Actuele Cyberaanvallen

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

Onderzoekers op het gebied van cyberbeveiliging hebben details openbaar gemaakt over een nieuwe variant van de Shai-Hulud malware die is aangetroffen in de npm-registry. Daarnaast is er een kwaadaardig pakket geïdentificeerd op Maven Central dat zich voordeed als een legitieme bibliotheek om gevoelige gegevens te stelen en malware te verspreiden. Beide incidenten tonen aan hoe aanvallers vertrouwde afhankelijkheden misbruiken in de softwareketen.

Het npm-pakket dat de nieuwe Shai-Hulud variant bevat, draagt de naam @vietmoney/react-big-calendar. Dit pakket werd oorspronkelijk in maart 2021 geüpload door een gebruiker genaamd hoquocdat, maar ontving op 28 december 2025 een update naar versie 0.26.2. Hoewel het pakket in totaal 698 keer is gedownload, is de laatste versie 197 keer binnengehaald. Beveiligingsonderzoekers melden dat er nog geen grote verspreiding of infecties zijn waargenomen, wat suggereert dat de aanvallers hun payload waarschijnlijk aan het testen waren. Uit analyse van de code blijkt dat deze opnieuw is geobfusceerd vanuit de broncode, wat impliceert dat de daders toegang hebben tot de originele broncode van de worm en niet slechts kopieerders zijn.

De Shai-Hulud aanval werd voor het eerst waargenomen in september 2025. Hierbij stalen getrojaniseerde npm-pakketten gevoelige data zoals API-sleutels en inloggegevens, die vervolgens naar GitHub-repositories werden gestuurd. Een tweede golf volgde in november 2025. Een cruciaal kenmerk van deze campagne is het vermogen om gestolen npm-tokens te gebruiken om andere pakketten van de ontwikkelaar op te halen, deze te infecteren met dezelfde kwaadaardige code en opnieuw te publiceren. Dit mechanisme zorgt voor een worm-achtige verspreiding binnen de toeleveringsketen.

De recent ontdekte variant vertoont diverse wijzigingen ten opzichte van eerdere versies. Het initiële bestand heet nu bun_installer.js en de hoofdlading wordt aangeduid als environment_source.js. De GitHub-repositories waarnaar de geheimen worden gelekt, dragen de beschrijving "Goldox-T3chs: Only Happy Girl". De bestandsnamen waarin de gestolen geheimen worden opgeslagen zijn gewijzigd naar onder meer 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json en actionsSecrets.json. Een opvallende verandering is de verwijdering van de zogenaamde dead man switch, die in eerdere versies zorgde voor het wissen van data als er geen tokens werden gevonden. Daarnaast zijn er verbeteringen doorgevoerd in de foutafhandeling en de manier waarop pakketten worden gepubliceerd op basis van het besturingssysteem.

Naast de npm-malware is er ook een kwaadaardig pakket op Maven Central aangetroffen. Het pakket org.fasterxml.jackson.core/jackson-databind deed zich voor als de legitieme Jackson JSON-bibliotheek com.fasterxml.jackson.core. Dit is een vorm van typosquatting waarbij misbruik wordt gemaakt van de visuele gelijkenis tussen org en com in de naamgeving. Het pakket is inmiddels offline gehaald. Binnen het Java Archive-bestand bevond zich zwaar geobfusceerde code die automatisch werd uitgevoerd zodra een ontwikkelaar de afhankelijkheid toevoegde aan een Spring Boot-applicatie. De malware controleerde op de aanwezigheid van een bestand genaamd .idea.pid om te bepalen of het op een ontwikkelaarsmachine draaide; als dit bestand werd gevonden, stopte de malware om detectie te voorkomen.

Vervolgens nam de malware contact op met een externe server op het domein m.fasterxml.org om een versleutelde payload op te halen. Deze payload betreft een Cobalt Strike beacon, een tool die doorgaans wordt gebruikt voor simulaties door beveiligingsteams maar hier wordt misbruikt voor post-exploitatie. Op Windows-systemen werd een bestand genaamd svchosts.exe gedownload, terwijl macOS-systemen een payload genaamd update ontvingen. Het gebruikte domein fasterxml.org werd geregistreerd op 17 december 2025, kort voor de detectie van het pakket. Het incident legt een zwakke plek bloot in de detectiemogelijkheden van Maven Central met betrekking tot pakketten die legitieme naamruimtes imiteren.

Bron 1, 2, 3, 4, 5

Large Language Models hebben de softwareontwikkeling ingrijpend veranderd door programmeermogelijkheden toegankelijk te maken voor een breed publiek. Deze toegenomen toegankelijkheid heeft echter geleid tot een nieuwe beveiligingscrisis, waarbij geavanceerde AI-tools nu als wapen worden ingezet voor het automatiseren van complexe exploits tegen bedrijfssoftware. Deze ontwikkeling vormt een fundamentele uitdaging voor de huidige beveiligingsprincipes, waarbij de technische complexiteit van het uitbuiten van kwetsbaarheden voorheen fungeerde als een natuurlijke barrière tegen minder ervaren aanvallers.

Het dreigingslandschap ondergaat een snelle evolutie nu kwaadwillenden deze modellen gebruiken om theoretische beschrijvingen van kwetsbaarheden om te zetten in werkende aanvalsscripts. Door LLM's te manipuleren, kunnen aanvallers veiligheidsmechanismen omzeilen en functionele exploits genereren voor kritieke systemen, zonder dat zij diepgaande kennis nodig hebben van interne systeemprocessen of geheugenbeheer. Deze capaciteit stelt personen met beperkte programmeerkennis in staat om effectieve cyberaanvallen uit te voeren op productieomgevingen, waardoor de drempel voor succesvolle aanvallen aanzienlijk wordt verlaagd.

Onderzoekers van de Universiteit van Luxemburg en de Universiteit Cheikh Anta Diop hebben deze specifieke dreiging in kaart gebracht en gedemonstreerd. In hun studie toonden zij aan dat veelgebruikte modellen zoals GPT-4o en Claude via social engineering gemanipuleerd kunnen worden om beveiligingslekken te misbruiken. De onderzoekers demonstreerden dat deze AI-modellen in staat waren om Odoo ERP-systemen te compromitteren met een succespercentage van 100 procent. De studie benadrukt dat het onderscheid tussen technische en niet-technische aanvallers hierdoor vervaagt, aangezien aanvallers systematisch kwetsbare softwareversies kunnen identificeren en deze kunnen inzetten voor geautomatiseerde tests om aanvallen snel te verfijnen.

