APT28 kaapt routers, Kubernetes onder vuur en BKA ontmaskert REvil baas

Aanvallen op Kubernetes clusters zijn in een jaar tijd met 282 procent toegenomen, waarbij Noord Koreaanse hackers via één gestolen token miljoenen aan crypto wegsluizen. De Britse inlichtingendienst NCSC waarschuwt dat de Russische staatsgroep APT28 internetrouters kaapt om verkeer om te leiden, terwijl de FBI en het Pentagon Iraanse aanvallen op Amerikaanse waterzuivering melden. Noord Korea verbreedt zijn social engineering jacht naar de maintainers van Node.js packages met meer dan honderd miljoen wekelijkse downloads. En de Duitse federale recherche legt na jaren onderzoek de naam bloot van UNKN, het kopstuk van de beruchte ransomwaregroepen GandCrab en REvil.

Aanvallen op Kubernetes exploderen

Cybersecuritybedrijf Unit 42 van Palo Alto Networks meldt dat kwaadaardige activiteit rond Kubernetes het afgelopen jaar met 282 procent is toegenomen. De IT sector neemt meer dan 78 procent van die activiteit voor zijn rekening. In ongeveer 22 procent van de in 2025 geobserveerde cloudomgevingen werd verdachte activiteit vastgesteld die wijst op diefstal van service account tokens, de digitale sleutels die containers gebruiken om met de Kubernetes API te praten.

Het patroon is steeds hetzelfde, schrijven de onderzoekers. Aanvallers krijgen code uitvoering binnen één container, halen daar het gemonteerde service account token uit, testen welke rechten dat token heeft op de API server en bewegen vervolgens lateraal naar waardevollere cloudbronnen. Een sprekend voorbeeld komt van Slow Pisces, een door Noord Korea gesteunde groep die ook bekend staat als Lazarus en TraderTraitor. Medio 2025 plaatste de groep via een gespearphishte ontwikkelaar een kwaadaardige pod in het productiecluster van een cryptocurrency exchange. Dat token bleek te horen bij een hooggeprivilegieerd management account, waarna de aanvallers via de Kubernetes API doorstapten naar de financiële infrastructuur en miljoenen aan crypto wegsluisden.

Een tweede incident draait om CVE-2025-55182, ook wel React2Shell genoemd, een kritieke kwetsbaarheid in React Server Components die op 3 december 2025 openbaar werd. Binnen twee dagen werd de fout actief misbruikt tegen cloud workloads. Aanvallers maakten gebruik van onveilige deserialisatie om code uit te voeren binnen applicatiecontainers, waar ze service account tokens, omgevingsvariabelen en cloud credentials vonden om backdoors te installeren en cryptominers op te zetten.

Unit 42 adviseert om langlopende statische tokens te vervangen door kortstondige projected tokens, om wildcard rechten in RBAC policies te vermijden en om Kubernetes audit logs structureel te monitoren. Want zonder die logs blijven token diefstal en laterale beweging tussen namespaces vrijwel onzichtbaar.

APT28 kaapt routers en Iran richt zich op waterzuivering

Het Britse National Cyber Security Centre, onderdeel van inlichtingendienst GCHQ, publiceerde een nieuw advies waarin het de Russische staatsgroep APT28 koppelt aan grootschalige router kaping. APT28, ook bekend als Fancy Bear en Forest Blizzard, is door het VK eerder gelinkt aan Unit 26165 van de GRU. Volgens het NCSC misbruikt de groep kwetsbaarheden in veelgebruikte internetrouters om DNS hijacking op te zetten, waarbij gebruikers ongemerkt naar kwaadaardige websites worden gestuurd die wachtwoorden en sessietokens van mail en webdiensten oogsten.

Paul Chichester, NCSC Director of Operations, zegt dat de operatie opportunistisch begint, een breed net om zoveel mogelijk slachtoffers te raken, waarna de aanvallers zich richten op doelen van inlichtingenbelang. Het NCSC roept beheerders op de beheerinterfaces van routers af te schermen, firmware bij te houden en tweestapsverificatie in te schakelen op accounts die via dergelijke apparatuur lopen.

Aan de andere kant van de Atlantische Oceaan slaan de FBI, het Pentagon en CISA gezamenlijk alarm over Iraanse aanvallen op operational technology in kritieke infrastructuur. Sinds maart 2026 heeft een Iraanse APT groep aantoonbaar de werking verstoord van programmable logic controllers van Rockwell Automation en mogelijk Siemens, met manipulatie van projectbestanden en valse data op SCADA schermen. Doelwitten zijn gemeenten, water- en afvalwatersystemen en de energiesector. De waarschuwing volgt op een ransomware aanval vorige week op een waterzuiveringsinstallatie in Minot, North Dakota. De FBI noemt expliciet CVE-2021-22681, een al jaren bekende fout in Rockwell producten waarvoor CISA federale agentschappen had opgedragen vóór 26 maart te patchen. Het advies aan organisaties is hard, koppel PLC's nooit direct aan het internet en monitor logs op verdacht verkeer.

De twee waarschuwingen samen tekenen een patroon. Statelijke aanvallers richten zich niet langer alleen op endpoints en mailboxen, maar op de netwerklaag en de fysieke infrastructuur die landen draaiende houdt.

Noord Korea verbreedt zijn jacht naar Node.js maintainers

Securitybedrijf Socket meldt dat meerdere maintainers van het Node.js project zijn benaderd door social engineers die eerder de maintainer van Axios compromitteerden. Onder de doelwitten zitten de ontwikkelaars van WebTorrent, StandardJS en buffer, de maintainers van Lodash, Fastify, Pino en Undici en leden van de Node Package Maintenance Working Group. Sommige van hen onderhouden packages met meer dan honderd miljoen wekelijkse downloads, een ideaal vehikel voor een supply chain aanval.

De aanvallers gebruiken vrijwel dezelfde tactiek als bij Axios. Een maintainer wordt via LinkedIn benaderd door iemand die zich uitgeeft voor oprichter van een bedrijf, krijgt een Microsoft Teams uitnodiging en ziet tijdens het gesprek een melding dat zijn software verouderd is en bijgewerkt moet worden. Achter die nep update zit een remote access trojan die session cookies, tokens en npm credentials buitmaakt. Eén aangevallen maintainer beschreef hoe de aanvallers hem ook een kwaadaardig curl commando in zijn terminal probeerden te laten plakken. Toen hij weigerde, verdwenen ze en wisten ze de hele chatgeschiedenis.

Socket koppelt de campagne aan het Noord Koreaanse regime, dat zich in het verleden vooral richtte op cryptobedrijven en personen met grote crypto vermogens. Zoals in de bibliotheek over de Noord Koreaanse cyberstrategie staat beschreven, combineert het regime technische aanvallen, sociale manipulatie en menselijke infiltratie. De verbreding naar pakket maintainers laat zien dat schrijfrechten op een populaire npm library inmiddels even waardevol zijn als directe toegang tot een crypto exchange.

Medusa misbruikt zerodays binnen 24 uur

Microsoft publiceerde een diepgaande analyse van de Medusa ransomwaregroep en stelt vast dat de bende steeds vaker nieuwe kwetsbaarheden inzet voordat patches breed zijn uitgerold. In meerdere gevallen ging de groep binnen 24 uur van initiële toegang naar exfiltratie en versleuteling. Microsoft noemt twee concrete voorbeelden, CVE-2026-23760 in SmarterMail en CVE-2025-10035 in GoAnywhere Managed File Transfer. Beide werden door Medusa misbruikt nog vóór ze publiek werden, en CISA heeft ze inmiddels op de Known Exploited Vulnerabilities lijst gezet. Medusa zelf, vermoedelijk geleid vanuit Rusland gezien de Cyrillische tooling en het mijden van Gemenebestlanden, bestaat sinds 2021 en richt zich met opmerkelijke voorkeur op zorginstellingen en lokale overheden in de Verenigde Staten.

Dat verband tussen ransomware en de gezondheidszorg werd deze week opnieuw zichtbaar. Het Signature Healthcare ziekenhuissysteem in Massachusetts, met de Brockton Hospital als hoofdvestiging, moest na een cyberincident ambulances afwijzen en chemobehandelingen annuleren. Spoedeisende hulp en geplande operaties bleven doordraaien, maar het ziekenhuis schakelde over op handmatige uitwijkprocedures. Health ISAC, het sectorale informatienetwerk voor de zorg, waarschuwt dat het volume en de impact van aanvallen op ziekenhuizen, betalers en farmaceuten dit jaar hoger blijft dan voorheen, en dat de meeste incidenten niet eens openbaar worden gemaakt.

Ook het onderwijs werd geraakt. In Noord Ierland legde een aanval op het centrale C2K netwerk de toegang tot lesmateriaal, opdrachten en examentraining plat voor ongeveer 300.000 leerlingen en 20.000 leraren. De Education Authority sloot het systeem direct af en werkt samen met serviceprovider Capita en een incident response team aan herstel. Of er persoonsgegevens zijn buitgemaakt, is volgens de autoriteiten in dit vroege stadium nog niet vastgesteld. Scholen openden tijdens de schoolvakantie speciaal hun deuren om wachtwoorden te resetten, met voorrang voor leerlingen die binnenkort examens afleggen.

