AP gehackt via Ivanti, meldkamers uit en Chinese spionage onthuld

Nederlandse overheidsinstanties en Belgische ziekenhuizen getroffen, meldkamers vallen uit

De Autoriteit Persoonsgegevens en de Raad voor de rechtspraak zijn gehackt via kwetsbaarheden in Ivanti Endpoint Manager Mobile. Demissionair staatssecretaris Rutte van Justitie en Veiligheid informeerde de Tweede Kamer dat aanvallers toegang hebben gekregen tot werkgerelateerde gegevens van medewerkers van de AP, waaronder namen, zakelijke e-mailadressen en telefoonnummers. Het NCSC had eerder gewaarschuwd dat Nederlandse organisaties die Ivanti EPMM gebruiken ervan uit moeten gaan dat hun server gecompromitteerd is. De kwetsbaarheden CVE-2026-1281 en CVE-2026-1340 maken het voor ongeauthenticeerde aanvallers mogelijk om op afstand code uit te voeren, met een impactscore van 9.8 op een schaal van 10. De CIO Rijk onderzoekt of meer Rijksoverheidsinstanties zijn getroffen.

In België heeft AZ Monica bekendgemaakt dat de elektronische patiëntendossiers weer toegankelijk zijn, drie weken na een ransomwareaanval op 13 januari. De aanval leidde tot het uitschakelen van alle servers op de campussen in Deurne en Antwerpen, waardoor operaties werden geannuleerd en patiënten naar andere ziekenhuizen moesten worden overgebracht. Het ziekenhuis werkt nu aan het digitaliseren van drie weken papieren administratie. Wanneer alle systemen volledig hersteld zullen zijn, is nog onbekend.

Eveneens in België waarschuwt politiezone Westkust voor oplichters die hotelaccounts aan de kust hebben gehackt. Via valse WhatsApp profielen contacteren zij hotelgasten met het verzoek om bankkaartgegevens opnieuw door te geven via een valse betaallink. Doordat de oplichters via de gehackte accounts beschikken over correcte boekingsgegevens zoals naam, datum en reserveringsnummer, komen de berichten zeer geloofwaardig over. Er zijn meldingen ontvangen van slachtoffers in Koksijde, De Panne en Nieuwpoort.

In Nederland zorgde een grootschalige storing bij het Landelijk Meldkamer Systeem ervoor dat centralisten niet konden inloggen op hun computersystemen. Het noodnummer 112 bleef bereikbaar, maar de reguliere communicatie tussen meldkamers en eenheden op straat verliep via alternatieve wegen. Ook het politienummer 0900-8844 was minder goed bereikbaar. In de veiligheidsregio Rotterdam Rijnmond kwam een crisisteam bijeen. De oorzaak van de storing is niet nader gespecificeerd.

Fotodienst Flickr heeft gebruikers gewaarschuwd voor een mogelijk datalek nadat een kwetsbaarheid werd ontdekt in het systeem van een mailserviceprovider. Mogelijk zijn namen, e-mailadressen, gebruikersnamen, accounttypes, IP adressen en Flickr activiteit gelekt. De toegang tot het getroffen systeem is uitgeschakeld en de relevante privacytoezichthouders zijn ingelicht.

SmarterTools, de ontwikkelaar van de mailserversoftware SmarterMail, is getroffen door een ransomwareaanval die mogelijk werd gemaakt door een ongepatchte virtuele machine van een medewerker. Deze machine was niet bekend bij de organisatie, waardoor beveiligingsupdates ontbraken. In totaal zijn twaalf Windows servers gecompromitteerd, met gevolgen voor klanten van de gehoste helpdesksoftware SmarterTrack. Als reactie faset SmarterTools Windows systemen waar mogelijk uit en maakt het geen gebruik meer van Active Directory.

Het Amerikaanse betalingsplatform BridgePay werd getroffen door ransomware, wat leidde tot een landelijke storing in de kaartverwerking. Diverse winkeliers en overheidsinstellingen in de VS konden alleen nog contant geld accepteren. BridgePay heeft de FBI en de U.S. Secret Service ingeschakeld. Volgens het bedrijf is er geen bewijs dat betaalkaartgegevens zijn gecompromitteerd.

