Belgische Staatsveiligheid gehackt, SRA op leaksite

In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 20 tot en met maandag 22 juni. De Belgische inlichtingendienst bleek via een lek bij een toeleverancier te zijn getroffen, de Nederlandse accountantskoepel SRA verscheen op de leaksite van LockBit 5, en Fortinet gaf nu ook zelf een dringende waarschuwing uit over de FortiBleed campagne. Daarnaast legde ESET de werkwijze van de ransomwaregroep Gentlemen bloot, doken nieuwe kwetsbaarheden op die directe actie vragen, en speelden oplichters in op de zomervakantie, de belastingaangifte en de Wereldbeker. We lopen het thema voor thema langs.

Inbraken en datalekken in Nederland en België

De opvallendste zaak speelde in België. De Staatsveiligheid, de civiele inlichtingendienst, bleek slachtoffer van een cyberaanval die zich afspeelde tussen mei 2025 en het voorjaar van 2026. Het lek zat niet bij de dienst zelf, maar bij toeleverancier Ivanti, een Amerikaans bedrijf dat meewerkt aan de beveiliging van de communicatie. Via een softwarelek kregen aanvallers toegang tot persoonsgegevens, telefoonnummers en e-mailadressen van medewerkers, waardoor mogelijk namen en telefoonnummers van agenten zijn buitgemaakt. Het interne netwerk met de meest gevoelige informatie bleef voor zover bekend buiten bereik. Het incident laat zien dat zelfs een inlichtingendienst afhankelijk is van de veiligheid van zijn toeleveranciers.

In Nederland verscheen de branchevereniging SRA, die accountants- en advieskantoren ondersteunt, op 20 juni op de leaksite van de ransomwaregroep LockBit 5. Het onderliggende incident kwam eerder dit voorjaar aan het licht en betrof mogelijke toegang tot inactieve bestandsservers die al in januari 2026 offline waren gehaald. Het gaat om historische data uit de periode 2023 tot en met 2025. SRA stelde destijds dat de dagelijkse dienstverlening niet werd geraakt en schakelde forensische en juridische experts in. De claim van de afperser is nog niet onafhankelijk bevestigd, maar de aard van de organisatie maakt de mogelijke buit gevoelig, omdat het een brede keten van aangesloten kantoren raakt.

Twee andere zaken bleven in het stadium van een advertentie op een crimineel forum. In België bood een actor met de schuilnaam misere een dataset aan van naar verluidt 15.372 gebruikers van Agenda.be, het officiële cultuur- en evenementenplatform van de stad Brussel, met onder meer e-mailadressen, namen, telefoonnummers en accountgegevens. In Nederland circuleerde een veel grotere dataset met meer dan zeven miljoen records van consumenten, met naam, adres, geboortedatum en telefoonnummer. De opzet van die laatste wijst op een geaggregeerde marketingdatabase en niet op een inbraak bij één organisatie. Beide claims zijn niet geverifieerd, maar dergelijke combinaties van persoonsgegevens zijn uitermate geschikt voor grootschalige phishing en identiteitsfraude.

FortiBleed, nu met een waarschuwing van Fortinet zelf

Waar eerder vooral onderzoekers aan de bel trokken, gaf Fortinet deze keer zelf een dringende waarschuwing uit. De FortiBleed campagne treft naar verluidt tot 86.000 via internet bereikbare FortiGate firewalls en VPN-appliances in 194 landen, wat het tot een van de meest significante incidenten van het bedrijf maakt. Volgens Fortinet komt de activiteit niet voort uit een nieuwe kwetsbaarheid, maar hergebruiken de aanvallers inloggegevens uit twee eerder gedocumenteerde incidenten, gecombineerd met door kunstmatige intelligentie versnelde brute force tegen apparaten zonder sterke wachtwoordcontroles. Na een succesvolle inbraak maken de aanvallers kwaadaardige accounts aan met namen als forticloud en fortinet-support, en bewegen zij door naar de interne Active Directory omgeving. Ook de Amerikaanse cyberwaakhond CISA gaf een dringende waarschuwing uit.

In Nederland informeerde het Nationaal Cyber Security Centrum diverse organisaties over gelekte wachtwoorden van hun firewalls en VPN-gebruikers, na de eerdere bekendmaking dat inloggegevens van ongeveer 74.000 Fortinet apparaten in handen van criminelen waren gekomen. Omdat de volledige omvang nog onduidelijk is, roept het NCSC organisaties op om proactief te controleren of hun gegevens in de bekende datasets voorkomen, en verwijst het daarbij naar het overzicht van het bedrijf Hudson Rock. Het advies luidt om logs na te zien en te controleren op verdachte accounts.

