Politie ontmantelt fraude van honderd miljoen per maand en aanvallers misbruiken SonicWall zerodays

Gepubliceerd op 17 juli 2026 om 19:55

S02E84

S 02 E 84 Thumbnail Png

Afbeelding โ€“ 2,0 MB 1 download

Vond je dit artikel interessant of nuttig?

De grootste overwinning van deze week komt uit eigen huis. De Nederlandse en Belgische politie ontmantelden een internationale beleggingsfraude die per maand meer dan honderd miljoen euro binnenhaalde, vanuit zo'n twintig callcenters met meer dan zevenhonderd nepadviseurs. Tegelijk bleef de dreigingskant onverminderd hard, want in SonicWall SMA1000 werden twee zerodaylekken actief misbruikt, en een reeks datalekken liet zien dat de echte schade voor burgers vaak pas maanden later valt, wanneer buitgemaakte gegevens terugkeren als gerichte fraude.

Daaronder liep opnieuw de rode draad van kunstmatige intelligentie, die zich ontpopt tot zowel een operationeel wapen als een nieuw aanvalsoppervlak, en de strijd om digitale soevereiniteit, met een aangescherpte Russische spionagecampagne en een Rijksoverheid die bewust voor Europese beveiliging kiest. Om je te verdedigen moet je weten hoe ze aanvallen, dus dit is wat er speelde van dinsdag 14 tot en met vrijdag 17 juli 2026.

Datalekken raken burgers, de schade komt later

Het meest tastbare gevaar dook op bij gewone reizigers. Via de Franse campingboekingssite Secureholiday werden de gegevens van bijna 42.000 Nederlandse kampeerders buitgemaakt bij een inbraak die al eind februari plaatsvond bij vijfhonderd campings. Gelekt zijn namen, e-mailadressen, bestemmingen, boekingsdata en betaalde bedragen. De diefstal kwam pas maanden later aan het licht toen criminelen gerichte phishingberichten stuurden met kloppende reserveringsgegevens. Veertien mensen zijn opgelicht, van wie zes Nederlanders, en veel campings lichtten hun gasten laat of niet in. Precies daar zit de les, want een datalek eindigt niet bij de melding.

Dat de zwaarste schade soms uit een goedbedoeld proces komt, bleek bij de Nederlandse gemeenten. Uit onderzoek van NOS en Nieuwsuur bleek dat in 255 openbaar gepubliceerde documenten een burgerservicenummer zichtbaar was. In één stuk van de gemeente Pijnacker-Nootdorp stonden naam, adres, telefoonnummer, mailadres en burgerservicenummer van 43 inwoners. Meerdere gemeenten haalden documenten offline. Een burgerservicenummer dat eenmaal online staat, krijg je nooit meer helemaal terug, en het grootste privacyrisico lag hier niet bij criminelen maar bij afscherming die tekortschoot.

De diefstal via misleiding bleef ondertussen groot. Bij de luchtvaartmaatschappij Qantas werden 5.670.000 klantrecords buitgemaakt nadat een medewerker van een externe dienstverlener telefonisch werd misleid en de aanvaller zo toegang kreeg tot Salesforce. Bij de fabrikant Fluke publiceerde de groep ShinyHunters ruim honderd gigabyte data met naar schatting 821.100 accounts. Op het darkweb bood een verkoper een vermeende database van 51 miljoen gebruikers van Badoo aan, en verschenen de Nederlandse financiële dienstverlener ASA International en de Nederlandse Vee- en Vleeshandel A.G. Scholtes als vermeende slachtoffers van de groepen INC Ransom en PLAY. Die laatste claims zijn niet bevestigd, dus terughoudendheid is op zijn plaats.

SonicWall zerodays en een golf actief misbruikte lekken

Voor beheerders was het opnieuw dringen. Het urgentst zijn twee lekken in SonicWall SMA1000, apparatuur voor externe toegang tot bedrijfsnetwerken. Het ernstigste, CVE-2026-15409, is een server side request forgery met de maximale score van 10.0 en werkt zonder inloggegevens. Onderzoekers van Rapid7 zagen aanvallers dit combineren met CVE-2026-15410 om inloggegevens en codes voor tweestapsverificatie buit te maken. Beide werden actief misbruikt als zeroday, dus patchen kan niet wachten. Kort daarna nam het Amerikaanse CISA nog twee lekken in Fortinet FortiSandbox en een lek in Microsoft SharePoint op in zijn lijst met aantoonbaar misbruikte kwetsbaarheden.

De golf ging verder. Adobe bracht ColdFusion 2025 Update 11 en ColdFusion 2023 Update 22 uit die twaalf kritieke lekken dichten, waarvan CVE-2026-48318 met een score van 9.9 het gevaarlijkst is, en adviseerde patchen binnen 72 uur. Het Amerikaanse CISA waarschuwde daarnaast dat de Russische inlichtingendienst FSB een achttien jaar oud lek in Cisco routers, CVE-2008-4128, en een lek uit 2018 in de Smart Install functie misbruikt. Mozilla dichtte twee kritieke lekken in Firefox, CVE-2026-15718 en CVE-2026-15719, waarvoor de exploitcode al openbaar was, en riep gebruikers op bij te werken naar versie 152.0.6.

Twee zaken sprongen eruit door hun manier van werken. In de populaire editor Cursor bleek een ongepatcht zerodaylek willekeurige code uit te voeren zodra een ontwikkelaar een kwaadaardige map opent, simpelweg omdat de editor een bestand met de naam git.exe uit de projectmap automatisch draait. Beveiligingsbedrijf Mindgard meldde het lek al in december 2025 en maakte het na zeven maanden zonder oplossing volledig openbaar. Cursor bracht pas rond de openbaarmaking stilletjes een fix uit, zonder beveiligingsadvies en zonder CVE-nummer. Zulke stille reparaties zijn precies waar toezichthouders deze week voor waarschuwden.

AI wordt een wapen en een aanvalsoppervlak

De lijn die we vorige keer bij de AI-assistenten zagen, zette deze week stevig door. Onderzoekers van Trend Micro beschreven hoe een Russischtalige crimineel de open source tool Gemini CLI van Google misbruikte als volwaardige hackagent. In meer dan tweehonderd sessies bouwde en beheerde de aanvaller met behulp van de AI een klein botnet, dat onder meer acht systemen in een tandartspraktijk en de bijbehorende patiëntendatabase overnam. Toen hij zijn commandostructuur moest verplaatsen, regelde de AI de volledige migratie in zes minuten. De crimineel typte instructies in gewone taal en liet het denkwerk aan de machine.

Ook de andere kant van AI kwam terug. Onderzoekers van Hacktron toonden dat een geavanceerd taalmodel zelfstandig een werkende exploitketen voor Google Chrome kon bouwen, uitsluitend op basis van openbare beveiligingspatches, wat de tijd tussen een patch en misbruik verder verkort. Unit 42 van Palo Alto Networks ontleedde het botnet TuxBot v3, dat zichtbaar met hulp van een taalmodel was geschreven en zich richt op zeventien soorten apparaten. En Microsoft zag op 14 juli een aanval op de toeleveringsketen, waarbij binnen negentig minuten vijf besmette versies van vier pakketten van AsyncAPI met de malware Miasma naar npm werden gepubliceerd.

De hulpmiddelen met AI zelf werden ook een doelwit. Onderzoekers van Oasis Security beschreven een lek in Claude Desktop, waarmee één klik op een prepareerde link de assistent ongemerkt opdrachten kon laten uitvoeren via het aangepaste adresschema van de applicatie. Anthropic heeft het lek verholpen en vraagt gebruikers voortaan om een via zo'n link aangeboden opdracht eerst te beoordelen. Een handig hulpmiddel is dus net zo goed een deur, en die deur staat open tot je hem zelf sluit.

Opsporing slaat terug

Het goede nieuws was groot. De Nederlandse politie ontmantelde samen met Belgische collega's een internationale beleggingsfraude die naar schatting tienduizenden slachtoffers maakte en per maand meer dan honderd miljoen euro binnenhaalde. De organisatie werkte vanuit zo'n twintig callcenters met meer dan zevenhonderd medewerkers die zich voordeden als financiële adviseurs, toonde slachtoffers valse dashboards met verzonnen winsten en liet hen bijstorten in cryptovaluta. De hoofdverdachte is een 46-jarige man met de Israëlische en Poolse nationaliteit, in het verleden vervolgd voor het hacken van buitenlandse overheidsorganisaties en bekend als ervaren hacker. Zijn technische kennis hielp de groep lang uit handen van justitie te blijven. Alleen al in Nederland zijn ruim 550 meldingen en een verlies van 28,6 miljoen dollar aan de zaak gekoppeld, en zes Nederlandse verdachten zitten inmiddels vast. De politie zette daarnaast de site operation-sunflower.com online, waarop een klok aftelt naar het openbaar maken van ongeveer zevenhonderd pseudoniemen van betrokken accountmanagers.

