Rusland bespioneert Nederland via camera's en CitrixBleed 2 versnelt de ransomware

Gepubliceerd op 13 juli 2026 om 16:00

S02E83

S 02 E 83 Thumbnail Png

Afbeelding โ€“ 2,0 MB 3 downloads

Vond je dit artikel interessant of nuttig?

De rode draad van dit weekend loopt langs de rand van het netwerk, precies daar waar apparaten aan het internet hangen die niemand meer echt in de gaten houdt. De Nederlandse inlichtingendiensten AIVD en MIVD maakten bekend dat Russische hackers slecht beveiligde camera's langs militaire routes hebben overgenomen om troepen- en wapentransporten te volgen. Tegelijk waarschuwde beveiligingsbedrijf Huntress dat aanvallers via de kwetsbaarheid CitrixBleed 2 binnen een uur van inbraak naar een volledige ransomware-aanval gaan, en rolde er opnieuw een golf actief misbruikte lekken binnen, van Adobe ColdFusion tot een router die de fabrikant niet meer onderhoudt.

Dichter bij huis blijft ransomware de Benelux raken. Supermarktketen Lidl bevestigde een datalek bij zijn Belgische webshop, en op het darkweb verschenen opnieuw Nederlandse en Belgische bedrijven als vermeend slachtoffer. Er was ook goed nieuws, want het Belgische Hof van Cassatie versterkte de positie van slachtoffers van phishing tegenover hun bank. Om je te verdedigen moet je weten hoe ze aanvallen, dus dit is wat er speelde op zaterdag 11, zondag 12 en maandag 13 juli 2026.

Rusland kijkt mee via gehackte camera's

Het opvallendste nieuws komt uit eigen land. De AIVD en de MIVD stelden vast dat een Russische inlichtingendienst internet-toegankelijke camera's heeft gehackt langs militair-logistieke routes in Nederland. De operatie is onderdeel van een grootschalige campagne tegen NAVO-landen en Oekraïne, met als doel zicht te krijgen op militaire transporten en op de wapens en uitrusting die naar Oekraïne gaan. Volgens de diensten ging het in Nederland om een klein aantal camera's, maar het signaal is groot, want een slecht beveiligde camera aan het internet is een venster dat een tegenstander gewoon kan openzetten. De diensten brachten een beveiligingsadvies uit en waarschuwden organisaties met camera's langs die routes. Dat een IP-camera je niet vanzelf veiliger maakt, is een les die hiermee een pijnlijk actuele lading krijgt.

Diezelfde spionagelogica zag je verderop in de wereld. Cybersecuritybedrijf SentinelOne onthulde dat aan China en aan India gelinkte groepen jarenlang parallelle operaties uitvoerden tegen de politie van de Pakistaanse provincie Balochistan, waarbij zij strafregisters, biometrische gegevens en burgerklachten buitmaakten. In sommige gevallen compromitteerden beide landen exact dezelfde systemen. En uit gelekte documenten bleek dat China en Rusland een strategie in meerdere fasen voorbereiden om het Starlink-satellietnetwerk van SpaceX te verstoren, waarbij ook het verspreiden van malware via gebruikersterminals wordt genoemd. De middelen verschillen, maar het patroon is telkens hetzelfde, wie de infrastructuur van een ander kan inzien of platleggen, hoeft geen schot te lossen.

CitrixBleed 2 en een golf misbruikte lekken

Voor beheerders was het opnieuw een drukke periode. De gevaarlijkste kwetsbaarheid is CitrixBleed 2, geregistreerd als CVE-2025-5777, in Citrix NetScaler. Door misvormde inlogverzoeken lekt het geheugen van het apparaat, waarna aanvallers geldige sessietokens buitmaken en daarmee de meervoudige verificatie omzeilen. Onderzoekers van Huntress zagen een vast draaiboek waarin een toegangsmakelaar binnen een uur van eerste inbraak naar de ransomware DragonForce ging. Wie NetScaler aan de rand van het netwerk heeft staan, doet er goed aan direct te patchen, actieve sessies te beëindigen en te zoeken naar gekaapte sessies. Het is een moderne variant op de manier waarop aanvallers via SharePoint en Citrix NetScaler binnendringen.

Daarnaast bleven de al bekende lekken in Adobe ColdFusion (CVE-2026-48282) en Splunk Enterprise (CVE-2026-20253) voort op de lijst van actief misbruikte kwetsbaarheden van het Amerikaanse CISA en het NCSC. In Foxit PDF Reader en Editor werden 22 kwetsbaarheden gedicht die code-uitvoering via een kwaadaardig document mogelijk maakten, en in Apache Camel maakt een kritiek lek uitvoering van code op afstand via een geprepareerde e-mail mogelijk. Siemens bracht updates uit voor ernstige lekken in zijn SICORE Base systemen voor de industrie, en Juniper dichtte meerdere kwetsbaarheden in Junos OS.

Twee zaken vallen apart op. Onderzoeker MrBruh vond een ernstig lek in de Motorola MR2600 router waarmee een aanvaller op het lokale netwerk zonder inloggen de controle overneemt door kwaadaardige firmware te uploaden. Het toestel is einde levensduur en krijgt geen updates meer, dus de enige echte oplossing is vervanging. En Progress vroeg klanten van ShareFile om hun zelfbeheerde Storage Zone Controllers volledig uit te schakelen wegens een geloofwaardige dreiging waarvan de aard niet is bekendgemaakt, een opvallende stap die suggereert dat een patch alleen niet volstaat.

Ransomware blijft de Benelux raken

Het meest concrete incident is bevestigd. Bij een IT-dienstverlener van Lidl kregen onbekenden kortstondig toegang tot een apart bewaard bestand met klantgegevens van de Belgische webshop. Gestolen zijn aanspreking, naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer, terwijl wachtwoorden en betaalgegevens buiten schot bleven. Lidl heeft de getroffen klanten geïnformeerd en gewaarschuwd voor phishing. Dat de inbraak bij een leverancier plaatsvond en niet bij Lidl zelf, onderstreept hoe een keten zo sterk is als haar zwakste schakel.

Op het darkweb verschenen daarnaast meerdere vermeende slachtoffers. De groep LockBit 5 claimde het Nederlandse mediaservicemaastricht.nl, de groep Deadlock het Nederlandse VBW Makelaars en Taxateurs en de groep Everest het Belgische vastgoedbedrijf Rodschinson Investment. Geen van deze claims is onafhankelijk bevestigd, dus terughoudendheid is op zijn plaats, maar de spreiding over media, makelaardij en vastgoed laat zien dat ransomwaregroepen geen sector overslaan.

Nieuw op het toneel is de groep D1R, die via darkweb monitoring opdook met een eigen lekportaal en zich richt op de toeleveringsketen van de halfgeleiderindustrie. De groep claimt te zijn binnengedrongen bij een leverancier van ontwerpsoftware en noemt bekende chipnamen als vermeend slachtoffer, al zijn die beweringen niet bevestigd. Onderzoekers wezen verder op The Gentlemen, ook bekend als Storm-2697, een dienst die affiliates een ongebruikelijk hoge uitbetaling van 90 procent van het losgeld biedt. Het zijn stuk voor stuk signalen dat het criminele verdienmodel achter ransomware zich verder professionaliseert.

AI wordt een aanvalsplatform

De lijn die we vorige keer bij de AI-codeerassistenten zagen, zet stevig door. Onderzoekers van ZeroBEC beschreven Forg365, een phishingdienst tegen Microsoft 365 die via Telegram wordt verhuurd voor ongeveer 400 dollar per maand. Het platform combineert diefstal van sessietokens met een ingebouwde functie die met kunstmatige intelligentie overtuigende lokmails opstelt, zodat een aanvaller geen eigen infrastructuur meer nodig heeft. Omdat het gestolen token de meervoudige verificatie omzeilt, is alleen het wachtwoord wijzigen na een inbraak niet genoeg, sessies en tokens moeten worden ingetrokken.

Ook de beeldkant wordt een wapen. Op het darkweb dook Maskify op, een dienst die met kunstmatige intelligentie in realtime een gezicht wisselt tijdens een videogesprek, waarmee een oplichter zich kan voordoen als een collega of leidinggevende. Daarnaast toonden onderzoekers de aanvalsmethode Ghostcommit, waarbij kwaadaardige instructies verstopt worden in een afbeelding zodat een AI-codeerassistent de sleutels uit een project weglekt terwijl een menselijke reviewer de afbeelding nooit opent. Een bekend gezicht op beeld of een goedgekeurde pull request is dus geen bewijs meer dat iets veilig is.

Diezelfde week liet zien dat ook de klassieke toeleveringsketen onder druk staat. Bij het cryptoproject Injective Labs werd de GitHub-repository gekaapt om een malafide pakket op de npm-registry te zetten dat privésleutels van cryptowallets stal, en bij het populaire pakket jscrambler werden vijf kwaadaardige versies gepubliceerd die browsergegevens buitmaakten. Voor Android analyseerden onderzoekers een nieuwe versie van de bankmalware RedHook, die via nepversies van Google Play de draadloze debugfunctie misbruikt om vergaande rechten te krijgen.

Een Belgische overwinning en de strijd om soevereiniteit

Er was ook een duidelijke overwinning voor de consument. Het Belgische Hof van Cassatie definieerde in een arrest van 29 juni 2026 wat grove nalatigheid precies is, en vernietigde een eerder oordeel dat een slachtoffer van bankfraude ruim 24.000 euro zelf liet dragen. Banken moeten voortaan aantonen dat een klant zich gedroeg zoals een normaal zorgvuldige betaler nooit zou doen, wat de lat om terugbetaling te weigeren aanzienlijk verhoogt. Minister van Consumentenbescherming Rob Beenders riep banken op de wet te volgen in plaats van zich erboven te stellen. Voor Belgische banken betekent dit dat het beleid rond phishing tegen het licht moet.

Op beleidsniveau draait het opnieuw om grip en soevereiniteit. Nederlandse toezichthouders waarschuwden voor de risico's van een grote afhankelijkheid van Amerikaanse techbedrijven, en een nieuw wetsvoorstel moet via een aanpassing van de Telecommunicatiewet het vervalsen van Nederlandse telefoonnummers tegengaan, een veelgebruikte truc bij telefoon- en sms-fraude. Kennis is macht, en wie zijn eigen afhankelijkheden en blootgestelde apparaten kent, kan ze ook een voor een verkleinen.

De belangrijkste punten

- Russische spionage: de AIVD en MIVD stellen dat Rusland IP-camera's langs Nederlandse militaire routes hackte om transporten naar Oekraïne te volgen.

- CitrixBleed 2: via CVE-2025-5777 gaan aanvallers binnen een uur van inbraak naar ransomware, patch NetScaler direct.

- Benelux ransomware: bevestigd datalek bij Lidl België, plus vermeende darkweb-claims tegen Nederlandse en Belgische bedrijven.

- Nieuwe groep D1R: richt zich op de toeleveringsketen van de halfgeleiderindustrie.

- Forg365: een AI-phishingdienst tegen Microsoft 365, verhuurd via Telegram voor ongeveer 400 dollar per maand.

- België: het Hof van Cassatie versterkt de positie van phishingslachtoffers tegenover hun bank.

Lees ook

- S02E82: AI-assistenten worden aanvalsoppervlak en de politie zoekt de stem achter de hack bij Odido - Het vorige journaal, met de AI-codeerassistenten en het onderzoek naar Odido.

- S02E81: Ransomware sloopt de beveiliging, Cyberbeveiligingswet komt eraan - Over de aanval op beveiligingstools en de nieuwe wet.

- S02E80: AI omzeilt scanners en Nederland kiest voor eigen cloud - Waar AI de aanvalsgrens verlegt en soevereiniteit terugkeert.

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam

MEDIA & ANALYSES

๐ŸŽง Liever luisteren? (Analyse)

Powered by RedCircle

Kies hieronder waar je wilt luisteren

Spotify
RedCircle Alle afleveringen en meer apps
Amazon Music
YouTube
of gebruik een andere podcast app

RSS feed

Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".

https://feeds.redcircle.com/e34e6354-505d-4db4-8d02-3e4cc033e174