S02E81
Vond je dit artikel interessant of nuttig?
Het cybernieuws van dinsdag 7 en woensdag 8 juli 2026 liet twee patronen scherp zien. Aanvallers richten hun eerste klap steeds vaker op de beveiliging zelf, met ransomware en trojans die detectiesoftware uitzetten voordat de echte aanval begint, en staatsactoren kruipen naar binnen via de mailserver en de toeleveringsketen. Tegelijk brak een brede golf kwetsbaarheden los, van een lek in Adobe ColdFusion dat binnen twee uur werd misbruikt tot een verborgen achterdeur in routers zonder patch. In eigen land nam de Eerste Kamer de Cyberbeveiligingswet aan, die ruim achtduizend organisaties raakt, en zette Nederland verdere stappen richting digitale soevereiniteit.
De aanval richt zich op de beveiliging zelf
De opvallendste ontwikkeling was de opmars van de ransomwaregroep The Gentlemen, door Microsoft gevolgd als Storm-2697. Uit onderzoek van ESET blijkt dat de groep binnen een jaar uitgroeide tot meer dan vijfhonderd slachtoffers in ruim zeventig landen en in april goed was voor ongeveer tien procent van alle ransomware wereldwijd. Het handelsmerk is een zelfgebouwd raamwerk genaamd GentleKiller, met minstens acht varianten die kwetsbare stuurprogramma's misbruiken om meer dan vierhonderd beveiligingsprocessen van achtenveertig leveranciers uit te schakelen. De aanval verschuift daarmee van binnendringen naar verblinden, de bewaker wordt eerst het zicht ontnomen voordat de gijzeling begint. Deze aanpak sluit aan op de eerste ransomware die grotendeels door AI werd aangestuurd waarover we eerder berichtten.
Dezelfde logica dook op bij twee andere campagnes. De groep SilverFox zet een nieuwe variant van ValleyRAT in met een infectieproces van acht fasen dat eindigt in een rootkit in de kern van Windows. Onderweg schakelt de malware antivirussoftware uit, verbergt zij haar volgende lading in de pixels van gewone afbeeldingen, een techniek die steganografie heet, en wisselt zij adressen van cryptowallets op het klembord om. Onderzoekers van Gen Threat Labs zagen binnen twaalf dagen dertien varianten die telkens net anders waren om detectie op handtekening te omzeilen.
Ook de aanvalstechniek ClickFix bleef terrein winnen. Malwarebytes beschreef campagnes die nepschermen van Google en Cloudflare nabootsen en het slachtoffer zelf een commando laten plakken in PowerShell. Een lader genaamd ResiLoader misbruikt vervolgens een kwetsbaar stuurprogramma van OPSWAT om meer dan honderdveertig beveiligingsprocessen te beëindigen en installeert daarna de gegevensdief StealC. De rode draad is duidelijk, wie alleen vertrouwt op een alarm dat afgaat, mist het moment waarop dat alarm ongemerkt wordt uitgezet.
Spionage loopt via de mailserver en de keten
Aan de kant van de staatsactoren was de mailserver het geliefde startpunt. Een aan China gelinkte groep die Proofpoint volgt als UNK_MassTraction misbruikt twee kritieke lekken in de webmailsoftware Roundcube (CVE-2024-42009 en CVE-2025-49113) bij de natuurkunde en techniek van universiteiten in de Verenigde Staten en Canada. Het openen van een geprepareerde mail volstaat om inloggegevens, tweefactorcodes en cookies te stelen via een lading genaamd IceCube, gevolgd door de tools VShell en SNOWLIGHT. De onderzoekers waarschuwen dat mailservers net zo grondig beschermd moeten worden als de toegangspunten voor VPN, iets waar organisaties in Nederland en België lering uit kunnen trekken.
Ook Iran roerde zich. Check Point Research bracht de tot dan onbekende groep Cavern Manticore in verband met het Iraanse Ministerie van Inlichtingen, dat een nieuw modulair aansturingsraamwerk inzet tegen Israëlische dienstverleners en overheden. De groep had al toegang tot een omgeving en misbruikte vervolgens de legitieme functie van SysAid voor het uitrollen van software om zich naar een volgend systeem te verplaatsen, zonder dat er een lek in SysAid zelf aan te pas kwam. Vanuit een gecompromitteerde dienstverlener beweegt de actor via een tweede leverancier naar het uiteindelijke doelwit, met bevestigde diefstal van gevoelige data.
Beide zaken passen in een breder patroon van gerichte spionage. De eveneens aan China gelinkte groep UAT-7810 ontwikkelt nieuwe malware voor een netwerk van tussenstations, dat zij opbouwt door bekende lekken in ongepatchte routers van Ruckus te misbruiken. En in een campagne die Seqrite Labs Operation DragonReturn noemt, verspreidde een vermoedelijk Chinese groep de trojan DcRAT via een nagemaakte Indiase belastingtool. Steeds vaker is de eerste ingang niet een spectaculair lek, maar een vertrouwd hulpmiddel dat tegen de eigenaar wordt gekeerd.
