S02E27
Kunstmatige intelligentie is niet langer alleen een hulpmiddel voor hackers, het is zelf de hacker geworden. Een autonome bot voerde een weekenlange campagne uit tegen de systemen van Microsoft en DataDog via GitHub, terwijl een Chinees platform voor geautomatiseerd hacken in rap tempo aan populariteit wint. In Nederland werkt de politie samen met Odido om miljoenen gedupeerden te helpen via "Check je hack" op politie.nl, en de Tweede Kamer debatteert over een handelingskader voor slachtoffers van datalekken. In het Midden-Oosten escaleert de cyberoorlog, een populaire Iraanse applicatie voor gebedstijden werd gehackt als psychologisch wapen tijdens de aanvallen op Iran, en Iraanse drones troffen datacentra van Amazon. Dit journaal bestrijkt het nieuws van 3 en 4 maart 2026.
Autonome bot jaagt op techgiganten
Een bot met de naam hackerbot-claw voerde een weekenlange campagne uit tegen grote opensourceprojecten op GitHub. Het doelwit, de CI/CD pipelines van Microsoft, DataDog en de Cloud Native Computing Foundation. In zeven dagen opende de bot meer dan twaalf pull requests in minstens zes repositories en wist in vier daarvan op afstand code uit te voeren. Het profiel op GitHub beschrijft de bot als een "autonome beveiligingsonderzoeksagent" aangedreven door een groot taalmodel.
De schadelijkste actie was het stelen van een GitHub token met schrijfrechten van de repository awesome-go, die meer dan 140.000 sterren heeft. Bij het project Trivy van Aqua Security, een veelgebruikte scanner voor kwetsbaarheden met meer dan 32.000 sterren, stal de bot een toegangstoken, hernoemde de repository, verwijderde alle releases en publiceerde een verdacht bestand op de VS Code extensiemarktplaats. Aqua Security herstelde later de toegang en bracht een noodversie uit.
Opmerkelijk was een poging van de bot om een ander hulpmiddel met AI te manipuleren. Bij het project ambient-code verving hackerbot-claw het configuratiebestand met instructies die bedoeld waren om een assistent te misleiden tot het doorvoeren van ongeautoriseerde wijzigingen. De assistent herkende de poging en weigerde. Elke aanval leverde dezelfde payload af, een commando dat een extern script ophaalde, terwijl een tweede domein gestolen inloggegevens verzamelde. De centrale zwakte die de bot exploiteerde, was het gebruik van de pull_request_target trigger in GitHub Actions in combinatie met code van een externe fork.
Tegelijkertijd wint een ander platform voor geautomatiseerd hacken aan populariteit. CyberStrikeAI, een opensourcetool geschreven in Go, integreert meer dan honderd beveiligingstools met een intelligente orkestratielaag. Het Amazon CTI team identificeerde infrastructuur die op grote schaal apparaten van Fortinet aanviel. Tussen januari en februari 2026 draaiden 21 unieke servers het platform, geconcentreerd in China, Singapore en Hong Kong. De ontwikkelaar heeft gedocumenteerde banden met het Chinese ministerie van Staatsveiligheid en diende de tool in bij een programma dat onder controle staat van dit ministerie. De snelle adoptie onderstreept hoe platforms met AI de drempel voor complexe aanvallen aanzienlijk verlagen.
Nederland grijpt in na golf van datalekken
De politie heeft de versleutelde dataset van Odido ontvangen en stelt via politie.nl de pagina "Check je hack" beschikbaar. Klanten en voormalige klanten kunnen controleren of hun e-mailadres in de gestolen gegevens voorkomt. In het vorige journaal meldden we dat de volledige dataset van 6,1 miljoen klantgegevens op het darkweb was verschenen. Lees ook wat criminelen nu over jou weten als je klant bent of was bij Odido. Het bedrijf waarschuwt intussen voor phishing mails die verwijzen naar de cyberaanval en aandringen op het invullen van een zogenaamd compensatieformulier.
De Tweede Kamer debatteerde deze week over de digitale veiligheid van Nederland. VVD, CDA, ChristenUnie, D66 en JA21 dienden een motie in voor een handelingskader voor slachtoffers van datalekken. Initiatiefnemer Queeny Rajkowski stelt dat sommige gegevens, zoals een burgerservicenummer, vrijwel onmogelijk te vervangen zijn. GroenLinks-PvdA en ChristenUnie vroegen apart om een basispakket digitale veiligheid voor burgers, bestaande uit een VPN, adblocker, antivirus en wachtwoordmanager.
Een andere aangenomen motie roept de regering op om de servers en beveiliging van DigiD in Nederlandse handen te houden. Aanleiding is de dreigende overname van cloudbedrijf Solvinity door een Amerikaans bedrijf. DigiD en MijnOverheid draaien op servers van Solvinity, evenals het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid. De Autoriteit Consument & Markt oordeelde eerder dat de overname mag doorgaan.
Uit de Veiligheidsmonitor 2025 van het CBS blijkt dat 2,5 miljoen Nederlanders slachtoffer zijn geworden van online criminaliteit. Bijna 17 procent van de ondervraagden gaf aan getroffen te zijn, een stijging ten opzichte van 16 procent in 2023. Aankoopfraude kwam het meest voor met 10,3 procent, gevolgd door gehackte accounts en gehackte apparaten. Slechts 15 procent van de slachtoffers deed aangifte bij de politie. Ondertussen dook een claim op dat het Nederlandse verfbedrijf AkzoNobel mogelijk slachtoffer is geworden van de Anubis ransomware, waarbij 170 gigabyte aan data zou zijn buitgemaakt.
Cyberoorlog escaleert in het Midden-Oosten
De cyberoorlog tussen Iran en Israel is niet nieuw, maar bereikte een ongekend niveau. Tijdens de gezamenlijke aanvallen van de Verenigde Staten en Israël op Iran vond een geavanceerde digitale operatie plaats. De populaire Iraanse applicatie voor gebedstijden BadeSaba Calendar, met meer dan vijf miljoen downloads, werd gehackt. Via het notificatiesysteem ontvingen gebruikers berichten die Iraanse militairen opriepen hun posten te verlaten in ruil voor amnestie. Gelijktijdig daalde het Iraanse internetverkeer tot vier procent van het normale niveau en werden staatsnieuwssites offline gehaald.
Generaal Dan Caine bevestigde dat het Amerikaanse Cyber Command communicatiesystemen van Iran had verstoord als onderdeel van operatie "Epic Fury". Volgens Caine maakten gecoördineerde operaties vanuit de ruimte en het cyberdomein de tegenstander niet in staat om effectief te reageren. Het is de meest expliciete erkenning tot nu toe van de rol van Cyber Command in de recente militaire operaties tegen Iran.
De fysieke gevolgen van het conflict troffen ook de digitale infrastructuur direct. Iraanse drones raakten drie datacentra van Amazon in de Verenigde Arabische Emiraten en Bahrein, waardoor zo'n zestig cloudservices van AWS werden verstoord. Lokale brandweerkorpsen schakelden de stroom en noodgeneratoren uit, wat leidde tot langdurige uitval van rekeninstanties, opslag en databases. Amazon adviseerde klanten hun applicaties te migreren naar andere regio's.
Unit 42 waarschuwt dat de beperkte internetverbinding in Iran de capaciteit voor gecoördineerde cyberaanvallen zal beperken, maar dat dit kan leiden tot meer autonome operaties door cellen buiten Iran. Cisco Talos adviseert organisaties om extra alert te zijn op hacktivistische lokmiddelen die het conflict als dekmantel gebruiken voor het verspreiden van malware. Organisaties met leveranciers of vestigingen in de regio worden opgeroepen hun afhankelijkheden in kaart te brengen en de monitoring te intensiveren.
De belangrijkste punten
- Hackerbot-claw: een autonome bot aangedreven door AI viel Microsoft en DataDog aan via GitHub en stal tokens met schrijfrechten
- CyberStrikeAI: Chinees hackplatform met banden met het ministerie van Staatsveiligheid wint snel aan populariteit
- Odido "Check je hack": klanten kunnen via politie.nl controleren of hun gegevens zijn gestolen
- Tweede Kamer: moties voor handelingskader datalekken, DigiD Nederlands houden en basispakket digitale veiligheid
- CBS: 2,5 miljoen Nederlanders werden in 2025 slachtoffer van online criminaliteit
- Cyberoorlog: Iraanse gebedsapp gehackt als psychologisch wapen, drones troffen Amazon datacentra
Lees ook
- S02E26: Odido finale, 6,1 miljoen op straat en overheid kwetsbaar - De volledige dataset op het darkweb en de gevolgen voor de Nederlandse overheid
- S02E25: Odido data op straat, AI hackt overheden en Chinese spionage - Eerdere aanvallen met AI en de eerste publicatie van Odido klantgegevens
- S02E24: ShinyHunters eist miljoenen, AI breekt door in 27 seconden - Het begin van de afpersing door ShinyHunters
- S02E23: AI kraakt 600 firewalls, beurzen dalen en Odido escaleert - Europa onder druk en AI als aanvalswapen
- Gehackt bij Odido? Wat criminelen nu over jou weten - Praktische uitleg over de risico's na het datalek
- Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt - Hoe criminelen gestolen data combineren tot een compleet profiel
Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief
Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.