Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.
De presentatie is tevens beschikbaar via YouTube.
Powered by RedCircle
Powered by RedCircle
De gebeurtenissen van de afgelopen dagen tonen een verontrustende intensivering van cybercriminaliteit in onze regio, waarbij ransomware bendes hun pijlen richten op vitale schakels in de toeleveringsketen en de zorgsector. Terwijl lokale organisaties de schade van recente infiltraties opmaken, kampt de internationale tech gemeenschap met een reeks kritieke kwetsbaarheden die fundamentele infrastructuren, van databases tot AI frameworks, direct bedreigen.
Golf van ransomware bij lokale bedrijven en grootschalige datadiefstal bij multinationals
Een gecoördineerde golf van ransomware aanvallen heeft diverse organisaties in de regio getroffen, waarbij met name Lockbit5 een agressief offensief voert. Het Nederlandse metaalrecyclingbedrijf RD Metals zag zijn systemen op eerste kerstdag geïnfiltreerd worden, waarbij de hackers dreigen met datalekken. Vrijwel gelijktijdig werd groothandel Fresh2You, een belangrijke internationale speler in de AGF sector, toegevoegd aan de slachtofferlijst na een inbraak op 26 december. De impact reikt verder dan de commerciële sector, aangezien ook de Belgische non profitinstelling JEF slachtoffer is geworden. Bij deze organisatie, die zich inzet voor jongeren en mensen met een beperking, bestaat de vrees dat gevoelige gegevens via hun Microsoft 365 omgeving zijn gecompromitteerd. Naast Lockbit5 roert ook de Safepay groep zich, die het Brabantse productiebedrijf Van Venrooy op hun lijst voor dubbele afpersing heeft geplaatst. In België werd daarnaast de website van het Federaal Agentschap voor Nucleaire Controle bestookt met een DDoS aanval door BD Anonymous, gericht op het meetnetwerk voor radioactiviteit. Op internationaal vlak is de schade eveneens aanzienlijk. Spelgigant Ubisoft moest de servers van Rainbow Six Siege wereldwijd offline halen na een ernstig incident waarbij aanvallers admin tools overnamen en de in game economie manipuleerden. Er zijn tevens claims over de diefstal van broncode, maar deze zijn nog niet geverifieerd. Ondertussen publiceerde een actor genaamd Lovely een database van 2,3 miljoen records van tijdschrift WIRED, als voorbode van een groter lek bij moederbedrijf Condé Nast. Ook hardwarefabrikant Logitech ziet 2 terabyte aan interne data circuleren op een hackersforum en de Russische luchtvaartmaatschappij Utair wordt geconfronteerd met het opnieuw opduiken van een dataset met privégegevens van ruim 400.000 passagiers.
Kritieke gaten in databases en AI frameworks zetten poorten wagenwijd open
De technische integriteit van veelgebruikte systemen staat onder zware druk door de publicatie van enkele kritieke lekken. Het meest acute gevaar komt voort uit een kwetsbaarheid in MongoDB, aangeduid als MongoBleed of CVE-2025-14847. Met een score van 8.7 stelt dit lek aanvallers in staat om zonder authenticatie het geheugen van servers uit te lezen, wat waarschijnlijk de oorzaak was van de recente inbraak bij Ubisoft. Het NCSC waarschuwt voor actief misbruik nu exploitcode publiek is. Een ander ernstig lek bevindt zich in LangChain Core, essentieel voor AI applicaties. Via CVE-2025-68664 kunnen kwaadwillenden door foutieve serialisatie gevoelige sleutels en omgevingsvariabelen ontvreemden. In de cryptosector heeft een supply chainaanval op de Trust Wallet browserextensie geleid tot een verlies van 7 miljoen dollar; versie 2.68.0 bevatte kwaadaardige code die herstelzinnen onderschepte. Tot slot zijn in nog geen twee dagen tijd tienduizenden servers die draaien op het Next.js framework overgenomen in een campagne genaamd Operatie PCPcat. Aanvallers misbruiken hierbij de kritieke lekken CVE-2025-29927 en CVE-2025-66478 om via 'remote code execution' cloud omgevingen binnen te dringen en configuraties te stelen.
Van legitieme domeinen tot criminele economieën op Telegram
Criminelen professionaliseren hun methoden en misbruiken steeds vaker legitieme infrastructuur. Een treffend voorbeeld is de recente campagne tegen Grubhub, waarbij phishingmails werden verstuurd vanaf het legitieme subdomein @b.grubhub.com, waardoor spamfilters werden omzeild. Een structurelere verschuiving is zichtbaar op Telegram, waar Chinese criminele netwerken een miljardeneconomie hebben opgebouwd die de traditionele dark web markten in volume overtreft. Deze groepen faciliteren via USDT grootschalige fraude, waaronder 'pig butchering', en handelen in tools voor deepfakes en witwaspraktijken. Daarnaast is er een levendige, professionele handel ontstaan in gestolen toegangssleutels voor cryptowallets, waarbij de verkoop van 'seed phrases' als kant en klaar product wordt aangeboden. Ook de inzet van offensieve AI neemt toe, zoals bleek bij de aanval op het Chinese platform Kuaishou. Hierbij wisten geautomatiseerde AI agenten de contentfilters te overspoelen en te misleiden, wat aantoont dat statische moderatie niet langer opgewassen is tegen dynamische, AI gestuurde aanvallen.
Tiener ingezet voor spionage en corruptie op hoog niveau in Georgiëezet voor spionage en corruptie op hoog niveau in Georgië
Justitie en veiligheidsdiensten boeken successen, maar stuiten daarbij op complexe fenomenen. In Nederland wordt een zeventienjarige havo scholier vervolgd die fysiek spionagewerk verrichtte in opdracht van pro Russische hackers. Daarnaast is de politie een tweede onderzoek gestart naar moordopdrachten op het darkweb, waarbij diverse Nederlanders doelwit bleken op een site die huurmoordenaars aanbood. Internationaal zorgde de arrestatie van Grigol Liluashvili, de voormalige Georgische veiligheidschef, voor ophef. Hij wordt ervan verdacht tegen betaling van miljoenen aan steekpenningen frauduleuze callcenters te hebben beschermd. Op het gebied van digitale defensie speelt Nederland een opvallende rol in Vaticaanstad. Een team vrijwilligers onder leiding van de Nederlandse expert Joe Shenouda beveiligt daar de infrastructuur, nadat bleek dat het netwerk zo lek was dat metadata van de paus en personeelsdossiers eenvoudig toegankelijk waren.
Hybride oorlogsvoering en geopolitieke druk op Europese autonomie
De geopolitieke spanningen vertalen zich steeds directer naar het digitale domein, met een focus op hybride oorlogsvoering. België ervaart verhoogde druk door Russische pogingen om de politieke besluitvorming te destabiliseren, waarbij de afhankelijkheid van Russische LNG import via Zeebrugge als hefboom fungeert. Deze tactiek past in de bredere Russische strategie om westerse infrastructuur te ondermijnen. Tegelijkertijd veranderen de trans Atlantische verhoudingen door de intensieve samenwerking tussen de nieuwe Amerikaanse regering en 'Big Tech'. Deze alliantie zet de Europese digitale soevereiniteit onder druk, aangezien de VS technologie steeds openlijker inzetten als politiek machtsmiddel. Experts waarschuwen dat de afhankelijkheid van Amerikaanse IT infrastructuur en AI ontwikkeling de strategische autonomie van Europese overheden bedreigt, zeker nu de VS dreigen met consequenties voor landen die Amerikaanse techbedrijven zwaar belasten.
Nucleaire energie voor datacenters en volatiliteit op de cryptomarkt
Buiten de directe conflicten om vinden er innovatieve verschuivingen plaats in de energiesector om de digitale infrastructuur overeind te houden. In de Verenigde Staten is een traject gestart om afgedankte nucleaire reactoren van de marine in te zetten als stroomvoorziening voor datacenters. Dit initiatief van HGP Intelligent Energy moet de continuïteit van dataopslag garanderen zonder het openbare stroomnet te belasten. Op de financiële markten heeft de bitcoin een grillig jaar achter de rug. Ondanks een cryptovriendelijker beleid vanuit het Witte Huis is de waarde gedaald naar circa 88.000 dollar, na een piek in het najaar. De volatiliteit wordt gedreven door onzekerheid over regelgeving en een verschuiving van kapitaal naar andere activa.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Recente journalen
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline
In de periode van dinsdag 12 mei tot en met woensdag 13 mei 2026 deelde Odido voor het eerst gedetailleerde informatie over hoe ShinyHunters erin slaagde de gegevens van 6,2 miljoen klanten te stelen via een telefoontje naar de klantenservice. Terwijl CEO Søren Abildgaard compensatie afwees en een massaclaim in voorbereiding is, escaleert de dreigingsgroep TeamPCP haar supply chain aanvallen met gecompromitteerde versies van de officiële Jenkins plugin van Checkmarx, honderden pakketten op npm en de Python client van Mistral. Ondertussen heeft het Instituut voor de Nederlandse Taal zijn websites offline gehaald na een hack op 5 mei en heeft het Openbaar Ministerie de operationele schade van de aanval op zijn Citrix omgeving van juli 2025 beschreven.
Universiteiten en ShinyHunters, Crimenetwork en TCLBanker
In de periode van vrijdag 8 mei tot en met zondag 10 mei 2026 kwamen meerdere universiteiten in contact met ShinyHunters over de gestolen Canvas data, terwijl Instructure opvallend afwezig bleef op de leksite van de groep. De BKA maakte definitief een einde aan het opnieuw opgestarte Crimenetwork en arresteerde de beheerder op Mallorca in samenwerking met de Spaanse autoriteiten. Ondertussen verspreidt de TCLBanker bankentrojan zich via WhatsApp en Outlook richting Europa, viel het Nederlandse constructiebedrijf VeriCon ten prooi aan de ransomwaregroep thegentlemen en publiceerden onderzoekers bewijs van haalbaarheid voor twee kritieke kwetsbaarheden in Linux containeromgevingen waarvoor nog geen patch beschikbaar is.
Altijd op de hoogte
Ontvang dagelijks het Cyber Journaal tussen 12:00 en 14:00 uur (behalve op zondag). Schrijf je in en ontvang het automatisch in je mailbox:
Door de drukte kan het wat langer duren voordat het inschrijfformulier wordt geladen.