De Gruyter Brill verscheen als claim op de leksite van ransomwaregroep Play. Het is nog onduidelijk of het specifiek gaat om de Nederlandse Brill activiteiten in Leiden, aangezien onafhankelijke bevestiging vooralsnog ontbreekt. De organisatie heeft zich publiekelijk nog niet uitgesproken over de claim.

Op een cybercrimeforum is een dataset aangeboden met 79.000 leads van personen die geïnteresseerd zijn in cryptocurrency, waaronder bijna 79.000 unieke telefoonnummers en e-mailadressen uit meer dan 25 landen. De vraagprijs bedraagt 5.000 dollar.

Ivanti zero days misbruikt, kritieke lekken in F5, Cisco, Fortinet en VMware

De eerder genoemde Ivanti EPMM kwetsbaarheden CVE-2026-1281 en CVE-2026-1340 domineerden het kwetsbaarhedenlandschap de afgelopen dagen. Beide lekken werden al als zero day misbruikt voordat Ivanti patches beschikbaar stelde en het NCSC meldt dat het misbruik breder heeft plaatsgevonden dan eerder werd aangenomen.

F5 Networks heeft beveiligingspatches uitgebracht voor kritieke kwetsbaarheden in BIG-IP producten. De ernstigste, met een CVSS score van 9.8, maakt het voor ongeauthenticeerde aanvallers mogelijk om op afstand code uit te voeren op versies 14.1.x, 15.1.x, 16.1.x en 17.1.x. Klanten wordt dringend aangeraden de updates onmiddellijk te installeren.

Cisco heeft een beveiligingslek gedicht in Cisco Meeting Management. Via een fout in de invoervalidatie van de Certificate Management functie kan een geauthenticeerde aanvaller willekeurige bestanden uploaden en commando's uitvoeren met rootprivileges. Het NCSC adviseert om de beheerinterface niet publiek toegankelijk te maken.

Fortinet waarschuwt voor een kritiek SQL Injection lek in FortiClientEMS, aangeduid als CVE-2026-21643. Twee jaar geleden werd al een vergelijkbaar lek in FortiClientEMS actief misbruikt, waarna de Australische overheid organisaties opriep direct te patchen. SQL Injection kwetsbaarheden zijn al sinds 1998 bekend, maar komen door onveilige programmeerpraktijken nog altijd voor.

In VMware ESXi is CVE-2025-22225 geïdentificeerd, waarmee aanvallers met privileges in het VMX proces een sandbox escape kunnen uitvoeren. Dit lek wordt momenteel actief misbruikt als zero day.

BeyondTrust heeft een zero day kwetsbaarheid bevestigd in Remote Support en Privileged Remote Access. De kwetsbaarheid betreft een authenticatieprobleem in de webinterface waardoor aanvallers opdrachten met verhoogde privileges kunnen uitvoeren. Er wordt aan een patch gewerkt en klanten wordt aangeraden multifactor authenticatie in te schakelen en de toegang tot de webinterface te beperken.

Het trending kwetsbaarhedenoverzicht van de afgelopen dagen bevat verder onder meer lekken in de React Native CLI die command injectie toestaat, een path traversal in WinRAR dat actief wordt misbruikt voor de verspreiding van RomCom malware, zwakke sandboxing in de n8n workflow automatisering, en een lek in de crypto/tls implementatie van Go waarbij sessietickets kunnen lekken.

Valse PDF's, nep adblockers en 400.000 besmette gamers: het dreigingslandschap groeit

Een nieuwe spamcampagne verspreidt valse PDF documenten die schadelijke code bevatten. De PDF's zijn vermomd als facturen of contracten en bevatten een ingebed script dat bij het openen malware downloadt van externe servers. De gedownloade malware kan variëren van informatiestelers tot ransomware en cryptominers. Organisaties worden geadviseerd medewerkers te trainen in het herkennen van dergelijke social engineering tactieken.

Microsoft waarschuwt voor een malafide Chrome extensie die zich voordoet als uBlock Origin Lite. De extensie crasht opzettelijk de browser en biedt een "oplossing" aan die in werkelijkheid malware installeert via het Finger protocol. Dit is een variant van de bekende ClickFix methode, waarbij slachtoffers worden misleid om zelf commando's uit te voeren. Via het Finger protocol wordt uiteindelijk een remote access trojan geïnstalleerd waarmee aanvallers volledige controle over het systeem krijgen.

