Financiën gehackt via zeroday, politie rolt SocGholish op

In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 18 en vrijdag 19 juni. Het Ministerie van Financiën maakte bekend dat het in maart via een onbekend lek werd gehackt, de Nederlandse politie haalde samen met internationale partners het beruchte SocGholish netwerk offline, en de inloggegevens van bijna 74.000 Fortinet firewalls bleken op straat te liggen. Daarnaast bracht F5 twee kritieke noodpatches uit voor de webserver NGINX, liep kunstmatige intelligentie als wapen, zwakke plek en geopolitiek drukmiddel door het hele dreigingsbeeld, en kreeg een fraudeur met deepfakes een stevige celstraf. We lopen het thema voor thema langs.

Inbraken en datalekken in Nederland en België

De grootste binnenlandse zaak kwam van de Rijksoverheid zelf. Het Ministerie van Financiën liet weten dat aanvallers in maart binnendrongen via een zerodaylek in de software die de toegang tot de werkplekomgeving regelt. Het Security Operations Center ontdekte de inbraak op 19 maart, en de leverancier bracht al zijn klanten op 27 maart op de hoogte. Minister Heinen meldde de Tweede Kamer dat er waarschijnlijk gegevens van medewerkers zijn buitgemaakt. Vanwege de geavanceerde aard van de aanval wordt het onwaarschijnlijk geacht dat de exacte buit of de identiteit van de aanvaller nog te achterhalen is. Het laat zien dat ook een goed beveiligde organisatie kwetsbaar is wanneer een leverancier in de keten een onbekend lek bevat.

Een andere Nederlandse kwestie draaide niet om een inbraak, maar om zeggenschap. Solvinity, de beheerder van DigiD en MijnOverheid, ging in beroep tegen het kabinetsverbod op overname door het Amerikaanse Kyndryl. Het kabinet weigerde vervolgens het onderliggende advies van het Bureau Toetsing Investeringen openbaar te maken en deed geen uitspraken over de risico's die aan het verbod ten grondslag lagen. Omdat naast DigiD en MijnOverheid ook het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid op de servers van Solvinity draait, is dit een directe kwestie van digitale soevereiniteit rond kritieke infrastructuur.

Internationaal trok een afpersingszaak de aandacht die ook de Benelux raakt. De Deense farmareus Novo Nordisk, bekend van de middelen Ozempic en Wegovy, bevestigde op 11 juni ongeoorloofde toegang tot een beperkt aantal interne systemen. De groep FulcrumSec claimt ruim een terabyte buit, waaronder broncode en gegevens uit klinische studies, en zegt een losgeldeis van 25 miljoen dollar te hebben gesteld die werd geweigerd. De groep voert de eerste toegang terug op een token van GitHub dat in maart werd gevonden. Die omvang is niet onafhankelijk bevestigd, maar omdat beide medicijnen ook in Nederland en België veel worden voorgeschreven, is de zaak hier relevant.

Tot slot een incident dat draaide om een vertrouwde koppeling. Bij het marktintelligentieplatform Klue wisten aanvallers van de groep Icarus via gestolen OAuth tokens bijna 24 uur lang de Salesforce omgevingen van klanten leeg te halen. Bij één organisatie werden in een kwartier bijna duizend zoekopdrachten verstuurd. Ook beveiligingsbedrijf Huntress bevestigde zelf slachtoffer te zijn, en Salesforce schakelde de koppeling met Klue uit. Het toont hoe een koppeling tussen twee vertrouwde platforms een open deur kan worden zodra de tokens in verkeerde handen vallen.

FortiBleed en de ransomware die meekijkt

De meest in het oog springende technische dreiging was FortiBleed. Cybercriminelen boden de inloggegevens aan van 73.932 Fortinet firewalls, verzameld over 21.632 domeinen en 194 landen. Volgens het beveiligingsbedrijf Hudson Rock onderscheppen de aanvallers de authenticatiehashes van de SSL VPN en kraken die met een cluster van 45 grafische kaarten, om vervolgens door te dringen tot de interne Active Directory omgeving. Onderzoeker Kevin Beaumont bevestigde dat een deel van de aangeboden gegevens echt is. De Amerikaanse cyberwaakhond CISA waarschuwde Fortinet klanten dringend om alle sessies te beëindigen, wachtwoorden te roteren en phishingbestendige meervoudige authenticatie in te schakelen.

Een belangrijk detail zit in de manier waarop Fortinet wachtwoorden bewaart. Sinds ongeveer een jaar gebruikt het bedrijf het sterkere algoritme PBKDF2, maar dat wordt pas toegepast nadat een beheerder na een update opnieuw heeft ingelogd. Firewalls die dat nooit deden, gebruiken mogelijk nog het zwakkere SHA-256 met salt en zijn daardoor extra kwetsbaar. Een Russisch sprekende groep voerde naar verluidt 1,16 miljard inlogpogingen uit tegen meer dan 320.000 doelwitten. Onder de getroffen organisaties noemt Hudson Rock grote namen als Samsung, Siemens en Accenture, en het bedrijf benadrukt dat ook Nederlandse entiteiten zijn gecompromitteerd.

Dat zo'n verzameling firewallgegevens geen losstaand probleem is, bleek uit onderzoek van ESET naar de ransomwaregroep The Gentlemen. Deze groep kiest haar doelwitten juist op basis van hun FortiGate configuratie, en ontwikkelt daarnaast een eigen reeks tools, met als kern GentleKiller, om beveiligingssoftware uit te schakelen. Die tool doet zich voor als legitieme producten en richt zich op meer dan 400 processen van ongeveer 48 beveiligingsleveranciers. De combinatie van blootgestelde firewalls en een groep die daar gericht op jaagt, maakt snelle wachtwoordrotatie urgent.

De bredere ransomwaremarkt liet zien hoe winstgevend dit blijft. Onderzoekers van Acronis brachten de groei van INC in kaart, die sinds augustus 2023 meer dan 830 slachtoffers claimde en daarmee in het eerste kwartaal van 2026 de vierde plaats innam, na Qilin, Akira en The Gentlemen. De groep profiteerde van het wegvallen van LockBit en BlackCat, herschreef haar malware in de taal Rust en dringt binnen via ongepatchte randapparatuur. Het patroon is duidelijk, want gestolen toegang en ongepatchte systemen vormen de motor achter de meeste ransomware aanvallen.

Kwetsbaarheden die directe actie vragen

De webserver NGINX, die een groot deel van het internet bedient, kreeg twee kritieke noodpatches. De eerste, met kenmerk CVE-2026-42530, zit in de module voor het protocol HTTP/3 en is een kwetsbaarheid waarbij vrijgegeven geheugen opnieuw wordt gebruikt. De tweede, CVE-2026-42055, is een overloop in het geheugen bij het doorsturen van verkeer via HTTP/2. Beide hebben een ernstscore van 9.2 en laten een aanvaller zonder inloggegevens op afstand code uitvoeren. F5 bracht de updates buiten de vaste cyclus uit en adviseert te updaten naar NGINX Open Source 1.30.3 of 1.31.2. Misbruik in het wild is nog niet waargenomen, maar gezien de verspreiding van NGINX is snel patchen verstandig.

Twee andere lekken worden al wel actief misbruikt. CISA voegde een kwetsbaarheid in Splunk Enterprise, met kenmerk CVE-2026-20253, toe aan de lijst van actief misbruikte kwetsbaarheden. Het lek laat een ontbrekende authenticatie op een cruciale functie zien, juist in het systeem dat organisaties gebruiken om aanvallen te detecteren. Daarnaast meldde Wordfence dat aanvallers sinds 5 mei massaal jagen op een lek in de WordPress plugin Gravity SMTP, die op ongeveer 100.000 sites draait. Het bedrijf registreerde meer dan zeventien miljoen aanvalspogingen, terwijl er al sinds 17 maart een update beschikbaar is.

Ook zonder bevestigd misbruik vroegen enkele lekken om aandacht. Microsoft waarschuwde voor RoguePlanet, een kwetsbaarheid in de Malware Protection Engine van Windows Defender met kenmerk CVE-2026-50656, waarvoor openbare exploitcode bestaat maar nog geen patch. Het lek geeft een lokale aanvaller de hoogste rechten op een systeem, en Microsoft beoordeelt misbruik als waarschijnlijk. Cisco dichtte kritieke lekken in zijn Identity Services Engine die uitvoering van code op afstand zonder authenticatie toelieten, en Oracle waarschuwde samen met het Nationaal Cyber Security Centrum voor ernstige lekken in PeopleSoft. Wie deze systemen beheert, doet er goed aan de updates zonder uitstel te installeren. Google bracht intussen patches uit voor 33 lekken in Chrome en 41 in de Pixel telefoons.

Kunstmatige intelligentie als wapen, zwakke plek en pasmunt

Aan de aanvalskant draaide veel om diefstal van cryptovaluta. Microsoft beschreef een worm die zich sinds februari via USB sticks verspreidt en het klembord elke halve seconde controleert. Wanneer een gebruiker een walletadres kopieert, vervangt de malware dit ongemerkt door het adres van de aanvaller, en daarnaast steelt de malware seed phrases en privé sleutels en stuurt schermafbeeldingen via het Tor netwerk naar buiten. In dezelfde sfeer beschreef Check Point een campagne die online reputatiesystemen misbruikt, met opgeblazen downloadcijfers, valse vijfsterrenrecensies en zelfs een persbericht via een verspreidingsdienst, om een klembordkaper geloofwaardig te laten lijken.

De codeerassistent zelf bleek ook een doelwit. Onderzoekers van Tenet Threat Labs toonden een techniek genaamd Agentjacking, waarbij een aanvaller via een blootgestelde projectsleutel van het monitoringplatform Sentry een vals foutrapport indient met verborgen instructies. Een codeerassistent met AI die het rapport onderzoekt, kan die instructies als opdracht behandelen en uitvoeren. De techniek werkte met populaire tools, en de onderzoekers vonden 2.388 organisaties met een blootgestelde sleutel. Een verwant onderzoek beschreef AutoJack, een keten in de prototypingomgeving AutoGen Studio van Microsoft waarmee onbetrouwbare webinhoud lokaal commando's kon starten. Beide laten zien dat de uitvoer van een tool niet zomaar als betrouwbare instructie behandeld mag worden.

Tegelijk bleek AI een bestuurlijke zwakke plek. Onderzoekers waarschuwden voor onbeheerde AI tools die actief blijven nadat een medewerker is vertrokken, met ongecontroleerde toegang tot databases en broncode, en voor het ongedocumenteerde gebruik van tools die niet zijn goedgekeurd. Het Britse Nationaal Cyber Security Centre adviseerde organisaties om snel met prompts gegenereerde code, ook wel vibe coding genoemd, niet te gebruiken voor inloglogica of de verwerking van gevoelige klantgegevens. Onderzoek van Heimdal liet bovendien zien dat leidinggevenden de beheersing van de risico's rond AI fors overschatten ten opzichte van de teams die er dagelijks mee werken.

Op het beleidsvlak werd AI een geopolitiek drukmiddel. De Amerikaanse overheid verbood het bedrijf Anthropic om zijn geavanceerde programma Fable buiten de Verenigde Staten beschikbaar te stellen, uit vrees dat landen als Rusland en China de mogelijkheden voor het opsporen van kwetsbaarheden zouden misbruiken. Anthropic maakte het programma daarop voor iedereen ontoegankelijk. In de Tweede Kamer stelden Kamerleden van D66 hierover drieëntwintig vragen aan de minister van Economische Zaken, met zorgen over de Nederlandse afhankelijkheid van Amerikaanse aanbieders. En in Frankrijk beëindigde de binnenlandse inlichtingendienst de samenwerking met het Amerikaanse Palantir ten gunste van een nationale partner. Digitale soevereiniteit, ditmaal rond kunstmatige intelligentie, kwam zo opnieuw centraal te staan.

Opsporing en internationale actie

De grootste opsporingsklap kwam van een internationale operatie tegen het SocGholish netwerk. De Nederlandse politie haalde samen met Canadese, Duitse en Amerikaanse autoriteiten, Europol en Eurojust meer dan honderd servers en domeinen offline en schoonde ongeveer 15.000 gehackte WordPress sites op, in Nederland met inzet van de hackbevoegdheid. Het SocGholish netwerk bestaat al sinds 2017 en misleidt bezoekers van gehackte WordPress sites met een valse melding dat hun browser moet worden geüpdatet, waarna malware wordt geïnstalleerd. Tijdens het onderzoek bleek dat de inloggegevens van 1,4 miljoen WordPress sites waren gelekt. De autoriteiten deelden 154.000 e-mailadressen en meer dan een half miljoen wachtwoorden met de zoekmachine Have I Been Pwned, en het Dutch Institute for Vulnerability Disclosure informeert Nederlandse slachtoffers.

Een tweede Nederlandse zaak liet zien hoe lokale infrastructuur in een internationaal conflict wordt getrokken. De Fiscale Inlichtingen en Opsporingsdienst ontmantelde een bedrijf uit Enschede, WorkTitans, dat volgens justitie diende als dekmantel voor cyberoperaties ten gunste van Rusland. De eigenaar werd in mei aangehouden op verdenking van het overtreden van de Europese sanctiewetgeving, en de dienst nam ruim 800 computers in beslag. Volgens de FIOD werd de infrastructuur gebruikt voor cyberaanvallen, beïnvloeding en desinformatie binnen de Europese Unie, waaronder sabotage rond de gemeenteraadsverkiezingen in Denemarken. Het bedrijf is deze week failliet verklaard, maar het strafrechtelijk onderzoek loopt door.

Ook de rechter sprak zich uit. Een 34-jarige man uit Amsterdam kreeg 2,5 jaar cel, waarvan zes maanden voorwaardelijk, voor het oplichten van ABN Amro met deepfakes. Hij opende tussen maart en november 2025 in totaal 47 bankrekeningen door tijdens het onlineproces voor identiteitscontrole gemanipuleerde foto's en selfies aan te bieden. Op zijn telefoon werd een methode gevonden om het verificatieplatform Jumio te omzeilen, en de man had ChatGPT vragen gesteld over het omzeilen van bankcontroles. De rekeningen werden gebruikt voor bankhelpdeskfraude, en de rechter liet meewegen dat de man eerder was veroordeeld. Het is een zeldzaam concreet vonnis over identiteitsfraude met deepfakes.

Tot slot een bredere waarschuwing uit het Verenigd Koninkrijk. Richard Horne, de topman van het Britse Nationaal Cyber Security Centre, stelde dat statelijke actoren verantwoordelijk zijn voor driekwart van de meer dan 200 incidenten op de Britse kritieke infrastructuur in het afgelopen jaar, met Rusland, China en Iran als belangrijkste verdachten. Hij noemde de aan China gelinkte campagne Volt Typhoon als voorbeeld van aanvallers die zich vooraf in netwerken nestelen, en pleitte ervoor cyberbeveiliging niet langer als een te beheren risico te zien, maar als een voortdurende strijd.

*Bronnen: Ministerie van Financiën en Tweede Kamer (zerodaylek Financiën), NRC en NOS (Solvinity), Novo Nordisk en SecurityWeek (FulcrumSec), ReliaQuest en Huntress (Klue en Icarus), Hudson Rock en Kevin Beaumont (FortiBleed), CISA (waarschuwing Fortinet en Splunk CVE-2026-20253), ESET (The Gentlemen en GentleKiller), Acronis en ZeroFox (INC ransomware), F5 en The Hacker News (NGINX CVE-2026-42530 en CVE-2026-42055), Wordfence (Gravity SMTP), Microsoft (RoguePlanet CVE-2026-50656, USB clipper en MDASH), Cisco en het Nationaal Cyber Security Centrum (Cisco ISE en Oracle PeopleSoft), Check Point Research (nepreputatie clipper), Tenet Threat Labs (Agentjacking), Aikido en Microsoft (AutoJack), het Britse NCSC (vibe coding), Heimdal (beheersing van risico's rond AI), Anthropic en Bloomberg (Fable), Tweede Kamer (Kamervragen D66), BNR (Frankrijk en Palantir), de Nederlandse Politie, Europol en Have I Been Pwned (SocGholish en Operation Endgame), de FIOD en RTV Oost (WorkTitans), de Rechtbank Amsterdam (deepfakefraude ABN Amro), het Britse NCSC en RUSI (statelijke actoren). Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Ministerie van Financiën via zerodaylek gehackt: aanvallers drongen in maart binnen via de toegangssoftware, gegevens van medewerkers zijn waarschijnlijk gestolen, de dader blijft onbekend.

- Politie rolt SocGholish op: een internationale operatie haalde ruim honderd servers offline, schoonde 15.000 WordPress sites op en deelde een half miljoen wachtwoorden met Have I Been Pwned.

- Bijna 74.000 Fortinet firewalls op straat: gekraakte VPN wachtwoorden liggen open, en de ransomwaregroep The Gentlemen jaagt gericht op FortiGate configuraties.

- Twee kritieke NGINX lekken plus actief misbruikte Splunk kwetsbaarheid: F5 patcht NGINX (score 9.2), CISA voegt Splunk toe aan de lijst van actief misbruikte lekken.

- AI als wapen, zwakke plek en drukmiddel: een USB worm steelt cryptovaluta, valse foutrapporten kapen codeerassistenten, en de VS blokkeert het programma Fable van Anthropic.

- Celstraf voor deepfakefraude: een Amsterdammer kreeg 2,5 jaar cel voor het openen van 47 ABN Amro rekeningen met gemanipuleerde foto's.

Lees ook

► Cyber Journaal S02E72, The Gentlemen treft NL en BE en de banktrojan Rokarolla belaagt 217 apps - de vorige aflevering, met de eerste claims van The Gentlemen en de uitspraak tegen Knab

► Cyber Journaal S02E71, Velvet Ant tien jaar in de inlogsoftware en het Belgische Consultic gehackt - over lekken in toegangs- en inlogsoftware, het thema achter de inbraak bij Financiën

► Cyber Journaal S02E70, phishing vanaf de eigen systemen van Kredietbank en Ivanti Sentry actief misbruikt - met eerdere actief misbruikte kwetsbaarheden in toegangsoplossingen

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam