The Gentlemen treft NL en BE, banktrojan belaagt 217 apps

In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 16 tot en met woensdag 17 juni. De ransomwaregroep The Gentlemen claimde in twee dagen een Nederlands en een Belgisch bedrijf, het Amsterdamse modemerk Patta dook op de afpersingssite van LockBit op, en de financiële geschillencommissie Kifid legde de bewijslast bij bankhelpdeskfraude nadrukkelijk bij de bank. Verder werden twee kwetsbaarheden in veelgebruikte webhosting actief misbruikt, liep kunstmatige intelligentie als rode draad door het dreigingsbeeld, en verstopten spionnen en ransomwaregroepen hun verkeer in vertrouwde infrastructuur. We lopen het thema voor thema langs.

Ransomware en datalekken in Nederland en België

De twee dagen openden met een ransomwaregroep die de Benelux van twee kanten raakte. Het Nederlandse technologiebedrijf SigmaControl werd via darkweb monitoring als slachtoffer van de groep The Gentlemen in beeld gebracht, met 15 juni als ontdekkingsdatum. Een dag later verscheen het Belgische familiebedrijf Calipage Humblet uit Herstal, een papierhandel die sinds 1910 in familiehanden is, als vermeend slachtoffer op de afpersingssite van diezelfde groep. Beide claims zijn nog niet door de bedrijven bevestigd en moeten daarom als vermeend worden behandeld.

The Gentlemen, door Microsoft gevolgd onder de naam Storm-2697, is geen onbekende. De groep biedt sinds september 2025 ransomware als dienst aan en groeide in 2026 uit tot de tweede actiefste aanbieder ter wereld, met honderden geclaimde slachtoffers. Wat de groep gevaarlijk maakt, is een versie van de malware die zich met een speciaal commando als een worm door een netwerk kan verspreiden, waarbij hij probeert elk bereikbaar systeem te versleutelen. Daarbovenop hanteert de groep dubbele afpersing en zet zij naast versleuteling ook mail en telefonische druk in om het losgeld af te dwingen.

Niet elk Nederlands incident kwam van een ransomwaregroep. Het modemerk Patta uit Amsterdam, opgericht in 2004 en uitgegroeid tot een internationaal merk met vestigingen in onder meer Amsterdam, Milaan en Londen, werd vermeld op de afpersingssite van LockBit 5.0. Ook hier geldt dat het bedrijf de aanval zelf nog niet heeft bevestigd. En bij de bank Knab draaide het niet om een inbraak, maar om aansprakelijkheid. De geschillencommissie Kifid oordeelde dat Knab een klant die via bankhelpdeskfraude voor ruim 95.000 euro werd opgelicht, het volledige bedrag van 95.450 euro inclusief wettelijke rente moet vergoeden. De bank kon niet aantonen dat de vijf frauduleuze betaalopdrachten correct waren geauthenticeerd, en evenmin welke versie van haar voorwaarden van toepassing was. Het is een belangrijke uitspraak, omdat de bewijslast hiermee nadrukkelijk bij de bank komt te liggen.

Tot slot een onderschat Nederlands risico. De domeinbeheerder SIDN waarschuwde dat opgeheven domeinnamen een concreet gevaar vormen. Een onderzoeker ontdekte in gelekte data van Odido dat veel mensen nog het e-mailadres van hun bewindvoerder gebruikten. Omdat veel bewindvoerders zijn gefuseerd of overgenomen en hun oude domeinnamen lieten verlopen, kon de onderzoeker die domeinen opnieuw registreren en zo toegang krijgen tot 258 financiële dossiers. Volgens SIDN is de technische drempel laag en wordt het uitfaseren van domeinnamen zelden als een securitytaak gezien.

Kwetsbaarheden in webhosting onder actief vuur

Twee lekken in software die op grote schaal websites en hostingservers draait, werden in deze dagen niet alleen gepatcht, maar ook actief misbruikt. Het eerste zit in de Joomla Content Editor, een populaire uitbreiding voor het beheersysteem Joomla. De kwetsbaarheid, met kenmerk CVE-2026-48907 en de maximale ernstscore van 10.0, laat een aanvaller zonder inloggegevens via de import van editorprofielen eigen PHP-code op de server uitvoeren. De Amerikaanse cyberwaakhond CISA plaatste het lek op 16 juni op de lijst van actief misbruikte kwetsbaarheden en stelde voor overheidsdiensten een uiterste hersteldatum van 19 juni. Beheerders wordt aangeraden direct naar versie 2.9.99.5 of hoger te updaten.

Het tweede lek raakt gedeelde hosting. In de LiteSpeed cPanel plug-in maakt CVE-2026-54420 het mogelijk dat een gebruiker met toegang via FTP of een webshell via misbruik van symbolische koppelingen uit zijn afgeschermde omgeving breekt en volledige toegang als root krijgt tot de server. Op gedeelde hosting raakt zo'n serverovername niet één klant, maar iedereen op dezelfde machine. Het misbruik loopt naar verluidt al sinds eind mei. cPanel waarschuwde eind mei al voor een verwante kwetsbaarheid, CVE-2026-48172, en bracht een update uit die de plug-in automatisch verwijdert. Veel midden- en kleinbedrijven in Nederland en België draaien op cPanel, wat dit lek bijzonder relevant maakt.

In dezelfde dagen verschenen nog meer kwetsbaarheden die directe actie vragen. In de software SimpleHelp voor beheer op afstand kon een ongeauthenticeerde aanvaller via een fout in de OpenID Connect afhandeling zichzelf een bevoorrecht beheerdersaccount aanmaken, verholpen in versie 5.5.16. In de AI gateway LiteLLM ontdekte Obsidian Security een keten van drie kwetsbaarheden met een gezamenlijke score van 9.9, waarmee een gebruiker met lage rechten de hele server kon overnemen. En het Centrum voor Cybersecurity België waarschuwde voor meerdere als hoog beoordeelde lekken in de ontwikkelsoftware GitLab, met patch 19.0.2 als oplossing. Wie deze platforms beheert, doet er goed aan de updates zonder uitstel te installeren.

Kunstmatige intelligentie als wapen en zwakke plek

Net als de afgelopen weken loopt kunstmatige intelligentie langs meerdere lijnen door het nieuws. Aan de aanvalskant verscheen Rokarolla, een banktrojan voor Android die zich op 217 verschillende bank- en cryptotoepassingen richt en over 137 commando's beschikt. Het beveiligingsbedrijf Zimperium beschreef hoe de malware valse inlogschermen over echte apps plaatst, SMS-codes en pincodes onderschept, en zelfs cryptoadressen op het klembord verwisselt tijdens een overboeking. Om onopgemerkt te blijven dempt de trojan waarschuwingsgesprekken van de bank en schakelt hij de ingebouwde beveiliging van Android uit. Doordat de aanvaller zo de berichten en gesprekken van een telefoon beheerst, wordt zelfs tweefactorauthenticatie via SMS nutteloos.

Voor zakelijke gebruikers verschoof het doelwit van het netwerk naar de werkplek van de ontwikkelaar. Volgens het beveiligingsbedrijf GitGuardian staan er gemiddeld 150 wachtwoorden en sleutels op de laptop van een ontwikkelaar, waarvan 40 procent in mappen of logbestanden van hulpmiddelen met AI. Een zelfreplicerende worm met de naam Mini Shai-Hulud compromitteerde al meer dan 300 softwarepakketten in de open bronbibliotheken npm en PyPI. In dezelfde lijn beschreef het bedrijf CyberProof hoe de Amos Stealer gericht de sleutelbos van macOS en de configuratiebestanden van ontwikkelaars kopieert en stil via een ingebouwde systeemtool wegsluist. De les is dat een ontwikkelaarslaptop tegenwoordig een sleutelbos is die net zo goed beschermd moet worden als een productiesysteem.