Duitse BKA legt naam bloot van REvil baas UNKN

Het Bundeskriminalamt heeft de identiteit onthuld van de hacker die jarenlang bekend stond als UNKN, het kopstuk achter de Russische ransomwaregroepen GandCrab en REvil. Volgens het BKA gaat het om de 31 jarige Daniil Maksimovich Shchukin. Samen met de 43 jarige Anatoly Sergeevitsch Kravchuk wordt hij ervan beschuldigd tussen 2019 en 2021 minstens 130 ransomware aanvallen in Duitsland te hebben uitgevoerd, waarmee bijna 2 miljoen euro aan losgeld werd afgeperst en meer dan 35 miljoen euro aan economische schade werd veroorzaakt.

GandCrab dook op in januari 2018 en groeide in anderhalf jaar uit tot één van de meest winstgevende affiliateprogramma's in de geschiedenis van ransomware, met meer dan 2 miljard dollar aan afpersingen voordat het team in mei 2019 aankondigde te stoppen. "We zijn een levend bewijs dat je kwaad kunt doen en er ongestraft mee weg kunt komen", schreef GandCrab in zijn afscheidsbericht. Vrijwel direct daarna verscheen REvil op het toneel, onder leiding van een nieuwe gebruiker die zichzelf UNKNOWN noemde. Veel onderzoekers concludeerden destijds al dat REvil weinig meer was dan een reorganisatie van GandCrab, een vermoeden dat met de BKA onthulling extra gewicht krijgt.

REvil groeide door tot een gevreesde big game hunting operatie die zich vooral richtte op organisaties met meer dan honderd miljoen dollar omzet en een cyberverzekering. UNKNOWN gaf in 2021 een spraakmakend interview aan voormalig hacker Dmitry Smilyanets, waarin hij zichzelf neerzette als rags to riches verhaal, opgegroeid in een gemeenschappelijk appartement, sigarettenpeuken rapend, en inmiddels miljonair. Een Amerikaans inbeslagname document uit 2023 koppelde een digitale wallet van Shchukin al aan meer dan 317.000 dollar aan illegaal verkregen cryptocurrency. De Duitse autoriteiten vermoeden dat beide verdachten zich nog in Rusland bevinden en hebben een internationaal opsporingsverzoek uitgevaardigd.

De onthulling sluit aan bij een bredere trend, het langzaam zichtbaar worden van de mensen achter de meest beruchte ransomware merken. Voor slachtoffers verandert er op korte termijn weinig, maar voor opsporingsdiensten is het bewijs dat geduldig forensisch werk uiteindelijk wel degelijk gezichten oplevert achter de aliassen.

De belangrijkste punten

- Kubernetes aanvallen +282 procent: Unit 42 ziet token diefstal in 22 procent van cloudomgevingen, Lazarus steelt miljoenen via gestolen pod

- APT28 kaapt routers: NCSC UK meldt grootschalige DNS hijacking via internetrouters door Russische staatsgroep

- Iran richt zich op Amerikaanse OT: FBI en Pentagon waarschuwen voor aanvallen op Rockwell PLC's in waterzuivering en energie

- Noord Korea jaagt op Node.js maintainers: Lodash, Fastify, Pino en buffer maintainers benaderd via dezelfde Teams tactiek als bij Axios

- REvil baas UNKN ontmaskerd: Duitse BKA noemt Daniil Shchukin, 130 ransomware aanvallen, 35 miljoen euro schade

- Ransomware raakt vitale sectoren: Massachusetts ziekenhuis wijst ambulances af, Noord Ierse C2K scholen offline voor 300.000 leerlingen

Lees ook

- S02E41: Twee FortiClient zerodays, Noord Korea's miljardenbusiness en LinkedIn als spion - Vorige aflevering met de eerste analyse van Noord Korea's recordbuit en de Axios supply chain aanval

- S02E39: Drie NL datalekken, Noord Korea hackt Axios en AI vindt kwetsbaarheden - Achtergrond bij de Axios social engineering aanval die nu wordt herhaald op Node.js maintainers

- REvil ransomware lid UNKN undercover aan het woord - Het oorspronkelijke interview met UNKNOWN dat nu een gezicht en een naam krijgt via het BKA opsporingsbericht

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam