6 zero days gedicht, Fancy Bear valt aan en strijd om DigiD

Solvinity debat verhit, politie hackt iPhone en datalek bij WormGPT

De mogelijke overname van het Nederlandse cloudbedrijf Solvinity door het Amerikaanse Kyndryl blijft voor politieke beroering zorgen. Solvinity beheert de servers waarop onder andere DigiD, MijnOverheid en het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid draaien. De Tweede Kamer debatteert vandaag over de kwestie, nadat demissionair staatssecretaris Van Marum liet weten dat de overheid zelf geen interesse had in een overname. Solvinity had zowel bij DigiD beheerder Logius als bij het ministerie gepeild of er overheidsbetrokkenheid mogelijk was, maar dat bleek niet het geval. Het kabinet vindt publiek eigenaarschap van bedrijven geen kerntaak van de overheid. Ondertussen lopen er meerdere onderzoeken, de ACM kijkt naar de gevolgen voor de concurrentie, het Bureau Toetsing Investeringen beoordeelt de risico's voor de nationale veiligheid en de Landsadvocaat onderzoekt of Solvinity na een overname onder Amerikaanse wetgeving met extraterritoriale werking zou vallen. Een online petitie tegen de overname heeft inmiddels meer dan 161.000 handtekeningen verzameld.

Het Algemeen Dagblad onthulde dat de Nederlandse politie de iPhone van een verdachte heeft gehackt en in realtime kon meekijken met wat de verdachte op zijn telefoon deed. Deze bevoegdheid is mogelijk gemaakt door de Wet computercriminaliteit III die sinds maart 2019 van kracht is. Het gespecialiseerde Digital Intrusion Team voert deze operaties uit. Uit cijfers van het WODC blijkt dat de hackbevoegdheid tussen april 2021 en april 2024 in 89 onderzoeken is ingezet tegen in totaal 105 apparaten, waarvan het overgrote deel telefoons betrof. Privacy experts vragen zich af of deze praktijk verenigbaar is met artikel 8 van het Europees Verdrag voor de Rechten van de Mens.

Een dreigingsactor met de alias Sythe heeft de complete database van WormGPT gelekt. WormGPT is een kwaadaardige AI tool die specifiek is ontwikkeld voor cybercriminelen, zonder ethische beperkingen. De gelekte data van meer dan 19.000 gebruikers omvat e-mailadressen, betalingsmetadata en abonnementsgegevens. De ironie is dat een platform dat is gebouwd voor criminele doeleinden nu zelf slachtoffer is geworden van een datalek. De blootgelegde gegevens kunnen waardevolle inlichtingen opleveren voor opsporingsdiensten die de identiteit van cybercriminelen proberen te achterhalen.

In het buitenland maakt de NS zich niet populair door een deel van haar automatisering uit te besteden aan een Amerikaans IT bedrijf, waaronder financiele planning en treinonderhoud. De NS stelt dat het gebonden is aan het aanbestedingsrecht en dat de betreffende systemen niet missiekritisch zijn. Hoogleraar Lokke Moerel en beveiligingsexpert Bert Hubert zijn kritisch, zij stellen dat deze hostingdiensten zelf kritieke infrastructuur vormen en dat digitale autonomie het uitgangspunt moet zijn.

Zes zero days gedicht, Fancy Bear misbruikt RTF lek en standaardwachtwoorden als sluipweg

Microsoft heeft met Patch Tuesday van februari 2026 beveiligingsupdates uitgebracht voor 58 kwetsbaarheden, waaronder zes die al actief werden misbruikt als zero day. De ernstigste is CVE-2026-21510, een lek in Windows Shell waarmee een enkele klik op een kwaadaardige link beveiligingen als SmartScreen kan omzeilen. Aanvallers kunnen hierdoor inhoud uitvoeren zonder waarschuwing of toestemming van de gebruiker. Dit lek treft alle ondersteunde versies van Windows. De andere zero days betreffen een bypass in het MSHTML framework, een beveiligingsomzeiling in Microsoft Word, een privilege escalatie in Desktop Window Manager waarmee SYSTEM rechten kunnen worden verkregen, een vergelijkbare escalatie in Remote Desktop Services die door CrowdStrike is ontdekt, en een denial of service kwetsbaarheid in de Remote Access Connection Manager waarvan het exploit werd gevonden in een openbare malware repository.