De RenEngine malware verbergt zich in gekraakte game installatiebestanden en heeft sinds april 2025 naar schatting vierhonderdduizend slachtoffers gemaakt, met dagelijks vijfduizend nieuwe infecties. De malware leunt op sociaal vertrouwen binnen piraterijgemeenschappen in plaats van op softwarekwetsbaarheden, wat traditionele patches ineffectief maakt. Onderzoekers van Cyderes ontdekten ook een nieuwe variant van HijackLoader die controles uitvoert op GPU's en hypervisors om analyseomgevingen te detecteren.

Onderzoekers hebben een supply chain aanval ontdekt waarbij kwaadaardige versies van dYdX Python en JavaScript pakketten werden verspreid via npm en PyPI. De pakketten verzamelen omgevingsvariabelen, waaronder API sleutels en wachtwoorden, en versturen deze naar externe servers. Ontwikkelaars wordt geadviseerd hun afhankelijkheden te controleren en blootgestelde credentials onmiddellijk te roteren.

Onderzoekers van Praetorian hebben aangetoond hoe ogenschijnlijk kleine kwetsbaarheden in webapplicaties kunnen worden aaneengeschakeld tot een volledige overname van Microsoft 365 omgevingen. Door misbruik te maken van contactformulieren en wachtwoordherstelopties kan de eigen infrastructuur van een organisatie worden gedwongen kwaadaardige e-mails te verzenden die SPF en DMARC controles passeren. In combinatie met gelekte OAuth tokens door foutieve foutafhandeling verkrijgen aanvallers volledige toegang tot de cloudomgeving.

De nieuwe ransomwaregroep Insomnia dook op met meer dan vijftien slachtoffers wereldwijd, verspreid over diverse sectoren. Dit past in een trend waarbij in de eerste weken van 2026 al vijf nieuwe ransomwaregroepen zijn geïdentificeerd.

ReversingLabs ontdekte een kwaadaardig npm pakket dat zich richt op Atomic en Exodus wallets. De malware wijzigt stilletjes softwarecode om cryptotransacties te onderscheppen en om te leiden naar aanvallersadressen.

Het Prometei botnet, actief sinds 2016 en met Russische connecties, infiltreerde een Windows Server bij een Brits bouwbedrijf. Naast het minen van Monero cryptocurrency bleek het botnet ook wachtwoorden te stelen via Mimikatz en verkeer via het Tor netwerk te leiden. De aanvallers kregen vermoedelijk toegang via zwakke RDP wachtwoorden.

Rond de AI assistent OpenClaw blijven securityzorgen toenemen. Uit analyses van de ClawHub marketplace bleek dat 283 van de 3.984 skills kritieke beveiligingsfouten bevatten die credentials in plaintext blootleggen. Onderzoekers demonstreerden zero click aanvallen waarbij een onschuldig document een backdoor kan planten, en een one click kwetsbaarheid waarmee aanvallers via een kwaadaardige webpagina volledige controle over het systeem konden krijgen. Op 8 februari waren meer dan 30.000 OpenClaw instances via internet bereikbaar. China's ministerie van Industrie heeft een waarschuwing uitgegeven over verkeerd geconfigureerde instances.

Bulletproof hoster ontmaskerd, bankfraudeur veroordeeld en Snapchat dief bekent

De Nederlandse politie heeft bij een inval in een datacenter van ColoCenter 250 servers van het bedrijf Serverion in beslag genomen en daarbij onbedoeld CrazyRDP uitgeschakeld, een van de grootste bulletproof hostingdiensten die ooit door autoriteiten is aangepakt. De dienst wordt in verband gebracht met meer dan tachtig cybercrimezaken. De politie analyseert de in beslag genomen data om de beheerders te identificeren.

Een 33-jarige man is door de rechtbank Midden Nederland veroordeeld tot twee jaar gevangenisstraf voor bankhelpdeskfraude waarmee hij probeerde 1,2 miljoen euro te stelen. De man deed zich voor als bankmedewerker, liet slachtoffers AnyDesk of TeamViewer installeren en gebruikte de spoofing dienst iSpoof om zijn telefoonnummer te maskeren. Hij moet ABN Amro 49.000 euro en Rabobank 459.000 euro terugbetalen. De rechter noemde hem "zeer brutaal" omdat hij een slachtoffer na de oplichting vertelde dat die "dom was geweest maar het wel kon hebben omdat hij genoeg had."

Een 27-jarige Amerikaan heeft bekend dat hij via phishing de beveiligingscodes van 570 Snapchat accounts heeft gestolen. Hij deed zich voor als Snap medewerker en stuurde meer dan 4.500 sms berichten. Bij zeker 59 vrouwelijke slachtoffers werden naaktfoto's gestolen en verhandeld. Bij een veroordeling riskeert hij meer dan 30 jaar gevangenisstraf.

De Nederlandse autoriteiten hebben een VPN server van Windscribe in beslag genomen zonder gerechtelijk bevel, vanwege bezorgdheid over de aanwezigheid van niet geanonimiseerde Epstein bestanden. Windscribe wijst erop dat hun RAM disk servers bij analyse enkel een standaard Ubuntu installatie zullen tonen.

De politie heeft een aantal social media accounts offline gehaald na grootschalige doxing van personen uit de Iraanse gemeenschap. Er zijn meerdere aangiftes gedaan bij politie eenheid Den Haag. Doxing is sinds 2024 strafbaar in Nederland.

In Frankrijk zijn vijf personen gearresteerd na de ontvoering van een rechter en haar moeder, die dertig uur werden vastgehouden in een poging losgeld in cryptovaluta te verkrijgen. De slachtoffers werden bevrijd nadat een buurman hun noodkreten hoorde.

Chinese spionageframeworks onthuld, Signal accounts bedreigd en aanslag op Russische generaal

Cybersecurityonderzoekers van Cisco Talos hebben het DKnife framework blootgelegd, een instrument dat sinds minstens 2019 wordt ingezet door aan China gelieerde actoren. Het framework bestaat uit zeven Linux gebaseerde componenten voor pakketinspectie, verkeersmanipulatie en malwareverspreiding via routers. DKnife levert de backdoors ShadowPad en DarkNimbus af en is in staat tot DNS kaping, het onderscheppen van Android app updates, credential harvesting en het realtime monitoren van gebruikersactiviteit, waaronder WeChat communicatie. Het framework bevat Simplified Chinese code artefacten en is gericht op Chinese diensten en gebruikers. De C2 servers van DKnife waren per januari 2026 nog actief.

De Noorse inlichtingendienst heeft details vrijgegeven over Salt Typhoon, een reeks cyberaanvallen op Noorse overheidsinstanties en kritieke infrastructuur die worden toegeschreven aan een Chinese APT groep. De aanvallers maken gebruik van aangepaste malware met geavanceerde antiforensische technieken en richten zich op staatsgeheimen, economische gegevens en persoonlijke informatie.

De Belgische militaire inlichtingendienst ADIV onderzoekt de mogelijke overname van helikopterbedrijf NHV in Oostende door Chinese handen. NHV speelt een cruciale rol bij transport naar windmolenparken en offshore installaties in de Noordzee, die als kritieke infrastructuur gelden. Bovendien dingt NHV mee naar een onderhoudscontract voor twintig nieuwe Airbus H145M defensiehelikopters, waardoor een Chinees bedrijf mogelijk toegang zou krijgen tot gevoelige militaire informatie.

Onderzoekers van Unit 42 onthulden dat de dreigingsgroep TGR-STA-1030, vermoedelijk opererend vanuit Azië, verkenningsactiviteiten heeft uitgevoerd tegen overheidsinstanties in 155 landen. In de operatie genaamd Shadow Campaigns zijn minstens 70 overheids en kritieke infrastructuurorganisaties in 37 landen gecompromitteerd, waaronder entiteiten in Brazilië, Mexico, Duitsland, Polen, Italië en Taiwan. De groep maakte gebruik van de Diaoyu malwareloader, Cobalt Strike, het VShell framework en een custom Linux eBPF rootkit genaamd ShadowGuard die tot 32 processen kan verbergen voor monitoringtools.

De Duitse binnenlandse inlichtingendienst waarschuwt voor phishingaanvallen op hooggeplaatste personen via Signal. Aanvallers doen zich voor als het supportteam van Signal en proberen via valse veiligheidswaarschuwingen PIN codes of verificatiecodes te ontfutselen, of misleiden slachtoffers om een QR code te scannen waarmee de account aan het apparaat van de aanvaller wordt gekoppeld. Deze techniek werd eerder gebruikt door de Russische groep Sandworm. De autoriteiten adviseren de registratievergrendeling in Signal in te schakelen en regelmatig gekoppelde apparaten te controleren.

De Russische FSB heeft bekendgemaakt dat een verdachte van de aanslag op GRU vicehoofd Vladimir Alekseyev is gearresteerd in Dubai en overgedragen aan Rusland. Alekseyev, die onder Westerse sancties staat vanwege zijn vermeende rol in cyberaanvallen en de zenuwgifaanval op Sergei Skripal in 2018, werd in zijn appartement in Moskou neergeschoten.

Kamervragen over AI, miljardenboete voor TikTok en digitale onrust rond Epstein dossiers

In de Tweede Kamer zijn vragen gesteld over de veiligheids en privacyrisico's van AI assistenten. CDA Kamerlid Zwinkels wil van demissionair staatssecretaris Van Marum weten of steeds autonomer opererende AI systemen risico's vormen voor veiligheid, privacy en menselijke controle, en of het wenselijk is dat AI systemen zelfstandig handelingen verrichten namens gebruikers. De staatssecretaris heeft drie weken om te reageren.

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties opgeroepen om onbeveiligde edge apparaten onmiddellijk uit hun netwerken te verwijderen. IoT sensoren, bewakingscamera's en industriële besturingssystemen aan de rand van netwerken hebben vaak beperkte beveiligingsfuncties en worden regelmatig als toegangspoort misbruikt bij cyberaanvallen op kritieke infrastructuren.

De Europese Commissie heeft vastgesteld dat het ontwerp van TikTok in strijd is met de Digital Services Act vanwege verslavende functies zoals oneindig scrollen, automatisch afspelen en het sterk gepersonaliseerde algoritme. De Commissie overweegt een boete van maximaal zes procent van de wereldwijde omzet, wat neerkomt op meer dan een miljard euro. TikTok noemt de voorlopige conclusies ongefundeerd en heeft aangekondigd zich te verweren.

In tientallen hotelkamers in China zijn verborgen camera's aangetroffen waarmee heimelijk opnames worden gemaakt van gasten. De beelden worden via Telegram tegen betaling verspreid en soms live gestreamd. Onderzoek van BBC World Service onthulde aanbieders die claimden over 180 camera's te beschikken. De betrokken partijen verdienen op jaarbasis tienduizenden euro's aan de verkoop, aanzienlijk meer dan het gemiddelde Chinese inkomen.

Tsjechië overweegt een verbod op sociale media voor jongeren onder de vijftien jaar. Premier Babis heeft zich uitgesproken voor een dergelijk verbod na informatie van experts over de schadelijke effecten op kinderen. Details over implementatie en juridische basis zijn nog niet bekendgemaakt.

Een stroomstoring in een Microsoft datacenter in de West US regio leidde tot wijdverspreide verstoringen van de Microsoft Store en Windows Update. Duizenden Windows 11 gebruikers konden geen applicaties downloaden of kritieke patches ophalen. Microsoft meldde dat back up stroomsystemen zijn geactiveerd en werkt aan volledig herstel.

Rond de Epstein dossiers ontstond nieuwe digitale onrust nadat de FBI in openbaar gemaakte documenten wachtwoorden van e-mailaccounts niet correct onleesbaar had gemaakt. Derden hebben op de accounts ingelogd en wijzigingen aangebracht, waardoor de integriteit van de inhoud niet langer gegarandeerd kan worden. Daarnaast verscheen een GitHub tool waarmee gebruikers hun LinkedIn netwerk kunnen vergelijken met namen uit de dossiers, wat leidde tot discussies over reputatieschade en de interpretatie van ruwe gegevens.

Bron: Cybercrimeinfo, ondezoeksteam

➤ BEKIJK HET COMPLETE OVERZICHT & CATEGORIEËN »