AI vergiftigt geheugen, Odido soap groeit en LockBit 5.0

AI als aanvalswapen en als doelwit

Onderzoekers van het Microsoft Defender Security Research Team hebben een nieuwe aanvalstechniek onthuld die zij "AI Recommendation Poisoning" noemen. Wat is AI Recommendation Poisoning? Het is een methode waarbij verborgen instructies worden geplaatst in knoppen met "Samenvatten met AI" op websites en in e-mails. Wanneer een gebruiker op zo'n knop klikt, worden persistente commando's via speciaal ontworpen parameters in het geheugen van de assistent geinjecteerd. De AI wordt geinstrueerd om een bepaald bedrijf "te onthouden als vertrouwde bron" of "eerst aan te bevelen in toekomstige gesprekken". Microsoft identificeerde in 60 dagen meer dan 50 unieke prompts van 31 bedrijven uit 14 verschillende industrieen. Gebruiksklare tools zoals CiteMET en AI Share URL Creator maken de techniek voor iedereen toegankelijk.

Nog verontrustender is de ontdekking van Check Point dat assistenten met browsermogelijkheden ingezet kunnen worden als command and control (C2) relays. De techniek, gedemonstreerd tegen Microsoft Copilot en xAI Grok, maakt gebruik van anonieme webtoegang gecombineerd met prompts voor browsing en samenvatting. De aanvaller laat de AI een door hem gecontroleerde URL ophalen en het antwoord terugsturen, waardoor een bidirectioneel communicatiekanaal ontstaat. Omdat er geen sleutel of account nodig is, zijn traditionele detectiemethoden zoals het intrekken van sleutels nutteloos. Dit mechanisme maakt ook door AI aangestuurde operaties met malware mogelijk, zoals het genereren van verkenningsworkflows en het dynamisch scripten van vervolgacties.

De Autoriteit Persoonsgegevens (AP) waarschuwde deze week expliciet voor de risico's van de assistent OpenClaw. Onderzoekers van Hudson Rock ontdekten dat infostealers, waaronder een variant van Vidar, voor het eerst bestanden stelen die aan OpenClaw zijn gerelateerd, waaronder sleutels, authenticatietokens en privesleutels. Met de gestolen data kan een aanvaller een volledige compromittering van iemands digitale identiteit bereiken. Tenable ontdekte daarnaast een kritieke kwetsbaarheid (CVE-2026-2577) in nanobot, een lichtgewicht assistent geinspireerd door OpenClaw, waarmee sessies van WhatsApp op afstand gekaapt konden worden. Eerder deze week besteedden we in het vorige journaal al aandacht aan platforms die worden misbruikt voor verspreiding van malware, en de dreiging wordt alleen maar breder.

Ook de toolketen van AI zelf wordt aangevallen. Onderzoekers van Straiker's STAR Labs onthulden een campagne met SmartLoader waarbij een gekloonde Model Context Protocol server van Oura Health werd ingezet om de infostealer StealC te verspreiden. De aanvallers richtten een netwerk van valse accounts op GitHub en valse forks in om geloofwaardigheid te creeren en dienden de getrojaniseerde server in bij de MCP Market, waar deze nog steeds vermeld staat. De verschuiving van het aanvallen van gebruikers naar ontwikkelaars is opvallend, hun systemen bevatten sleutels, cloudtoegang en toegang tot productiesystemen.

Soap rond Odido groeit, datalekkengolf houdt aan

De nasleep van het datalek bij Odido, waarbij 6,2 miljoen klantgegevens werden gestolen, neemt steeds grotere vormen aan. Het Centraal Meldpunt Identiteitsfraude (CMI) waarschuwde dat het grootste risico bij spearphishing ligt. Criminelen kunnen de gestolen gegevens gebruiken voor gerichte aanvallen waarbij ze zich voordoen als een bank of als Odido zelf. Er zijn al meldingen van klanten die frauduleuze berichten namens Odido ontvingen. Kamerleden El Boujdaini en Schoonis (D66) stelden Kamervragen aan minister Karremans over mogelijke nalatigheid en onvoldoende naleving van de AVG. Ze willen weten of de oproep van Odido aan klanten om "extra alert" te zijn voldoende is.

Uit berichtgeving van het Financieele Dagblad werd bovendien duidelijk dat Odido klantgegevens jarenlang langer heeft bewaard dan de afgesproken termijn van twee jaar. Voormalige klanten die vijf tot tien jaar geleden al overstapten, ontvingen deze week een e-mail dat ook hun gegevens zijn gestolen. Odido geeft aan meer tijd nodig te hebben om te onderzoeken waarom de gegevens langer bewaard bleven. Privacyadvocaat Danielle Molenkamp zegt dat het haar niet verbaast. "We zien vaker dat er geen goed proces voor bewaartermijnen is ingericht." Het vertrouwen van consumenten daalt merkbaar. Volgens overstapplatform Internetten.nl is het aantal overstappers sinds het datalek minstens verdrievoudigd.

Bij het medische laboratorium Clinical Diagnostics hebben 118 mensen aangifte gedaan bij het Openbaar Ministerie naar aanleiding van het datalek waarbij gegevens van 850.000 vrouwen werden gestolen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker. Clinical Diagnostics betaalde losgeld aan de criminelen om publicatie te voorkomen. Het OM onderzoekt de zaak nog steeds. Ondertussen claimt een cybercrimineel op het darkweb 1,3 terabyte aan data van Eurail te hebben buitgemaakt uit AWS, Zendesk en Gitlab, inclusief broncode, backups van databases en persoonsgegevens van miljoenen klanten.