Ook internationaal werd doorgepakt. Het Amerikaanse ministerie van Justitie klaagde twee inwoners van New York aan voor het witwassen van 43 miljoen dollar uit beleggingsfraude, met geld dat via ongeveer 140 rekeningen van circa 45 lege vennootschappen naar China liep. Een Britse rechtbank veroordeelde twee leden van de groep Scattered Spider ieder tot vijf jaar en zes maanden cel voor de cyberaanval op Transport for London in augustus 2024.

De aanpak richtte zich bewust ook op de dienstverleners achter de aanvallen. Het Amerikaanse ministerie van Justitie klaagde drie Russen en de bedrijven Medialand en ML.Cloud aan, die groepen als LockBit, BlackSuit en Play van afgeschermde hosting voorzagen, goed voor een geschatte schade van meer dan 62 miljoen dollar. Dezelfde week werd de dienst First VPN gesanctioneerd, klaagde de Britse opsporing vijf mensen aan rond de nepbeldienst Russian Coms, en veroordeelde een rechtbank in Wales de beheerder van het doxingplatform Doxbin. Wie de gereedschappen van de criminaliteit aanpakt, verstoort veel bendes tegelijk.

Russische spionage escaleert en Nederland kiest voor Europa

Op het spionagefront volgde de diplomatieke rekening. Na de eerder gemelde Russische hack van camera's langs militaire routes ontbood Nederland de Russische ambassadeur. De Europese Unie en het Verenigd Koninkrijk stelden gelijktijdig sancties in tegen Russische staatsactoren en criminele dienstverleners, met negen personen en vier organisaties aan Europese zijde en vierentwintig aan Britse zijde. Cyberautoriteiten uit twaalf landen waarschuwden bovendien dat het zestiende centrum van de FSB slecht beveiligde routers misbruikt bij vitale sectoren, en de Franse dienst ANSSI schreef een langlopende spionageoperatie met de werkwijze van Turla aan dezelfde dienst toe.

Als antwoord op die druk kiest de overheid nadrukkelijk voor eigen grip. De Rijksoverheid sloot een raamovereenkomst met het Europese beveiligingsbedrijf ESET om de afhankelijkheid van Amerikaanse partijen te verkleinen, en noemde open source een fundamenteel middel voor digitale soevereiniteit. Diezelfde lijn zag je bij de beheerder van DigiD, want Solvinity verloor bij de rechtbank Rotterdam het kort geding tegen het overheidsverbod op een overname door het Amerikaanse Kyndryl. Ondertussen nadert de Cyberbeveiligingswet, die op 15 augustus in werking treedt en ruim achtduizend organisaties raakt. Kennis is macht, en wie zijn eigen afhankelijkheden en blootgestelde systemen kent, kan ze een voor een verkleinen.

De belangrijkste punten

- Operation Sunflower: de Nederlandse en Belgische politie ontmantelen een beleggingsfraude van meer dan honderd miljoen euro per maand, met zes Nederlandse verdachten vast.

- SonicWall zerodays: CVE-2026-15409 en CVE-2026-15410 in SMA1000 worden actief misbruikt, patch apparatuur voor externe toegang direct.

- Datalekken: bijna 42.000 Nederlanders getroffen via Secureholiday en 255 gemeentedocumenten met een zichtbaar burgerservicenummer.

- AI als hackagent: een crimineel bouwde met Gemini CLI een botnet en migreerde zijn commandostructuur in zes minuten.

- Cursor zeroday: een kwaadaardige map voert code uit via een bestand git.exe, zeven maanden zonder patch en zonder CVE.

- Soevereiniteit: Nederland ontbiedt de Russische ambassadeur en kiest met een overeenkomst met ESET bewust voor Europese beveiliging.

Lees ook

- S02E83: Rusland bespioneert Nederland via camera's en CitrixBleed 2 versnelt de ransomware - Het vorige journaal, met de camerahack en de snelle ransomware.

- S02E82: AI-assistenten worden aanvalsoppervlak en de politie zoekt de stem achter de hack bij Odido - Over AI als aanvalsoppervlak en het onderzoek naar Odido.

- S02E81: Ransomware sloopt de beveiliging, Cyberbeveiligingswet komt eraan - Over de aanval op beveiligingstools en de nieuwe wet.

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam

MEDIA & ANALYSES

๐ŸŽง Liever luisteren? (Analyse)

Powered by RedCircle

Kies hieronder waar je wilt luisteren

Spotify
RedCircle Alle afleveringen en meer apps
Amazon Music
YouTube
of gebruik een andere podcast app

RSS feed

Gebruik je Pocket Casts, Overcast of een andere app voor podcasts? Kopieer de link hieronder en plak die in je app onder "Voeg podcast toe via URL".

https://feeds.redcircle.com/e34e6354-505d-4db4-8d02-3e4cc033e174