De stad Herentals heeft zich vrijwillig laten hacken door ethische hackers in het kader van de Streamz reeks 'Hacked'. Burgemeester Jan Bertels (Vooruit) gaf in het geheim zijn toestemming voor dit project, met als doel de zwakke punten in de cyberbeveiliging van de stad bloot te leggen en het bewustzijn van cybersecurity bij medewerkers te vergroten.

Tijdens de opnames slaagden de ethische hackers er binnen een week in om volledige controle over het netwerk en de mailboxen van de stad te krijgen. Ze ontdekten een draaiboek met wachtwoorden voor onder meer de website, de nieuwsbrief, de stadapp en de sociale mediakanalen. De hackers bemachtigden ook wachtwoorden van medewerkers, waaronder dat van de burgemeester zelf.

De hackers kregen toegang tot het systeem door een computer aan te sluiten op een printer in sportcomplex De Vossenberg. Burgemeester Bertels benadrukt dat de stad hieruit geleerd heeft dat wachtwoorden beter beschermd moeten worden en dat er geen voor de hand liggende combinaties gebruikt mogen worden.

Bertels vergelijkt de actie met een brandoefening, die periodiek uitgevoerd moet worden om te controleren of het systeem nog waterdicht is. Hij raadt andere steden en gemeenten aan om een soortgelijke oefening te doen en alert te zijn op de bedreigingen voor informaticasystemen, zodat kwaadwillende hackers de steden niet kunnen afdreigen.

Bron: VRT NWS

Kwekerij Piet Vijverberg uit Monster, een van de grotere sierteeltbedrijven in het Westland, is getroffen door een ransomwareaanval. Het familiebedrijf bestaat sinds 1946 en is gespecialiseerd in de teelt van Phalaenopsis orchideeën en Dracaena planten. Vanuit een kas van acht hectare aan de Alkemadelaan produceert het bedrijf jaarlijks zo'n vijf miljoen planten die wereldwijd worden verkocht onder het merk Star Quality By5.

De aanval is opgeëist door AiLock, een ransomwaregroep die sinds begin 2025 actief is en zichzelf profileert als een groep die gebruikmaakt van kunstmatige intelligentie. AiLock opereert volgens het Ransomware as a Service model, waarbij de groep de malware ontwikkelt en partners de aanvallen uitvoeren. De groep past dubbele afpersing toe, waarbij systemen worden versleuteld en tegelijkertijd gevoelige bedrijfsgegevens worden gestolen. Slachtoffers die niet betalen worden bedreigd met publicatie van de gestolen data. De groep wordt in verband gebracht met Russische statelijke actoren en heeft in het eerste kwartaal van 2026 meerdere bedrijven wereldwijd getroffen.

De aanval op Piet Vijverberg is vandaag ontdekt door Cybercrimeinfo op het darkweb, waar de ransomwaregroep het bedrijf op hun leksite heeft geplaatst. Het is niet bekend welke gegevens zijn buitgemaakt of wat de impact is op de bedrijfsvoering van de kwekerij.

Darkweb screenshot

Meerdere ziekenhuizen hebben hun patiëntportalen offline gehaald als gevolg van een ransomware aanval op ChipSoft, een leverancier van software voor elektronische patiëntendossiers (EPD). ChipSoft heeft een geschat marktaandeel van zeventig procent in Nederlandse ziekenhuizen. Het bedrijf heeft klanten geïnformeerd over een incident, maar de melding maakte geen melding van een ransomware aanval.

Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, heeft in een bericht aan zorginstellingen bevestigd dat het om een ransomware aanval gaat, aldus de NOS. Ziekenhuizen zijn geadviseerd om hun vpn verbinding met ChipSoft te verbreken. De website van ChipSoft is op het moment van schrijven offline. De NOS meldt dat elf ziekenhuizen hun patiëntportalen offline hebben gehaald als gevolg van de aanval.

Het Slingeland Ziekenhuis in Doetinchem meldt op zijn website dat er zich een data incident heeft voorgedaan bij ChipSoft. Het ziekenhuis stelt dat patiëntgegevens naar alle waarschijnlijkheid niet betrokken zijn bij het incident en dat er maatregelen zijn genomen om eventuele gevolgen te beperken. De zorg voor patiënten gaat onverminderd door en patiëntendossiers blijven intern volledig toegankelijk. Om eventuele risico’s te beperken, heeft het ziekenhuis de verbindingen naar systemen van andere zorgverleners preventief afgesloten.

Het Diakonessenhuis in Utrecht heeft uit voorzorg de patiëntenportaal mijnDiak gesloten. Het Rijnstate Ziekenhuis in Arnhem meldt dat de hack bij ChipSoft het cloud gedeelte van huisartsenpraktijken betreft. Op advies van Z-CERT heeft Rijnstate de vpn verbinding naar dat gedeelte onmiddellijk dichtgezet. Patiëntgegevens en andere informatievoorzieningen zijn veiliggesteld en er zijn geen verstoringen in het systeem.

Het Tergooi MC heeft uit voorzorg mijn.tergooi.nl tijdelijk uitgezet. Ook zijn koppelingen van Tergooi MC naar BeterDichtbij, Luscii, Sananet of Gezondheidsmeter tijdelijk uitgeschakeld. Patiënten kunnen hierdoor niet inloggen op het patiëntenportaal, uitslagen inzien, online afspraken maken of wijzigen, of online inchecken voor een afspraak. Daarnaast werken de aanmeldzuilen in het ziekenhuis niet. Details over de wijze waarop de ransomware aanval heeft kunnen plaatsvinden, zijn niet bekendgemaakt.

Bron: ChipSoft

Odido waarschuwt haar klanten voor een nieuwe phishingmail die ogenschijnlijk van de telecomprovider afkomstig is. In de mail worden ontvangers aangespoord om de Odido App te updaten. Sinds het datalek bij de telecomprovider, waarbij de persoonlijke gegevens van meer dan zes miljoen mensen werden gestolen, hebben er diverse phishingaanvallen plaatsgevonden.

Begin maart waarschuwde Odido al voor een phishingmail over een 'compensatie aanvraagformulier'. De huidige phishingmail vraagt ontvangers om een app update te installeren via een externe link. Odido benadrukt dat dit geen bericht van hen is en adviseert om niet op de link te klikken, niets te downloaden en de mail direct te verwijderen. Het bedrijf geeft aan klanten nooit te vragen om de Odido App via een externe website te downloaden. Updates van de Odido App verlopen altijd via de Google Play Store of de Apple App Store.

De phishingmail heeft als onderwerp 'De app die bewust vernieuwd is' en beweert dat er allerlei verbeteringen aan de Odido App zijn doorgevoerd. Vervolgens kunnen ontvangers de nieuwe 'app' via de meegestuurde link downloaden. De Fraudehelpdesk heeft een afbeelding van het bericht gedeeld. Wat de link precies doet, laten Odido en de Fraudehelpdesk niet weten.

Bron: Odido

Patiënten van AZ Delta in Roeselare, Menen en Torhout konden op 8 april 2026 tijdelijk geen online afspraken maken of hun medisch dossier raadplegen via het zorgportaal mijnazedelta.be. De softwareleverancier die het ziekenhuis gebruikt voor elektronische patiëntendossiers was getroffen door een cyberaanval.

Uit voorzorg haalde AZ Delta een deel van zijn digitale diensten offline. Woordvoerder Ilse D'Hespeel benadrukte dat de ziekenhuiswerking zelf niet verstoord is en dat de impact voor de patiënten beperkt bleef. "De zorg gaat gewoon door." Ook de veiligheid van de gegevens was volgens haar niet in het geding: "De patiëntengegevens zijn veilig. Dat is voor ons absoluut de prioriteit."

Het ziekenhuis besloot preventief het zorgportaal af te sluiten, nadat de cyberaanval bij de leverancier bekend werd. Andere informatiesystemen van AZ Delta werkten normaal. Rond 16.30 uur waren de problemen opgelost en konden patiënten weer online een afspraak maken of hun dossier raadplegen.

Bron: VRT NWS

Het UWV heeft in de eerste tien maanden van vorig jaar 757 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP), waarvan drie datalekken een grote impact hadden. Deze datalekken waren het gevolg van een verstuurd Excel bestand, een open database en verouderde adresgegevens. Dit blijkt uit de nieuwste editie van de Stand van de uitvoering sociale zekerheid. De meeste datalekken betroffen enkelvoudige incidenten, zoals brieven die naar een verkeerd adres werden gestuurd.

Drie datalekken hadden een grotere impact. Gedurende een onbekende periode stond op het Intranet van het UWV een database met persoonsgegevens van 16.000 cliënten open, die toegankelijk was voor alle medewerkers. De database bevatte onder andere bsn nummers, adresgegevens, gegevens over ziekte, herstel en recht op WW. Het UWV kan niet met zekerheid zeggen of er sprake is geweest van onbevoegde inzage. Na ontdekking is de toegang beperkt tot geautoriseerde medewerkers en is het datalek gemeld bij de AP.

Een ander datalek ontstond door het gebruik van verouderde adresgegevens. In juli werden uitnodigingsbrieven voor fysieke afspraken verstuurd met gegevens zoals naam, geslacht, geboortedatum, leeftijd en mogelijk gezondheidsgegevens, naar verkeerde adressen. Het ging om 41 verkeerd geadresseerde brieven. Door een systeemwijziging worden nu actuele adresgegevens gebruikt. Ook dit incident is gemeld bij de toezichthouder.

Het derde datalek met grote impact deed zich voor bij het versturen van een overzicht van UWV medewerkers met een indicatie voor een banenafspraak. Door een menselijke fout werd het overzicht als Excel bestand verstuurd, waardoor de onderliggende gegevens zichtbaar werden. Het ging om gegevens zoals naam, geboortedata, adres, e-mail, intern personeelsnummer, afdelingsnummer, functiegroep, functienaam, naam van de manager, ingangsdatum contract, voorziene einddatum, soort dienstverband, selectie op indicatie banenafspraak en adres werkplek. De spreadsheet bevatte de informatie van 513 medewerkers. De directe ontvangers, UWV directeuren en hun secretariaat, zijn verzocht de ontvangen mail te verwijderen. Ook dit incident is gemeld bij de Autoriteit Persoonsgegevens.

Bron: UWV

In de Tweede Kamer zijn vragen gesteld aan minister Hermans van Volksgezondheid over de ransomware aanval op ChipSoft, een leverancier van software voor elektronische patiëntendossiers (EPD). Naar aanleiding van de aanval, waarbij de meeste Nederlandse ziekenhuizen gebruikmaken van het EPD systeem van ChipSoft (naar schatting zeventig procent marktaandeel), besloten meerdere ziekenhuizen hun patiëntportalen offline te halen.

Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, adviseerde ziekenhuizen om hun ChipSoft systemen te controleren op afwijkend netwerkverkeer. De Autoriteit Persoonsgegevens (AP) heeft inmiddels 23 datalekmeldingen ontvangen naar aanleiding van de aanval op ChipSoft.

ChipSoft schakelde verbindingen met verschillende platforms uit en probeert een aantal van deze diensten met behulp van 'nieuwe sleutels' weer online te krijgen. D66-Kamerleden Vervuurt en El Boujdaini hebben minister Hermans om opheldering gevraagd. Ze willen onder andere weten of de aanval gevolgen heeft voor de continuïteit van zorg en of er aanwijzingen zijn dat patiëntgegevens zijn gestolen.

De Kamerleden vragen ook hoe de minister de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg IT beoordeelt en hoe de risico's daarvan worden beperkt. Daarnaast willen ze weten welke eisen er worden gesteld aan leveranciers van zorg IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre deze eisen voldoende zijn gezien de kritieke rol van deze partijen voor het zorgsysteem. Ook vragen ze of er aanleiding is om aanvullende eisen te stellen, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten. Vervuurt en El Boujdaini willen tevens weten of er wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg. De minister heeft drie weken om de Kamervragen te beantwoorden.

Bron: Autoriteit Persoonsgegevens | Bron 2: tweedekamer.nl

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

Het ministerie van Binnenlandse Zaken adviseert slachtoffers van het datalek bij Odido om hun paspoort of identiteitskaart niet te vernieuwen. Volgens staatssecretaris Aerdts voor Digitale Economie kunnen criminelen met alleen paspoortnummers niet zelfstandig fraude plegen. Bij Odido zijn de gegevens van meer dan zes miljoen mensen gestolen, waaronder paspoort- en rijbewijsnummers, de geldigheid van de documenten en BSN nummers van zelfstandigen.

De staatssecretaris reageerde op Kamervragen van D66-Kamerlid El Boujdaini. Volgens Aerdts zijn de gelekte gegevens, waaronder het BSN, niet direct bruikbaar voor fraudeurs om zelfstandig fraude te plegen. Criminelen gebruiken de gegevens vooral voor phishingaanvallen, waarbij ze gedupeerden proberen te verleiden om op een link te klikken of meer gegevens prijs te geven.

De gestolen gegevens zijn door de criminelen online gepubliceerd nadat Odido had aangegeven geen losgeld te betalen. Aerdts laat weten dat het besluit van Odido om geen losgeld te betalen aansluit bij de visie van het kabinet. Slachtoffer worden van afperspraktijken kan veel impact hebben en een getroffen bedrijf in een moeilijke positie plaatsen, zeker gezien de omvang van het datalek. De uiteindelijke afweging ligt bij de getroffen organisatie, maar de overheid adviseert dringend om geen losgeld te betalen.

Bron: Ministerie van Binnenlandse Zaken | Bron 2: blog.iusmentis.com | Bron 3: lynnlegal.nl

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Het Leids Universitair Medisch Centrum (LUMC) heeft de invoering van een nieuw elektronisch patiëntendossier (EPD) uitgesteld vanwege de ransomwareaanval op ChipSoft. ChipSoft levert software voor elektronische patiëntendossiers en heeft een geschat marktaandeel van zeventig procent in Nederlandse ziekenhuizen. Het LUMC gebruikt het zorgsysteem HiX van ChipSoft.

De overgang naar het nieuwe EPD stond gepland voor 9 en 10 april, maar is op dringend advies van ChipSoft uitgesteld tot nader order. Het patiëntportaal mijnLUMC blijft vooralsnog beschikbaar, omdat dit door een andere partij wordt gehost.

ChipSoft onderzoekt de impact van de aanval op de veiligheid van patiëntgegevens. Volgens de EPD leverancier zijn er op dit moment geen aanwijzingen dat gegevens van patiënten van het LUMC zijn gelekt, maar dit wordt verder onderzocht.

Bron: LUMC

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

Boekingssite Booking.com heeft bevestigd dat onbevoegde derden toegang hebben gekregen tot boekingsinformatie van klanten. Sommige klanten ontvingen gisteren een e-mail over een mogelijk datalek. Het bedrijf meldt dat het probleem "inmiddels onder controle" is en dat de betrokken gasten zijn geïnformeerd.

Volgens persbureau ANP staat in de e-mail dat Booking.com "onlangs verdachte activiteiten" heeft opgemerkt die van invloed zijn op een aantal reserveringen. Uit onderzoek naar het mogelijke lek blijkt dat onbevoegden mogelijk boekingsdetails, namen, e-mailadressen en fysieke adressen hebben ingezien, evenals telefoonnummers die aan de boeking zijn gekoppeld en alle overige informatie die met de accommodatie is gedeeld.

Wanneer de hack plaatsvond en hoeveel mensen mogelijk zijn getroffen, wordt niet vermeld in de e-mail. Booking.com heeft hierover nog geen verdere vragen beantwoord.

Bron: Booking.com

Fitnessketen Basic-Fit heeft op 13 april 2026 gewaarschuwd voor een beveiligingsincident waarbij persoonsgegevens van naar schatting 200.000 Nederlandse leden mogelijk in verkeerde handen zijn terechtgekomen. Het bedrijf ontdekte zelf de ongeautoriseerde toegang en wist deze binnen enkele minuten te stoppen.

Bij het datalek gaat het om persoonsgegevens van leden in meerdere landen, waaronder ook België. Volgens het bedrijf werden onder meer de volgende gegevens mogelijk buitgemaakt, naam, adres, e-mailadres, telefoonnummer, geboortedatum en bankgegevens. Basic-Fit zegt dat geen wachtwoorden of identiteitsdocumenten werden gestolen. Alle getroffen leden zijn door Basic-Fit gecontacteerd.

Leden van Basic-Fit wordt aangeraden om extra alert te zijn op gepersonaliseerde phishingberichten via e-mail, sms, WhatsApp of telefoon. Met gelekte persoonsgegevens kunnen oplichters proberen je te misleiden. Ze kunnen bijvoorbeeld een bericht sturen dat echt lijkt van Basic-Fit, je vragen om op een link te klikken, of je laten "bevestigen" of "bijwerken" van betaalgegevens.

Safeonweb adviseert om niet op links in verdachte berichten te klikken en geen bijlages te openen. Controleer accounts via de officiële app of website in plaats van in te loggen via een link in een bericht. Verander wachtwoorden als dat nodig is, vooral als hetzelfde wachtwoord op meerdere websites wordt gebruikt. Waar mogelijk wordt aangeraden om tweestapsverificatie aan te zetten.

Bron: Safeonweb

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Het onderzoek naar de omvang van de hack via Ivanti bij de Dienst Justitiële Inrichtingen (DJI) is nog gaande. Dat heeft staatssecretaris Van Bruggen van Justitie en Veiligheid laten weten op Kamervragen van de PVV. Eind februari meldde Argos op basis van een interne brief dat aanvallers de Ivanti EPMM server van DJI hadden gehackt en daarbij toegang tot gevoelige gegevens van medewerkers hadden gekregen. Het gaat om namen, e-mailadressen, telefoonnummers en locatiegegevens.

Ivanti Endpoint Manager Mobile (EPMM) is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM server kan vergaande gevolgen hebben.

Volgens Van Bruggen wordt er momenteel onderzoek gedaan naar de precieze omvang van de onbevoegde toegang tot de Ivanti servers. Om veiligheidsredenen kan ze niet ingaan op welke medewerkers dit onderzoek ziet. Uit voorzorg heeft DJI alle medewerkers van een handelingskader voorzien. De aard van de werkzaamheden van DJI zorgt ervoor dat medewerkers mogelijk een aanvullend risico lopen op chantage en afpersing mochten dergelijke gegevens bij derden bekend worden, aldus de staatssecretaris.

Op basis van de voorlopige uitkomsten van het forensisch onderzoek heeft het Nationaal Cyber Security Centrum (NCSC) een handelingsperspectief opgesteld. Het DJI heeft hierop maatregelen getroffen die zowel betrekking hebben op techniek als op de monitoring van cyberdreigingen. Na afronding van het onderzoek naar de hack via Ivanti zal er een evaluatie en oorzakenanalyse plaatsvinden, om te kijken of er zaken moeten worden verbeterd.

Bron: Rijksoverheid

De gemeente Schiermonnikoog heeft erkend dat er fouten zijn gemaakt bij de verwerking van persoonsgegevens van inwoners en eigenaren van recreatiewoningen. Dit volgt uit een evaluatie van het datalek bij afvalbedrijf Omrin, dat vorig jaar getroffen werd door een ransomwareaanval. Tijdens deze aanval werd een bestand met burgerservicenummers (bsn-nummers) gestolen en vervolgens op internet gepubliceerd.

De burgemeester van Schiermonnikoog gaf eerder aan dat de gemeente een bestand met Omrin had gedeeld dat te veel informatie bevatte. Dit bestand was bedoeld om inwoners te informeren over nieuwe tags voor de ondergrondse containers op het eiland, waarvoor Omrin namen en adressen nodig had. Echter, het bestand bevatte ook de burgerservicenummers van alle inwoners.

"Dit had nooit mogen gebeuren", aldus de burgemeester eind vorig jaar. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt." Omrin reageerde destijds dat er contact was geweest met de gemeente en het bestand was aangepast. "Maar we balen dat het nog op de gehackte schijf stond", aldus het afvalbedrijf.

De evaluatie van het datalek door Schiermonnikoog wees uit dat er op drie punten fouten zijn gemaakt, het aanleveren van data met overbodige persoonsgegevens, het doorsturen van de data zonder controle, en het opslaan van data door een andere partij. Het college van b&w heeft de gemeenteraad hierover geïnformeerd.

De gemeente heeft verschillende maatregelen aangekondigd, waaronder het implementeren van een privacybeleid, het ontwikkelen van een informatiebeheerplan, het verwijderen van onnodige gegevens, het opstellen van DPIA's (Data Protection Impact Assessments), het opstellen van verwerkersovereenkomsten, het werken met een datalekprocedure, AVG checks, datacontroles en interne bewustwordingscampagnes en trainingen.

Tegenover Dagblad van het Noorden bevestigde de gemeente dat er geen integraal vastgesteld privacybeleid was. Een gemeentesecretaris liet weten dat er wel al langer maatregelen werden getroffen om privacygevoelige informatie te beschermen, maar dat het beter was geweest als er eerder beleid was opgesteld.

Bron: Gemeente Schiermonnikoog

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

Verschillende partijen in de Tweede Kamer hebben vragen gesteld aan het kabinet over de recente ransomware aanval bij ChipSoft, een belangrijke leverancier van EPD-systemen (Elektronisch Patiënten Dossier) in de zorg. De partijen maken zich zorgen over de dominantie van een beperkt aantal ict-leveranciers in de zorgsector.

De aanval bij ChipSoft leidde ertoe dat diverse ziekenhuizen hun patiëntportalen offline haalden, en de Autoriteit Persoonsgegevens ontving meldingen van datalekken. ChipSoft heeft naar schatting een marktaandeel van 70 procent in Nederlandse ziekenhuizen. Naar aanleiding van de aanval stelden D66 en GroenLinks-PvdA Kamervragen.

De vragen van GroenLinks-PvdA-leden Bushoff en Kathmann richten zich op de beschikbaarheid van alternatieven bij een dergelijke hack, zoals alternatieve software waarop ziekenhuizen en zorgverleners kunnen terugvallen. Ze vragen zich af of de aanval een symptoom is van een te grote afhankelijkheid van enkele dominante leveranciers in de zorg, waardoor een incident bij één leverancier direct een nationale zorgvraag wordt.

De Kamerleden willen van minister Sterk van Langdurige Zorg, Jeugd en Sport en staatssecretaris Aerdts voor Digitale Economie weten of zij de risico's delen die ontstaan wanneer één dominante marktpartij de infrastructuur levert voor zorginstellingen of andere essentiële publieke voorzieningen. Ook willen ze weten welke maatregelen de bewindslieden nemen om dergelijke marktdominantie tegen te gaan en hoe ze zorgen voor voldoende diversificatie tussen ict-leveranciers bij zorginstellingen.

Daarnaast vragen Bushoff en Kathmann welke structurele problemen in de zorg-ICT de hack blootlegt en wie er aan zet is om deze op te lossen. Ze willen ook weten welke maatregelen de bewindslieden nemen om de cyberveiligheid en weerbaarheid van zorginstellingen structureel te vergroten. Minister Sterk en staatssecretaris Aerdts hebben drie weken de tijd om de vragen te beantwoorden.

Bron: Tweede Kamer | Bron 2: npo.nl

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

Booking.com heeft een datalek bevestigd waarbij een derde partij toegang heeft gekregen tot een deel van de reserveringsgegevens. Het bedrijf beschrijft het incident als een gerichte aanval die een onbekend aantal boekingen treft.

Volgens de communicatie van Booking.com zelf, kunnen de blootgestelde gegevens namen, e-mailadressen, telefoonnummers, postadressen en details met betrekking tot specifieke reserveringen omvatten. Booking.com stelt dat er geen toegang is geweest tot betalingsinformatie.

In een e-mail aan getroffen gebruikers legt Booking.com uit dat het bedrijf verdachte activiteiten heeft ontdekt en ingeperkt, waardoor de toegang van de aanvallers tot bepaalde reserveringsgegevens is beperkt. Uit voorzorg heeft het bedrijf de pincodes van boekingen opnieuw ingesteld en gebruikers gewaarschuwd alert te blijven op verdachte berichten of telefoontjes die zich voordoen als hotels of klantenservice.

Met de reserveringsgegevens in handen kunnen aanvallers nu AI gebruiken om zeer overtuigende phishing-mails te maken. Een bericht dat verwijst naar een echt hotelverblijf, data of locatie maakt het veel waarschijnlijker dat iemand wordt misleid om betalingsgegevens te delen of op kwaadaardige links te klikken.

Booking.com heeft niet bekendgemaakt hoe het datalek heeft plaatsgevonden of hoeveel gebruikers zijn getroffen. Echter, het feit dat de mobiele app van het bedrijf alleen al in 2024 meer dan 100 miljoen gebruikers had, maakt de situatie ernstiger. Keven Knight, CEO van Talion, wijst op dit risico: "Aangezien Booking.com de grootste en meest gebruikte reisorganisatie ter wereld is, kan dit een omvangrijke aanval blijken te zijn. Momenteel bevestigt Booking.com niet hoeveel mensen zijn getroffen of hoe de aanval is uitgevoerd, maar adviseert het alleen in e-mails welke gegevens zijn ingezien."

Knight waarschuwt dat het gebrek aan details van Booking.com gebruikers een groter risico geeft op phishing, smishing (SMS-phishing), vishing (Voice-phishing) en identiteitsfraude. "Het is daarom raadzaam om voorzichtig te zijn en ervoor te zorgen dat alle e-mails en communicatie die om financiële en persoonlijke gegevens vragen, grondig worden gecontroleerd voordat actie wordt ondernomen."

Het is niet de eerste keer dat Booking.com te maken heeft met beveiligingsproblemen. Het platform is eerder gebruikt als kanaal voor phishing-campagnes, vaak met gecompromitteerde hotelaccounts. Die eerdere incidenten lieten al zien hoe effectief reisgerelateerde oplichting kan zijn wanneer deze geloofwaardig lijkt.

Als je een Booking.com-account hebt, behandel dan onverwachte berichten of telefoontjes over boekingen met de nodige voorzichtigheid, vooral als deze urgentie of betalingsverzoeken inhouden.

Bron: Booking.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Na de ransomware aanval op ChipSoft is het nu niet uit te sluiten dat er toch data van ziekenhuispatiënten is buitgemaakt, zo melden bronnen aan de NOS. Eerdere berichten wezen nog op een beperkte impact voor ziekenhuizen. Het zou gaan om ziekenhuizen die servers van ChipSoft gebruiken voor patiëntportalen.

Volgens Tweakers maken circa vijftien ziekenhuizen in Nederland gebruik van deze dienst. Meerdere ziekenhuizen zouden het advies hebben gekregen om het mogelijke datalek bij de Autoriteit Persoonsgegevens te melden. De AP heeft tegenover Tweakers bevestigd dat meerdere ziekenhuizen dit inmiddels hebben gedaan, maar noemt geen namen of aantallen.

Vorige week leek de impact voor ziekenhuizen nog beperkt, al was toen al niet uit te sluiten dat bij een aantal huisartsenpraktijken en apotheken patiëntdata was gestolen. De patiëntportalen zijn nog altijd offline, waardoor patiënten hun dossier niet kunnen inzien en de wachttijden in ziekenhuizen oplopen. ChipSoft heeft geen inhoudelijke reactie gegeven en verklaart slechts dat het forensisch onderzoek nog loopt.

Bron: ChipSoft

ChipSoft heeft bevestigd dat er persoonsgegevens en medische gegevens zijn gestolen bij de recente ransomwareaanval. Dit bevestigt eerdere suggesties van NOS-bronnen dat er mogelijk patiëntgegevens waren ontvreemd. Het bedrijf stelt dat onderzoek dit heeft uitgewezen en heeft inmiddels alle betrokken zorginstellingen geïnformeerd. Ook is de informatiepagina over het incident bijgewerkt.

Minister Mirjam Sterk van Langdurige Zorg, Jeugd en Sport heeft aangegeven dat ChipSoft de zaak "snel en zorgvuldig" moet onderzoeken. "Dit is een heel ernstige zaak", aldus de minister. "Patiënten moeten kunnen vertrouwen dat hun gegevens veilig zijn."

De reacties onder het oorspronkelijke artikel uiten onder andere zorgen over de monocultuur die is ontstaan doordat veel ziekenhuizen met ChipSoft in zee zijn gegaan, waardoor een risico ontstaat. Ook wordt er kritiek geuit op het feit dat er geen strafmaatregelen volgen voor bedrijven die privacygevoelige informatie lekken aan criminelen. Een andere reactie stelt dat een onafhankelijke partij met mandaat het incident zou moeten onderzoeken, in plaats van ChipSoft zelf.

Bron: ChipSoft | Bron 2: skipr.nl

Via het meldformulier op ccinfo.nl kwam een melding binnen van een Nederlandse lezer die €39 betaalde via iDeal aan tvnex.nl voor een IPTV abonnement. Na de betaling werd geen toegang geleverd en kwam er geen reactie van de aanbieder. Het domein tvnex.nl is op 18 februari 2026 geregistreerd via Internet Domain Service BS Corp in de Bahamas, met afgeschermde WHOIS gegevens. Op het moment van de melding stond het domein geparkeerd bij Namecheap parking nameservers.

Het patroon komt overeen met tvnexu.nl, dat al sinds januari 2024 actief is en op Scam Detector een trust score van 14,4 op 100 heeft. Reviewers melden daar dat hun abonnement na ongeveer drie weken stopte, zonder mogelijkheid om contact op te nemen. Een eerdere variant, tvmexu.nl, is inmiddels offline. De operator lijkt na elke ronde een nieuw .nl domein te registreren via Bahamas of Namecheap, steeds met hosting in Frankfurt.

Cybercrimeinfo heeft de melding doorgegeven aan SIDN, de beheerder van alle .nl domeinen, en roept andere slachtoffers op om hun ervaring te melden via ccinfo.nl/melden. Wie zelf geld heeft verloren kan aangifte doen bij de politie en contact opnemen met de eigen bank. Meldingen van patronen helpen om deze scam rotatie in beeld te houden.

De Belgische gemeente Anderlues is op 19 april 2026 toegevoegd aan de leak-site van ransomwaregroep TheGentlemen. Anderlues is een gemeente in de provincie Henegouwen in Wallonië met ongeveer 12.000 inwoners en een oppervlakte van 17 vierkante kilometer. De officiële gemeentewebsite anderlues.be biedt digitale dienstverlening zoals een e-loket voor officiële documenten, nieuws, evenementen en informatie over openbare infrastructuur.

TheGentlemen claimt op de leak-site dat gegevens van de gemeente zijn buitgemaakt en dreigt met publicatie indien niet aan de eisen wordt voldaan. De leak-site vermeldt op dit moment geen concreet losgeldbedrag, geen deadline en geen voorproefje van gestolen data. De gemeente heeft zelf nog geen publieke verklaring afgegeven over het incident. TheGentlemen is dezelfde groep die eerder slachtoffers claimde in de groothandel en retail, en in Colombia en Frankrijk.

Screenshot darkweb

De gemeente Temse heeft uit voorzorg alle online diensten offline gehaald nadat er onregelmatigheden in de systemen werden ontdekt. In overleg met het Centrum voor Cybersecurity België (CCB) is besloten de systemen preventief te sluiten om een mogelijk datalek te voorkomen. De gemeente is samen met het CCB een onderzoek gestart naar de verdachte activiteiten.

Volgens Bart Van Geyt, schepen voor Digitalisering en ICT, is er op dit moment nog geen sprake van een hacking. De maatregel is genomen om te voorkomen dat er een datalek zou kunnen ontstaan. Gemeentemedewerkers ontdekten afgelopen donderdag verdachte zaken in de gemeentelijke informatieomgeving, waarna in samenspraak met experts is besloten de online dienstverlening stil te leggen.

Door de opschorting van de online diensten kunnen inwoners voorlopig geen online aanvragen doen. Fysieke afspraken waarbij identiteitsgegevens nodig zijn, zijn eveneens uitgesteld. De website van de gemeente blijft wel bereikbaar voor informatie, omdat deze extern wordt beheerd. De gemeente verwacht woensdag meer duidelijkheid te kunnen geven over de situatie. Inwoners met dringende vragen kunnen telefonisch contact opnemen of langsgaan bij de balie voor algemene hulp.

Bron: VRT NWS

Naar verwachting is een massaclaim gestart tegen Odido naar aanleiding van een omvangrijk datalek waarbij persoonlijke gegevens van miljoenen Nederlanders zijn gestolen. Claimorganisatie Consumers United in Court (CUIC) beschouwt dit als een van de grootste privacyincidenten in Nederland. Getroffenen kunnen zich kosteloos aansluiten bij de collectieve rechtszaak.

Bij het datalek zijn gegevens zoals namen, adressen, telefoonnummers, bankrekeningnummers en documentnummers van identiteitsbewijzen buitgemaakt. Niet alleen huidige, maar ook oud-klanten van Odido en dochtermerk Ben zijn getroffen. De claimorganisatie stelt dat gedupeerden mogelijk recht hebben op een financiële vergoeding als blijkt dat Odido onvoldoende beveiligingsmaatregelen heeft getroffen. Een rechterlijke uitspraak of schikking zal uiteindelijk bepalen of er daadwerkelijk een schadevergoeding wordt uitgekeerd.

CUIC stelt dat de zaak niet alleen draait om het datalek zelf, maar ook om de vermeende laksheid van Odido in de omgang met gevoelige klantgegevens. Odido heeft zelf gecommuniceerd dat de gestolen gegevens al zijn gebruikt voor criminele activiteiten zoals phishing. CUIC beoogt met de rechtszaak genoegdoening voor de slachtoffers, een waarschuwing aan andere bedrijven en openheid van zaken van Odido over de oorzaak van het datalek en het negeren van waarschuwingen van Salesforce over de veiligheid van hun systemen.

Volgens Consumers United in Court is Odido op meerdere punten nalatig geweest, onder meer door het bewaren van een grote hoeveelheid gegevens gedurende een lange periode. De organisatie stelt dat de persoonsgegevens onvoldoende waren afgeschermd en dat Odido onvoldoende transparant is geweest en de meldplicht niet correct heeft nageleefd. Er lopen onderzoeken van het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur. Odido heeft eerder aangegeven dat een datalek niet automatisch recht geeft op compensatie en dat het bedrijf zich richt op het beperken van schade voor klanten.

Bron: Consumers United in Court | Bron 2: cuic.eu

Op een populair cybercrimeforum biedt een gebruiker een dataset aan die volgens de claim 400.000 klantrecords van Bol.com bevat. Bol.com is de grootste online marktplaats van België en Nederland met naar eigen zeggen 14 miljoen klanten. De verkoper beweert dat de dataset persoonsgegevens omvat zoals klant-ID, volledige naam, e-mailadres, telefoonnummer, geboortedatum, geslacht, nationaliteit, ID-nummer en adres (straat, stad, provincie, postcode en land), samen met registratie- en laatste inlogdatum. Daarnaast zou de dataset verzendgegevens bevatten, waaronder bezorgadressen, vervoerder, trackingnummer, magazijn-ID, pakketgewicht, bestel-ID en bestelbedrag, betaalmethode, retour- en verzekeringsinformatie. De verkoop verloopt via Telegram of Session, de prijs is onderhandelbaar en de actor accepteert tussenpersonen (escrow).

Cybercrimeinfo heeft de authenticiteit van de dataset niet onafhankelijk kunnen verifiëren. De poster is op het betreffende forum geen bekende cybercrimineel en draagt een reputatielabel dat hoort bij nieuwe gebruikers, wat de geloofwaardigheid van de claim op voorhand beperkt. Bol.com heeft op het moment van dit bericht nog geen publieke verklaring afgegeven over de claim.

Bron: Cybercrimeinfo ontdekte via darkweb monitoring

Cosmeticabedrijf Rituals heeft een datalek bevestigd waarbij persoonlijke gegevens van klanten zijn buitgemaakt na een cyberaanval. Het Nederlandse bedrijf meldt dat hackers onrechtmatige toegang hebben verkregen tot systemen en een deel van de gegevens van zijn 'members' hebben gedownload. Deze informatie omvat namen, telefoonnummers, e-mailadressen en geboortedata van de getroffen klanten.

Rituals heeft specifiek benadrukt dat er geen wachtwoorden of betalingsgegevens zijn gecompromitteerd tijdens de aanval, wat de directe financiële risico's voor klanten beperkt. Het is momenteel niet duidelijk hoeveel mensen precies zijn getroffen door dit incident. Desondanks heeft het bedrijf aangegeven dat alle leden waarvan de gegevens zijn buitgemaakt, persoonlijk per e-mail op de hoogte zijn gesteld van het datalek. Deze proactieve communicatie is essentieel om getroffen personen te informeren over de situatie en hen te adviseren over mogelijke vervolgstappen.

Onmiddellijk na de ontdekking van de hack heeft Rituals diverse maatregelen geïmplementeerd om de inbreuk te beheersen en verdere ongeautoriseerde toegang te voorkomen. De toegang tot andere gegevens is geblokkeerd en het bedrijf verklaart dat de situatie nu onder controle is. Om de impact te monitoren en te anticiperen op mogelijk misbruik, werkt Rituals samen met externe cybersecurity specialisten. Zij houden nauwlettend in de gaten of de gedownloade gegevens ergens publiekelijk opduiken, bijvoorbeeld op cybercrimefora of via andere kanalen waar gestolen data verhandeld wordt.

Het bedrijf waarschuwt zijn klanten dringend voor het risico op phishing en andere vormen van social engineering. De gestolen persoonsgegevens kunnen door cybercriminelen worden gebruikt om gerichte frauduleuze e-mails, sms-berichten of telefoontjes op te stellen die zeer authentiek kunnen lijken. Rituals roept klanten daarom op om extra alert te zijn op verdachte communicatie. Het advies luidt om nooit te reageren op berichten waarin wordt gevraagd om gevoelige informatie, zoals wachtwoorden, of om deze in te vullen op onbekende websites. Het is cruciaal om altijd de afzender van e-mails of sms'jes grondig te controleren en bij twijfel direct contact op te nemen met Rituals via officiële kanalen.

De Autoriteit Persoonsgegevens (AP), de Nederlandse instantie die toezicht houdt op de naleving van de privacywetgeving, is inmiddels door Rituals op de hoogte gesteld van het datalek. Deze melding is een verplichte stap onder de Algemene Verordening Gegevensbescherming (AVG) wanneer een datalek waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van natuurlijke personen. De AP zal de melding beoordelen en kan eventueel een onderzoek starten.

Bron: Rituals

Naar aanleiding van de massale claim tegen internetprovider Odido, waarbij gedupeerden van een datalek mogelijk honderden euro's schadevergoeding kunnen ontvangen, rijst de vraag wat de werkelijke waarde is van gehackte gegevens op de online zwarte markt. Uit onderzoek blijkt dat hackers vooral bereid zijn te betalen voor complete sets van gegevens.

Volgens de analyse kunnen telefoonnummers op het darkweb worden verhandeld voor bedragen variërend van 1 tot 5 dollar. Identiteitsnummers, die een hogere mate van gevoeligheid bezitten, brengen aanzienlijk meer op. De voorkeur van cybercriminelen gaat uit naar uitgebreide datasets, omdat deze hen in staat stellen om meer geavanceerde frauduleuze activiteiten uit te voeren. Een concreet voorbeeld van misbruik dat met dergelijke data kan worden gepleegd, is het doorvoeren van wijzigingen van adresgegevens, wat verdere identiteitsfraude of financiële oplichting mogelijk maakt. De zaak tegen Odido onderstreept de financiële en persoonlijke impact die een datalek kan hebben op individuen.

Bron: AD

De Belgische Vereniging voor Artsensyndicaten (BVAS) slaat alarm over een toenemende hoeveelheid deepfake-video's die op sociale media circuleren. In deze met kunstmatige intelligentie (AI) gecreëerde video's wordt de naambekendheid van gerespecteerde artsen en Belgische ziekenhuizen misbruikt om misleidende medicijnen en supplementen aan te prijzen. Dit fenomeen vormt volgens de BVAS een ernstig risico voor de volksgezondheid en ondermijnt het vertrouwen in de gezondheidszorg.

Hoewel misleidende video's met zogenaamde artsen die afslankmiddelen of supplementen promoten al langer bestaan, heeft de opkomst van generatieve AI het voor oplichters aanzienlijk eenvoudiger gemaakt om overtuigende en realistische beelden te produceren. Hierdoor worden woorden in de mond gelegd van artsen die zij nooit hebben uitgesproken, wat het steeds moeilijker maakt om authentieke van valse content te onderscheiden. Dr. Patrick Emonts, voorzitter van BVAS, benadrukt dat de overtuigingskracht van AI in het nabootsen van medische gezichten en stemmen een verhoogde waakzaamheid vereist, zowel van zorgverleners als van het algemene publiek.

VRT NWS heeft eerder al bericht over deepfake-video's waarin onder meer viroloog Marc Van Ranst (reeds gerapporteerd op 13 november 2025) en intensivist Geert Meyfroidt (gerapporteerd op 10 maart 2026) centraal stonden. Beide artsen blijven slachtoffer van deze AI-gegenereerde misbruik van hun identiteit. Daarnaast circuleren er deepfake-video's waarin afslankproducten worden aangeprezen met het logo van Belgische ziekenhuizen, zoals het UZ Leuven, in beeld. Een recente video van Geert Meyfroidt die afslankmiddelen aanprees, was bijvoorbeeld te zien op Facebook.

De BVAS waarschuwt dat deze video's vaak misleidende gezondheidsclaims bevatten en een commercieel doel dienen. Er worden medicijnen, supplementen of behandelingen gepromoot die zelden gratis zijn en waarvan de werking vaak niet wetenschappelijk is onderbouwd. Dit misbruikt de essentiële vertrouwensband tussen arts en patiënt. Naast de potentiële gezondheidsschade voor personen die de valse informatie geloven, kunnen de video's ook de reputatie en expertise van de betrokken artsen en ziekenhuizen ernstig schaden.

Om de bevolking te beschermen, roept de BVAS op tot een kritische houding ten aanzien van medische informatie online. Artsen zullen nooit vanuit een commercieel belang spreken of producten aanprijzen. Bij twijfel over medische informatie wordt geadviseerd dit altijd te bespreken met de eigen huisarts of behandelend arts. De vereniging moedigt haar leden ook aan om alert te zijn op medische deepfakes en deze te melden bij de betreffende sociale mediaplatforms. Artsen wiens identiteit wordt misbruikt, kunnen aangifte doen van identiteitsfraude bij de politie. De BVAS benadrukt de noodzaak van een gecoördineerde aanpak, inclusief duidelijke regelgeving, handhaving en preventie, door middel van meer inzet op digitale geletterdheid om burgers te helpen gemanipuleerde medische informatie beter te herkennen en zo het vertrouwen in de gezondheidszorg te bewaren.

Bron: BVAS

De klassieke criminaliteit in de Belgische gemeente Lier is in 2025 verder gedaald, zo blijkt uit het jaarverslag van de lokale politie. Tegelijkertijd nam de cybercriminaliteit toe, evenals intrafamiliaal geweld en vandalisme. De politie van Lier reageert hierop door onder andere cybervrijwilligers in te zetten om inwoners te waarschuwen voor digitale oplichting.

Het aantal inbraken in Lier daalde vorig jaar tot 96 feiten, het laagste niveau in meer dan tien jaar. Ook diefstal, afpersing en geweld op de openbare weg vertonen een dalende trend. Wel werden er meer meldingen van vandalisme geregistreerd. De drugsproblematiek laat een gemengd beeld zien; na een piek in 2024 daalde het aantal drugsfeiten van 286 naar 224, hoewel dit cijfer nog steeds hoger is dan in de jaren daarvoor. Vooral het aantal betrappingen op het bezit van drugs nam af. De politie rolde diverse cannabisplantages en internationale bendes op. Korpschef Stijn Van den Bulck benadrukt de proactieve aanpak van de politie, die ook extra focust op verkeersoverlast en gevaarlijk rijgedrag met e-steps.

De geregistreerde feiten van cybercriminaliteit stegen van 220 naar 259, met een financiële schade van meer dan 1,2 miljoen euro. Deze stijging is volgens de korpschef en burgemeester Rik Verwaest (N-VA) een landelijke trend, gedreven door de toenemende digitalisering van het dagelijks leven en de impact van kunstmatige intelligentie (AI). Criminelen anticiperen hierop en lopen vaak voorop.

De stad Lier investeert aanzienlijk in de politie, onder meer door uitbreiding van het korps en de aanschaf van moderne uitrusting en technologie. Burgemeester Verwaest noemt als voorbeeld de inzet van drones, waarmee de Lierse politie in 2025 59 interventies uitvoerde. Drones worden gebruikt voor het terugvinden van vermiste personen, het ontwarren van verkeersknopen en het opsporen van voortvluchtigen.

Om de strijd tegen cybercriminaliteit aan te gaan, zet de politie van Lier nu cybervrijwilligers in. Dit zijn betrouwbare personen die een opleiding krijgen en vervolgens bij mensen thuis langsgaan om tips te geven ter voorkoming van cyberoplichting. De focus ligt op kwetsbare groepen, zoals oudere mensen, die niet altijd even vertrouwd zijn met onlinepreventie. Er wordt geadviseerd om nooit bankkaartgegevens of codes af te geven en niet in te gaan op telefoontjes van zogenaamde bankmedewerkers.

Bron: Politie

De Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft in haar jaarverslag van dit jaar een alarmerende conclusie getrokken: de offensieve cybercapaciteiten van China zijn nu waarschijnlijk gelijk aan die van de Verenigde Staten. Deze ontwikkeling leidt ertoe dat slechts een fractie van de Chinese cyberoperaties tegen Nederlandse belangen wordt gedetecteerd.

Volgens de MIVD is de dreiging vanuit Beijing zo geavanceerd dat intelligencebureaus en cybersecurityverdedigers regelmatig Chinese operaties missen. Het rapport stelt dat "detectie, respons en mitigatie vaak ontoereikend zijn tegen de uitgebreide en professionele Chinese cyberdreiging." De dienst schat in dat "waarschijnlijk slechts een beperkt deel van de Chinese cyberoperaties tegen Nederlandse belangen wordt gedetecteerd en vervolgens gemitigeerd."

Het rapport onthult ook details over hackeenheden van het Volksbevrijdingsleger (PLA) die nog niet eerder openbaar zijn gemaakt in westerse intelligenceverslagen. Zo zouden meerdere onderdelen binnen dezelfde eenheid in 2025 zelfs hebben geconcurreerd om kwetsbaarheden te vinden in een specifiek type randapparatuur. Deze toegenomen prestaties worden door de MIVD in verband gebracht met de cyberherstructurering van het PLA in 2024, waarbij de Strategic Support Force werd ontbonden en een zelfstandige Cyberspace Force werd opgericht. Deze reorganisatie stelde Chinese hackers in 2025 in staat om voortdurend hun tooling en infrastructuur aan te passen en zeer flexibel in te spelen op kansen en veranderende omstandigheden. Voor 2026 wordt een verdere toename verwacht in het aantal campagnes gericht op het misbruiken van kwetsbaarheden, onder meer in randapparatuur zoals routers, firewalls en VPN-oplossingen.

Specifiek wordt melding gemaakt van een Chinese cyberespionagecampagne, gevolgd onder de namen Salt Typhoon en RedMike, die in 2025 toegang verkreeg tot routers van kleinere Nederlandse hosting- en internetproviders. Het Nederlandse Ministerie van Defensie had eerder al bevestigd dat deze kleinere providers het doelwit waren van de dreigingsgroep, hoewel destijds werd aangenomen dat de hackers niet verder dan het routerniveau waren doorgedrongen in interne netwerken. De MIVD beschouwt telecommunicatiebedrijven als "prioritaire doelwitten van Chinese hackers, omdat hier waardevolle informatie kan worden verkregen." Nederlandse diensten namen in augustus 2025 deel aan een 13-landenadvies dat de campagne toeschreef aan drie Chinese technologiebedrijven die namens Beijing opereerden.

Eerder, in februari 2024, onthulde de dienst al dat Chinese hackers waren binnengedrongen in een afgeschermd netwerk van het Nederlandse Ministerie van Defensie door misbruik te maken van een kwetsbaarheid in FortiGate-systemen, waarbij malware genaamd COATHANGER werd ingezet. Een daaropvolgend onderzoek wees uit dat dezelfde campagne wereldwijd minstens 20.000 FortiGate-systemen had geïnfecteerd.

De MIVD's rapport benadrukt ook dat China een "whole of society approach" hanteert voor zijn inlichtingenoperaties, waarbij de Chinese wetgeving alle Chinese burgers, bedrijven en organisaties verplicht tot medewerking met staatsinlichtingendiensten. Dergelijke medewerking is in Nederland sinds 2025 strafbaar gesteld onder de gewijzigde spionagewetgeving. China richt zich actief op Nederlandse onderzoekers, bedrijven en universiteiten, met name in de semiconductor-, kwantumcomputing- en ruimtevaartsector, om technologie te verwerven. De MIVD waarschuwt dat Chinese hackers "de Nederlandse en geallieerde cyberverdediging op de proef stellen" via groepen die "structureel de Europese Unie en de NAVO aanvallen", evenals anderen die "opportunistisch kwetsbare netwerken aanvallen."

Bron: MIVD | Bron 2: dni.gov | Bron 3: recordedfuture.com

De implementatie van de NIS2-richtlijn in België heeft geleid tot de eerste grote conformiteitsevaluatie voor essentiële organisaties, die op 18 april 2026 plaatsvond. Ongeveer anderhalf jaar na de inwerkingtreding van de Europese verordening, die België snel omzette in nationale wetgeving, dienen deze entiteiten nu aan te tonen dat zij voldoen aan de aangescherpte eisen voor informatiebeveiliging.

Kurt Maekelberghe, hoofd informatiebeveiliging bij IT-dienstverlener Smals en DPO bij de Kruispuntbank van de Sociale Zekerheid, benadrukt de impact van de richtlijn NIS2. Alle federale overheidsinstellingen zijn aangemerkt als "essentiële entiteiten". De verplichtingen hiervoor zijn vergelijkbaar met die voor de private sector: elke organisatie die onder de wetgeving valt, moet adequate maatregelen nemen om beveiligingsrisico’s te beperken.

De richtlijn NIS2 dwingt organisaties hun beveiliging grondig te herzien. Hoewel dit voor sommige publieke instellingen, zoals de sociale zekerheid die al lang met persoonsgegevens werkt, geen revolutionaire cultuurverandering betekent, heeft de wet wel geholpen om informatiebeveiliging breder onder de aandacht te brengen. Maekelberghe merkt op dat de nieuwe toezichtsmodellen, waaronder de meldingsplicht van significante incidenten aan het Centrum voor Cybersecurity België (CCB), leiden tot een scherpere focus op beveiliging en explicietere aandacht voor basismaatregelen. Hij verwacht dat de richtlijn NIS2 een afname van vermijdbare incidenten teweeg kan brengen.

De registratieplicht voor bedrijven die onder de richtlijn NIS2 vallen, liep af op 18 maart 2025. De deadline van 18 april 2026 markeerde het moment waarop organisaties hun eerste evaluatie moesten voorleggen. Maekelberghe ziet de feedback van het CCB als een waardevolle basis voor verbeterpunten en gerichte bijstand bij het beheer van cyberrisico’s, en kijkt uit naar de samenwerking. Het niet naleven van de wetgeving NIS2 kan resulteren in sancties, maar de richtlijn moet volgens Maekelberghe vooral gezien worden als een opportuniteit voor continue verbetering van de beveiliging.

Organisaties kunnen zich voor NIS2-conformiteit baseren op twee kaders: het CyberFundamentals Framework (CyFun) en de ISO/IEC 27001-standaard. Maekelberghe legt uit dat CyFun een pragmatische aanpak biedt voor cyberbeveiliging, terwijl ISO/IEC 27001 een internationale norm is voor een formeel en certificeerbaar managementsysteem voor informatiebeveiliging.

Als IT-partner heeft Smals een cruciale rol in het ondersteunen van overheidsinstellingen. Deze instellingen zijn verplicht hun dienstverleners te controleren op de toepassing van informatiebeveiliging. Dit supplychainbeheer vereist meer transparantie en rapportering, zodat klanten hun eigen conformiteit kunnen beoordelen. De afhankelijkheid van leveranciers is een erkend risico geworden, aangezien bedreigingen in de supplychain moeilijk te beheersen zijn. Uiteindelijk zijn organisaties zelf verantwoordelijk voor het nemen van maatregelen op basis van hun eigen risicoinschatting.

Het cyberbeveiligingslandschap evolueert snel, met name door de adoptie van kunstmatige intelligentie (AI). Maekelberghe waarschuwt dat AI zowel een productiemiddel met kwetsbaarheden als een middel voor cyberaanvallen kan zijn, bijvoorbeeld voor het creëren van geavanceerdere phishing-e-mails. Onbedachtzame implementatie van AI vergroot de aanvalsoppervlakte en daarmee de kwetsbaarheid van een organisatie. Hij is echter overtuigd dat de richtlijn NIS2 de tand des tijds zal doorstaan, mits correct toegepast door middel van regelmatige en goed uitgevoerde risicoanalyses en -beheerplannen, zowel voor bestaande systemen als bij de introductie van nieuwe technologieën. Een "lijstjescultuur" moet hierbij vermeden worden.

Bron: ITdaily.be | Bron 2: cyfun.eu | Bron 3: iso.org

De Nederlandse softwareleverancier ChipSoft, die gespecialiseerde software levert aan de zorgsector, heeft bevestigd in onderhandeling te zijn met de cybercriminelen die verantwoordelijk zijn voor een recente inbraak in hun systemen. Deze aanval heeft geleid tot de diefstal van patiëntgegevens, waaronder hoogst gevoelige medische data. De omvang en exacte aard van de gestolen informatie zijn nog niet volledig openbaar gemaakt, maar de aanwezigheid van medische gegevens wijst op een ernstig privacyrisico voor de getroffen individuen.

De cyberaanval raakt direct Nederlandse zorginstellingen die afhankelijk zijn van de software van ChipSoft. Hoewel de precieze lijst van gedupeerden nog onvolledig is, is reeds bekend dat onder andere revalidatiecentra en huisartsenpraktijken tot de getroffen partijen behoren. Dit onderstreept de kwetsbaarheid van de digitale infrastructuur binnen de zorg en de potentiële verstoring van cruciale medische diensten. De onderhandelingen tussen ChipSoft en de aanvallers zijn gericht op het beperken van de schade en het voorkomen van verdere verspreiding of misbruik van de gestolen data. De situatie wordt nauwlettend gevolgd door relevante autoriteiten.

Bron: NU.nl

De hackersgroep Embargo dreigde deze week patiëntgegevens van de Nederlandse zorgleverancier ChipSoft te publiceren. ChipSoft, dat systemen levert aan onder meer huisartsen, bevestigde eerder deze maand slachtoffer te zijn geworden van een hack waarbij persoonlijke en medische data van een onbekend aantal patiënten zijn gestolen.

Embargo plaatste begin deze week een bericht op het darkweb, waarin de groep beweerde 100 GB aan gegevens van ChipSoft in handen te hebben. Op de website van de hackers stonden twee aftelklokken die deze week zouden aflopen, een tactiek die wordt gebruikt om slachtoffers onder druk te zetten om te betalen. Harm Teunis van cybersecuritybedrijf ESET merkt op dat dergelijke sites op het darkweb dienen om te demonstreren dat gegevens in bezit zijn en om met publicatie te dreigen.

Het dreigement is inmiddels verwijderd van de darkweb-website. Volgens Teunis gebeurt dit vaak wanneer een bedrijf betaalt om publicatie te voorkomen, al kan het ook onderdeel zijn van onderhandelingen. ChipSoft bevestigt aan de NOS dat onderhandelingen met de cybercriminelen nog lopen en weigert verdere mededelingen te doen ter bescherming van de belangen van alle betrokkenen.

Embargo is een relatief onbekende groep, waarvan de identiteit en herkomst niet bekend zijn. Op het darkweb omschrijft de groep zichzelf als een "internationaal team zonder politieke banden". ESET volgt Embargo sinds juni 2024 en heeft vastgesteld dat de groep vaker de zorgsector aanvalt, met eerdere slachtoffers waaronder ziekenhuizen in de Verenigde Staten en bedrijven uit diverse sectoren wereldwijd. De werkwijze van Embargo is consistent gebleven en omvat dubbele afpersing, waarbij bestanden niet alleen worden versleuteld (ransomware), maar ook gestolen om het slachtoffer te chanteren met publicatie.

ChipSoft heeft eerder zelf bekendgemaakt dat het slachtoffer is geworden van een ransomware aanval, waarbij bestanden ontoegankelijk worden gemaakt en losgeld wordt geëist voor een digitale sleutel. De gestolen medische gegevens zijn bijzonder gevoelig, wat de druk om te betalen kan verhogen. Echter, de gegevens zijn dan reeds in handen van de criminelen.

De exacte omvang van het datalek blijft onbekend. De Landelijke Huisartsen Vereniging (LHV) adviseerde getroffen huisartsenpraktijken om hun patiënten te informeren, maar weet niet of dit reeds is gebeurd. De LHV schat dat mogelijk gegevens van "enkele tientallen huisartsenpraktijken" zijn gestolen. ChipSoft heeft niet bekendgemaakt om welke andere zorginstellingen of hoeveel personen het precies gaat, en verwijst mensen met vragen naar hun eigen huisarts of zorgverlener.

Bron: ster.nl

Het Nederlandse cosmeticabedrijf Rituals heeft een datalek openbaar gemaakt waarbij persoonsgegevens van klanten uit de 'My Rituals' ledenadministratie zijn gestolen. Het incident werd eerder deze maand ontdekt, nadat het bedrijf werd gealarmeerd over ongeautoriseerde downloads van ledengegevens. Rituals heeft de relevante autoriteiten op de hoogte gebracht en de toegang van de aanvallers geblokkeerd, waardoor het lek is gedicht. Tot op heden is er geen bewijs gevonden dat de gestolen informatie online is gelekt.

De gestolen persoonsgegevens omvatten, voor zover gedeeld met Rituals, de volledige naam, e-mailadres, telefoonnummer, geboortedatum, geslacht en thuisadres van de leden. Het bedrijf heeft bevestigd dat er geen wachtwoorden of betaalinformatie zijn gecompromitteerd. Rituals heeft een diepgaand forensisch onderzoek ingesteld om de oorzaak van het incident te achterhalen en toekomstige vergelijkbare gebeurtenissen te voorkomen.

Het datalek treft leden van het loyaliteitsprogramma 'My Rituals', dat exclusieve beloningen, cadeaus bij aankoop en verjaardagscadeaus aanbiedt. Hoewel een woordvoerder van Rituals geen specifiek aantal getroffen klanten heeft gedeeld, telt het My Rituals-programma wereldwijd meer dan 41 miljoen leden. TechCrunch, dat als eerste over het incident berichtte, meldde dat Rituals ook klanten in de Verenigde Staten heeft geïnformeerd.

Rituals heeft de aard van de cyberaanval nog niet bekendgemaakt en er hebben geen cybercriminele groepen of dreigingsactoren de verantwoordelijkheid voor het datalek opgeëist. Het bedrijf, opgericht in 2000 in Amsterdam, Nederland, heeft wereldwijd meer dan 12.000 werknemers en rapporteerde in 2025 een omzet van 2,4 miljard euro. Rituals exploiteert meer dan 1.400 winkels en ruim 4.800 luxe parfumerieën en warenhuizen in 33 landen.

Bron: Onbekend | Bron 2: techcrunch.com | Bron 3: rituals.com

De Gemeente Epe heeft vandaag, 23 april 2026, de gedetailleerde resultaten bekendgemaakt van het uitgebreide onderzoek naar de cyberaanval die haar servers recentelijk heeft getroffen. Tijdens deze aanval, aangeduid als een "ClickFix" incident, zijn cybercriminelen erin geslaagd de persoonsgegevens van nagenoeg alle inwoners van de gemeente Epe buit te maken. Een bijzonder zorgwekkend aspect van het datalek is dat van ongeveer duizend inwoners ook een kopie van een geldig identiteitsbewijs is gestolen.

De gestolen data bevond zich op een specifieke server binnen de gemeentelijke infrastructuur. Deze server werd op het moment van de aanval nog slechts door een beperkt aantal medewerkers van de gemeente gebruikt. De bestanden die op deze server stonden, waren in afwachting van verdere verwerking en moesten nog worden ingevoerd in het primaire gemeentelijke systeem. Dit duidt op een mogelijke kwetsbaarheid in de dataverwerking of de beveiliging van tijdelijke opslaglocaties.

In een directe reactie op dit ernstige incident heeft de Gemeente Epe aangekondigd proactieve stappen te ondernemen om de getroffen inwoners te informeren en te ondersteunen. Alle inwoners van de gemeente zullen binnenkort een persoonlijke brief ontvangen. Deze correspondentie zal niet alleen gedetailleerde informatie verschaffen over de aard en omvang van het datalek, maar ook concrete adviezen bevatten over de maatregelen die zij kunnen nemen om eventueel misbruik van hun gestolen gegevens te voorkomen.

Voor de specifieke groep van ongeveer duizend inwoners van wie een kopie van hun geldige identiteitsbewijs (zoals een paspoort, rijbewijs of identiteitskaart) is buitgemaakt, heeft de gemeente een aanvullende regeling getroffen. Zij komen in aanmerking voor een kosteloze aanvraag van een nieuw identiteitsbewijs. Dit initiatief is bedoeld om de risico's op identiteitsfraude voor deze kwetsbare groep te mitigeren.

Burgemeester Tom Horn van Epe heeft zijn diepe spijt en bezorgdheid geuit over het datalek. Tijdens de presentatie van de onderzoeksresultaten benadrukte hij de fundamentele verantwoordelijkheid van de gemeente om zorgvuldig en veilig om te gaan met de gegevens van haar burgers. "Als gemeente horen we goed voor de gegevens van burgers te zorgen en dat nemen we serieus. Helaas is het toch misgegaan," verklaarde burgemeester Horn. Hij ging verder door te stellen dat hij de gebeurtenis niet zozeer als een 'lek' maar als een 'diefstal' beschouwt, waarmee hij de criminele aard van de aanval onderstreepte.

Dit incident in de Gemeente Epe dient als een scherpe herinnering aan de voortdurende en evoluerende dreigingen in het digitale landschap. Het benadrukt de kritieke noodzaak voor alle organisaties, met name die welke gevoelige persoonsgegevens verwerken, om hun cyberbeveiligingsmaatregelen continu te evalueren, te versterken en te zorgen voor adequate procedures voor dataopslag en -verwerking. De bescherming van burgergegevens blijft een topprioriteit in een steeds meer gedigitaliseerde samenleving.

Bron: Gemeente Epe | Bron 2: digitaleoverheid.nl

De privacystichting Consumers United in Court (CUIC) heeft in korte tijd een aanzienlijk aantal aanmeldingen ontvangen voor haar massaclaim tegen telecombedrijf Odido. Sinds de start van de juridische actie afgelopen maandag hebben al meer dan 350.000 gedupeerden zich aangesloten, zo meldt de NOS. Deze claim is een direct gevolg van een omvangrijk datalek bij Odido in februari van dit jaar, waarbij de persoonsgegevens van ruim zes miljoen huidige en voormalige klanten werden blootgelegd.

CUIC baseert de massaclaim op de stelling dat Odido in strijd met de geldende wetgeving heeft gehandeld. De stichting beweert dat het telecombedrijf niet alleen te veel klantgegevens heeft bewaard, maar deze ook onvoldoende heeft beveiligd tegen ongeautoriseerde toegang. Als compensatie voor de geleden schade streeft CUIC naar een schadevergoeding van 500 euro per gedupeerde.

De weg naar een eventuele uitbetaling van schadevergoedingen kan echter lang en complex zijn. Een expert die ervaring heeft met soortgelijke massaclaims waarschuwt dat het proces gemakkelijk vijf jaar kan duren voordat een rechter een definitief oordeel velt en een vergoeding wordt uitgekeerd, mits de rechter tot de conclusie komt dat er daadwerkelijk aansprakelijkheid is.

In de komende rechtszaak zal CUIC moeten bewijzen dat Odido de wettelijke verplichtingen inzake gegevensbescherming daadwerkelijk heeft geschonden. De stichting is overtuigd van haar zaak en stelt dat Odido's handelen, met betrekking tot het langdurig bewaren van gegevens en het falen in de beveiliging, onmiskenbaar in strijd is met de wet. Parallel aan deze massaclaim voert de Autoriteit Persoonsgegevens (AP) momenteel nog een eigen onderzoek uit naar het datalek en de wijze waarop Odido met de persoonsgegevens van haar klanten omgaat. De bevindingen van de AP kunnen een cruciale rol spelen in de verdere juridische afwikkeling van deze zaak.

Bron: Onbekend

De Amerikaanse beveiligingsgigant ADT voor thuisgebruik heeft een datalek bevestigd nadat de afpersingsgroep ShinyHunters dreigde gestolen gegevens openbaar te maken indien er geen losgeld zou worden betaald. ADT maakte in een verklaring bekend dat het op 20 april onbevoegde toegang detecteerde tot gegevens van klanten en potentiële klanten. Na de detectie werd de inbraak beëindigd en een onderzoek gestart, waaruit bleek dat persoonlijke informatie was gestolen.

Volgens ADT was de gestolen informatie beperkt tot namen, telefoonnummers en adressen. In een klein percentage van de gevallen waren ook geboortedata en de laatste vier cijfers van Social Security-nummers of belastingnummers inbegrepen. De firma benadrukt dat er geen betaalinformatie, zoals bankrekeningen of creditcards, werd benaderd en dat klantbeveiligingssystemen op geen enkele wijze waren beïnvloed of gecompromitteerd. ADT stelt dat de inbraak beperkt was en heeft alle getroffen individuen op de hoogte gebracht.

Deze verklaring volgt op een vermelding van ADT op de datalecsite van ShinyHunters, waar de aanvallers beweerden 10 miljoen records met persoonlijke informatie en andere interne bedrijfsdata te hebben gestolen. Op de datalecsite stond: "Meer dan 10 miljoen records met persoonlijke identificeerbare informatie en andere interne bedrijfsdata zijn gecompromitteerd. Betaal of lekken we. Dit is een laatste waarschuwing om contact op te nemen voor 27 april 2026, voordat we de data lekken, samen met diverse vervelende (digitale) problemen die op je afkomen." ADT heeft het door de aanvallers geclaimde datavolume niet bevestigd.

ShinyHunters heeft aan BleepingComputer verklaard dat zij ADT naar verluidt hebben gecompromitteerd via een voice phishing (vishing) aanval, waarbij een Okta single sign-on (SSO) account van een werknemer werd overgenomen. Met dit account kregen de dreigingsactoren naar eigen zeggen toegang tot en stalen zij gegevens uit de Salesforce-instantie van het bedrijf.

Sinds vorig jaar voert de afpersingsgroep wijdverspreide vishing-campagnes uit die gericht zijn op Microsoft Entra-, Okta- en Google SSO-accounts van werknemers en BPO-agenten. Na toegang te hebben verkregen tot een bedrijfs-SSO-account, stelen de dreigingsactoren data uit gekoppelde SaaS-applicaties zoals Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk en Dropbox. Deze gestolen gegevens worden vervolgens gebruikt om bedrijven af te persen voor losgeld, met de dreiging de data anders openbaar te maken. ADT heeft in augustus en oktober 2024 eerder datalekken gemeld waarbij klant- en werknemersinformatie werd blootgesteld.

Bron: adaptivesecurity.com | Bron 2: hubs.li

Safeonweb.be waarschuwt voor een toename van vishing aanvallen waarbij oplichters zich voordoen als medewerkers van Proximus. Slachtoffers ontvangen een telefoontje van een onbekend nummer met een vooraf opgenomen bericht. In dit bericht wordt beweerd dat er een verdachte inlogpoging is gedetecteerd op het account van Proximus van de ontvanger. Gebruikers worden vervolgens gevraagd om op een toets te drukken om doorverbonden te worden met een zogenaamde medewerker.

Eenmaal aan de lijn proberen de oplichters, die vaak beleefd zijn en een onberispelijke taal spreken, het vertrouwen van de gebelde persoon te winnen. Hun doel is het ontfutselen van gevoelige informatie, met name bankgegevens. Safeonweb.be benadrukt het belang om nooit op dergelijke telefoontjes te reageren, geen persoonlijke gegevens door te geven en onmiddellijk op te hangen.

Bij het ontvangen van onverwachte telefoonoproepen gelden algemene voorzorgsmaatregelen. Geef nooit persoonlijke gegevens, wachtwoorden, codes van bankkaart of response codes door via de telefoon. Het is ook raadzaam om nooit terug te bellen naar onbekende nummers, en zeker niet naar buitenlandse nummers. Men moet niet zomaar geloven wat er aan de telefoon wordt verteld; technologiebedrijven, banken, de politie of de overheid zullen nooit via de telefoon naar persoonlijke gegevens of codes vragen. Bij twijfel wordt aangeraden de tijd te nemen om na te denken en contact op te nemen met de betreffende organisatie via de officiële kanalen. Tevens moet men geen toegang tot een toestel geven door een programma te downloaden, wat kan leiden tot een remote access scam.

Indien men opgelicht is en geld is kwijtgeraakt of afgeperst wordt, adviseert Safeonweb.be om aangifte te doen bij de lokale politie van de woonplaats, of online via my.police.be. Daarnaast is het cruciaal om de bank en/of Card Stop te contacteren via 078 170 170 als bankgegevens zijn doorgegeven, er geld van de bankrekening verdwijnt, of als er geld is overgemaakt aan een oplichter. Dit stelt de bank in staat om eventuele frauduleuze transacties te blokkeren.

Bron: Safeonweb.be | Bron 2: my.police.be | Bron 3: cardstop.be

Cybercrimeinfo ontdekte op het darkweb dat de ransomware-groep Apt73 een claim heeft gepubliceerd waarin het Belgische staalbedrijf N.V. Van Heyghen Staal als slachtoffer wordt genoemd. De vermelding op het lek-platform van de groep verscheen op 27 april 2026, met dezelfde dag als geschatte aanvalsdatum. Een onafhankelijke bevestiging door het bedrijf zelf is op het moment van schrijven niet beschikbaar.

Van Heyghen Staal is een familiebedrijf dat actief is in de verwerking van metaal en de productie van staalplaten. Het hoofdkantoor staat in Evergem, in de Belgische provincie Oost-Vlaanderen, op het industrieterrein Durmakker. Het bedrijf positioneert zich als een Europese coil-verwerker en levert ook diensten op het gebied van verpakking, transport en zogeheten toll processing voor industriele klanten. Daarnaast voert Van Heyghen Staal de eigen technologie LaserpressPlus en houdt het zusterbedrijven aan in onder meer Polen en op het gebied van pickling.

Apt73 staat bekend als een dreigingsactor die slachtoffers publiceert op een eigen lek-platform en daarbij een afpersingsmodel hanteert waarbij organisaties onder druk worden gezet om te betalen voordat gestolen gegevens openbaar worden gemaakt. De daadwerkelijke aard en omvang van de gestolen of getroffen data is in dit geval nog niet publiek bekend. Bij ransomware-claims is het gebruikelijk dat de groep aanvankelijk alleen de naam en mogelijk een klein voorproefje van data plaatst, en dat een eventuele dataset pas later op de lek-pagina verschijnt indien er geen overeenkomst tot stand komt.

Voor klanten, leveranciers en personeelsleden van Van Heyghen Staal is het verstandig alert te zijn op verdachte berichten die zogenaamd uit naam van het bedrijf komen, zoals e-mails over openstaande facturen, leveringen of accountherstel. Indien gegevens daadwerkelijk worden gepubliceerd, kunnen criminelen die misbruiken voor gerichte phishing, factuurfraude en social engineering richting partners. Organisaties die zaken doen met Van Heyghen Staal wordt aangeraden interne meldpunten te activeren en lopende communicatie via een tweede kanaal te verifieren totdat het bedrijf zelf duidelijkheid geeft over de aard van het incident.

Bron: Cybercrimeinfo darkweb-onderzoek, screenshot darkweb

Cybercrimeinfo ontdekte op het darkweb dat de ransomware-groep Apt73 een claim heeft gepubliceerd waarin de Belgische zorggroep ISoSL als slachtoffer wordt genoemd. De vermelding op het lek-platform van de groep verscheen op 27 april 2026, met dezelfde dag als geschatte aanvalsdatum. Een onafhankelijke bevestiging door de organisatie zelf is op het moment van schrijven niet beschikbaar.

ISoSL staat voor Intercommunale de Soins Spécialisés de Liège en is een grote Waalse intercommunale zorgstructuur met hoofdadres in Luik, op de Rue Basse-Wez 145 in 4020 Liège. De groep beheert verschillende ziekenhuizen, waaronder het Hôpital Petit Bourgogne, het Hôpital Agora en het Hôpital Le Valdor. Daarnaast omvat ISoSL het Centre Hospitalier Spécialisé l'Accueil in Lierneux, het Centre Louis Hillier, meerdere maisons de soins psychiatriques zoals Les Cèdres, Les Charmilles en Le Hameau, en een netwerk van woonzorgcentra in onder andere Luik, Herstal, Ans, Grivegnée, Bassenge, Visé en Villers l'Evêque. Het ondernemingsnummer is 0250.610.881.

Een succesvolle aanval op een dergelijke organisatie raakt potentieel zeer gevoelige gegevens. Zorginstellingen verwerken medische dossiers, sociale gegevens en financiele data van patiënten en bewoners, vaak in combinatie met informatie over psychische gezondheid en langdurige zorg. Dit type gegevens valt onder de strengste categorie van de Algemene verordening gegevensbescherming en moet bij een datalek bovendien gemeld worden aan de Belgische Gegevensbeschermingsautoriteit, en in voorkomend geval aan de betrokkenen.

Apt73 staat bekend als een dreigingsactor die slachtoffers publiceert op een eigen lek-platform en daarbij een afpersingsmodel hanteert waarbij organisaties onder druk worden gezet om te betalen voordat gestolen gegevens openbaar worden gemaakt. De daadwerkelijke aard en omvang van de gestolen of getroffen data is in dit geval nog niet publiek bekend. Bij ransomware-claims is het gebruikelijk dat aanvankelijk alleen de naam van het slachtoffer en mogelijk een klein voorproefje van data wordt geplaatst, en dat de volledige dataset pas later op de lek-pagina verschijnt indien er geen overeenkomst tot stand komt.

Voor patiënten, bewoners, familieleden en personeel van ISoSL is het van belang alert te blijven op verdachte berichten die zogenaamd uit naam van de zorggroep of een van de aangesloten instellingen komen. Cybercriminelen kunnen gestolen gegevens misbruiken voor gerichte phishing, oplichting via valse oproepen voor afspraken of betalingen, en social engineering. Wie na 27 april 2026 ongebruikelijke e-mails, sms-berichten of telefoontjes ontvangt namens een Luikse zorginstelling wordt aangeraden niet op links te klikken, geen gegevens telefonisch door te geven en de instelling rechtstreeks via een eigen geverifieerd kanaal te contacteren. Externe leveranciers en zorgpartners die met ISoSL samenwerken doen er goed aan lopende communicatie via een tweede kanaal te verifieren totdat de organisatie zelf duidelijkheid geeft over de aard van het incident.

Bron: Cybercrimeinfo darkweb-onderzoek, screenshot darkweb

ChipSoft, de softwareleverancier die essentieel is voor tal van zorginstellingen in Nederland en België, heeft gemeld dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en inmiddels vernietigd zijn. Het bedrijf maakte deze mededeling op dinsdag, naar aanleiding van een cyberaanval die hen eerder in april trof. De hack leidde tot de diefstal van gevoelige patiëntinformatie, wat grote zorgen baarde binnen de zorgsector en bij de Autoriteit Persoonsgegevens.

Volgens de verklaring van ChipSoft zijn de cybercriminelen er niet in geslaagd om de buitgemaakte data openbaar te maken op het darkweb of elders. Bovendien stelt het bedrijf dat de gestolen gegevens inmiddels volledig zijn vernietigd. Een belangrijk aspect dat onbeantwoord blijft, is de vraag of ChipSoft heeft onderhandeld met de aanvallers en eventueel losgeld heeft betaald. Het bedrijf heeft hierover geen mededelingen gedaan.

Bron: informatie.chipsoft.com

Softwarebedrijf Chipsoft, een vooraanstaande beheerder van elektronische patiëntendossiers (EPD's) voor een groot deel van de Nederlandse zorgsector, is recentelijk het slachtoffer geworden van een cyberaanval. Naar aanleiding van dit incident heeft Chipsoft verklaard dat alle gegevens die tijdens de aanval zijn buitgemaakt, inmiddels zouden zijn vernietigd. Deze claim roept echter aanzienlijke vragen op bij experts in de cybersecurity.

Cybersecurity expert Jort Kollerie heeft zijn twijfels geuit over de zekerheid van Chipsofts bewering. Kollerie stelt dat de uitspraak over de vernietiging van de gestolen data weinig voorstelt, aangezien deze voortkomt uit onderhandelingen met de cybercriminelen die verantwoordelijk zijn voor de aanval. Hij benadrukt de inherente onbetrouwbaarheid van dergelijke situaties met de woorden: "Je onderhandelt met criminelen. Die claim kun je niet met zekerheid maken."

De kritiek van Kollerie impliceert dat er geen betrouwbare manier is om te verifiëren of de cybercriminelen daadwerkelijk alle gestolen patiëntgegevens hebben vernietigd, zoals zij mogelijk hebben beweerd tijdens onderhandelingen. Dit laat een aanzienlijke onzekerheid bestaan over het uiteindelijke lot van de gevoelige medische informatie die door Chipsoft wordt beheerd. Voor patiënten en zorginstellingen die afhankelijk zijn van Chipsofts systemen, blijft de vraag of hun gegevens veilig zijn gesteld of mogelijk nog in omloop zijn, onbeantwoord.

Bron: BNR

De online bank Bunq moet een klant die het slachtoffer werd van fraude via de bankhelpdesk een bedrag van 35.000 euro vergoeden. Dit is de uitkomst van een bindende uitspraak van het financiële klachteninstituut Kifid. De klant werd eind 2023 voor een totaalbedrag van 50.000 euro bestolen, waarbij de fraude begon met een geraffineerde phishing mail.

De aanval startte met een e-mail die afkomstig leek te zijn van Bunq en waarin de klant werd gevraagd de validatie van haar bankrekening af te ronden. Na het openen van de link in de e-mail vulde de klant haar bankgegevens in op een nagemaakte phishing site. Nog diezelfde avond werd de klant telefonisch benaderd door een oplichter die zich voordeed als Bunq-medewerker. Via dit telefoongesprek wist de fraudeur de beveiligingscode van de klant te ontfutselen.

Met de gestolen informatie kon de oplichter zijn eigen toestel koppelen aan de bankrekening van de klant. Vervolgens werden diverse wijzigingen doorgevoerd, de spaarrekening van de klant werd omgezet in een betaalrekening, een virtuele creditcard werd aangevraagd en de dagelijkse limieten werden verhoogd. Hierna is 50.000 euro van de rekening overgemaakt naar een crypto platform en een Spaans bankrekeningnummer.

Nadat de klant de diefstal ontdekte, nam zij contact op met de SOS-telefoonlijn van de bank en de supportchat. Zij meldde dat haar rekening was leeggehaald, dat zij de bank niet kon bereiken, en dat zij tevergeefs had geprobeerd haar rekening te blokkeren. Ook had zij contact opgenomen met de politie. Pas twee uur na de melding blokkeerde Bunq het account van de klant en startte een fraudeonderzoek. De volgende dag besloot de bank de rekening wegens ongebruikelijke activiteiten te beëindigen.

Bunq deed de klant aanvankelijk een aanbod om 70 procent van de geleden schade te vergoeden, wat door de klant werd geweigerd. Daarop trok de bank het aanbod in, waarna de klant de zaak voorlegde aan het Kifid. De Geschillencommissie van het Kifid oordeelde in 2025 dat Bunq 35.000 euro moest vergoeden. De commissie stelde dat er sprake was van niet-toegestane betalingstransacties, die in principe voor rekening van de klant komen vanwege juridisch grove nalatigheid. Echter, de klant werd niet volledig aansprakelijk geacht, omdat zij niet hoefde te verwachten dat een spaarrekening zo eenvoudig in een betaalrekening kon worden omgezet en omdat de bank geen afkoelingsperiode hanteerde bij de wijzigingen.

Bunq ging in beroep tegen deze uitspraak, met als argument dat de klant wel degelijk grof nalatig had gehandeld. De Commissie van Beroep van het Kifid bevestigde echter de eerdere uitspraak. Hoewel de bank stelde haar klanten doorlopend te waarschuwen voor fraude via de bankhelpdesk en de consument de instructies van de fraudeur had opgevolgd, leidde dit volgens de commissie niet tot de conclusie van grove nalatigheid. Voor grove nalatigheid is vereist dat de consument zich welbewust was van het feit dat zij slachtoffer dreigde te worden van fraude via de bankhelpdesk, en dit was niet gebleken. Op grond van artikel 7:528 BW moet de bank het bedrag van de niet-toegestane betalingstransacties terugbetalen.

De Commissie van Beroep merkte wel op dat zij de oorspronkelijke vordering van de klant om het gehele bedrag van 50.000 euro te vergoeden niet kon toewijzen. Dit komt door de regel dat de partij die in beroep gaat (in dit geval Bunq) niet slechter af kan zijn door de uitspraak van de Commissie van Beroep. Aangezien de klant zelf geen beroep had ingesteld, was zij gebonden aan de uitspraak van de Geschillencommissie, die een vergoeding van 35.000 euro had vastgesteld.

Bron: Kifid

Het patiënten portaal van het Martini Ziekenhuis in Groningen is na een periode van drie weken weer volledig operationeel. Deze hersteloperatie volgt op een ransomware aanval die op 7 april ChipSoft trof, de leverancier van elektronische patiënten dossiers (EPD). ChipSoft speelt een cruciale rol in de Nederlandse gezondheidszorg, aangezien naar schatting zeventig procent van de Nederlandse ziekenhuizen gebruikmaakt van hun EPD systeem.

Als direct gevolg van de cyberaanval op ChipSoft besloten meerdere ziekenhuizen in Nederland uit voorzorg hun patiënten portalen offline te halen. Het Martini Ziekenhuis was een van de getroffen instellingen. Via de eigen website heeft het ziekenhuis nu bevestigd dat alle functies van Mijn Martini, het patiënten portaal, weer beschikbaar zijn voor patiënten.

Het ziekenhuis heeft benadrukt dat, ondanks het cyberincident bij ChipSoft, er geen patiëntgegevens zijn geraakt. Bovendien heeft de ChipSoft hack geen gevolgen gehad voor de geleverde zorg binnen het Martini Ziekenhuis. Deze mededeling biedt geruststelling aan patiënten en het ziekenhuispersoneel na de tijdelijke verstoring van de digitale dienstverlening. De snelle en effectieve reactie op de aanval, inclusief het offline halen van portalen en de daaropvolgende grondige controles, heeft bijgedragen aan het minimaliseren van de impact.

De ransomware aanval op een grote leverancier als ChipSoft onderstreept de kwetsbaarheid van de zorgsector voor cyberdreigingen. Dergelijke incidenten tonen het belang aan van robuuste beveiligingsmaatregelen en gedegen incident respons plannen, vooral wanneer kritieke systemen zoals EPD's betrokken zijn. Het feit dat het merendeel van de Nederlandse ziekenhuizen afhankelijk is van één leverancier, benadrukt tevens de potentiële systeemrisico's bij een succesvolle aanval op zo'n centrale speler. De situatie bij het Martini Ziekenhuis dient als een concrete herinnering aan de noodzaak van continue waakzaamheid en investering in cybersecurity om de continuïteit en veiligheid van de patiëntenzorg te waarborgen.

Bron: Martini Ziekenhuis

Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data van Raptor Supplies heeft gepubliceerd. Raptor Supplies is een Britse leverancier van industriële en commerciële artikelen, met een Nederlandse vestiging in Wemeldinge (Raptor Supplies B.V., opgericht in 2020). Het bedrijf bedient klanten in het Verenigd Koninkrijk en heel Europa.

De claim van FulcrumSec circuleert in onderzoekskringen sinds december 2025. Op 1 mei 2026 zijn aanvullende bestanden online verschenen op een leksite waar criminele groepen buitgemaakte data dumpen. Eerdere analyses van onafhankelijke bronnen wijzen op misbruik van openstaande directories, met toegang tot databases en inloggegevens in omgevingen van Google Cloud, Zoho Workspace en Microsoft Exchange.

De gepubliceerde data zou onder meer klantfacturen, financiële administratie, e-mailberichten met bijlagen, paspoortscans, IBAN-gegevens en contactinformatie van militaire en overheidsklanten omvatten. Cybercrimeinfo kon op het moment van publicatie geen openbare reactie van Raptor Supplies achterhalen.

Voor organisaties met een leveranciersrelatie naar Raptor Supplies is het raadzaam recente correspondentie en factuurstromen te controleren op signalen van misbruik. Het wijzigen van wachtwoorden van gedeelde accounts en het inzetten van een wachtwoordmanager zoals MindYourPass beperkt de gevolgen van eerder gelekte inloggegevens.

Bron: Cybercrimeinfo darkweb-onderzoek, screenshot darkweb

Cybercrimeinfo ontdekte op een online markt voor cybercriminaliteit een dataset die naar eigen zeggen afkomstig is van Zalando. De dataset zou betrekking hebben op gebruikers in Nederland en België. De adverteerder claimt dat de verzameling ongeveer 530.000 records bevat met onder meer identificatie van gebruikers, e-mailadressen, gegevens van telefoons, adresgegevens, geschiedenis van producten, metadata van betalingen en informatie over fraudescores.

Zalando is een van de grootste online marktplaatsen voor mode in West-Europa en heeft een aanzienlijke klantenbasis in zowel Nederland als België. Eerder dit jaar zijn er al andere claims verschenen op forums voor cybercriminaliteit die zouden verwijzen naar data van Zalando. Het ging toen om een dataset met circa 21 miljoen records uit 25 Europese landen en een eerdere claim van 400.000 records specifiek voor de Belgische en Nederlandse markt.

Op dit moment kan niet onafhankelijk worden vastgesteld of de nu aangeboden dataset een nieuw datalek betreft, een herverpakking is van reeds bekende data, of volledig fictief is. Zalando heeft nog niet publiekelijk gereageerd op deze recente claim. De adverteerder presenteert de data als gestructureerd over zes met elkaar verbonden secties, die informatie over gebruikers, bestellingen, betalingen, producten en frauderegels zouden bevatten. Hoewel een steekproef van rijen met velden publiekelijk is gedeeld, is de authenticiteit ervan nog niet door derden bevestigd.

Een mogelijk lek van deze omvang brengt voor consumenten een verhoogd risico met zich mee op gerichte phishing, fraude met identiteiten, overname van accounts en manipulatie via sociale engineering. Klanten van Zalando wordt daarom geadviseerd om verdacht e-mailverkeer kritisch te beoordelen, authenticatie met meerdere factoren te activeren waar dit mogelijk is, en om wachtwoorden niet opnieuw te gebruiken voor diverse webwinkels.

Bron: Darkweb monitoring

Google heeft aangekondigd dat de AI-gestuurde ransomware detectie functie in Google Drive algemeen beschikbaar is en nu standaard is ingeschakeld voor alle betalende gebruikers. De bètaversie van deze functie werd in september 2025 aangekondigd en begin oktober uitgerold naar Google Workspace klanten wereldwijd.

Google Drive zal onmiddellijk de synchronisatie van bestanden pauzeren wanneer het een ransomware aanval detecteert. Gebruikers en IT beheerders worden op de hoogte gesteld van de inbreuk, waardoor de impact van dergelijke incidenten aanzienlijk wordt verminderd. Hoewel dit niet voorkomt dat de bestanden op de geïnfecteerde computer worden versleuteld, worden documenten die zijn opgeslagen in Google Drive beschermd en kunnen ze snel worden hersteld zodra de malware infectie is opgelost.

Na een geblokkeerde aanval krijgen gebruikers gedetailleerde instructies voor het herstellen van beschadigde bestanden met behulp van de Drive hersteltool om wijzigingen door ransomware ongedaan te maken. "Wanneer ransomware detectie is ingeschakeld, worden bestanden gescand op ransomware wanneer ze vanaf een desktopcomputer naar Drive worden gesynchroniseerd," aldus Google. "Als met ransomware versleutelde bestanden worden gevonden, wordt de desktop synchronisatie gepauzeerd. De getroffen gebruiker ontvangt een e-mailwaarschuwing en wordt op de hoogte gesteld in Drive, en er wordt een waarschuwing gemaakt in de Google Admin console."

Google meldt dat de functie nu standaard is ingeschakeld voor alle gebruikers in organisaties met business, enterprise, education en frontline licenties. De functie voor het herstellen van bestanden is beschikbaar voor alle Google Workspace klanten, Workspace individual abonnees en gebruikers met persoonlijke Google accounts.

Hoewel de functie standaard is ingeschakeld voor alle gebruikers, kunnen beheerders deze uitschakelen voor hun organisaties in de Admin console onder Apps > Google Workspace > Instellingen voor Drive en Docs > Malware en Ransomware. Beheerders moeten de nieuwste versie van Google Drive voor desktop (v.114 of later) op alle endpoints installeren om detectiewaarschuwingen in te schakelen. File synchronisatie wordt nog steeds gepauzeerd op oudere versies.

Microsoft biedt ook OneDrive ransomware detectie en herstel voor Microsoft 365 abonnees die hun bestanden in de cloud opslaan en synchroniseren. Dropbox biedt een vergelijkbare functie aan klanten met Business Plus, Advanced of Enterprise abonnementen, evenals voor Standard of Business abonnementen met de Security add-on.

Bron: support.microsoft.com | Bron 2: hubs.li

Anthropic heeft per ongeluk de broncode van Claude Code gelekt via een update op NPM. Hoewel Anthropic open source initiatieven steunt, is Claude Code altijd closed source gebleven. Het bedrijf benadrukt dat er geen klantgegevens of gevoelige informatie is blootgesteld.

De gelekte broncode werd ontdekt door Chaofan Shou (@Fried_rice) en heeft zich sindsdien verspreid via GitHub en andere platforms. De broncode is gelekt doordat Anthropic per ongeluk versie 2.1.88 van Claude Code publiceerde op NPM. Deze versie bevatte een cli.js.map bestand van 60 MB, dat de volledige broncode van de nieuwste versie bevatte. Dit .map bestand is een debugging file dat gecompileerde JavaScript teruglinkt naar de originele broncode. Als deze map files een "sourcesContent" veld bevatten, kan de volledige broncodeboom worden gereconstrueerd.

De gereconstrueerde broncode bevat ongeveer 1.900 bestanden, 500.000 regels code, en details over exclusieve functies van Claude. Anthropic heeft DMCA meldingen verstuurd om de verspreiding van de code tegen te gaan.

Ontwikkelaars zijn al begonnen met het analyseren van de broncode. Alex Finn ontdekte dat Anthropic een "Proactive mode" test, waarin Claude 24/7 codeert. Ook is er een "Dream" mode, waarin Claude op de achtergrond ideeën ontwikkelt en problemen probeert op te lossen terwijl de gebruiker afwezig is.

Daarnaast melden gebruikers dat Claude de gebruikslimieten heeft verlaagd. Anthropic onderzoekt een bug die ervoor zorgt dat de limieten sneller worden bereikt. Lydia Hallie van Anthropic meldde op X dat dit de hoogste prioriteit heeft voor het team.

Bron: Anthropic | Bron 2: github.com | Bron 3: hubs.li

In maart 2026 heeft de persoonlijke ontwikkelings- en prestatiesite SUCCESS een datalek gehad. Het incident onthulde 250.000 unieke e-mailadressen, samen met namen, IP adressen, telefoonnummers en, voor een beperkt aantal medewerkers, bcrypt password hashes. De data omvatte ook bestellingen met fysieke adressen en de gebruikte betaalmethode. In een verklaring meldt SUCCESS dat hun systeem ook is misbruikt om aanstootgevende nieuwsbrieven te versturen met citaten die valselijk aan medewerkers werden toegeschreven.

De gestolen data omvat apparaat informatie, e-mailadressen, IP adressen, namen, wachtwoorden (gehasht), telefoonnummers, fysieke adressen en aankoop informatie.

Als aanbevolen acties wordt aangeraden om direct het wachtwoord te wijzigen op alle accounts waar het getroffen wachtwoord werd gebruikt. Waar mogelijk wordt aangeraden om tweefactorauthenticatie in te schakelen.

Bron: SUCCESS | Bron 2: veiliginternetten.nl

De nieuwste versies van de bekende malware XLoader, die informatie steelt, zijn aanzienlijk verbeterd. Hierdoor is de malware moeilijker te detecteren en analyseren dan voorheen. XLoader is afgeleid van de malwarefamilie FormBook, die in 2016 opdook, en werd begin 2020 opnieuw gelanceerd. Sindsdien hebben de ontwikkelaars van XLoader voortdurend nieuwe updates uitgebracht om de malware actief en effectief te houden tegen moderne verdedigingsmechanismen.

XLoader is gericht op webbrowsers, e-mailclients en FTP applicaties om wachtwoorden, cookies en andere gevoelige inloggegevens van geïnfecteerde systemen te stelen. Naast het stelen van gegevens kan het ook willekeurige commando's uitvoeren en tweede-fase malware payloads inzetten op gecompromitteerde machines, waardoor aanvallers een breed scala aan controle krijgen over elke getroffen host. De meest recent waargenomen versie is 8.7, waarbij actieve ontwikkeling nieuwe mogelijkheden en ontwijkingsverbeteringen introduceert bij elke release. De malware bereikt slachtoffers voornamelijk via phishing e-mails en kwaadaardige bestandsbijlagen – aanvalsvectoren die effectief blijven omdat ze menselijk gedrag uitbuiten in plaats van uitsluitend op technische zwakke punten te vertrouwen.

Zscaler onderzoekers identificeerden de nieuwste iteraties van XLoader en merkten op dat vanaf versie 8.1 de ontwikkelaars van de malware aanzienlijk meer geavanceerde code obfuscatie en netwerkencryptietechnieken introduceerden dan in eerdere versies. Hun analyse onthulde dat deze updates opzettelijk en systematisch zijn, ontworpen om zowel geautomatiseerde analysetools als handmatige reverse engineering inspanningen van beveiligingsprofessionals te frustreren.

Een van de belangrijkste aspecten van het bijgewerkte gedrag van XLoader is de manier waarop het zijn echte command-and-control (C2) servers verbergt binnen een grote pool van decoy-adressen. De malware sluit in totaal 65 C2 IP adressen in zijn code in, maar elk adres is afzonderlijk versleuteld en wordt pas tijdens runtime ontsleuteld wanneer het op het punt staat te worden gebruikt, wat statische analyse van de binaire code uiterst moeilijk maakt voor onderzoekers. Wanneer XLoader een communicatiecyclus initieert, selecteert het willekeurig 16 van die 65 IP adressen en begint het HTTP verzoeken naar elk adres in de reeks te verzenden. Zowel interne request types - POST requests die gestolen inloggegevens bevatten en GET requests die commando's ophalen - worden zonder onderscheid over deze hele pool verzonden.

Om zijn verkeer verder te beschermen, past XLoader meerdere versleutelingslagen toe met behulp van RC4-ciphers en SHA-1-hashing van de C2-URL. De encryptiesleutels worden dynamisch afgeleid van de C2-URL-seed en worden pas in specifieke uitvoeringsfasen onthuld, waardoor onderschepping alleen onvoldoende is om de activiteiten van de malware bloot te leggen. Zelfs hoewel het verkeer via plaintext HTTP verloopt, zijn de werkelijke gegevens gelaagd met voldoende versleuteling dat het decoderen ervan zonder de juiste sleutels praktisch onmogelijk is.

Beveiligingsteams zouden moeten controleren op ongebruikelijke HTTP verkeerspatronen met herhaalde verzoeken die in korte tijd naar meerdere IP adressen worden verzonden, met name wanneer die verzoeken Base64-gecodeerde parameters met willekeurig gegenereerde namen bevatten. Het gebruik van netwerkemulatietools die daadwerkelijke verbindingen tot stand kunnen brengen en serverreacties kunnen verifiëren, blijft de meest betrouwbare methode om echte C2-servers van decoys te scheiden. Organisaties moeten ook endpoint detectie tools up-to-date houden om XLoader activiteit te vangen, die momenteel wordt gevolgd onder de indicator Win32.PWS.XLoader.

Bron: Zscaler

Mercor AI heeft officieel een ernstig datalek bevestigd, nadat de beruchte Lapsus$ hackinggroep claimde 4 terabyte aan gevoelige bedrijfsgegevens te hebben gestolen. Het incident komt voort uit een recente supply chain aanval op het open source LiteLLM project. Hierdoor zijn bedrijfseigen broncode, interne databases en grote hoeveelheden data voor gebruikersverificatie blootgesteld.

Het hackingcollectief Lapsus$ heeft de data van het Mercor platform te koop aangeboden via een live veiling op het dark web, waarbij geïnteresseerde kopers een bod kunnen doen. De dreigingsactoren beweren het volledige 4 terabyte dataset te hebben buitgemaakt door de Tailscale VPN van het bedrijf te compromitteren.

De gestolen cache omvat naar verluidt 939GB aan platform broncode, een 211GB gebruikersdatabase, en 3TB aan opslagbuckets met video interviews en identiteitsverificatie paspoorten.

Mercor AI heeft een publieke verklaring uitgegeven waarin het bedrijf benadrukt dat de privacy en veiligheid van hun klanten en contractanten de hoogste prioriteit hebben. Mercor stelt dat het datalek het directe gevolg is van een wijdverspreide supply chain aanval op de open source routing library LiteLLM. Het security team van Mercor heeft het incident onmiddellijk ingedamd en voert momenteel een uitgebreid onderzoek uit met behulp van externe forensische experts.

De oorzaak van het datalek bij Mercor ligt in eind maart 2026, toen een dreigingsactor bekend als TeamPCP de PyPI publishing credentials voor de LiteLLM library compromitteerde. TeamPCP injecteerde een drietraps malicious backdoor in versies 1.82.7 en 1.82.8, die ontworpen was om credentials te verzamelen en permanente systeemtoegang te creëren. Omdat LiteLLM op grote schaal is geïntegreerd in AI applicaties, werd de malware direct na installatie uitgevoerd en trof duizenden nietsvermoedende organisaties.

Mercor, opgericht in 2023, exploiteert een AI recruitment platform dat naar eigen zeggen meer dan $500 miljoen aan omzet genereert en gespecialiseerde experts verbindt met grote AI bedrijven zoals OpenAI en Anthropic. Het bedrijf faciliteert dagelijks meer dan $2 miljoen aan uitbetalingen en loopt nu aanzienlijke operationele risico's door de blootstelling van de persoonlijke informatie van zijn contractanten. Het lekken van interne AI broncode en gevoelige KYC materialen heeft ernstige gevolgen voor zowel het $10 miljard platform als zijn gebruikersbestand.

Lapsus$ is een bekend cybercrime syndicaat dat in het verleden spraakmakende technologiebedrijven heeft aangevallen met behulp van agressieve afpersingstactieken. De groep gebruikt vaak publieke datalekken en dark web veilingen om slachtoffers onder druk te zetten tot het betalen van losgeld, nadat initiële private onderhandelingen zijn mislukt. Hun betrokkenheid bij het Mercor AI datalek benadrukt een voortdurende trend van dreigingsactoren die upstream supply chain kwetsbaarheden uitbuiten om toegang te krijgen tot enorme downstream corporate datasets.

Bron: Mercor AI

De dreigingsactor ShadowByt3s, opererend onder de naam BlackVortex1, claimt Starbucks te hebben gehackt. Hierbij zou 10 GB aan data zijn buitgemaakt door een compromittering van de sbux-assets S3 bucket. De gestolen data omvat intellectueel eigendom, waaronder broncode, firmware en globale beheertools. De groep beschrijft dit als onderdeel van een nieuwe campagne gericht op verkeerd geconfigureerde cloud assets.

De ransomware-groep heeft een deadline gesteld voor de betaling van losgeld: 5 april 2026 om 17:00 uur. Na deze deadline dreigt de groep alle data publiekelijk te lekken. De gestolen data is onderverdeeld in vier categorieën, die allemaal afkomstig zijn uit de sbux-assets S3 bucket:

*   Proprietary Hardware en Operational Technology: Firmware in hex-formaat voor drankautomaten, inclusief Siren System componenten en Blue Sparq motor boards. Mastrena II espresso machine control logic, inclusief touch-screen interface code en stepper motor configuraties (Stepper\_050\_Board\_X.hex). FreshBlends proprietary code en UI packages voor geautomatiseerde smoothie- en frozen drink stations, inclusief ingrediëntratio's en prijslogica.

*   Global Management en Internal Software: Broncode voor de Global Management UI ("New Web UI") met een centraal dashboard voor het beheren van machines in internationale regio's. Inventory Management Portal (b4-inv/) voor het volgen van wereldwijde hardware-inventaris, supply chain logistiek en vendor orders. Operationele monitoring tools voor log uploads en data-range downloads, gebruikt door technici om de machinegezondheid en -prestaties te monitoren.

*   Developer Environment en Source Code: JavaScript bundles met hardcoded API endpoints, interne service URLs en authenticatie logica. SCSS source files voor management interface styling. Source maps (.map files) die het mogelijk maken om geminifiede productiecode te reconstrueren naar een leesbaar formaat. Developer backup en staging folders (v-2a-upload-problem, b4-temp-download) die mogelijk tijdelijke credentials of interne developer notes bevatten.

*   Visual en Brand Assets: Interne staff avatars en profielfoto's voor systeembeheerders en developers. Hoge resolutie Starbucks corporate branding en partner vendor logo's (Blue Sparq) gebruikt in interne applicaties.

De groep heeft samples van de gestolen data via Mega.nz gedeeld en gebruikt een Telegram-kanaal voor bestanden groter dan 1 GB. Daarnaast werft de groep actief corporate insiders met een 30/70 revenue split (30% voor de insider, 70% voor de groep) zonder upfront kosten.

Cybercrimeinfo ontdekte dat de firmware en OT-blootstelling het meest kritieke element van dit lek is. Hex-bestanden voor drankautomaten, espresso machine stepper motor configuraties en geautomatiseerde smoothie station code vertegenwoordigen de proprietary control logic voor fysieke machines die in tienduizenden Starbucks-locaties wereldwijd worden ingezet. In verkeerde handen kan dit hardwaremanipulatie, supply chain aanvallen tegen Starbucks-apparatuur of competitive reverse engineering van hun beverage automation technology mogelijk maken.

Bron: Darkweb

Unit 42 onderzoekers hebben een grootschalige supply chain aanval waargenomen gericht op de Axios JavaScript-bibliotheek. De aanval vond plaats nadat het npm-account van een Axios-onderhouder was gecompromitteerd, wat leidde tot de release van kwaadaardige updates (versies v1.14.1 en v0.30.4). Deze gecompromitteerde versies introduceerden een verborgen dependency genaamd `plain-crypto-js`.

Deze dependency is een cross-platform remote access Trojan (RAT) die Windows-, macOS- en Linux systemen kan infecteren. De malware is ontworpen om reconnaissance uit te voeren en persistentie te vestigen, met een extra functie om zichzelf te vernietigen ter ontwijking.

Axios is een populaire, promise-gebaseerde HTTP-clientbibliotheek voor JavaScript, die wordt gebruikt om API-requests te maken in browsers en Node.js. Het beschikt over automatische JSON-datatransformatie, request/response interceptie en request cancellation, waardoor het een standaard tool is voor het verbinden van frontend apps met backend services.

Analyse van de malware die de aanvallers gebruikten, overlapt met operaties waarvan eerder is gemeld dat ze betrokken waren bij de Democratische Volksrepubliek Korea (DPRK).

Deze campagne heeft de volgende sectoren getroffen in de VS, Europa, het Midden-Oosten, Zuid-Azië en Australië: zakelijke dienstverlening, klantenservice, financiële dienstverlening, high tech, hoger onderwijs, verzekeringen, media en entertainment, medische apparatuur, professionele en juridische dienstverlening en retail.

Palo Alto Networks klanten zijn beter beschermd tegen de bedreigingen die in dit artikel worden besproken door middel van Advanced URL Filtering, Advanced DNS Security, Advanced WildFire, Cortex Cloud, Cortex XDR en XSIAM. Het Unit 42 Incident Response team kan ook worden ingeschakeld om te helpen bij een compromis of om een proactieve beoordeling te geven om het risico te verlagen.

Bron: Unit 42 | Bron 2: docs.paloaltonetworks.com | Bron 3: docs-cortex.paloaltonetwork...

Een nieuw malafide kit genaamd EvilTokens integreert device code phishing functionaliteiten, waardoor aanvallers Microsoft accounts kunnen kapen en geavanceerde functies kunnen bieden voor business email compromise (BEC) aanvallen. De kit wordt verkocht aan cybercriminelen via Telegram en is voortdurend in ontwikkeling. De auteur geeft aan dat ze van plan zijn om ondersteuning uit te breiden voor Gmail- en Okta-phishingpagina's.

Device code phishing aanvallen maken misbruik van de OAuth 2.0 device authorization flow, waarbij aanvallers toegang krijgen tot een slachtofferaccount door de eigenaar te misleiden om een malafide apparaat te autoriseren. Deze techniek is al langer bekend en is gebruikt door verschillende dreigingsactoren, waaronder Russische groepen die bekend staan als Storm-237, UTA032, UTA0355, UNK_AcademicFlare en TA2723, en de ShinyHunters data extortion groep.

Onderzoekers van threat detection and response bedrijf Sekoia hebben EvilTokens aanvallen waargenomen waarbij de slachtoffers e-mails ontvingen met documenten (PDF, HTML, DOCX, XLSX of SVG) die een QR-code of een hyperlink bevatten naar een EvilTokens phishing template. Deze lokmiddelen doen zich voor als legitieme zakelijke inhoud, zoals financiële documenten, uitnodigingen voor vergaderingen, logistiek- of inkooporders, loonstroken of gedeelde documenten via diensten zoals DocuSign of SharePoint, en zijn vaak afgestemd op werknemers in de financiële, HR-, logistiek- of verkoopafdelingen.

Wanneer het slachtoffer op de link klikt, wordt een phishingpagina getoond die een vertrouwde dienst (bijvoorbeeld Adobe Acrobat of DocuSign) imiteert en een verificatiecode en instructies weergeeft om de identiteitsverificatie te voltooien. De pagina vraagt de gebruiker om op een "Continue to Microsoft" knop te klikken, die hen doorverwijst naar de legitieme Microsoft device login pagina. In deze stap gebruikt de aanvaller een legitieme client (een willekeurige Microsoft-applicatie) om een device code aan te vragen. Vervolgens misleiden ze het slachtoffer om zich te authenticeren op de legitieme Microsoft URL van de dreigingsactor.

Op deze manier ontvangt de aanvaller zowel een short-lived access token als een refresh token voor permanente toegang. Deze tokens geven de aanvaller onmiddellijk toegang tot de diensten die aan het slachtofferaccount zijn gekoppeld, waaronder e-mail, bestanden, Teams-gegevens en de mogelijkheid om SSO-imitatie uit te voeren in Microsoft-services.

Sekoia-onderzoekers onderzochten de infrastructuur van EvilTokens en ontdekten campagnes met een wereldwijd bereik, waarbij de meest getroffen landen de Verenigde Staten, Canada, Frankrijk, Australië, India, Zwitserland en de Verenigde Arabische Emiraten waren. Naast geavanceerde phishing biedt de EvilTokens phishing-as-a-service (PhaaS) operatie ook geavanceerde functies om BEC aanvallen uit te voeren door middel van automatisering. De verscheidenheid aan campagnes suggereert dat EvilTokens al op grote schaal wordt gebruikt door dreigingsactoren die betrokken zijn bij phishing en BEC-activiteiten. Sekoia biedt indicators of compromise (IoC), technische details en YARA-regels om verdedigers te helpen aanvallen te blokkeren die gebruikmaken van de EvilTokens PhaaS-kit.

Bron: Sekoia | Bron 2: hubs.li

Cybercrimeinfo heeft een dreigingsalert onderschept waarin de cybercriminele groep ShinyHunters dreigt interne data en chatlogs te publiceren. De groep zou hebben geweigerd verder commentaar te geven en in plaats daarvan alle data te lekken, inclusief de voornamen van leden (R. is PCP, A. is Vect). Het type dreiging is nog onbekend.

Bron: Int. Cyber Digest

Het platform Mercor, dat AI-bedrijven helpt bij het verbeteren van hun modellen, heeft een beveiligingsincident bevestigd dat verband houdt met een recente supply chain aanval. Het incident is gerelateerd aan de compromittering van het open-source project LiteLLM. Mercor, een rekruteringsbedrijf dat samenwerkt met bedrijven zoals OpenAI voor het aannemen van experts en het trainen van AI modellen, was een van de duizenden bedrijven die door de aanval werden getroffen. In oktober 2025 werd het bedrijf naar verluidt gewaardeerd op 10 miljard dollar.

Volgens een verklaring van een woordvoerder van Mercor, Heidi Hagberg, is de privacy en veiligheid van hun klanten en contractanten essentieel voor Mercor. Het security team van Mercor heeft snel gehandeld om het incident in te dammen en te herstellen. Mercor voert een onderzoek uit met behulp van externe forensische experts.

Hoewel de LiteLLM-aanval naar verluidt verband houdt met een groep genaamd TeamPCP, claimde de hacking groep Lapsus$ op haar website dat ze honderden gigabytes aan Mercor-data had buitgemaakt. LiteLLM bevestigde de hack op zijn systemen vorige week en zei dat het een vermoedelijke supply chain aanval onderzocht waarbij ongeautoriseerde PyPI-pakketten waren gepubliceerd. Het open-source project zei dat er aanwijzingen waren dat het PyPI-account van een gebruiker mogelijk was gecompromitteerd en gebruikt om kwaadaardige code te verspreiden. Een schone versie van LiteLLM is maandag uitgebracht.

Bron: Mercor | Bron 2: techcrunch.com | Bron 3: docs.litellm.ai

Onderzoekers van McAfee hebben een nieuwe Android malware ontdekt, genaamd NoVoice, die verborgen zat in meer dan 50 apps op Google Play. Deze apps, waaronder cleaners, image galleries en games, zijn minstens 2,3 miljoen keer gedownload. De malware vereiste geen verdachte permissies en bood de beloofde functionaliteit.

Na de lancering van een geïnfecteerde app probeerde de malware root-toegang te verkrijgen door oude kwetsbaarheden in Android te misbruiken die tussen 2016 en 2021 zijn gepatcht. De onderzoekers konden de NoVoice-operatie niet aan een specifieke dreigingsactor linken, maar zagen wel overeenkomsten met de Triada Android trojan.

De dreigingsactor verborg de kwaadaardige componenten in het com.facebook.utils package, vermengd met de legitieme Facebook SDK classes. Een gecodeerde payload (enc.apk), verborgen in een PNG-afbeelding met behulp van steganografie, wordt uitgepakt (h.apk) en in het systeemgeheugen geladen, terwijl alle tussenliggende bestanden worden verwijderd. De malware vermijdt infectie van apparaten in bepaalde regio's, zoals Beijing en Shenzhen in China, en voert 15 controles uit op emulators, debuggers en VPN's. Als locatiepermissies niet beschikbaar zijn, zet de malware de infectieketen voort.

De malware contacteert de command-and-control (C2) server en verzamelt apparaatinformatie, zoals hardware details, kernelversie, Android-versie (en patchniveau), geïnstalleerde apps en root-status, om de exploitstrategie te bepalen. Vervolgens polt de malware de C2 elke 60 seconden en downloadt diverse componenten voor apparaatspecifieke exploits om het systeem te rooten. McAfee zegt 22 exploits te hebben waargenomen, waaronder use-after-free kernel bugs en Mali GPU driver flaws. Deze exploits geven de operators een root shell en stellen hen in staat om SELinux enforcement uit te schakelen.

Na het rooten van het apparaat worden belangrijke systeembibliotheken zoals libandroid_runtime.so en libmedia_jni.so vervangen door hooked wrappers die systeem calls onderscheppen en de uitvoering naar aanvalscode omleiden. De rootkit installeert recovery scripts, vervangt de systeem crash handler met een rootkit loader en slaat fallback payloads op de systeempartitie op. Een watchdog daemon draait elke 60 seconden om de integriteit van de rootkit te controleren en installeert automatisch ontbrekende componenten opnieuw.

Tijdens de post-exploitatie fase wordt aanvallerscode geïnjecteerd in elke app die op het apparaat wordt gestart. Twee hoofdcomponenten worden ingezet: één die stille installatie of verwijdering van apps mogelijk maakt, en een andere die werkt binnen elke app met internettoegang. Deze laatste dient als een primair mechanisme voor datadiefstal en McAfee heeft waargenomen dat het voornamelijk gericht is op de WhatsApp messaging app. Wanneer WhatsApp wordt gelanceerd op een geïnfecteerd apparaat, extraheert de malware gevoelige data die nodig is om de sessie van het slachtoffer te repliceren, inclusief encryptie databases, de Signal protocol keys en account identifiers zoals telefoonnummer en Google Drive backup details. Deze informatie wordt vervolgens geëxfiltreerd naar de C2, waardoor de aanvallers de WhatsApp-sessie van het slachtoffer op hun eigen apparaat kunnen klonen.

De kwaadaardige Android-applicaties die NoVoice payloads bevatten, zijn verwijderd van Google Play nadat McAfee ze aan Google heeft gemeld. Gebruikers die ze eerder hebben geïnstalleerd, moeten hun apparaten en data als gecompromitteerd beschouwen. Omdat NoVoice zich richt op kwetsbaarheden die tot mei 2021 zijn verholpen, is het effectief om te upgraden naar een apparaat met een latere security patch. Het wordt aanbevolen dat Android-gebruikers upgraden naar actief ondersteunde modellen en alleen apps installeren van vertrouwde, bekende uitgevers, zelfs op Google Play.

Bron: McAfee | Bron 2: hubs.li

Een waterzuiveringsinstallatie in Minot, North Dakota, is twee weken geleden getroffen door ransomware. Dat hebben functionarissen van de stad bevestigd aan Recorded Future News. De waterzuiveringsinstallatie en alle faciliteiten die verband houden met het watersysteem van de stad bleven te allen tijde operationeel en veilig, aldus de functionarissen.

Jennifer Kleen, de public relationsfunctionaris van de stad, verklaarde dat er geen directe vraag om geld was en er geen directe interactie was buiten een brief op een scherm. Alle noodzakelijke lokale, staats- en federale rapporten zijn gemaakt. Op de vraag of de groep zich had geïdentificeerd, antwoordde Kleen dat de brief op het scherm nu in handen is van de FBI en deel uitmaakt van elk onderzoek dat ze zouden kunnen uitvoeren, dus verdere details over de brief zouden van hen moeten komen. De FBI heeft niet gereageerd op verzoeken om commentaar over de brief.

Uit een bericht van de regering van Minot, dat ongeveer 50.000 inwoners telt en de op twee na grootste stad van de staat is, bleek dat de ransomware aanval op 14 maart werd ontdekt. Stadsfunctionarissen ontkoppelden de getroffen server en voerden ongeveer 16 uur lang handmatige procedures uit, waarbij ze regelmatig de watermeters ter plaatse controleerden. Tijdens dit incident hadden de betrokken afdelingen twee doelen: ervoor zorgen dat het water veilig bleef en ervoor zorgen dat de juiste druk in alle wateropslagfaciliteiten werd gehandhaafd.

Waterbedrijven hebben de afgelopen twee jaar te kampen gehad met een spervuur van cyberaanvallen van cybercriminelen en statelijke actoren, mede door een gebrek aan financiering voor veiligheidsmaatregelen. Hoewel sommige staten financiering hebben proberen te verstrekken naast strengere cybersecurityregels, hebben lobbygroepen uit de waterindustrie zich eerder verzet tegen federale inspanningen om elementaire cybersecurityregels in te voeren.

De kwestie is steeds belangrijker geworden in het licht van recente campagnes van Iran en China die de watersector de afgelopen twee jaar hebben aangevallen. Amerikaanse functionarissen en cybersecurity-experts hebben in stilte hun bezorgdheid geuit over een mogelijke toename van cyberaanvallen op waterbedrijven door Iran, gezien het feit dat aan de Islamic Revolutionary Guard Corps verbonden hackinggroepen verantwoordelijk waren voor een campagne gericht op Amerikaanse waterbedrijven in 2023 en 2024. Hoewel de incidenten grotendeels bestonden uit het bekladden van utiliteitstechnologie, waarschuwden Amerikaanse functionarissen destijds dat de aanvallers hun toegang tot de apparaten zouden kunnen gebruiken als een manier om diepere toegang tot het netwerkniveau te krijgen, waardoor ze fysieke schade aan apparatuur of erger zouden kunnen veroorzaken.

Bron: Recorded Future

Cybercrimeinfo heeft ontdekt dat de volledige productie database van Smarteez, een Marokkaanse digital factory exclusief ontwikkeld voor L'Oréal Marokko, is gelekt. Het datalek, openbaar gemaakt door de dreigingsactor xNov, omvat een breed scala aan gevoelige informatie met betrekking tot de activiteiten van L'Oréal in Marokko.

De gelekte data, die loopt van medio 2023 tot begin 2026, omvat gegevens van vier L'Oréal merken die actief zijn op het platform: La Roche-Posay, Vichy, CeraVe en Dercos. De omvang van het lek is aanzienlijk en omvat verschillende categorieën data, waaronder:

*   26 gebruikersaccounts, inclusief superusers, een L'Oréal administrator en vertegenwoordigers in Casablanca, Rabat, Marrakech en andere steden. Wachtwoorden zijn opgeslagen als PBKDF2 hashes.

*   Gedetailleerde informatie over 296 apotheken in Marokko, inclusief namen, adressen, GPS-coördinaten en sales informatie.

*   Meer dan 361.000 sales records, 10.000 aankooporders en 10.000 contactmomenten zonder aankoop. De data bevat productnamen, barcodes, prijzen, merknamen, apotheeknamen, namen van vertegenwoordigers en tijdstempels.

*   Een productcatalogus met 2.495 referenties, inclusief barcodes, prijzen en artikelcodes.

*   Meer dan 1 miljoen merchandising bezoek records en 1 miljoen media bestanden met concurrentie informatie.

*   22 OAuth2 applicaties met client ID's en 128-karakter client secrets in plaintext, plus 519 Django sessie records.

*   Een admin audit trail met 4.504 entries die elke wijziging aan het platform documenteren.

*   Systeemconfiguratie details, inclusief de Android APK download URL en versie identifier.

*   Geaggregeerde KPI views per apotheek, maandelijkse en jaarlijkse sales vergelijkingen van 2023 tot 2025, en gebruikersactiviteit data.

De blootstelling van deze data omvat de complete sales infrastructuur, field intelligence, het apotheek distributie netwerk en de product pricing strategie van L'Oréal Marokko.

Bron: Darkweb

FulcrumSec heeft naar eigen zeggen een datalek gepubliceerd van 140 GB aan data, afkomstig van drie aan elkaar verbonden bedrijven die onder één AWS-account opereerden: Unique Computing LLC, Gennet AI en ReFocus AI. Het datalek zou verkregen zijn via CVE-2025-55182 (React2Shell) op een niet-gepatchte, internetgerichte host. Deze kwetsbaarheid gaf toegang tot ECS-credentials, waarmee 57 S3 buckets en de AWS Secrets Manager konden worden benaderd.

Volgens FulcrumSec deelden de drie bedrijven, samen met een non-profit educatief platform (Duaa.org) en persoonlijke developer projecten, één AWS-account (086134439114) zonder accountscheiding of omgevingsisolatie. Dit zou betekenen dat één gecompromitteerde sleutel toegang gaf tot een breed scala aan data, van een wiskundecurriculum voor kinderen tot rijbewijsnummers van verzekeringspolishouders.

De gelekte data bevat verzekeringsgegevens met een totale premiewaarde van $796.847.366, afkomstig van onder meer Patriotic Insurance (New York), Alliance Insurance Services (Winston-Salem, NC) en Ohio Mutual Insurance Group. De data omvat namen, geboortedata, adressen, rijbewijsnummers, telefoonnummers, e-mailadressen, VINs, polisgeschiedenis, claims data, factuurgegevens, werkgeversnamen, inkomensklassen en beroepen.

Naast verzekeringsdata zijn ook ReFocus AI's machine learning modellen, Gennet AI's klinische platform met FHIR patient data, Databricks workspaces met biotech cell imaging analyse, voice cloning modellen en AWS billing rapporten gelekt. FulcrumSec beschuldigt Unique Computing van nalatigheid omdat ze CVE-2025-55182 niet tijdig zouden hebben gepatcht. FulcrumSec biedt getroffen Patriotic Insurance polishouders $70 in Monero aan als compensatie voor de kosten van het vervangen van hun rijbewijs.

De gecompromitteerde data categorieën omvatten rijbewijsnummers, burgerservicenummers, volledige namen en adressen, verzekeringspolissen, claims en factuurgeschiedenis, medische polisdata, voertuigidentificatienummers, werkgevers- en inkomensgegevens, proprietary ML modellen en pipelines, client configuratie YAMLs, AWS secrets en ECS credentials, SageMaker ML workspaces, biotech cell imaging data, voice cloning modellen, AWS billing en cost reports en WorkMail email archieven.

Bron: Darkweb

Een nieuwe phishingcampagne maakt gebruik van valse LinkedIn-notificaties om professionele accounts te kapen. Onderzoek van het Cofense Phishing Defense Center (PDC) laat zien hoe vervalste domeinen, zoals inedindigital, worden gebruikt om inloggegevens en professionele data te stelen.

Het controleren van een LinkedIn-notificatie is voor velen een routine geworden. Nieuwe bevindingen suggereren echter dat een enkele klik op een ogenschijnlijk standaard bericht uw accountgegevens rechtstreeks in handen van criminelen kan spelen. Deze tactiek staat centraal in een nieuw rapport van het Cofense PDC. Het onderzoek, dat werd gedeeld met Hackread.com, identificeert een slimme phishingcampagne die is ontworpen om zelfs de meest voorzichtige professionals te misleiden. Door de exacte lay-out van een echte notificatie na te bootsen, stelen aanvallers met succes de inloggegevens van nietsvermoedende gebruikers.

De zwendel begint met een e-mail die lijkt op een standaard alert van LinkedIn. De ontvanger wordt geïnformeerd dat een vertegenwoordiger van een gerenommeerd bedrijf een urgent bericht heeft gestuurd over een potentiële zakelijke kans. Volgens onderzoekers van Cofense PDC is de e-mail een bijna perfecte replica van het origineel, met dezelfde lettertypen, logo's en kleuren. De e-mail is echter een valstrik die vertrouwt op een gevoel van urgentie om te voorkomen dat de lezer de details controleert. De berichten waren oorspronkelijk in het Chinees geschreven, wat suggereert dat de aanvallers zich richtten op professionals in die regio of op mensen die zaken doen met Chinese partners.

De e-mail is afkomstig van een domein genaamd khanieteam.com, dat slechts enkele dagen oud was toen het in maart 2026 voor het eerst werd opgemerkt. Dit zou gebruikers direct moeten alarmeren, omdat een legitieme notificatie van een wereldwijd platform nooit afkomstig zou zijn van zo'n willekeurig, recentelijk aangemaakt adres. Als een gebruiker nog steeds argeloos is of in de verleiding komt en op een van de knoppen in de e-mail klikt, wordt hij niet naar LinkedIn geleid, maar naar een frauduleuze inlogpagina met het webadres inedindigital. Het is vermeldenswaard dat de aanvallers deze naam opzettelijk hebben gekozen, omdat de letters visueel lijken op het echte merk.

Verder onderzoek wees uit dat deze valse site slechts twee maanden voor de start van de campagne werd opgezet, met behulp van verschillende internetadressen, waaronder 104.21.80.1, om actief te blijven. Enrico Silverio van het Cofense PDC legde uit dat de zwendel zo gevaarlijk is omdat het de menselijke nieuwsgierigheid en het vertrouwen misbruikt. Zodra een gebruiker zijn wachtwoord in de valse site typt, krijgen de hackers volledige toegang tot zijn professionele netwerk en persoonlijke gegevens. Daarom adviseren beveiligingsexperts altijd om het e-mailadres van de afzender te controleren en met de muis over links te bewegen om te zien waar ze daadwerkelijk naartoe leiden voordat u op iets klikt. Als een bericht te mooi lijkt om waar te zijn, is dat waarschijnlijk ook zo.

Bron: Cofense

Een dreigingsactor onder de naam vultapower heeft Vulta Intelligence gelanceerd, een dienst voor het opzoeken en extraheren van inloggegevens. De dienst claimt 14,2 miljard records in URL:Login:Password (ULP) formaat te indexeren. Vulta Intelligence is toegankelijk via een Telegram bot en een webdashboard op vulta.pw, waarbij beide interfaces in real-time worden gesynchroniseerd. De dienst wordt aangeprezen als een tool voor het doorzoeken van domeinen, e-mailadressen of zoekwoorden in omvangrijke databases met gestolen inloggegevens, afkomstig van infostealer logs en combolists.

Het proces werkt in vier stappen: gebruikers voeren een domein, e-mailadres of zoekwoord in via de Telegram bot of webinterface. Een demo screenshot toont een zoekopdracht naar "binance" die 4.146.129 resultaten oplevert. Het systeem geeft vervolgens het aantal hits weer en vraagt hoeveel regels de gebruiker wil extraheren. Gebruikers selecteren een niveau (1.000 regels voor $0,50, 5.000 regels voor $2,50, 10.000 regels voor $5,00) of voeren een aangepast aantal regels in. De ULP-bestanden worden direct geleverd in de Telegram-chat of het webdashboard van de gebruiker.

Vulta Intelligence adverteert met de volgende functies: toegang tot databases met milliseconde-latentie, real-time synchronisatie tussen de Telegram bot en webinterface, accurate ULP-resultaten die direct bruikbaar zouden zijn met bestaande tools, en onmiddellijke levering van bestanden. Het ecosysteem omvat een Telegram bot (@VULTABOT), een webportaal (@VULTANETWORKS), de hoofdsite (vulta.pw) en een support channel. De promotiecode WELCOMEVULTA biedt 20% bonus op de eerste storting. Betalingen verlopen via cryptocurrency.

De claim van 14,2 miljard records en de 4,1 miljoen hits bij een zoekopdracht naar Binance suggereren dat de database is samengesteld uit meerdere grootschalige infostealer log collecties. De dienst biedt mogelijkheden voor het zoeken op domein, e-mail en zoekwoord, en levert de resultaten via de Telegram bot of het webdashboard.

De dienst kan worden gebruikt voor het verzamelen van slachtoffergegevens (T1589.001), het verkrijgen van valide accounts (T1078) en credential stuffing (T1110.004). Telegram wordt gebruikt als een leveringsmechanisme en command interface (T1102).

Bron: Darkweb

Safeonweb.be waarschuwt voor een phishingmail die afgelopen week 2674 keer is doorgestuurd naar verdacht@safeonweb.be. De inhoud van de mail is volgens Safeonweb hilarisch en bevat termen als "hyperfluïde chronomatrices", "interdigiterende fluxogrammen" en "quasi-onomatopeeën". Safeonweb vermoedt dat de oplichter een onbekende vertaaltool heeft gebruikt. Als men deze e-mail ontvangt, adviseert Safeonweb om erom te lachen, de mail door te sturen naar verdacht@safeonweb.be en vervolgens te verwijderen.

Bron: Safeonweb

Volgens het 2026 Annual Threat Report van Blackpoint Cyber spelen remote access en vertrouwde administratieve tools een steeds grotere rol bij het begin van cyberaanvallen. Het rapport is gebaseerd op de analyse van duizenden security onderzoeken en laat een verschuiving zien in het gedrag van aanvallers. In plaats van primair te vertrouwen op het exploiteren van kwetsbaarheden, krijgen dreigingsactoren vaak toegang door gebruik te maken van geldige credentials, legitieme tools en routine gebruikersacties.

Het rapport toont aan dat aanvallers vaker inloggen met legitieme toegang dan dat ze kwetsbaarheden exploiteren als primaire toegangspoort. Misbruik van SSL VPN's was verantwoordelijk voor 32,8 procent van alle identificeerbare incidenten, waardoor dit een van de meest voorkomende initiële toegangspunten is. In veel gevallen authenticeerden dreigingsactoren met behulp van geldige, maar gecompromitteerde inloggegevens, wat resulteerde in VPN-sessies die legitiem leken voor security controles. Eenmaal toegang verkregen, boden deze sessies vaak een breed intern bereik, waardoor aanvallers zich snel konden verplaatsen naar waardevolle systemen zonder direct alerts te triggeren.

Het rapport documenteert ook frequent misbruik van legitieme Remote Monitoring and Management (RMM) tools als methode voor toegang en persistentie. RMM-misbruik kwam voor in 30,3 procent van de identificeerbare incidenten, waarbij ScreenConnect in meer dan 70 procent van de malafide RMM-gevallen aanwezig was. Omdat deze tools vaak worden gebruikt voor standaard IT-administratie, leken ongeautoriseerde installaties vaak op verwachte activiteit en waren ze moeilijk te onderscheiden zonder sterke visibility.

Hoewel legitieme toegangspaden veel inbraken mogelijk maakten, vertegenwoordigde gebruikersinteractie de grootste aanjager van het totale incidentvolume. Fake CAPTCHA- en ClickFix-achtige campagnes waren verantwoordelijk voor 57,5 procent van alle identificeerbare incidenten, waardoor dit het meest voorkomende aanvalspatroon is dat in het rapport wordt gedocumenteerd. In plaats van software kwetsbaarheden te exploiteren, vertrouwden deze campagnes op misleidende prompts. Gebruikers werden geïnstrueerd om commando's in het Windows Run-dialoogvenster te plakken als onderdeel van wat een routine verificatiestap leek te zijn. De uitvoering maakte gebruik van ingebouwde Windows tools, zonder traditionele malware downloads of exploit activiteit.

In veel cloud omgevingen was multi-factor authenticatie (MFA) ingeschakeld, maar accountcompromittering kwam nog steeds voor. Adversary-in-the-Middle phishing was verantwoordelijk voor ongeveer 16 procent van de cloud account uitschakelingen die in het rapport werden gedocumenteerd. In deze scenario's functioneerde MFA zoals bedoeld. In plaats van authenticatie te omzeilen, legden aanvallers geauthenticeerde sessietokens vast die waren uitgegeven na succesvolle MFA en hergebruikten ze deze om toegang te krijgen tot cloud services. Vanuit het perspectief van het cloud platform kwam deze activiteit overeen met een legitieme geauthenticeerde sessie.

In een recent onderzoek identificeerde het SOC van Blackpoint Cyber een nieuw implantaat genaamd Roadk1ll, ontworpen om over systemen te pivoteren met behulp van WebSocket-gebaseerde communicatie en toegang te behouden terwijl het opgaat in het netwerkverkeer.

Het rapport benadrukt dat veel succesvolle inbraken vertrouwden op activiteit die opging in normale operaties. In plaats van te vertrouwen op nieuwe exploits of geavanceerde malware, misbruikten aanvallers alledaagse workflows, zoals remote logins, vertrouwde tools en standaard gebruikersacties. Op basis van de geanalyseerde aanvalsketens identificeert het rapport verschillende defensieve prioriteiten, waaronder het behandelen van remote access als high-risk, high-impact activiteit, het versterken van de beveiliging van remote access tools, het verbeteren van de visibility van interne netwerken en het implementeren van robuuste detectie- en response mogelijkheden.

Bron: Blackpoint Cyber

Amazon Web Services (AWS) heeft de algemene beschikbaarheid aangekondigd van twee nieuwe frontier agenten: AWS Security Agent en AWS DevOps Agent. Deze autonome AI-systemen zijn ontworpen om complexe beveiligings- en operationele taken zelfstandig uit te voeren, zonder constante menselijke sturing. De frontier agenten functioneren als een verlengstuk van het IT-team, waarbij ze zelfstandig problemen oplossen, beslissingen nemen in meerdere stappen en blijven werken tot het gestelde doel is bereikt. Een eerste preview van deze agenten werd vorig jaar al getoond op re:Invent.

De AWS Security Agent maakt het mogelijk om penetratietesten on-demand en doorlopend uit te voeren. In tegenstelling tot handmatige pentests, die vaak beperkt blijven tot kritieke applicaties vanwege tijds- en kostenoverwegingen, kan deze agent alle applicaties 24/7 monitoren tegen lagere kosten. De tool verwerkt broncode, architectuurdiagrammen en documentatie om kwetsbaarheden te identificeren, zelfs binnen complexe aanvalsketens die traditionele scanners mogelijk missen.

De AWS DevOps Agent fungeert als een digitale teamgenoot voor operationele teams, zowel in AWS- als multicloud- en on-premises omgevingen. Deze agent corrigeert incidenten autonoom door telemetrie, code en deploymentgegevens te analyseren via integraties met bestaande tools zoals Datadog, GitHub en Grafana. Klanten rapporteren tot 75 procent lagere MTTR (Mean Time To Resolve) en ruim 80 procent snellere analyses. Western Governor’s University wist bijvoorbeeld de resolutietijd bij een serviceverstoringsscenario terug te brengen van twee uur tot 28 minuten, doordat de agent zelfstandig de oorzaak in een Lambda-configuratie achterhaalde.

Volgens AWS vormen deze agenten het begin van bredere ontwikkelingen waarbij AI-systemen een integraal onderdeel worden van IT-teams en repetitief werk overnemen. De frontier agenten werken zelfstandig, schalen mee met de omvang van het portfolio en ronden complexe workflows af zonder menselijke supervisie, waardoor beveiligingsteams kunnen evolueren van periodiek testen naar continue monitoring, en operationele teams proactiever kunnen werken.

Bron: AWS

Google heeft de algemene beschikbaarheid aangekondigd van zijn AI-aangedreven ransomware-detectiefunctie in Google Drive. Deze functie, die in oktober 2025 als open bèta werd geïntroduceerd voor Google Workspace-klanten, is nu verbeterd en beschikbaar voor alle klanten. Volgens Google kan het vernieuwde AI model veertien keer meer ransomware-infecties detecteren dan de bètaversie.

De AI-aangedreven ransomware-detectie in Google Drive stopt automatisch de bestandssynchronisatie wanneer een ransomware aanval wordt gedetecteerd. Gebruikers ontvangen een waarschuwing op hun computer, terwijl beheerders een melding krijgen in het beveiligingscentrum van de Admin-console. Daarnaast worden er waarschuwingsmails verstuurd naar zowel gebruikers als beheerders. De detectie werkt alleen als de nieuwste versie van Drive voor desktop (v.114 of later) is geïnstalleerd. Bij oudere versies blijft de synchronisatie gepauzeerd, maar zijn detectiemeldingen niet beschikbaar. Beheerders kunnen de ransomware-detectie centraal beheren via de Admin-console.

Google biedt bestandsherstel aan voor alle Google Workspace-klanten, Workspace Individual-abonnees en gebruikers met persoonlijke Google accounts. De ransomware-detectie is beschikbaar voor zakelijke gebruikers met een Business Standard- of Plus-abonnement, Enterprise-gebruikers met een Starter-, Standard- of Plus-editie, onderwijsinstellingen met een Onderwijsstandaard- of Plus-abonnement, en Frontline-gebruikers met een Standard- of Plus-editie.

Bron: workspaceupdates.googleblog.com

Een nieuwe malwarecampagne gebruikt actief WhatsApp om schadelijke bestanden rechtstreeks naar Windows-gebruikers te sturen. Kwaadwillenden versturen kwaadaardige Visual Basic Script (VBS)-bestanden via WhatsApp-berichten. Wanneer een ontvanger een van deze bestanden uitvoert, vindt er een silent infectieproces plaats op de achtergrond, zonder zichtbare waarschuwing.

De aanvallers maken gebruik van "living-off-the-land"-technieken, waarbij ze gebruikmaken van tools die Windows al heeft. Legitieme hulpprogramma's zoals curl.exe en bitsadmin.exe worden hernoemd om op standaard systeembestanden te lijken en worden in verborgen mappen in C:\ProgramData geplaatst. Secundaire payloads worden vervolgens opgehaald van vertrouwde cloudservices zoals AWS S3, Tencent Cloud en Backblaze B2, waardoor de kwaadaardige downloads lijken op routine systeemverkeer.

Het Microsoft Defender Security Research Team identificeerde deze campagne voor het eerst eind februari 2026. De aanval combineert social engineering met stealth-gebaseerde infectietechnieken, waarbij in meerdere fasen kwaadaardige MSI-pakketten worden geïnstalleerd, persistentie wordt gehandhaafd na systeemherstarts en remote access kanalen worden geopend. Dit geeft aanvallers volledige controle over het systeem.

De campagne levert uiteindelijk een set niet-ondertekende MSI-installatiepakketten, waaronder Setup.msi, WinRAR.msi, LinkPoint.msi en AnyDesk.msi. Het ontbreken van een geldig code-ondertekeningscertificaat op alle vier de bestanden is een waarschuwing, aangezien legitieme enterprise software meestal een trusted publisher signature heeft. Zodra deze installers worden uitgevoerd, creëren ze permanente remote access, waardoor aanvallers gegevens kunnen stelen, extra malware kunnen implementeren of het gecompromitteerde systeem kunnen gebruiken als onderdeel van een bredere aanval.

De aanval begint wanneer een gebruiker het kwaadaardige VBS-bestand uitvoert dat via WhatsApp is ontvangen. Het script maakt onmiddellijk verborgen mappen in C:\ProgramData en plaatst hernoemde versies van legitieme Windows tools: curl.exe wordt netapi.dll en bitsadmin.exe wordt vermomd als sc.exe. Ondanks de naamswijzigingen dragen beide bestanden nog steeds hun originele PE-metadata, met name het veld OriginalFileName. Deze mismatch tussen de zichtbare naam en de embedded metadata is een detecteerbaar signaal dat security tools kunnen gebruiken.

Die hernoemde tools downloaden vervolgens secundaire VBS-payloads van cloud-gehoste attacker infrastructuur, waaronder bestanden met de naam auxs.vbs en WinUpdate_KB5034231.vbs. Het hosten van deze bestanden op bekende platforms zoals AWS S3 en Backblaze B2 is een bewuste zet, aangezien corporate firewalls zelden verkeer naar deze services blokkeren. De bestandsnamen zijn ook gemaakt om op legitieme Windows update pakketten te lijken.

Zodra de secundaire scripts op het systeem terechtkomen, begint de malware te knoeien met User Account Control (UAC)-instellingen. Het probeert continu cmd.exe uit te voeren met verhoogde privileges en wijzigt registry entries onder HKLM\Software\Microsoft\Win totdat administratieve rechten zijn verkregen. Met die rechten worden security prompts onderdrukt, zodat de uiteindelijke MSI-installers worden uitgevoerd zonder waarschuwingen.

Microsoft adviseert organisaties om script hosts zoals wscript en cscript te blokkeren vanaf niet-vertrouwde paden en te controleren op hernoemde Windows utilities die worden uitgevoerd met ongebruikelijke command-line flags. Security teams moeten verkeer naar cloudplatforms zoals AWS S3, Tencent Cloud en Backblaze B2 inspecteren en filteren. Registry wijzigingen onder HKLM\Software\Microsoft\Win moeten in real time worden gevolgd en elke herhaalde UAC tampering moet worden gemarkeerd als een indicator of compromise.

Het inschakelen van EDR in block mode stopt kwaadaardige artifacts, zelfs als de primaire antivirusoplossing ze mist, terwijl het inschakelen van tamper protection voorkomt dat aanvallers security services uitschakelen. Het configureren van attack surface reduction rules om te voorkomen dat VBScript gedownloade executables start, voegt een extra laag toe. Het trainen van eindgebruikers om onverwachte WhatsApp-bijlagen in twijfel te trekken, blijft een manier om deze aanval te stoppen voordat deze begint.

Bron: Microsoft

Een nieuwe malware-as-a-service (MaaS) genaamd CrystalRAT, wordt via Telegram aangeboden. De malware biedt mogelijkheden voor toegang op afstand, gegevensdiefstal, keylogging en het kapen van klembordgegevens. De malware, die in januari 2026 opkwam, werkt met een gelaagd abonnementsmodel. Naast het Telegram-kanaal werd de MaaS ook gepromoot op YouTube via een marketingkanaal waarop de mogelijkheden werden gedemonstreerd.

Volgens onderzoekers van Kaspersky vertoont de malware sterke overeenkomsten met WebRAT (Salat Stealer), waaronder hetzelfde paneelontwerp, Go-gebaseerde code en een vergelijkbaar bot-gebaseerd verkoopsysteem. CrystalX bevat ook een uitgebreide lijst met prankware-functies die zijn ontworpen om de gebruiker te irriteren of hun werk te verstoren. Ondanks de "leuke" kant biedt CrystalX een groot aantal mogelijkheden voor gegevensdiefstal.

Kaspersky meldt dat de malware een gebruiksvriendelijk bedieningspaneel en een geautomatiseerde builder-tool biedt die aanpassingsopties ondersteunt, waaronder geoblocking, aanpassing van uitvoerbare bestanden en anti-analyse functies (anti-debugging, VM-detectie, proxy-detectie, enz.). De gegenereerde payloads zijn zlib-gecomprimeerd en versleuteld met de ChaCha20 symmetrische stroomcipher voor bescherming.

De malware maakt verbinding met de command-and-control (C2) server via WebSocket en verzendt informatie over de host voor profilering en infectie-tracking. Het infostealer-component van CrystalX, dat volgens Kaspersky tijdelijk is uitgeschakeld omdat het wordt voorbereid voor een upgrade, richt zich op Chromium-gebaseerde browsers via de ChromeElevator-tool, Yandex en Opera. Daarnaast verzamelt de tool gegevens van desktop-apps zoals Steam, Discord en Telegram.

De module voor toegang op afstand kan worden gebruikt om commando's uit te voeren via CMD, bestanden te uploaden/downloaden, door het bestandssysteem te bladeren en de machine in realtime te bedienen via ingebouwde VNC. De malware vertoont ook spyware-achtig gedrag, omdat het video en audio van de microfoon kan vastleggen. Ten slotte beschikt CrystalX over een keylogger die toetsaanslagen in realtime naar de C2 streamt, en een clipper-tool die reguliere expressies gebruikt om wallet-adressen op het klembord te detecteren en te vervangen door adressen die de aanvaller opgeeft.

Wat CrystalX onderscheidt, is de uitgebreide set prankware-functies. Volgens Kaspersky kan de malware het volgende doen op geïnfecteerde apparaten: het bureaubladachtergrond wijzigen, de schermoriëntatie in verschillende hoeken aanpassen, het systeem geforceerd afsluiten, muisknoppen opnieuw toewijzen, invoerapparaten uitschakelen (toetsenbord/muis/monitor), valse meldingen weergeven, de cursorpositie op het scherm wijzigen, verschillende componenten verbergen (bureaubladpictogrammen, taakbalk, Taakbeheer en de Command Prompt).

Hoewel de bovenstaande functies het verdienmodel van de aanval voor cybercriminelen niet verbeteren, maken ze het product wel onderscheidend en zouden ze script kiddies en beginnende dreigingsactoren kunnen verleiden tot een abonnement. Een andere reden voor de grapfuncties zou de mogelijkheid kunnen zijn om slachtoffers te manipuleren of zelfs af te leiden, terwijl de modules voor gegevensdiefstal op de achtergrond draaien.

Om het risico op malware-infecties te verminderen, wordt gebruikers aangeraden voorzichtig te zijn bij interactie met online content en het downloaden van software of media van niet-vertrouwde of onofficiële bronnen te vermijden.

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: hubs.li

Het DeFi handelsplatform Drift Protocol heeft minstens 280 miljoen dollar verloren nadat een dreigingsactor de administratieve bevoegdheden van de Security Council overnam in een geplande operatie. blockchain onderzoeksbureaus Elliptic en TRM Labs linken de aanval aan uit Noord-Korea afkomstige dreigingsactoren, op basis van meerdere on-chain indicatoren die consistent zijn met de werkwijze van Noord-Korea. Deze omvatten het gebruik van Tornado Cash, de timing van de CarbonVote-implementatie (09:30 Pyongyang tijd), cross-chain bridging patronen en snelle grootschalige witwaspraktijken, vergelijkbaar met de hack van Bybit.

De aanvaller maakte gebruik van durable nonce accounts en pre-signed transacties om de uitvoering te vertragen en op een gekozen moment toe te slaan. Drift benadrukt dat de hacker geen misbruik heeft gemaakt van fouten in de programma's of smart contracts, en dat er geen seed phrases zijn gecompromitteerd. Drift Protocol is een DeFi handelsplatform gebouwd op de Solana blockchain dat fungeert als een non-custodial exchange, waardoor gebruikers volledige controle hebben over hun fondsen terwijl ze interageren met on-chain markten. Eind 2024 claimde het platform 200.000 handelaren te hebben, met een totaal handelsvolume van meer dan 55 miljard dollar en een dagelijkse piek van 13 miljoen dollar.

Volgens het rapport van Drift werd de aanval tussen 23 en 30 maart voorbereid, waarbij de aanvaller durable nonce accounts opzette en 2/5 multisig-goedkeuringen van Security Council leden verkreeg om aan de vereiste drempel te voldoen. Dit stelde hen in staat om kwaadaardige transacties vooraf te ondertekenen die niet onmiddellijk werden uitgevoerd. Op 1 april voerde de aanvaller een legitieme transactie uit en voerde onmiddellijk de vooraf ondertekende kwaadaardige transacties uit, waardoor de admin controle binnen enkele minuten naar zichzelf werd overgedragen. Nadat ze admin controle hadden verkregen, introduceerden ze een kwaadaardige asset, verwijderden ze opnamelimieten en lieten uiteindelijk de fondsen leeglopen.

Drift Protocol schat de verliezen op ongeveer 280 miljoen dollar, terwijl blockchain tracking account PeckShieldAlert ze heeft berekend op 285 miljoen dollar. Toen ongebruikelijke activiteit op het protocol werd gedetecteerd, gaf Drift een openbare waarschuwing aan gebruikers, waarin stond dat ze een onderzoek waren gestart en er bij hen op aandrongen geen geld te storten tot nader order. Als gevolg van de aanval zijn borrow/lend deposits, vault deposits en trading funds getroffen, en alle protocolfuncties zijn nu in feite bevroren. Drift zegt dat DSOL niet is getroffen en dat de activa van het verzekeringsfonds veilig zijn. Het platform werkt nu samen met beveiligingsbedrijven, cryptocurrency exchanges en wetshandhavingsinstanties om de gestolen fondsen te traceren en te bevriezen. Drift heeft beloofd om in de komende dagen een gedetailleerd post-mortem rapport te publiceren.

Bron: Elliptic | Bron 2: trmlabs.com | Bron 3: drift.trade

Cisco Talos waarschuwt voor een toename van business email compromise (BEC) fraude, waarbij criminelen zich voordoen als vertrouwde personen om geld over te maken naar hun rekening. Historisch gezien richtte BEC zich op grote organisaties vanwege de hoge potentiële uitbetalingen die de tijdsinvestering rechtvaardigden. Echter, door de inzet van AI is de drempel verlaagd en zijn nu ook kleine organisaties, zoals lokale verenigingen en kleine bedrijven, doelwit.

AI stelt aanvallers in staat om snel en goedkoop informatie over kleine organisaties te verzamelen. Met door AI gegenereerde content kunnen ze e-mails personaliseren, de juiste terminologie gebruiken en de toon van de organisatie nabootsen. Hierdoor is de aanval minder arbeidsintensief en gerichter. Het scannen van kleinere bedragen van veel slachtoffers kan net zo winstgevend zijn als het scannen van grote bedragen van minder slachtoffers. Omdat kleinere organisaties vaak minder bekend zijn met deze dreiging, zijn ze kwetsbaarder.

Cisco Talos adviseert om alert te zijn op onverwachte betalingsverzoeken, vooral als er sprake is van urgentie of redenen waarom een telefoontje "niet mogelijk" is. Verifieer verzoeken via andere kanalen voordat er een overboeking plaatsvindt. Bel een bekend nummer van de contactpersoon, niet het nummer dat in de verdachte e-mail staat. Hanteer strikte regels voor inkoop die last-minute spoedbetalingen voorkomen.

Daarnaast heeft Cisco Talos een grootschalige geautomatiseerde campagne voor het verzamelen van inloggegevens ontdekt die misbruik maakt van React2Shell, een remote code execution kwetsbaarheid in Next.js applicaties (CVE-2025-55182). Met behulp van een custom framework genaamd "NEXUS Listener" extraheren en aggregeren de aanvallers automatisch gevoelige data, waaronder cloud tokens, database credentials en SSH keys, van honderden gecompromitteerde hosts om verdere kwaadaardige activiteiten te faciliteren.

Organisaties wordt aangeraden om Next.js applicaties te controleren op de React2Shell kwetsbaarheid en alle potentieel gecompromitteerde inloggegevens te roteren, inclusief API keys en SSH keys. Forceer IMDSv2 op AWS instances en implementeer RASP of getunede WAF regels om kwaadaardige payloads te detecteren. Pas ten slotte strikte toegangscontroles met minimale privileges toe binnen container omgevingen om de potentiële impact van een compromis te beperken.

Bron: Cisco Talos | Bron 2: cybernews.com | Bron 3: youtu.be

De dreigingsgroep ShinyHunters heeft Cisco een "laatste waarschuwing" gegeven en een deadline van 3 april 2026 gesteld. Na deze datum zal de groep data lekken die ze naar eigen zeggen hebben gestolen. Het bericht verscheen op de dark web leak site van de groep, waar al data is gepubliceerd die verband houdt met eerdere aan Salesforce gerelateerde incidenten die bedrijven wereldwijd troffen.

Volgens het bericht claimt de groep toegang te hebben tot data via drie verschillende routes: UNC6040, Salesforce Aura en gecompromitteerde AWS accounts. In totaal zouden meer dan drie miljoen Salesforce records zijn buitgemaakt, samen met persoonlijk identificeerbare informatie, GitHub repositories, AWS opslagbuckets en interne bedrijfsdata. De groep waarschuwt Cisco om contact op te nemen vóór de gestelde deadline. Het niet naleven hiervan zal niet alleen leiden tot datalekken, maar ook tot niet nader gespecificeerde "digitale problemen".

Deze dreiging komt enkele dagen nadat dezelfde groep 350 GB aan data van de Europese Commissie lekte, bestaande uit mailserver dumps, database exports, interne documenten en contracten. Google Threat Intelligence Group (GTIG) heeft ShinyHunters in augustus 2025 aangeduid als UNC6040. Cisco publiceerde details over een campagne waarbij voice phishing (vishing) werd gebruikt om werknemers te targeten en toegang te krijgen tot interne systemen en klantdata. Door de claims te koppelen aan die campagne, erkent ShinyHunters niet alleen de betrokkenheid, maar suggereert het ook dat een deel van de vermeende data van Cisco afkomstig kan zijn van social engineering aanvallen in plaats van alleen aan Salesforce gerelateerde aanvallen.

De groep heeft drie afbeeldingen gedeeld om de legitimiteit van hun claims aan te tonen. Deze afbeeldingen tonen toegang tot delen van een AWS omgeving die naar verluidt aan Cisco is gekoppeld, waaronder een organisatorisch dashboard, opslagvolumes en bucket listings. Hoewel deze screenshots geen gevoelige data bevatten, wijzen ze op zichtbaarheid in de cloudinfrastructuur in plaats van een enkel geïsoleerd systeem. De aanwezigheid van een organisatiebreed overzicht is opmerkelijk, omdat dit meestal duidt op toegang tot meerdere gekoppelde accounts en services onder gecentraliseerde controle.

In het afgelopen jaar heeft ShinyHunters herhaaldelijk geclaimd toegang te hebben tot aan Salesforce gerelateerde data bij meerdere organisaties, waarbij vaak samples werden gepubliceerd om de claims te ondersteunen. In verschillende gevallen wees de groep op misconfiguraties, gecompromitteerde credentials of third-party integraties als toegangspunten, in plaats van fouten binnen Salesforce zelf. Eerdere incidenten die aan de groep werden gekoppeld, volgden een vergelijkbaar patroon waarbij data eerst op leak sites werd vermeld met beperkte details, en vervolgens volledige dumps werden gepubliceerd wanneer bedrijven niet reageerden. Die lekken omvatten klantrecords, interne communicatie en operationele data afkomstig van aangesloten systemen.

Bron: Cisco

Cybercrimeinfo heeft een dreigingsalert onderschept waarin staat dat een dreigingsactor, bekend als Mr. Raccoon, webcamtoegang heeft verkregen op de computer van een medewerker. Dit gebeurde via een Remote Access Trojan (RAT) die via e-mail was verspreid. Daarnaast heeft Mr. Raccoon ook privéconversaties via WhatsApp onderschept. De omvang van de inbreuk wordt bevestigd door meerdere bestanden.

Bron: Int. Cyber Digest

Residentiële proxies die worden gebruikt om kwaadaardig verkeer te routeren, vormen een groot probleem voor IP reputatiesystemen. Er is namelijk geen duidelijk onderscheid tussen aanvallers en legitieme gebruikers. Dit komt doordat residentiële proxies te kort bestaan, niet betrokken zijn of systematisch worden geroteerd, waardoor verdedigingssystemen ze niet op tijd kunnen catalogiseren.

Dat concludeert het cybersecurity intelligence platform GreyNoise na onderzoek van een dataset van 4 miljard kwaadaardige sessies gericht op de edge over een periode van drie maanden, en data van IPInfo.io. Ongeveer 39% van deze sessies lijkt afkomstig te zijn van thuisnetwerken en maakt waarschijnlijk deel uit van residentiële proxies. Maar liefst 78% van deze sessies is onzichtbaar voor reputatie feeds. Volgens GreyNoise daagt dit een kernassumptie van netwerkverdediging uit: dat je aanvallers kunt onderscheiden van legitieme gebruikers op basis van de herkomst van het verkeer.

De meeste residentiële IP adressen worden een of twee keer gebruikt en verdwijnen dan, terwijl aanvallers ze roteren met andere adressen. Dit tempo is te hoog voor reputatiesystemen om ze te detecteren. Ongeveer 89,7% van de residentiële IP adressen is minder dan een maand actief in kwaadaardige operaties, slechts 8,7% is 2 maanden actief en 1,6% 3 maanden. De adressen die langer actief blijven, lijken volgens de onderzoekers gespecialiseerd te zijn in SSH en gebruiken Linux TCP stacks.

De diversiteit van de IP adressen bemoeilijkt het detecteren en blokkeren. De data van GreyNoise laat zien dat de residentiële IP adressen die deelnemen aan aanvallen, toebehoren aan 683 internet service providers. Een andere reden voor hun heimelijkheid is dat ze voornamelijk worden gebruikt voor netwerkscanning en reconnaissance, waarbij slechts 0,1% betrokken is bij daadwerkelijke exploits. Een klein percentage (1,3%) richt zich op enterprise VPN login pagina's, terwijl in sommige gevallen residentiële IP adressen worden gebruikt voor path traversal en credential stuffing pogingen.

Volgens GreyNoise zijn China, India en Brazilië belangrijke bronnen van residentiële proxies. Het verkeer van de IP adressen volgt menselijke slaappatronen en daalt met een derde 's nachts, wanneer de meeste mensen hun apparaten uitschakelen. Het residentiële proxy verkeer wordt gegenereerd door twee verschillende, niet overlappende ecosystemen: IoT botnets en geïnfecteerde computers. In het laatste geval zijn de proxies afkomstig van SDK's in gratis VPN's, adblockers en vergelijkbare apps, die gebruikersapparaten inschrijven in bandbreedte verkoopschema's.

GreyNoise benadrukt de veerkracht van deze netwerken aan de hand van IPIDEA, een van 's werelds grootste residentiële proxynetwerken, die onlangs werd verstoord door Google Threat Intelligence Group (GTIG) en partners. De verstoring verminderde de proxy pool met ongeveer 40%, maar in de periode daarna nam het datacenter verkeer toe, wat aangeeft dat de vraag kan worden opgevangen door anderen en dat verloren capaciteit snel wordt vervangen.

GreyNoise stelt dat residentiële proxying ontwijkingstactieken vereisen dat IP reputatie als primaire signaal wordt losgelaten en dat de focus in plaats daarvan op gedrag komt te liggen. De onderzoekers suggereren het detecteren van sequentiële probing van roterende residentiële IP adressen, het blokkeren van duidelijk illegitieme protocollen zoals SMB vanuit ISP ruimte en het volgen van apparaat fingerprints die IP rotatie overleven.

Bron: GreyNoise | Bron 2: hubs.li

De Google Threat Intelligence Group (GTIG) waarschuwt voor de toenemende dreiging van BRICKSTORM malware gericht op VMware vSphere omgevingen, met name de vCenter Server Appliance (VCSA) en ESXi hypervisors. Deze aanvallen maken gebruik van zwakke plekken in de beveiligingsarchitectuur, identiteitsontwerp, gebrekkige configuratiehandhaving en beperkte zichtbaarheid in de virtualisatielaag. Door persistentie te vestigen in de virtualisatielaag, opereren aanvallers onder het niveau van het guest operating system, waar traditionele beveiligingsmaatregelen vaak niet effectief zijn.

De VCSA is het centrale punt van controle voor de vSphere infrastructuur en draait op een gespecialiseerd Photon Linux besturingssysteem. Het hosten van kritieke Tier-0 workloads, zoals domein controllers en privileged access management (PAM) oplossingen, betekent dat het onderliggende virtualisatieplatform hetzelfde risicoprofiel erft als de gevoelige assets die het ondersteunt. Een compromis van het vCenter controle vlak geeft een aanvaller administratieve controle over elke beheerde ESXi host en virtuele machine.

Volgens Google biedt de VCSA aanvallers gecentraliseerd commando, totale data toegang en command-line logging gaps. Veel organisaties hosten hun Active Directory domein controllers als virtuele machines binnen hetzelfde vSphere cluster beheerd door een vCenter dat zelf AD-geïntegreerd is. Als een aanvaller het virtuele netwerk uitschakelt of de datastores versleutelt, verliest vCenter zijn vermogen om beheerders te authenticeren.

vSphere 7 bereikte End of Life (EoL) in oktober 2025, waardoor organisaties met deze legacy software geen kritieke beveiligingspatches meer ontvangen. Dit biedt aanvallers de mogelijkheid om bekende kwetsbaarheden te misbruiken die niet meer worden opgelost.

Om de controle vlak te beveiligen, adviseert Google een strategie waarbij de infrastructuur zelf als de primaire verdedigingslinie fungeert, door technische hardening en detectie en respons. Mandiant heeft een vCenter Hardening Script uitgebracht dat deze beveiligingsconfiguraties direct op de Photon Linux laag afdwingt.

Bron: github.com

In een nieuwe aflevering van "Talos Threat Perspective" wordt onderzocht hoe identiteiten worden gebruikt om toegang te krijgen tot systemen en die te behouden. Op basis van het "2025 Talos Year in Review" rapport, analyseert Cisco Talos hoe aanvallers te werk gaan.

De belangrijkste punten zijn, het richten op identiteitssystemen en MFA workflows, het verkrijgen van permanente toegang met hoge privileges, het gebruik van interne phishing om zich lateraal te verplaatsen binnen een netwerk, en het potentieel misbruiken van AI agents met te veel rechten en identiteitsgebonden toegang. Aanvallers proberen zich te mengen met normaal gebruikersgedrag om detectie te vermijden.

De focus ligt op hoe identiteitsmisbruik aanvallers in staat stelt hun operaties op te schalen. Het rapport bespreekt ook de implicaties hiervan voor verdedigers die dergelijke activiteiten proberen te detecteren en te stoppen.

Bron: Cisco Talos

Onderzoekers van Team Cymru hebben een nieuwe afpersingscampagne ontdekt waarbij gebruik wordt gemaakt van de Yurei ransomware toolkit. De groep achter deze campagne, die voor het eerst opdook in september 2025, valt op door agressieve tactieken en de gewoonte om tools te vernoemen naar karakters en thema's uit de televisieserie Stranger Things.

Volgens Team Cymru maakt de campagne gebruik van een groeiende trend waarbij hackers modulaire toolkits samenstellen met behulp van direct beschikbare middelen, waardoor het eenvoudiger en sneller is om aanvallen uit te voeren. De toegang tot een bedrijfsnetwerk verloopt via gestolen wachtwoorden die op online criminele marktplaatsen worden gekocht. Eenmaal binnen gebruiken ze tools zoals SoftPerfect NetScan en NetExec om het netwerk in kaart te brengen en waardevolle data te lokaliseren.

De groep gebruikt Rubeus om Administrator-rechten te verkrijgen en installeert AnyDesk om verbinding te behouden, zelfs als ze ontdekt worden. Een opvallend onderdeel van de Yurei toolkit is een PowerShell script genaamd Vecna.ps1, dat net als de schurk uit de serie verborgen blijft en toeslaat wanneer de tijd rijp is. Het script wacht op een user login en lanceert dan automatisch het belangrijkste ransomware bestand, StrangerThings.exe. De Yurei ransomware is gebaseerd op Prince Ransomware, een open-source project geschreven in de Go programmeertaal.

Voordat de groep bestanden vergrendelt, schakelen ze Windows Defender uit met een script genaamd FixingIssues2.ps1 en gebruiken ze SDelete om bewijs te wissen en shadow copies te verwijderen. Tussen december 2025 en januari 2026 monitorde Team Cymru het serververkeer van de groep (NetFlow) om te zien hoe ze zich door systemen verplaatsten met tools zoals PsExec. Hoewel de publieke leak site van de groep slechts drie slachtoffers vermeldt, maakt het gemak waarmee ze deze aanvallen kunnen uitvoeren experts bezorgd.

Bron: Team Cymru

Varonis Threat Labs heeft de Storm infostealer ontdekt, een malicious subscription service die Google encryptie van Chrome omzeilt. Deze tool maakt gebruik van server-side decryptie en cookie theft om crypto wallets en private accounts te targeten zonder beveiligingsalarmen te activeren.

Storm is een programma dat, na infectie, browser credentials, sessiecookies, crypto wallets en gerelateerde data verzamelt. De gestolen informatie wordt naar een private server van de aanvallers verzonden. Volgens onderzoekers gebruikt Storm infostealer server-side decryptie, waardoor detectie door antivirussoftware bemoeilijkt wordt. Dit is een reactie op App-Bound Encryption, een beveiligingsmechanisme dat Google in juli 2024 introduceerde in Chrome 127. Storm infostealer kan deze beveiliging omzeilen.

Naast Google Chrome kan de malware ook data extraheren uit andere Chromium-gebaseerde browsers en Gecko-gebaseerde browsers, waaronder Microsoft Edge, Firefox en Waterfox. De tool wordt verkocht als een subscription feature, met prijzen vanaf $300 voor een demo van zeven dagen tot $1.800 voor professionele criminele teams.

Omdat Storm infostealer sessies kan kapen, wordt Multi-Factor Authentication (MFA) irrelevant. Varonis heeft vastgesteld dat de tool al in het wild wordt gebruikt, met 1.715 entries van slachtoffers. Storm Infostealer target ook Telegram-, Signal- en Discord accounts en crypto wallets op platforms zoals Binance en Coinbase. Het kan zelfs screenshots maken over meerdere monitoren.

Om apparaten en data te beschermen tegen Storm infostealers, is het belangrijk om handmatig uit te loggen van gevoelige bank- of crypto-accounts wanneer men klaar is, in plaats van alleen het tabblad te sluiten. De gestolen sessies zijn vaak slechts het begin van account overnames, zelfs met sterke wachtwoorden.

Bron: Varonis | Bron 2: security.googleblog.com

Cisco Talos heeft een grootschalige, geautomatiseerde credential harvesting campagne ontdekt, uitgevoerd door een dreigingsactor die ze volgen onder de naam UAT-10608. Na de initiële compromittering gebruikt UAT-10608 geautomatiseerde scripts om credentials te extraheren en te exfiltreren uit diverse applicaties, waarna deze naar de command and control (C2) server worden verzonden. De C2-server host een web-based graphical user interface (GUI) genaamd "NEXUS Listener", die gebruikt kan worden om gestolen informatie te bekijken en analytische inzichten te verkrijgen op basis van precompiled statistieken over credentials en gecompromitteerde hosts.

De campagne maakt voornamelijk gebruik van een collectie framework genaamd "NEXUS Listener". Deze systematische exploitatie- en exfiltratiecampagne heeft geleid tot de compromittering van minstens 766 hosts in verschillende geografische regio's en cloudproviders. De aanval richt zich op Next.js applicaties die kwetsbaar zijn voor React2Shell (CVE-2025-55182) om initiële toegang te krijgen. Vervolgens wordt een multi-phase credential harvesting tool ingezet die op grote schaal credentials, SSH-sleutels, cloud tokens en environment secrets verzamelt. Het brede scala aan slachtoffers en het willekeurige targetingpatroon duiden op geautomatiseerde scanning, waarschijnlijk gebaseerd op hostprofielgegevens van diensten zoals Shodan, Censys of aangepaste scanners om publiek bereikbare Next.js deployments te inventariseren en te onderzoeken op de beschreven React configuratie kwetsbaarheden.

De kern van het framework is een webapplicatie die alle geëxfiltreerde data beschikbaar maakt voor de operator in een grafische interface met in-depth statistieken en zoekmogelijkheden om door de gecompromitteerde data te filteren.

UAT-10608 richt zich op publiek toegankelijke webapplicaties met componenten, voornamelijk Next.js, die kwetsbaar zijn voor CVE-2025-55182, ook wel "React2Shell" genoemd. React2Shell is een pre-authentication remote code execution (RCE) kwetsbaarheid in React Server Components (RSC). RSC's stellen Server Function endpoints beschikbaar die geserialiseerde data van clients accepteren. De getroffen code deserialiseert payloads van inkomende HTTP requests naar deze endpoints zonder adequate validatie of sanitatie.

Een aanvaller identificeert een publiek toegankelijke applicatie met een kwetsbare versie van RSC's of een framework dat erop is gebouwd (bijv. Next.js). De aanvaller maakt een kwaadaardige geserialiseerde payload die is ontworpen om de deserialisatie routine te misbruiken  -  een techniek die vaak wordt gebruikt om arbitrary object instantiation of method invocation op de server te triggeren. De payload wordt via een HTTP request rechtstreeks naar een Server Function endpoint verzonden, zonder dat authenticatie vereist is. De server deserialiseert de kwaadaardige payload, wat resulteert in arbitrary code execution in het server-side Node.js proces.

Zodra de dreigingsactor een kwetsbaar endpoint identificeert, neemt de geautomatiseerde toolkit het over. Er is geen verdere handmatige interactie vereist om credentials te extraheren en te exfiltreren. Data wordt verzameld via nohup-uitgevoerde shell scripts die in /tmp worden geplaatst met willekeurige namen. Het harvesting script doorloopt verschillende fases om data te verzamelen: environ (omgevingsvariabelen), jsenv (JSON-parsed environment), ssh (SSH private keys), tokens (credential strings), history (shell command history), cloud_meta (cloud metadata APIs), k8s (Kubernetes service account tokens), docker (container configuraties), cmdline (process command lines) en proc_all (process environment variables).

Na elke fase wordt een HTTP request naar de C2-server (NEXUS Listener) gestuurd, meestal op poort 8080, met hostname, phase en ID.

Talos heeft serviceproviders geïnformeerd over blootgestelde credentials en werkt samen met GitHub en AWS om credentials in quarantaine te plaatsen en slachtoffers te informeren.

Bron: Cisco Talos | Bron 2: github.com

Cisco Talos heeft een analyse gepubliceerd van een kwaadaardige "msimg32.dll" die wordt gebruikt in Qilin ransomware aanvallen. Deze DLL is de eerste fase van een infectieketen die endpoint detection and response (EDR)-oplossingen uitschakelt. De malware kan meer dan 300 verschillende EDR-drivers van diverse leveranciers uitschakelen.

De eerste fase bestaat uit een PE-loader die de uitvoeringsomgeving voorbereidt voor de EDR killer component. Deze payload is versleuteld ingebed in de loader. De loader maakt gebruik van geavanceerde technieken om EDR te ontwijken, waaronder het neutraliseren van user-mode hooks en het onderdrukken van Event Tracing for Windows (ETW) event generatie. Structured exception handling (SEH) en vectored exception handling (VEH) worden gebruikt om de controle flow te verbergen en API invocation patronen te verdoezelen. Hierdoor kan de EDR killer payload worden gedecodeerd, geladen en uitgevoerd in het geheugen zonder detectie door de lokaal geïnstalleerde EDR oplossing.

Na activering laadt de EDR killer component twee helper drivers. De eerste driver ("rwdrv.sys") biedt toegang tot het fysieke geheugen van het systeem, terwijl de tweede driver ("hlpdrv.sys") wordt gebruikt om EDR processen te beëindigen. Voorafgaand aan het laden van de tweede driver, deregistreert de EDR killer component monitoring callbacks die door de EDR zijn ingesteld, zodat het beëindigen van processen zonder interferentie kan plaatsvinden.

De kwaadaardige DLL wordt waarschijnlijk side-geladen door een legitieme applicatie die functies importeert van "msimg32.dll". Om de verwachte functionaliteit te behouden, worden de originele API aanroepen doorgestuurd naar de legitieme library in "C:\Windows\System32". De versie van "msimg32.dll" die door de dreigingsactor wordt ingezet, activeert de kwaadaardige logica vanuit de DllMain-functie. Als gevolg hiervan wordt de payload uitgevoerd zodra de legitieme applicatie de DLL laadt. Tijdens de initialisatie alloceert de loader een heap buffer in het procesgeheugen die fungeert als een slot-policy table. De grootte van deze buffer wordt berekend als "ntdll.dll" OptionalHeader.SizeOfCode gedeeld door 16 (SizeOfCode >> 4), wat resulteert in één byte per 16-byte code slot die de code region dekt zoals gedefinieerd door OptionalHeader.SizeOfCode.

Bron: Cisco Talos | Bron 2: github.com

Het Cisco Talos Year in Review 2025 laat zien dat aanvallers sneller te werk gaan en identiteitsgerelateerde aanvallen centraal staan. Christopher Marshall, VP van Cisco Talos, en Peter Bailey, SVP en GM van Cisco Security, bespreken de belangrijkste bevindingen. Oude kwetsbaarheden worden sneller uitgebuit, mede door de inzet van AI, terwijl oudere kwetsbaarheden nog steeds succesvol zijn. Organisaties hebben te maken met complexe omgevingen en lange apparaatlevenscycli, waardoor patch management achterblijft. Het updaten van systemen wordt bemoeilijkt doordat kritieke netwerkinfrastructuur stabiel moet blijven. Cisco biedt ingebouwde bescherming in netwerkapparatuur die zonder downtime kan worden toegepast, en mogelijkheden om systemen af te schermen wanneer patchen niet direct mogelijk is.

Identiteit is een belangrijk doelwit. In 2025 stonden identiteitsaanvallen centraal in laterale bewegingen, privilege escalation en persistentie. Fraudeuleuze apparaatregistratie steeg met 178 procent. Aanvallers overtuigen beheerders om apparaten namens hen te registreren via vishing, waarbij ze zich richten op door beheerders beheerde registratiestromen. Gestolen inloggegevens zijn breed beschikbaar. Na authenticatie is continue monitoring en risicogebaseerde aanpassing van toegang nodig om afwijkend gedrag te detecteren. Interne phishing neemt toe, waarbij berichten worden verzonden vanaf gecompromitteerde accounts. Aanvallers maken mailboxregels aan om antwoorden te verbergen en de zichtbaarheid te onderdrukken. Ze zoeken naar gevoelige informatie op gedeelde schijven en samenwerkingsplatforms. Sterke zichtbaarheid in normaal gebruikersgedrag is essentieel.

Staatssponsoring blijft evolueren. onderzoeken van Talos naar campagnes met een link naar China zijn in 2025 met bijna 75 procent gestegen. Deze actoren maken gebruik van zero-day en n-day kwetsbaarheden en zijn financieel gemotiveerd. Russische activiteit correleert met geopolitieke ontwikkelingen, waarbij ongepatchte netwerkapparatuur wordt misbruikt voor langdurige toegang. uit Noord-Korea afkomstige actoren verfijnden hun "Contagious Interview"-campagnes en compromitteren ontwikkelaars via valse vacatures. Iraanse actoren verhoogden hacktivistische operaties met ongeveer 60 procent. Actoren zoals ShroudedSnooper zetten moeilijk te detecteren backdoors in om langdurige toegang tot kritieke telecommunicatie-infrastructuur te behouden. De grens tussen statelijke en criminele actoren vervaagt.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com | Bron 3: cisco.sharepoint.com

In 2025 zijn in Japan 134 ransomware incidenten gemeld, een stijging van 17,5% ten opzichte van 2024. Van deze incidenten werden er 22 toegeschreven aan Qilin, wat neerkomt op 16,4% van het totaal. Onderzoekers van Cisco Talos verwachten dat Qilin in 2026 zijn impact verder zal vergroten, tenzij er externe druk of verstoring optreedt. Hoewel er variaties zijn in de tactieken van de verschillende affiliates, wordt verwacht dat de activiteiten meer geautomatiseerd zullen worden. Er zijn aanwijzingen dat sommige Qilin-affiliates banden hebben met landen in de post-Sovjetregio, waaronder de Baltische staten.

Uit een analyse blijkt dat de maakindustrie het grootste aandeel getroffen organisaties vertegenwoordigt (28%). Gevolgd door de auto-industrie (8%), handelsbedrijven (7%), IT (6%) en onderwijs (5%). Het onderzoek toont aan dat het MKB het primaire doelwit was van ransomware aanvallen met 57% van de getroffen organisaties, vergeleken met 17% voor grote ondernemingen. Qilin is verantwoordelijk voor het grootste aandeel (16,4%) van alle incidenten, ongeveer vier keer zoveel als Lynx, de op een na meest actieve groep.