Nieuwe analyses brachten ook de werkwijze achter de diefstal in beeld. Onderzoeker Kevin Beaumont liet zien dat de aanvallers volledige configuratiebestanden van FortiGate apparaten exporteerden en de wachtwoordhashes daarvan offline kraakten. Daarvoor huurden zij de rekenkracht van een bedrijf in generatieve kunstmatige intelligentie, met zesendertig grafische kaarten van enterprise-niveau. Het gemak waarmee zulke rekenclusters nu op afroep te huur zijn, vormt een groeiende dreiging voor traditioneel versleutelde wachtwoorden. Fortinet dringt er bij klanten op aan om alle beheerders- en VPN-sessies te beëindigen, wachtwoorden te resetten, meervoudige authenticatie af te dwingen en FortiOS bij te werken naar een versie die het sterkere algoritme PBKDF2 ondersteunt.

Ransomware en de aanval op de toeleveringsketen

ESET legde de werkwijze bloot van de ransomwaregroep Gentlemen, die eind 2025 begon en in het eerste kwartaal van 2026 tot een van de actiefste ter wereld uitgroeide. De groep onderscheidt zich door eigen tools, de zogenoemde detectiekillers. ESET identificeerde acht varianten van het GentleKiller framework, die zich elk vermommen als een legitiem product en misbruik maken van een kwetsbaar of kwaadaardig stuurprogramma. Een intern datalek bij de groep in mei 2026 gaf de onderzoekers een uniek inzicht. Gentlemen werkt volgens een verhuurmodel waarbij de uitvoerders negentig procent van het losgeld houden, past dubbele afpersing toe en buit nieuwe lekken soms binnen enkele dagen na bekendmaking uit. De spreiding over Zuidoost-Azië, Zuid-Amerika en West-Europa maakt de dreiging ook voor Nederlandse en Belgische organisaties relevant.

Een tweede ransomware-operatie viel op door wat zij juist niet doet. De groep Prinz Eugen, ontdekt door Threatdown van Malwarebytes, laat geen losgeldbrief op het systeem achter en versleutelt eerst de meest recent gewijzigde bestanden, om de impact op slachtoffers te maximaliseren. De initiële toegang verloopt waarschijnlijk via gestolen RDP-referenties, waarna de hoofd-payload handmatig wordt uitgevoerd en legitieme beheertools worden ingezet voor persistentie. De groep werkt niet met affiliates, en hoewel de leaksite drie slachtoffers vermeldt, kent de cybersecuritygemeenschap er meer, waaronder Standard Bank in Zuid-Afrika, dat een geëist losgeld van één bitcoin weigerde te betalen. Het ontbreken van een losgeldbrief verkleint de forensische sporen en maakt de afpersingsfase moeilijker automatisch te detecteren.

De toeleveringsketen bleef een geliefd doelwit. Microsoft schreef een aanval op het AI-platform Mastra toe aan de door Noord-Korea gesteunde groep Sapphire Sleet, ook bekend als BlueNoroff. De aanvallers kaapten een npm beheerdersaccount en publiceerden kwaadaardige updates voor meer dan 140 pakketten, met een schadelijke afhankelijkheid die zich voordeed als de populaire bibliotheek dayjs. De malware stal inloggegevens, API-sleutels en cryptowallets en controleerde op 166 wallet-extensies. In dezelfde sfeer bleek de veelgebruikte reviewswidget van Okendo, in gebruik bij meer dan 18.000 merken, te zijn misbruikt om via de SmartApeSG campagne bezoekers van webwinkels met malware te bestoken. Beide gevallen tonen hoe één gecompromitteerde leverancier in één klap duizenden organisaties raakt.

Kwetsbaarheden die directe actie vragen

De ernstigste kwetsbaarheid kwam van het Belgisch Centrum voor Cybersecurity, dat waarschuwde voor een lek in de software voor beheer op afstand SimpleHelp. De kwetsbaarheid met kenmerk CVE-2026-48558 betreft een authenticatie bypass met de hoogst mogelijke ernstscore van 10.0, waarmee een aanvaller de inlogprocedure kan omzeilen en een beheerdersaccount kan aanmaken. Alle versies tot en met 5.5.15 en de voorlopige uitgaven van versie 6.0 zijn kwetsbaar, en het centrum adviseert dringend om te updaten naar versie 5.6.9. Hoewel de waarschuwing uit België komt, geldt de urgentie ook voor Nederlandse gebruikers.

Aan de kant van de actief misbruikte kwetsbaarheden springt opnieuw Ivanti eruit. Het lek in Ivanti Sentry, met kenmerk CVE-2026-10520 en eveneens een score van 10.0, staat op de lijst van actief misbruikte kwetsbaarheden, juist nu een lek bij dezelfde leverancier centraal staat in de inbraak bij de Belgische Staatsveiligheid. Daarnaast brachten onderzoekers van Qianxin XLab het botnet AryStinger in kaart, dat wereldwijd meer dan vierduizend verouderde D-Link routers van het type DIR-850L en DIR-818LW kaapte. Het botnet misbruikt oudere lekken, waaronder CVE-2025-11837, en zet de apparaten in als doorgeefluik voor kwaadaardig verkeer. Eigenaren van routers die hun einde van de levensduur hebben bereikt, wordt aangeraden ze te vervangen.

Twee andere lekken vroegen om aandacht zonder bevestigd misbruik. Onderzoekers van Paradigm Shift publiceerden usbliter8, een werkende exploit voor de SecureROM van de Apple chips A12 en A13. Omdat die code bij de fabricage in het silicium is gebrand, kan geen enkele software-update de kwetsbaarheid verhelpen, al vereist de aanval fysiek bezit van het apparaat in de zogenoemde DFU-modus. Getroffen zijn onder meer de iPhone XS en de iPhone 11, en de exploit is de opvolger van het bekende checkm8 uit 2019. Voor de meeste gebruikers is het praktische risico laag, maar in omgevingen met hoge eisen is het een kwestie van hardwarebeheer. Tot slot waarschuwde Rebora Security voor kritieke lekken in de Chrome-extensies SiderAI en MaxAI, die een aanvaller volledige controle over browsersessies kunnen geven.

Oplichting, awareness en de digitale portemonnee

Rond de Wereldbeker voetbal van 2026 doken meer dan honderd valse weblinks op die fans naar nepwedstrijden, illegale gokplatformen en frauduleuze ticketsites lokken. Het meest geraffineerde onderdeel is de live onderschepping van de eenmalige sms-code. Op realistische afrekenpagina's kijken de oplichters in realtime mee, en zodra de bank een beveiligingscode stuurt, vangen zij die op om de controle te omzeilen en het account volledig over te nemen. De campagnes werden in kaart gebracht door onder meer Forcepoint, CloudSEK en Netcraft, die de hoofdopzet naar actoren in China traceerden. Koop tickets daarom alleen via officiële kanalen en deel nooit een ontvangen sms-code op een betaalpagina.

In België speelden oplichters in op de belastingaangifte. Safeonweb waarschuwde voor valse e-mails en sms-berichten die afkomstig lijken van de Federale Overheidsdienst Financiën, My eBox of de Vlaamse overheid, vaak met een deadline zoals 30 juni om urgentie te wekken. Het advies is om My Minfin of My eBox altijd te openen via een zelf ingetypt adres in plaats van via een link. Daarnaast lanceerden de Belgische bankenfederatie Febelfin en de minister van Consumentenbescherming Fraudstop, één centraal nummer waarmee slachtoffers van phishing direct de toegang tot hun bankieren en bank-app kunnen laten blokkeren, vierentwintig uur per dag bereikbaar via het vertrouwde nummer van Card Stop.

In Nederland zette ABN Amro een stap richting veiliger inloggen. De bank vervangt de e.dentifier voor privéklanten gefaseerd door een usb-beveiligingssleutel van ongeveer tien euro, met een uitrol tussen juni en december van dit jaar, terwijl inloggen via de app mogelijk blijft. De Duitse overheid gaf intussen de jaarlijkse vakantietips uit, met waarschuwingen voor openbare wifi en onbekende usb-oplaadstations. Bij die laatste dreiging, bekend als juice jacking, plaatsen experts wel kanttekeningen, omdat er nauwelijks praktijkvoorbeelden bekend zijn. De kern blijft eenvoudig, gebruik je eigen oplader en kabel, en beveilig accounts vóór vertrek met tweefactorauthenticatie.

Opsporing, soevereiniteit en beleid

De Nederlandse politie hield drie mannen uit Terneuzen aan voor het versturen van phishingberichten die afkomstig leken van de Belastingdienst. De links verwezen niet naar de officiële rekeningen, maar naar bankrekeningen van de verdachten zelf. De drie, van eenentwintig, tweeëntwintig en dertig jaar oud, zijn na verhoor weer vrijgelaten in afwachting van hun rechtszaak, en bij doorzoekingen werden gegevensdragers in beslag genomen. De politie ontving al elf concrete aangiftes die direct aan de berichten zijn te koppelen.