De AI assistent zelf bleek ook een aanvalsoppervlak. Onderzoekers van Varonis beschreven SearchLeak, een kritieke kwetsbaarheid in Microsoft 365 Copilot Enterprise Search met kenmerk CVE-2026-42824. Eén klik op een geprepareerde zoeklink was genoeg om Copilot mails, bestanden uit SharePoint en OneDrive, agenda-items en zelfs tweefactorcodes te laten weglekken, doordat de assistent de link als een instructie behandelde. Omdat de aanval een legitieme functie misbruikt en geen malware vereist, omzeilt hij traditionele detectie. Microsoft heeft het lek op de server gedicht, klanten hoeven niets te doen. Tegelijk waarschuwde de Europese privacytoezichthouder EDPS voor de keerzijde van diezelfde technologie, namelijk shadow AI, het ongecontroleerde gebruik van niet-goedgekeurde tools met AI waardoor gevoelige gegevens onzichtbaar weglekken. Dat de snelheid van aanvallen meegroeit, bevestigde Unit 42, dat de tijd van eerste toegang tot gestolen data in de snelste gevallen tot 72 minuten zag dalen, vier keer sneller dan een jaar eerder, mede door inzet van AI.

Spionage en verstopte kanalen

Een terugkerend thema deze dagen was dat aanvallers hun sporen verbergen in vertrouwde infrastructuur. De Google Threat Intelligence Group beschreef hoe de aan China gelinkte groep UNC6508 meer dan een jaar onopgemerkt opereerde in Noord-Amerikaanse medische, academische en militaire onderzoeksnetwerken. Via gecompromitteerde servers van het onderzoeksplatform REDCap en de op maat gemaakte malware INFINITERED bemachtigde de groep inloggegevens, om vervolgens een opvallend nieuwe truc te gebruiken. Met een legitieme functie van Google Workspace, de zogeheten content compliance rules, lieten de aanvallers e-mails die op bijna 150 trefwoorden matchten stilzwijgend doorsturen naar een eigen adres. Er was geen malware op de mailserver nodig, enkel misbruik van een ingebouwde functie.

Diezelfde verstopkunst zag je bij twee andere groepen. ESET ontdekte dat de aan China gelinkte groep Earth Lusca, ook bekend als FishMonger, een versie voor Windows van de SprySOCKS malware inzet tegen overheidsorganisaties, met functies op kernelniveau die processen, verbindingen en bestanden onzichtbaar maken. En Symantec beschreef hoe de ransomwaregroep DragonForce de relays van Microsoft Teams misbruikte om zijn aansturingsverkeer te verbergen. De op maat gemaakte malware, Backdoor.Turn genoemd, vraagt een anoniem bezoekerstoken voor Teams aan en leidt het verkeer via een legitieme Microsoft relay, waardoor het voor verdedigers oogt als gewoon verkeer van Teams. Volgens Symantec is dit de eerste keer dat deze techniek in het wild is waargenomen. DragonForce wordt in verband gebracht met de groep Scattered Spider en staat bekend om haar kartelachtige structuur.

Dat zulke verhulling werkt, blijkt uit cijfers. Uit onderzoek van Spur Intelligence onder ruim 200 beveiligingsprofessionals kwam naar voren dat geanonimiseerde infrastructuur, zoals VPN's en residentiële proxynetwerken, inmiddels in bijna 94 procent van alle incidenten voorkomt. Voor verdedigers betekent dit dat een IP-adres steeds minder zegt over de werkelijke afzender, en dat context, gedrag en historie zwaarder gaan wegen dan een simpele blokkeerlijst.

Opsporing, fraude en digitale soevereiniteit

Aan de kant van fraude en opsporing waren de getallen fors. De Amerikaanse toezichthouder FTC meldde dat burgers in 2025 een recordbedrag van 3,5 miljard dollar verloren aan oplichters die zich voordeden als banken of de overheid, bijna een verdrievoudiging sinds 2020. Sociale media waren met meer dan 2,1 miljard dollar de meest kosteneffectieve aanvalsvector. In dezelfde sfeer waarschuwde de FBI voor een nieuwe wending bij beleggingsfraude, waarbij oplichters fysieke koeriers naar slachtoffers sturen om contant geld op te halen, vaak nadat een bank een verdachte overboeking blokkeerde. De koerier identificeert zich met een vooraf afgesproken wachtwoord of het serienummer van een dollarbiljet. Het advies blijft simpel, overhandig nooit contant geld aan een onbekende, ook niet na een telefonische dreiging.