De kern van deze dreiging ligt in de RSA-strategie, wat staat voor Role-play, Scenario en Action. Deze geavanceerde pretexting-techniek wordt gebruikt om de veiligheidsfilters van LLM's systematisch te omzeilen door de context waarin een vraag wordt gesteld te manipuleren. In plaats van direct om een schadelijke exploit te vragen, hanteert de aanvaller een gelaagde aanpak om het model te misleiden. Eerst krijgt het model een onschuldige rol toegewezen, zoals die van een onderzoeker of educatieve assistent. Vervolgens wordt een scenario geschetst waarin de vraag binnen een veilige omgeving wordt geplaatst, zoals een laboratoriumtest of een bug bounty-programma. Tot slot wordt de AI gevraagd om specifieke acties uit te voeren die de benodigde code genereren.

Deze vorm van gestructureerde manipulatie omzeilt de ingebouwde veiligheidstraining van de modellen effectief. Het model raakt ervan overtuigd dat het genereren van de code een legitieme en behulpzame handeling is. De output resulteert vaak in volledig functionele scripts in talen zoals Python of Bash, waarmee acties zoals SQL-injecties of het omzeilen van authenticatie kunnen worden uitgevoerd. De bevindingen tonen aan dat de huidige veiligheidsmaatregelen ontoereikend zijn tegen deze vorm van contextbewuste social engineering en dat traditionele aannames over de technische drempels voor cyberaanvallen herzien moeten worden.

Bron 1

Een nieuwe variant van de GlassWorm-malware richt zich specifiek op macOS-systemen door gebruik te maken van kwaadaardige extensies voor Visual Studio Code. Deze zelfverspreidende worm wordt gedistribueerd via de Open VSX-marktplaats en heeft in korte tijd meer dan 50.000 downloads verzameld. De huidige aanvalscampagne markeert een belangrijke verschuiving in de strategie van de dreigingsactor, die voorheen voornamelijk Windows-gebruikers als doelwit had. De vierde golf van deze malware introduceert geavanceerde ontwijkingstechnieken en versleutelde payloads om detectie door beveiligingssoftware te voorkomen.

De verspreiding vindt plaats via drie specifieke extensies genaamd pro-svelte-extension, vsce-prettier-pro en full-access-catppuccin-pro-extension. Onderzoek heeft uitgewezen dat deze extensies verbonden zijn via een gedeelde infrastructuur en identieke encryptiesleutels. In tegenstelling tot eerdere versies die gebruikmaakten van onzichtbare Unicode-tekens of Rust-binaries, vertrouwt de nieuwste iteratie op JavaScript-payloads die met AES-256-CBC zijn versleuteld. Deze payloads zijn specifiek ontworpen voor de macOS-architectuur en maken gebruik van AppleScript voor uitvoering en LaunchAgents voor persistentie op het systeem.

Een opvallend kenmerk van deze malware is het mechanisme om zandbakomgevingen te misleiden. Na installatie wacht de extensie exact vijftien minuten voordat de kwaadaardige code wordt geactiveerd. Omdat de meeste geautomatiseerde beveiligingsscanners een time-out hebben van vijf minuten, wordt de extensie tijdens de eerste analyse als legitiem geclassificeerd. Zodra de vertragingstijd is verstreken, wordt de versleutelde payload gedecodeerd en uitgevoerd met behulp van de ingebouwde cryptografische functies van de extensie.

De aansturing van de malware verloopt via de Solana-blockchain, wat het voor autoriteiten uiterst moeilijk maakt om de infrastructuur offline te halen. De aanvaller publiceert base64-gecodeerde URL's in transactiememo's op de blockchain, waardoor de geïnfecteerde systemen gedecentraliseerde instructies kunnen ontvangen zonder afhankelijk te zijn van traditionele domeinnamen die geblokkeerd kunnen worden. Onderzoekers hebben de infrastructuur herleid naar het IP-adres 45.32.151.157, dat consistent is met eerdere golven van GlassWorm-activiteit.

De functionaliteit van de malware omvat het stelen van gevoelige informatie en het compromitteren van hardware-wallets. De code is in staat om directe toegang te verkrijgen tot de macOS Keychain-database om opgeslagen wachtwoorden en inloggegevens te ontvreemden. Daarnaast bevat de infrastructuur voorbereidingen om applicaties zoals Ledger Live en Trezor Suite te vervangen door getrojaniseerde versies. Gestolen gegevens worden tijdelijk opgeslagen in de directory /tmp/ijewf/, gecomprimeerd en vervolgens geëxfiltreerd naar een externe server op het adres 45.32.150.251/p2p.

Bron 1

Het Belgium Anti-Phishing Shield (BAPS), een technische beveiligingsmaatregel op basis van het Domain Name System, heeft in het afgelopen jaar 200 miljoen keer ingegrepen bij het surfgedrag van Belgische internetgebruikers. Uit cijfers die vandaag door de Belgische overheid zijn gepubliceerd, blijkt dat providers burgers even zo vaak hebben doorgestuurd naar een waarschuwingspagina. Dit mechanisme wordt geactiveerd wanneer een gebruiker een domein probeert te bezoeken dat voorkomt op een centrale lijst met malafide websites.

De technische infrastructuur van het filter leunt op de samenwerking tussen de overheid en internetproviders. De verantwoordelijke instantie voor cybersecurity in België analyseert dreigingen en distribueert een lijst met onveilige URL's naar de providers. Wanneer een DNS-verzoek van een abonnee overeenkomt met een item op deze lijst, wordt de verbinding met de oorspronkelijke server onderbroken en verschijnt er een waarschuwing. De data voor dit filter is voor een aanzienlijk deel afkomstig van meldingen uit de samenleving. In het afgelopen jaar werden bijna tien miljoen verdachte berichten door burgers doorgestuurd naar de bevoegde dienst, waarna deze informatie werd gebruikt voor de verrijking van de blocklist.

Parallel aan de Belgische resultaten wordt in Nederland de effectiviteit van een soortgelijke technologie onderzocht. Onder de noemer Anti-Phishing Shield (APS) is eind juli vorig jaar een pilot gestart. In deze testfase werken een grote telecomprovider en het Nationaal Cyber Security Centrum (NCSC) samen om te bezien of een dns-gebaseerd filter op nationale schaal haalbaar is. In tegenstelling tot de bredere uitrol in België, betreft het Nederlandse experiment vooralsnog een specifieke klantengroep die zich via een opt-in constructie vrijwillig heeft aangemeld voor de beveiligingsdienst.

De Nederlandse pilot heeft een looptijd van zes maanden en dient als basis voor politieke besluitvorming. Demissionair minister Van Oosten van Justitie en Veiligheid heeft aangegeven dat de resultaten zullen worden geëvalueerd om te bepalen of een structurele en landelijke implementatie wenselijk is. Bij deze evaluatie wordt tevens gekeken naar de mogelijkheid om in de toekomst meerdere partijen uit de telecomsector bij het initiatief te betrekken. De focus van het onderzoek ligt op de technische effectiviteit van de blokkades en de impact op de eindgebruiker.

Bron 1

Binnen de Cardano-gemeenschap is een geavanceerde phishingcampagne actief die zich richt op gebruikers van de Eternl-wallet. De aanval maakt gebruik van professioneel opgestelde e-mails waarin de lancering van een officiële Eternl Desktop-applicatie wordt aangekondigd. In deze berichten worden ontvangers verleid met beloften over veilige staking-mogelijkheden en deelname aan governance. Om de geloofwaardigheid te vergroten, verwijzen de aanvallers naar ecosysteem-gebonden prikkels, zoals NIGHT- en ATMA-tokenbeloningen via het Diffusion Staking Basket-programma.

De frauduleuze e-mails zijn nagenoeg identieke replica's van legitieme communicatie en bevatten gedetailleerde informatie over hardware wallet-compatibiliteit, lokaal sleutelbeheer en geavanceerde delegatie-instellingen. Door het hanteren van een zakelijke toon en het ontbreken van taalfouten straalt de campagne autoriteit uit. Gebruikers worden naar een recent geregistreerd domein geleid, download.eternldesktop.network, waar een kwaadaardig installatiepakket wordt aangeboden dat niet is voorzien van officiële digitale handtekeningen.

Technisch onderzoek heeft uitgewezen dat het aangeboden MSI-bestand, met een omvang van 23,3 megabyte en hashwaarde 8fa4844e40669c1cb417d7cf923bf3e0, een verborgen remote management tool bevat. Na installatie plaatst de software een uitvoerbaar bestand genaamd unattended-updater.exe op het systeem, wat de legitieme tool GoTo Resolve Unattended Updater blijkt te zijn. Tijdens de uitvoering creëert dit bestand een specifieke mappenstructuur in de Program Files-directory en genereert het diverse configuratiebestanden, waaronder unattended.json.

Deze configuratie maakt het mogelijk om op afstand toegang te verkrijgen tot het systeem zonder dat de gebruiker hiervan op de hoogte is. Uit netwerkanalyses blijkt dat de malware verbinding maakt met infrastructuren van legitieme GoTo Resolve-diensten. Hierbij wordt systeeminformatie in JSON-formaat verzonden naar externe servers via hardgecodeerde API-referenties. Op deze wijze wordt een communicatiekanaal opgezet voor het uitvoeren van opdrachten op afstand en het monitoren van het geïnfecteerde systeem.

Beveiligingsonderzoekers classificeren deze campagne als een vorm van supply-chain misbruik. Door remote management tools te bundelen met vermeende wallet-software, verkrijgen actoren langdurige toegang tot systemen, wat kan leiden tot het oogsten van inloggegevens en diefstal van cryptovaluta. De campagne illustreert hoe actuele thema's binnen de cryptogemeenschap worden misbruikt om schadelijke software te verspreiden.

Bron 1

Op 2 januari 2026 is een grootschalige aanval vastgesteld die honderden digitale portefeuilles treft verspreid over diverse EVM-compatibele blockchains. On-chain data wijzen uit dat er systematisch fondsen worden onttrokken in kleine bedragen, waarbij de buit per wallet doorgaans onder de 2.000 dollar blijft. De totale gedocumenteerde schade is inmiddels opgelopen tot boven de 107.000 dollar en neemt nog steeds toe.

De onderliggende oorzaak van deze diefstallen is op dit moment nog onbekend. Er is nog geen uitsluitsel of het gaat om een lek in een specifiek protocol, een kwaadaardige interactie met een smart contract of een andere vorm van exploit. De onttrekkingen zijn direct gekoppeld aan het verdachte adres 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB, waar de gestolen activa van de verschillende ketens worden verzameld.

Omdat de aanval meerdere ketens binnen het EVM-ecosysteem treft, is de reikwijdte aanzienlijk. Experts monitoren de bewegingen op de blockchain om de exacte methode van de aanvallers te achterhalen. Gebruikers wordt geadviseerd hun wallet-activiteit nauwgezet te controleren, aangezien de aanval op dit moment nog voortduurt en de technische kwetsbaarheid nog niet is geïdentificeerd.

Op 1 januari 2026 is op een dark web-forum een advertentie geplaatst waarin toegang wordt aangeboden tot een intern administratief paneel van de cryptocurrency-exchange Kraken. De aanbieder beweert over 'read-only' toegang te beschikken, wat zou betekenen dat gegevens kunnen worden ingezien zonder deze direct te kunnen wijzigen. Volgens de advertentie omvat deze toegang de mogelijkheid om gebruikersprofielen en de volledige transactiehistorie te bekijken. Ook wordt geclaimd dat volledige Know Your Customer (KYC) documentatie, zoals identiteitsbewijzen, selfies en bewijzen van adres, via dit paneel inzichtelijk zijn.

Een specifiek risico dat in de advertentie wordt genoemd, is de mogelijkheid om supporttickets te genereren. Hoewel de toegang beperkt zou zijn tot lezen, kan het aanmaken van tickets worden misbruikt voor social engineering en phishing-aanvallen. De verkoper stelt dat de toegang niet gebonden is aan IP-restricties en dat de beveiliging via Time-based One-Time Password (TOTP) pas in februari 2026 zou verlopen. De startprijs voor deze toegang is opvallend laag en begint bij één dollar, waarbij de uiteindelijke prijs onderhandelbaar zou zijn.