Op het beleidsvlak ging het over digitale soevereiniteit. De vertrekkend voorzitter van de Autoriteit Persoonsgegevens waarschuwde dat Nederland te afhankelijk is van Amerikaanse techbedrijven en dat de halve overheid stil zou kunnen liggen als een Amerikaanse president dat zou willen. Als voorbeeld noemde hij hoe het bedrijf Anthropic zijn modellen voor klanten buiten de Verenigde Staten uitschakelde. Hij pleitte voor exitstrategieën voor gevoelige overheidsdata. Tegelijk wil het Nederlandse kabinet dat de Europese Commissie voorstellen uit de Digitale Omnibus schrapt die de privacywet AVG zouden verzwakken, waaronder een versoepelde meldplicht bij datalekken. En de uitfasering van de lagere DigiD-niveaus loopt vertraging op, waardoor overheden tot 1 juli 2028 krijgen om de hogere inlogniveaus beschikbaar te maken.

Tot slot twee bredere ontwikkelingen. In België claimde het Dark Storm Team distributed denial-of-service aanvallen op diverse overheidswebsites, waaronder de dienst Verkiezingen van de Federale Overheidsdienst Binnenlandse Zaken, de financiële toezichthouder FSMA en het nucleair agentschap FANC. De status en de daadwerkelijke impact van die claims moeten onafhankelijk worden geverifieerd. En een nieuw rapport van INTERPOL beschreef een dramatische toename van cybercriminaliteit in de regio Azië en de Stille Oceaan, met phishing als meest schadelijke vorm en naar schatting zevenendertig miljard dollar aan regionale verliezen door oplichting met onder meer deepfakes.

*Bronnen: VRT NWS (Belgische Staatsveiligheid), Cybercrimeinfo darkweb monitoring (SRA op LockBit 5, dataset Agenda.be, dataset zeven miljoen Nederlanders), Fortinet en CISA (FortiBleed waarschuwing en herstelstappen), NCSC (waarschuwing Nederlandse organisaties), Unit 42 van Palo Alto Networks en Kevin Beaumont (analyse FortiBleed), ESET (Gentlemen en GentleKiller), Threatdown van Malwarebytes (Prinz Eugen), Microsoft (Mastra en Sapphire Sleet), Zscaler (Okendo en SmartApeSG), het Belgisch Centrum voor Cybersecurity (SimpleHelp CVE-2026-48558), Qianxin XLab (AryStinger), Paradigm Shift (usbliter8), Rebora Security (SiderAI en MaxAI), Forcepoint, CloudSEK en Netcraft (oplichting WK 2026), Safeonweb en Febelfin (belastingphishing en Fraudstop), ABN Amro (usb security key), het Duitse BSI (vakantietips), de Nederlandse Politie (aanhoudingen Terneuzen), de Autoriteit Persoonsgegevens en de Rijksoverheid (digitale soevereiniteit en Digitale Omnibus), en INTERPOL (cyberdreiging Azië en Stille Oceaan). Alle claims zijn gecontroleerd, vermeende of nog niet bevestigde claims zijn als zodanig aangeduid.*

De belangrijkste punten

- Belgische Staatsveiligheid gehackt via toeleverancier: een lek bij Ivanti gaf aanvallers toegang tot persoonsgegevens van medewerkers van de inlichtingendienst.

- Accountantskoepel SRA op de leaksite van LockBit 5: historische data uit 2023 tot 2025 van een brede keten van kantoren staat onder dreiging, de claim is nog niet bevestigd.

- Fortinet waarschuwt zelf voor FortiBleed: tot 86.000 firewalls in 194 landen geraakt, reset wachtwoorden, dwing meervoudige authenticatie af en update FortiOS.

- Ransomware professionaliseert: Gentlemen verkoopt detectie-uitschakeling als product, Prinz Eugen laat bewust geen losgeldbrief achter, en Noord-Korea misbruikt 140 npm-pakketten.

- Kritieke lekken vragen directe actie: SimpleHelp (score 10.0) en de actief misbruikte Ivanti Sentry, plus het AryStinger botnet op verouderde D-Link routers.

- Oplichters spelen in op de actualiteit: live onderschepping van de sms-code rond de Wereldbeker, belastingphishing in België en een nieuwe usb-sleutel bij ABN Amro.

Lees ook

► Cyber Journaal S02E73, Financiën gehackt via een zerodaylek en de politie rolt SocGholish op - de vorige aflevering, met de eerste FortiBleed-cijfers en de internationale politieoperatie

► Cyber Journaal S02E72, The Gentlemen treft NL en BE en de banktrojan Rokarolla belaagt 217 apps - de eerste analyse van de ransomwaregroep Gentlemen

► Cyber Journaal S02E70, phishing vanaf de eigen systemen van Kredietbank en Ivanti Sentry actief misbruikt - over het eerder actief misbruikte lek in Ivanti Sentry, het thema achter de inbraak bij de Staatsveiligheid

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam