Internationale cyberdreiging door AI aanvallen en datalekken in kritieke systemen / Journaal

Blijf cyberdreigingen voor met onze dagelijkse update. Kies het formaat dat bij jou past, een korte video (5 min) voor het overzicht, een podcast (3 min) voor onderweg, of de uitgebreide analyse (15 min) voor meer diepgang.

De presentatie is tevens beschikbaar via YouTube.

Het journaal is tevens beschikbaar via Spotify of YouTube.

Powered by RedCircle

De podcast is tevens beschikbaar via Spotify of YouTube.

Powered by RedCircle

De afgelopen 48 uur kenmerkten zich door een reeks significante cyberincidenten en de ontdekking van ernstige kwetsbaarheden, die de digitale weerbaarheid van organisaties en individuen opnieuw op de proef stellen. Zowel in Nederland als in België, en wereldwijd, is een toename te zien in de complexiteit en frequentie van aanvallen, met name door de inzet van kunstmatige intelligentie en verfijnde social engineering technieken.

Slachtoffers financiële schade en gegevensdiefstal

De Roemeense energieleverancier Complexul Energetic Oltenia, de grootste op steenkool gebaseerde energieproducent, werd getroffen door Gentlemen ransomware. Dit leidde tot uitval van de IT infrastructuur tijdens de kerstdagen, waarbij ongeveer dertig procent van de nationale elektriciteitsproductie werd beïnvloed, al kwam de werking van het nationale energienetwerk volgens de organisatie niet in gevaar. De aanval wordt toegeschreven aan de Gentlemen ransomwaregroep, die sinds augustus van dit jaar actief is en vaak binnendringt via gecompromitteerde inloggegevens. In België claimde BD Anonymous een DDoS aanval op de gemeente Weismes op 29 december 2025, gericht op de officiële website waimes.be. De aanval werd omstreeks 10:22 uur geclaimd via kanalen die dreigingsinformatie monitoren en betrof een Distributed Denial of Service DDoS, bedoeld om de server van de gemeente te overbelasten en dienstverlening te verstoren. Een grootschalige phishingcampagne gericht op Outlook gebruikers, actief sinds het voorjaar van 2025, gebruikt een AI gestuurde kit met een unieke signatuur van vier paddenstoel emoji’s. De campagne, die inloggegevens steelt via vervalste authenticatiepagina’s, heeft een mondiaal bereik, met aanzienlijke impact in Europa (19,8 procent), de Verenigde Staten (48,6 procent) en Azië Pacific (20,7 procent). De zwaarst getroffen sectoren waren de maakindustrie, technologiesector, financiële sector en het bankwezen. Op het darkweb is een omvangrijke dataset met inloggegevens van meer dan 275.000 unieke WordPress websites te koop aangeboden. Deze gegevens, aangeboden op 29 december 2025 door een dreigingsactor die zich richt op bulkhandel in gestolen inloggegevens, bevatten gebruikersnamen en wachtwoorden die directe toegang tot beheerdersomgevingen verschaffen. De dreiging van phishing binnen de cryptosector is in 2025 met 83,4 procent gestegen ten opzichte van 2023, waarbij ongeveer 40,8 procent van de gerapporteerde incidenten het gevolg is van sociale manipulatie en 33,7 procent van puur technische hacks. Nieuwe technieken zoals address poisoning, waarbij aanvallers wallet adressen genereren die lijken op die van gebruikers, hebben al geleid tot verliezen van minstens 83,8 miljoen dollar. Het Russische ticketplatform Kassy.ru is geconfronteerd met een datalek waarbij de gegevens van 300.000 gebruikers zijn blootgesteld. De aangetaste informatie omvat records van geregistreerde accounts, emailadressen en accountdetails. De Amerikaanse staat Pennsylvania heeft via het hooggerechtshof bepaald dat de politie geen gerechtelijk bevel nodig heeft om Google zoekopdrachten op te vragen. Deze uitspraak legitimeert reverse keyword search warrants, waarbij opsporingsdiensten data opvragen over iedereen die op een specifieke term heeft gezocht. De Autoriteit Persoonsgegevens in Nederland heeft dit jaar tientallen meldingen ontvangen van datalekken door het uploaden van persoonsgegevens naar AI chatbots. Een specifiek incident bij de gemeente Eindhoven betrof het verzenden van duizenden bestanden naar externe AI platforms, inclusief gevoelige informatie over minderjarigen en volwassenen in het kader van de Jeugdwet en de Wet maatschappelijke ondersteuning WMO. Het salaris van het Belgische Kamerlid Mathieu Michel werd abusievelijk overgemaakt naar criminelen als gevolg van een phishingmail die verzocht om het officiële rekeningnummer voor salarisbetaling te wijzigen. Het incident, dat eerder deze maand plaatsvond, werd naar buiten gebracht door het betrokken Kamerlid zelf. Trust Wallet heeft bekendgemaakt dat aanvallers ongeveer zeven miljoen dollar hebben buitgemaakt uit bijna drieduizend cryptocurrency portefeuilles via een gecompromitteerde browserextensie. Het incident vond plaats op 24 december 2025, veroorzaakt door een kwaadaardig JavaScript bestand in versie 2.68.0 van de browserextensie, mogelijk via een gelekte API sleutel van de Chrome Web Store. De Zuid-Koreaanse ecommercegigant Coupang heeft een compensatiepakket van in totaal 1,17 miljard dollar aangekondigd na een omvangrijk datalek waarbij de gegevens van 33,7 miljoen klanten zijn blootgesteld. Het incident is teruggeleid naar een voormalige IT medewerker die na zijn vertrek ongeautoriseerde toegang tot de systemen behield. De gegevens betreffen namen, emailadressen, telefoonnummers, bezorgadressen en de bestelgeschiedenis. De Zuid-Koreaanse luchtvaartmaatschappij Korean Air is getroffen door een datalek waarbij persoonlijke gegevens van duizenden medewerkers zijn gecompromitteerd. De bron van de inbreuk ligt bij Korean Air Catering & Duty Free KC&D, een externe cateraar. Namen en bankrekeningnummers van werknemers zijn ontvreemd uit het ERP systeem op de servers van de partner.

Kwetsbaarheden in kritieke systemen

De MongoDB kwetsbaarheid CVE-2025-14847, ook bekend als MongoBleed, stelt onbevoegden in staat om zonder authenticatie gevoelige informatie uit het servergeheugen te extraheren, waaronder inloggegevens en persoonsgegevens. De kwetsbaarheid bevindt zich in het zlib decompressiemechanisme en treft versies 4.4 tot en met 8.2.2. Statistieken wijzen uit dat ongeveer 42 procent van de cloudomgevingen wereldwijd, circa 87.000 publiek toegankelijke systemen, kwetsbaar is. The Shadowserver Foundation waarschuwt dat wereldwijd ongeveer 75.000 MongoDB servers die met internet zijn verbonden, kwetsbaar zijn voor datadiefstal. In de Benelux zijn 1600 mogelijk kwetsbare servers in Nederland en circa 1800 in België gedetecteerd. Een kritieke zero day kwetsbaarheid, CVE-2025-54322, is ontdekt in de SXZOS firmware van fabrikant XSpeeder, die wereldwijd meer dan 70.000 hosts blootstelt aan aanvalsmogelijkheden. Het lek, met een CVSS score van 9.8, treft met name SD WAN appliances, edge routers en controllers voor smart tv’s, en maakt ongeauthenticeerde Remote Code Execution RCE met root privileges mogelijk. De Europese Ruimtevaartorganisatie ESA heeft officieel bevestigd dat onbevoegden toegang hebben verkregen tot servers die buiten het interne bedrijfsnetwerk staan. De aanvaller claimde meer dan 200 GB aan gegevens te hebben ontvreemd na een week toegang tot JIRA- en Bitbucket servers, inclusief broncodes uit private repositories, CI/CD pijplijnen, API tokens en configuratiebestanden. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties beraadt zich momenteel op de toegevoegde waarde van een interdepartementale taskforce voor online leeftijdsverificatie, voortkomend uit een motie van de ChristenUnie en Nieuw Sociaal Contract. De taskforce moet versnipperde kennis bundelen en toewerken naar adequate online handhaving van leeftijdsgrenzen, mede door de inzetbaarheid van een leeftijdsverificatie app van de Europese Commissie.

Dreigingen door AI en geavanceerde malware

Het jaar 2025 markeert een omslag in het veiligheidsbewustzijn, waarbij de scheidslijnen tussen digitale en fysieke dreigingen vervagen. De geopolitieke situatie bevindt zich in een grijs gebied tussen vrede en oorlog, wat zorgt voor structurele onzekerheid. Binnen het cyberdomein is een zorgwekkende trend zichtbaar waarbij de grenzen tussen criminele hackers en statelijke actoren verdwijnen. Statelijke actoren maken vaker gebruik van criminele groeperingen voor spionage of sabotage, waardoor zij hun directe betrokkenheid plausibel kunnen ontkennen. Deze ontwikkeling wordt versterkt door de inzet van kunstmatige intelligentie, die het onderscheiden van desinformatie moeilijker maakt en de maatschappelijke stabiliteit onder druk zet. De HoneyMyte APT groep, ook bekend als Mustang Panda of Bronze President, zet in een nieuwe campagne een geavanceerde kernel mode rootkit in om de ToneShell backdoor te beschermen op besmette systemen. De rootkit, waarvan de driver specifiek is ontworpen voor bescherming van bestanden, register en processen, speelt een centrale rol in de uitrol van de aanval via payload injectie met de ToneShell backdoor als uiteindelijke lading. De officiële website van de teksteditor EmEditor is gecompromitteerd, waarbij tussen 19 en 22 december 2025 een met malware besmette versie van de software is verspreid. De toegevoegde malware betreft een infostealer die inloggegevens steelt en een malafide browserextensie, genaamd Google Drive Caching, installeert. Deze extensie steelt bookmarks, cookies, wachtwoorden en informatie over bezochte websites en fungeert als clipper malware, waarbij het klembord van het besturingssysteem wordt gemonitord voor cryptovaluta adressen. De methodiek achter digitale inbraken ondergaat een fundamentele verschuiving naar gecommoditiseerde, servicegebaseerde social engineering, met de verspreiding van ClickFix instrumenten. ErrTraffic (of ErrTraffic v2), een softwaresuite die deze valstrikken industrieel schaalbaar maakt, simuleert technische problemen met visuele misleiding (fake glitches) om gebruikers te manipuleren tot handmatige uitvoering van kwaadaardige scripts. Het ErrTraffic platform, aangeboden als Software as a Service SaaS op ondergrondse fora voor circa 800 dollar, identificeert automatisch het besturingssysteem van de bezoeker en levert specifieke malware, zoals infostealers voor Windows en banking trojans voor Android en Linux. De cybercriminele groepering Silver Fox, ook bekend onder de namen SwimSnake en Void Arachne, heeft haar aanvalsstrategieën verbreed met de inzet van de modulaire trojan ValleyRAT. De infectieketen verloopt veelal via emailberichten met een PDF bijlage die leidt naar een externe downloadlocatie van een gecomprimeerd bestand met een installatieprogramma dat DLL sideloading gebruikt om de malafide bibliotheek libexpat.dll te laden. Na activatie voert de malware controles uit om analyse omgevingen te omzeilen en wordt de Windows Update service uitgeschakeld. ValleyRAT, of Winos 4.0, wordt vervolgens geïnjecteerd in explorer.exe en beschikt over modulaire functionaliteiten zoals keylogging, het stelen van inloggegevens en systeemsurveillance. Malware is geïnfiltreerd in Maven Central via typosquatting, waarbij aanvallers kwaadaardige software verspreidden onder de bedrieglijke namespace org.fasterxml.jackson.core, lijkend op de legitieme com.fasterxml.jackson.core. De aanvalsinfrastructuur vertoont zorgvuldige planning, met domeinregistratie fasterxml.org, een nabootsing van fasterxml.com, op 17 december 2025. DDoS aanvallen in 2026 zullen naar verwachting steeds vaker fungeren als strategische afleidingsmanoeuvre voor datadiefstal of malware installatie. Deze ontwikkeling vereist een aanpassing van incidentrespons, waarbij gelijktijdige controle op dataintegriteit en verdacht intern netwerkverkeer noodzakelijk is. De toenemende afhankelijkheid van API first architecturen en hyper scale IoT botnets versterkt de complexiteit van digitale dreigingen. Het Open Web Application Security Project OWASP heeft de Top 10 voor Agentic Applications 2026 gepubliceerd, het eerste beveiligingskader specifiek ontworpen voor autonome AI agenten die zelfstandig beslissingen nemen en externe tools aansturen. Dit kader definieert tien risico's, variërend van Agent Goal Hijack tot Rogue Agents. Op het darkweb is een aanbod gesignaleerd van GitHub API sleutels met beheerdersrechten tot repositories van ecommerce Content Management Systemen en Large Language Models. Deze toegang stelt actoren in staat om broncode en configuratie instellingen in te zien of te bewerken, wat een aanzienlijk risico vormt voor de integriteit van de software en de verspreiding van malware. De Iraanse hackersgroep Handala, verantwoordelijk voor de Bibi Gate aanval, is succesvol binnengedrongen in de smartphone van Tzachi Braverman, de stafchef van de Israëlische premier. De aanval leidde tot de exfiltratie van gevoelige documenten, contactlijsten en persoonlijke communicatie. Chinese staatshackers gebruiken een rootkit om Microsoft Defender te saboteren. Onderzoekers hebben een nieuwe aanvalsmethode geïdentificeerd waarbij de ToneShell backdoor wordt verspreid via een kernel mode loader, toegeschreven aan de hackersgroep Mustang Panda, die zich richt op spionage van overheidsinstanties.

Opsporing succesvolle arrestaties en waarschuwingen

De politie in Capelle aan den IJssel heeft op zaterdag 27 december 2025 een 17 jarige verdachte aangehouden op verdenking van oplichting via een babbeltruc, nadat een alerte bewoonster argwaan kreeg tijdens een telefoongesprek met een persoon die zich voordeed als rechercheur. De verdachte werd op heterdaad aangehouden toen hij bij de woning verscheen. De politie in Utrecht heeft de identiteit vastgesteld van een verdachte die verantwoordelijk wordt gehouden voor een reeks oplichtingszaken in de wijken Ondiep en Zuilen. De man opereerde in de vermomming van een postbezorger, wat hem in staat stelde het vertrouwen van slachtoffers te winnen. Zijn identificatie volgde op het veiligstellen en tonen van camerabeelden. De politie in Zuid-Korea heeft bekendgemaakt dat een gemanipuleerde versie van de softwaretool KMSAuto, ongeveer 2,8 miljoen keer gedownload, besmet bleek met malware die cryptovaluta ontvreemdt. Een verdachte is na een internationaal arrestatiebevel aangehouden en uitgeleverd aan de Zuid-Koreaanse autoriteiten. Twee voormalige medewerkers van gespecialiseerde cybersecuritybedrijven, Ryan Clifford Goldberg en Kevin Tyler Martin, hebben voor een Amerikaanse rechtbank schuld bekend aan hun betrokkenheid bij ransomware aanvallen onder de vlag van het BlackCat collectief. Zij gebruikten hun professionele ervaring om tussen mei en november 2023 gericht Amerikaanse ondernemingen te infiltreren en af te persen. De daders, die als incident response manager en ransomware onderhandelaar werkzaam waren, kregen via het affiliate model van BlackCat toegang tot de ransomware infrastructuur.

Cyberoorlog geopolitieke spanningen en dreigingen

Het jaar 2025 markeert een omslag in het veiligheidsbewustzijn, waarbij de scheidslijnen tussen digitale en fysieke dreigingen steeds verder vervagen. De geopolitieke situatie bevindt zich in een grijs gebied tussen vrede en oorlog, wat zorgt voor structurele onzekerheid. Statelijke actoren maken vaker gebruik van criminele groeperingen om spionage of sabotage uit te voeren, waardoor zij hun directe betrokkenheid plausibel kunnen ontkennen. Deze ontwikkeling wordt versterkt door de inzet van kunstmatige intelligentie, die het onderscheiden van desinformatie moeilijker maakt en de maatschappelijke stabiliteit onder druk zet. De Iraanse hackersgroep Handala claimt succesvol te zijn binnengedrongen in de smartphone van Tzachi Braverman, de stafchef van de Israëlische premier Benjamin Netanyahu. De aanval, aangeduid als Bibi Gate, leidde tot de exfiltratie van gevoelige documenten, contactlijsten en persoonlijke communicatie. Naast de stafchef was ook voormalig premier Naftali Bennett doelwit. Chinese staatshackers gebruiken een rootkit om Microsoft Defender te saboteren. Onderzoekers hebben een nieuwe aanvalsmethode geïdentificeerd waarbij de ToneShell backdoor wordt verspreid via een kernel mode loader. Deze campagne wordt toegeschreven aan de hackersgroep Mustang Panda, die zich richt op het bespioneren van overheidsinstanties. De aanval maakt gebruik van een specifiek stuurprogramma, genaamd ProjectConfiguration.sys, dat op kernel niveau opereert en reguliere beveiligingsmechanismen omzeilt door de configuratie van de WdFilter driver van Microsoft Defender te manipuleren. Een spear phishingcampagne gericht op de defensie- en beveiligingssector maakt gebruik van een technische infrastructuur met servers in Nederland en Duitsland. De aanvalsmethode, toegeschreven aan de statelijke actor APT42 of Charming Kitten, omvat gepersonaliseerde WhatsApp berichten met kwaadaardige verkorte URL’s die leiden naar gespoofde registratiepagina’s. De hosting is geografisch verspreid over Nederland, Duitsland, Moldavië en Italië, wat duidt op een strategie om detectie en juridische interventies te bemoeilijken. DDoS aanvallen zullen in 2026 naar verwachting steeds vaker fungeren als strategische afleidingsmanoeuvre voor datadiefstal. Experts waarschuwen dat terwijl securityteams zich richten op het herstellen van de beschikbaarheid tijdens een grootschalige aanval, criminelen van de gelegenheid gebruikmaken om op de achtergrond netwerken binnen te dringen voor datadiefstal of malware installatie.

Algemeen digitale onafhankelijkheid en privacyzorgen

De Duitse hackersclub Chaos Computer Club CCC heeft tijdens het jaarlijkse Chaos Communications Congress in Hamburg gepleit voor de invoering van een digitale onafhankelijkheidsdag. De organisatie stelt dat grote technologiebedrijven Europa in een houdgreep hebben en dat overheden nalaten hier verandering in te brengen. Het plan is om via aangesloten hackerspaces maandelijkse workshops te faciliteren om gebruikers te ondersteunen bij het migreren van diensten als Gmail, Windows, WhatsApp en commerciële sociale media naar alternatieven. Ierland is voornemens om tijdens het EU voorzitterschap in de tweede helft van 2026 wetgeving te introduceren die een identificatieplicht voor socialmedia accounts in de gehele Europese Unie regelt. Vicepremier Simon Harris heeft verklaard dat deze maatregel noodzakelijk is om het gebruik van anonieme accounts en de verspreiding van desinformatie door zogenaamde bots tegen te gaan. De rechtbank Rotterdam heeft geoordeeld dat advertentiebedrijf Criteo onrechtmatig handelt door trackingcookies op systemen van internetgebruikers te plaatsen zonder expliciete toestemming. Dit vonnis bevestigt eerdere rechterlijke uitspraken waarin werd bepaald dat het bedrijf de geldende privacywetgeving overtreedt. De Amerikaanse staat Pennsylvania heeft via het hooggerechtshof bepaald dat de politie geen gerechtelijk bevel nodig heeft om gegevens over zoekopdrachten bij Google op te vragen, wat impliceert dat zoektermen niet dezelfde juridische privacybescherming genieten als privéberichten. De grootschalige aanschaf van circa vier miljoen slimme Chinese elektriciteitsmeters door Nederlandse netbeheerders, van producenten zoals Kaifa Technology, veroorzaakt onrust in de elektrotechnische sector vanwege mogelijke veiligheidsrisico’s en privacyzorgen omtrent de toegankelijkheid van gedetailleerde energieverbruiksinformatie. De financiële dienstverlening in de EMEA regio kampt met een structurele toename van cyberrisico’s. Uit recente sectorbrede analyses blijkt dat financiële instellingen in Europa verantwoordelijk zijn voor achttien procent van alle geregistreerde cyberincidenten binnen de EMEA regio. De gemiddelde kosten van een datalek in de financiële sector bedragen momenteel circa 4,77 miljoen euro per incident. De Chinese cyberwaakhond, de Cyberspace Administration, heeft nieuwe conceptregels gepubliceerd om de risico’s van kunstmatige intelligentie met menselijke trekjes in te dammen. De regelgeving richt zich specifiek op AI diensten die ontworpen zijn om menselijk over te komen en waar gebruikers een emotionele band mee kunnen opbouwen, met waarschuwingen voor verslavend gedrag en psychologische problemen. Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, heeft de overname afgerond van het AI bedrijf Manus, waarvoor circa 2 miljard dollar is betaald. Manus’ technologie, een General AI Agent, die software in staat stelt volledig zelfstandig digitale taken uit te voeren, zal worden geïntegreerd in Meta's bestaande ecosysteem.

Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: Cybercrimeinfo, ondezoeksteam