Beveiligingsexperts en analisten uiten aanzienlijke twijfel over de authenticiteit van het aanbod. De extreem lage prijs en bepaalde technische inconsistenties in de beschrijving van de TOTP-beveiliging wijzen volgens critici mogelijk op een poging tot oplichting op het forum zelf. Er is tot op heden geen officiële bevestiging van de exchange dat er daadwerkelijk systemen zijn gecompromitteerd. Desondanks wordt gebruikers geadviseerd alert te zijn op ongebruikelijke communicatie vanuit supportkanalen, aangezien dergelijke claims – zelfs indien onbevestigd – vaak de voorbode zijn van gerichte phishing-campagnes.

Beveiligingsexperts maken melding van een zorgwekkende ontwikkeling rondom het Kimwolf-botnet, dat in korte tijd is uitgegroeid tot een netwerk van meer dan twee miljoen geïnfecteerde apparaten. Het botnet onderscheidt zich door een geavanceerde aanvalsmethode die de traditionele beveiliging van lokale netwerken effectief omzeilt. Waar firewalls en routers normaal gesproken bescherming bieden tegen invloeden van buitenaf, slaagt deze malware erin om via residentiële proxy-netwerken direct toegang te verkrijgen tot apparaten binnen het interne netwerk.

Het onderzoek naar deze dreiging wijst uit dat het merendeel van de infecties zich concentreert op goedkope, veelal merkloze Android TV-boxen en digitale fotolijsten. Deze apparatuur wordt wereldwijd veelvuldig verkocht via grote e-commerceplatformen en beschikt zelden over adequate beveiligingsmaatregelen of authenticatieprocedures. Consumenten schaffen deze apparaten vaak aan voor het streamen van video's of het weergeven van digitale foto's, zonder zich bewust te zijn van de risico's. De malware is in sommige gevallen vooraf geïnstalleerd in de fabriek of wordt binnengehaald via onofficiële app-winkels die nodig zijn om de apparatuur te gebruiken.

De technische werkwijze van Kimwolf is specifiek gericht op het exploiteren van de vertrouwensrelatie binnen een lokaal netwerk. De beheerders van het botnet hebben een manier gevonden om via gecompromitteerde proxy-verbindingen rechtstreeks te communiceren met interne IP-adressen, zoals vastgelegd in de RFC-1918 standaard. Door het manipuleren van DNS-instellingen kunnen aanvallers verkeer tunnelen naar lokale adressen die normaal gesproken niet vanaf het internet bereikbaar zijn. Hierdoor kunnen zij kwaadaardige commando's uitvoeren op apparaten die zich achter de Network Address Translation van de router bevinden.

Een verergerende factor in deze aanvalsketen is de configuratie van de hardware zelf. Onderzoek toont aan dat veel van de getroffen Android-apparaten worden uitgeleverd met de Android Debug Bridge modus standaard ingeschakeld. Deze functie, die bedoeld is voor ontwikkelaars, stelt derden in staat om zonder inloggegevens of wachtwoorden volledige controle over het systeem te verkrijgen. Zodra één apparaat binnen het netwerk is gecompromitteerd, kan dit dienen als springplank om andere kwetsbare systemen op hetzelfde netwerk te infecteren.

De impact van een Kimwolf-infectie is aanzienlijk. De overgenomen apparaten worden door cybercriminelen ingezet voor het uitvoeren van zware DDoS-aanvallen die in staat zijn websites langdurig offline te halen. Daarnaast wordt de bandbreedte van de slachtoffers doorverkocht als onderdeel van proxy-diensten en worden de systemen misbruikt voor advertentiefraude, accountovernames en het massaal verzamelen van data. Hoewel de grootste infectiehaarden zich momenteel in landen als de Verenigde Staten, Rusland, Brazilië en Vietnam bevinden, is de gebruikte apparatuur wereldwijd beschikbaar en vormt de aanvalsmethode een universeel risico voor netwerkbeveiliging.

Bron 1

De start van 2026 kenmerkt zich door een opvallende verschuiving in de presentatie van digitale dreigingen. Cybercriminele organisaties stappen af van traditionele, intimiderende branding en adopteren in plaats daarvan een zakelijke identiteit die nauwelijks afwijkt van reguliere softwareleveranciers. Een recent geïdentificeerde groep die opereert onder de naam 'Impact Solutions' illustreert deze trend door illegale malware-tools aan te bieden via een marketingstrategie die gericht is op efficiëntie en gebruiksvriendelijkheid.

Het centrale product dat door deze groep wordt gepromoot, is 'InternalWhisper'. Dit is een zogeheten crypter, een technisch hulpmiddel dat is ontworpen om de code van schadelijke software te versluieren. Volgens de specificaties van de aanbieders maakt het instrument gebruik van een metamorfe engine die wordt aangestuurd door kunstmatige intelligentie. Hiermee zou de malware bij elke uitvoering de eigen code herschrijven, met als doel detectie door Windows Defender en andere gangbare endpoint-beveiligingsoplossingen te omzeilen. De tool biedt ondersteuning voor diverse systeemarchitecturen en beschikt over functies voor sandbox-evasie en persistentie op geïnfecteerde systemen.

De methodiek van deze groep wijkt af van de gangbare praktijk op het dark web door de nadruk te leggen op een gestroomlijnd distributieproces. In plaats van handmatige transacties wordt gebruikgemaakt van geautomatiseerde webpanels, verschillende abonnementsvormen en een klantgerichte presentatie. De terminologie in de advertenties — waarin termen als 'AI-enhanced' en 'solutions' centraal staan — spiegelt de taal die gebruikelijk is in de legitieme technologiesector. Deze benadering is erop gericht de drempel voor de aanschaf van complexe aanvalsinstrumenten te verlagen.

Technisch gezien blijft de effectiviteit van dergelijke 'AI-gestuurde' instrumenten onderwerp van analyse. Hoewel de crypter is ontworpen om statische detectie op basis van handtekeningen te vermijden, maken moderne beveiligingsinfrastructuren in toenemende mate gebruik van gedragsanalyse om verdachte activiteiten op te sporen. De significante ontwikkeling is echter niet uitsluitend de achterliggende technologie, maar de wijze waarop criminele diensten worden genormaliseerd door middel van bedrijfsmatige marketing. Deze transformatie van cybercrime naar een professioneel ogend servicemodel vormt een nieuwe uitdaging voor de herkenning van dreigingen.

Bron 1

Op een forum voor cybercriminaliteit is een advertentie waargenomen waarin een dreigingsactor, opererend onder de naam bigbandz, de verkoop aankondigt van 1.197 zakelijke fleetcards. De aanbieder stelt dat de dataset niet beperkt blijft tot de huidige lijst, maar ook de toegang tot de bron omvat. Hierdoor zouden er dagelijks naar schatting veertig nieuwe kaarten aan het bestand worden toegevoegd. De aangeboden betaalkaarten hebben volgens de specificaties allemaal het identificatienummer (IIN) 555115, wat relevant kan zijn voor organisaties om te controleren in hun transactielogs.

De herkomst van de kaarten is door de verkoper niet nader gespecificeerd, waardoor de getroffen industrie of geografische regio onbekend blijft. Omdat er geen proefbestanden (samples) zijn vrijgegeven, kan de authenticiteit van de claim niet door derden worden geverifieerd. De verkoopstructuur betreft een veiling waarbij het startbod is vastgesteld op 300 dollar. Geïnteresseerde kopers kunnen het bod verhogen met stappen van 100 dollar of kiezen voor een directe aankoopoptie (blitz) van 500 dollar. De advertentie bevat verder vijandige bewoordingen richting analisten die dreigingsinformatie verzamelen.

Op het dark web is een nieuwe tool verschenen die wordt aangeboden onder de naam Arcana. Het betreft een zogenaamde premium crypter, een instrument dat door actoren wordt gebruikt om de detectie van malware door beveiligingssoftware te voorkomen. De tool wordt gepositioneerd binnen het Malware-as-a-Service model, waarbij de ontwikkelaar, opererend onder het pseudoniem ArcanaSeller, de software tegen betaling beschikbaar stelt aan derden. Het aanbieden van dergelijke gespecialiseerde diensten stelt minder technisch onderlegde actoren in staat om geavanceerde ontwijkingstechnieken toe te passen bij het verspreiden van schadelijke bestanden.

De technische specificaties van Arcana duiden op een focus op het omzeilen van gangbare verdedigingsmechanismen binnen Windows-omgevingen. De aanbieder claimt dat de crypter in staat is om Windows Defender en SmartScreen-beveiligingen te passeren. Een cruciaal onderdeel van de functionaliteit is de ondersteuning voor DLL-sideloading. Bij deze techniek wordt misbruik gemaakt van de manier waarop Windows-applicaties dynamische link-bibliotheken laden, waardoor kwaadaardige code uitgevoerd kan worden onder de vlag van een legitiem proces. De software biedt ondersteuning voor zowel .NET- als native payloads en is geschikt voor x86- en x64-systemen.

Om statische detectie op basis van handtekeningen tegen te gaan, maakt Arcana gebruik van een polymorfe en adaptieve engine. Volgens de advertentie resulteert dit in een zeer lage detectiegraad waarbij slechts nul tot twee van de zesendertig geteste antivirusoplossingen een melding geven. De ontwikkelaars stellen dat de software dagelijks meerdere malen wordt bijgewerkt om effectief te blijven tegenover nieuwe updates van beveiligingsleveranciers. Voor de distributie en ondersteuning wordt gebruikgemaakt van een dedicated team en geautomatiseerde systemen via het Telegram-platform.

De toegang tot de crypter is georganiseerd via verschillende prijsniveaus. Gebruikers kunnen kiezen voor een eenmalige testversleuteling voor dertig dollar of voor wekelijkse abonnementen. Het basispakket kost negenennegentig dollar voor drie versleutelingen, terwijl een uitgebreider pakket voor honderdnegenentachtig dollar zes versleutelingen toestaat. Hoewel er nog geen onafhankelijke monsters (samples) van de door Arcana versleutelde bestanden beschikbaar zijn voor publieke analyse, wijst de opzet van de dienst op een structurele poging om de effectiviteit van endpoint-beveiliging op grote schaal te ondermijnen.

Het gedecentraliseerde platform voor intellectueel eigendom Unleash Protocol is getroffen door een omvangrijke digitale diefstal waarbij ongeveer 3,9 miljoen dollar aan cryptovaluta is ontvreemd. Het incident vond plaats nadat een ongeautoriseerde partij erin slaagde de controle te verkrijgen over het administratieve governance-systeem van het platform. Door deze overname van de zogenaamde multisig-bevoegdheden kon de aanvaller een niet-geautoriseerde upgrade van de smart contracts uitvoeren, wat de weg vrijmaakte voor het opnemen van activa zonder toestemming van het officiële team.

Unleash Protocol functioneert als een besturingssysteem voor het beheer van intellectueel eigendom door dit om te zetten in tokens op de blockchain. Deze tokens kunnen vervolgens binnen het ecosysteem van gedecentraliseerde financiën (DeFi) als onderpand worden gebruikt. Het platform faciliteert tevens de automatische distributie van royalty's en licentie-inkomsten via geprogrammeerde regels in smart contracts. De aanvaller maakte gebruik van de verkregen administratieve rechten om deze regels aan te passen, waardoor verschillende soorten activa konden worden weorgesluisd, waaronder wrapped IP (WIP), USDC, wrapped Ether (WETH), gestaked IP (stIP) en voting-escrowed IP (vIP).

Analyses van beveiligingsexperts van PeckShieldAlert wijzen uit dat de gestolen fondsen via externe infrastructuur zijn overgebracht naar andere adressen om de traceerbaarheid te bemoeilijken. De buitgemaakte cryptovaluta zijn uiteindelijk omgezet in 1.337 ETH en gestort in de cryptomixer Tornado Cash. Deze dienst wordt gebruikt om de herkomst van gelden te verhullen door transacties te anonimiseren via complexe versluieringsmechanismen. Hoewel Tornado Cash in het verleden te maken heeft gehad met internationale sancties, blijft de infrastructuur een instrument voor het verplaatsen van digitale activa buiten het zicht van toezichthouders.