Opvallend is dat drie van de zes zero days gezamenlijk zijn gerapporteerd door het Google Threat Intelligence Group en meerdere Microsoft teams, wat erop wijst dat deze kwetsbaarheden mogelijk in dezelfde aanvalscampagne werden ingezet. Microsoft is daarnaast begonnen met het uitrollen van nieuwe Secure Boot certificaten ter vervanging van de originele certificaten uit 2011 die eind juni 2026 verlopen. Naast Windows zijn ook kwetsbaarheden gedicht in Azure componenten, waaronder een kritiek lek in Azure Front Door met een CVSS score van 9.8, en in Office componenten zoals Outlook en Excel.

De Russische spionagegroep Fancy Bear, ook bekend als APT28, heeft een nieuwe campagne gelanceerd onder de naam Operation Neusploit. De groep misbruikt CVE-2026-21509, een kwetsbaarheid in Microsoft RTF bestanden waarvoor Microsoft eind januari een noodpatch uitbracht. De aanval richt zich op overheden en militaire organisaties in Oekraine, Slowakije en Roemenie via phishing e-mails met kwaadaardige RTF documenten die eruitzien als officiele overheidscorrespondentie. De malware heeft twee varianten, MiniDoor die zich richt op het stelen van e-mail uit Outlook, en PixyNetLoader die steganografie gebruikt om shellcode te verbergen in PNG afbeeldingen. De aanvallers filteren hun doelwitten op geografische locatie voordat ze de daadwerkelijke malware afleveren.

Het Amerikaanse cyberagentschap CISA heeft de energiesector gewaarschuwd naar aanleiding van een aanval op de Poolse energiesector eind december 2025, waarbij standaardwachtwoorden de ingang bleken. Via Fortinet FortiGate firewalls waarvan de VPN interface zonder multifactorauthenticatie bereikbaar was vanaf het internet, kregen aanvallers toegang tot wind- en zonneparken en een warmtekrachtcentrale. Er werd wiper malware ingezet die remote terminal units beschadigde en data vernietigde op bedieningspanelen. De aanval toont aan dat standaardwachtwoorden in operationele technologie nog altijd een groot risico vormen.

De Duitse inlichtingendienst BfV en het cyberagentschap BSI hebben een gezamenlijke waarschuwing uitgegeven over een spionagecampagne die Signal accounts target van politici, militairen, diplomaten en onderzoeksjournalisten in heel Europa. De aanvallers misbruiken geen technische kwetsbaarheid in Signal zelf, maar maken gebruik van twee slimme social engineering methoden, nep ondersteuningsberichten waarmee ze slachtoffers verleiden hun verificatiecode te delen, en kwaadaardige QR codes die het apparaat van de aanvaller ongemerkt koppelen aan het account van het slachtoffer. Via die koppeling kan de aanvaller tot 45 dagen chatgeschiedenis meelezen. De technieken komen overeen met wat eerder is waargenomen bij aan Rusland gelieerde groepen.

Siemens heeft kwetsbaarheden gedicht in een reeks industriele producten waaronder Desigo, Polarion, SINEC en Solid Edge. De lekken kunnen leiden tot denial of service, code execution met root rechten en het omzeilen van beveiligingsmaatregelen. Siemens waarschuwt specifiek dat de SIPORT Desktop Client verouderd is en niet meer wordt ondersteund. Gebruikers wordt geadviseerd over te stappen op de web management omgeving.

Black Basta bouwt kwetsbare driver in ransomware, Noord-Korea zet deepfakes in en nepsite van 7-Zip maakt proxyservers

De dreigingsgroep achter Black Basta ransomware heeft een nieuwe techniek geintroduceerd door een kwetsbare driver direct in de ransomware zelf in te bedden. Onderzoekers van Symantec ontdekten dat de groep, die ook wordt aangeduid als Cardinal, een kwetsbare NSecKrnl Windows driver gebruikt om beveiligingsprocessen van onder andere CrowdStrike Falcon, Sophos en Symantec Endpoint uit te schakelen voordat bestanden worden versleuteld. Het bijzondere is dat de driver niet als apart bestand wordt geplaatst, maar rechtstreeks in de ransomware payload zit. Dit maakt detectie lastiger omdat er geen apart verdacht bestand op het netwerk verschijnt. De ransomware is geclassificeerd als Reynolds en versleutelt bestanden met de extensie ".locked". Cardinal was stil geweest na het lekken van interne chatlogboeken begin 2025, maar lijkt nu terug met aangepaste tactieken.

Beveiligingsbedrijf Huntress rapporteerde actieve exploitatie van SolarWinds Web Help Desk bij meerdere klanten. De aanvallers misbruiken kwetsbaarheden voor remote code execution en installeren vervolgens onder meer Velociraptor, normaal een digitaal forensisch hulpmiddel, als command and control framework. De aanvallen worden toegeschreven aan Storm-2603, de groep die normaal Warlock ransomware inzet. In de waargenomen gevallen leken de aanvallers nog in de verkenningsfase.

Google's Mandiant team heeft een rapport gepubliceerd over UNC1069, een Noord-Koreaanse groep die crypto executives target met een combinatie van deepfake video's en social engineering. De aanval begint met contact via Telegram met een gecompromitteerd account, gevolgd door een uitnodiging voor een Zoom meeting. Tijdens het gesprek wordt een deepfake video getoond van een bekende crypto CEO, waarna een zogenaamd audioprobleem wordt gebruikt om het slachtoffer te verleiden acties uit te voeren die malware installeren. Mandiant identificeerde zeven unieke malware families, waaronder DEEPBREATH die op macOS wachtwoorden uit de Keychain en browserdata steelt. De groep gebruikt ook Google's Gemini AI tool voor operationeel onderzoek.

Een nepwebsite op het domein 7zip.com, dat sterk lijkt op de officiele site 7-zip.org, verspreidt een getrojaniseerde versie van het populaire archiveringsprogramma. Onderzoekers van Malwarebytes ontdekten dat de installer naast een werkende versie van 7-Zip ook proxyware installeert die de computer van het slachtoffer omvormt tot een residential proxy node. Hierdoor kunnen derden hun internetverkeer via het IP adres van het slachtoffer routeren. De malware draait als SYSTEM service, wijzigt firewallregels en bevat technieken om detectie in analyseomgevingen te voorkomen. Dezelfde campagne verspreidt ook getrojaniseerde installers van HolaVPN, TikTok en WhatsApp.

De Belgische politie heeft een nieuwe preventiecampagne gelanceerd tegen internetoplichting. In 2024 ontving de politie 65.000 meldingen van cybercriminaliteit. De campagne draagt de naam SCAM, wat staat voor Stay Connected, Act Mindfully. Christophe Van Bortel van de Federale gerechtelijke politie stelt dat de vraag niet is of iemand slachtoffer wordt, maar wanneer.

Meer dan honderd internationale organisaties, waaronder de gemeente Amsterdam en expertisebureau Offlimits, hebben een manifest ondertekend dat oproept tot een wereldwijd verbod op AI uitkleedsoftware. Deze technologie wordt misbruikt om beelden van vrouwen en kinderen te manipuleren voor seksuele uitbuiting en chantage. Offlimits registreerde het afgelopen jaar een stijging van 260 procent in meldingen van slachtoffers.

Rusland beperkt het gebruik van berichtenapp Telegram verder. De communicatiewaakhond Roskomnadzor beschuldigt Telegram van onvoldoende maatregelen tegen crimineel gebruik. De Russische overheid wil gebruikers dwingen over te stappen op Max, een alles in een app van Russische makelij die sinds september op alle nieuwe smartphones vooraf geinstalleerd staat.

Microsoft Teams gebruikers met Defender for Office 365 Plan 1 krijgen binnenkort de mogelijkheid om verdachte berichten direct te melden als beveiligingsrisico. Deze functie was voorheen alleen beschikbaar voor Plan 2 abonnees en moet eind maart 2026 volledig uitgerold zijn.

Derde verdachte JokerOTP opgepakt, celstraffen geeist voor bankhelpdeskfraude en pig butchering levert 20 jaar op

De politie heeft in Dordrecht een 21 jarige man aangehouden als derde verdachte in het onderzoek naar de JokerOTP bot. De verdachte verkocht de bot via Telegram aan andere cybercriminelen en had zelf ook licentiesleutels in handen. De JokerOTP bot belt slachtoffers geautomatiseerd en speelt een bericht af dat criminelen proberen in te loggen op hun account, waarna het slachtoffer wordt gevraagd een eenmalig wachtwoord in te voeren. De eerder aangehouden ontwikkelaar en medeontwikkelaar werden in april en augustus 2025 gearresteerd. De politie heeft tientallen Nederlandse kopers van de tool in beeld en het onderzoek loopt door.

Het Openbaar Ministerie heeft gevangenisstraffen van drie tot acht jaar geeist tegen drie mannen uit Zaltbommel, Amersfoort en Tiel voor grootschalige phishing en bankhelpdeskfraude. De verdachten werkten professioneel, ze huurden werkhuizen, deelden hun groep in teams in en beoordeelden achteraf de inzet van elk lid. De 26 jarige Tielenaar zou 1,3 miljoen euro hebben witgewassen, zijn 29 jarige rechterhand uit Zaltbommel 750.000 euro. De officier van justitie benadrukte de psychologische impact op slachtoffers, die angst ervaren om zich nog online te begeven.

Een man met de Chinese en Saint Kitts en Nevis nationaliteit is bij verstek veroordeeld tot 20 jaar gevangenisstraf voor zijn rol in een internationale pig butchering fraude waarmee meer dan 73 miljoen dollar werd buitgemaakt. Daren Li, die in november 2024 schuldig pleitte aan witwassen, knipte in december zijn enkelband door en vluchtte het land uit. Via een netwerk van shellbedrijven werd het gestolen geld overgemaakt naar de Bahama's voor omzetting in cryptocurrency. Onderzoekers vonden meer dan 341 miljoen dollar aan crypto in een van de gebruikte wallets.

In Antwerpen is de zelfverklaarde cryptospecialist Cain Ransbottyn veroordeeld tot vier jaar effectieve gevangenisstraf voor miljoenenfraude. De rechter beval zijn onmiddellijke aanhouding. Ransbottyn liet van een investeerder meer dan 1,2 miljoen euro verdwijnen.

Een alerte man uit Veurne hielp de Belgische politie bij de arrestatie van twee jonge oplichters. Nadat de oplichters hem belden en zich voordeden als politieagenten om zijn bankgegevens te ontfutselen, waarschuwde hij de echte politie. Een 17 jarige uit Aalst en een 19 jarige uit Oostende werden vervolgens gearresteerd toen zij de bankkaarten kwamen ophalen.

In Borculo bekende de 32 jarige Mark S. dat hij onder talloze pseudoniemen meisjes en vrouwen slachtoffer maakte van seksuele afpersing. Het OM schat dat hij 119.000 euro verdiende met de afpersing. Gedragsdeskundigen adviseren de rechtbank een langdurige tbs maatregel vanwege het hoge herhalingsrisico.

Het OM eist ruim vijf jaar cel en een half miljoen euro boete tegen een 39 jarige Rotterdammer voor het witwassen van circa 50 miljoen euro via ondergronds bankieren. De verdachte gebruikte de versleutelde berichtendienst SKYECC en stuurde koeriers aan voor de overdracht van contant geld. Naast witwassen staat hij terecht voor de handel in 360 kilo hasj en ruim 500 kilo cocaine.

Bron: Cybercrimeinfo, ondezoeksteam

➤ BEKIJK HET COMPLETE OVERZICHT & CATEGORIEËN »