Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang. Onderaan vind je de briefing ook als PDF.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen dag werd gekenmerkt door een intensivering van digitale verstoringen die de kwetsbaarheid van vitale infrastructuren in de Benelux blootlegden, variërend van academische instellingen tot logistieke knooppunten. Terwijl in Nederland en België de focus lag op de nasleep van DDoS aanvallen en beleidsbeslissingen rondom buitenlandse technologie, zien we wereldwijd een escalatie in spionagecampagnes waarbij statelijke actoren geavanceerde kwetsbaarheden misbruiken. De grens tussen geopolitiek conflict en cybercriminaliteit vervaagt verder, nu zowel fysieke oorlogsvoering als diplomatieke onderhandelingen steeds zwaarder leunen op digitale veiligheid en de bescherming tegen hybride dreigingen.
Verstoring van vitale diensten en misleiding via overgenomen sociale mediakanalen
Een gecoördineerde aanvalsgolf heeft diverse organisaties in onze zuiderburen tijdelijk digitaal lamgelegd, waarbij het hackerscollectief NoName de verantwoordelijkheid opeiste voor DDoS aanvallen op onder meer de KU Leuven, Bruxelles-Propreté en luchtvaartspeler SABCA. Ook de logistieke dienstverlener AGZ Port Services en de website van de regio Wallonië werden bestookt met een overmaat aan dataverkeer, wat leidde tot onbereikbaarheid en verstoring van de dienstverlening. Naast deze institutionele doelwitten werden ook individuele gebruikers getroffen door een geraffineerde misleiding via het officiële X account van SimpleX Chat. Kwaadwillenden wisten via de delegate functie toegang te krijgen tot dit account en promootten een frauduleuze cryptoverkoop via een professioneel ogende nepsite, waarbij ze misbruik maakten van het vertrouwen in het privacy georiënteerde platform. In Zuid-Korea vond een datalek van enorme omvang plaats bij retailgigant Coupang, waarbij de persoonsgegevens van dertig miljoen mensen, waaronder namen en adressen, op straat kwamen te liggen; een incident dat leidde tot directe invallen door de politie. In Europa ondervonden gebruikers van Microsoft Copilot hinder door capaciteitsproblemen, waardoor de AI dienst met name in het Verenigd Koninkrijk verminderd beschikbaar was en beheerders problemen ervoeren met Microsoft Defender functies.
Kritieke lekken in netwerkinfrastructuur en enterprise software actief uitgebuit
Onderzoekers waarschuwen voor actief misbruik van ernstige beveiligingslekken in enterprise software die doorgaans wordt gebruikt voor toegang op afstand. Een door China gesteunde groep heeft ingebroken bij Japanse transportbedrijven door specifieke kwetsbaarheden in Ivanti Connect Secure (CVE-2024-21893 en CVE-2024-21887) uit te buiten, waarna ze zich lateraal door netwerken bewogen om de geavanceerde MetaRAT malware te installeren. Ook de SSL VPN gateways van Array Networks vormen een acuut risico; aanvallers maken al maanden gebruik van een lek in de DesktopDirect functie (CVE-2025-66644) om webshells te plaatsen en langdurige toegang tot bedrijfsnetwerken te verkrijgen. Een andere zorgwekkende ontwikkeling is de exploitatie van de React2Shell kwetsbaarheid in het Next.js framework. De Noord-Koreaanse Lazarus groep en andere actoren zetten deze fout in om de EtherRAT malware te verspreiden op Linux systemen, waarbij ze gebruikmaken van blockchain technologie voor hun command and control communicatie. Op consumentenniveau heeft de Duitse overheid via het BSI kritische kanttekeningen geplaatst bij de wachtwoordmanager van Google Chrome, waarbij werd gewaarschuwd dat Google in specifieke synchronisatiescenario's theoretisch toegang zou kunnen krijgen tot opgeslagen wachtwoorden, in tegenstelling tot sommige andere geteste managers die als veiliger werden beoordeeld.
Geavanceerde malwarecampagnes en misbruik van vertrouwde ontwikkeltools
Het dreigingslandschap diversifieert snel met de introductie van complexe aanvalstechnieken die detectie weten te omzeilen. Operation FrostBeacon richt zich specifiek op de Russische financiële en juridische sector met Cobalt Strike malware, waarbij gebruik wordt gemaakt van zware obfuscatie en lokale infrastructuur om legitiem verkeer te simuleren. Voor softwareontwikkelaars schuilt het gevaar in de Visual Studio Code Marketplace, waar extensies die zich voordeden als AI assistenten in werkelijkheid infostealers bevatten die gericht waren op het stelen van inloggegevens en cryptowallets. De maritieme sector wordt specifiek geviseerd door 'Broadside', een nieuwe en geavanceerde variant van het Mirai botnet die kwetsbare videorecorders op schepen infecteert en zo de fysieke beveiliging kan compromitteren. Ook ransomware groepen evolueren; STAC6565, gelieerd aan Gold Blade, gebruikt legitieme sollicitatieplatforms om Canadese en andere internationale bedrijven te infecteren met QWCrypt. Daarnaast is de onzichtbare Linux backdoor GhostPenguin ontdekt, die via versleutelde UDP pakketten communiceert, en maakt de groep Storm-0249 gebruik van 'ClickFix' social engineering en legitieme tools zoals 'curl' om ransomware voor te bereiden. Zelfs zoekresultaten worden gemanipuleerd door de ChrimeraWire trojan, die op de achtergrond browserinteracties simuleert. Een nieuwe vorm van vishing combineert telefoontjes met Microsoft Teams en QuickAssist, waarbij aanvallers zich voordoen als IT support om malware direct in het geheugen te laden zonder bestanden op de schijf achter te laten.
Fysieke arrestaties en innovatieve opsporingsmethoden in de strijd tegen cybercrime
De politie heeft in verschillende landen successen geboekt door zowel fysieke interventies als digitale lokmiddelen in te zetten. In Polen zijn drie Oekraïners gearresteerd die in het bezit waren van specialistische hackapparatuur, waaronder de Flipper Zero en apparaten om radiosignalen te detecteren, vermoedelijk bedoeld om IT systemen te saboteren. In Nederland heeft de politie in IJsselstein een groep oplichters aangehouden die zich schuldig maakten aan bankhelpdeskfraude, waarbij ze een bejaarde vrouw duizenden euro's afhandig maakten; de arrestatie volgde na een gecoördineerde valstrik. Om toekomstig cybertalent te werven en bewustwording te vergroten, hebben de politie en Tweakers gezamenlijk de game 'Operatie 1337' gelanceerd, waarin deelnemers in een realistische simulatie een cybercrimineel netwerk moeten oprollen. In de Verenigde Staten is een man veroordeeld tot dertig jaar cel voor het grootschalig misbruiken van jonge meisjes via Snapchat, een zaak die de risico's van anonimiteit en verdwijnende berichten op sociale media onderstreept. Daarnaast onderzoeken Zuid-Koreaanse autoriteiten de interne beveiligingsprocedures bij Coupang na het massale datalek, waarbij specifiek wordt gekeken naar de trage detectie van de inbraak.
Geopolitieke verschuivingen en de digitalisering van moderne conflicten
De wisselwerking tussen technologie en geopolitiek conflict wordt steeds prominenter zichtbaar op het slagveld in Oekraïne. De inzet van onbemande grondrobots (UGV's) biedt tactische voordelen, maar experts waarschuwen dat de afhankelijkheid van satellietverbindingen zoals Starlink deze systemen kwetsbaar maakt voor elektronische oorlogsvoering en cyberaanvallen. Terwijl diplomaten in Washington en Europa overleggen over vredesplannen, waarschuwen Britse inlichtingendiensten voor een intensivering van Russische hybride aanvallen op westerse democratieën, inclusief desinformatie en sabotage van kritieke infrastructuur. Deze externe dreiging vindt weerklank in de binnenlandse veiligheidsanalyse van de NCTV, die in het nieuwste dreigingsbeeld waarschuwt voor de individualisering van terrorisme. Radicalisering vindt steeds vaker plaats via online gamingplatforms en chatgroepen, waardoor individuen zonder directe aansturing van een organisatie tot geweld kunnen overgaan, wat de voorspelbaarheid van aanslagen aanzienlijk verkleint. De digitale component is onmiskenbaar geworden in zowel conventionele oorlogsvoering als ideologische strijd.
Balanceren tussen privacywetgeving en technologische regulering
Op beleidsniveau worstelen overheden en toezichthouders met de regulering van technologie en de bescherming van privacy. De demissionaire Nederlandse minister heeft besloten geen specifieke scan uit te voeren naar Chinese apparatuur in vitale sectoren, maar kiest voor een risicogestuurde aanpak via zelfscans voor bedrijven. In België heeft de Gegevensbeschermingsautoriteit ingegrepen bij het bedrijf Freedelity, dat identiteitskaarten onrechtmatig als klantenkaart gebruikte; het bedrijf krijgt acht maanden om te voldoen aan de AVG eisen. De juridische strijd tegen Big Tech gaat onverminderd door, Google is veroordeeld tot een miljoenenboete aan de Belgische uitgever Rossel wegens machtsmisbruik in de advertentiemarkt en ligt daarnaast onder de loep van de EU over de vergoedingen voor content die gebruikt wordt voor AI training. Google anticipeert op veiligheidszorgen met een nieuwe beveiligingslaag in Chrome voor AI gestuurd browsen. Ondertussen waarschuwen burgerrechtenorganisaties zoals de EFF en critici in Australië dat verplichte online leeftijdsverificatie de privacy en anonimiteit van internetgebruikers ernstig kan aantasten. Mastodon roept overheden op om communicatie via open standaarden te laten verlopen in plaats van via commerciële platforms, terwijl uit analyses van Telegram blijkt dat cybercriminelen door toenemende moderatie vaker uitwijken naar alternatieve kanalen.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journaal uitzendingen
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Odido massaclaim, Vercel via AI tool en Kentico direct actief misbruikt
Maandag en dinsdag brachten twee tempoverhogingen in het Nederlandse en Belgische dreigingsbeeld. Consumers United in Court startte maandag een collectieve rechtszaak tegen Odido waarin de meldplicht en de bewaartermijn van miljoenen gegevens centraal staan, diezelfde dag dook een dataset met 400.000 Bol.com klantrecords op hackfora op. Dinsdag maakte Vercel openbaar dat een AI-presentatietool op één medewerkersapparaat het startpunt was van een complete Google Workspace overname, losgeldeis twee miljoen dollar via de ShinyHunters-persona. CCB Belgium en CISA KEV zetten tegelijkertijd drie CVE's in het rood waarvan JetBrains TeamCity een EPSS van 92 procent scoort, Kentico Xperience een CVSS van 9.8 kent en PaperCut NG/MF als ransomwarevector bekend staat. Kaspersky analyseerde de voorheen ongedocumenteerde Lotus wiper die medio december 2025 Venezolaanse energie- en nutsbedrijven trof, en de Franse identiteitsdocumenten-instantie ANTS bevestigde een datalek waarbij een dreigingsactor op hackfora claimt tot negentien miljoen records te bezitten. BeyondTrust publiceerde het dertiende Microsoft Vulnerabilities Report waarin de kritieke kwetsbaarheden in 2025 verdubbelden ondanks een daling in totaal aantal. De Noord-Koreaanse actor UNC1069 en Kaspersky's analyse van FakeWallet in de Chinese Apple App Store onderstrepen dat cryptocurrency en Web3 professionals een hoofddoel blijven.
ChipSoft bevestigt diefstal, Belgische gemeenten onder druk en EU leeftijdsapp gekraakt
Het weekend bracht een lawine aan incidenten. ChipSoft bevestigde vrijdag 18 april 2026 via een update op de eigen informatiepagina dat er bij de ransomware aanval toch medische patiëntgegevens zijn gestolen, eerdere berichten van de NOS blijken daarmee juist. De Waalse gemeente Anderlues werd op 19 april door ransomwaregroep TheGentlemen op de leaksite gezet, en gemeente Temse haalde zondag preventief alle online diensten offline in overleg met het Centre for Cybersecurity Belgium. Zimperium zLabs bracht vier nieuwe Android malwarefamilies in kaart die ruim 800 bank en crypto apps bestormen, waaronder RecruitRat via valse vacatures. De nieuwe Europese leeftijdsverificatie app, die minderjarigen moet beschermen tegen schadelijke online content, werd in minder dan twee minuten door security consultant Paul Moore omzeild. ShinyHunters stelde 2,1 miljoen Amtrak klantgegevens online via Have I Been Pwned, de Franse basketbalfederatie FFBB verloor 1,9 miljoen ledendata aan HexDex. Verder een kritieke remote code execution bug in protobuf.js met bijna 50 miljoen wekelijkse downloads, een publieke PoC voor FortiSandbox, drie actief misbruikte Windows zero days, en NIST die per 15 april stopt met het verrijken van lage prioriteit CVE's. Oekraïense hackers openden de gordijnen bij een besloten vergadering van het Russische ministerie van Industrie over droneproductie.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.