Mailboxspionage en Cisco SD-WAN actief misbruikt

In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.

Datalekken, fraude en stille spionage

Het meest opvallende verhaal van deze week gaat niet over een luidruchtige aanval, maar over geduld. Onbekende aanvallers hadden minstens vijf maanden toegang tot de Outlook mailbox van een hooggeplaatste directeur bij een grote internationale beurs. Volgens Symantec en het Threat Hunter Team van Carbon Black kopieerden zij de inhoud in kleine, herhaalde delen en leidden die weg via Dropbox en OneDrive, precies de diensten die in elke organisatie de hele dag worden gebruikt. De eerste sporen dateren van oktober 2025, de laatste van maart 2026. Er is geen kwetsbaarheid misbruikt en dus is er geen patch die dit dicht. De verdediging verschuift hiermee volledig naar detectie en monitoring, want het signaal zit in ongebruikelijke export van een mailbox en uploads naar een persoonlijk cloudaccount.

In Nederland en België blijft fraude dicht op de huid van burgers. De politie waarschuwt voor valse berichten die zogenaamd van de Rabobank komen en melden dat de daglimiet is verhoogd naar 54.000 euro, met het verzoek een nummer te bellen als dat niet klopt. Wie belt, komt uit bij criminelen die via een gesprek toegang tot de rekening proberen te krijgen. Het is een klassiek voorbeeld van bankhelpdeskfraude, waarbij de schade niet via een lek maar via een geloofwaardig telefoongesprek ontstaat. In België verloren hotelgasten duizenden euro's na het eerder gemelde datalek in de hotelsector, doordat zij phishing ontvingen die exact aansloot op hun echte reservering. En de eind mei aangeboden database van de Christelijke Mutualiteit blijkt na onderzoek van de securityafdeling van het ziekenfonds zelf een valse claim, al circuleren er wel phishingberichten die de naam misbruiken.

Ook een wachtwoordmanager bleek niet onaantastbaar. Dashlane meldt dat aanvallers via een brute force aanval de tweefactorauthenticatie omzeilden op het apparaatregistratieproces, waarna versleutelde kluizen van minder dan twintig gebruikers met een persoonlijk abonnement werden gedownload. Volgens Dashlane blijft de inhoud beschermd door het hoofdwachtwoord en zijn de interne systemen niet gecompromitteerd. Het incident laat zien dat aanvallers ook de rand van de authenticatie aanvallen, niet alleen de versleuteling zelf.

De toeleverketen en valse downloads onder vuur

De rode draad door beide dagen is opnieuw de toeleverketen van software. Een nieuwe in Rust geschreven malware, door JFrog IronWorm genoemd, infecteerde 36 pakketten in de npm index om breed inloggegevens te stelen, waaronder sleutels voor cloud en cryptowallets. Tegelijk zet de Lazarus Group uit Noord-Korea volgens Sonatype tientallen kwaadaardige npm pakketten in die lijken op vertrouwde projecten, een techniek die brandjacking heet. Niet voor niets adviseren zowel het Britse NCSC als het Amerikaanse CISA om afhankelijkheden niet langer automatisch te installeren, maar nieuwe pakketten eerst handmatig te controleren. Een gestolen ontwikkelaarstoken geeft langdurige en stille toegang en kan besmette software doorleveren aan klanten.

De aanvallers richten zich ook op wat gebruikers vertrouwen. De Windows versie van de Hola Browser bleek volgens Sophos via een gecompromitteerde distributiepijplijn een verborgen cryptominer mee te leveren. Daarnaast bootsen aanvallers volgens Check Point downloadsites na van bekende beveiligingsgereedschappen zoals Ghidra en dnSpy, die bovenaan in de zoekresultaten verschijnen en bezoekers via een verkeersverdeelsysteem naar malware leiden die wachtwoorden en cryptowallets steelt. In dezelfde lijn plaatsen criminelen via zoekmachinevergiftiging een nagemaakte installatiepagina van een bekende ontwikkeltool, die een infostealer verspreidt die volledig in het geheugen draait. En een campagne van Magecart misbruikt de infrastructuur van Stripe en Google Tag Manager om creditcardgegevens van afrekenpagina's te stelen en op te slaan.

De ingangen variëren, maar het patroon is hetzelfde. De Russischtalige ransomwaregroep The Gentlemen gebruikt een actief misbruikte ingang in Fortinet en zet taalmodellen in voor onderhandelingen. De met China verbonden groep TA4922 breidt aanvallen met de nieuwe SilentRunLoader uit naar Europa. De groep PCPJack kaapte volgens Hunt.io ongeveer 230 cloudservers voor een verborgen netwerk van e-mailrelais. En de met China verbonden groep VerdantBamboo misbruikt volgens Volexity beheerde dienstverleners om binnen te komen bij hun klanten, met een achterdeur die minstens achttien maanden onopgemerkt bleef. Eén compromittering in de keten vertakt zich zo naar veel slachtoffers tegelijk.

Kritieke en actief misbruikte kwetsbaarheden

Twee soorten kwetsbaarheden vragen deze week directe aandacht. Het zwaarst weegt de authenticatie omzeiling in de Cisco Catalyst SD-WAN (CVE-2026-20182, CVSS 10.0). Het lek heeft de hoogste ernst, staat op de lijst van actief misbruikte kwetsbaarheden van CISA en kent inmiddels publieke exploitcode. Een aanvaller zonder inloggegevens krijgt beheerdersrechten op de netwerkapparatuur en er is geen tijdelijke maatregel, alleen patchen. Daarnaast waarschuwt Cisco voor een kritiek lek in de Unified Communications Manager (CVE-2026-20230, CVSS 8.6) waarvoor publieke proof of concept code bestaat, met als advies om te updaten en de WebDialer uit te schakelen als die niet nodig is.

Ook breed gebruikte software loopt risico. Twee WordPress plugins worden actief misbruikt om beheerdersaccounts aan te maken. In Burst Statistics (CVE-2026-8181, CVSS 9.8), actief op ongeveer tweehonderdduizend sites, blokkeerde beveiliger Wordfence duizenden aanvallen per dag, en ook in de betaalde Everest Forms Pro maken aanvallers misbruik van een lek om code uit te voeren. Eerder deze week waarschuwde het Belgische CCB al voor kritieke kwetsbaarheden in Progress Sitefinity, met als zwaarste CVE-2026-7312 (CVSS 10.0). Het advies is steeds hetzelfde, namelijk direct bijwerken naar de gepatchte versies.

Verder verschenen er lekken zonder bevestigd misbruik. Microsoft verhielp een kwetsbaarheid in de Edge browser (CVE-2026-45495, CVSS 7.5) waarmee code op afstand kan worden uitgevoerd na interactie van de gebruiker. Het privacy besturingssysteem Tails bracht een noodpatch uit voor een ernstig lek in de Linux kernel (CVE-2026-43503) dat gebruikers zou kunnen deanonimiseren, met versie 7.8.1 als oplossing. En onderzoekers vonden een kritieke kwetsbaarheid in de Microsoft 365 apps voor Android waarmee een aanvaller een sessietoken kon bemachtigen.

Opsporing, spionage en digitale soevereiniteit

Op het gebied van opsporing was er een resultaat in Spanje. Franse en Spaanse autoriteiten ontmantelden met steun van Europol een online marktplaats die valse identiteitsdocumenten verkocht aan netwerken van mensensmokkelaars. De actie leidde op 27 mei tot de arrestatie van een verdachte in Alicante, waar ongeveer 800 nagemaakte Europese documenten en apparatuur voor documentproductie in beslag werden genomen. Het onderzoek begon nadat Franse autoriteiten een website met nagemaakte documenten hadden geïdentificeerd.

Spionage bleef een terugkerend thema. De veiligheidsdiensten van de Five Eyes alliantie waarschuwen dat met China verbonden actoren vacaturesites en platforms zoals LinkedIn misbruiken om overheidsmedewerkers en militairen te verleiden tot het delen van gevoelige informatie. De werkwijze loopt van een nette sollicitatie tot betaalde proefrapporten en versleutelde gesprekken, waarbij ook kleine stukjes informatie van waarde kunnen zijn. Dichter bij huis startte de Politie Eenheid Den Haag een eigen WhatsApp kanaal om burgers te informeren, de vierde eenheid die dat doet. De keuze roept ook vragen op over privacy en de afhankelijkheid van een commercieel platform van Meta.

Tot slot kreeg het beleid rond gegevens en soevereiniteit vorm. Staatssecretaris Van Bruggen stelt in antwoord op Kamervragen dat een datalek niet automatisch een overtreding van de privacywet is, en dat vooral de reactie van een organisatie telt. De Autoriteit Persoonsgegevens meldt zelf een capaciteitstekort, waardoor zij alleen de datalekken met de grootste risico's onderzoekt. Daarnaast wil het kabinet dat een deel van het beheer van DigiD na 2028 bij een Europese partij komt, terwijl er Kamervragen lopen over de verplichting van een account van Apple of Google voor de overheidswallet. In Brussel presenteerde de Europese Commissie een breed plan om structurele afhankelijkheden van leveranciers buiten Europa te verminderen.

*Bronnen: Symantec en Carbon Black via The Hacker News en SecurityWeek, Politie, Safeonweb, de securityafdeling van de Christelijke Mutualiteit, Dashlane, JFrog, Sonatype, NCSC, CISA, Sophos, Check Point, Sansec, Hunt.io, Volexity, Cisco, Wordfence, het Belgische CCB, Microsoft, het Tails Project, Europol, de Five Eyes alliantie, Politie Eenheid Den Haag, Tweede Kamer en de Europese Commissie. Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Maandenlange mailboxspionage: aanvallers lazen vijf maanden mee in de mailbox van een beursdirecteur en sluisden data weg via Dropbox en OneDrive, zonder enige kwetsbaarheid te misbruiken.

- Cisco Catalyst SD-WAN actief misbruikt: CVE-2026-20182 (CVSS 10.0) geeft op afstand beheerdersrechten, staat op de KEV lijst en heeft publieke exploitcode, patch per direct.

- WordPress plugins onder vuur: Burst Statistics (CVE-2026-8181) en Everest Forms Pro worden actief misbruikt om beheerdersaccounts aan te maken.

- Toeleverketen blijft doelwit: de worm IronWorm trof 36 npm pakketten en Lazarus zet brandjacking in, het NCSC en CISA adviseren handmatige controle van pakketten.

- Fraude blijft persoonlijk: valse Rabobank berichten en phishing na het hotellek tonen dat de meeste schade via een geloofwaardig bericht of gesprek ontstaat.

- Opsporing en spionage: Europol ontmantelde een marktplaats voor valse identiteitsdocumenten, terwijl de Five Eyes waarschuwen voor Chinese spionage via vacatures.

Lees ook

► Cyber Journaal S02E66, datalek hotelsector en Windows NETLOGON actief misbruikt - de vorige aflevering

► Twee op de drie hotels lekken reserveringsgegevens van klanten - achtergrond bij de kwetsbaarheid van boekingssystemen

► Odido hack treft miljoenen, AI als wapen en supply chain - over de toeleverketen als aanvalsoppervlak

► De stille oorlog, hoe Nederland zich beschermt tegen cyberaanvallen - over spionage en stille toegang

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam