Cyberdreigingen ontwikkelen zich in hoog tempo. Daarom houdt ons team je dagelijks op de hoogte van de belangrijkste gebeurtenissen in de digitale wereld.
Wil je snel weten wat er vandaag speelt? Bekijk dan de korte video met het overzicht van het belangrijkste nieuws.
Heb je liever een compacte uitleg voor onderweg? Luister dan naar de podcast van drie minuten.
Wil je juist meer context en duiding? Dan vind je hieronder ook de uitgebreide analyse aflevering.
Bekijk hieronder de presentatie van het nieuws. De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dag schetsen een verontrustend beeld van de digitale veiligheid, waarbij zowel vitale infrastructuren als individuele burgers in Nederland en België onder vuur liggen. Terwijl overheden worstelen met de implementatie van nieuwe regelgeving en het dichten van beveiligingslekken in eigen gelederen, tonen criminele en statelijke actoren een opmerkelijk aanpassingsvermogen. Van geavanceerde spionagecampagnes uit Rusland en Noord-Korea tot geraffineerde oplichtingstrucs die inspelen op menselijke zwakheden, de dreigingen manifesteren zich op alle niveaus van de samenleving.
Misleiding van winkelend publiek en softwareontwikkelaars
Criminelen hebben de afgelopen uren diverse doelgroepen weten te raken door handig gebruik te maken van merkvertrouwen en sociale manipulatie. Klanten van Albert Heijn zijn het doelwit geworden van een phishingcampagne waarbij valse emails de ronde doen die een gratis foodbox beloven in ruil voor het invullen van een enquête, een list die bedoeld is om creditcardgegevens te ontfutselen. Tegelijkertijd is binnen de technische gemeenschap een succesvolle aanval uitgevoerd via de Visual Studio Code Marketplace. Een extensie genaamd prettier-vscode-plus deed zich voor als de legitieme codeformatter Prettier en wist zo duizenden ontwikkelaars te misleiden. De extensie bevatte de Anivia Stealer malware, die ontworpen is om inloggegevens en privégesprekken via onder meer WhatsApp te stelen. Uit onderzoek van het ministerie van Justitie en Veiligheid blijkt bovendien dat de menselijke factor een grote kwetsbaarheid blijft, aangezien veel Nederlanders hun eigen vermogen om online oplichting te herkennen zwaar overschatten. Slechts tien procent van de ondervraagden wist in een test alle neppe uitingen correct te identificeren, terwijl bijna de helft dacht dit goed te kunnen.
Kritieke lekken in routers en fundamentele protocollen
De technische fundamenten van veel netwerken vertonen ernstige scheuren nu er waarschuwingen zijn uitgegaan voor diverse kritieke kwetsbaarheden. Asus heeft alarm geslagen over een lek in de AiCloud dienst van hun routers, aangeduid als CVE-2025-59366, dat een risicoscore van 9.2 heeft gekregen en aanvallers in staat stelt de volledige controle over apparaten over te nemen. Voor verouderde modellen die geen updates meer ontvangen, is het uitschakelen van de dienst de enige veilige optie. Ook in bedrijfsnetwerken blijft de beveiliging zorgelijk door het gebruik van het verouderde NTLM authenticatieprotocol, dat in 2025 nog steeds actief wordt misbruikt via technieken zoals relay aanvallen en hash lekkage, ondanks de bekende kwetsbaarheden zoals CVE-2024-43451. Zelfs innovatieve technologieën brengen nieuwe risico's met zich mee, zo heeft Microsoft vastgesteld dat hun nieuwe agentic AI functie kwetsbaar is voor cross prompt injectie. Hierbij kunnen aanvallers via gemanipuleerde documenten digitale agenten onbedoeld opdrachten laten uitvoeren, zoals het installeren van malware, zonder dat de gebruiker dit doorheeft.
Gerichte aanvallen op netwerkranden en zakelijke infrastructuur
Organisaties worden geconfronteerd met een breed scala aan geavanceerde aanvallen die zich richten op de toegangspoorten van hun netwerken. Het Cybersecuritybeeld Nederland 2025 waarschuwt dat vooral edge devices zoals firewalls en vpn servers een populair doelwit zijn voor Chinese actoren en criminelen, zoals bleek uit een incident bij het Openbaar Ministerie waarbij Citrix systemen werden gecompromitteerd. Een nieuwe dreiging komt van de groep Scattered Lapsus$ Hunters, die wereldwijd bedrijven afperst en onlangs hun eigen ransomware as a service genaamd ShinySp1d3r heeft gelanceerd. Daarnaast zien beveiligingsonderzoekers dat de Russische militaire eenheid 29155 via de RomCom groep gebruikmaakt van SocGholish aanvallen om via nep browserupdates de Mythic Agent malware te verspreiden. Ook de groep Water Gamayun is actief en maakt gebruik van een exploit in de Microsoft Management Console, specifiek CVE-2025-26633, om via ogenschijnlijk onschuldige bestanden diep in netwerken door te dringen voor spionagedoeleinden.
Verstrengeling van fysieke criminaliteit en digitale opsporing
De grenzen tussen de fysieke onderwereld en cybercriminaliteit vervagen steeds verder, wat nieuwe uitdagingen oplevert voor opsporingsdiensten. In de Antwerpse haven is een medewerker van een expeditiebedrijf gearresteerd die in opdracht van een drugsbende probeerde de computersystemen van zijn werkgever te hacken om de smokkel van cocaïne te faciliteren. Dit incident illustreert de groeiende verwevenheid van traditionele misdaad en digitale inbraak. Op internationaal niveau waarschuwt Interpol voor de opkomst van transnationale oplichtingscentra waar slachtoffers van mensenhandel worden gedwongen tot online fraude. De politie ziet daarnaast dat de drempel voor cybercrime door de inzet van kunstmatige intelligentie steeds lager wordt. Toch zijn er ook successen; in België hebben ethische hackers tijdens de Hack the Government uitdaging al 81 kwetsbaarheden in overheidssystemen blootgelegd, waarmee potentiële aanvallen preventief onschadelijk zijn gemaakt.
Staatskas gespekt door grootschalige cryptodiefstal
Noord-Korea heeft zijn positie als cyberagressor verder versterkt door op ongekende schaal financiële middelen te vergaren voor zijn wapenprogramma's. Volgens recente rapporten hebben Noord-Koreaanse hackers in 2024 en de eerste negen maanden van 2025 in totaal ongeveer 2,8 miljard dollar aan cryptovaluta gestolen, met de hack op Bybit als grootste diefstal in de geschiedenis. Het regime zet duizenden IT werknemers in die via platforms als Upwork en Fiverr infiltreren bij westerse bedrijven om geld te verdienen en toegang te verkrijgen tot systemen. De gestolen fondsen worden via complexe witwasconstructies, waaronder diensten als Tornado Cash, weggesluisd. Deze operaties tonen aan dat cybercapaciteiten voor het regime een essentieel instrument zijn geworden om internationale sancties te omzeilen en hun militaire ambities te financieren.
Beleidsmatige worstelingen en toezicht op digitale veiligheid
Op bestuurlijk niveau is er veel beweging rondom de waarborging van digitale veiligheid en privacy. Demissionair minister Van Oosten heeft bevestigd dat er geen nieuwe wetgeving nodig is tegen producten met verborgen kill switches, omdat bestaande Europese regels de verkoop van dergelijke onveilige apparatuur al verbieden. Ondertussen uit de NCTV in het Cybersecuritybeeld Nederland 2025 ernstige kritiek op de staat van cybersecurity binnen de Rijksoverheid, waar een vals gevoel van veiligheid heerst en de basisbeveiliging vaak tekortschiet. Er is ook onrust ontstaan over de overname van cloudbedrijf Solvinity door een Amerikaanse partij, hoewel Logius benadrukt dat DigiD Nederlands blijft en data in Nederland beheerd zullen worden. Op Europees vlak hebben lidstaten ingestemd met een voorstel voor vrijwillige chatcontrole en leeftijdsverificatie om online misbruik tegen te gaan, een besluit dat op weerstand stuit vanwege privacyzorgen maar de weg vrijmaakt voor verdere onderhandelingen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN
In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.