Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt

In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.

Zes Nederlandse organisaties verschenen op darkwebplatformen in 48 uur

In de periode van 27 tot 28 mei 2026 werden via darkwebmonitoring zes Nederlandse organisaties aangetroffen op platforms van meerdere dreigingsgroepen. Het gaat om claims die door de dreigingsactoren zelf zijn geplaatst en die op dit moment niet onafhankelijk zijn bevestigd.

Hoveniersbedrijf Dunas Groen uit Onstwedde en het Amsterdamse onderzoeksbureau Profundo verschenen op 27 mei op het platform van DragonForce. Deze groep opereert als een zogeheten ransomware as a service platform dat in 2025 overstapte op een cartelmodel en eerder dit jaar aanvallen uitvoerde op de Britse retailers Marks & Spencer en Co-op. Op hetzelfde darkwebforum werd een vermeende dataset van webshop Vliegershop.nl aangeboden met naar eigen zeggen 875.000 klantrecords, waaronder contactgegevens, bestelgeschiedenissen en verzendadressen. Ook een vermeende dataset van HotelsInNederland.nl dook op, met een geclaimd aantal van 287.000 boekings- en klantrecords inclusief persoonsgegevens en hotelreserveringsdetails.

Zorgvergelijker Vergoedingenwijzer.nl zou worden geclaimd in een dataset van 417.000 records. De beschrijving van de dataset wijst op blootstelling vanuit een CRM systeem, een verzekeringsbeheeromgeving en een authenticatieomgeving, inclusief risicoscores en authenticatiemetadata. Omdat het gaat om een dienst die informatie verwerkt die gezondheidsgerelateerd van aard is, valt bij bevestiging een melding aan de Autoriteit Persoonsgegevens te verwachten. Productiebedrijf Techmar B.V. werd als vermeend slachtoffer van The Gentlemen Ransomware vermeld.

Geen van de genoemde organisaties heeft zich publiekelijk uitgesproken over een incident. Vermeldingen op darkwebplatformen zijn altijd beweringen van de aanvallers zelf en vormen geen bewijs van een geslaagde aanval. Cybercrimeinfo houdt de situatie in de gaten.

► Ajax hack leidt naar Buren, drie Nederlandse bedrijven slachtoffer van ransomware en valse installatiepagina's voor AI tools - Journaal S02E63 over drie eerdere NL darkwebvermeldingen

FortiClient EMS actief misbruikt voor verspreiding van een infostealer via het eigen updatekanaal

Onderzoekers van Arctic Wolf documenteerden in mei 2026 een aanvalscampagne waarbij dreigingsactoren gebruikmaken van gehackte FortiClient EMS servers om infostealer malware te verspreiden naar alle endpoints die door die server worden beheerd.

De aanvallers misbruiken CVE-2026-35616, een kwetsbaarheid in de FortiClient Enterprise Management Server waarvoor Fortinet eerder dit jaar al waarschuwde vanwege actieve exploitatie. Het beveiligingslek stelt een niet-geauthenticeerde aanvaller in staat willekeurige code uit te voeren op de beheerserver. Nadat de beheerserver is overgenomen, verspreiden de aanvallers de malware via het beheerkanaal van FortiClient als een vermeende officiële update van Fortinet. Daarmee ziet de activiteit eruit als een legitieme beheerhandeling, wat detectie bemoeilijkt.

De verspreide malware is een infostealer van het type EKZ, die op het moment van documentatie door Arctic Wolf nog niet eerder was gerapporteerd. De malware steelt opgeslagen wachtwoorden, sessiecookies en creditcardgegevens uit browsers, waaronder Chrome, Edge, Firefox en andere op Chromium gebaseerde browsers. De aanvallen richten zich uitsluitend op FortiClient EMS servers die door organisaties zelf worden beheerd en niet op de cloudversie die direct door Fortinet wordt beheerd.

Organisaties met een eigen installatie van FortiClient EMS worden aangeraden de patch voor CVE-2026-35616 direct te installeren, de server niet rechtstreeks via internet bereikbaar te maken en endpoints te controleren op tekenen van EKZ malware, zoals onverwachte PowerShell activiteit via het beheerkanaal.

Sysdig documenteert eerste volledig door AI gestuurde aanval: database gestolen in minder dan twee minuten

Op 10 mei 2026 registreerde het Threat Research Team van Sysdig de eerste aanval die volledig werd gestuurd door een Large Language Model agent. Het startpunt was een blootgestelde marimo notebookserver, toegankelijk via het internet. Via CVE-2026-39987, een kwetsbaarheid waarmee een aanvaller een interactieve shell kan openen via één WebSocket verzoek, werd toegang verkregen.

Na de initiële toegang haalde de agent cloudreferenties op uit omgevingsbestanden en de opslag voor AWS-credentials. Via een via SSH-sleutel bereikbare bastionserver werden acht parallelle SSH-sessies geopend waarna een volledige PostgreSQL database werd gedumpt en geëxfiltreerd. De volledige keten van de aanval was in minder dan een uur afgerond; de exfiltratie van de database zelf vond plaats in minder dan twee minuten. Michael Clark, senior director bij Sysdig, omschreef het als volgt: "We zien geen AI die aanvallers vervangt. We zien aanvallers die hun scripts vervangen door AI."

Vier kenmerken wezen op sturing door een taalmodel. De agent improviseerde de databasedump zonder voorafgaande kennis van het schema. Een Chineestalig planningscommentaar verscheen verspreid over zes IP-adressen binnen één seconde, wat niet het gedragspatroon is van een menselijke typist of een statisch script. Elk commando was opgebouwd voor machinale verwerking. Waarden stroomden real-time door van stap naar stap zonder menselijke tussenkomst. Twaalf AWS API-aanroepen werden verspreid over elf IP-adressen van Cloudflare Workers in 22 seconden, waardoor op IP-adres gebaseerde detectie werd omzeild.

CVE-2026-39987 staat in de CISA Known Exploited Known Exploited Vulnerabilities catalogus en de federale hersteltermijn is verstreken. Marimo bijwerken naar versie 0.23.0 of hoger is de directe maatregel. Publiek bereikbare instanties moeten als mogelijk gecompromitteerd worden beschouwd, alle bijbehorende toegangssleutels en databasewachtwoorden moeten worden geroteerd.

Nederlandse politie en NCSC halen Asocks proxynetwerk met 17 miljoen apparaten offline

De Nederlandse politie en het Nationaal Cyber Security Centrum haalde het Asocks botnet offline na een gecombineerde actie. Het netwerk bestond uit 17 miljoen besmette apparaten en werd gebruikt als zogeheten residentieel proxynetwerk: betalende klanten, waaronder mogelijk ook cybercriminelen, konden hun internetverkeer via de thuisverbindingen van nietsvermoedende gebruikers laten lopen.

Het NCSC ontving een tip van een beveiligingsonderzoeker. Intern onderzoek bevestigde zowel de omvang van het netwerk als het feit dat 200 servers die de besmette apparaten aanstuurden, zich in Nederland bevonden. De Nederlandse politie nam bij een hostingprovider in Nederland meerdere van deze servers in beslag. De hostingprovider haalde vervolgens het gehele netwerk offline.

Asocks profileerde zichzelf als "het meest stabiele residentiële proxynetwerk". Criminele afnemers konden hun aanvallen of data-exfiltratie routeren via IP-adressen van gewone huishoudens, waardoor detectie op basis van verdachte IP-adressen wordt bemoeilijkt. Thuisgebruikers wiens apparaat onderdeel was van het netwerk, merkten daar in de meeste gevallen niets van.

*Bronnen: Cybercrimeinfo darkwebmonitoring | Arctic Wolf | Sysdig Threat Research Team | NCSC (bericht in het Nederlands) | CISA Known Exploited Vulnerabilities*

De belangrijkste punten

- Zes Nederlandse organisaties op darkwebplatformen in 48 uur: Dunas Groen en Profundo (DragonForce), Vliegershop.nl (875.000 records), HotelsInNederland.nl (287.000 records), Vergoedingenwijzer.nl (417.000 records inclusief authenticatiemetadata) en Techmar B.V. (The Gentlemen). Alle claims zijn onbevestigd.

- FortiClient EMS CVE-2026-35616 actief misbruikt via het eigen beheerkanaal: aanvallers verspreiden de EKZ infostealer als nep-update van Fortinet naar alle verbonden endpoints. De aanval ziet eruit als legitiem beheer.

- EKZ infostealer steelt wachtwoorden, sessiecookies en creditcardgegevens: uit Chrome, Edge, Firefox en andere browsers. Uitsluitend FortiClient EMS installaties die zelf beheerd worden zijn kwetsbaar.

- Eerste volledig door een AI-agent gestuurde aanval gedocumenteerd door Sysdig: via CVE-2026-39987 in marimo werd een PostgreSQL database geexfiltreerd. Volledige keten afgerond in minder dan een uur, exfiltratie van de database in minder dan twee minuten.

- Twaalf AWS API-aanroepen verspreid over elf IP-adressen in 22 seconden: de aanval omzeilde op IP-adres gebaseerde detectie volledig. CVE-2026-39987 staat in CISA KEV en de federale hersteltermijn is verstreken.

- Asocks proxynetwerk met 17 miljoen apparaten offline gehaald: door de Nederlandse politie en het NCSC na een tip van een beveiligingsonderzoeker. Tweehonderd sturende servers stonden in Nederland.

Lees ook

► Bedrijven zijn aan de verliezende hand in de strijd tegen ransomware aanvallers - analyse van de evolutie van ransomwaretactieken

► Ajax hack leidt naar Buren, drie Nederlandse bedrijven slachtoffer van ransomware en valse installatiepagina's voor AI tools - S02E63 over drie eerdere NL darkwebvermeldingen

► Chinese botnet infecteert wereldwijd routers en IoT apparaten, de impact op Nederland en hoe je jezelf kunt beschermen - hoe aanvallers besmette systemen inzetten als aanvalsmiddel

► AI gestuurde cybercriminaliteit, een dreigende golf van phishing en malware aanvallen - hoe AI het aanvalslandschap verandert

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam