Check Point VPN met Qilin, phishing bij Vlaamse hotels

In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.

Datalekken en oplichting in Nederland en België

Het meest zichtbare incident van deze dagen speelt in Vlaanderen, waar bijna honderd hotels werden getroffen door een golf van phishing. Gasten kregen via WhatsApp of mail een betaalverzoek met hun eigen naam, hun boekingsnummer en de juiste verblijfsdata, waarna zij naar een valse betaalpagina werden geleid. Doordat alle gegevens klopten, was de truc bijzonder overtuigend. Horeca Vlaanderen ontving bijna honderd meldingen, en meer dan een derde van die hotels kreeg in enkele dagen meer dan vijfentwintig klachten van klanten. De gegevens kwamen vermoedelijk uit een eerder lek bij software die hotels voor reserveringen gebruiken, en de campagne was bij het verschijnen van dit journaal nog actief. Hetzelfde patroon van een datalek bij een hotelplatform dat terugkeert als gerichte fraude zagen we vorige week al.

Twee Nederlandse verhalen laten zien hoe oude fouten lang blijven nawerken. Een onderzoeker ontdekte in gelekte data van telecombedrijf Odido dat veel mensen het e-mailadres van hun bewindvoerder hadden opgegeven. Doordat bewindvoerders na fusies oude domeinnamen lieten verlopen, kon hij die domeinen opnieuw registreren en de binnenkomende post onderscheppen, wat hem toegang gaf tot 258 financiële dossiers van zeer kwetsbare mensen. De getroffenen hebben hun financiële zaken juist uit handen gegeven omdat zij dit zelf niet kunnen. Branchevereniging Aegis waarschuwt haar leden en de Stichting Internet Domeinregistratie Nederland bevestigt dat het probleem nog actueel is. De les is dat een opgezegd domein blijft bestaan en door iedereen kan worden overgenomen, inclusief de mailstroom die er nog op binnenkomt.

De gemeente Eindhoven meldde een datalek van een heel ander soort. Tussen 23 september en 23 oktober 2025 ontdekte de gemeente via een eigen steekproef dat medewerkers ruim duizend documenten met persoonsgegevens hadden geplakt in gratis, openbare AI diensten zoals ChatGPT. Het ging om gevoelige informatie van kwetsbare inwoners, waaronder dossiers in het kader van de Jeugdwet en gegevens over mentale gezondheid. Bij zulke diensten kan ingevoerde data worden hergebruikt en elders opduiken. De gemeente meldde het lek bij de Autoriteit Persoonsgegevens, blokkeerde alle openbare AI websites en staat medewerkers sindsdien alleen Microsoft Copilot binnen de beveiligde omgeving toe. Tot slot raakte ook softwareleverancier ServiceNow getroffen, doordat een onderdeel van de programmeerinterface ten onrechte geen authenticatie vereiste. Aanvallers benaderden zo de instellingen van klantomgevingen en vroegen klantdata op, met misbruik dat al op 2 en 3 juni liep voordat de update op 5 juni verscheen. Het platform wordt breed gebruikt door organisaties in Nederland en België.

Kritieke en actief misbruikte kwetsbaarheden

De zwaarste kwetsbaarheid van deze dagen zit in de Remote Access VPN van Check Point. Aanvallers misbruiken CVE-2026-50751 om zonder geldig wachtwoord een verbinding met een bedrijfsnetwerk op te zetten, en in minstens één geval volgde de uitrol van Qilin ransomware. De eerste aanvallen dateren al van 7 mei, met een piek begin juni, en het lek treft vooral oudere configuraties die het verouderde IKEv1 protocol gebruiken. Zowel het NCSC als CISA waarschuwt dringend, en CISA verplichtte federale instanties om de kwetsbaarheid uiterlijk vandaag, 11 juni, te herstellen. Voor organisaties die deze VPN inzetten is direct patchen en het controleren op de gepubliceerde indicatoren de enige verstandige route.

Daarnaast breidde CISA haar lijst van actief misbruikte kwetsbaarheden uit met drie verse toevoegingen, namelijk een lek in Arista EOS, een geheugenfout in Google Chromium V8 en een command injectie in de Cisco Catalyst SD-WAN Manager (CVE-2026-20245) die een aanvaller root rechten geeft. Ook de command injectie in BerriAI LiteLLM (CVE-2026-42271) staat op die lijst en is extra gevaarlijk omdat een keten met een lek in Starlette de ernst naar de maximale score tilt en alle authenticatie laat vallen. Tegelijk dook een proof of concept op voor een nog ongepatchte zeroday in Windows Defender, RoguePlanet genoemd, die een aanvaller de hoogste rechten op een systeem kan geven.

Microsoft hield bovendien een recordronde Patch Tuesday, met in totaal tweehonderd kwetsbaarheden waarvan drieëndertig kritiek. Daaronder zaten drie zerodays die publiek bekend waren maar nog niet actief misbruikt, waaronder een lek in BitLocker dat met fysieke toegang de schijfversleuteling omzeilde en een fout in HTTP.sys die een server kan platleggen. Wie Microsoft producten beheert, doet er goed aan deze patches met voorrang uit te rollen, vooral de lekken die code uitvoering mogelijk maken.

Aanvallers richten zich op ontwikkelaars en AI

De duidelijkste verschuiving deze week is dat aanvallers de mensen viseren die software maken. Een aan Noord-Korea gelinkte groep die Proofpoint volgt als UNK_DeadDrop verleidt ontwikkelaars met valse vacatures en verzoeken om codereviews om geïnfecteerde repositories te klonen. Een verborgen bestand in een projectmap draait dan automatisch scripts en installeert een achterdeur, geschreven in de taal Go. Tussen april en mei verstuurde de groep meer dan 250 phishingmails naar bijna honderd organisaties, vooral financiële instellingen, cryptobedrijven en technologiebedrijven, met als doel inloggegevens en cryptowallets te stelen. Diezelfde toeleveringsketen staat onder druk door een nieuwe golf van de Miasma campagne, die negentien pakketten op de Python Package Index besmette met 37 kwaadaardige versies die ontwikkelaarsgeheimen stelen.

Kunstmatige intelligentie speelt daarbij een dubbele rol, als wapen en als doelwit. Een autonome agent van het bedrijf Depthfirst vond eigenhandig eenentwintig onbekende kwetsbaarheden in FFmpeg, de bibliotheek die wereldwijd video en audio verwerkt, waarvan sommige al twintig jaar onopgemerkt in de code zaten. Onderzoekers van de Universiteit van Toronto bouwden bovendien een proof of concept van een zelfreplicerende worm die een lokaal taalmodel gebruikt om tijdens een aanval zelf nieuwe strategieën te bedenken, zonder menselijke sturing en zonder commerciële AI dienst. In een afgeschermd testnetwerk verspreidde die worm zich binnen een week over een groot deel van de systemen. Tegelijk laten onderzoekers van Varonis zien dat ook AI agenten die zelf mails verwerken vatbaar zijn voor klassieke phishing, omdat zij de identiteit van een afzender niet altijd controleren.

Aan de aanvalskant misbruiken criminelen vooral de naamsbekendheid van AI. Microsoft zag campagnes waarin nepmails zich voordeden als ChatGPT of Claude met een dringend verzoek om een betaalmethode bij te werken, op één dag goed voor tot honderdduizend berichten. En Anthropic zelf meldde in een analyse over een jaar tijd dat het aandeel verbannen accounts dat als medium of hoog risico gold steeg van een derde naar ruim de helft, een teken dat geavanceerde aanvallen toegankelijker worden voor wie weinig technische kennis heeft.

Opsporing, cyberoorlog en digitale soevereiniteit

In de opsporing was de grootste klap een internationale actie tegen de criminele dienst First VPN, die door minstens vijfentwintig ransomwaregroepen werd gebruikt om aanvallen te verbergen. De actie maakte deel uit van de bredere campagne Operation Riptide van de FBI en werd geleid door de Nederlandse en Franse cybercrime eenheden, met steun van Europol en Eurojust. Volgens Europol werden 33 servers uit elkaar gehaald en is de vermoedelijke beheerder in Oekraïne aangehouden. Dichter bij huis zette de Belgische politiezone Limburg Regio Hoofdstad de nieuwe app Phishline in, die gegevens uit processen verbaal automatisch verwerkt zodat het parket sneller een bankvordering kan starten en frauduleuze overschrijvingen tegen te houden.

Aan de kant van staten en surveillance speelden meerdere ontwikkelingen. Het Russische bedrijf F6 ontdekte een spionagecampagne, SiribClone genoemd, waarbij aanvallers zich voordoen als vrouwen of hulpverleners om Russisch militair personeel via Telegram spyware op te dringen die foto's, locatie en zelfs microfoonopnames steelt. Rusland zelf scherpte ondertussen zijn surveillancesysteem SORM verder aan, zodat de autoriteiten technische gegevens over telefoons, accounts en locaties nog sneller aan elkaar kunnen knopen. In het Verenigd Koninkrijk eist premier Starmer dat fabrikanten zoals Apple en Google binnen drie maanden naaktbeelden van kinderen op telefoons detecteren en blokkeren, een maatregel die chatapp Signal dystopisch noemt omdat zij de deur opent naar bredere controle. Privacyexperts waarschuwen in dezelfde lijn dat de geplande Europese app voor leeftijdsverificatie niet werkelijk anoniem is.

Tot slot bevestigden de cijfers van de toezichthouder de druk op gegevensbescherming. De Autoriteit Persoonsgegevens registreerde in 2025 ruim dertienduizendvijfhonderd klachten en tips, een stijging van vijfenzeventig procent ten opzichte van het jaar ervoor, waarbij de zorgsector het meest werd bekritiseerd door het datalek bij Clinical Diagnostics. De toezichthouder wil organisaties die niet op inzageverzoeken reageren voortaan direct beboeten. En in de Verenigde Staten kondigde CISA aan haar aanpak van kwetsbaarheden te herzien, weg van de regel om elke patch zo snel mogelijk toe te passen en naar een aanpak die per kwetsbaarheid het werkelijke risico weegt.

*Bronnen: Horeca Vlaanderen en VRT NWS, Rijksoverheid en RTL Nieuws, Gemeente Eindhoven en NOS Nieuwsuur, ServiceNow en BleepingComputer, Check Point, NCSC en CISA, Cisco, Google, Arista, Horizon3.ai, Microsoft, Proofpoint, Socket, Depthfirst, de Universiteit van Toronto en Sysdig, Varonis, Anthropic, de FBI en Europol, de Belgische politiezone Limburg Regio Hoofdstad en VRT NWS, F6, het Russische Ministerie van Digitale Ontwikkeling, de Britse overheid en Signal, Mullvad en de Radboud Universiteit, en de Autoriteit Persoonsgegevens. Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Check Point VPN actief misbruikt: CVE-2026-50751 laat aanvallers zonder wachtwoord binnen, in minstens één geval gevolgd door Qilin ransomware, met een patchdeadline van CISA op 11 juni.

- Phishing met kloppende hotelboekingen: bijna honderd Vlaamse hotels werden getroffen door betaalverzoeken met de juiste naam, boekingsnummer en verblijfsdata, vermoedelijk uit een eerder lek.

- First VPN offline gehaald: Nederlandse en Franse politie ontmantelden binnen Operation Riptide 33 servers van een VPN dienst die door vijfentwintig ransomwaregroepen werd gebruikt.

- Recordronde patches bij Microsoft: de Patch Tuesday van juni dichtte tweehonderd kwetsbaarheden, waaronder drieëndertig kritieke en drie publiek bekende zerodays.

- Aanvallers viseren ontwikkelaars: de Noord-Koreaanse groep UNK_DeadDrop en een nieuwe golf van de Miasma campagne richten zich op programmeurs en de toeleveringsketen van software.

- AI als wapen en als doelwit: een autonome agent vond eenentwintig kwetsbaarheden in FFmpeg en onderzoekers toonden een zelfreplicerende worm aangedreven door een lokaal taalmodel.

Lees ook

► Cyber Journaal S02E68, Microsoft 365 gekaapt via de telefoon en een datalek bij gemeente Epe - de vorige aflevering

► Cyber Journaal, datalek in de hotelsector en Windows Netlogon actief misbruikt - achtergrond bij de phishing op hotelgasten

► Odido hack treft miljoenen, AI als wapen en supply chain - over de toeleveringsketen als aanvalsoppervlak

► De cyberstrategie van Noord-Korea, van cryptodiefstal tot spionage - over de groep achter UNK_DeadDrop

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam