Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De afgelopen vierentwintig uur werd het digitale domein getekend door verstoringen die direct ingrijpen op het dagelijks leven, variërend van de logistieke afhandeling van kerstpost tot de beschikbaarheid van bankdiensten. Terwijl vitale processen in Frankrijk haperden, kwamen internationaal ernstige kwetsbaarheden in beheersoftware en grootschalige datadiefstallen aan het licht die ook implicaties hebben voor organisaties in de Benelux. De volgende analyse biedt een gedetailleerd overzicht van de situatie, waarbij specifieke incidenten, technische analyses en geopolitieke manoeuvres in kaart zijn gebracht.
Grootschalige uitval in Frankrijk en datalekken via toeleveranciers
In Frankrijk hebben burgers en bedrijven te maken gekregen met een aanzienlijke verstoring van de dienstverlening door een ddos aanval op de systemen van La Poste en diverse financiële instellingen. Op de maandagochtend voor kerst werden de servers van het postbedrijf overspoeld, waardoor klanten pakketten niet konden volgen en de bezorging vertraging opliep. Gelijktijdig werden banken zoals La Banque Postale, Caisse d'Epargne en Banque Populaire getroffen, wat resulteerde in het onvermogen om betalingen via mobiele applicaties goed te keuren; fysieke pinbetalingen bleven wel mogelijk. Naast deze directe verstoringen kwam een ernstig incident bij softwareleverancier Red Hat aan het licht, waar aanvallers een GitLab omgeving binnendrongen. Dit leidde tot het lekken van gegevens van 21.000 Nissan klanten, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn de gevolgen breder en behoren ook de Nederlandse bank ING en luchtvaartmaatschappij Delta Airlines tot de ruim vijfduizend getroffen klanten van Red Hat. In de mediasector claimt hackersgroep Anna’s Archive een inbreuk op Spotify waarbij 300 terabyte aan data is buitgemaakt, goed voor bijna de volledige muziekbibliotheek. De groep heeft vooralsnog alleen metadata gepubliceerd, maar dreigt audiobestanden via torrents te verspreiden na het omzeilen van de DRM beveiliging.
Kritieke lekken in workflow automatisering en infrastructuurbeheer
Beveiligingsteams moeten onmiddellijk actie ondernemen vanwege twee hoog risico kwetsbaarheden in veelgebruikte enterprise software. In het workflow platform n8n is een lek ontdekt (CVE-2025-68613) met een CVSS score van 9.9, waarmee geauthenticeerde gebruikers willekeurige code kunnen uitvoeren; gezien de populariteit van dit platform in Duitsland en Frankrijk is waakzaamheid in de omliggende regio vereist. Een nog hogere ernstscore van 10.0 is toegekend aan CVE-2025-37164 in HPE OneView, het beheerplatform voor IT infrastructuur. Door een configuratiefout in de REST API kunnen ongeautoriseerde aanvallers op afstand commando’s uitvoeren en systemen volledig overnemen, waarvoor HPE inmiddels een hotfix heeft uitgebracht. Op een fundamenteler niveau waarschuwt OpenAI dat AI browsers, zoals hun eigen ChatGPT Atlas, vatbaar blijven voor prompt injection aanvallen. Omdat Large Language Models moeilijk onderscheid maken tussen systeeminstructies en externe data, blijft het risico bestaan dat kwaadwillenden via verborgen instructies op websites de controle over deze ‘agentic’ browsers overnemen, een probleem waarvoor mogelijk geen definitieve technische oplossing bestaat.
Geavanceerde distributiemethoden voor malware en fraude via vertrouwde kanalen
Criminelen zetten in op verfijnde technieken om detectie te omzeilen en maken misbruik van legitieme platforms. In de npm Registry is de malafide package 'lotusbail' opgedoken, die zich voordoet als een WhatsApp Web API tool maar in werkelijkheid sessies en chats steelt. Voor macOS gebruikers vormt een nieuwe variant van de MacSync infostealer een bedreiging; deze malware omzeilt de Gatekeeper beveiliging door gebruik te maken van een geldige digitale handtekening en notarisering van Apple. Ook browserextensies blijken een risico, onder de naam ‘Phantom Shuttle’ zijn tools in de Chrome Web Store ontdekt die netwerkverkeer kapen. Op het gebied van ransomware gebruikt de groep achter HardBit 4.0 het verouderde Neshta virus als 'dropper' om antivirussoftware te misleiden. Een specifieke campagne richt zich op de security community zelf, waarbij de Webrat malware via GitHub wordt verspreid vermomd als exploits voor recente kwetsbaarheden. Daarnaast wordt gewaarschuwd voor fraude met brandhout waarbij betaling via PaysafeCards wordt geëist, en is er sprake van phishing rondom de migratie van iDEAL naar Wero. Op het dark web wordt bovendien toegang tot 1500 gecompromitteerde netwerken verhandeld, terwijl in India een campagne met ‘image only’ emails en NSIS installers zakelijke netwerken infiltreert.
Internationale successen tegen financiële netwerken en advertentiefraude
Justitiële diensten hebben wereldwijd diverse criminele infrastructuren ontmanteld. Het Amerikaanse ministerie van Justitie heeft beslag gelegd op servers die werden gebruikt voor een miljoenenfraude via zoekmachine advertenties, waarbij voor bijna 15 miljoen dollar werd gestolen door bankwebsites na te bootsen. Eurojust presenteerde de resultaten van het afgelopen jaar, waaronder de aanpak van een netwerk dat verantwoordelijk was voor 300 miljoen euro aan creditcardfraude en de ontmanteling van drugs- en mensenhandelnetwerken. In Ghana wisten autoriteiten, in samenwerking met Interpol, 30 terabyte aan data te herstellen na een ransomware aanval op de financiële sector, waarbij ook arrestaties zijn verricht. Zuid-Korea neemt preventieve maatregelen door vanaf 2026 gezichtsherkenning verplicht te stellen bij de aanvraag van nieuwe telefoonnummers om voice phishing tegen te gaan.
Spionage door statelijke actoren en weren van buitenlandse technologie
De geopolitieke spanningen vertalen zich in concrete digitale dreigingen en defensieve maatregelen. Techgigant Amazon heeft meer dan achttienhonderd sollicitaties geblokkeerd van vermoedelijke Noord-Koreaanse agenten die via gestolen identiteiten probeerden IT functies te verkrijgen om geld te genereren voor het wapenprogramma van Pyongyang. Diezelfde Noord-Koreaanse dreiging manifesteert zich in Operation Artemis, waarbij hackers zich voordoen als schrijvers van Zuid-Koreaanse tv programma’s om via HWP documenten malware te verspreiden bij experts en journalisten. Als reactie op spionagerisico’s heeft de Amerikaanse FCC een verbod ingesteld op de verkoop van drones en kritieke componenten van specifieke buitenlandse fabrikanten, waaronder het Chinese DJI, om de nationale veiligheid en het luchtruim te beschermen tegen surveillance en sabotage.
Beleidswijzigingen en investeringen in digitale weerbaarheid
In Vlaanderen hebben 21 gemeenten in Oost-Vlaanderen en Vlaams-Brabant een nieuw noodplan geactiveerd dat voorziet in back upsystemen om dienstverlening zoals de uitgifte van paspoorten te garanderen tijdens cyberaanvallen. De Nederlandse overheid reageerde ondertussen terughoudend op een voorstel voor een 'digitale rode knop' om persoonsgegevens centraal te wissen, maar kondigde wel aan dat leeftijdsverificatie voor online alcoholverkoop gekoppeld zal worden aan de Europese Digitale Identiteit. Apple vecht in Italië een boete van 98 miljoen euro aan betreffende het App Tracking Transparency beleid, terwijl de Israëlische cybersecuritysector ondanks regionale onrust een recordgroei noteert met bijna 16 miljard dollar aan investeringen. Tot slot wijst onderzoek naar SIEM systemen uit dat technische correctheid alleen onvoldoende is voor effectieve detectie, waarbij operationele afstemming op de organisatie cruciaal blijkt.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.