Op het beleidsvlak stond Nederlandse soevereiniteit centraal. De Rijksoverheid bereidt een verplichte domeinnaamextensie .gov.nl voor alle overheidswebsites voor, om phishing en misleiding tegen te gaan en de herkenbaarheid van officiële communicatie te vergroten. Staatssecretaris Van der Burg meldde de Tweede Kamer dat dit, gecombineerd met het opschonen van het webportfolio, naar schatting 23 miljoen euro per jaar bespaart. In dezelfde geest onderzoekt de gemeente Groningen samen met de Vereniging van Nederlandse Gemeenten een overstap van Windows naar Linux, om de afhankelijkheid van niet-Europese leveranciers te verkleinen. De wethouder noemde het een traject van jaren, maar de ambitie is duidelijk.

Tot slot een opvallende stap in het Verenigd Koninkrijk. De Britse regering verbiedt sociale media voor personen onder de zestien jaar en wil dat platforms voor nieuwe accounts een identiteitsbewijs of gezichtsscan eisen. Privacy- en beveiligingsexperts waarschuwen dat zo'n verplichting de identiteits- en biometrische gegevens van gebruikers juist blootstelt aan het risico van datalekken, en dat de controles eenvoudig te omzeilen zijn. Het illustreert het spanningsveld tussen het beschermen van jongeren en het opbouwen van een infrastructuur die diezelfde gegevens tot een nieuw doelwit maakt.

*Bronnen: Cybercrimeinfo darkweb monitoring (SigmaControl, Calipage Humblet, Patta, vermeend), Microsoft Security Blog (The Gentlemen / Storm-2697), Kifid (Knab-uitspraak), SIDN (opgeheven domeinnamen), CISA (Joomla Content Editor CVE-2026-48907, LiteSpeed cPanel CVE-2026-54420), Horizon3.ai (SimpleHelp CVE-2026-48558), Obsidian Security (LiteLLM), het Centrum voor Cybersecurity België (GitLab), Zimperium (Rokarolla), GitGuardian (diefstal van credentials op werkstations), CyberProof (Amos Stealer), Varonis (SearchLeak CVE-2026-42824), EDPS (shadow AI), Unit 42 (2026 Global Incident Response Report), Google Threat Intelligence Group (UNC6508), ESET (Earth Lusca / SprySOCKS), Symantec (DragonForce / Backdoor.Turn), Spur Intelligence (geanonimiseerde infrastructuur), de FTC en de FBI (fraude en koeriers), het Ministerie van Binnenlandse Zaken (.gov.nl), de gemeente Groningen (Windows naar Linux), de Britse regering (leeftijdsverificatie). Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- The Gentlemen treft NL en BE: de groep, door Microsoft gevolgd als Storm-2697, claimde het Nederlandse SigmaControl en het Belgische Calipage Humblet, beide vermeend.

- Patta op de afpersingssite van LockBit: het Amsterdamse modemerk staat als vermeend slachtoffer vermeld, door het bedrijf nog niet bevestigd.

- Knab moet 95.000 euro vergoeden: Kifid legt de bewijslast bij bankhelpdeskfraude nadrukkelijk bij de bank.

- Twee webhostinglekken actief misbruikt: de Joomla Content Editor (score 10.0) en de LiteSpeed cPanel plug-in (root op gedeelde hosting) staan op de lijst van actief misbruikte kwetsbaarheden.

- Rokarolla neemt telefoons over: de banktrojan belaagt 217 apps, onderschept codes en verwisselt cryptoadressen op het klembord.

- Aanvallers verstoppen zich in vertrouwde infrastructuur: UNC6508 via Google Workspace, Earth Lusca op kernelniveau en DragonForce in de relays van Microsoft Teams.

Lees ook

► Cyber Journaal S02E71, Velvet Ant tien jaar in de inlogsoftware en het Belgische Consultic gehackt - de vorige aflevering, met de tien jaar oude lekken en de AI blokkade rond Anthropic

► Cyber Journaal S02E70, phishing vanaf de eigen systemen van Kredietbank en Ivanti Sentry actief misbruikt - met de eerdere PeopleSoft campagne van ShinyHunters

► Odido hack treft miljoenen, AI als wapen en supply chain - over het Odido datalek waaruit de gegevens van de bewindvoerders afkomstig waren

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam