactivist en een satirische cartoonist. Ze gebruikten meerdere AI-gegenereerde profielfoto's in een poging om geloofwaardig over te komen. Het netwerk bouwde ook wat leek op lokale mediabedrijven, waarbij politieke boodschappen werden vermengd met algemeen nieuws en niet-politieke inhoud om de accounts er legitiemer en minder openlijk gecoördineerd uit te laten zien. De operatie richtte zich voornamelijk op Engelstalig publiek in de VS en plaatste inhoud die kritisch was over Israël en het Amerikaanse beleid in het Midden-Oosten, thema's die vaak voorkomen in eerdere Iraanse beïnvloedingscampagnes. Volgens David Agranovich, Meta's directeur van global threat disruption, proberen dit soort operaties vaak eerst geloofwaardigheid op te bouwen. "Ze gaan met mensen om, bouwen relaties op en introduceren vervolgens berichten die bedoeld zijn om publieke gesprekken te beïnvloeden." Meta verwijderde ongeveer 300 accounts en pagina's op Facebook en Instagram voordat het netwerk een grote aanhang had gekregen. Ongeveer 41.000 accounts volgden de Instagram-persona's, die minimale betrokkenheid van echte gebruikers ontvingen. De operatie begon in 2024 op X voordat deze in de zomer van 2025 werd uitgebreid naar Facebook en Instagram. Meta detecteerde en ontmantelde het netwerk eind vorig jaar door gecoördineerd gedrag tussen accounts en links naar eerder geïdentificeerde Iraanse beïnvloedingsoperaties. Meta heeft nog geen significante nieuwe beïnvloedingscampagnes waargenomen die verband houden met de recente escalatie tussen Iran, Israël en de VS na luchtaanvallen op Iraanse doelen.

Bron The Record: https://therecord.media/iran-instagram-influence-operation-disrupted

Het Kremlin zou een geheime desinformatiecampagne zijn gestart om de Hongaarse premier Viktor Orbán te helpen bij de komende verkiezingen. Volgens de Financial Times zou de campagne, goedgekeurd door de Russische president Vladimir Poetin, gericht zijn op het overspoelen van Hongaarse sociale media met pro-regeringsberichten, ontworpen in Rusland en geplaatst door invloedrijke Hongaarse figuren, om zo de populariteit van Orbáns Fidesz-partij te vergroten. De campagne zou Orbán framen als een "sterke leider met mondiale vrienden", die in staat is de Hongaarse soevereiniteit te beschermen. Zijn belangrijkste rivaal, oppositieleider Péter Magyar, zou daarentegen worden afgeschilderd als een "Brusselse marionet" zonder internationale steun. Magyar's Tisza Party is de grootste uitdager van Orbán bij de parlementsverkiezingen van 12 april. Het plan omvat ook "informatieaanvallen" op de oppositie, met als doel de partij af te schilderen als verdeeld en gemanipuleerd door de Europese Unie. De vermeende operatie volgt op eerdere campagnes van het Social Design Agency, dat in 2024 door westerse regeringen werd gesanctioneerd vanwege zijn rol in de "Doppelgänger" online beïnvloedingsoperatie, die nepnieuws en deepfakes verspreidde gericht op Oekraïne en westerse regeringen. Zowel Moskou als Boedapest hebben de beschuldigingen ontkend. Kremlin-woordvoerder Dmitry Peskov noemde de beweringen "nep", terwijl de Hongaarse regering het rapport afdeed als een "linkse beschuldiging". De spanningen tussen Hongarije en Oekraïne zijn de afgelopen weken opgelopen vanwege geschillen over energietransit en EU-steun voor Kyiv. Orbán heeft herhaaldelijk EU-initiatieven met betrekking tot Oekraïne geblokkeerd of gedreigd te blokkeren en heeft onlangs zijn veto uitgesproken over een voorgesteld EU-leningenpakket van €90 miljard voor Kyiv.

Bron Kyiv Post: https://www.kyivpost.com/post/71705

Unit 42, het threat intelligence team van Palo Alto Networks, signaleert een verhoogd risico op wiper-aanvallen, gerelateerd aan het conflict met Iran. Meerdere incidenten hebben organisaties in Israël en de Verenigde Staten getroffen.

De Handala Hack-groep (ook bekend als Void Manticore, COBALT MYSTIQUE en Storm-1084/Storm-0842) maakt gebruik van phishing en misbruik van administratieve toegang via Microsoft Intune. Hoewel de groep aanvankelijk hacktivistische motieven leek te hebben, wordt deze nu beschouwd als een door de staat aangestuurde organisatie die opereert als een dekmantel voor het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Handala Hack is actief sinds eind 2023.

Op 6 maart waarschuwde de Israëlische Nationale Cyberdirecte voor Iraanse cyberaanvallen gericht op Israëlische organisaties met wipers. Aanvallers verkregen toegang tot bedrijfsnetwerken en verwijderden servers en werkstations, met als doel de activiteiten van de getroffen organisaties te verstoren. In sommige gevallen maakten de aanvallers gebruik van toegangsgegevens van legitieme bedrijfsgebruikers om initiële toegang tot het netwerk te verkrijgen.

Unit 42 adviseert organisaties om proactieve maatregelen te nemen, waaronder het elimineren van permanente privileges door een just-in-time (JIT) model te implementeren voor alle administratieve rollen.

Bron: Unit 42 (https://unit42.paloaltonetworks.com/handala-hack-wiper-attacks/)

Unit 42 van Palo Alto Networks heeft een cluster van kwaadaardige activiteiten geïdentificeerd, gericht op militaire organisaties in Zuidoost-Azië. Met een gematigde mate van zekerheid wordt vermoed dat deze activiteiten vanuit China worden uitgevoerd. Dit cluster is aangeduid als CL-STA-1087. De activiteiten zijn terug te voeren tot minstens 2020.

De campagne toont strategisch operationeel geduld en een focus op zeer gerichte inlichtingenverzameling, in plaats van bulk data diefstal. De aanvallers zochten actief naar specifieke bestanden over militaire capaciteiten, organisatiestructuren en samenwerkingsverbanden met westerse strijdkrachten. De toolset omvat nieuw ontdekte assets: de AppleChris en MemFun backdoors, en een custom Getpass credential harvester.

Deze aanhoudende spionagecampagne wordt gekenmerkt door de inzet van op maat ontwikkelde tools en een stabiele operationele infrastructuur.

Bron: Unit 42 (https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/)

Oekraïense entiteiten zijn het doelwit van een nieuwe campagne, vermoedelijk georkestreerd door dreigingsactoren met banden met Rusland. Dit blijkt uit een rapport van LAB52, het dreigingsinformatie team van S2 Grupo. De campagne, die in februari 2026 werd waargenomen, vertoont overeenkomsten met een eerdere campagne van Laundry Bear (ook bekend als UAC-0190 of Void Blizzard), die gericht was op Oekraïense strijdkrachten met de malwarefamilie PLUGGYAPE.

De aanval maakt gebruik van verschillende thema's, zoals justitie en liefdadigheid, om een JavaScript-gebaseerde backdoor te implementeren die via de Edge-browser draait. De malware, met de codenaam DRILLAPP, kan bestanden uploaden en downloaden, de microfoon gebruiken en beelden vastleggen via de webcam door gebruik te maken van de functies van de webbrowser.

Er zijn twee verschillende versies van de campagne geïdentificeerd. De eerste versie, die begin februari werd ontdekt, maakt gebruik van een Windows-shortcutbestand (LNK) om een HTML Application (HTA) in de tijdelijke map te maken. Deze HTA laadt vervolgens een script dat op Pastefy wordt gehost. Om persistentie te bereiken, worden de LNK-bestanden gekopieerd naar de Windows Startup-map, zodat ze automatisch worden gestart na een herstart van het systeem. De aanvalsketen toont een URL met lokmiddelen met betrekking tot de installatie van Starlink of een Oekraïense liefdadigheidsinstelling genaamd Come Back Alive Foundation.

Het HTML-bestand wordt uiteindelijk uitgevoerd via de Microsoft Edge-browser in headless-modus, waarna het externe, geobfusceerde script wordt geladen dat op Pastefy wordt gehost. De browser wordt uitgevoerd met extra parameters zoals `--no-sandbox`, `--disable-web-security`, `--allow-file-access-from-files`, `--use-fake-ui-for-media-stream`, `--auto-select-screen-capture-source=true` en `--disable-user-media-security`. Hierdoor krijgt het toegang tot het lokale bestandssysteem, evenals camera, microfoon en schermopname, zonder enige gebruikersinteractie.

DRILLAPP functioneert als een lichtgewicht backdoor om toegang tot het bestandssysteem te faciliteren en audio van de microfoon, video van de camera en beelden van het scherm van het apparaat vast te leggen via de browser. Het genereert ook een apparaatvingerafdruk met behulp van een techniek genaamd canvas fingerprinting wanneer het voor de eerste keer wordt uitgevoerd en gebruikt Pastefy als een dead drop resolver om een WebSocket-URL op te halen die wordt gebruikt voor command-and-control (C2) communicatie.

De malware verzendt de apparaatvingerafdrukgegevens samen met het land van het slachtoffer, dat wordt bepaald aan de hand van de tijdzone van de machine. Het controleert specifiek of de tijdzones overeenkomen met het Verenigd Koninkrijk, Rusland, Duitsland, Frankrijk, China, Japan, de Verenigde Staten, Brazilië, India, Oekraïne, Canada, Australië, Italië, Spanje en Polen. Als dat niet het geval is, wordt de standaard ingesteld op de VS.

De tweede versie van de campagne, die eind februari 2026 werd gespot, vermijdt LNK-bestanden voor Windows Control Panel-modules, terwijl de infectiesequentie grotendeels intact blijft. Een andere opmerkelijke verandering betreft de backdoor zelf, die nu is geüpgraded om recursieve bestandsnummering, batchbestand uploads en willekeurige bestandsdownloads mogelijk te maken.

LAB52 stelt dat JavaScript om veiligheidsredenen het downloaden van bestanden op afstand niet toestaat. Daarom gebruiken de aanvallers het Chrome DevTools Protocol (CDP), een intern protocol van op Chromium gebaseerde browsers dat alleen kan worden gebruikt als de parameter `--remote-debugging-port` is ingeschakeld.

Er wordt aangenomen dat de backdoor zich nog in de beginfase van ontwikkeling bevindt. Een vroege variant van de malware die op 28 januari 2026 in het wild werd aangetroffen, communiceerde alleen met het domein "gnome[.]com" in plaats van de primaire payload van Pastefy te downloaden.

LAB52 concludeert dat een van de meest opvallende aspecten het gebruik van de browser is om een backdoor te implementeren, wat suggereert dat de aanvallers nieuwe manieren onderzoeken om detectie te ontwijken. De browser is voordelig voor dit type activiteit omdat het een algemeen en niet-verdacht proces is. Het biedt uitgebreide mogelijkheden die toegankelijk zijn via debugging parameters die onveilige acties mogelijk maken, zoals het downloaden van bestanden op afstand. Bovendien biedt het legitieme toegang tot gevoelige bronnen zoals de microfoon, camera of schermopname zonder onmiddellijke waarschuwingen te activeren.

Bron: S2 Grupo | Bron 2: lab52.io | Bron 3: thn.news