De leiding van Unleash Protocol heeft naar aanleiding van de hack alle operaties op het platform onmiddellijk gepauzeerd. Er is een onderzoek gestart in samenwerking met externe beveiligingsspecialisten om de exacte oorzaak van de inbreuk vast te stellen en mogelijke herstelmaatregelen te verkennen. Gebruikers hebben het advies gekregen om geen interactie aan te gaan met de contracten van het protocol totdat er via de officiële kanalen een bevestiging van veiligheid is gegeven. De focus van het onderzoek ligt op de wijze waarop een extern beheerd adres de administratieve controle over de multisig-governance heeft kunnen bemachtigen.

Bron 1

De illegale handel in hoogwaardige technologie is een groeiend probleem binnen het geopolitieke speelveld tussen de Verenigde Staten en China. In de Amerikaanse staat Texas is een crimineel samenwerkingsverband ontmanteld dat zich schuldig maakte aan het smokkelen van geavanceerde Nvidia-processoren. Volgens de federale aanklagers wisten de betrokkenen tussen oktober 2024 en mei 2025 voor minstens 160 miljoen dollar aan hardware, specifiek de H100- en H200-chips, naar China te exporteren.

De werkwijze van het netwerk kenmerkte zich door fraude en misleiding. Er werd gebruikgemaakt van dekmantelbedrijven en een geheime opslaglocatie in New Jersey om de logistieke keten te verhullen. Om de strenge Amerikaanse exportcontroles te omzeilen, werden de grafische processoren voorzien van valse etiketten met de gefingeerde merknaam Sandkayan. Op de vrachtdocumenten stonden de goederen vervolgens geregistreerd als eenvoudige adapters en controllers, waarna ze via tussenstations naar Hongkong en China werden verscheept. De Amerikaanse justitie benadrukt dat deze chips cruciaal zijn voor de ontwikkeling van militaire AI-toepassingen en daarmee een direct risico vormen voor de nationale veiligheid.

Schattingen van experts wijzen erop dat de omvang van deze illegale stroom aanzienlijk is, waarbij in 2024 mogelijk tienduizenden tot honderdduizenden chips ongezien de grens overgingen. Opmerkelijk genoeg vond de ontmanteling van dit specifieke netwerk plaats op dezelfde dag dat het Amerikaanse beleid een koerswijziging onderging. De president kondigde aan dat de exportbeperkingen voor de krachtige Nvidia H200-chips worden opgeheven, mits een kwart van de omzet in China wordt afgedragen aan de Amerikaanse overheid. Deze beleidswijziging wordt door de verdediging in de strafzaak direct aangegrepen om het argument dat de chips een gevaar voor de staatsveiligheid vormen, in twijfel te trekken. Desondanks blijft de vraag naar deze rekenkracht vanuit China ook in 2026 onverminderd groot.

Bron 1

De organisatie verantwoordelijk voor de inauguratie van Zohran Mamdani, de nieuwe burgemeester van New York, heeft een officiële lijst gepubliceerd met voorwerpen die verboden zijn tijdens de ceremonie op 1 januari 2026. Opvallend in de veiligheidsvoorschriften is het specifieke verbod op twee technische apparaten: de Flipper Zero en de Raspberry Pi. Deze hardware wordt in de officiële FAQ van het evenement expliciet genoemd naast conventionele risico's zoals vuurwapens, explosieven, drones en laserpennen.

De Flipper Zero is een compact instrument dat door beveiligingsonderzoekers wordt gebruikt voor het analyseren van draadloze protocollen zoals RFID, NFC en Bluetooth. De Raspberry Pi is een veelzijdige computer op een enkele printplaat die volledige besturingssystemen kan draaien. Beide apparaten zijn populair in de cybersecurity-gemeenschap voor het uitvoeren van penetratietesten en netwerkanalyse.

Het verbod zorgt voor discussie over de effectiviteit van de maatregel. Terwijl deze twee specifieke apparaten bij naam worden geweerd, zijn laptops en smartphones niet opgenomen in de lijst van verboden voorwerpen. Deskundigen wijzen erop dat moderne smartphones en laptops, uitgerust met software zoals Kali Linux, vaak over grotere technische mogelijkheden beschikken voor digitale interventies dan de verboden hardware.

De beperkingen voor dergelijke apparaten passen in een bredere trend waarbij overheden en commerciële platforms proberen de verspreiding van "dual-use" hardware te controleren. In het verleden leidde de angst voor misbruik, zoals het kopiëren van digitale sleutels of betaalkaarten, al tot verkoopverboden op platforms zoals Amazon. De organisatie van de inauguratie heeft geen officiële verklaring gegeven voor het specifiek selecteren van deze twee apparaten uit het brede aanbod van beschikbare consumentenelektronica.

Bron 1, 2

Trust Wallet heeft bevestigd dat een supply chain aanval, toegeschreven aan de tweede iteratie van de Shai-Hulud campagne, heeft geleid tot de diefstal van ongeveer 8,5 miljoen dollar aan cryptovaluta. Bij het incident werden 2.520 wallets geleegd nadat aanvallers een kwaadaardige update van de Google Chrome-extensie hadden gepubliceerd. Uit onderzoek blijkt dat geheime inloggegevens van ontwikkelaars op GitHub waren blootgesteld, waardoor de daders toegang kregen tot de broncode en de API-sleutel van de Chrome Web Store.

Door het gebruik van deze API-sleutel konden de aanvallers het reguliere releaseproces van Trust Wallet omzeilen. Hierdoor was er geen interne goedkeuring of handmatige review nodig om een nieuwe softwareversie te uploaden. Op 24 december 2025 werd versie 2.68 van de extensie verspreid, die was voorzien van een backdoor. Deze kwaadaardige code was ontworpen om de mnemonic phrases van gebruikers te oogsten en door te sturen naar een door de aanvallers beheerd subdomein van metrics-trustwallet.

Analyses tonen aan dat de kwaadaardige code werd geactiveerd op elk moment dat een gebruiker de wallet ontgrendelde. Dit gebeurde ongeacht of de gebruiker wachtwoorden of biometrische gegevens gebruikte, en of de wallet al langere tijd in gebruik was of pas net was geopend na de update naar versie 2.68. De code was in staat om alle wallets binnen een account te scannen, waardoor gebruikers met meerdere geconfigureerde portefeuilles volledig werden gecompromitteerd. De gestolen seed phrases werden verborgen in een veld voor foutmeldingen binnen de telemetrie-data, waardoor de data-exfiltratie voor een oppervlakkige waarnemer leek op een standaard analytische gebeurtenis gericht op gebruikersstatistieken.

De infrastructuur achter de aanval werd gehost bij Stark Industries Solutions op IP-adres 138.124.70.40. Onderzoek wijst uit dat de voorbereidingen niet opportunistisch waren; de benodigde servers waren al op 8 december 2025 ingericht, ruim twee weken voordat de schadelijke update werd gepusht. Op de server werd de respons "He who controls the spice controls the universe" gevonden, een verwijzing naar de roman Dune die eerder werd waargenomen bij Shai-Hulud aanvallen binnen het npm-ecosysteem.

Na de ontdekking van de inbreuk heeft Trust Wallet gebruikers opgeroepen om direct te updaten naar versie 2.69. De gestolen activa werden verdeeld over ten minste 17 verschillende adressen die door de aanvallers worden beheerd. Het bedrijf is een proces gestart voor het indienen van vergoedingen voor gedupeerde slachtoffers, waarbij claims per geval worden beoordeeld om fraude te voorkomen. Om herhaling te voorkomen, zijn de monitoring en controles op het releaseproces aangescherpt. Volgens de officiële verklaring betrof dit een breder probleem in de toeleveringsketen waarbij kwaadaardige code via vertrouwde ontwikkelaarstools werd gedistribueerd naar verschillende sectoren.

Bron 1

De Franse regering heeft een wetsvoorstel ingediend dat het gebruik van sociale media door jongeren onder de vijftien jaar moet verbieden. Indien het parlement instemt met de voorgestelde maatregelen, zal de wetgeving in september 2026 van kracht worden. Het juridische kader bestaat uit twee centrale componenten die de digitale leefwereld van minderjarigen beïnvloeden. Enerzijds wordt het voor online platforms en sociale mediadiensten verboden om personen jonger dan vijftien jaar als gebruiker toe te laten. Anderzijds omvat het voorstel een verbod op het gebruik van mobiele telefoons binnen instellingen voor het volledige voortgezet onderwijs.

De Franse autoriteiten motiveren de wetgeving vanuit de noodzaak om jongeren te beschermen tegen diverse online risico's. Hierbij wordt specifiek verwezen naar de negatieve impact van ongepaste content, cyberpesten en de gevolgen voor de mentale gezondheid. Deze stap sluit aan bij internationale ontwikkelingen op het gebied van digitale regulering. Eind 2024 introduceerde de Australische regering reeds een vergelijkbaar verbod, waarbij technologiebedrijven verantwoordelijk worden gehouden voor de naleving via strikte leeftijdsverificatie.

De Franse president Emmanuel Macron heeft eerder gepleit voor een uniforme leeftijdsgrens van vijftien jaar binnen de gehele Europese Unie. Volgens de regering beschikken technologiebedrijven over de technische middelen om effectieve leeftijdsverificatie toe te passen. Het wetsvoorstel legt de verantwoordelijkheid voor de handhaving dan ook expliciet bij de aanbieders van de digitale diensten, die bij niet-naleving sancties riskeren.

Bron 1, 2

In de Tweede Kamer is een debat ontstaan over de risico's van Chinese componenten in de Nederlandse energie-infrastructuur. Aanleiding is een miljoenenorder van de regionale netbeheerders Alliander, Enexis en Stedin voor nieuwe slimme meters. De opdracht voor de bijbehorende meetsensoren is gegund aan het Chinese Kaifa Technology, een bedrijf waarin het staatsbedrijf China Electronics Corporation een meerderheidsbelang heeft. De kwestie is extra actueel omdat de nieuwe Energiewet sinds 1 januari 2026 van kracht is, waardoor burgers verplicht zijn hun analoge meter te vervangen door een digitaal of slim exemplaar.

Netbeheer Nederland stelt dat de aanbesteding volgens de geldende Europese richtlijnen is uitgevoerd en dat er reeds producten van deze fabrikant in gebruik zijn. Volgens de netbeheerders worden er geregeld audits uitgevoerd waarbij nooit onregelmatigheden zijn geconstateerd. Zij benadrukken dat het hier gaat om een meetsensor zonder schakelaar of ingebouwde telecommunicatietechnologie. Desondanks hebben diverse politieke partijen, waaronder D66, CDA, VVD en ChristenUnie, om opheldering gevraagd. Recent heeft ook JA21 aanvullende vragen gesteld aan de demissionair ministers Van Oosten van Justitie en Veiligheid en Hermans van Klimaat over de mogelijke gevolgen voor de nationale veiligheid en de privacy van burgers.

De Kamerleden willen onder meer weten welke specifieke onderdelen van de slimme meter uit China afkomstig zijn en welke onderdelen in Nederland of de Europese Unie worden geassembleerd. Er wordt aan de bewindslieden gevraagd of zij slimme meters beschouwen als onderdeel van de vitale infrastructuur of als kritieke ketencomponenten. Een centraal punt in de vragenstelling is of manipulatie van meetwaarden, aanvallen op de toeleveringsketen of ongeautoriseerde toegang tot meterdata volledig kan worden uitgesloten. Indien dit niet het geval is, moet de overheid duidelijk maken welke mitigatieplannen er klaarliggen om deze risico's te beperken.

Daarnaast is er aandacht voor de gedwongen acceptatie van deze meters door burgers. Nu de vervanging van analoge meters verplicht is, wordt gevraagd hoe de overheid borgt dat consumenten niet worden blootgesteld aan risico's die niet transparant zijn beoordeeld. Ook de geopolitieke afhankelijkheid is onderwerp van zorg. Er wordt gevraagd naar uitgewerkte scenario's voor het geval dat leveringen, onderhoud of updates vanuit China wegvallen door internationale spanningen. De politiek dringt aan op een kader voor vertrouwde leveranciers voor vitale energiecomponenten om de continuïteit van het netbeheer te waarborgen. De ministers hebben drie weken de tijd om op de vragen te reageren.

Bron 1

Europa is de controle over het internet kwijtgeraakt aan Amerikaanse technologiebedrijven door een grote achterstand in de ontwikkeling van digitale infrastructuur. Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België, stelt dat de Europese afhankelijkheid van de Verenigde Staten de innovatie en de digitale verdediging van het continent bemoeilijkt. Volgens de cybersecurity-expert is het door de dominantie van Amerikaanse spelers op het gebied van clouddiensten en kunstmatige intelligentie momenteel onmogelijk om data volledig binnen Europese grenzen te beheren.

De huidige marktsituatie maakt Europese ambities voor volledige digitale onafhankelijkheid onrealistisch. Omdat de digitale infrastructuur vrijwel volledig in handen is van private Amerikaanse ondernemingen, is de opslag van informatie binnen de Europese Unie afhankelijk van hun diensten. Hoewel deze situatie niet direct als een acuut beveiligingsprobleem wordt aangemerkt, zorgt het er wel voor dat Europa achterblijft bij de ontwikkeling van nieuwe technologieën die essentieel zijn voor het afweren van cyberaanvallen.

De Europese regelgeving wordt genoemd als een factor die de technologische ontwikkeling mogelijk remt. Specifieke wetgeving, zoals de AI Act, zou innovatie kunnen blokkeren. Er wordt gepleit voor een koerswijziging waarbij Europese overheden private initiatieven steunen om op EU-niveau schaalvergroting te realiseren in de cloudsector en bij digitale identificatiesystemen. Een gecoördineerde aanpak, vergelijkbaar met eerdere grootschalige Europese industriële samenwerkingen, wordt noodzakelijk geacht om een eigen positie in het digitale domein op te bouwen in plaats van enkel de focus te leggen op het beperken van Amerikaanse aanbieders.

De noodzaak voor sterke digitale systemen blijkt uit de toename van hybride aanvallen in de regio. België is sinds 2022 herhaaldelijk doelwit van golven van distributed denial-of-service (DDoS)-aanvallen die worden gelinkt aan pro-Russische actoren. Deze aanvallen, die vaak volgen op politieke verklaringen vanuit Brussel, zijn erop gericht diensten van overheden en bedrijven tijdelijk onbereikbaar te maken. Ondanks de wens voor meer autonomie, spelen Amerikaanse technologiebedrijven momenteel een sleutelrol bij het ondersteunen van de verdediging en het herstel van gegevens na dergelijke incidenten. De operationele samenwerking met deze partijen blijft essentieel voor de actuele digitale veiligheid in Europa.

Bron 1

De Amerikaanse zorgverlener OrthopedicsNY heeft een schikking getroffen met de procureur-generaal van de staat New York voor een bedrag van 500.000 dollar. De aanleiding voor deze schikking is een datalek uit 2023, waarbij aanvallers via een ransomware-aanval toegang kregen tot het interne netwerk. Bij dit incident werden de onversleutelde persoonlijke gegevens van meer dan 650.000 personen ontvreemd. De toegang tot de systemen werd verkregen door middel van gestolen inloggegevens van een medewerker.

Uit het onderzoek door de autoriteiten bleek dat de beveiligingsmaatregelen van de zorgverlener op cruciale punten tekortschoten. Zo werd er geen gebruikgemaakt van multifactorauthenticatie (MFA) voor toegang op afstand en waren de patiëntgegevens niet versleuteld. Daarnaast werden er geen periodieke risico-assessments uitgevoerd om de integriteit van de systemen te controleren. Voor 110.000 getroffenen omvatte de buitgemaakte informatie gevoelige data zoals social-securitynummers, rijbewijsnummers en paspoortgegevens, terwijl voor de rest van de slachtoffers zorggerelateerde informatie werd gestolen.

Naast de boete van een half miljoen dollar moet OrthopedicsNY direct verschillende structurele verbeteringen in de informatiebeveiliging doorvoeren. De organisatie is verplicht om multifactorauthenticatie in te stellen voor alle vormen van remote toegang. Tevens moet alle data die wordt verzameld, verwerkt of verzonden voortaan worden versleuteld. Dit geldt zowel voor de gegevens van patiënten als voor de gegevens van de eigen medewerkers. De exacte wijze waarop de inloggegevens in eerste instantie door de aanvallers zijn buitgemaakt, is niet door de partijen openbaar gemaakt.

Bron 1

Onderzoek van blockchain-analist TRM Labs toont aan dat het datalek bij wachtwoordbeheerder LastPass uit 2022 nog steeds directe gevolgen heeft voor de veiligheid van cryptovaluta. Aanvallers slagen er jaren na de diefstal van de versleutelde kluisbestanden in om private sleutels te ontsleutelen en digitale portefeuilles leeg te trekken. De gestolen activa worden vervolgens witgewassen via specifieke handelsplatformen met Russische banden.

De oorzaak van de huidige diefstallen ligt bij een eerdere inbreuk waarbij back-ups van LastPass-databases werden buitgemaakt via de cloudopslagdienst GoTo. In deze kluizen stonden voor een aanzienlijk aantal gebruikers private keys en herstelzinnen van cryptowallets opgeslagen. Omdat de bestanden destijds in hun geheel zijn ontvreemd, kunnen aanvallers offline proberen de encryptie te kraken. Dit verklaart waarom de diefstallen niet onmiddellijk plaatsvonden, maar zich in golven voltrekken naarmate de aanvallers erin slagen de hoofdwachtwoorden van individuele kluizen te achterhalen.

Volgens de analyse van TRM Labs zijn de diefstallen onderdeel van een gecoördineerde campagne. De daders maken gebruik van de CoinJoin-functie binnen de Wasabi Wallet om de herkomst van de fondsen te maskeren. Door grootschalige analyse van transactiepatronen, timing en wallet-configuraties is het echter gelukt om deze gemengde transacties te identificeren. Hieruit blijkt dat er eind 2024 en begin 2025 ruim 28 miljoen dollar aan cryptovaluta is gestolen, gevolgd door een tweede golf van 7 miljoen dollar in september 2025.

De bevindingen worden ondersteund door gegevens van de Amerikaanse Secret Service, die in 2025 al beslag legde op 23 miljoen dollar aan cryptovaluta die op vergelijkbare wijze was verkregen. Uit onderzoek naar de getroffen slachtoffers bleek dat zij niet waren blootgesteld aan phishing of malware, wat de conclusie bevestigt dat de aanvallers directe toegang hadden tot de private sleutels via de in 2022 gestolen database-back-ups. De gestolen gelden worden stelselmatig verzilverd via Russische exchanges zoals Cryptex en Audi6.

Bron 1