Een brede golf kwetsbaarheden, van de mailserver tot de router
Naast de spionage brak een reeks lekken los waarvan er meerdere al werden misbruikt. Het meest urgent was een lek in Adobe ColdFusion (CVE-2026-48282) met de maximale ernstscore van 10.0, waarmee een aanvaller op afstand code kan uitvoeren. Volgens KEVIntel begon het misbruik binnen twee uur na de bekendmaking, en de Amerikaanse waakhond CISA verplichtte federale instanties tot patchen. Even zorgelijk voor Nederland was een actief misbruikt lek in de beheersoftware SimpleHelp, waarvan The Shadowserver Foundation achttien kwetsbare servers in Nederland telde. Omdat zulke servers vaak door dienstverleners worden gebruikt, geeft één gecompromitteerde server toegang tot de omgeving van al hun klanten.
Daarnaast voegde CISA drie lekken toe aan haar lijst van actief misbruikte kwetsbaarheden, in JoomShaper, Joomlack en Langflow. Netwerkfabrikant Ubiquiti dichtte vijfentwintig lekken in de productlijn UniFi, waaronder één met de maximale score 10.0, en waarschuwde dat lekken in het onderliggende besturingssysteem voor het eerst bij aanvallen zijn gebruikt. In de dienst Gitea voor versiebeheer maakte een lek (CVE-2026-20896) het mogelijk de aanmelding volledig te omzeilen, met een openbaar voorbeeld en de eerste verkenning door aanvallers al waargenomen. Zorgelijker nog is een verborgen achterdeur in de firmware van routers van Tenda, die beheerderstoegang geeft zonder geldig wachtwoord en waarvoor nog geen patch bestaat.
De Linux kern kende een dubbele klap. Onderzoekers van Nebula Security onthulden GhostLock (CVE-2026-43499), een vijftien jaar oude fout waarmee een lokale gebruiker volledige beheerrechten krijgt, met een openbaar voorbeeld en een patch sinds april. Daarnaast werd een zestien jaar oude fout in de virtualisatietechniek KVM gedicht (CVE-2026-53359), inmiddels Januscape genoemd, die het eerste geval vormt dat op zowel AMD als Intel werkt en waarmee een aanvaller vanuit een virtuele machine de onderliggende host kan overnemen. Verder dichtte BeyondTrust vier ernstige lekken in zijn software voor toegang op afstand, die het bedrijf naar eigen zeggen deels vond met behulp van een openbaar taalmodel. De les voor beheerders is dat mailservers, randapparatuur en beheertools evenveel aandacht verdienen als de klassieke werkplek.
Datalekken, fraude en oplichting
Dichter bij huis raakte een menselijke fout aan de basis van een datalek. In de extra beveiligde inrichting van de gevangenis Vught bleek een laptop voor dossierinzage niet correct geschoond, waardoor een gedetineerde gegevens van een ander aantrof. De staatssecretaris kon niet vaststellen of er daadwerkelijk inzage was, en het datalek is gemeld bij de Autoriteit Persoonsgegevens. Over de grens werden bij fabrikant van medische hulpmiddelen Medtronic bijna vier miljoen mensen geïnformeerd dat hun gegevens zijn getroffen door een aanval die aan de groep ShinyHunters wordt gelinkt, waaronder burgerservicenummers en gezondheidsgegevens, hulpmiddelen die ook in de Benelux worden gebruikt.
De fraude werd tegelijk toegankelijker en overtuigender. Een nieuwe dienst voor Android genaamd RedWing wordt via Telegram verhuurd, waarmee ook criminelen met beperkte kennis telefoons overnemen en bankcodes onderscheppen. Met de tool DEBULL misbruiken aanvallers de echte aanmeldpagina van Microsoft 365, zodat een phishingpoging niet langer op een nepsite hoeft te leunen. En volgens Sumsub steeg fraude met vervalste identiteitsdocumenten in 2025 met ruim driehonderd procent, doordat wie toegang heeft tot een chatbot in minuten een overtuigend document maakt. De visuele controle op verkeerde lettertypen of vlekkerige logo's is daarmee grotendeels achterhaald, en de verificatie verschuift naar het onafhankelijk aantonen van de herkomst van een document.
Ook de klassieke oplichting kreeg nieuwe vormen. Een campagne die Team Cymru in kaart bracht, doet zich met meer dan dertig bekende merknamen voor als een recruiter en toont binnen de pagina zelf een nagemaakt aanmeldvenster van Google om de inloggegevens van marketingprofessionals te stelen. En bij het cryptoproject BONK stemden houders van een grote hoeveelheid munten zichzelf via een kwaadaardig bestuurlijk voorstel twintig miljoen dollar toe, een aanval die niet een slim contract kraakt maar het stemproces zelf corrumpeert.