Het onderzoek van de AP naar logging en monitoring bij de Belastingdienst, dat we in het vorige journaal al aankaartten, heeft een opmerkelijk vervolg gekregen. De resultaten van het onderzoek worden niet openbaar gemaakt. Staatssecretaris Heijnen heeft de bevindingen als vertrouwelijke bijlage bij een Kamerbrief gevoegd. De Belastingdienst staat sinds 2024 onder verscherpt toezicht van de AP om de bescherming van persoonsgegevens te verbeteren.

LockBit keert terug, Phobos valt

De ransomware wereld kent deze week twee opvallende bewegingen. Enerzijds dook LockBit 5.0 op, een gevaarlijke nieuwe versie die Windows, Linux en ESXi platforms tegelijk bestrijkt. De ransomware opereert als Ransomware as a Service en maakt gebruik van dubbele afpersing. Wat deze versie bijzonder zorgwekkend maakt, zijn de geavanceerde technieken tegen analyse, waaronder packing, DLL unhooking, process hollowing (waarbij de malware zich verstopt in het legitieme Windows hulpprogramma defrag.exe) en het uitschakelen van Event Tracing for Windows. Alle platformversies gebruiken XChaCha20 voor symmetrische encryptie gecombineerd met Curve25519 voor asymmetrische encryptie. Sinds december 2025 heeft de LockBit data leak site al 60 slachtoffers gedocumenteerd.

Anderzijds boekte de opsporing een succes. De Poolse politie arresteerde een 47 jaar oude man die verdacht wordt van betrokkenheid bij de ransomwaregroep Phobos, als onderdeel van "Operation Aether", een internationaal onderzoek gecoordineerd door Europol. Tijdens de huiszoeking vonden onderzoekers gestolen inloggegevens, creditcardnummers en servertoegangsgegevens. Phobos is verantwoordelijk voor aanvallen op meer dan 1.000 organisaties wereldwijd, met losgeldbetalingen van in totaal meer dan 16 miljoen dollar. Operation Aether leidde eerder al tot de uitlevering van de vermeende beheerder van Phobos aan de Verenigde Staten en de inbeslagname van 27 servers.

Op het darkweb werden deze week opvallend grote veilingen gesignaleerd die de omvang van de ondergrondse economie illustreren. Een dreigingsactor veilde 411 werkende toegangen tot bedrijfsnetwerken, verspreid over 291 unieke domeinen, waaronder Fortinet (140), RDWeb (94), Citrix (59), MyPolicy (39), Palo Alto GlobalProtect (34), Cisco (28) en Dana NA (17). Het gaat om platformen die ook in Nederland en Belgie op grote schaal worden gebruikt voor VPN en remote desktopomgevingen. Daarnaast werden 205 omgevingen met Jenkins en 660 unieke toegangsgegevens voor webmail aangeboden. De lage instapprijs van 100 dollar per veiling maakt dergelijke datasets aantrekkelijk voor een breed scala aan kwaadwillenden.

Een nieuwe ransomwaregroep genaamd Payload werd eveneens geidentificeerd, met een eigen darkweb leak site. Het is nog onduidelijk of het een volledig nieuwe operatie betreft of een rebranding van een bestaande groep, een tactiek die vaker voorkomt wanneer groepen te veel aandacht krijgen van opsporingsdiensten. Voor organisaties betekent de komst van weer een nieuwe groep een voortdurende dreiging.

De belangrijkste punten

- AI Recommendation Poisoning, Microsoft ontdekte 50+ manipulatieve prompts in knoppen met "Samenvatten met AI" van 31 bedrijven
- AI als C2 proxy, Check Point toonde aan dat Copilot en Grok als command and control kanaal voor malware kunnen dienen
- Soap rond Odido escaleert, Kamervragen, waarschuwing voor spearphishing, overstappers verdrievoudigd en klantgegevens jarenlang te lang bewaard
- Clinical Diagnostics, 118 aangiftes bij het OM na datalek waarbij gegevens van 850.000 vrouwen werden gestolen
- LockBit 5.0, nieuwe versie bestrijkt Windows, Linux en ESXi met geavanceerde technieken tegen analyse en dubbele afpersing
- Arrestatie bij Phobos, Poolse politie pakt verdachte op in Operation Aether, internationaal onderzoek naar 1.000+ slachtoffers

Lees ook

► S02E20: ClickFix explodeert, Belgische data op straat en NAVO-alarm - Vier varianten van ClickFix en de eerste bevindingen over logging bij de Belastingdienst
► S02E19: Odido hack treft miljoenen, AI als wapen en supply chain - De oorsprong van het datalek bij Odido en eerdere dreigingen met AI
► S02E18: 6 zero-days gedicht, Fancy Bear valt aan en strijd om DigiD - Hoe staatsactoren kwetsbaarheden misbruiken
► S02E17: AP gehackt via Ivanti, meldkamers uit en Chinese spionage onthuld - De AP eerder in het nieuws rond beveiligingsincidenten

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam