Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.
Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen vierentwintig uur toonden opnieuw aan hoe kwetsbaar de grens is tussen digitale netwerken en de fysieke wereld, met incidenten die variëren van datadiefstal bij medische diensten tot spionage die militaire slagaanval faciliteert. Terwijl Nederland en België te maken hadden met specifieke lokale dreigingen en opmerkelijke hacks, speelden er zich wereldwijd ontwikkelingen af die de privacy en veiligheid van burgers en overheden ernstig onder druk zetten.
Grootschalige gegevensdiefstal en juridische strijd tussen techgiganten
In Rijswijk zijn de gevolgen van een omvangrijk datalek bij Clinical Diagnostics zichtbaar geworden, waarbij de privégegevens van meer dan 941.000 mensen betrokken zijn. Hoewel gegevens van het Bevolkingsonderzoek buiten schot bleven, zijn namen, adressen, burgerservicenummers en testuitslagen mogelijk buitgemaakt, waarvan een deel reeds op het darkweb is aangetroffen; betrokkenen worden per brief geïnformeerd over dit incident dat in juli 2025 werd ontdekt. In de zakelijke sfeer onderzoekt Salesforce een datadiefstal waarbij aanvallers via een koppeling met de Gainsight applicatie toegang probeerden te krijgen tot klantgegevens, wat leidde tot het preventief intrekken van toegangstokens. De spanningen in de technologiesector lopen eveneens hoog op nu TP Link een rechtszaak heeft aangespannen tegen concurrent Netgear. TP Link eist schadevergoeding voor een vermeende smaadcampagne waarin werd gesuggereerd dat hun routers door Chinese hackers waren gecompromitteerd, wat volgens het bedrijf tot meer dan een miljard dollar aan schade heeft geleid. Dichter bij huis, in het Belgische Herentals, zorgde een ethische hack voor opschudding toen inwoners op 20 november werden geconfronteerd met valse berichten op officiële kanalen over een zone die enkel toegankelijk zou zijn voor emissievrije voertuigen; een actie bedoeld om de digitale kwetsbaarheid van de stad aan te tonen.
Ernstige beveiligingslekken in archiveringssoftware en netwerkapparatuur
Onderzoekers en beveiligingsinstanties waarschuwen voor diverse kritieke lekken, waaronder een kwetsbaarheid in het populaire programma 7-Zip (CVE-2025-11001). De Britse NHS meldt dat aanvallers via speciaal geprepareerde archiefbestanden en symbolische links schadelijke code kunnen uitvoeren, ondanks dat er een update beschikbaar is. Netwerkapparatuur vormt eveneens een risico; D Link heeft aangegeven geen patches meer uit te brengen voor drie RCE kwetsbaarheden in de 'end-of-life' DIR-878 routers, die nu actief worden opgenomen in exploit-kits. Ook SonicWall waarschuwt voor een ernstige buffer overflow (CVE-2025-40601) in hun firewalls die systemen kan laten crashen. In de cloudomgeving richten criminelen zich met nieuwe ransomware varianten specifiek op Amazon S3 buckets, waarbij ze misbruik maken van misconfiguraties en klantbeheerde versleuteling om data onherstelbaar te gijzelen. Daarnaast detecteerde GreyNoise een explosieve toename van 2,3 miljoen scans gericht op GlobalProtect VPN portalen, wat vaak wijst op een voorbereiding voor aanvallen. Tot slot bleek uit Oostenrijks onderzoek dat een ontwerpfout in WhatsApp het scrapen van openbare gegevens van 3,5 miljard accounts mogelijk maakte, waarmee gedetailleerde gebruikersprofielen konden worden samengesteld.
Geavanceerde malwarecampagnes en misleiding via kunstmatige intelligentie
De dreigingen worden steeds complexer, zoals blijkt uit een spionagecampagne van een China Nexus APT groep die WinRAR kwetsbaarheden en DLL sideloading inzet om overheden in Zuidoost-Azië te infiltreren. Ook mobiele gebruikers zijn doelwit; de nieuwe malware Sturnus misbruikt toegankelijkheidsdiensten op Android om berichten van Signal en WhatsApp mee te lezen. Daarnaast breidt het Tsundere botnet zich uit via gekraakte games en gebruikt het Ethereum blockchaintechnologie om zijn infrastructuur te verbergen, terwijl de Rhadamanthys malware geavanceerde anti sandboxingtechnieken inzet om detectie te ontwijken. Een andere groep, aangeduid als APT24, heeft via een gehackt marketingbedrijf duizenden websites geïnfecteerd om bezoekers met valse browserupdates te misleiden. Naast technische hacks neemt fraude via social engineering toe; de Fraudehelpdesk waarschuwt voor criminelen die zich voordoen als medewerkers van de ‘Fraudehelpdesks van Nederland en België’ en slachtoffers via nepmails proberen te bestelen. Dit past in een bredere trend waarbij AI gedreven fraude, waaronder deepfakes, exponentieel groeit en het voor criminelen steeds makkelijker maakt om geloofwaardige oplichtingspraktijken op te zetten.
Internationale arrestaties en vonnissen in de strijd tegen cybermisdaad
Rechtshandhavingsdiensten hebben wereldwijd successen geboekt, waaronder de arrestatie van een door de FBI gezochte Russische hacker op het Thaise eiland Phuket, die verdacht wordt van aanvallen op overheidsinstellingen. In de Verenigde Staten zijn de oprichters van de cryptomixer Samourai Wallet veroordeeld tot celstraffen en een verbeurdverklaring van 237 miljoen dollar wegens het witwassen van crimineel geld. Binnen Europa versterkt Europol de druk met een speciaal team dat zich richt op het opsporen van netwerken die EU sancties tegen Rusland proberen te omzeilen. Daarnaast leidde een grootschalig onderzoek naar kunstsmokkel, gecoördineerd vanuit Bulgarije, tot 35 arrestaties en de inbeslagname van duizenden artefacten, waarbij digitale opsporingsmethoden een cruciale rol speelden in het blootleggen van het criminele netwerk.
Maritieme systemen ingezet voor fysieke militaire operaties
De vervaging tussen digitale aanvallen en kinetische oorlogsvoering is duidelijk zichtbaar geworden door acties van Iraanse hackgroepen. De groep Imperial Kitten, gelinkt aan de Iraanse Revolutionaire Garde, heeft cyberoperaties uitgevoerd om informatie te vergaren via het Automatic Identification System (AIS) en camera's van schepen. Deze digitale verkenning bleef niet beperkt tot spionage, maar werd direct gebruikt om fysieke raketaanvallen op maritieme doelen te coördineren. Dit incident onderstreept hoe cybercapaciteiten in toenemende mate worden ingezet als een direct verlengstuk van militaire operaties, wat een ernstige dreiging vormt voor de fysieke veiligheid van de internationale scheepvaart en kritieke infrastructuur.
Privacyzorgen en menselijk gedrag als zwakke schakel
Uit onderzoek van ABN AMRO blijkt dat de online veiligheid van veel Nederlanders afneemt door gemakzucht, waarbij veertig procent wachtwoorden hergebruikt ondanks een hoog risicobewustzijn. Deze menselijke factor speelt ook een rol op de groeiende 'arbeidsmarkt' op het darkweb, waar de vraag naar IT specialisten voor criminele doeleinden toeneemt. Op beleidsniveau is er forse kritiek van de Autoriteit Persoonsgegevens en burgerrechtenbeweging EDRi op de Europese 'digital omnibus' plannen; zij vrezen dat de voorgestelde versoepelingen van de AVG ten gunste van innovatie de privacy van burgers zullen ondermijnen. Tegelijkertijd integreert de overheid zelf nieuwe technologieën met de uitrol van de AI chatbot vlam chat voor duizenden rijksambtenaren, een stap die vragen oproept over de beveiliging van staatsgegevens in het tijdperk van kunstmatige intelligentie.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
FIOD 800 servers, TrapDoor npm en Ghost CMS ClickFix
In de periode van vrijdag 22 tot en met zondag 24 mei 2026 arresteerde de FIOD twee verdachten en nam meer dan 800 servers in beslag van een hostingbedrijf dat vermoedelijk Russische cyberaanvallen en desinformatie faciliteerde. Dreigingsactor TrapDoor plaatste 34 kwaadaardige pakketten gericht op ontwikkelaars die AI coding assistants gebruiken, waarbij kwaadaardige instructiebestanden worden ingezet om toekomstige AI sessies te manipuleren. En op meer dan 700 websites, waaronder die van Harvard University en Oxford University, wordt een kritieke kwetsbaarheid in Ghost CMS (CVE-2026-26980) misbruikt om bezoekers via ClickFix naar malware te leiden.
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.