Opsporing, cyberoorlog en de Nederlandse koers
De opsporing boekte resultaat, waarbij techniek de doorslag gaf. Amerikaanse aanklagers koppelen de negentienjarige Peter Stokes, een vermeend lid van het collectief Scattered Spider, aan een inbraak bij een juwelier via een unieke apparaatcode van zijn installatie van Windows, de Global Device Identifier. Die code veranderde niet toen hij zijn internetadres via een VPN verborg, waardoor onderzoekers hem konden traceren. Stokes is aangehouden op de luchthaven van Helsinki en uitgeleverd aan de Verenigde Staten, waar hij is aangeklaagd, en wordt tot een veroordeling als onschuldig beschouwd. Tegelijk maakte de Canadese inlichtingendienst bekend dat zij in 2025 samen met partners van de Five Eyes de infrastructuur van een ransomwaregroep onbruikbaar maakte en een deel van de gestolen data verwijderde, naast verstoringen tegen tien andere ransomwarebendes. Ook hielden de FBI en de Spaanse politie een vermeend lid aan van de prorussische groep Cyber Army of Russia Reborn.
Aan het front van de cyberoorlog waarschuwde de Oekraïense veiligheidsdienst SBU dat Russische hackers zich steeds vaker op mediaorganisaties richten. Bij één televisiezender genereerde een aanval drie uur lang tot tweehonderdduizend verzoeken per minuut vanuit een botnet, en sinds het begin van de invasie neutraliseerde de SBU meer dan zestienduizend cyberincidenten. De aanvallen gaan hand in hand met fysieke beschietingen van redacties en uitzendinfrastructuur.
In Nederland stond het beleid centraal. De Eerste Kamer stemde in met de Cyberbeveiligingswet, die op 15 augustus van kracht wordt en ruim achtduizend organisaties nieuwe verplichtingen oplegt, waaronder registratie bij het NCSC, een zorgplicht, een meldplicht voor significante incidenten en aantoonbare bestuurskennis. Het is de Nederlandse invulling van de Europese NIS2-richtlijn. Daarnaast geldt sinds 1 juli een verplichting voor de overheid om dreigingsinformatie uit te wisselen via de standaarden STIX en TAXII, en publiceerde de Autoriteit Persoonsgegevens elf voorwaarden voor het verwerken van fraudesignalen. De lijn van digitale soevereiniteit uit ons vorige weekendoverzicht zette zich voort, met plannen om het onderwijs minder afhankelijk te maken van grote techbedrijven en een Nederlands pleidooi voor een Europese identificatieplicht voor hostingproviders. Op Europees niveau probeerden lidstaten via een spoedprocedure de omstreden regeling voor het scannen van chatberichten, bekend als chatcontrole, opnieuw in te voeren.
De belangrijkste punten
- The Gentlemen: deze ransomwaregroep schakelt met eigen gereedschap gericht de beveiliging uit en maakte al meer dan vijfhonderd slachtoffers in ruim zeventig landen.
- Roundcube en Cavern Manticore: aan China en Iran gelinkte groepen dringen binnen via de mailserver en via een legitieme functie voor het uitrollen van software in de keten.
- Adobe ColdFusion: een lek met de maximale score 10.0 werd binnen twee uur na bekendmaking misbruikt, met achttien kwetsbare servers met SimpleHelp in Nederland als extra zorg.
- Tenda en Januscape: een routerachterdeur zonder patch en een zestien jaar oude fout in KVM waarmee een aanvaller uit een virtuele machine kan ontsnappen.
- Medtronic en RedWing: bijna vier miljoen personen getroffen door een datalek, en bankfraude op Android wordt als kant en klare dienst verhuurd.
- Cyberbeveiligingswet: de Eerste Kamer nam de Nederlandse invulling van NIS2 aan, die vanaf 15 augustus ruim achtduizend organisaties raakt.
Lees ook
- S02E80: AI omzeilt de scanners en Nederland kiest voor een eigen cloud - het vorige overzicht met SkillCloak en digitale soevereiniteit
- S02E79: De eerste ransomware grotendeels door AI aangestuurd, firewalls als ingang - over JADEPUFFER en de opmars van AI aan de aanvalskant
- S02E78: Een golf actief misbruikte lekken en AI als aanvalswapen - de vorige golf kwetsbaarheden met Check Point, Splunk en ColdFusion
Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.
Bron: Cybercrimeinfo, ondezoeksteam
MEDIA & ANALYSES
๐ง Liever luisteren? (Analyse)
Powered by RedCircle
Kies hieronder waar je wilt luisteren
RSS feed
Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".