S02E77
Vond je dit artikel interessant of nuttig?
Het cybernieuws van zaterdag 27 tot en met maandag 29 juni 2026 liet drie sterke rode draden zien. De FBI, CISA en de Oekraïense veiligheidsdienst waarschuwden alle drie voor dezelfde Russische campagne die niet de versleuteling van Signal kraakt, maar gebruikers hun herstelsleutel laat afstaan. Tegelijk werd kunstmatige intelligentie zichtbaar als zowel wapen als doelwit, van gekaapte softwarepakketten die ontwikkelaars bestelen tot een schone projectmap die een AI codeassistent verleidt om zelf malware uit te voeren. Onder de oppervlakte liep een golf van kritieke kwetsbaarheden met publieke exploitcode, terwijl de Benelux werd geraakt door een datalek bij zeilsoftware en een aanhoudende aanval op hotels, en de opsporing en de geopolitiek opnieuw met elkaar verweven raakten rond Jaguar Land Rover.
Russische jacht op de sleutels van Signal
De Amerikaanse FBI en CISA gaven een gezamenlijke waarschuwing uit voor een aanhoudende phishingcampagne tegen gebruikers van de versleutelde berichtendienst Signal. Het doel is de herstelsleutel van de beveiligde reservekopie, een unieke code van vierenzestig tekens waarmee een reservekopie te ontsleutelen is. De aanval verloopt in twee stappen. Eerst krijgt het doelwit een bericht dat oogt als een melding van Signal zelf, met het dringende advies om een reservekopie in te stellen. Kort daarna volgt een tweede bericht dat, onder het mom van een synchronisatieprobleem, vraagt om de herstelsleutel. Wie die deelt, geeft de aanvaller toegang tot de volledige berichtgeschiedenis.
Het venijn zit in een detail dat slachtoffers vaak over het hoofd zien. Zelfs als iemand na een hack een nieuw account met hetzelfde telefoonnummer aanmaakt, blijft de gestolen sleutel geldig voor reservekopieën die de aanvaller al heeft gedownload. De FBI schrijft de campagne toe aan Russische inlichtingendiensten en raadt slachtoffers aan onmiddellijk een nieuwe herstelsleutel te genereren. De aanval richt zich op personen met een hoge inlichtingenwaarde, waaronder huidige en voormalige overheidsfunctionarissen, militairen, journalisten en sleutelfiguren in Oekraïne.
Dezelfde week legde de Oekraïense veiligheidsdienst, samen met de FBI, een bredere Russische operatie bloot die accounts van berichtendiensten kaapt. De aanvallers sturen sms-berichten die zich voordoen als de officiële ondersteuning van het platform en sporen gebruikers aan hun inloggegevens en eenmalige codes prijs te geven, vaak in de vroege ochtend wanneer mensen minder alert zijn. Vergelijkbare golven zijn eerder toegeschreven aan de Russische clusters Star Blizzard, UNC5792 en UNC4221. De kern van beide waarschuwingen is hetzelfde, niet de wiskunde achter de encryptie wordt gekraakt, maar het vertrouwen van de mens die de app gebruikt.
Kunstmatige intelligentie als wapen en als doelwit
Aan de ene kant werd kunstmatige intelligentie een wapen in de toeleveringsketen van software. Onderzoekers van JFrog en Nextron Systems beschreven een aanval waarbij gekaapte npm- en Go-pakketten via een verborgen taak in de ontwikkelomgeving VS Code een Python-infostealer installeren. De kwaadaardige code zit vermomd als een lettertypebestand en start zodra een ontwikkelaar de projectmap opent. De steler, InvisibleFerret, oogst inloggegevens, broncodetokens en cryptowallets en wordt toegeschreven aan Noord-Korea, als onderdeel van de langlopende campagne Contagious Interview die zich op sollicitatieprocessen van softwareontwikkelaars richt. De aanpak past in een patroon van aanvallen in de toeleveringsketen dat we vaker zagen.
Aan de andere kant werd de AI zelf het doelwit. Beveiligingsonderzoekers van Mozilla toonden hoe een volledig schone projectmap op GitHub, zonder enige kwaadaardige code, een AI codeassistent kan verleiden om zelf malware uit te voeren. Een onderdeel weigert te starten en geeft een nette foutmelding met een voorgesteld herstelcommando. De assistent leest die fout, voert het commando uit om het probleem op te lossen, en haalt daarmee via een DNS-record van de aanvaller een instructie binnen die een verbinding opent. De onderzoekers vatten het scherp samen, de assistent besloot nooit een shell te openen, hij besloot een fout te herstellen. Eerder al bleek de codeerassistent Amazon Q Developer kwetsbaar (CVE-2026-12957), waarbij een enkel configuratiebestand in een gekloonde repository de cloudsleutels van de ontwikkelaar kon buitmaken.
Dat de drempel verder daalt, bleek ook uit een GitHub-account dat honderden stukken exploitcode bundelt voor kwetsbaarheden die nog niet officieel zijn gemeld, waaronder een ernstig lek in de bibliotheek libssh2. In een tijd waarin AI exploitcode sneller omzet in werkende aanvallen, vergroot zo'n verzameling het risico op snel en grootschalig misbruik. Tegelijk presenteerde OpenAI nieuwe modellen die juist verdedigers moeten helpen bij het vinden van kwetsbaarheden en het ontwikkelen van patches, met strengere blokkades tegen aanvallend gebruik. De dubbele rol van kunstmatige intelligentie, als hulpmiddel voor zowel aanvaller als verdediger, werd deze dagen scherper zichtbaar dan ooit.
Een golf kritieke lekken en publieke exploitcode
De grootste directe dreiging kwam van een lek dat al volop wordt misbruikt. Voor een kritieke kwetsbaarheid in het contentbeheersysteem Ghost CMS (CVE-2026-26980, score 9,4) is publieke exploitcode beschikbaar, en onderzoekers stelden vast dat ruim zevenhonderd websites zijn gecompromitteerd, waaronder die van Harvard, Oxford en de zoekmachine DuckDuckGo. Aanvallers stelen via het lek de beheerssleutel en injecteren kwaadaardige code die bezoekers naar een zogenoemde ClickFix-val leidt. Beheerders wordt geadviseerd direct bij te werken naar versie 6.19.1. Het patroon sluit aan op eerdere ClickFix-campagnes via Ghost CMS waarover we berichtten.
Ook bevestigd misbruikt is een kritiek lek in de productbeheersoftware PTC Windchill (CVE-2026-12569, score 9,3), waarmee aanvallers webshells plaatsen op gecompromitteerde systemen. Het Amerikaanse CISA voegde de kwetsbaarheid toe aan zijn lijst van bekende misbruikte lekken en stelde voor federale instanties een patchdeadline op 28 juni. Daarnaast verscheen publieke exploitcode voor een kritiek lek in Splunk Secure Gateway (CVE-2026-20251, score 8,8), waarmee een aanvaller met weinig rechten code op afstand kan uitvoeren. Splunk bracht patches uit en raadt aan snel bij te werken. Deze ontwikkelingen volgen op een eerdere golf actief misbruikte kritieke lekken.
Drie andere lekken kregen nog geen bevestigd misbruik, maar wel een werkende proof of concept. Voor de NVIDIA Triton Inference Server, een veelgebruikt platform om AI-modellen in productie te draaien, verscheen exploitcode voor een kritiek lek (CVE-2026-24207, score 9,8) dat uitvoering van code op afstand zonder inloggegevens mogelijk maakt. In de kernel van Linux verscheen binnen een dag na de toewijzing een werkende exploit voor pedit COW (CVE-2026-46331), waarmee een lokale gebruiker root-rechten verkrijgt via cachevergiftiging, zonder het bestand op schijf aan te raken. En voor bepaalde TP-Link routers (CVE-2026-3227) kwam publieke exploitcode beschikbaar. Tot slot toonde onderzoeksbureau XM Cyber aan hoe een macOS-lek (CVE-2026-39118) beveiligingssoftware als CrowdStrike en Kandji kon uitschakelen door een vertrouwde app te kapen.
Datalekken en fraude in de Benelux
Het meest directe Benelux-nieuws kwam van de zeilnavigatiesoftware Squid. Bij de maker zijn accountgegevens op de website squid-sailing.com mogelijk in verkeerde handen gevallen, waarna het bedrijf de site offline haalde. De wachtwoorden stonden versleuteld opgeslagen, wat de directe impact beperkt, maar het bedrijf adviseert gebruikers dringend om hetzelfde wachtwoord op andere diensten te wijzigen en alert te zijn op phishing. Het lek raakt veel Nederlandse en Belgische zeilers en werd gemeld door het zeilmedium ClubRacer.be.
Daarnaast waarschuwde Microsoft voor een aanhoudende malwarecampagne tegen hotels in Europa, waaronder diverse in Nederland. Medewerkers worden verleid om een kwaadaardig zip-bestand te openen via een phishingmail die zich voordoet als een gastklacht of een vraag over beschikbaarheid. In het bestand zit een snelkoppeling die is vermomd als foto, doordat Windows standaard de bestandsextensie verbergt. Deze campagne bouwt voort op de eerdere malwaregolf tegen Europese hotels en op een recent datalek bij ruim honderd Nederlandse hotels.
In België groeide ondertussen de schade door verzekeringsfraude. Volgens Assuralia, de koepel van verzekeraars, werd in 2025 voor 181 miljoen euro aan bewezen fraude vastgesteld, een stijging van bijna vijfentwintig procent. Een belangrijke aanjager is kunstmatige intelligentie, waarmee fraudeurs in enkele minuten geloofwaardige valse foto's, facturen en doktersattesten maken. De werkelijke schade ligt vermoedelijk veel hoger, mogelijk rond achthonderd miljoen euro per jaar, en kost elk Belgisch gezin gemiddeld honderdvijftig euro extra premie. Verder werd het cryptoplatform Polymarket geraakt door een aanval in de toeleveringsketen, waarbij na een inbreuk bij een externe leverancier een kwaadaardig script in de website belandde. Ongeveer drie miljoen dollar werd gestolen van minder dan vijftien accounts, het platform vergoedt de gedupeerden volledig.
Opsporing, cyberoorlog en beleid
De opsporing boekte resultaat op het snijvlak van hacktivisme en strafrecht. De aan de beweging Anonymous gelinkte hacktivist Aubrey Cottle werd veroordeeld tot achttien maanden cel. Hij bekende zijn rol in een aanval uit 2021 op de website van de Republikeinse Partij van Texas, gehost bij het bedrijf Epik, waarbij hij de homepage wijzigde en honderdtachtig gigabyte aan reservekopiegegevens stal. In België richtte de federale politie een Nationale Cel Phishing op om verspreide aangiftes te bundelen, na een sterke stijging van de schade bij slachtoffers in Vlaanderen, waar het verlies gemiddeld meer dan tienduizend euro per persoon bedraagt. En de rechtbank Midden-Nederland veroordeelde een drieentwintigjarige man tot twee jaar cel voor bankhelpdeskfraude, met leadlijsten van zo'n twaalfduizend personen op zijn laptop. Wie zich tegen deze vorm van oplichting wil wapenen, vindt praktische tips tegen bankhelpdeskfraude in onze bibliotheek.
De cyberoorlog kreeg een opvallend vervolg rond de autofabrikant Jaguar Land Rover. Volgens onderzoek van The New York Times zaten vermoedelijk Russische hackers achter de aanval die het bedrijf vorig jaar bijna zes weken platlegde. Met een geschatte schade van 2,5 miljard dollar geldt het als de financieel meest schadelijke cyberaanval uit de Britse geschiedenis. Onderzoekers konden niet vaststellen of de hackers rechtstreeks voor de Russische overheid werkten of op eigen houtje handelden. Daarnaast onthulde de Google Threat Intelligence Group de nieuwe backdoor STOCKSTAY van de Russische groep Turla, ingezet tegen Oekraïne en ook in Nederland waargenomen.
Op beleidsniveau speelde de spanning tussen veiligheid en privacy. De Amerikaanse toezichthouder FCC scherpte de regels aan voor onderzeese internetkabels, met een licentieplicht voor terminalapparatuur en een verbod op apparatuur uit landen die als tegenstander worden gezien, na herhaalde zorgen over spionage en sabotage. In Europa waarschuwde voormalig Europarlementariër Patrick Breyer voor een dubbele aanval op veilige chatapps, omdat zowel een poging om de vervallen vrijwillige scanregeling nieuw leven in te blazen als nieuwe onderhandelingen over een verplichte variant deze week op de agenda stonden. De uitkomst raakt direct de vertrouwelijkheid van versleutelde communicatie.
De belangrijkste punten
- Russische phishing op Signal: FBI, CISA en de Oekraïense veiligheidsdienst waarschuwen voor diefstal van de herstelsleutel, die geldig blijft na accountherstel.
- Kunstmatige intelligentie: Noord-Koreaanse npm- en Go-pakketten stelen via VS Code, en een schone projectmap verleidt een AI codeassistent tot het uitvoeren van malware.
- Golf kritieke lekken: Ghost CMS (700 sites, ClickFix) en PTC Windchill actief misbruikt, plus publieke exploitcode voor Splunk, NVIDIA Triton en de kernel van Linux.
- Benelux geraakt: datalek bij zeilsoftware Squid, malwarecampagne tegen Nederlandse hotels, en 181 miljoen euro verzekeringsfraude in België met behulp van AI.
- Opsporing: celstraf voor Anonymous-hacktivist Cottle, Belgische Nationale Cel Phishing, en twee jaar cel voor bankhelpdeskfraude in Nederland.
- Cyberoorlog: vermoedelijk Russische hackers achter de aanval op Jaguar Land Rover, met 2,5 miljard dollar de duurste uit de Britse geschiedenis.
Lees ook
- Operation Endgame tegen infostealers, Canvas onzeker - achtergrond bij de internationale strijd tegen infostealers en de aanval op de toeleveringsketen
- Fortinet treft 270 Belgische bedrijven, Joomla-lek 10.0 - eerdere golf actief misbruikte kritieke kwetsbaarheden
- Zo voorkom je bankhelpdeskfraude - praktische tips tegen oplichters die zich voordoen als de bank
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
Categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.
MEDIA & ANALYSES
๐ง Liever luisteren? (Journaal & Analyse)
Powered by RedCircle
Powered by RedCircle
Kies hieronder waar je wilt luisteren
RSS feed
Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".