S02E39
Op een dag melden drie Nederlandse organisaties een datalek, van vakantiegangers tot voetbalsupporters en gemeentebestanden. Noord-Koreaanse hackers blijken achter de aanval op het populaire JavaScript pakket Axios te zitten dat wekelijks 100 miljoen keer wordt gedownload. Ondertussen zetten criminelen gekaapte computers in als anonimiseringsnetwerk en misbruiken ze vertrouwde Windows tools om antivirussoftware uit te schakelen. En AI modellen ontdekken actief onbekende kwetsbaarheden in veelgebruikte software, wat fundamentele vragen oproept over de toekomst van beveiligingsonderzoek.
Nederland getroffen door golf van datalekken
Drie Nederlandse organisaties meldden gisteren gelijktijdig een datalek, een ongebruikelijk hoog aantal op een enkele dag. Bij de vakantiebedrijven Eurocamp en Roan zijn persoonlijke gegevens van duizenden klanten gestolen via een technische dienstverlener. Het gaat om namen, telefoonnummers, e-mailadressen en boekingsgegevens. Criminelen misbruiken de gestolen data al actief door via WhatsApp valse betaallinks naar slachtoffers te sturen. Eurocamp waarschuwt dat het bedrijf nooit via WhatsApp om betalingsgegevens zal vragen, maar biedt geen financiele compensatie aan getroffen klanten.
Bij voetbalclub Ajax kreeg een hacker toegang tot systemen waarmee gegevens van honderdduizenden supporters zijn ingezien. Ook de gegevens van vijfhonderd personen met een stadionverbod werden bekeken, en het bleek mogelijk om seizoenskaarten over te zetten en stadionverboden aan te passen. Ajax heeft uit voorzorg alle supporters met kaarten voor de laatste drie thuiswedstrijden voorzien van nieuwe mobile tickets. Van ongeveer vierhonderd mensen zijn namen, e-mailadressen en barcodes ingezien.
De gemeente Epe heeft ondertussen meer tijd nodig voor het onderzoek naar een eerder datalek via een ClickFix aanval. Criminelen wisten achthonderd gigabyte aan data te stelen van een interne werkschijf, waaronder 600.000 bestanden met persoonsgegevens. De gemeente meldt dat de bestanden vaak moeilijk herleidbaar zijn, waardoor het bepalen welke gegevens precies zijn gelekt en van welke inwoners langer duurt dan verwacht. Alle drie de incidenten vallen onder de AVG meldplicht en tonen hoe breed het Nederlandse datalekkenlandschap is, van sport en recreatie tot overheid en toerisme.
Noord-Korea bevestigd achter Axios aanval
Google Threat Intelligence Group heeft bevestigd dat de Noord-Koreaanse dreigingsactor UNC1069 verantwoordelijk is voor de supply chain aanval op Axios, een van de meest gedownloade JavaScript bibliotheken ter wereld met ongeveer 100 miljoen wekelijkse downloads. De aanvallers compromitteerden het npm account van de belangrijkste Axios beheerder en publiceerden kwaadaardige versies die automatisch een vervalst pakket genaamd crypto-js versie 4.2.1 binnenhalen.
De kwaadaardige code werd op 30 maart rond middernacht gepubliceerd en binnen enkele minuten gevolgd door gecompromitteerde Axios versies. Beveiligingsbedrijf Socket detecteerde de afwijking zes minuten later. De gecompromitteerde versies zijn niet terug te vinden in de officiele GitHub repository tags, wat aangeeft dat ze rechtstreeks naar npm zijn gepusht buiten de normale deployment pipeline.
De malware zet een RAT in die willekeurige commando's kan uitvoeren, systeemdata kan stelen en kan persisteren op geinfecteerde machines. Zowel Windows, macOS als Linux worden getroffen. Na uitvoering verwijdert de malware zichzelf en vervangt deze door een schone versie om detectie te voorkomen. UNC1069 werd eerder al gelinkt aan cryptocurrency diefstal en aan een eerdere supply chain aanval op telefoonbedrijf 3CX in 2023. Mandiant CTO Charles Carmakal waarschuwt dat de gestolen geheimen in de komende weken en maanden meer supply chain aanvallen, ransomware en cryptodiefstal mogelijk zullen maken.
Criminelen bouwen schaduwnetwerk met GhostSocks
De malware GhostSocks zet gecompromitteerde systemen om in zogenoemde residentiele proxies, waardoor het internetverkeer van criminelen eruitziet alsof het afkomstig is van een gewone thuisgebruiker. Analisten van Darktrace hebben sinds eind 2025 een gestage toename van GhostSocks activiteit waargenomen. De malware werd voor het eerst aangeboden op het Russische cybercrime forum xss.is als een Malware as a Service aanbod.
GhostSocks is geschreven in GoLang en gebruikt het SOCKS5 protocol om een verborgen communicatiekanaal te openen op geinfecteerde apparaten. Het verkeer wordt verpakt in TLS encryptie, waardoor het opgaat in normaal netwerkverkeer en moeilijk te detecteren is. In 2024 kondigde GhostSocks een samenwerking aan met Lumma Stealer, waarna de adoptie sterk toenam. De ransomware groep Black Basta zou GhostSocks hebben gebruikt voor lange termijn heimelijke toegang tot slachtoffernetwerken.
Tegelijkertijd misbruiken ransomware actoren steeds vaker legitieme Windows tools om antivirussoftware uit te schakelen. Onderzoekers van Seqrite melden dat tools zoals Process Hacker, IOBit Unlocker, PowerRun en AuKill worden ingezet om antivirus en EDR software te stoppen. Omdat deze tools digitaal zijn ondertekend en veel worden gebruikt in bedrijfsomgevingen, beschouwen beveiligingssystemen hun activiteit als normaal administratief werk. De strategie is geevolueerd van simpele scripts naar voorgeprogrammeerde antivirus killer modules in Ransomware as a Service kits, wat de drempel voor aanvallers aanzienlijk verlaagt.
Uit het Talos 2025 Year in Review blijkt dat ransomware aanvallen steeds meer lijken op legitieme activiteiten. Aanvallers verkrijgen toegang, vaak via phishing in veertig procent van de gevallen, en bewegen zich vervolgens door systemen alsof ze normale gebruikers of beheerders zijn. RDP, PowerShell en PsExec zijn populair bij ransomware actoren, maar worden ook dagelijks gebruikt in normale bedrijfsvoering. Het verschil zit in de manier waarop ze worden ingezet. Qilin staat nu op nummer een in de Ransomware as a Service markt, nadat LockBit naar de 35e plaats zakte door aanhoudende druk van opsporingsdiensten.
AI ontdekt onbekende kwetsbaarheden en wordt zelf doelwit
Claude AI van Anthropic heeft voorheen onbekende kwetsbaarheden ontdekt in zowel de teksteditor Vim als GNU Emacs. Het Calif team gaf het AI model de simpele opdracht om een kwetsbaarheid te vinden die code uitvoering mogelijk maakt bij het openen van een bestand. Claude identificeerde vervolgens een RCE kwetsbaarheid in Vim versie 9.2 waarvoor geen gebruikersinteractie nodig is, alleen het openen van een speciaal geprepareerd markdown bestand. Een proof of concept toonde aan dat een aanvaller willekeurige code kon uitvoeren zonder dat het slachtoffer iets hoeft aan te klikken. De Vim ontwikkelaars patchten de kwetsbaarheid direct en gebruikers wordt aangeraden te updaten naar versie 9.2.0172.
Bij GNU Emacs vonden de onderzoekers een vergelijkbare kwetsbaarheid, maar de reactie was opvallend anders. De Emacs ontwikkelaars weigerden de kwetsbaarheid aan te pakken en wezen de oorzaak toe aan Git in plaats van aan de teksteditor zelf. Dat laat Emacs gebruikers in een onzekere positie. Het Calif team heeft "MAD Bugs, Month of AI Discovered Bugs" aangekondigd en publiceert tot eind april een reeks kwetsbaarheden die volledig door AI zijn ontdekt.
Ondertussen waarschuwen onderzoekers van Unit 42 voor beveiligingsrisico's in Google Cloud Vertex AI. Zij ontdekten dat AI agents in dit platform kunnen worden misbruikt als "dubbelagenten" die gevoelige data exfiltreren en backdoors creeren. Door een risico in de standaard permissies te exploiteren, kregen de onderzoekers toegang tot data in een klantproject en tot beperkte broncode binnen de Google infrastructuur. Google heeft naar aanleiding hiervan de officiele documentatie aangepast. De combinatie van AI die kwetsbaarheden ontdekt en AI die zelf kwetsbaar blijkt, markeert een nieuwe fase in het cybersecurity landschap.
De belangrijkste punten
- Drie Nederlandse datalekken: Eurocamp/Roan (duizenden klanten, data al misbruikt voor WhatsApp fraude), Ajax (honderdduizenden supporters) en Gemeente Epe (800 GB gestolen)
- Noord-Korea achter Axios: UNC1069 compromitteerde het populairste JavaScript HTTP pakket via npm account overname, alle besturingssystemen getroffen
- GhostSocks groeit: Malware zet computers om in anonimiseringsnetwerk voor criminelen, samenwerking met Lumma Stealer en Black Basta
- Windows tools als wapen: Ransomware groepen misbruiken legitieme beheersoftware om antivirus uit te schakelen, moeilijk te detecteren
- AI vindt onbekende kwetsbaarheden: Claude ontdekte RCE lekken in Vim en Emacs, Calif team publiceert meer door AI ontdekte bugs
- WhatsApp als aanvalsvector: Microsoft waarschuwt voor campagne die malware verspreidt via WhatsApp berichten, NCSC waarschuwt voor staatsactoren die messaging apps aanvallen
Lees ook
- S02E38: TeamPCP vergiftigt alles, Telegram zero-day en FBI gehackt - Vorige aflevering over de supply chain golf die het cybersecurity landschap domineert
- Noord-Korea's cyberstrategie, van cryptocurrency diefstal tot spionage - Achtergrond bij de staat die nu Axios compromitteerde
- ClickFix explodeert, Belgische data op straat en NAVO alarm - De ClickFix techniek waarmee ook Gemeente Epe werd getroffen
- AP: datadiefstal door cybercriminelen verdubbeld - De bredere trend van toenemende datalekken in Nederland
Mis geen enkel Cyber Journaal - schrijf je in
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.