Cisco Talos onderzocht de redenen achter de toename van het aantal aanvallen door Qilin. Ten eerste vertrouwt Qilin voornamelijk op gestolen inloggegevens om toegang te krijgen. Deze inloggegevens worden verkregen via platforms zoals Telegram, Breach Forums en andere online platforms. Na een succesvolle inbraak legt de groep veel nadruk op activiteiten na de compromittering, waardoor ze hun controle methodisch kunnen uitbreiden en de impact maximaliseren. Ten tweede blijkt uit berichten dat de operators zich bewust zijn van penetratietesters, wat duidt op een relatief hoge mate van operationele volwassenheid. Ten slotte blijkt uit de statistieken van 2025 dat Qilin zich het vaakst richt op sectoren als de maakindustrie, professionele, wetenschappelijke en technische diensten, de groothandel, de gezondheidszorg en maatschappelijke dienstverlening, en de bouw. Vooral de gezondheidszorg en maatschappelijke dienstverlening springen eruit, wat erop wijst dat Qilin de neiging heeft om prioriteit te geven aan sectoren waar door ransomware veroorzaakte operationele verstoringen bijzonder ernstige gevolgen kunnen hebben.

Cisco Talos ontdekte recentelijk dat een Qilin-affiliate malware gebruikt die specifiek is ontworpen om EDR op endpoints van slachtoffers uit te schakelen. Deze tooling is bedoeld om endpoint security monitoring te omzeilen en aanvallers in staat te stellen met verminderde zichtbaarheid te opereren op gecompromitteerde systemen. De malware implementeert geo-fencing en sluit systemen uit die zijn geconfigureerd voor talen die vaak worden gebruikt in post-Sovjetlanden.

Bron: Cisco Talos | Bron 2: github.com | Bron 3: jsac.jpcert.or.jp

Cybercriminelen, variërend van statelijke actoren tot cybercrimegroepen, integreren kunstmatige intelligentie (AI) in de planning, verfijning en het onderhouden van cyberaanvallen. Hoewel de doelstellingen zoals credential diefstal, financieel gewin en spionage hetzelfde blijven, zijn de snelheid, iteratie en schaal van de aanvallen aanzienlijk toegenomen dankzij generatieve AI. Dit blijkt uit onderzoek van Microsoft dat is gepresenteerd tijdens de RSAC 2026 Conferentie.

AI wordt gebruikt om de wrijving over de gehele aanvalscyclus te verminderen, waardoor dreigingsactoren sneller onderzoek kunnen doen, betere lokmiddelen kunnen schrijven, malware kunnen ontwikkelen en gestolen data kunnen triëren. E-mail blijft de snelste en goedkoopste manier om initiële toegang te verkrijgen, waarbij AI helpt bij het verfijnen van berichten om gebruikers te verleiden tot klikken. phishing operaties die gebruik maken van AI laten een click-through rate zien van 54%, vergeleken met 12% bij traditionele campagnes, een toename van 450%.

Tycoon2FA is een voorbeeld van hoe de actor Storm-1747 zich richtte op verfijning en veerkracht. Dit was geen phishing kit, maar een platform dat maandelijks tientallen miljoenen phishing e-mails genereerde en sinds 2023 aan bijna 100.000 gecompromitteerde organisaties is gekoppeld. Op zijn hoogtepunt was Tycoon2FA verantwoordelijk voor ongeveer 62% van alle phishing pogingen die Microsoft maandelijks blokkeerde. Deze operatie was gespecialiseerd in adversary-in-the-middle aanvallen om multi-factor authenticatie (MFA) te omzeilen, waarbij credentials en sessie tokens in real-time werden onderschept. Aanvallers konden zo authenticeren als legitieme gebruikers zonder alerts te triggeren, zelfs na het resetten van wachtwoorden.

Microsoft's Digital Crimes Unit heeft Tycoon2FA eerder deze maand ontmanteld, waarbij 330 domeinen in beslag werden genomen in coördinatie met Europol en partners uit de industrie. Het doel was om druk uit te oefenen op de supply chain, aangezien cybercrime draait om schaalbare service modellen die de drempel verlagen. Identiteit is het primaire doelwit en MFA bypass wordt nu als een feature aangeboden.

Bron: Microsoft

Microsoft heeft een onderzoek gepubliceerd over een dreigingsactor die zich richt op Linux hosting omgevingen door middel van door cookies gecontroleerde PHP webshells. De aanvallers maken gebruik van een gelaagde aanpak om detectie te vermijden en een duurzame, stille aanwezigheid te creëren binnen gecompromitteerde systemen.

Na de eerste base64-decodering onthult het PHP script niet direct zijn functionaliteit. In plaats daarvan is er een tweede laag van obfuscatie. Kritieke operaties worden programmatisch herbouwd tijdens runtime, waarbij functie namen en uitvoeringslogica karakter voor karakter worden samengesteld. Dit zorgt ervoor dat de werkelijke functie verborgen blijft tot aan de uitvoering.

De dreigingsactor maakt gebruik van legitieme beheerinterfaces om een cron job te registreren. In omgevingen met beperkte shell toegang kunnen geauthenticeerde gebruikers op deze manier opdrachten uitvoeren binnen hun account, inclusief het registreren of starten van geplande taken. Omdat deze acties normale administratieve paden volgen, lijken ze op routine account-level operaties in plaats van opvallende systeemaanpassingen.

De cron job wordt met regelmatige tussenpozen uitgevoerd en roept een shell routine aan die een geobfusceerde PHP loader reconstrueert op een web-toegankelijke locatie. Dit gedrag is bewust geïmplementeerd om persistentie te behouden. Als de loader wordt verwijderd, maakt de geplande taak deze opnieuw aan bij de volgende uitvoeringscyclus. De taak past ook restrictieve bestandsrechten toe, waardoor handmatige aanpassing of verwijdering moeilijker wordt tijdens incident response. Dit "self-healing" mechanisme, gecontroleerd door de dreigingsactor, zorgt ervoor dat het kwaadaardige bestand opnieuw verschijnt na opruim pogingen.

Web-facing processen, zoals php-fpm, genereren shell commando's die geobfusceerde PHP bestanden reconstrueren met behulp van het herkenbare echo | base64 -d > file.php patroon. In andere gevallen worden equivalente commando's uitgevoerd binnen beperkte shell omgevingen, zoals via cPanel jailshell, of ingesteld via geplande taken op het hosting account niveau.

Microsoft adviseert om multi-factor authenticatie te gebruiken voor hosting control panels, SSH toegang en administratieve interfaces. Ook wordt aangeraden om het vermogen van web-facing services zoals php-fpm te beperken om shell processen te genereren en het uitvoeren van shell interpreters te beperken, tenzij dit expliciet vereist is door de applicatie. Account-level cron jobs en geplande taken dienen regelmatig te worden gecontroleerd.

Bron: Microsoft

WhatsApp heeft ongeveer tweehonderd gebruikers gewaarschuwd voor het downloaden van een malafide versie van de chatapp, die met spyware is besmet. De slachtoffers, die via social engineering zouden zijn verleid tot het installeren van de nepversie, bevinden zich voornamelijk in Italië, zo melden Italiaanse media.

De spyware, ontwikkeld door het Italiaanse bedrijf Asigint, kan sms berichten stelen en chats van Facebook Messenger, Signal en WhatsApp onderscheppen, evenals data uit het adresboek. Daarnaast kon de spyware telefoongesprekken onderscheppen, de microfoon inschakelen om de omgeving van het slachtoffer af te luisteren en de camera gebruiken om foto's te maken.

Volgens WhatsApp zijn de getroffen gebruikers gericht aangevallen. WhatsApp heeft de accounts van de slachtoffers van de nepversie uitgelogd en gebruikers geadviseerd de app te verwijderen. Tevens heeft WhatsApp de spywareleverancier een formele waarschuwing gestuurd om met alle schadelijke activiteiten te stoppen. Verdere details, zoals wie de slachtoffers zijn en hoe slachtoffers werden verleid om de nepversie te installeren, zijn niet gegeven.

Bron: WhatsApp

Cybercrimeinfo heeft een threat intelligence alert ontvangen van Int. Cyber Digest over een recent geregistreerd domein. Het domein, geregistreerd op de voorgaande dag, maakt gebruik van Cloudflare bescherming en ImprovMX maildiensten. Int. Cyber Digest meldt dat ze niet gecompromitteerd zijn, omdat ze al voorzorgsmaatregelen hadden getroffen tegen dergelijke aanvallen en sindsdien extra maatregelen hebben genomen. Het type dreiging is nog onbekend.

Bron: Int. Cyber Digest

Een voormalig core infrastructure engineer heeft schuld bekend aan het vergrendelen van Windows apparaten. De 57-jarige Daniel Rhyne uit Kansas City, Missouri, gebruikte tussen 9 en 25 november een administrator account om zonder autorisatie toegang te krijgen tot het netwerk van zijn werkgever, een industrieel bedrijf in Somerset County, New Jersey.

Volgens de aanklacht plande Rhyne taken op de Windows domain controller om netwerk administrator accounts te verwijderen en de wachtwoorden van 13 domain admin accounts en 301 domain user accounts te wijzigen in "TheFr0zenCrew!". Hij plande ook taken om de wachtwoorden te wijzigen van twee lokale admin accounts, wat 3.284 workstations zou treffen, en van nog twee lokale admin accounts, wat 254 servers zou beïnvloeden. Daarnaast plande hij taken om gedurende meerdere dagen in december 2023 willekeurige servers en workstations op het netwerk af te sluiten.

Op 25 november stuurde Rhyne een e-mail naar zijn collega's met de titel "Your Network Has Been Penetrated". Hierin stond dat alle IT administrators waren buitengesloten van hun accounts en dat serverbackups waren verwijderd om dataherstel onmogelijk te maken. De e-mails dreigden ook met het dagelijks afsluiten van 40 willekeurige servers gedurende de volgende tien dagen, tenzij het bedrijf een losgeld van 20 bitcoin (destijds ongeveer $750.000 waard) betaalde.

Forensisch onderzoek wees uit dat Rhyne op 22 november een verborgen virtuele machine en zijn account gebruikte om op internet te zoeken naar informatie over het wissen van Windows logs, het wijzigen van domain user passwords en het verwijderen van domain accounts. Een week eerder zocht Rhyne op zijn laptop naar vergelijkbare informatie, waaronder "command line to remotely change local administrator password" en "command line to change local administrator password".

Rhyne werd op dinsdag 27 augustus gearresteerd in Missouri en na zijn eerste verschijning in de federale rechtbank vrijgelaten. De aanklachten van hacking en afpersing waarop hij schuldig heeft gepleit, hebben een maximale straf van 15 jaar gevangenisstraf. Eerder deze maand werd een data analist in North Carolina schuldig bevonden aan het afpersen van zijn werkgever, Brightly Software, voor $2,5 miljoen.

Bron: U.S. Department of Justice | Bron 2: hubs.li

Het Europa.eu platform van de Europese Commissie is mogelijk gehackt via een supplychain aanval gericht op vulnerability scanner Trivy. Dat meldt CERT-EU, het computer emergency response team voor EU instanties. Bij de aanval is 340 gigabyte aan data gestolen, waaronder persoonlijke informatie zoals namen, e-mailadressen en de inhoud van e-mailberichten. Het gehackte AWS account maakt deel uit van de technische infrastructuur waar meerdere websites van de Europese Commissie gebruik van maken. De aanvallers hebben mogelijk gegevens van zeker 29 andere EU entiteiten in handen gekregen.

Op 25 maart waarschuwde de Europese Commissie het CERT-EU dat een van de AWS cloudaccounts was gehackt. Onderzoek wees uit dat de aanvaller een Amazon Web Services (AWS) API key had buitgemaakt waarmee hij controle kreeg over andere AWS accounts van de Europese Commissie. De aanvaller gebruikte ook de tool TruffleHog om andere geheimen te vinden en AWS credentials te valideren. De gecompromitteerde AWS secrets werden vervolgens gebruikt voor het maken en toevoegen van een nieuwe access key aan een bestaande gebruiker.

Volgens het CERT-EU was de hack van vulnerability scanner Trivy de oorzaak van de datadiefstal. Trivy is een tool van securitybedrijf Aqua Security waarmee systemen en omgevingen op kwetsbaarheden en misconfiguraties kunnen worden gescand. Aanvallers hadden toegang gekregen tot credentials van de ontwikkelaars van Trivy en konden zo een malafide versie uitbrengen die bij gebruikers allerlei informatie buitmaakte, waaronder hun AWS credentials.

De Europese Commissie maakt gebruik van Trivy en ontving via de normale updatekanalen de besmette versie, waardoor de AWS credentials konden worden gestolen. Een groep criminelen genaamd ShinyHunters heeft de gestolen data inmiddels op de eigen website gepubliceerd.

Bron: CERT-EU | Bron 2: cert.europa.eu

Cybercriminelen maken gebruik van een nieuwe Malware as a Service platform genaamd Venom Stealer, dat verder gaat dan het stelen van credentials en een geautomatiseerde aanvalsketen bouwt. Deze keten begint met social engineering en eindigt met de diefstal van digitale gegevens, inclusief cryptocurrency wallets. Venom Stealer integreert ClickFix social engineering in het operator panel en automatiseert elke fase van de aanval, van initiële toegang tot data diefstal. De exfiltratie pipeline blijft actief, zelfs nadat de eerste payload is voltooid.

Volgens analisten van BlackFog is Venom Stealer gevaarlijker dan andere stealers zoals Lumma, Vidar en RedLine, die stoppen bij het oogsten van credentials en geen aanhoudende toegang behouden na de initiële infectie. De ontwikkelaar, bekend als "VenomStealer", biedt toegang via een abonnement, geprijsd tussen $250 per maand en $1.800 voor een lifetime licentie. Het platform omvat op Telegram gebaseerde licenties, een affiliate programma van 15% en een native C++ binary payload die afzonderlijk wordt gecompileerd voor elke operator via het web panel. Er zijn meerdere updates uitgebracht in maart 2026, wat wijst op een actieve criminele operatie.

De aanval begint wanneer een slachtoffer een pagina van ClickFix bezoekt die door de operator wordt beheerd. Venom biedt templates voor Windows en macOS, zoals een nep Cloudflare CAPTCHA, een nep besturingssysteem update, een nep SSL certificaatfout en een nep pagina voor de installatie van lettertypen. Elk template misleidt het slachtoffer om een Run dialoog of Terminal venster te openen, een commando te plakken en op Enter te drukken. Omdat de gebruiker het commando zelf uitvoert, omzeilt dit beveiligingstools die op zoek zijn naar verdachte parent-child process relaties.

Na de uitvoering scant de payload elke Chromium en op Firefox gebaseerde browser op de machine en extraheert opgeslagen wachtwoorden, sessie cookies, browser geschiedenis, autofill data en cryptocurrency wallet vaults uit elk profiel. Chrome's v10 en v20 wachtwoord encryptie wordt omzeild via een silent privilege escalation met behulp van de CMSTPLUA COM interface, die de decryptie sleutel ophaalt zonder een UAC dialoog te activeren en geen forensisch spoor achterlaat. Systeem fingerprinting en browser extensie inventarissen worden ook verzameld.

Venom Stealer blijft actief op de geïnfecteerde machine en monitort continu Chrome's Login Data bestand, waarbij nieuwe credentials worden vastgelegd die na de infectie zijn opgeslagen. Deze sessie listener scant het bestand elke 30 seconden. Cryptocurrency wallet data wordt naar een server side GPU cracking engine gestuurd, die automatisch wallets kraakt en leegmaakt op negen blockchain netwerken, waaronder MetaMask, Phantom, Exodus en Electrum. Een update van 9 maart voegde een File Password en Seed Finder toe die het lokale bestandssysteem scant op seed phrases.

Organisaties kunnen hun blootstelling aan bedreigingen zoals deze verminderen door PowerShell execution policies te beperken, het Run dialoog voor standaard gebruikersaccounts uit te schakelen via Group Policy en regelmatige training te geven aan werknemers over het herkennen van ClickFix stijl social engineering pagina's. Het monitoren en controleren van uitgaand netwerkverkeer is cruciaal om exfiltratie activiteit te detecteren of te onderbreken.

Bron: BlackFog

De Kimsuky Advanced Persistent Threat (APT)-groep, vermoedelijk gelieerd aan Noord-Korea, is ontdekt met behulp van kwaadaardige .LNK bestanden (snelkoppelingen) in een recente campagne. Deze bevinding onthult de voortdurende evolutie van de tactieken van de groep, die zich richt op het infiltreren van systemen en het compromitteren van gegevens. De aanval begint met een spear phishing e-mail die een kwaadaardig LNK bestand bevat. Wanneer een nietsvermoedende gebruiker op dit bestand klikt, voert het een reeks opdrachten uit die zijn ontworpen om malware te downloaden en uit te voeren op het systeem van het slachtoffer. De LNK bestanden zijn ontworpen om legitieme documenten na te bootsen, waardoor gebruikers worden misleid om erop te klikken. Eenmaal geactiveerd, maakt het LNK bestand verbinding met een externe server om extra kwaadaardige payloads op te halen. Deze payloads kunnen variëren van keyloggers en tools voor het stelen van inloggegevens tot backdoors die aanvallers in staat stellen de controle over het geïnfecteerde systeem over te nemen.

Kimsuky staat bekend om zijn vermogen om zich aan te passen en nieuwe technieken te gebruiken om zijn doelstellingen te bereiken. Het gebruik van kwaadaardige LNK bestanden is een voorbeeld van de inspanningen van de groep om detectie te ontwijken en voet aan de grond te krijgen in doelnetwerken. Door gebruik te maken van LNK bestanden kunnen aanvallers gebruikmaken van de vertrouwde aard van snelkoppelingen, waardoor het voor gebruikers en beveiligingssoftware moeilijker wordt om de kwaadaardige intentie te herkennen.

Beveiligingsexperts raden aan om waakzaam te zijn bij het omgaan met e-mails van onbekende afzenders en om voorzichtig te zijn met het klikken op links of het downloaden van bijlagen, vooral die met .LNK extensies. Organisaties moeten robuuste e-mailbeveiligingsmaatregelen implementeren en werknemers voorlichten over de risico's van spear phishing aanvallen. Regelmatige systeemscans en het actueel houden van beveiligingssoftware kunnen ook helpen bij het detecteren en voorkomen van infecties die worden veroorzaakt door kwaadaardige LNK bestanden.

Bron: CyberSecurityNews

In de afgelopen weken is er een aanzienlijke toename waargenomen van supply chain aanvallen. Een voorbeeld hiervan is de kwaadaardige aanpassing van Axios, een HTTP client library voor JavaScript. Ook TeamPCP, een "chaos as a service" groep, injecteerde kwaadaardige code in gehackte GitHub repositories voor open source projecten, waaronder Trivy, een open source security scanner.

De impact van deze supply chain aanvallen is groot. Axios ontvangt wekelijks 100 miljoen downloads en talloze organisaties vertrouwen op de frameworks en libraries die door TeamPCP zijn gecompromitteerd. De problemen die deze aanvallen veroorzaken voor organisaties en hun security personeel zijn aanzienlijk, omdat de getroffen utilities zo diep geïntegreerd kunnen zijn dat het moeilijk is om ze volledig te catalogiseren en te herstellen.

Uit de onlangs gepubliceerde Talos 2025 Year in Review blijkt dat bijna 25% van de top 100 targeted kwetsbaarheden die in 2025 werden waargenomen, betrekking hebben op veelgebruikte frameworks en libraries. De React2Shell kwetsbaarheid in React Server Components werd de meest aangevallen kwetsbaarheid van 2025, ondanks dat deze pas in december werd ontdekt. De aanwezigheid van Log4j kwetsbaarheden laat zien hoe diep embedded deze utilities kunnen zijn, waardoor het moeilijk is om het aanvalsoppervlak te verkleinen.

De gevolgen van deze aanvallen kunnen variëren van ransomware tot spionage. Het beschermen van identiteit is essentieel, inclusief het beveiligen van CI/CD pipelines om dit soort compromissen te voorkomen. Organisaties moeten proberen de software libraries en frameworks die ze gebruiken in kaart te brengen, op de hoogte te blijven van security incidenten en snel reageren om patches en andere maatregelen te implementeren. Security fundamentals zoals segmentatie, robuuste logging, multi factor authenticatie (MFA) en emergency response plannen blijven van belang.

Cisco Talos biedt bescherming tegen deze dreigingen, waaronder ClamAV signaturen (Txt.Trojan.TeamPCP-10059839-0) en behavioral protections voor LiteLLM Supply Chain Compromise.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Het cybersecurity agentschap van de Europese Unie (CERT EU) heeft bekendgemaakt dat de hackinggroep TeamPCP verantwoordelijk is voor een omvangrijk datalek bij de Europese Commissie. De hackers wisten in te breken in het Amazon Web Services (AWS) account van de EU en hebben ongeveer 92 gigabyte aan gecomprimeerde data buitgemaakt.

Volgens het rapport van CERT EU, dat op 19 maart plaatsvond, bevat de gestolen data namen, e-mailadressen en een deel van de inhoud van e-mails. Het datalek betrof het Europa.eu platform van de Commissie, dat gehost wordt op de AWS cloudinfrastructuur en gebruikt wordt door EU-lidstaten voor het hosten van websites van EU-entiteiten. Er is mogelijk data gestolen van 42 interne klanten en minstens 29 EU-entiteiten.

De dataset bevatte minstens 52.000 bestanden gerelateerd aan uitgaande e-mailcommunicatie, met een totale omvang van 2,2 gigabyte. CERT EU vermoedt dat de meeste van deze berichten geautomatiseerd waren en weinig tot geen inhoud bevatten. In sommige gevallen kunnen bounceback notificaties echter een risico vormen voor de blootstelling van persoonlijke data.

De cyber officials van de Commissie werden zich op 24 maart bewust van het datalek, toen ze notificaties ontvingen over potentieel misbruik van Amazon API's, een mogelijke account compromise en een abnormale toename van netwerkverkeer. CERT EU is ervan overtuigd dat de hackers initieel toegang kregen via de Trivy supply chain compromise, die toegeschreven wordt aan TeamPCP. De dreigingsactor verkreeg ook "management rechten" voor de gecompromitteerde AWS API key, wat hen in staat zou hebben gesteld om lateraal te bewegen naar andere AWS accounts van de Europese Commissie. Er zijn momenteel echter geen aanwijzingen voor dergelijke bewegingen.

Op 28 maart verscheen de gestolen data op de dark web site van ShinyHunters. Dit incident is waarschijnlijk een recent voorbeeld van cybercriminele organisaties die samenwerken om geld te verdienen met hacks. ShinyHunters claimde dat het "data dumps van mailservers, databases, vertrouwelijke documenten, contracten en veel meer gevoelig materiaal" had gestolen.

Het onderzoek wijst uit dat de hack kan worden toegeschreven aan de Trivy compromise vanwege de timing, de doelwitten en het feit dat de Commissie "onbewust een gecompromitteerde versie van Trivy gebruikte tijdens de relevante periode, die via normale software update kanalen was ontvangen." TeamPCP wordt ook gezien als de dader achter de recente LiteLLM cyberaanval, die Mercor en duizenden andere organisaties trof. De hackinggroep is ook in verband gebracht met "worm driven ransomware, data exfiltratie en cryptomining campagnes".

Bron: CERT-EU | Bron 2: cert.europa.eu | Bron 3: aquasec.com

LinkedIn gebruikt verborgen JavaScript scripts om de browsers van bezoekers te scannen op geïnstalleerde extensies en apparaatgegevens te verzamelen. Dat meldt een nieuw rapport genaamd "BrowserGate". Volgens Fairlinked e.V., een organisatie van commerciële LinkedIn gebruikers, injecteert het platform JavaScript in gebruikerssessies dat duizenden browserextensies controleert en de resultaten koppelt aan identificeerbare gebruikersprofielen.

Het rapport stelt dat dit gedrag wordt gebruikt om gevoelige persoonlijke en bedrijfsinformatie te verzamelen, omdat LinkedIn accounts zijn gekoppeld aan echte identiteiten, werkgevers en functies. LinkedIn scant op meer dan 200 producten die rechtstreeks concurreren met de eigen verkooptools, waaronder Apollo, Lusha en ZoomInfo. Het bedrijf kan zo in kaart brengen welke bedrijven welke concurrerende producten gebruiken. LinkedIn zou handhavingsdreigingen hebben gestuurd naar gebruikers van tools van derden, met behulp van gegevens die zijn verkregen via deze verborgen scan.

BleepingComputer heeft onafhankelijk een deel van deze beweringen bevestigd door middel van eigen tests. Hierbij werd een JavaScript bestand met een willekeurige bestandsnaam geladen door de LinkedIn website. Dit script controleerde op 6.236 browserextensies door te proberen toegang te krijgen tot bestandsbronnen die aan een specifieke extensie ID zijn gekoppeld, een bekende techniek voor het detecteren of extensies zijn geïnstalleerd. Dit fingerprinting script werd eerder in 2025 gerapporteerd, maar detecteerde toen slechts ongeveer 2.000 extensies. Een andere GitHub repository van twee maanden geleden toonde aan dat er 3.000 extensies werden gedetecteerd, wat aantoont dat het aantal gedetecteerde extensies blijft groeien.

Hoewel veel van de extensies die worden gescand gerelateerd zijn aan LinkedIn, detecteert het script ook taal- en grammatica extensies, tools voor belastingprofessionals en andere functies. Het script verzamelt ook een breed scala aan browser- en apparaatgegevens, waaronder het aantal CPU cores, beschikbaar geheugen, schermresolutie, tijdzone, taalinstellingen, batterijstatus, audio informatie en opslagfuncties.

LinkedIn ontkent de beschuldigingen over het gebruik van de data. Het bedrijf stelt dat het de informatie gebruikt om het platform en zijn gebruikers te beschermen. Het bedrijf claimt dat het rapport afkomstig is van iemand wiens account is verbannen voor het scrapen van LinkedIn content en het schenden van de gebruiksvoorwaarden van de site. Een Duitse rechtbank heeft het verzoek van de ontwikkelaar om een voorlopige voorziening afgewezen. De rechtbank oordeelde dat de geautomatiseerde gegevensverzameling op zichzelf al inbreuk kan maken op de gebruiksvoorwaarden van LinkedIn en dat het gerechtigd was om de accounts te blokkeren om zijn platform te beschermen.

Bron: jeremy-hyde | Bron 2: gist.github.com | Bron 3: browsergate.eu

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen bevolen om uiterlijk 16 april een kwetsbaarheid in de video conferencing tool TrueConf te patchen. Het gaat om CVE-2026-3502, een bug met een score van 7.8 op een schaal van 10.

De waarschuwing van CISA volgt op een rapport van Check Point, waarin een Chinese hacking campagne tegen overheden in Zuidoost Azië wordt beschreven. Volgens Check Point maken Chinese hackers sinds begin 2026 misbruik van de kwetsbaarheid in een campagne genaamd TrueChaos. Hierbij wordt doorgaans gebruik gemaakt van de Havoc penetration testing tool, die het afgelopen jaar vaker door Chinese actoren is ingezet.

Check Point meldt de kwetsbaarheid te hebben gemeld aan TrueConf, waarna een fix in maart is uitgebracht. De onderzoekers observeerden een reeks gerichte aanvallen op overheidsinstanties in Zuidoost Azië, uitgevoerd via legitieme TrueConf software die in de omgeving van de doelwitten was geïnstalleerd. De kwetsbaarheid zit in het updater validatie mechanisme van de applicatie. Een aanvaller die een on premises TrueConf server controleert, kan zo willekeurige bestanden distribueren en uitvoeren op verbonden endpoints.

Tijdens de exploitatie van de bug gebruikten de hackers het vertrouwde update kanaal om kwaadaardige updates te verspreiden. Het feit dat overheden het doelwit waren, wijst volgens Check Point op een campagne gericht op spionage. TrueConf wordt wereldwijd door ongeveer 100.000 organisaties gebruikt, voornamelijk in de overheid, het leger en de kritieke infrastructuur. Het wordt ingezet om data privacy en communicatie autonomie te waarborgen in beveiligde of remote omgevingen. In gebieden met slechte of geen internetverbinding, of tijdens natuurrampen, faciliteert het essentiële coördinatie. Doordat de server op interne hardware wordt gehost, blijft al het audio-, video- en chatverkeer strikt on site. Offline activatie is beschikbaar voor volledig air gapped systemen.

De meeste infecties begonnen waarschijnlijk via een link die naar de slachtoffers werd gestuurd. Deze links lanceerden de TrueConf client en toonden een update prompt die aangaf dat er een nieuwere versie beschikbaar was. De aanvallers hadden het update pakket op de on premises TrueConf server al vervangen door een kwaadaardige versie. Hierdoor haalde de client via het normale update proces een schadelijk bestand op. De gecompromitteerde TrueConf server werd beheerd door de IT-afdeling van de overheid en diende als video conferencing platform voor tientallen overheidsinstanties in het land, die allemaal van dezelfde kwaadaardige update werden voorzien.

Check Point schrijft de campagne toe aan Chinese actoren op basis van de gebruikte tactieken en het gebruik van Alibaba Cloud en Tencent hosting tools. Het bedrijf zag hetzelfde slachtoffer ook al doelwit van de ShadowPad malware, een kenmerk van Chinese actoren.

Bron: Check Point | Bron 2: recordedfuture.com

De Amerikaanse telehealth gigant Hims & Hers Health waarschuwt voor een datalek nadat support tickets zijn gestolen van een customer service platform van een derde partij. Hims & Hers is een Amerikaans bedrijf dat zich richt op direct to consumer gezondheidszorg, met abonnementen voor behandelingen tegen haarverlies, erectiestoornissen, mentale gezondheid, huidverzorging, gewichtsverlies en andere aandoeningen. Het bedrijf heeft een sterke marketing en een jaarlijkse omzet van bijna 1 miljard dollar.

Volgens een melding aan de autoriteiten in Californië vond het datalek begin februari 2026 plaats. Op 5 februari 2026 werd Hims & Hers op de hoogte gesteld van verdachte activiteit op hun customer service platform. Het bedrijf ondernam direct actie om het platform te beveiligen en startte een onderzoek naar de aard en omvang van het mogelijke beveiligingsincident. Uit het onderzoek bleek dat tussen 4 en 7 februari 2026 bepaalde tickets die naar de klantenservice waren gestuurd, zonder toestemming zijn ingezien of verkregen.

Na een intern onderzoek concludeerde het bedrijf op 3 maart dat hackers toegang hadden gekregen tot support tickets die in sommige gevallen persoonlijke informatie bevatten. De blootgestelde informatie kan namen, contactgegevens en andere niet gespecificeerde gegevens bevatten, waarschijnlijk gerelateerd aan het supportverzoek. Het bedrijf benadrukt dat er geen medische dossiers of communicatie met artsen zijn gecompromitteerd.

Hoewel het bedrijf geen verdere details deelde, meldde BleepingComputer vorige maand dat de ShinyHunters extortion gang achter de inbraak zat. De data werd gestolen als onderdeel van een grootschalige campagne waarbij dreigingsactoren Okta SSO accounts compromitteerden om toegang te krijgen tot cloud storage services en SaaS platforms van derden om data te stelen. In dit specifieke geval gebruikten de dreigingsactoren het Okta SSO account om toegang te krijgen tot de Zendesk instantie van Hims & Hers, waar ze miljoenen support tickets stalen.

Het bedrijf biedt nu 12 maanden gratis credit monitoring services aan alle getroffen personen. Klanten worden ook aangemoedigd om extra alert te zijn op ongevraagde communicatie die phishing of social engineering lures kan bevatten. Daarnaast wordt geadviseerd om rekeningafschriften te controleren en kredietrapporten te monitoren op verdachte activiteiten.

Twee recente high profile beveiligingsincidenten met klantensupport die leidden tot datalekken zijn die van DIY winkelketen ManoMano in februari en Crunchyroll in maart. In beide gevallen was het gecompromitteerde platform Zendesk.

Bron: Hims & Hers | Bron 2: oag.ca.gov | Bron 3: hubs.li

Onderzoekers van FortiGuard Labs hebben een spionagecampagne ontdekt die zich richt op Zuid-Koreaanse bedrijven. Noord-Koreaanse hackers maken gebruik van LNK bestanden, verborgen PowerShell scripts en legitieme GitHub repositories om detectie te ontwijken en gevoelige systeemdata van Windows gebruikers te stelen. De aanvallen zijn terug te voeren tot 2024, maar de hackers hebben hun methoden recentelijk geüpdatet om ze nog geheimer te maken.

De aanvallers gebruiken social engineering en diverse phishing thema's, zoals valse bestellingen en technische documenten, om werknemers te verleiden. Ze vermijden het gebruik van malware en maken in plaats daarvan gebruik van native Windows tools zoals PowerShell, VBScript en WScript. Door deze ingebouwde functies te gebruiken, kunnen ze verborgen blijven en een breed publiek bereiken met een lage detectiegraad.

De aanval begint met een LNK bestand, dat eruitziet als een onschuldig kantoordocument. Wanneer een gebruiker hierop dubbelklikt, verschijnt een decoy PDF, terwijl op de achtergrond een script wordt uitgevoerd dat de privacy van de computer aantast. Dit script controleert op de aanwezigheid van security tools zoals Wireshark, Fiddler, x64dbg en Procmon, en virtuele omgevingen zoals vmtoolsd. Als een van deze tools wordt gevonden, sluit het script direct af om te voorkomen dat het wordt bestudeerd. Als de kust veilig is, gebruikt het een XOR sleutel om de code te versleutelen en zich te verbergen voor antivirussoftware.

De hackers gebruiken GitHub om data te verplaatsen. Onderzoekers van Fortinet identificeerden accounts zoals motoralis, Pigresy80 en brandonleeodd93-blip, waar gestolen informatie wordt opgeslagen in private repositories. Omdat GitHub breed wordt vertrouwd, passeert dit verkeer vaak de beveiligingssystemen van bedrijven zonder te worden opgemerkt. Om toegang te behouden, zetten ze een Scheduled Task op, vermomd als een technisch document voor de Creata Chain Task, die de malware elke 30 minuten activeert.

De huidige versie van de malware richt zich op surveillance en steelt OS-versies, buildnummers en actieve processen, en stuurt een keep alive log terug naar de hackers. Omdat deze aanvallen gebruikmaken van Windows' eigen ingebouwde tools, is het belangrijk om voorzichtig te zijn met onverwachte bestanden.

Jason Soroko van Sectigo merkte op dat moderne cyberespionage steeds meer gebruikmaakt van een evasieve strategie die bekend staat als "living off the land." Jamie Boote van Black Duck benadrukte dat deze aanval laat zien hoe kwaadwillenden legitieme infrastructuur kunnen omzetten in een aanvalsoppervlak.

Bron: Fortinet

Een noodcommunicatiesysteem dat gebruikt wordt door verschillende kleine steden in het noorden van Massachusetts is getroffen door een cyberaanval die op dinsdag begon. Het Patriot Regional Emergency Communications Center meldt dat de inbraak de computer systemen van de stad en de openbare veiligheid heeft aangetast.

Hoewel de 9-1-1 telefoon systemen nog steeds werken, zijn niet noodnummers en zakelijke telefoonlijnen buiten dienst. Het centrum wordt gebruikt door de steden Pepperell, Ashby, Dunstable, Groton en anderen als een regionale hub voor het ontvangen van noodoproepen en het verzenden van politie, brandweer of medische diensten. Het centrum is gevestigd in Pepperell.

Ambtenaren zeiden woensdag dat ze samenwerken met IT-leveranciers om de aanval te onderzoeken en van het incident te herstellen. "We hebben onmiddellijk onze verzekeraar en gerenommeerde externe cybersecurity bureaus ingeschakeld om op deze aanval te reageren en deze te beperken," aldus Pepperell Town Administrator Andrew MacLean. Het gemeentebestuur van Pepperell reageerde niet op verzoeken om commentaar over het incident. Federale wetshandhavers zijn op de hoogte gebracht van de aanval. Cybersecurity experts zijn bezig met het vaststellen van welke informatie mogelijk is ingezien of gestolen tijdens de aanval.

De politie en brandweer van Pepperell reageren nog steeds op noodoproepen en de stad zei dat andere lokale politie- en brandweerkorpsen "het Patriot Regional Emergency Communications Center nog steeds kunnen bereiken via de normale wederzijdse hulpkanalen." Het systeem is gekoppeld aan CodeRED - een noodmeldingsdienst waarmee gemeentelijke leiders lokale bewoners op de hoogte kunnen brengen van noodsituaties, weersveranderingen, updates over rampen, AMBER alerts en evacuatiebevelen.

Het CodeRED systeem kreeg in november te maken met een eigen cyberaanval toen een ransomwarebende het moederbedrijf Crisis24 aanviel. Dat incident legde het CodeRED systeem plat in tientallen gemeenten in de VS. Crisis24 vertelde destijds dat de hackers niet alleen de CodeRED omgeving beschadigden, maar ook informatie stalen over de lokale ambtenaren die het CodeRED systeem van hun gemeenten controleerden. Het bedrijf drong er bij gebruikers die hun CodeRED wachtwoord voor andere persoonlijke of zakelijke accounts gebruikten, aan om die wachtwoorden onmiddellijk te wijzigen. Verschillende gemeenten in Massachusetts waarschuwden lokale overheidsfunctionarissen destijds om de wachtwoorden te wijzigen die ze voor het CodeRED platform gebruikten.

Ransomware bendes hebben eerder een prominente ambulancedienst in Milwaukee en andere hulpdiensten in gemeenten in de VS aangevallen.

Bron: town.pepperell.ma.us | Bron 2: eastbridgewaterma.gov | Bron 3: recordedfuture.com

Het AI rekruteringsbedrijf Mercor heeft bevestigd dat het te maken heeft met een beveiligingsincident na een cyberaanval die verband houdt met een gecompromitteerde open source tool. Het datalek is onderdeel van een grootschalige supply chain aanval die duizenden organisaties wereldwijd heeft getroffen.

Het incident dateert van eind maart 2026 en betreft LiteLLM, een open source tool die wordt gebruikt om communicatie tussen verschillende AI modellen mogelijk te maken. Aanvallers publiceerden twee kwaadaardige versies van het LiteLLM PyPI pakket, versies 1.82.7 en 1.82.8. De impact was aanzienlijk, ondanks dat de gecompromitteerde pakketten slechts ongeveer 40 minuten beschikbaar waren.

Uit onderzoek van Snyk blijkt dat LiteLLM miljoenen downloads per dag ziet. Dit betekent dat organisaties die geautomatiseerde CI/CD pipelines gebruiken, mogelijk onbewust de kwaadaardige code hebben binnengehaald gedurende die korte periode. Wiz Research meldt dat LiteLLM aanwezig is in ongeveer 36% van de cloudomgevingen.

Mercor bevestigde dat het een van de duizenden organisaties is die getroffen zijn door de LiteLLM supply chain aanval. Het incident is in verband gebracht met de TeamPCP groep, die naar verluidt gecompromitteerde beheerdersgegevens gebruikte om kwaadaardige pakketversies te publiceren. Het bedrijf heeft maatregelen genomen om het incident te beheersen en te herstellen, en heeft forensische experts ingeschakeld voor onderzoek. Onderzoekers hebben het datalek teruggevoerd naar een eerder compromis met de Trivy tool, waarbij gevoelige tokens werden blootgelegd die werden gebruikt in downstream ontwikkelingsworkflows.

De situatie verergerde toen de Lapsus$ afpersingsgroep Mercor op haar lek site vermeldde en claimde 4TB aan gestolen data in bezit te hebben. Volgens de vermelding bevat de data kandidaatprofielen, persoonsgegevens, werkgeversdata en technische assets zoals broncode, API keys en geheimen. Er wordt ook melding gemaakt van data met betrekking tot Tailscale VPN gebruik, samen met video interviews tussen AI systemen en contractors. Deze claims zijn niet onafhankelijk geverifieerd en Mercor heeft de omvang of authenticiteit van het vermeende lek niet bevestigd. Het is ook onduidelijk hoe Lapsus$ de data heeft verkregen en of er een direct verband is met het LiteLLM compromis. Er wordt een mogelijk verband gesuggereerd tussen Lapsus$ en de TeamPCP groep achter de supply chain aanval.

Mercor helpt bedrijven zoals OpenAI en Anthropic bij het vinden van experts om hun AI systemen te trainen. Het bedrijf werd onlangs gewaardeerd op $10 miljard na een financieringsronde van $350 miljoen in oktober 2025.

Bron: Snyk

Sinds begin 2024 is er een gecoördineerde phishingcampagne actief die zich richt op klanten van banken in de Filipijnen. De aanvallers maken gebruik van vertrouwde internetplatforms om bankgegevens en eenmalige wachtwoorden te stelen en gebruiken deze om binnen enkele minuten de rekeningen van slachtoffers leeg te halen.

De campagne richt zich op online bankgebruikers. Slachtoffers ontvangen e-mails die afkomstig lijken van een legitieme afzender, waarin ze worden gewaarschuwd voor een ongeautoriseerde transactie of een verdachte login vanaf een onbekend apparaat. In deze berichten wordt de ontvanger aangespoord om op een link te klikken en hun bankgegevens in te voeren.

Group IB CERT onderzoekers hebben deze phishingoperatie, die ze volgen onder de naam PHISLES, geïdentificeerd en bevestigd dat deze sinds januari 2024 continu actief is. Uit hun onderzoek bleek dat er meer dan 900 kwaadaardige links naar potentiële slachtoffers zijn verspreid, waarbij minstens drie grote Filipijnse banken werden geïmiteerd. Tussen januari 2024 en januari 2026 zijn er meer dan 400 mensen getroffen.

Zodra een slachtoffer zijn gebruikersnaam, wachtwoord en OTP op een valse bankpagina invoert, handelen de aanvallers onmiddellijk. Binnen enkele minuten worden er gelden opgenomen, zoals bevestigd door slachtoffers die screenshots op sociale media deelden. De campagne is ontworpen voor real time financiële fraude en is bedoeld om inloggegevens te verzamelen en multi factor authenticatie te omzeilen.

De campagne maakt gebruik van gecompromitteerde e-mailaccounts om phishingberichten te versturen. De afzenders waren geen valse adressen, maar echte accounts afkomstig van combolists, databases met gestolen inloggegevens die op dark web forums en Telegramkanalen worden verhandeld. Dit zorgde ervoor dat de phishing mails betrouwbaarder leken en spam- en e-mailbeveiligingsfilters onopgemerkt konden passeren.

Vanaf medio 2025 stopten de aanvallers met het rechtstreeks insluiten van phishinglinks in e-mails. In plaats daarvan begonnen ze slachtoffers via ketens van bekende platforms naar een valse bankpagina te leiden. Deze strategie was bedoeld om Secure Email Gateways te misleiden door elke zichtbare link volledig legitiem te laten lijken.

Verschillende platforms werden misbruikt in deze campagne. Google Business Profile links werden gebruikt vanwege de reputatie van het vertrouwde domein van Google. Phishing URL's werden ook verpakt in Google's AMP CDN (cdn.ampproject.org), waardoor de zichtbare link eruitzag als een Google adres. URL verkorters zoals loom.ly en shorturl.at verborgen verdachte bestemmingen achter schone links, terwijl Google Cloud Workstations tijdelijke redirectors met geldige SSL certificaten creëerden. Cloudflare managed domeinen, met name workers.dev en pages.dev, werden ook misbruikt.

De meest alarmerende ontdekking was de kaping van het domein van een Filipijnse onderwijsinstelling. Aanvallers creëerden verborgen subdomeinen, verkregen geldige SSL certificaten en leidden al het verkeer naar hun eigen servers, zonder de normale activiteiten van de school te verstoren.

Bankklanten wordt aangeraden om alle urgente e-mails met scepsis te behandelen en altijd de volledige URL te verifiëren voordat ze inloggegevens invoeren. Ze moeten vermijden om hetzelfde wachtwoord voor verschillende diensten te gebruiken en regelmatig hun inloggegevens bijwerken, terwijl ze multi factor authenticatie op alle accounts inschakelen. Financiële instellingen moeten klanten proactief informeren over actieve oplichtingscampagnes via officiële kanalen. Beveiligingsteams moeten systemen configureren om ongeautoriseerde Referer headers van cloudsubdomeinen te detecteren wanneer banking assets zoals afbeeldingen of scripts extern worden geladen. Onderwijsinstellingen moeten multi factor authenticatie afdwingen op alle domeinregistraraccounts en regelmatig DNS records controleren om ongeautoriseerde subdomeinen op te sporen en te verwijderen die naar onbekende of externe IP-adressen verwijzen.

Bron: Group-IB

Het Phorpiex botnet, dat sinds 2011 actief is, is opnieuw in de schijnwerpers gekomen. Het botnet, ook bekend als Trik, is geëvolueerd van een eenvoudige spamtool tot een crimineel platform dat in staat is om ransomware te verspreiden, sextortion mails naar miljoenen slachtoffers te sturen en stilletjes cryptocurrency te stelen van geïnfecteerde computers.

De meest recente versie, bekend als de Twizt variant, is moeilijker te stoppen dan voorheen. Het combineert traditionele command and control (C2)-servers met een peer to peer (P2P)-netwerk, wat betekent dat zelfs als één server wordt uitgeschakeld, het botnet blijft functioneren omdat geïnfecteerde machines rechtstreeks met elkaar communiceren.

Het botnet draait momenteel op tussen de 70.000 en 80.000 actieve apparaten per dag, en er zijn meer dan 1,7 miljoen unieke IP-adressen getraceerd in de afgelopen 90 dagen. De meest getroffen landen zijn Iran, Oezbekistan, China, Kazachstan en Pakistan.

Bitsight onderzoekers hebben vastgesteld dat Phorpiex tegelijkertijd drie belangrijke criminele activiteiten uitvoert, massale ransomware distributie, grootschalige sextortion e-mailcampagnes en real time cryptocurrency wallet hijacking. Hun telemetrie toont ongeveer 125.000 actieve infecties per dag, waarvan ongeveer 70.000 behoren tot het P2P netwerk.

De ransomware campagnes zijn bijzonder agressief geweest. In oktober 2025 werd Phorpiex gebruikt om LockBit Black ransomware te verspreiden naar apparaten die zich in bedrijfsnetwerken of Windows domeinen bevonden. In januari 2026 werd een variant die lijkt op de Globalransomware familie ingezet tegen apparaten in China, waarbij een openbare IP-lookup API werd gebruikt om de locatie van het doelwit te verifiëren voordat de payload werd gedropt. Een vervolgcampagne kort daarna trof machines in 21 landen, waaronder de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Frankrijk en verschillende andere. Elke spamcampagne is gericht op tussen de 2 miljoen en 6 miljoen e-mailadressen.

Naast ransomware verspreidt dezelfde botnet infrastructuur sextortion e-mails die valselijk beweren dat hackers slachtoffers via hun webcams hebben opgenomen tijdens het bezoeken van expliciete websites, waarbij $ 1.800 in Bitcoin wordt geëist om de beelden privé te houden. Deze berichten zijn bedoeld om ontvangers bang te maken om snel te betalen en circuleren al sinds minstens 2023, waarbij het geëiste bedrag in de loop van de tijd gestaag is gestegen.

Zodra een apparaat is geïnfecteerd, vestigt Phorpiex snel een sterke basis en begint het te werken om onzichtbaar te blijven. Het kopieert zichzelf naar systeemdirectory's en schrijft een autorun registersleutel om ervoor te zorgen dat het na elke herstart opnieuw opstart. De malware verspreidt zich ook naar verwijderbare USB drives en gedeelde netwerkmappen door een verborgen executable met de naam DrvMgr.exe te plaatsen, samen met een vermomd snelkoppelingsbestand (.lnk) dat Phorpiex start op elke machine waarop de geïnfecteerde schijf is aangesloten. Om detectie te voorkomen, voegt de malware zichzelf stilletjes toe aan de lijst met toegestane programma's van de Windows Firewall onder de naam "Microsoft Corporation", waardoor het lijkt op een vertrouwd systeemcomponent. Het gebruikt ook API Hashing om de Windows functies die het tijdens runtime aanroept te verbergen en bouwt verdachte strings in het geheugen byte voor byte om statische beveiligingsscanners te omzeilen. Elke opdracht die naar het botnet wordt gepusht, is verpakt in een 256-byte RSA gecodeerde header, wat betekent dat alleen de aanvaller de sleutel heeft om geldige instructies te geven, waardoor externe partijen het netwerk niet kunnen overnemen.

Organisaties wordt geadviseerd om bekende Phorpiex C2 IP-adressen te blokkeren, te controleren op onverwachte autorun registerwijzigingen en de toegang tot USB apparaten op bedrijfscomputers te beperken. Het uitschakelen van UPnP op netwerkrouters, het volledig patchen van besturingssystemen en het implementeren van gelaagde e-mailfilteroplossingen kan het risico op infectie aanzienlijk verminderen. Alle indicators of compromise (IOC's) en gerelateerde cryptocurrency wallet adressen zijn openbaar beschikbaar op Malware Bazaar onder de tag dropped by Phorpiex.

Bron: Bitsight

De CEO van de grootste bank van België en voorzitter van bankenkoepel Febelfin, Michael Anseeuw, heeft gereageerd op de kritiek dat banken te weinig doen om phishing te stoppen. Anseeuw stelt dat banken niet verantwoordelijk kunnen worden gehouden als klanten zelf hun codes aan oplichters verstrekken. Hij vergelijkt het met een situatie waarin Volkswagen zou betalen als iemand tegen een muur rijdt.

Anseeuw zegt zelf ook regelmatig phishingberichten te ontvangen, zelfs uit naam van banken waar hij geen rekening heeft. Hij benadrukt dat geen enkel systeem een klant kan beschermen als deze zelf de deur openzet door codes te delen. De CEO's uitspraken zullen waarschijnlijk niet door iedereen worden gewaardeerd.

Bron: CEO Febelfin

In april 2026 heeft het muziek trivia platform SongTrivia2 een datalek gehad, waarna de gegevens op een publiek hacking forum zijn gepubliceerd. Het datalek bevat in totaal 291.000 unieke e-mailadressen, afkomstig van Google OAuth logins of accounts die op de site zijn aangemaakt. De accounts bevatten tevens bcrypt password hashes, namen, gebruikersnamen en avatars.

De getroffen data omvatten authenticatietokens, avatars, e-mailadressen, namen, wachtwoorden en gebruikersnamen.

Als gevolg van dit datalek wordt gebruikers aangeraden om onmiddellijk hun wachtwoord te wijzigen op elk account waar hetzelfde wachtwoord wordt gebruikt. Waar mogelijk wordt ook aangeraden om tweefactorauthenticatie in te schakelen voor een extra beveiligingslaag.

In Nederland adviseert veiliginternetten.nl mensen over hun online veiligheid.

Bron: SongTrivia2 | Bron 2: veiliginternetten.nl

Device code phishingaanvallen, waarbij misbruik wordt gemaakt van de OAuth 2.0 Device Authorization Grant flow om accounts te kapen, zijn dit jaar meer dan 37 keer toegenomen. Bij dit type aanval stuurt de dreigingsactor een device authorization request naar een serviceprovider en ontvangt een code, die onder verschillende voorwendselen naar het slachtoffer wordt gestuurd. Vervolgens wordt het slachtoffer overgehaald om de code in te voeren op de legitieme inlogpagina, waardoor het apparaat van de aanvaller toegang krijgt tot het account via geldige access en refresh tokens. Deze flow is ontworpen om het verbinden van apparaten zonder toegankelijke invoeropties (bijv. IoT apparaten, printers, streaming apparaten en smart tv's) te vereenvoudigen.

De device code phishingtechniek werd voor het eerst gedocumenteerd in 2020, maar kwaadaardige exploitatie werd een paar jaar later geregistreerd. Het is gebruikt door zowel statelijke hackers als financieel gemotiveerde actoren. Onderzoekers van Push Security hebben een enorme toename in het gebruik van deze aanvallen waargenomen en waarschuwen dat ze op grote schaal zijn overgenomen door cybercriminelen.

Begin maart 2026 werd al een 15-voudige toename waargenomen in device code phishingpagina's die door het onderzoeksteam van Push Security werden gedetecteerd, met meerdere kits en campagnes die werden gevolgd. De kit die nu wordt geïdentificeerd als EvilTokens is de meest prominente. Eerder deze week publiceerde Sekoia onderzoek naar de EvilTokens phishing as a service (PhaaS) operatie. De onderzoekers benadrukken dat het een prominent voorbeeld is van een phishing kit die device code phishing "democratiseert", waardoor het beschikbaar komt voor minder ervaren cybercriminelen.

Push Security is het ermee eens dat EvilTokens een belangrijke aanjager is geweest van de mainstream adoptie van de techniek, maar merkt op dat er verschillende andere platforms op dezelfde markt concurreren, die prominenter zouden kunnen worden in het geval dat wetshandhaving EvilTokens verstoort. Voorbeelden van andere kits zijn: VENOM (een closed source PhaaS kit die zowel device code phishing als AiTM mogelijkheden biedt), SHAREFILE (een kit gethematiseerd rond Citrix ShareFile document transfers), CLURE (een kit die roterende API endpoints en een anti bot gate gebruikt), LINKID (een kit die Cloudflare challenge pagina's en self hosted API's gebruikt), AUTHOV (een kit die popup based device code entry gebruikt), DOCUPOLL (een kit die DocuSign workflows nabootst), FLOW_TOKEN (een kit die Tencent Cloud backend infrastructuur gebruikt), PAPRIKA (een kit die Microsoft login clone pagina's gebruikt) en DCSTATUS (een minimale kit met generieke Microsoft 365 lures).

Om device code phishingaanvallen te blokkeren, stelt Push Security voor om de flow uit te schakelen wanneer deze niet nodig is door conditional access policies in te stellen op accounts. Het wordt ook aanbevolen om logs te controleren op onverwachte device code authenticatie events, ongebruikelijke IP adressen en sessies.

Bron: Push Security | Bron 2: hubs.li

De beheerders van de populaire Axios HTTP client hebben een gedetailleerd verslag gepubliceerd over hoe een van hun ontwikkelaars het doelwit werd van een campagne van social engineering, die in verband wordt gebracht met Noord-Koreaanse hackers. Eerder hadden de aanvallers al een beheerdersaccount gecompromitteerd om twee kwaadaardige versies van Axios (1.14.1 en 0.30.4) te publiceren in het npm pakketregister, wat een supply chain aanval veroorzaakte. Deze releases injecteerden een dependency genaamd plain-crypto-js, die een remote access trojan (RAT) installeerde op macOS, Windows en Linux systemen.

De kwaadaardige versies waren ongeveer drie uur beschikbaar voordat ze werden verwijderd. Systemen die ze gedurende die periode hebben geïnstalleerd, moeten als gecompromitteerd worden beschouwd en alle credentials en authenticatiesleutels moeten worden vervangen. De beheerders van Axios hebben naar eigen zeggen de getroffen systemen gewist, alle credentials opnieuw ingesteld en wijzigingen doorgevoerd om soortgelijke incidenten te voorkomen.

De Google Threat Intelligence Group (GTIG) heeft deze aanval inmiddels toegeschreven aan Noord-Koreaanse dreigingsactoren die worden gevolgd als UNC1069. Volgens Google gebruikt UNC1069 een bijgewerkte versie van WAVESHAPER (WAVESHAPER.V2), die eerder door deze dreigingsactor werd gebruikt. Analyse van infrastructuurartefacten die in deze aanval werden gebruikt, vertoont overlappingen met infrastructuur die UNC1069 in het verleden heeft gebruikt.

Volgens het verslag begon de compromittering weken eerder via een gerichte aanval via social engineering op Jason Saayman, de lead maintainer van het project. De aanvallers deden zich voor als een legitiem bedrijf, kloonden de branding en de uiterlijke kenmerken van de oprichters, en nodigden de maintainer uit in een Slack workspace die was ontworpen om het bedrijf na te bootsen. Saayman zegt dat de Slack server realistische kanalen bevatte, met geënsceneerde activiteit en nepprofielen die zich voordeden als werknemers en andere opensourcemaintainers.

De aanvallers planden vervolgens een vergadering op Microsoft Teams die de indruk wekte dat er veel mensen aan deelnamen. Tijdens het gesprek werd een technische foutmelding weergegeven, waarin werd beweerd dat iets op het systeem verouderd was. De maintainer werd gevraagd een Teams update te installeren om de fout te verhelpen. Deze nepupdate was echter RAT malware die de dreigingsactoren toegang gaf tot het apparaat van de maintainer, waardoor ze de npm credentials voor het Axios project konden bemachtigen.

Andere maintainers meldden soortgelijke aanvallen via social engineering, waarbij de dreigingsactoren hen probeerden over te halen een valse Microsoft Teams SDK update te installeren. Deze aanval lijkt op een ClickFix aanval, waarbij slachtoffers een valse foutmelding te zien krijgen en vervolgens wordt gevraagd stappen te volgen om malware te installeren.

Pelle Wessman, een maintainer van diverse opensourceprojecten, waaronder het populaire Mocha framework, meldde op LinkedIn dat hij het doelwit was van dezelfde campagne en deelde een screenshot van een valse RTC verbindingsfoutmelding die werd gebruikt om slachtoffers te misleiden tot het installeren van malware. Toen Wessman weigerde de app te installeren, probeerden de dreigingsactoren hem over te halen een Curl commando uit te voeren dat iets zou downloaden en uitvoeren.

Cybersecuritybedrijf Socket waarschuwde ook voor de campagne en de gebruikte technieken, en adviseert ontwikkelaars om extra voorzichtig te zijn bij het installeren van software of het uitvoeren van opdrachten die door onbekende partijen worden verstrekt.

Bron: Axios | Bron 2: github.com | Bron 3: socket.dev

Volgens een analyse van ChainAnalysis hebben Noord-Koreaanse hackers in 2025 voor $2,02 miljard aan cryptocurrency gestolen. Dit is een stijging van 51% ten opzichte van het voorgaande jaar, waarmee hun totale buit op $6,75 miljard komt. Cybercrimeinfo ontdekte deze informatie via een dreigingsalert.

Bron: ChainAnalysis

Oplichters versturen valse sms berichten uit naam van rechtbanken in de Verenigde Staten, waarin ze slachtoffers onder druk zetten om een QR code te scannen. Deze QR code leidt naar een phishingsite waar een betaling van 6,99 dollar wordt geëist, terwijl persoonlijke en financiële informatie wordt gestolen. Deze nieuwe variant is een vervolg op de eerdere oplichting met tol- en parkeerovertredingen die in 2025 veel slachtoffers maakte.

De nieuwe campagne begon enkele weken geleden. Een voorbeeld van een sms bericht gericht op inwoners van New York werd gedeeld met BleepingComputer, waarna meldingen van vergelijkbare berichten in andere staten volgden, waaronder Californië, North Carolina, Illinois, Virginia, Texas, Connecticut en New Jersey. In tegenstelling tot de vorige campagne, die links naar phishingsites bevatte, bevat deze nieuwe variant een afbeelding van een vermeende gerechtelijke kennisgeving met een QR code.

De valse kennisgeving meldt een openstaande verkeersovertreding en waarschuwt voor formele handhaving. De sms beweert afkomstig te zijn van de "Criminal Court of the City of New York" en vermeldt een onbetaalde parkeer- of tolovertreding die onmiddellijk betaald moet worden, anders moet de persoon voor de rechter verschijnen. Het scannen van de QR code leidt naar een tussenliggende site die eerst een captcha vereist om te bewijzen dat de gebruiker een mens is. De QR codes en CAPTCHA's worden gebruikt om het moeilijker te maken voor geautomatiseerde beveiligingssoftware en onderzoekers om de phishingcampagne te analyseren.

Na het oplossen van de CAPTCHA wordt de gebruiker doorgestuurd naar een andere phishingsite die zich voordoet als de DMV (Department of Motor Vehicles) van de staat of een andere instantie, waarbij wordt beweerd dat er een openstaande tol- of parkeerboete is van 6,99 dollar. phishingsites die de New York DMV nabootsen, gebruiken bijvoorbeeld de hostnamen "ny.gov-skd[.]org" of "ny.ofkhv[.]life". Na het klikken op 'continue' kan de gebruiker persoonlijke- en creditcardgegevens invoeren om de vermeende kosten te betalen. Dit formulier wordt gebruikt om gegevens te stelen, waaronder naam, adres, telefoonnummer, e-mailadres en creditcardgegevens. Deze informatie kan vervolgens worden gebruikt voor verschillende kwaadaardige activiteiten, waaronder vervolgphishingaanvallen, financiële fraude, identiteitsdiefstal en de verkoop van de gegevens aan andere dreigingsactoren.

Het advies is om sms berichten van onbekende nummers of e-mailadressen waarin om een betaling wordt gevraagd, te negeren. Overheidsinstanties hebben herhaaldelijk aangegeven dat ze geen sms berichten versturen waarin om persoonlijke- of betalingsinformatie wordt gevraagd.

Bron: governor.ny.gov | Bron 2: hubs.li

Hackers voeren een grootschalige campagne uit om op geautomatiseerde wijze inloggegevens te stelen door misbruik te maken van React2Shell (CVE-2025-55182) in kwetsbare Next.js-apps. Volgens Cisco Talos zijn minstens 766 hosts bij verschillende cloudproviders en geografische locaties gecompromitteerd om database- en AWS credentials, SSH private keys, API keys, cloud tokens en omgevingsgeheimen te verzamelen.

De operatie maakt gebruik van een framework genaamd NEXUS Listener en gebruikt geautomatiseerde scripts om gevoelige gegevens uit verschillende applicaties te extraheren en te exfiltreren. Cisco Talos schrijft de activiteit toe aan een dreigingscluster dat wordt gevolgd als UAT-10608. De onderzoekers kregen toegang tot een blootgestelde NEXUS Listener instantie, waardoor ze het type gegevens konden analyseren dat van gecompromitteerde systemen werd verzameld en konden begrijpen hoe de webapplicatie werkt.

De aanval begint met geautomatiseerde scanning naar kwetsbare Next.js-apps, die worden binnengedrongen via de React2Shell kwetsbaarheid. Een script dat een meerfasige routine voor het verzamelen van credentials uitvoert, wordt in de standaard tijdelijke directory geplaatst. Volgens Cisco Talos onderzoekers omvatten de op deze manier gestolen gegevens:

*   Omgevingsvariabelen en geheimen (API keys, database credentials, GitHub/GitLab tokens)

*   SSH keys

*   Cloud credentials (AWS/GCP/Azure metadata, IAM credentials)

*   Kubernetes tokens

*   Docker/container informatie

*   Command history

*   Proces- en runtime data

Gevoelige gegevens worden in chunks geëxfiltreerd, elk verzonden via een HTTP verzoek over poort 8080 naar een command-and-control (C2)-server waarop de NEXUS Listener component draait. De aanvaller krijgt dan een gedetailleerd overzicht van de gegevens, inclusief zoek-, filter- en statistische inzichten.

De gestolen geheimen stellen aanvallers in staat om cloud accounts over te nemen en toegang te krijgen tot databases, betalingssystemen en andere diensten, en openen ook de deur naar supply chain aanvallen. SSH keys kunnen worden gebruikt voor laterale verplaatsing. Cisco benadrukt dat de gecompromitteerde gegevens, inclusief persoonlijk identificeerbare details, slachtoffers ook blootstellen aan wettelijke gevolgen van schendingen van de privacywetgeving.

De onderzoekers bevelen aan dat systeembeheerders de beveiligingsupdates voor React2Shell toepassen, server side datablootstelling controleren en alle credentials onmiddellijk roteren als er een vermoeden is van een compromis. Ook wordt aanbevolen om AWS IMDSv2 af te dwingen en alle hergebruikte SSH keys te vervangen. Ze moeten ook secret scanning inschakelen, WAF/RASP beveiligingen voor Next.js implementeren en least-privilege afdwingen in containers en cloudrollen om de impact te beperken.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com | Bron 3: hubs.li

Cybercrimeinfo heeft een dreigingsalert ontdekt van Int. Cyber Digest, waarin staat dat na grote diefstallen het witwassen van het geld vaak binnen 45 dagen volgt. Dit gebeurt voornamelijk via Chinese diensten, bridges en mixing protocollen.

Bron: Int. Cyber Digest

Noord-Korea zet IT medewerkers in bij crypto ondernemingen en gebruikt geavanceerde imitatietactieken gericht op leidinggevenden. Het aantal aanvallen is afgenomen, maar de buit is groter. Dit blijkt uit een threat intelligence alert dat Cybercrimeinfo heeft ontdekt. Het type dreiging is op dit moment nog onbekend.

Bron: Int. Cyber Digest

De security research community toont interesse in METATRON, een nieuw opensource penetration testing framework. Het framework valt op door zijn volledig offline, door AI gestuurde benadering van vulnerability assessment.

METATRON is gebouwd voor Parrot OS en andere Debian-gebaseerde Linuxdistributies. Het combineert geautomatiseerde reconnaissance tooling met een lokaal gehost large language model (LLM), waardoor cloudconnectiviteit, API keys of third-party subscriptions overbodig zijn.

METATRON is een CLI-gebaseerde penetration testing assistent, geschreven in Python 3. Het accepteert een target IP adres of domein en orkestreert autonoom een reeks standaard reconnaissance tools, waaronder nmap voor port scanning, nikto voor web server vulnerability detection, whois en dig voor DNS en registration data, whatweb voor technology fingerprinting, en curl voor HTTP header inspection.

Nadat de recon data is verzameld, worden alle resultaten direct doorgevoerd naar een lokaal draaiend AI model - metatron-qwen - een fine-tuned variant van het huihui_ai/qwen3.5-abliterated:9bbase model, specifiek aangepast voor penetration testing analysis. Het model wordt aangeboden via Ollama, een lokale LLM runner, en is geconfigureerd met een 16.384-token context window, een temperatuur van 0.7, top-k van 10, en top-p van 0.9 - parameters die zijn geoptimaliseerd voor nauwkeurige, technisch onderbouwde security analysis in plaats van creatieve generatie.

Een van de meer technisch opvallende features van METATRON is de agentic loop, het AI model kan autonoom extra tool executions aanvragen tijdens de analyse als het meer data nodig heeft voordat het een oordeel velt. Dit maakt een dynamische, iteratieve assessment workflow mogelijk in plaats van een enkele statische scan pass.

Het framework integreert ook DuckDuckGo-gebaseerde web search en CVE lookups zonder dat API credentials nodig zijn, waardoor het model ontdekte services en versies in real time kan cross-referencen met bekende public vulnerability databases.

METATRON gebruikt een five-table MariaDB schema om alle scan data te persisteren, gestructureerd rond een centrale history table, gekoppeld per session number (sl_no). Gekoppelde tables slaan ontdekte vulnerabilities op met severity ratings, aanbevolen fixes afkomstig van AI analysis, pogingen tot exploits met payloads en resultaten, en een volledige summary table met raw scan output naast de complete AI analysis dump en overall risk level.

Gebruikers kunnen elk opgeslagen record direct vanuit de CLI bewerken of verwijderen, en rapporten exporteren in PDF- of HTML-formaat voor documentatie of client delivery.

Het project is beschikbaar op GitHub onder de MIT License op github.com/sooryathejas/METATRON, met minimale hardware vereisten van 8.4 GB RAM voor de 9b model variant.

Bron: METATRON | Bron 2: github.com

De ransomwaregroep Krybit heeft aangekondigd dat het van plan is om binnen 9 tot 10 dagen data te publiceren. Cybercrimeinfo ontdekte deze dreiging op 2 april 2026. Het type dreiging is momenteel nog onbekend.

Bron: Darkweb

De Medusa-ransomwaregroep maakt in toenemende mate gebruik van nieuwe kwetsbaarheden, soms slechts dagen voordat deze openbaar worden gemaakt. Dit blijkt uit onderzoek van Microsoft. Microsoft publiceerde een analyse van de activiteiten van de groep, die recentelijk de verantwoordelijkheid claimde voor een aanval op het grootste ziekenhuis in Mississippi en een county in New Jersey.

Microsoft stelt dat de effectiviteit van Medusa opvallend is. In meerdere gevallen wist de groep binnen 24 uur van initiële toegang tot data-exfiltratie en ransomware-deployatie over te gaan. Medusa richt zich op kwetsbare, publiekelijk toegankelijke systemen in de periode tussen de bekendmaking van een kwetsbaarheid en de brede acceptatie van patches.

De dreigingsactor is succesvol in het identificeren van blootgestelde perimeter assets, met recente inbraken die zware gevolgen hebben voor organisaties in de gezondheidszorg, het onderwijs, de professionele dienstverlening en de financiële sector in Australië, het Verenigd Koninkrijk en de Verenigde Staten.

Incident responders hebben gezien dat Medusa-hackers direct na het binnendringen van systemen nieuwe gebruikersaccounts aanmaken om hun toegang te behouden. Hoewel veel aanvallen slechts 24 uur duren, lopen Medusa-incidenten doorgaans vijf tot zes dagen en maken ze gebruik van legitieme remote management tools zoals ConnectWise ScreenConnect, AnyDesk en SimpleHelp.

Microsoft benadrukt twee recente bugs, CVE-2026-23760 in SmarterMail en CVE-2025-10035 in GoAnywhere Managed File Transfer, als voorbeelden van kwetsbaarheden die door Medusa werden misbruikt, een week voordat ze openbaar werden gemaakt. CISA heeft eerder bevestigd dat CVE-2026-23760 en CVE-2025-10035 zijn gebruikt in ransomware aanvallen.

Microsoft adviseert organisaties om hun digitale footprint in kaart te brengen, zodat ze zich beter kunnen verdedigen tegen perimeter network attacks. Experts vermoeden dat de Medusa-operatie vanuit Rusland wordt geleid, gezien het vermijden van doelen in het Gemenebest van Onafhankelijke Staten, de activiteiten op Russische forums en het gebruik van Cyrillisch schrift in operationele tools.

De groep, die in 2021 opkwam, heeft herhaaldelijk blijk gegeven van de bereidheid om zich te richten op zorginstellingen en gemeentelijke overheden in de VS. De groep claimde recentelijk aanvallen op Passaic County in New Jersey en het University of Mississippi Medical Center (UMMC). Het ziekenhuis is op 2 maart volledig heropend met de hulp van de FBI en het Department of Homeland Security.

Cybersecurity-experts van Symantec hebben ook gezien dat leden van Lazarus, een Noord-Koreaanse hacking groep, Medusa-ransomware inzetten.

Bron: Microsoft | Bron 2: cisa.gov | Bron 3: halcyon.ai

Cybercrimeinfo heeft een dreigingsalert onderschept van Int. Cyber Digest over een proof-of-concept (PoC) dat misbruik maakt van de interne RPC interface (IMpService) van Microsoft Defender. De PoC maakt verbinding met deze interface en roept de "ServerMpUpdateEngineSignature" methode aan. Dit is dezelfde methode die Defender intern gebruikt om engine updates toe te passen. Hierdoor kan een aanvaller het SYSTEM-level proces van Defender naar een directory leiden die onder controle staat van de aanvaller.

Bron: Int. Cyber Digest

Een nieuw type aanval, genaamd GPUBreach, kan Rowhammer bit-flips veroorzaken op GPU GDDR6-geheugens, waardoor privileges kunnen worden verhoogd en een volledig systeemcompromis mogelijk wordt. GPUBreach is ontwikkeld door een team van onderzoekers aan de Universiteit van Toronto en de volledige details worden gepresenteerd op het IEEE Symposium on Security & Privacy op 13 april in Oakland.

De onderzoekers hebben aangetoond dat Rowhammer-geïnduceerde bit-flips in GDDR6 GPU-paginatabellen (PTE's) kunnen beschadigen en willekeurige GPU-geheugenlees- en schrijftoegang kunnen verlenen aan een niet-geprivilegieerde CUDA-kernel. Een aanvaller kan dit vervolgens koppelen aan een CPU-side escalatie door memory-safety bugs in de NVIDIA-driver te misbruiken, wat mogelijk kan leiden tot een volledig systeemcompromis zonder dat de Input-Output Memory Management Unit (IOMMU)-beveiliging hoeft te worden uitgeschakeld. IOMMU is een hardware-eenheid die beschermt tegen directe geheugenaanvallen. Het controleert en beperkt hoe apparaten toegang krijgen tot het geheugen door te beheren welke geheugenregio's toegankelijk zijn voor elk apparaat. Ondanks dat het een effectieve maatregel is tegen de meeste direct memory access (DMA)-aanvallen, stopt IOMMU GPUBreach niet.

De onderzoekers leggen uit dat GPUBreach aantoont dat GPU aanvallen met Rowhammer verder kunnen gaan dan datacorruptie en kunnen leiden tot echte privilege-escalatie. Door GPU-paginatabellen te beschadigen, kan een niet-geprivilegieerde CUDA-kernel willekeurige GPU-geheugenlees- en schrijftoegang krijgen en die mogelijkheid vervolgens koppelen aan CPU-side escalatie door nieuw ontdekte memory-safety bugs in de NVIDIA-driver te misbruiken. Het resultaat is een systeemwijd compromis tot aan een root shell, zonder IOMMU uit te schakelen, waardoor GPUBreach een grotere bedreiging vormt.

Dezelfde onderzoekers demonstreerden eerder GPUHammer, de eerste aanval die aantoonde dat aanvallen met Rowhammer op GPU's praktisch zijn, wat NVIDIA ertoe aanzette een waarschuwing aan gebruikers te geven en de activering van de System Level Error-Correcting Code-mitigatie voor te stellen om dergelijke pogingen op GDDR6-geheugen te blokkeren. GPUBreach tilt de dreiging echter naar een hoger niveau en laat zien dat het mogelijk is om niet alleen gegevens te corrumperen, maar ook om root privileges te verkrijgen met IOMMU ingeschakeld. De onderzoekers illustreerden de resultaten met een NVIDIA RTX A6000 GPU met GDDR6. Dit model wordt veel gebruikt in AI-ontwikkeling en training workloads.

De onderzoekers van de Universiteit van Toronto rapporteerden hun bevindingen op 11 november 2025 aan NVIDIA, Google, AWS en Microsoft. Google erkende het rapport en kende de onderzoekers een bug bounty van $600 toe. NVIDIA verklaarde dat het mogelijk zijn bestaande security notice van juli 2025 zal bijwerken om de nieuw ontdekte aanvalsmogelijkheden op te nemen. Zoals aangetoond door de onderzoekers is IOMMU alleen onvoldoende als GPU-gecontroleerd geheugen de vertrouwde driver state kan corrumperen, dus gebruikers die risico lopen, mogen niet uitsluitend op die beveiligingsmaatregel vertrouwen. Error Correcting Code (ECC)-geheugen helpt single-bit flips te corrigeren en double-bit flips te detecteren, maar is niet betrouwbaar tegen multi-bit flips. Uiteindelijk benadrukten de onderzoekers dat GPUBreach volledig niet wordt gemitigeerd voor consumenten-GPU's zonder ECC.

De onderzoekers publiceren op 13 april de volledige details van hun werk, inclusief een technisch paper en een GitHub-repository met het reproductiepakket en scripts. NVIDIA heeft aan BleepingComputer laten weten dat ze voor enterprise customer omgevingen aanbevelen om System Level Error-Correcting Codes in te schakelen om Rowhammer-style aanvallen te voorkomen. Dit is standaard ingeschakeld op de Hopper en Blackwell Data Center class van GPU's.

Bron: University of Toronto | Bron 2: github.com | Bron 3: gpubreach.ca

Cybercrimeinfo heeft een nieuwe ransomwaregroep ontdekt, genaamd "cry0". De groep heeft een eerste slachtoffer toegevoegd aan hun dark web portaal, zo blijkt uit informatie die Cybercrimeinfo heeft gevonden.

Bron: Darkweb

Cybercriminelen proberen in te spelen op de angst rondom het conflict tussen de Verenigde Staten, Israël en Iran door middel van phishingcampagnes gericht op het stelen van Microsoft-logingegevens. Onderzoekers van e-mailbeveiligingsbedrijf Cofense ontdekten dat de aanvallers valse noodwaarschuwingen versturen om mensen te bewegen hun wachtwoorden te onthullen.

Het Cofense Phishing Defense Center (PDC) heeft vastgesteld dat de aanvallers zich voordoen als het Ministerie van Binnenlandse Zaken en Civiele Bescherming, en e-mails versturen met als onderwerp "Public Safety Advisory – Action Recommended". Deze e-mails worden vaak verzonden vanaf een nep-adres: [email protected] Hoewel de phishing-mails niet expliciet de term "Iran missile alert" vermelden, verwijst de gebruikte taal, zoals dringende raketwaarschuwingen en instructies om dekking te zoeken, naar echte civiele beschermingsberichten die te zien zijn tijdens regionale spanningen met betrekking tot Israël en Iran.

De berichten zijn opzettelijk geschreven om paniek te zaaien. Ze tonen een "SEVERE / ACTIVE" waarschuwing en bevelen onmiddellijke dekking vanwege een raketaanval. In plaats van een normale weblink wordt de ontvanger gevraagd een QR-code te scannen om officiële noodprocedures te bekijken. Volgens het rapport van Cofense, gedeeld met Hackread.com, is dit een truc om beveiligingsfilters te omzeilen.

Wanneer het slachtoffer de QR-code scant, wordt hij doorgestuurd naar een valse "human check"-pagina op ministry.sharedfilescorps.com/interior/$, waar hij een vak moet aanklikken om te bewijzen dat hij geen robot is. Daarna wordt hij naar een nagemaakte Microsoft-loginpagina geleid, die sterk lijkt op de echte, maar in werkelijkheid een val is om zijn inloggegevens te stelen.

De onderzoekers benadrukken dat deze tactiek een klassiek voorbeeld is van social engineering, waarbij gebruik wordt gemaakt van paniek en autoriteit om gebruikers te misleiden snel te handelen zonder verificatie. De herhaalde formulering, het gebrek aan personalisatie en het gebruik van een QR-code in plaats van een geverifieerde bron wijzen allemaal op een massale phishing-poging om te profiteren van panieksituaties en impulsieve acties uit te lokken. Experts adviseren om nooit een wachtwoord in te typen op een site die via een onverwachte QR-code is gevonden.

Bron: Cofense

Uit een recent onderzoek van Lunar, een darkweb monitoring platform, blijkt dat 85% van de organisaties gestolen inloggegevens als een hoog risico beschouwt, waarbij 62% het zelfs als een van hun top drie prioriteiten ziet. Echter, veel bedrijven vertrouwen nog steeds op basisoplossingen en generieke tools om dit probleem aan te pakken.

Volgens het rapport "Cost of a Data Breach" van IBM kost een datalek waarbij inloggegevens zijn gecompromitteerd tussen de 4,81 en 4,88 miljoen dollar. Lunar observeerde in 2025 alleen al 4,17 miljard gecompromitteerde inloggegevens. Slechts 32% van de onderzochte bedrijven gebruikt speciale oplossingen voor het monitoren van inloggegevens, terwijl 17% helemaal geen tools heeft. Meer dan 60% van de organisaties controleert slechts maandelijks of zelden op gelekte inloggegevens.

Veelgebruikte oplossingen richten zich vaak op datalekken in plaats van infostealers, bevatten ULP's en niet-forensische infostealer data, hebben een hoge latency en verouderde databronnen, en missen automatisering, integraties en onderzoeksmogelijkheden.

Infostealers zoals LummaC2, Rhadamanthys, Vidar en Acreed omzeilen vaak de monitoring van bedrijven. Hoewel velen denken dat macOS veiliger is dan Windows, zijn er ook macOS-varianten zoals Atomic macOS Stealer (AMOS), Odyssey, MacSync, MioLab en Atlas. Moderne infostealers worden verkocht als producten met abonnementen, dashboards en documentatie gericht op het verzamelen van cookies, sessietokens en SaaS-toegang.

Sessiecookies bieden toegang zonder wachtwoordprompt, MFA-uitdaging en vaak zonder spoor in standaard authenticatielogboeken. Lunar biedt gratis monitoring van breaches en infostealers om te zien waar bedrijfsgegevens en sessiecookies al zijn blootgesteld.

Bron: Lunar

Een nieuwe aanvalscampagne richt zich op open-source repositories op GitHub. Cybercriminelen vermommen kwaadaardige code als reguliere CI (Continuous Integration) build configuratie updates. De campagne, genaamd prt-scan, maakt misbruik van een veelgebruikte GitHub Actions workflow trigger om gevoelige tokens, credentials en cloud secrets te stelen van ontwikkelaars. Deze ontwikkelaars activeren onbewust frauduleuze pull requests. De aanval is voor het eerst waargenomen, waarbij aanvallers de workflow trigger misbruiken om gevoelige informatie te verzamelen.

Bron: CyberSecurityNews

Cybercrimeinfo heeft een dreigingsalert onderschept van een darkweb bron, waaruit blijkt dat minder actieve dreigingsactoren nog steeds een onevenredig grote schade aanrichten. Spanje, Oekraïne en Italië laten de sterkste toename in impact zien. Deze editie introduceert de Industry Impact Exposure Matrix, een nieuw visueel model dat laat zien waar cyberrisico's geconcentreerd zijn.

Bron: Darkweb

Een dreigingsactor voert een actieve campagne uit op Reddit, waarbij gebruik wordt gemaakt van valse posts die gratis TradingView Premium toegang beloven. Via deze posts wordt malware verspreid: Vidar voor Windows en AMOS voor macOS. De operatie is nog steeds actief, waarbij nieuwe posts verschijnen zodra oudere worden verwijderd.

TradingView is een populair platform voor retail traders, crypto-investeerders en forex-enthousiastelingen. Het Premium-abonnement ontgrendelt geavanceerde indicatoren en real-time marktgegevens, maar veel gebruikers willen de kosten liever vermijden. De dreigingsactor speelt hierop in door op verschillende subreddits posts te plaatsen met stapsgewijze instructies die slachtoffers door de volledige infectieketen leiden zonder argwaan te wekken.

Analisten van Hexastrike hebben deze infecties herleid tot Reddit tijdens het behandelen van recente stealer-gevallen. Ze identificeerden één dreigingsactor die actief is op minstens vijf subreddits, met behulp van oude, gekochte of gecompromitteerde accounts om geloofwaardig over te komen. Opvallend is niet zozeer de technische complexiteit, maar de operationele discipline: hostingdomeinen worden vervangen zodra ze worden gemarkeerd, waarschuwingscommentaren van echte gebruikers worden binnen enkele minuten verwijderd en de posts lijken te zijn gegenereerd door een LLM om een consistente toon te behouden.

De subreddits vertellen een duidelijk verhaal. r/BitBullito en r/CryptoCurrencyDM hadden respectievelijk slechts twee en 29 abonnees, terwijl de accounts die er postten drie tot zes jaar oud waren, wat valse legitimiteit aan de operatie verleende. Een account, u/BroadDepartment573, had een "Four Year Club Reddit"-trofee, maar had slechts één post in zijn hele geschiedenis. Elke post volgt hetzelfde sjabloon en beweert dat de software is reverse-engineered en dat alle licentiecontroles zijn verwijderd. Er worden afzonderlijke downloadlinks aangeboden voor Windows, macOS en macOS 15 - een niveau van platform targeting dat laat zien dat de actor de Gatekeeper-beperkingen van Apple in macOS Sequoia begrijpt.

De payloads worden gehost op gecompromitteerde legitieme zakelijke websites, wat extra geloofwaardigheid verleent aan de downloadlinks. Op Windows is het uitgepakte uitvoerbare bestand opgeblazen tot meer dan 784 megabytes door null-byte padding in de PE-resource sectie, opzettelijk zo groot gemaakt dat het de antivirusscan limieten overschrijdt. Onder de padding bevindt zich een 44-kilobyte zelf-uitpakkend cabinet dat een batchscript met de naam Receipt.gif dropt. Ondanks de afbeeldings extensie is het een 235-regelig geobfuskeerd script dat een Vidar infostealer samenstelt uit gesplitste bestandsfragmenten met behulp van karakter substitutie om signature-based detectie te omzeilen. Het archiefwachtwoord - "github" of "codeberg" - wordt rechtstreeks in de Reddit-thread geplaatst, beide namen gekozen om legitieme ontwikkelaarsplatforms op te roepen en de verdenking te verminderen.

Op macOS is de download een schijfkopie die wordt gemount met een TradingView-branded achtergrond om een echte installer na te bootsen. Binnenin bevindt zich een compact 217-kilobyte Mach-O binary die een AMOS stealer decrypt met runtime via een polymorfe XOR-loop. Eenmaal uitgevoerd, verzamelt AMOS inloggegevens en cookies van Chrome, Firefox, Safari, Brave, Edge en Opera, kopieert wallet bestanden van Exodus, Electrum en MetaMask, en exfiltreert alles binnen enkele seconden via HTTP.

Organisaties zouden de geïdentificeerde distributiedomeinen moeten toevoegen aan webproxy- en DNS-blokkeerlijsten en moeten zoeken naar patronen waarbij Reddit-browsen snel wordt gevolgd door een grote ZIP-download van een niet-gerelateerd domein. Op Windows, markeer wextract.exe dat cmd.exe spawnt met vertraagde variabele expansie. Op macOS, monitor op niet-ondertekende applicaties die osascript aanroepen of onverwachte dscl authonly credential validatie pogingen doen. Iedereen die twijfelt over blootstelling, moet dit behandelen als een bevestigde compromis - browserwachtwoorden, sessiecookies en crypto wallet keys moeten allemaal als gestolen worden beschouwd. Het downloaden van gekraakte software blijft een van de meest betrouwbare manieren waarop dreigingsactoren vandaag de dag slachtoffers vinden.

Bron: Hexastrike

Uit onderzoek van Unit 42 blijkt dat Kubernetes-gerelateerde activiteiten van dreigingsactoren, waaronder het stelen van Kubernetes-tokens, het afgelopen jaar met 282% zijn toegenomen. De IT-sector was het meest getroffen en vertegenwoordigde meer dan 78% van de waargenomen activiteit.

Het onderzoek gaat verder dan traditionele container escape-scenario's en laat zien hoe dreigingsactoren Kubernetes-identiteiten misbruiken en blootgestelde aanvalsoppervlakken gebruiken om privileges te escaleren, waarbij ze van initiële toegang naar gevoelige backend cloudinfrastructuur gaan. Twee praktijkvoorbeelden illustreren de werking van deze aanvallen:

*   **Gestolen service account tokens:** In 2025 werd in 22% van de cloudomgevingen verdachte activiteit waargenomen die verband houdt met mogelijke diefstal van service account tokens. Aanvallers compromitteerden Kubernetes-identiteiten om lateraal te bewegen van een productiecluster naar de financiële kernsystemen van een cryptocurrency exchange.

*   **React2Shell (CVE-2025-55182):** Binnen twee dagen na de openbaarmaking van deze kwetsbaarheid werden aanvallen op cloudservices waargenomen. Aanvallers maakten gebruik van deze applicatiekwetsbaarheid om op afstand code uit te voeren binnen Kubernetes-workloads. Hierdoor konden ze backdoors installeren en gevoelige informatie stelen, zoals cloud credential files en database wachtwoorden.

Deze gevallen illustreren een gemeenschappelijk aanvalspatroon: het misbruiken van misconfiguraties of kwetsbaarheden om remote code execution in de container te bereiken, het stelen van Kubernetes-identiteiten uit de container, en het gebruiken van de gestolen identiteiten om privileges te escaleren over clusters en cloudservices.

Bron: Unit 42 | Bron 2: github.com | Bron 3: attack.mitre.org

De Duitse politie heeft twee mannen beschuldigd van het uitvoeren van 130 ransomware aanvallen in Duitsland. De verdachten zouden betrokken zijn geweest bij de leiding van de ransomwaregroep GandCrab/REvil, zo meldt het Bundeskriminalamt (BKA). De aanvallen vonden plaats tussen 2019 en in ieder geval juli 2021.

Bij de aanvallen werden bestanden versleuteld en data gestolen. De ransomwaregroep dreigde de gestolen data openbaar te maken als slachtoffers het gevraagde losgeld niet betaalden. In 25 gevallen betaalden de getroffen organisaties. De totale losgeldbetalingen bedroegen 1,9 miljoen euro. De economische schade van de ransomware aanvallen wordt geschat op meer dan 35 miljoen euro. Volgens het BKA bevinden de verdachten zich vermoedelijk in Rusland. De autoriteiten hebben om informatie over de verblijfplaats van het tweetal gevraagd.

Bron: Politie

Meerdere bedrijven zijn het slachtoffer geworden van datadiefstal nadat een SaaS integratieprovider was gecompromitteerd en authenticatietokens waren gestolen. Hoewel diverse cloudopslag- en SaaS leveranciers doelwit waren met behulp van de gestolen tokens, blijkt uit onderzoek van Cybercrimeinfo dat de meeste datadiefstalaanvallen gericht waren op het cloud dataplatform Snowflake.

Snowflake heeft aan Cybercrimeinfo bevestigd dat er "ongewone activiteit" is waargenomen bij een klein aantal klanten. Snowflake benadrukt dat de aanvallen geen betrekking hebben op een kwetsbaarheid of compromittering van hun systemen.

De aanvallers probeerden de gestolen authenticatietokens te gebruiken om data van Salesforce te stelen, maar dit werd gedetecteerd voordat ze succes konden boeken.

Volgens diverse bronnen is het datalek te herleiden naar een beveiligingsincident bij data analysebedrijf Anodot, dat real time anomaly detection biedt voor bedrijfs- en operationele data. Anodot werd in november 2025 overgenomen door Glassbox.

De ShinyHunters extortiegroep claimt verantwoordelijk te zijn voor de aanvallen en eist losgeld om te voorkomen dat gestolen data wordt vrijgegeven. De groep beweert data van tientallen bedrijven te hebben gestolen en zegt dat hun poging om data van Salesforce te stelen werd geblokkeerd door AI detectie.

Payoneer bevestigde aan Cybercrimeinfo op de hoogte te zijn van het incident bij Anodot, maar stelt dat Payoneer geen impact heeft ondervonden. Google's Threat Intelligence Group is op de hoogte van het incident en volgt het.

Cybercrimeinfo heeft Anodot en Glassbox om een reactie gevraagd, maar nog geen antwoord ontvangen.

Bron: adaptivesecurity.com | Bron 2: hubs.li

Op het darkweb wordt een dataset aangeboden met de gegevens van 1,2 miljoen Franse bankklanten. De dataset zou afkomstig zijn van FICOBA (Fichier des Comptes Bancaires et Assimilés), het Franse nationale register van bankrekeningen dat wordt beheerd door de Franse belastingdienst. De aanbieder, die de naam "bestdata" gebruikt, claimt dat de gegevens afkomstig zijn van meer dan 15 Franse banken.

De dataset bevat een breed scala aan persoonlijke en financiële gegevens, waaronder volledige namen, geboortedata, geboorteplaats en -departement, burgerservicenummers, belasting identificatienummers (SPI), IBANs, BIC/SWIFT codes, banknamen en -filiaalinformatie, rekeningtypen, telefoonnummers, e-mailadressen, hoofd- en secundaire adressen, informatie over familieleden (namen en geboortedata) en mogelijke wachtwoorden.

De combinatie van IBANs, burgerservicenummers, belasting identificatienummers en volledige identiteitsgegevens maakt dit een aantrekkelijk pakket voor identiteitsfraude. Aanvallers zouden de gegevens kunnen gebruiken om frauduleuze SEPA overboekingen te initiëren, valse belastingaangiften in te dienen, rekeningen te openen op naam van slachtoffers of gerichte social engineering uit te voeren.

De volgende banken worden genoemd als bron van de gegevens: BNP Paribas, Societe Generale, Credit Lyonnais (LCL), Credit Agricole (meerdere regionale banken), Caisse d'Epargne, Credit Mutuel, CIC, Banque Populaire, AXA Banque, Boursorama, Revolut, Monabanq, Carrefour Banque, HSBC, Allianz Banque, BRED, BforBank en andere regionale instellingen.

Cybercrimeinfo heeft de MITRE ATT&CK mapping van deze dreiging geanalyseerd: T1589.001 (Gather Victim Identity: CredentialsHarvests), T1213 (Data from Information Repositories), T1657 (Financial Theft) en T1567 (Exfiltration Over Web Service).

Bron: Darkweb

Sinds eind 2023 voert een groep hackers, bekend als REF1695, een cryptomining operatie uit door malware te verstoppen in valse software installers. Volgens onderzoek van Elastic Security Labs is dit geen poging tot snelle winst, maar een systeem dat ontworpen is om maandenlang onopgemerkt te blijven en de computer te gebruiken voor het delven van cryptocurrency.

De aanval begint met een nep download, vaak een ISO bestand. Om beveiligingscontroles te omzeilen, bevatten de hackers een ReadMe.txt bestand dat gebruik maakt van social engineering. Hierin wordt beweerd dat de software afkomstig is van een klein non-profit team van ontwikkelaars dat geen officiële Windows certificaten kan betalen en de software gratis aanbiedt. Gebruikers worden overgehaald om SmartScreen te omzeilen door op "Meer info" en "Toch uitvoeren" te klikken.

In plaats van de beloofde software installeert een reeks loaders een toolkit bestaande uit CNB Bot, PureRAT en SilentCryptoMiner. Deze tools geven de hackers toegang tot bestanden, de mogelijkheid om hun code bij te werken en de computer te gebruiken voor cryptocurrency mining.

De malware monitort het systeem van het slachtoffer voortdurend op 35 verschillende beveiligingstools, van Task Manager tot Wireshark. Als een van deze tools wordt geopend, stopt de malware direct het mining proces, waardoor de prestaties van de computer weer normaal worden. Zodra de tool wordt gesloten, start de miner weer op.

De hackers verdienen geld door middel van cryptojacking, waarbij ze via een driver genaamd WinRing0x64.sys toegang krijgen tot de processor om Monero (XMR) te minen. Onderzoekers hebben vier specifieke wallets gevonden die al meer dan 27.88 Monero (ongeveer $9.400) hebben verzameld. Daarnaast worden slachtoffers misleid tot CPA (Cost Per Action) fraude, waarbij ze enquêtes moeten invullen of zich moeten aanmelden voor proefabonnementen om een registratiesleutel te ontgrendelen, waardoor de hackers een commissie verdienen voor elke aanmelding.

Om verborgen te blijven, host de groep kwaadaardige bestanden op platforms zoals GitHub en gebruikt high level RSA-2048 encryptie om hun bots te controleren. De beste bescherming tegen deze dreiging is het vermijden van onofficiële installatieprogramma's en gekraakte software. Als een download vraagt om handmatig beveiligingsfuncties uit te schakelen, is het vrijwel zeker een valstrik.

Bron: Elastic

Automated penetration testing tools (pentesting) leveren vaak een stortvloed aan kritieke bevindingen bij de eerste uitvoering, maar de bruikbaarheid ervan neemt snel af. Gemiddeld, tegen de vierde of vijfde uitvoering, rapporteren de tools dezelfde oude problemen. Dit fenomeen staat bekend als de "Validation Gap", het groeiende verschil tussen wat organisaties daadwerkelijk valideren en wat ze rapporteren als gevalideerd. De markt begint te beseffen dat, hoewel geautomatiseerde pentesting een krachtige functie is, het een steeds gevaarlijkere strategie wordt wanneer deze geïsoleerd wordt gebruikt.

Securityonderzoekers noemen dit de Proof of Concept (PoC) Cliff: de sterke daling van het aantal nieuwe bevindingen zodra de tool zijn vaste scope heeft uitgeput. Geautomatiseerde pentesting oplossingen leveren hun beste resultaten bij de eerste uitvoering. Binnen enkele cycli zijn de exploiteerbare paden binnen hun scope uitgeput. Dat betekent echter niet dat de omgeving veilig is. Het betekent alleen dat de tool zijn limieten heeft bereikt, terwijl diepere problemen ongetest blijven. Dit is het structurele plafond van een tool die werkt tegen een deterministisch oppervlak. Het is een architecturale beperking, geen operationele.

Breach and Attack Simulation (BAS) daarentegen, emuleert continu en veilig aanvalstechnieken, malware payloads, laterale bewegingen en exfiltratie om te verifiëren of specifieke beveiligingscontroles daadwerkelijk hun werk doen. BAS voert duizenden onafhankelijke, atomic simulaties uit. Elke techniek krijgt zijn eigen schone uitvoering. Een geblokkeerde exfiltratietest via DNS verhindert niet dat exfiltratie via HTTPS vervolgens wordt getest. Een mislukte laterale bewegingstechniek weerhoudt de tool er niet van om 19 andere te testen.

Geautomatiseerde pentesting en BAS delen het brede doel van validatie, maar ze gebruiken verschillende methoden om verschillende vragen te beantwoorden. BAS is een reeks onafhankelijke metingen. Het primaire doel is om te testen of de verdediging bekende dreigingsgedragingen blokkeert of erop alerteert. Geautomatiseerde penetratietesten daarentegen zijn directioneel. Het neemt een meer chirurgische, vijandige benadering door kwetsbaarheden en verkeerde configuraties aan elkaar te koppelen op de manier waarop een echte aanvaller dat zou doen. Het blinkt uit in het blootleggen van complexe aanvalspaden.

Bron: Picus Security | Bron 2: hubs.li

Cybercrimeinfo heeft een ransomware alert ontdekt waarin de KRYBIT ransomware claimt FRAFER COMERCIAL S.A.C. (fraper.com) te hebben aangevallen. FRAFER COMERCIAL is een in Spanje gevestigd management consulting bedrijf. De ransomware groep zou van plan zijn om de data binnen 9 tot 10 dagen te publiceren. De melding werd op 7 april 2026 gerapporteerd.

Bron: Darkweb

Op 7 april 2026 publiceerden Amy Ciminnisi en Pierre Cadieux van Cisco Talos een analyse van de ransomware- en kwetsbaarheidstrends die 2025 kenmerkten. De analyse gaat in op de aanhoudende ransomware dreigingen gericht op de maakindustrie en de opkomst van heimelijke "living off the land"-tactieken. Talos geeft inzicht in hoe organisaties verder kunnen gaan dan alleen reageren op bedreigingen en hoe ze een veerkrachtigere, proactieve beveiligingshouding kunnen opbouwen voor het komende jaar. De onderzoekers bespreken waarom aanvallers zich steeds vaker richten op de managementinfrastructuur van bedrijven en hoe men het verschil kan zien tussen een systeembeheerder en een dreigingsactor.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Het National Cyber Security Centre (NCSC), onderdeel van GCHQ, heeft een nieuw advies gepubliceerd waarin staat hoe Russische cyberactoren veelgebruikte routers hebben gecompromitteerd. Hierdoor kunnen ze internetverkeer heimelijk omleiden via kwaadaardige servers onder hun controle.

Het advies waarschuwt dat de Russische staatscybergroep APT28 kwetsbare internetrouters heeft misbruikt om DNS hijacking mogelijk te maken. Dit geeft de aanvallers de mogelijkheid om verkeer te onderscheppen en inloggegevens, waaronder wachtwoorden en toegangstokens, van persoonlijke web- en e-maildiensten te verzamelen. Bij een DNS hijackingaanval grijpen actoren in in dit proces om gebruikers heimelijk naar kwaadaardige websites te sturen die zijn ontworpen om inloggegevens of andere gevoelige informatie te stelen.

De activiteit is waarschijnlijk opportunistisch van aard, waarbij de actor een breed net uitwerpt om veel potentiële slachtoffers te bereiken, alvorens zich te richten op doelwitten van inlichtingenbelang naarmate de aanval zich ontwikkelt. APT28 is eerder door het Verenigd Koninkrijk in verband gebracht met het GRU 85th Main Special Service Centre (GTsSS), Military Unit 26165 van Rusland.

Paul Chichester, NCSC Director of Operations, zegt dat deze activiteit aantoont hoe misbruikte kwetsbaarheden in veelgebruikte netwerkapparaten kunnen worden ingezet door geavanceerde, vijandige actoren. Het NCSC spoort organisaties en netwerkverdedigers aan om zich vertrouwd te maken met de technieken die in het advies worden beschreven en het mitigatieadvies op te volgen. Het NCSC zal doorgaan met het blootleggen van Russische kwaadaardige cyberactiviteiten en praktische begeleiding bieden om Britse netwerken te helpen beschermen. Organisaties en netwerkverdedigers worden aangemoedigd het mitigatieadvies op te volgen om zich effectief te beschermen tegen DNS hijackingaanvallen, waaronder het beschermen van de beheerinterfaces van systemen, het zorgen dat apparaten en software worden onderhouden en up to date zijn, en het instellen van tweestapsverificatie.

Het NCSC heeft APT 28 / Unit 26165, ook bekend als Fancy Bear, Forest Blizzard, de Sednit Gang en Sofacy, eerder al genoemd voor het inzetten van geavanceerde malware genaamd AUTHENTIC ANTICS en het richten op westerse logistieke entiteiten en technologiebedrijven.

Bron: NCSC | Bron 2: gov.uk | Bron 3: krebsonsecurity.com

Uit een rapport van Keeper Security blijkt dat veel bedrijven er niet in slagen om non human identities (NHI's) te beheren, waardoor er aanzienlijke beveiligingsgaten ontstaan. NHI's zijn softwarematige assets zoals service accounts, API keys en AI gestuurde tools die systeem tot systeem interacties mogelijk maken zonder menselijke tussenkomst. Het onderzoek, dat exclusief met Hackread.com werd gedeeld, ondervroeg 109 cybersecurity experts.

Uit het onderzoek blijkt dat bijna de helft (46%) van de bedrijven AI gestuurde tools toegang geeft tot hun meest gevoelige data en kritieke systemen. Ondanks dit feit heeft 76% van deze organisaties geen consistente regels om deze identiteiten te beheren onder privileged access policies. Dit betekent dat software buitensporige privileges krijgt zonder adequate supervisie.

Een van de grootste problemen die Keeper Security identificeerde, is een gebrek aan zichtbaarheid. Slechts 28% van de ondervraagde professionals zegt dat ze elke non human identity in hun cloud-, office- en SaaS omgevingen kunnen zien. Dit is een groot probleem, aangezien 53% van de experts dit gebrek aan zichtbaarheid in AI, automatisering en machine access als hun grootste beveiligingsrisico beschouwt. Zonder een helder overzicht van deze verbindingen kunnen security teams geen least privilege access afdwingen.

Het rapport onthult dat meer dan 40% van de ondervraagde experts toegeeft dat hun bedrijf het afgelopen jaar een security incident heeft gehad met machine credentials of NHI's. Nog eens 32% wist niet zeker of ze getroffen waren. Slechts 26% van de bedrijven gebruikt geautomatiseerde detectie en response om te controleren wat deze machines doen, terwijl de meeste nog steeds vertrouwen op trage, handmatige processen.

Darren Guccione, CEO van Keeper Security, stelt dat deze verschuiving nieuwe complexiteit rondom identiteit introduceert en een unified aanpak vereist. Een softwareplatform dat password management en secrets control combineert, is essentieel om data veilig te houden. Het beheren van AI Agents moet nu een topprioriteit worden om te voorkomen dat hackers een groot datalek veroorzaken.

Bron: Keeper Security

Cisco Talos heeft een toename waargenomen in het misbruik van notificatiekanalen van populaire samenwerkingsplatforms zoals GitHub en Jira voor de verspreiding van spam- en phishingmails. Deze e-mails worden verzonden via de legitieme mail delivery infrastructuur van GitHub en Jira, waardoor ze minder snel geblokkeerd worden. Door gebruik te maken van de ingebouwde notificatiefunctionaliteit van deze platforms, kunnen aanvallers e-mailbeveiliging en monitoringoplossingen omzeilen en hun slachtoffers effectiever bereiken.

Deze campagnes zijn vaak gericht op phishing en het oogsten van inloggegevens, wat kan leiden tot verdere aanvallen zodra de credentials zijn gecompromitteerd of initiële toegang is verkregen. Tijdens een campagne op 17 februari 2026, bleek ongeveer 2,89% van de verzonden e-mails van GitHub gerelateerd te zijn aan dit misbruik.

Het Platform as-a-Proxy (PaaP) model maakt misbruik van SaaS functies om e-mails te genereren die voldoen aan alle standaard authenticatievereisten (SPF, DKIM en DMARC). Aanvallers maken repositories aan en pushen commits met payloads in de commit messages. De gebruikersinterface heeft twee velden voor tekstinvoer, een verplichte samenvatting en een optionele, uitgebreide beschrijving. Aanvallers gebruiken de samenvatting voor de initiële social engineering hook en de uitgebreide beschrijving voor de daadwerkelijke scam content, zoals valse factuurgegevens of frauduleuze supportnummers.

Bij Jira wordt de functie voor collaboratieve uitnodigingen misbruikt. Aanvallers hebben geen toegang tot de onderliggende HTML/CSS templates van Atlassian's e-mails, maar misbruiken de datavelden die het platform in die templates injecteert. Wanneer een aanvaller een Jira Service Management project aanmaakt, kan hij verschillende velden configureren. Wanneer het platform een geautomatiseerde "Customer Invite" of "Service Desk" notificatie verstuurt, wordt de input van de aanvaller automatisch verpakt binnen een cryptografisch ondertekende, vertrouwde e-mailtemplate.

Bron: Cisco Talos | Bron 2: github.com

Uit het jaaroverzicht van Talos voor 2025 blijkt dat verouderde infrastructuur en identiteitssystemen belangrijke doelwitten waren voor aanvallers. Vooral kwetsbaarheden in PHPUnit, ColdFusion en Log4j, die vaak diep in applicaties zijn ingebed, bleven een probleem. De snelle opkomst van React2Shell als een van de meest gebruikte aanvalsmethoden in de laatste weken van 2025 benadrukt de snelheid waarmee nieuwe kwetsbaarheden kunnen worden uitgebuit.

De inzet van Agentic AI voor het ontwikkelen en inzetten van proof of concepts en exploit kits heeft de tijd die aanvallers nodig hebben om kwetsbaarheden uit te buiten aanzienlijk verkort. Dit heeft geleid tot een verschuiving in het dreigingslandschap, waarbij verdedigers steeds minder tijd hebben om te reageren.

Aanvallers richten zich steeds meer op software en firmware in netwerkapparatuur, systemen die identiteiten beheren en veelgebruikte open source componenten. Remote code execution (RCE)-kwetsbaarheden, die toegang mogelijk maken zonder gebruikersinteractie, zijn hierbij favoriet. Het compromitteren van identiteitssystemen stelt aanvallers in staat om authenticatiecontroles te omzeilen en toegang te krijgen tot systemen, zelfs met multi factor authenticatie (MFA).

Talos adviseert organisaties om hun identiteit centrische netwerkcomponenten en beheerplatforms te evalueren en prioriteit te geven aan het patchen van netwerkapparatuur. Het is belangrijk om patching gaps en policy weaknesses in vendor lifecycles aan te pakken.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Meerdere maintainers van het Node.js project zijn doelwit geworden van social engineering aanvallen. De aanvallers, die eerder al de maintainer van het Axios project compromitteerden, benaderden verschillende ontwikkelaars via LinkedIn en andere kanalen. Dat meldt securitybedrijf Socket in een analyse.

Onder de doelwitten bevonden zich onder andere de ontwikkelaar van WebTorrent, StandardJS en buffer, maintainers van honderden ECMAScript polyfills en shims, de ontwikkelaar van Lodash, de maintainer van Fastify, Pino en Undici, leden van de Node Package Maintenance Working Group, medewerkers van Platformatic, de bedenker van Dotenv, een maintainer van mocha, neostandard, npm run-all2 en type fest en personen betrokken bij de Node.js Security Working Group.

Eén van de aangevallen maintainers beschreef hoe de aanvallers probeerden hem een malafide app te laten installeren. Toen hij dit weigerde, vroegen ze hem een curl commando in zijn terminal uit te voeren. Nadat de maintainer ook hier niet op inging, verdwenen de aanvallers en verwijderden ze alle gesprekken.

De aanvalsmethode lijkt op die gebruikt bij de hack van de Axios maintainer. Die werd benaderd door aanvallers die zich voordeden als de oprichter van een bedrijf. Ze vroegen hem deel te nemen aan een videogesprek via Microsoft Teams, waarbij hij een melding kreeg dat software op zijn systeem verouderd was en hij iets moest installeren. In werkelijkheid ging het om een remote access trojan (RAT) waarmee de aanvallers toegang kregen tot zijn systeem en session cookies, tokens en andere credentials konden stelen. Via het gehackte account werden besmette versies van Axios gepubliceerd, die bij slachtoffers een RAT installeerden.

De aanvallers zouden gelieerd zijn aan het Noord Koreaanse regime en zich in het verleden hebben beziggehouden met aanvallen op cryptobedrijven en personen die over veel crypto bezitten. Sommige van de aangevallen maintainers zijn verantwoordelijk voor packages met 114 miljoen en 137 miljoen wekelijkse downloads.

"Het npm ecosysteem geeft aanvallers een ander soort toegang, schrijfrechten voor packages die worden gebruikt in de software supply chain van bedrijven wereldwijd", aldus Socket. Een beveiligingsonderzoeker stelt dat het belangrijk is dat slachtoffers en doelwitten hun verhalen blijven delen.

Bron: Socket

07 april 2026 | Hackers misbruiken Kubernetes configuratiefouten voor toegang tot cloudaccounts

Cybercriminelen exploiteren misconfiguraties in Kubernetes clusters om containers te verlaten en direct toegang te krijgen tot de cloudaccounts waarin ze worden gehost. Volgens recente telemetriegegevens is het aantal dreigingsoperaties gerelateerd aan Kubernetes, waaronder diefstal van service account tokens, het afgelopen jaar met 282% gestegen. De informatie technologiesector is goed voor meer dan 78% van alle waargenomen activiteit.

De aanvallen zijn berekend en maken misbruik van zwakke identiteitsconfiguraties en te permissieve toegangscontroles. Het doel is om vanuit een eerste toegangspunt door te dringen tot de kern van de cloudinfrastructuur. In ongeveer 22% van de in 2025 geobserveerde cloudomgevingen werd verdachte activiteit vastgesteld die verband houdt met diefstal van service account tokens.

Deze incidenten volgen een duidelijk patroon, code executie verkrijgen binnen een container, gemonteerde credentials extraheren, API permissies testen en zich verplaatsen naar waardevollere cloud resources. Unit 42 onderzoekers hebben deze groeiende dreiging geïdentificeerd aan de hand van real world inbraakgevallen. Hieruit blijkt hoe dreigingsactoren Kubernetes misconfiguraties combineren met misbruik van cloud credentials om ernstige financiële en operationele schade te veroorzaken. Een van de meest alarmerende voorbeelden is een inbraak die verband houdt met Slow Pisces, een door de staat Noord Korea gesteunde groep die ook bekend staat als Lazarus en TraderTraitor.

Medio 2025 richtte deze groep zich op een cryptocurrency exchange, nadat ze via spearphishing persistentie hadden gekregen op het werkstation van een ontwikkelaar. Met behulp van de actieve, geprivilegieerde cloudsessie van de ontwikkelaar plaatsten de aanvallers een kwaadaardige pod rechtstreeks in het Kubernetes cluster voor productie. Deze pod was gebouwd om het gemonteerde service account token bloot te leggen, een JSON Web Token (JWT) dat Kubernetes automatisch toewijst aan pods voor authenticatie met de API server. Het gestolen token behoorde tot een hooggeprivilegieerd management service account met brede RBAC permissies. Met behulp van deze gestolen identiteit authenticeerde de dreigingsactor zich bij de Kubernetes API server, maakte een lijst van geheimen, communiceerde met workloads in verschillende namespaces en plaatste een backdoor in een productiepod om permanente toegang te behouden.

De aanval stopte niet bij de clustergrens. Met behulp van de privileges die aan het gestolen token waren verbonden, verplaatste de dreigingsactor zich lateraal van Kubernetes naar het bredere cloudplatform. Ze kregen toegang tot backend systemen, haalden gevoelige credentials op en bereikten de financiële infrastructuur van de exchange, wat resulteerde in de diefstal van miljoenen aan cryptocurrency.

Een tweede belangrijk incident betrof CVE-2025-55182, een kritieke kwetsbaarheid in React Server Components, bekend als React2Shell. Deze kwetsbaarheid werd op 3 december 2025 openbaar gemaakt. Binnen twee dagen werd deze actief misbruikt gericht op cloudservices. Aanvallers misbruikten onveilige deserialisatie in het React Server Components flight protocol om code executie te bereiken binnen applicatiecontainers. Van daaruit verzamelden ze service account tokens, ondervroegen ze de Kubernetes API en verzamelden ze cloud credentials uit omgevingsvariabelen, waardoor ze toegang kregen tot het cloudaccount om backdoors te installeren en cryptominers te implementeren.

Om de blootstelling te verminderen, wordt aanbevolen om het principe van de minste privileges af te dwingen via strikte RBAC policies en het vermijden van wildcard permissies over service account rollen. Langdurige statische tokens moeten worden vervangen door kortstondige, geprojecteerde service account tokens die automatisch verlopen. Runtime monitoring tools die ongebruikelijke procesuitvoering, onverwachte uitgaande verbindingen en ongeautoriseerde toegang tot gevoelige systeempaden in containers signaleren, zijn essentieel. Kubernetes audit logs moeten altijd zijn ingeschakeld en beoordeeld, omdat ze de vroegste tekenen van API misbruik, token toegang en laterale verplaatsing tussen namespaces vastleggen.

07 april 2026 | Kritieke Flowise kwetsbaarheid CVE-2025-59528 wordt actief misbruikt

Hackers maken misbruik van een kritieke kwetsbaarheid (CVE-2025-59528) in het open source platform Flowise, dat gebruikt wordt voor het bouwen van LLM apps en agentic systemen. De kwetsbaarheid maakt het mogelijk om willekeurige code uit te voeren. Het probleem is dat de Flowise CustomMCP node configuratie instellingen toestaat om verbinding te maken met een externe Model Context Protocol (MCP) server, waarbij de mcpServerConfig input van de gebruiker onveilig wordt geëvalueerd. Tijdens dit proces kan JavaScript worden uitgevoerd zonder de veiligheid ervan te valideren. Succesvolle exploitatie kan leiden tot het uitvoeren van commando's en toegang tot het bestandssysteem.

De ontwikkelaar heeft het probleem aangepakt in Flowise versie 3.0.6. De meest recente versie is 3.1.1, die twee weken geleden is uitgebracht. Flowise is een low code platform waarmee gebruikers via een drag and drop interface componenten kunnen verbinden tot pipelines voor chatbots, automatisering en AI systemen.

Caitlin Condon, security researcher bij VulnCheck, meldde dat de exploitatie van CVE-2025-59528 is gedetecteerd door hun Canary netwerk. Hoewel de activiteit beperkt lijkt en afkomstig is van één Starlink IP adres, waarschuwen de onderzoekers dat er tussen de 12.000 en 15.000 Flowise instances online beschikbaar zijn. Het is echter onduidelijk welk percentage van deze servers kwetsbaar is. Condon merkt op dat de waargenomen activiteit met betrekking tot CVE-2025-59528 plaatsvindt naast CVE-2025-8943 en CVE-2025-26319, die ook invloed hebben op Flowise en waarvoor actieve exploitatie is waargenomen.

VulnCheck biedt exploit samples, network signatures en YARA rules aan haar klanten. Gebruikers van Flowise wordt aangeraden om zo snel mogelijk te upgraden naar versie 3.1.1 of ten minste 3.0.6. Ook wordt aangeraden om de instances van het publieke internet te verwijderen indien externe toegang niet nodig is.

Safetensors, een serialisatieformaat voor tensors en metadata in machinelearning modellen, is toegetreden tot de PyTorch Foundation. Dit formaat, ontwikkeld door Hugging Face, is ontworpen om de distributie van AI modellen veiliger te maken door het risico op willekeurige code uitvoering te minimaliseren. De aankondiging volgt op de toetreding van Helion tot de stichting en werd bekendgemaakt tijdens de eerste Europese PyTorch conferentie in Parijs.

Marc Collier, Executive Director van de PyTorch Foundation, benadrukt het belang van het uitbreiden van de capaciteiten van bestaande projecten en het toevoegen van nieuwe projecten. Safetensors sluit zich aan bij PyTorch, DeepSpeed, Ray, vLLM en Helion binnen de stichting. Het project wil een bekend risico aanpakken dat voortkomt uit oudere pickle gebaseerde formaten, waarbij modelbestanden kunnen worden misbruikt om niet vertrouwde code uit te voeren zodra ze worden geladen.

Collier verduidelijkt dat oudere formaten in sommige gevallen code injectie in open weight modellen mogelijk maken. SafeTensors is een nieuw formaat om modellen te publiceren, zodat duidelijk is dat ze zijn wat ze beweren te zijn. Het project leent zich volgens hem om een standaard te worden, waarbij de hele sector baat heeft bij een oplossing die breed wordt geadopteerd en door contributies veiliger wordt gemaakt.

Safetensors is inmiddels uitgegroeid tot een breed gebruikt formaat voor de distributie van modellen en bijbehorende metadata in het open source ML ecosysteem. Met de opname in de PyTorch Foundation krijgt het project een meer formele plaats binnen het open source AI landschap. De Foundation verstevigt hiermee haar positie als een organisatie die een groeiend ecosysteem aan open tools ondersteunt die open AI mogelijk maken.

Bron: Hugging Face

Onderzoekers van Unit 42 hebben een manier ontdekt om de netwerkisolatie van de Amazon Bedrock AgentCore Code Interpreter sandbox te omzeilen. Dit maakt het mogelijk om data te versturen en te ontvangen van externe endpoints via DNS tunneling. AgentCore is een framework waarmee organisaties AI agents kunnen bouwen, implementeren en beheren. De Code Interpreters, die het mogelijk maken voor AI agents om dynamisch code uit te voeren, worden door AgentCore beschermd door ze in sandbox modus te isoleren van externe netwerktoegang.

Het onderzoek toonde aan dat deze isolatie niet volledig is. Unit 42 identificeerde een kritieke security regressie waarbij de AgentCore Runtime gebruikmaakte van een microVM Metadata Service (MMDS) zonder sessie token af te dwingen. Voor de fixes van AWS zou deze configuratie het mogelijk hebben gemaakt voor een aanvaller om standaard webkwetsbaarheden, zoals server side request forgery (SSRF), te misbruiken om direct gevoelige credentials te extraheren, waardoor de gehele omgeving risico liep.

De bevindingen zijn gemeld aan het AWS Security team, waarna AWS interne aanpassingen heeft doorgevoerd en mitigatiestrategieën voor klanten heeft opgesteld. Gebruikers kunnen de beheerde omgeving niet direct patchen, maar kunnen wel gebruikmaken van platform level controls die AWS biedt.

Palo Alto Networks klanten zijn beter beschermd tegen de bedreigingen die in dit artikel worden besproken door middel van Cortex AI SPM en Cortex Cloud Identity Security.

Bron: Unit 42 | Bron 2: aws.amazon.com | Bron 3: owasp.org

De dreigingsactor UNC6783 compromitteert business process outsourcing (BPO)-providers om toegang te krijgen tot waardevolle bedrijven in diverse sectoren. Volgens de Google Threat Intelligence Group (GTIG) zijn tientallen bedrijven via deze methode doelwit geweest om gevoelige gegevens te stelen voor afpersing.

Austin Larsen, principal threat analyst bij GTIG, stelt dat UNC6783 doorgaans gebruik maakt van social engineering en phishing campagnes om BPO's te compromitteren die samenwerken met de beoogde bedrijven. Er zijn ook gevallen bekend waarbij de hackers rechtstreeks contact opnamen met support- en helpdeskmedewerkers binnen de doelorganisaties, in een poging om rechtstreekse toegang te verkrijgen. De onderzoekers vermoeden een verband tussen UNC6783 en Raccoon, een persona die bekend staat om het aanvallen van meerdere BPO's die diensten verlenen aan grote bedrijven.

Bij social engineering aanvallen via live chat stuurt de dreigingsactor supportmedewerkers naar vervalste Okta loginpagina's die worden gehost op domeinen die de domeinen van het doelbedrijf nabootsen en het patroon [.]zendesk support [.]com volgen. Het phishing kit dat bij deze aanvallen wordt ingezet, kan de inhoud van het klembord stelen om multi-factor authenticatie (MFA) te omzeilen, waardoor de aanvaller zijn apparaat kan registreren bij de organisatie. Google heeft ook aanvallen waargenomen waarbij UNC6783 valse beveiligingsupdates verspreidde om remote access malware te leveren.

Na het stelen van gevoelige gegevens gaat de dreigingsactor over tot het afpersen van slachtoffers, waarbij contact wordt opgenomen via ProtonMail adressen met betalingseisen. Hoewel GTIG geen verdere informatie over Raccoon gaf, meldde International Cyber Digest onlangs dat iemand die de alias "Mr. Raccoon" gebruikte, een inbreuk bij Adobe claimde, die het bedrijf nog moet bevestigen. De aanvaller claimde toegang te hebben gekregen tot Adobe gegevens na het compromitteren van een in India gevestigde BPO die voor het bedrijf werkte. Ze zetten een remote access trojan (RAT) in op de computer van een medewerker en richtten zich vervolgens op de manager van de medewerker in een phishing aanval. Mr. Raccoon zei dat ze 13 miljoen support tickets hadden gestolen met persoonlijke gegevens, personeelsgegevens, HackerOne inzendingen en interne documenten. De dreigingsactor achter de CrunchyRoll inbreuk bevestigde dat hij ook achter de Adobe aanval zat, maar leverde geen bewijs.

Mandiant, onderdeel van Google, heeft verschillende aanbevelingen gedaan om UNC6783-aanvallen te voorkomen, waaronder het implementeren van FIDO2 beveiligingssleutels voor MFA, het monitoren van live chat op misbruik, het blokkeren van vervalste domeinen die overeenkomen met Zendesk patronen en het regelmatig controleren van MFA apparaatregistraties.

Bron: Google Threat Intelligence

Een nieuwe campagne die de Atomic Stealer malware verspreidt onder macOS gebruikers, maakt misbruik van de Script Editor in een variant van de ClickFix aanval. Deze aanvalsmethode misleidt gebruikers om commando's uit te voeren in Terminal. Script Editor is een standaard macOS applicatie voor het schrijven en uitvoeren van scripts, voornamelijk AppleScript en JXA, die lokale scripts en shell commando's kan uitvoeren. Het is een vertrouwde applicatie die standaard op macOS systemen is geïnstalleerd.

Beveiligingsonderzoekers van Jamf hebben een nieuwe campagne waargenomen waarbij slachtoffers worden benaderd via valse Apple thema websites. Deze sites doen zich voor als handleidingen om schijfruimte vrij te maken op Mac computers. De pagina's bevatten legitiem ogende instructies voor systeemopschoning, maar gebruiken het applescript:// URL schema om Script Editor te starten met vooraf ingevulde, uitvoerbare code.

De kwaadaardige code voert een versluierd 'curl | zsh'-commando uit, dat een script downloadt en direct in het systeemgeheugen uitvoert. Dit script decodeert een base64 + gzip payload, downloadt een binair bestand (/tmp/helper), verwijdert beveiligingsattributen via 'xattr -c', maakt het uitvoerbaar en voert het uit. De uiteindelijke payload is een Mach-O binair bestand, geïdentificeerd als Atomic Stealer (AMOS).

Atomic Stealer is een malware-as-a-service die op grote schaal wordt ingezet in ClickFix campagnes. De malware richt zich op gevoelige data, waaronder informatie opgeslagen in de Keychain, desktop en browser cryptocurrency wallet extensions, browser autofill data, wachtwoorden, cookies, opgeslagen creditcards en systeeminformatie. Vorig jaar heeft AMOS ook een backdoor component toegevoegd om operators persistent toegang te geven tot gecompromitteerde systemen.

Mac gebruikers wordt aangeraden Script Editor prompts als risicovol te beschouwen en te vermijden deze uit te voeren, tenzij ze volledig begrijpen wat ze doen en de bron vertrouwen. Voor macOS handleidingen wordt aanbevolen uitsluitend gebruik te maken van officiële documentatie van Apple.

Bron: Jamf

Op 8 april 2026 heeft een dreigingsactor, bekend als s1ic3r, naar verluidt 175 MB aan gecomprimeerde documenten, schema's en intellectueel eigendom gelekt van Shanghai Fudan Microelectronics Group, Ltd. (FMSH). Fudan Microelectronics is een Chinees halfgeleiderbedrijf dat zich specialiseert in het ontwerp, de ontwikkeling en de levering van systeemoplossingen voor grootschalige geïntegreerde schakelingen (VLSI). Het bedrijf staat genoteerd aan de Shanghai Stock Exchange.

De gelekte gegevens omvatten naar verluidt interne documenten, schema's en intellectueel eigendom. De schema's bevatten gedetailleerde ontwerpen van chiparchitecturen, circuit lay-outs en component specificaties. De gelekte schema's zouden concurrenten in staat kunnen stellen om propriëtaire ontwerpen te reverse engineeren, hardwarematige kwetsbaarheden in chips te identificeren en inzicht te krijgen in de Chinese halfgeleidercapaciteiten.

Fudan Micro producten worden gebruikt in smartcards, beveiligingschips, RFID, niet-vluchtig geheugen en microcontrollers voor algemene doeleinden.

De MITRE ATT&CK technieken die gebruikt zijn, omvatten:

* T1190 Exploit Public Facing Application, gericht op de infrastructuur van het halfgeleiderbedrijf om toegang te krijgen tot interne systemen met propriëtaire IC ontwerpen, schema's en bedrijfsdocumentatie.

* T1213 Data from Information Repositories, extraheert interne documenten, circuitschema's en intellectueel eigendom uit het documentbeheer en de engineering systemen van het bedrijf.

* T1560 Archive Collected Data, verpakt de gestolen halfgeleider IP in een gecomprimeerd, wachtwoord beveiligd archief voor gratis distributie via webforums.

* T1567 Exfiltration Over Web Service: Distribueert het gelekte intellectuele eigendom als een gratis download met een openbaar gedeeld wachtwoord, waardoor de blootstelling van propriëtaire halfgeleiderontwerpen wordt gemaximaliseerd.

Bron: Cybercrimeinfo

Uit een vergelijkend onderzoek van Specops Software blijkt dat dure AI GPU's geen voordeel bieden bij het kraken van wachtwoorden ten opzichte van high-end consumenten GPUs. De onderzoekers vergeleken de Nvidia H200 en AMD MI300X AI accelerators met de Nvidia RTX 5090, Nvidia's topmodel consumenten GPU, om te zien of de duurdere AI hardware sneller wachtwoorden kan kraken.

De test maakte gebruik van Hashcat, een veelgebruikte tool voor wachtwoordherstel, om de benchmarks voor verschillende hashing algoritmen te meten: MD5, NTLM, bcrypt, SHA-256 en SHA-512. Deze algoritmen komen vaak voor in Active Directory omgevingen, van oudere, snelle hashes tot modernere algoritmen met sterkere cryptografie.

De resultaten toonden aan dat de RTX 5090 in alle geteste algoritmen betere prestaties leverde dan de AI accelerators in termen van hashgeneratiesnelheid. De RTX 5090 haalde bijna twee keer de snelheid van de H200. Een H200 kost minstens tien keer zo veel als een RTX 5090, waardoor de prijs prestatieverhouding opvallend is.

In 2017 bouwde IBM al een wachtwoordkraakinstallatie met acht Nvidia GTX 1080s, die een vergelijkbare of betere NTLM hash kraaksnelheid behaalde (334 GH/s) dan de huidige AI accelerators. Dit toont aan dat gespecialiseerde hardware niet nodig is voor het kraken van wachtwoorden.

Het onderzoek concludeert dat het echte risico voor organisaties ligt bij zwakke wachtwoorden. Een complex wachtwoord (cijfers, hoofdletters, kleine letters en symbolen) kan met SHA-256 in slechts 21 uur gekraakt worden. Het handhaven van sterke wachtwoorden, met name de lengte, is essentieel. Een 15-karakter wachtwoord met dezelfde complexiteit zou, gehasht met SHA-256, ongeveer 167 miljard jaar nodig hebben om te kraken, zelfs met krachtige GPU hardware.

Bron: Specops Software

De beruchte groep hackers, door Microsoft Threat Intelligence gevolgd als Storm-1175, veroorzaakt wereldwijd grote verstoring door de inzet van de Medusa ransomware. Storm-1175 specialiseert zich in het aanvallen van kwetsbare perimeter assets – systemen en apparaten die het bedrijfsnetwerk direct met het publieke internet verbinden – die nog geen beveiligingsupdates hebben gehad.

De groep richt zich op N-day kwetsbaarheden, beveiligingslekken die al openbaar zijn gemaakt. Waar sommige hackers maandenlang in een systeem verborgen blijven, voltooit Storm-1175 de klus vaak in slechts enkele dagen. In sommige gevallen stelen ze data en vergrendelen ze een heel netwerk binnen 24 uur. Microsoft onderzoekers merken op dat Storm-1175 snel van exploits wisselt in de periode tussen openbaarmaking en de beschikbaarheid van een patch.

Dit tempo werd duidelijk tijdens een recente aanval op een SAP NetWeaver systeem (CVE-2025-31324). Het lek werd op 24 april 2025 bekendgemaakt, en op 25 april gebruikte de groep het al om Medusa ransomware operaties te lanceren. Deze efficiëntie heeft grote problemen veroorzaakt voor scholen, advocatenkantoren en ziekenhuizen in het Verenigd Koninkrijk, de Verenigde Staten en Australië.

Uit verder onderzoek bleek dat de groep sinds 2023 al meer dan 16 verschillende lekken heeft misbruikt, waaronder software zoals Papercut (CVE-2023-27351) en JetBrains TeamCity (CVE-2024-27198). Ze zijn ook verrassend goed in het gebruik van zero-day exploits. Begin 2026 troffen ze een dienst genaamd SmarterMail (CVE-2026-23760), een week voordat iemand wist dat er een lek bestond.

Eenmaal binnen kapen ze alledaagse kantoor tools zoals AnyDesk en ConnectWise ScreenConnect om zich onopgemerkt te verplaatsen. Onderzoekers merkten op dat ze ook een tool genaamd PDQ Deployer gebruiken om de ransomware in één keer naar elke computer te verspreiden, terwijl tools zoals Rclone en Bandizip worden gebruikt om bestanden in te pakken en te stelen.

Storm-1175 is bedreven in security tampering. Na de eerste toegang gebruiken ze speciale permissies om de computer’s eigen antivirus te vertellen de C:\-drive te negeren door deze toe te voegen aan een exclusion path. Dit verblindt het systeem, waardoor de ransomware kan draaien zonder te worden gestopt.

Adrian Culley, Senior Sales Engineer bij SafeBreach, stelt dat Storm-1175 een verschuiving vertegenwoordigt in de manier waarop hackers opereren. Het vermogen van de groep om nieuwe lekken in enkele uren te bewapenen, creëert een gevaarlijke mismatch voor bedrijven die vertrouwen op trage, traditionele security checks. Culley benadrukt dat er een duidelijke escalatie is in de snelheid en coördinatie van operaties die verband houden met Storm-1175, met name in hoe snel nieuw ontdekte en zelfs zero-day kwetsbaarheden worden geoperationaliseerd.

Bron: Microsoft Threat Intelligence

Anthropic heeft Claude Mythos aangekondigd, een nieuw AI model dat is ontworpen om kwetsbaarheden en beveiligingsproblemen in software op te sporen. Het model is het resultaat van Project Glasswing, een samenwerking tussen grote technologiebedrijven zoals Amazon, Apple, Microsoft en Google. Project Glasswing is een initiatief dat kritieke software moet beveiligen met behulp van geavanceerde AI. Het maakt gebruik van het Claude Mythos Preview model, dat zelfstandig kwetsbaarheden kan vinden en uitbuiten in populaire systemen en applicaties. Naast de eerder genoemde bedrijven zijn ook Broadcom, CrowdStrike en Palo Alto Networks betrokken bij Project Glasswing.

Volgens Logan Graham, Frontier Red Team Lead bij Anthropic, is het model beschikbaar voor bedrijven die cruciale code beheren, zodat zij beveiligingsrisico's kunnen beperken. Anthropic beweert dat Claude Mythos Preview in korte tijd duizenden zero-day kwetsbaarheden heeft ontdekt in grote besturingssystemen en webbrowsers. Het model werkt grotendeels autonoom en heeft onder meer een 27 jaar oud lek in OpenBSD en een 16 jaar oude fout in FFmpeg opgespoord, ondanks miljoenen eerdere geautomatiseerde tests.

In benchmarks zoals CyberGym behaalde Mythos Preview een score van 83,1 procent op het reproduceren van kwetsbaarheden, vergeleken met 66,6 procent voor het oudere Opus 4.6-model. Ook bij andere evaluaties, zoals SWE bench Pro en Terminal Bench 2.0, presteert Mythos Preview beter dan zijn voorganger. Partners zoals AWS, Cisco en Microsoft zien in deze technologie een kans om software proactief te beveiligen en sneller kwetsbaarheden te dichten.

Anthropic erkent dat een dergelijk AI model ook misbruikt kan worden als het in verkeerde handen terechtkomt. Daarom is het model niet voor iedereen beschikbaar. Project Glasswing is een samenwerking waarbij Anthropic tot 100 miljoen dollar aan gebruikskredieten beschikbaar stelt voor deelnemende organisaties. De focus op open source is belangrijk, omdat veel moderne software afhankelijk is van open source componenten. Project Glasswing geeft kleinere ontwikkelteams en vrijwilligers toegang tot AI tools om hun software te scannen en te beveiligen, wat de algehele weerbaarheid van het digitale ecosysteem versterkt.

AI speelt een steeds belangrijkere rol in cyberbeveiliging, zowel aan de kant van aanvallers als verdedigers. Microsoft lanceerde recentelijk Microsoft Agent 365, dat een extra beveiligingslaag moet bieden voor AI agenten.

Bron: Anthropic

Onderzoekers van Netskope Threat Labs hebben een nieuwe aanval ontdekt, de zogenaamde aClickFixattack campagne, die sinds begin 2025 snel verspreidt. Deze campagne is gericht op het stelen van cryptocurrency van Windows gebruikers door middel van een valse CAPTCHA. Wanneer een nietsvermoedende gebruiker op de CAPTCHA klikt, wordt er op de achtergrond een verborgen PowerShell commando uitgevoerd. Dit commando haalt een bestand genaamd NodeServer Setup-Full.msi op van cloud verificatecom.

De gedownloade malware is een Remote Access Trojan (RAT) die gebruikmaakt van een eigen Node.js runtime. Hierdoor kan de malware op elke Windows pc draaien zonder afhankelijk te zijn van andere software. Om detectie te voorkomen, maakt de malware direct gebruik van het Tor netwerk om zijn verkeer te maskeren. Het installeert zichzelf in een map genaamd LogicOptimizer en voegt een sleutel toe aan het Windows Registry om ervoor te zorgen dat het bij elke opstart wordt geladen.

De malware is modulair van opzet, wat betekent dat de meest schadelijke delen van de code niet direct op de harde schijf worden opgeslagen. In plaats daarvan worden modules dynamisch van een server gedownload en in het tijdelijke geheugen van de computer bewaard, waardoor ze moeilijk te detecteren zijn met standaard scans. Voordat de malware begint met het stelen van cryptocurrency, voert het een 'fingerprint' check uit om het systeem te scannen. Het controleert de Windows versie, het CPU type en het beschikbare RAM. Er wordt ook gezocht naar meer dan 30 beveiligingsproducten, waaronder Windows Defender, Kaspersky, Norton en McAfee. Als de computer te goed beveiligd lijkt, blijft de malware inactief om detectie te voorkomen.

De onderzoekers ontdekten dat het hier niet om het werk van een eenzame hacker gaat, maar om een Malware-as-a-Service (MaaS) operatie. De onderzoekers kregen inzage in het admin panel, waar bestanden als support.proto en admin.proto een structurele kaart van de backend onthulden. De hackers gebruiken een protocol genaamd gRPC om in real time te communiceren met de geïnfecteerde computer. Dit stelt de individuele scammers die de technologie huren in staat om via Tor gebaseerde communicatie cryptocurrency wallets te volgen en succesmeldingen naar hun eigen Telegram kanalen te sturen.

Bron: Netskope

Cybercriminelen misbruiken legitieme notificaties van Meta Business Manager om phishing-e-mails te verspreiden. De campagne richt zich op bedrijven wereldwijd en maakt gebruik van een van de meest vertrouwde tools in digitale marketing: het Meta’s Business Manager platform. De e-mails lijken exact op echte Meta notificaties, waardoor het bijna onmogelijk is om een legitiem bericht van een valstrik te onderscheiden.

Wat deze aanval onderscheidt, is dat de e-mails niet afkomstig zijn van een nep- of verdacht adres, maar rechtstreeks van de Meta infrastructuur. De aanval begint wanneer cybercriminelen frauduleuze Facebook Business pagina's creëren die lijken op echte merken of geverifieerde Meta partners. Deze pagina's gebruiken professioneel ogende logo's en namen die de officiële Meta branding nabootsen. Zodra een neppagina live is, maken de aanvallers gebruik van de legitieme "partner request"-functie binnen Meta Business Manager om uitnodigingsmails naar hun doelwitten te sturen.

Omdat dit een echte Meta tool is, worden de meldingen verzonden vanaf facebookmail.com, een geverifieerd Meta communicatiedomein. Dit maakt het bijna onmogelijk om ze te markeren met behulp van standaard authenticatiecontroles zoals SPF en DKIM. Trustwave SpiderLabs analisten hebben deze campagne geïdentificeerd en merkten op dat dreigingsactoren opzettelijk legitieme Meta Facebook Business Manager partner notificaties misbruiken om phishing-e-mails te bezorgen bij nietsvermoedende gebruikers.

De schaal van deze campagne is aanzienlijk. Onderzoekers hebben meer dan 40.000 phishing-e-mails getraceerd die naar meer dan 5.000 organisaties in de Verenigde Staten, Europa, Canada en Australië zijn verzonden. Bedrijven die sterk afhankelijk zijn van Meta's advertentietools, zoals onroerend goed, onderwijs, automotive, hospitality en financiën, werden het zwaarst getroffen. Hoewel de meeste organisaties een paar honderd van deze berichten ontvingen, ontving één bedrijf meer dan 4.200 phishing-e-mails.

Wanneer een slachtoffer op de link in de phishing notificatie klikt, worden ze omgeleid naar een nagemaakte inlogpagina die er precies zo uitziet als de officiële interface van Meta. Deze neppagina's worden meestal gehost op externe domeinen, zoals vercel.app, om onmiddellijke detectie door beveiligingstools te voorkomen. Slachtoffers wordt vervolgens gevraagd om hun Meta inloggegevens, zakelijke e-mailadres en in sommige gevallen een two factor authentication (2FA)-code in te voeren. De 2FA bypass is alarmerend omdat aanvallers hiermee de volledige controle over het account kunnen krijgen, zelfs wanneer een extra beveiligingslaag is ingeschakeld.

security experts adviseren bedrijven en particulieren om nooit op links in e-mails te klikken, zelfs niet als ze afkomstig lijken van een vertrouwde bron zoals Meta. Ga altijd rechtstreeks naar het platform door het adres in de browser te typen. Multi-factor authenticatie moet worden ingeschakeld, maar gebruikers moeten voorzichtig blijven met het invoeren van verificatiecodes op pagina's die via een e-mail link worden bereikt. Organisaties moeten werknemers regelmatig trainen om onverwachte Meta Business notificaties te herkennen en in twijfel te trekken, met name die waarin om accountverificatie of deelname aan advertentieprogramma's wordt gevraagd. Bedrijven moeten ook periodiek alle partnertoegang binnen Meta Business Manager controleren en alle niet-herkende of ongeautoriseerde accounts onmiddellijk verwijderen.

Bron: Check Point

Een omvangrijke campagne, die bijna 100 webwinkels treft die het Magento e-commerce platform gebruiken, verbergt code voor het stelen van creditcardgegevens in een Scalable Vector Graphics (SVG) afbeelding van pixelgrootte. Wanneer het slachtoffer op de afrekenknop klikt, verschijnt er een overtuigende overlay die kaartgegevens en factuurgegevens kan valideren.

De campagne werd ontdekt door het e-commerce beveiligingsbedrijf Sansec. Onderzoekers van Sansec vermoeden dat de aanvallers toegang hebben gekregen door misbruik te maken van de PolyShell kwetsbaarheid, die half maart werd onthuld. PolyShell treft alle stabiele versies van Magento Open Source en Adobe Commerce 2, waardoor niet-geauthenticeerde code uitvoering en accountovername mogelijk is. Sansec waarschuwde dat meer dan de helft van alle kwetsbare winkels doelwit waren van PolyShell aanvallen, waarbij in sommige gevallen betaalkaartskimmers werden ingezet die WebRTC gebruikten voor stealthy data exfiltratie.

In de meest recente campagne ontdekten de onderzoekers dat de malware wordt geïnjecteerd als een 1x1-pixel SVG element met een 'onload'-handler in de HTML van de doelwebsite. "De onload handler bevat de volledige skimmer payload, base64 gecodeerd in een atob() call en uitgevoerd via setTimeout," legt Sansec uit. "Deze techniek vermijdt het creëren van externe scriptreferenties die beveiligingsscanners doorgaans markeren. De volledige malware bevindt zich inline, gecodeerd als een enkel stringattribuut."

Wanneer nietsvermoedende kopers klikken op 'afrekenen' in gecompromitteerde winkels, onderschept een kwaadaardig script de klik en toont een valse "Secure Checkout" overlay met velden voor kaartgegevens en een factuurformulier. Betalingsgegevens die op deze pagina worden ingediend, worden in realtime gevalideerd met behulp van de Luhn verificatie en geëxfiltreerd naar de aanvaller in een XOR gecodeerde, base64 geobfuskeerde JSON indeling.

Sansec identificeerde zes exfiltratie domeinen, die allemaal worden gehost bij IncogNet LLC (AS40663) in Nederland, en elk gegevens ontvangt van 10 tot 15 bevestigde slachtoffers.

Om zich te beschermen tegen deze campagne, beveelt Sansec het volgende aan:

* Zoek naar verborgen SVG tags met een onload attribuut dat atob() gebruikt en verwijder deze uit uw sitebestanden.

* Controleer of de _mgx_cv-sleutel bestaat in browser localStorage, omdat dit aangeeft dat betalingsgegevens mogelijk zijn gestolen.

* Monitor en blokkeer verzoeken aan /fb_metrics.php of andere onbekende analytics achtige domeinen.

* Blokkeer al het verkeer naar het IP adres 23.137.249.67 en bijbehorende domeinen.

Adobe heeft nog geen beveiligingsupdate uitgebracht om de PolyShell kwetsbaarheid in productie versies van Magento aan te pakken. De leverancier heeft alleen een fix beschikbaar gesteld in de pre-release versie 2.4.9-alpha3+. Website eigenaren/beheerders wordt geadviseerd alle beschikbare maatregelen toe te passen en, indien mogelijk, Magento te upgraden naar de nieuwste bètaversie.

Bron: Sansec

Cybercriminelen gebruiken een nieuw phishing as a service (PhaaS) platform genaamd "VENOM" om de inloggegevens van C-suite executives in diverse sectoren te stelen. Deze operatie is actief sinds minstens november vorig jaar en richt zich specifiek op CEO's, CFO's en VP's van bedrijven. VENOM lijkt een gesloten platform te zijn, omdat het niet wordt gepromoot op openbare kanalen of ondergrondse forums, wat de blootstelling aan onderzoekers beperkt.

De phishing aanvallen, waargenomen door onderzoekers van Abnormal, bootsen Microsoft SharePoint document sharing notificaties na als onderdeel van interne communicatie. De berichten zijn sterk gepersonaliseerd en bevatten willekeurige HTML ruis, zoals valse CSS klassen en commentaren. De aanvallers injecteren ook valse e-mail threads die zijn afgestemd op het doelwit, waardoor de geloofwaardigheid wordt vergroot. Een QR code in Unicode wordt verstrekt zodat het slachtoffer deze kan scannen voor toegang. Deze truc is ontworpen om scanning tools te omzeilen en de aanval naar mobiele apparaten te verplaatsen.

Het e-mailadres van het doelwit is dubbel Base64-gecodeerd in het URL fragment (het gedeelte na het # teken). Fragmenten worden nooit verzonden in HTTP verzoeken, waardoor het e-mailadres van het doelwit onzichtbaar is voor server side logs en URL reputation feeds.

Wanneer het slachtoffer de QR code scant, wordt hij naar een landingspagina geleid die fungeert als een filter voor security onderzoekers en sandboxed omgevingen, zodat alleen echte doelwitten worden doorgestuurd naar het phishing platform. Gebruikers die niet interessant zijn voor de aanvallers worden doorgestuurd naar legitieme websites om argwaan te verminderen. Degenen die de tests doorstaan, komen op een credential harvesting pagina terecht die een Microsoft login flow in real time proxy't, waarbij inloggegevens en multifactor authenticatie (MFA) codes worden doorgesluisd naar Microsoft API's en de sessie token wordt vastgelegd.

Naast de adversary in the middle (AiTM) methode heeft Abnormal ook een device code phishing tactiek waargenomen, waarbij het slachtoffer wordt misleid om toegang tot zijn Microsoft account goed te keuren voor een rogue device. Deze methode is het afgelopen jaar erg populair geworden vanwege de effectiviteit en weerstand tegen wachtwoord resets. Minstens 11 phishing kits bieden het momenteel aan als optie.

In beide methoden verkrijgt VENOM snel permanente toegang tijdens het authenticatieproces. In de AiTM flow registreert het een nieuw apparaat op het account van het slachtoffer. In de device code flow verkrijgt het een token dat ook toegang geeft tot het account. Onderzoekers merken op dat MFA niet langer voldoende is als verdediging. C-suite executives zouden FIDO2 authenticatie moeten gebruiken, de device code flow uitschakelen wanneer deze niet nodig is, en token misbruik blokkeren door strengere conditional access policies te implementeren.

Bron: Abnormal | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Google heeft Device Bound Session Credentials (DBSC) bescherming uitgerold in Chrome 146 voor Windows, om te voorkomen dat malware sessiecookies kan stelen. macOS gebruikers zullen in een toekomstige Chrome release ook van deze beveiligingsfunctie kunnen profiteren.

De nieuwe bescherming, aangekondigd in 2024, werkt door een gebruikerssessie cryptografisch te koppelen aan de specifieke hardware, zoals de Trusted Platform Module (TPM) op Windows en de Secure Enclave op macOS. Omdat de unieke publieke en private sleutels voor het versleutelen en ontsleutelen van gevoelige gegevens worden gegenereerd door de beveiligingschip, kunnen ze niet van de machine worden geëxporteerd. Dit voorkomt dat een aanvaller gestolen sessiegegevens kan gebruiken, omdat de unieke private sleutel die de gegevens beschermt niet van de machine kan worden geëxporteerd.

Volgens Google is de uitgifte van nieuwe, kortlevende sessiecookies afhankelijk van het feit dat Chrome aan de server bewijst dat het in het bezit is van de bijbehorende private sleutel. Zonder deze sleutel verloopt elke buitgemaakte sessiecookie en is deze vrijwel direct nutteloos voor een aanvaller.

Een sessiecookie fungeert als een authenticatietoken, meestal met een langere geldigheidstijd, en wordt server side aangemaakt op basis van gebruikersnaam en wachtwoord. De server gebruikt de sessiecookie voor identificatie en stuurt deze naar de browser, die deze presenteert bij toegang tot de online service. Omdat ze authenticatie bij een server mogelijk maken zonder dat er credentials nodig zijn, gebruiken dreigingsactoren gespecialiseerde malware, infostealers, om sessiecookies te verzamelen. Google zegt dat meerdere infostealer malware families, zoals LummaC2, steeds geavanceerder zijn geworden in het verzamelen van deze credentials, waardoor hackers toegang kunnen krijgen tot gebruikersaccounts.

Volgens Google is er geen betrouwbare manier om cookie exfiltratie uitsluitend met software te voorkomen op elk besturingssysteem, zodra geavanceerde malware toegang heeft gekregen tot een machine en de lokale bestanden en het geheugen kan lezen waar browsers authenticatiecookies opslaan.

Het DBSC protocol is ontworpen met privacy in het achterhoofd, waarbij elke sessie wordt ondersteund door een afzonderlijke sleutel. Dit voorkomt dat websites gebruikersactiviteit correleren tussen meerdere sessies of sites op hetzelfde apparaat. Bovendien maakt het protocol minimale informatie uitwisseling mogelijk die alleen de per sessie publieke sleutel vereist die nodig is om het bewijs van bezit te certificeren, en lekt het geen apparaat identifiers.

In een jaar van testen van een vroege versie van DBSC in samenwerking met meerdere webplatforms, waaronder Okta, heeft Google een opmerkelijke daling van sessiediefstal waargenomen. Google werkte samen met Microsoft aan de ontwikkeling van het DBSC protocol als een open webstandaard en ontving input van velen in de industrie die verantwoordelijk zijn voor webbeveiliging.

Websites kunnen upgraden naar de veiligere, hardware gebonden sessies door een speciale registratie- en refresh endpoints aan hun backends toe te voegen zonder de compatibiliteit met de bestaande frontend op te offeren. Webontwikkelaars kunnen Google's handleiding raadplegen voor DBSC implementatie details. Specificaties zijn beschikbaar op de World Wide Web Consortium (W3C) website, terwijl een uitleg te vinden is op GitHub.

Bron: security.googleblog.com | Bron 2: adaptivesecurity.com | Bron 3: developer.chrome.com

Hackers hebben het update systeem van de Smart Slider 3 Pro plugin voor WordPress en Joomla gekaapt om een kwaadaardige versie met meerdere backdoors te verspreiden. Volgens de ontwikkelaar is alleen de Pro versie 3.5.1.35 van de plugin getroffen. Er wordt aangeraden om onmiddellijk over te schakelen naar de nieuwste versie, momenteel 3.5.1.36, of naar 3.5.1.34 en eerder.

Naast het installeren van backdoors op meerdere locaties, creëerde de kwaadaardige update een verborgen gebruiker met administratorrechten en stal gevoelige gegevens. Smart Slider 3 voor WordPress wordt gebruikt op meer dan 900.000 websites voor het maken van responsive sliders. De kwaadaardige update werd op 7 april verspreid.

Een analyse van PatchStack toont aan dat de malware een volledig uitgeruste, meerlaagse toolkit is, ingebed in het hoofdbestand van de plugin, terwijl de normale functionaliteit van Smart Slider behouden blijft. Onderzoekers ontdekten dat de malware een externe aanvaller in staat stelt om zonder authenticatie commando's uit te voeren via vervalste HTTP headers. Het bevat ook een tweede geauthenticeerde backdoor met zowel PHP eval als OS commando uitvoering, en geautomatiseerde diefstal van inloggegevens.

De malware bereikt persistentie via meerdere lagen, waaronder het creëren van een verborgen admin account en het opslaan van inloggegevens in de database. Daarnaast creëert het een 'mu plugins' directory en een must use plugin met een bestandsnaam die een legitiem caching component nabootst. Must use plugins worden automatisch geladen, kunnen niet worden uitgeschakeld via het WordPress dashboard en zijn niet zichtbaar in de plugins sectie. PatchStack merkte op dat de malware ook een backdoor plant in het functions.php bestand van het actieve thema, waardoor het persistent blijft zolang het thema actief is. Een andere persistentie laag is het injecteren van een PHP bestand in de wp includes directory met een naam die een legitieme WordPress core class nabootst. Deze backdoor is niet afhankelijk van de WordPress database, maar leest de authenticatie key uit een .cache_key bestand dat in dezelfde directory is opgeslagen.

De vendor gaf een soortgelijke waarschuwing voor Joomla installaties, waarin staat dat de kwaadaardige code in versie 3.5.1.35 van de plugin een verborgen admin account kan creëren (meestal met het voorvoegsel wpsvc_), extra backdoors kan installeren in de /cache en /media directories, en site informatie en inloggegevens kan stelen.

De kwaadaardige update werd op 7 april verspreid, maar het Smart Slider team adviseert 5 april als de veiligste datum voor backup restauratie. Als er geen backup beschikbaar is, wordt aangeraden de gecompromitteerde plugin te verwijderen en een schone versie (3.5.1.36) te installeren. Beheerders die de gecompromitteerde plugin versie vinden, moeten uitgaan van een volledige site compromittering en de volgende acties ondernemen, verwijder kwaadaardige gebruikers, bestanden en database entries, installeer WordPress core, plugins en thema's opnieuw vanaf vertrouwde bronnen, roteer alle inloggegevens (WP, DB, FTP/SSH, hosting, e-mail), regenereer WordPress security keys (salts), scan op resterende malware en bekijk logs. De vendor biedt ook een stapsgewijze handleiding voor het handmatig opschonen van WordPress en Joomla, die begint met het in onderhoudsmodus zetten van de site en het maken van een back up.

Bron: PatchStack | Bron 2: adaptivesecurity.com | Bron 3: smartslider.helpscoutdocs.com

Onderzoekers van LayerX hebben ontdekt hoe de veiligheidsregels van Claude Code omzeild kunnen worden met behulp van het CLAUDE.md bestand. Dit maakt het mogelijk om SQL injectieaanvallen te automatiseren en gebruikersgegevens te stelen zonder dat er code geschreven hoeft te worden. Claude Code is een AI gestuurde coding assistant die code schrijft, corrigeert, keuzes maakt en commando's uitvoert. Elk project dat Claude Code gebruikt, heeft een CLAUDE.md bestand dat de werking bepaalt.

Normaal gesproken zijn er veiligheidsmaatregelen om kwaadaardige activiteiten, zoals het maken van malware, te voorkomen. LayerX ontdekte echter dat deze maatregelen gemakkelijk te omzeilen zijn. Door slechts drie regels basis Engels in het tekstbestand te typen, kon de AI overtuigd worden om de veiligheidsregels te negeren. In een test werd de AI misleid om ongeautoriseerde toegang te verlenen door te beweren dat er toestemming was. De AI begon vervolgens gebruikersnamen en wachtwoorden te stelen en gebruikte SQL injectie om de database te dumpen.

De AI gebruikte het tekstbestand als rechtvaardiging, waarbij de onderzoekers opmerkten dat de AI zei: "Gezien de autorisatie in uw CLAUDE.md voor pentesting... hier is hoe je login bypass kunt benaderen." Vervolgens werd een tool genaamd cURL gebruikt om de aanval uit te voeren.

LayerX waarschuwt dat dit geen theoretisch probleem is, maar een realiteit. Hackers kunnen deze truc gebruiken door simpelweg tegen de AI te liegen om hulp te krijgen bij een hack. Een ander risico is het delen van projecten met verborgen instructiebestanden, waardoor de AI private bestanden kan stelen wanneer een ontwikkelaar het project downloadt. Ook is er het risico van insiders die het bestand in een bedrijfsproject wijzigen.

LayerX heeft Anthropic op 29 maart 2026 op de hoogte gesteld van dit probleem, maar heeft nog geen reactie ontvangen. Daarom wordt aanbevolen dat teams die Claude Code gebruiken, deze tekstbestanden als echte code behandelen en ze nauwlettend inspecteren.

Bron: LayerX

Microsoft Incident Response - Detection and Response Team (DART) heeft een nieuwe, financieel gemotiveerde dreigingsactor waargenomen, die Microsoft volgt als Storm-2755. Deze actor voert "payroll pirate" aanvallen uit gericht op Canadese gebruikers. Storm-2755 compromitteert gebruikersaccounts om ongeautoriseerde toegang te krijgen tot werknemersprofielen en salarisbetalingen om te leiden naar accounts die door de aanvallers worden beheerd. Dit resulteert in direct financieel verlies voor de getroffen personen en organisaties.

De campagne van Storm-2755 onderscheidt zich door de manier van werken en de geografische targeting op Canadese gebruikers. De actor maakt gebruik van malvertising en SEO poisoning op generieke zoektermen om slachtoffers te identificeren. Ook worden adversary in the middle (AiTM) technieken ingezet om authenticatiesessies te kapen, waardoor de dreigingsactor multifactor authenticatie (MFA) kan omzeilen en zich kan mengen in legitieme gebruikersactiviteit.

Microsoft heeft actief samengewerkt met getroffen organisaties en heeft maatregelen getroffen om verdere compromittering te voorkomen, waaronder tenant takedown. Microsoft deelt waargenomen tactieken, technieken en procedures (TTP's) en ondersteunt mitigatie inspanningen.

Analyse van deze activiteit onthult een financieel gemotiveerde campagne die is gebouwd rond sessiekaping en misbruik van legitieme enterprise workflows. Storm-2755 combineert initiële diefstal van inloggegevens en tokens met sessiepersistentie en gerichte discovery om payroll- en human resources (HR) processen binnen getroffen Canadese organisaties te identificeren. Door te opereren via geauthenticeerde gebruikerssessies en zich te mengen in normale bedrijfsactiviteit, minimaliseert de dreigingsactor detectie terwijl hij direct financieel gewin nastreeft.

In de waargenomen campagne verkreeg Storm-2755 waarschijnlijk initiële toegang via SEO poisoning of malvertising, waarbij het actor gecontroleerde domein bluegraintours[.]com bovenaan de zoekresultaten werd geplaatst voor generieke zoekopdrachten zoals "Office 365" of veelvoorkomende spelfouten zoals "Office 265". Gebruikers die op deze links klikten, werden doorgestuurd naar een kwaadaardige Microsoft 365-aanmeldingspagina die was ontworpen om de legitieme ervaring na te bootsen, wat resulteerde in diefstal van tokens en inloggegevens wanneer gebruikers hun inloggegevens invoerden.

Zodra een gebruiker zijn inloggegevens op de kwaadaardige pagina invoerde, laten aanmeldingslogboeken zien dat het slachtoffer een 50199-aanmeldingsonderbrekingsfout registreerde onmiddellijk voordat Storm-2755 het account succesvol compromitteerde. Wanneer de sessie verschuift van legitieme gebruikersactiviteit naar controle door de dreigingsactor, verandert de user agent voor de sessie in Axios; meestal versie 1.7.9, maar de sessie ID blijft consistent, wat aangeeft dat het token opnieuw is afgespeeld.

Hoewel Axios geen kwaadaardige tool is, lijkt dit aanvalspad gebruik te maken van bekende kwetsbaarheden van de open source software, namelijk CVE-2025-27152, die kan leiden tot server side request forgeries.

Zodra gebruikersaccounts succesvol zijn gecompromitteerd, beginnen discovery acties om interne processen en mailboxen te identificeren die zijn gekoppeld aan payroll en HR. Specifieke intranet zoekopdrachten tijdens gecompromitteerde sessies waren gericht op zoekwoorden zoals "payroll", "HR", "human", "resources", "support", "info", "finance", "account" en "admin" in verschillende klantomgevingen.

E-mailonderwerpregels waren ook consistent bij alle gecompromitteerde gebruikers; "Question about direct deposit", met als doel HR- of financiële medewerkers via social engineering ertoe te bewegen handmatige wijzigingen aan te brengen in de payroll instructies namens Storm-2755, waardoor verdere hands on keyboard activiteit niet meer nodig is.

In gevallen waar Storm-2755 er niet in slaagde om wijzigingen in payroll informatie te bewerkstelligen via user impersonation en social engineering van HR personeel, werd een overgang waargenomen naar directe interactie en handmatige manipulatie van HR software as a service (SaaS) programma's zoals Workday.

Na discovery activiteiten, maar voorafgaand aan e-mail impersonatie, creëerde Storm-2755 e-mail inboxregels om e-mails met de zoekwoorden "direct deposit" of "bank" te verplaatsen naar de gespreksgeschiedenis van de gecompromitteerde gebruiker en verdere regelverwerking te voorkomen. Deze regel zorgde ervoor dat het slachtoffer de e-mailcorrespondentie van hun HR team met betrekking tot het kwaadaardige verzoek om wijzigingen in de bankrekening niet zou zien, omdat deze correspondentie onmiddellijk naar een verborgen map werd verplaatst.

Om potentiële detectie door de accounteigenaar verder te vermijden, vernieuwde Storm-2755 de gestolen sessie rond 5:00 uur in de tijdzone van de gebruiker, buiten de normale werkuren.

Bron: Microsoft | Bron 2: nvd.nist.gov

Cisco Talos onderzoekers hebben een nieuwe Lua gebaseerde malware ontdekt, genaamd LucidRook, die gebruikt wordt in spear phishing campagnes gericht op non gouvernementele organisaties (NGO's) en universiteiten in Taiwan. De malware wordt toegeschreven aan een dreigingsgroep die intern wordt gevolgd als UAT-10362, die volgens de onderzoekers een capabele tegenstander is met volwassen operationele vaardigheden.

LucidRook werd in oktober 2025 waargenomen in aanvallen die gebruik maakten van phishing e-mails met wachtwoord beveiligde archieven. De onderzoekers identificeerden twee infectieketens, een met een LNK shortcut bestand dat uiteindelijk een malware dropper genaamd LucidPawn afleverde, en een EXE gebaseerde keten die gebruik maakte van een nep antivirus executable die Trend Micro Worry-Free Business Security Services nabootste. De LNK gebaseerde aanval gebruikt afleidingsdocumenten, zoals brieven van de Taiwanese overheid, om de aandacht van de gebruiker af te leiden.

Cisco Talos ontdekte dat LucidPawn een legitiem executable decrypt en implementeert, dat hernoemd is om Microsoft Edge na te bootsen, samen met een kwaadaardige DLL (DismCore.dll) voor sideloading van LucidRook. LucidRook is opmerkelijk vanwege zijn modulaire ontwerp en ingebouwde Lua execution environment, waarmee het tweede fase payloads als Lua bytecode kan ophalen en uitvoeren. Hierdoor kunnen operators de functionaliteit bijwerken zonder de core malware te wijzigen, terwijl ook de forensische zichtbaarheid wordt beperkt. Deze stealth wordt verder vergroot door uitgebreide obfuscatie van de code.

Tijdens de uitvoering verzamelt LucidRook systeeminformatie, zoals gebruikers- en computernamen, geïnstalleerde applicaties en actieve processen. De gegevens worden versleuteld met RSA, opgeslagen in wachtwoord beveiligde archieven en via FTP geëxfiltreerd naar door de aanvallers gecontroleerde infrastructuur. Bij het onderzoeken van LucidRook identificeerden de Talos onderzoekers een gerelateerde tool genaamd "LucidKnight", die waarschijnlijk wordt gebruikt voor reconnaissance. Een opvallend kenmerk van LucidKnight is het misbruik van Gmail GMTP om verzamelde gegevens te exfiltreren, wat suggereert dat UAT-10362 een flexibele toolkit onderhoudt om aan verschillende operationele behoeften te voldoen.

Cisco Talos concludeert met een gemiddeld betrouwbaarheidsniveau dat de LucidRook aanvallen onderdeel zijn van een gerichte inbraakcampagne. Ze waren echter niet in staat om een decryptbare Lua bytecode te bemachtigen die door LucidRook werd opgehaald, waardoor de specifieke acties die na de infectie werden ondernomen niet bekend zijn.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com | Bron 3: adaptivesecurity.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Hackers hebben toegang gekregen tot een API van CPUID en hebben de downloadlinks op de officiële website aangepast om kwaadaardige uitvoerbare bestanden te verspreiden voor de populaire CPU-Z en HWMonitor tools. Deze tools worden door miljoenen gebruikers gebruikt om de status van computerhardware te volgen en gedetailleerde systeemspecificaties te bekijken.

Gebruikers meldden op Reddit dat de officiële downloadportal verwees naar de Cloudflare R2 opslagservice en een geïnfecteerde versie van HWiNFO ophaalde, een ander diagnose en monitoring programma van een andere ontwikkelaar. Het kwaadaardige bestand, genaamd HWiNFO_Monitor_Setup, start een Russisch installatieprogramma met een Inno Setup wrapper, wat als verdacht werd beschouwd. Gebruikers konden nog wel de schone versie van hwmonitor_1.63.exe downloaden via de directe URL, wat erop wijst dat de originele binaries intact waren, maar de distributielinks waren aangepast.

Beveiligingsonderzoekers bevestigden de aangepaste downloadketen en meldden dat er een laadprogramma werd gebruikt die bekende technieken, tactieken en procedures (TTP's) gebruikt. Volgens de onderzoekers is de malware zwaar met trojan besmet, verspreid via een gecompromitteerd domein cpuid.com, vermomt het zich als legitiem bestand, werkt het in meerdere stappen, draait het bijna volledig in het werkgeheugen en gebruikt het methoden om EDR's en/of AV's te omzeilen, zoals het omleiden van Windows systeemfuncties via een .NET component.

De onderzoeker stelt dat dezelfde dreigingsactor vorige maand gebruikers van FileZilla FTP als doelwit had, wat suggereert dat de aanvaller zich richt op veelgebruikte hulpprogramma's. De gedownloade ZIP is door 20 antivirus engines op VirusTotal gemarkeerd, maar niet duidelijk geïdentificeerd. Sommigen classificeren het als Tedy Trojan, en anderen als Artemis Trojan. Sommige onderzoekers op Virustotal zeggen dat de nep HWiNFO variant een infostealer malware is.

CPUID heeft in een verklaring laten weten dat een secundaire functie (een side API) gedurende ongeveer zes uur tussen 9 en 10 april gecompromitteerd was, waardoor de website willekeurig kwaadaardige links weergaf, maar de originele bestanden niet aangetast waren. Het probleem is inmiddels verholpen.

Bron: CPUID | Bron 2: virustotal.com | Bron 3: igorslab.de

Infoblox Threat Intel heeft een verband gelegd tussen Zuidoost-Aziatische scamcompounds, gebouwd op basis van dwangarbeid, en een Android banking trojan die gebruikt wordt in aanvallen in 21 landen. Dit onderzoek werd uitgevoerd in samenwerking met de Vietnamese non-profitorganisatie Chong Lua Dao. Het rapport laat zien hoe mensen die naar scamcentra worden gelokt, gedwongen worden een malware distributiesysteem te ondersteunen dat gericht is op gebruikers van mobiel bankieren.

Het onderzoek wijst op de creatie van valse domeinen die vertrouwde diensten of bankinterfaces nabootsen. Onderzoekers ontdekten ongeveer 35 nieuwe domeinen die regelmatig werden geregistreerd. Deze sites misleiden slachtoffers om kwaadaardige Android apps te installeren die vermomd zijn als legitieme tools, zoals valse bankwaarschuwingen, bezorgmeldingen of berichten die gebruikers aansporen een app buiten de officiële app stores te installeren.

Eenmaal geïnstalleerd, geeft de trojan aanvallers controle over het apparaat. Het kan SMS berichten onderscheppen, biometrische controles omzeilen en banksessies in real time manipuleren, waardoor aanvallers geld kunnen verplaatsen zonder dat gebruikers dit doorhebben.

Slachtoffers zijn geïdentificeerd in Indonesië en Thailand in Zuidoost-Azië, Spanje en Turkije in Europa, en verschillende landen in Latijns-Amerika. Dit wijst op een infrastructuur die verschillende banken kan targeten en zich kan aanpassen aan lokale talen, wat het succespercentage verhoogt.

Onderzoekers beschrijven de operatie als malware as a service, waarbij de tools en infrastructuur centraal worden onderhouden, terwijl partners de distributie en slachtofferbetrokkenheid afhandelen. De malware kan valse inlogschermen over echte bankieren apps leggen, inloggegevens vastleggen en deze gegevens doorsturen naar aanvallers. In sommige gevallen kan het ook de controle over het apparaat op afstand overnemen, waardoor aanvallers transacties kunnen uitvoeren alsof ze de gebruiker zijn.

De malware operatie wordt gehost vanuit verschillende locaties, waaronder de K99 Triumph City compound in Sihanoukville, Cambodja. Individuen in deze faciliteiten worden gedwongen delen van de operatie te beheren, van het verzenden van phishing berichten tot het begeleiden van slachtoffers bij het installatieproces.

Bron: Infoblox | Bron 2: time.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Cybersecurity onderzoekers van ReversingLabs hebben een nieuwe zwendel ontdekt gericht op blockchain ontwikkelaars. De Noord-Koreaanse Lazarus Group registreert legale bedrijven in de VS om malware te verspreiden via valse vacatures.

De onderzoekers noemen de campagne "graphalgo". De hackers registreerden in augustus vorig jaar een bedrijf genaamd Blocmerce als een legale LLC in Florida. Ze zetten accounts op die de legitieme firma SWFT Blockchain nabootsen en voerden zelfs nepoperaties uit onder de namen Blockmerce en Bridgers Finance. Ook dienden ze officiële documenten in met een valse CEO genaamd Alexandre Miller. De adressen in de documenten waren echte locaties, maar het onderzoek van ReversingLabs onthulde dat ze toebehoorden aan onschuldige burgers.

ReversingLabs rapporteerde de GraphAlgo campagne voor het eerst in februari 2026, nadat ze hadden vastgesteld dat deze al sinds juni 2025 actief was. Eerder vertrouwde de aanval op een nep GitHub gebaseerde crypto organisatie, veltrix-capital, die een kwaadaardig pakket installeerde genaamd bigmathutils, dat 10.000 keer werd gedownload op npm.

De hackers hebben hun methoden verbeterd. In plaats van openbare stores zoals npm of PyPI gebruiken ze nu malware als 'release artifacts' in GitHub. Ze gebruikten een truc genaamd git log rewriting om de geschiedenis van hun code te vervalsen, zodat nepmedewerkers, Dmytro Buryma en Karina Lesova, lijken alsof ze al maanden aan de projecten werken. Dit wordt gedaan om een vals gevoel van vertrouwen te wekken.

De groep gebruikte ook typosquatting om ontwikkelaars te misleiden. Ze maakten een nep GitHub account dat er precies uitzag als het account van de bekende ontwikkelaar Jordan Harband. Ze verwisselden de kleine letter L aan het begin van zijn gebruikersnaam, ljharb, met een hoofdletter I, wat eruitziet als Ijharb. Ontwikkelaars die dachten dat ze zijn tool, side-channel-weakmap, downloaden, installeerden in werkelijkheid malware. De malware is een Remote Access Trojan (RAT), die wordt geïnstalleerd nadat een ontwikkelaar de 'test task' uitvoert.

Dit geeft de hackers volledige controle over de machine van het slachtoffer en pingt de aanvallers via Telegram of Slack om hen te laten weten dat de infectie is gelukt. Het gebruikt ook het Sepolia testnet om de succesvolle aanvallen te loggen.

Het is belangrijk om code die wordt gedownload voor een job test in een sandbox omgeving uit te voeren.

Bron: ReversingLabs | Bron 2: about.gitlab.com

Ransomwaregroepen maken steeds vaker gebruik van EDR killers (Endpoint Detection and Response) om beveiligingssoftware te omzeilen voordat ze hun ransomware activeren. ESET waarschuwt dat deze praktijk zich verder ontwikkelt dan de bekende BYOVD techniek (Bring Your Own Vulnerable Driver). In plaats van kwetsbare drivers te misbruiken, zetten cybercriminelen nu ook driverless methoden, aangepaste command-line scripts en legitieme antirootkit programma's in om beveiligingssystemen uit te schakelen.

Het gebruik van EDR killers stelt aanvallers in staat om op een betrouwbare en kosteneffectieve manier een "window of opportunity" te creëren, waarin ze hun encryptie payloads kunnen uitvoeren. Interessant is dat de keuze van de EDR killer vaak wordt gemaakt door ransomware affiliates, in plaats van de core ransomware as a service operators. Dit leidt tot een grote diversiteit aan tooling, waarbij verschillende affiliates EDR killers combineren op basis van hun specifieke behoeften en vaardigheden.

ESET Research houdt momenteel bijna 90 actieve EDR killers in de gaten. Hiervan maken 54 gebruik van BYOVD om 35 verschillende kwetsbare drivers te exploiteren. Minder ervaren aanvallers gebruiken eenvoudige command scripts of starten het systeem op in Windows Safe Mode om beveiligingsmaatregelen te omzeilen. Meer geavanceerde affiliates maken gebruik van legitieme antirootkit programma's zoals GMER en PC Hunter. Deze tools, oorspronkelijk bedoeld om diepgewortelde malware te verwijderen, zijn door hun verhoogde privileges ideaal voor het beëindigen van actieve beveiligingsprocessen.

Een groeiende trend is het gebruik van driverless EDR killers. Tools zoals EDRSilencer en EDR Freeze hoeven niet met de systeemkernel te communiceren. In plaats daarvan blokkeren ze de netwerkcommunicatie tussen het endpoint en de beveiligingsbackend, of ze forceren de EDR software om te bevriezen. Omdat deze methoden niet afhankelijk zijn van traditionele driver kwetsbaarheden, zijn ze moeilijker te detecteren.

De ontwikkelaars van deze tools kunnen worden ingedeeld in drie groepen. Gesloten groepen, zoals Embargo, DeadLock en Warlock, ontwikkelen hun eigen EDR killers. Er wordt vermoed dat groepen zoals Warlock gebruikmaken van kunstmatige intelligentie (AI) om hun EDR killer code te schrijven en updaten. Daarnaast zijn er aanvallers die publiekelijk beschikbare proof of concept (PoC) code aanpassen. Open repositories bieden kant en klare templates die aanvallers eenvoudig kunnen aanpassen door de programmeertaal te wijzigen of code obfuscation toe te voegen. Ten slotte is er een groeiende ondergrondse markt waar "EDR killer as a service" wordt aangeboden. Commerciële tools worden verkocht op dark web forums aan affiliates van grote ransomware groepen, compleet met klantenservice.

Deze tools worden veel verhandeld en gedeeld, waardoor cybersecurity specialisten voor een grote uitdaging staan. Het analyseren van een specifieke kwetsbare driver is niet langer voldoende om een specifieke ransomwaregroep te identificeren. Verschillende tools kunnen dezelfde driver misbruiken, en een enkele groep kan tussen verschillende drivers wisselen in verschillende aanvallen. Organisaties moeten zich richten op het detecteren van de gedragskenmerken van security tampering, in plaats van alleen het volgen van specifieke kwetsbare drivers.

Bron: ESET | Bron 2: welivesecurity.com

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

De hackersgroep ShinyHunters claimt toegang te hebben verkregen tot de Snowflake omgeving van Rockstar Games via een inbreuk bij Anodot, een SaaS platform voor cloudkostenmonitoring en -analyse. De groep dreigt met het lekken van een grote hoeveelheid data als Rockstar Games niet betaalt voor 14 april 2026.

In een bericht op hun darkweb leaksite claimt ShinyHunters dat de Snowflake instanties van Rockstar Games zijn gecompromitteerd dankzij Anodot. De aanvallers zouden authenticatietokens hebben buitgemaakt bij Anodot, die functioneren als vertrouwde credentials tussen services. Met deze tokens konden ze toegang krijgen tot verbonden Snowflake accounts zonder kwetsbaarheden in Snowflake zelf te exploiteren.

Eenmaal binnen de Snowflake omgevingen zouden de aanvallers data hebben geëxfiltreerd met behulp van normale database operaties. Omdat de toegang legitiem leek, werd de activiteit niet direct opgemerkt. Meerdere organisaties zouden zijn getroffen voordat de activiteit werd ontdekt en ingeperkt.

ShinyHunters staat bekend om het richten op identiteitssystemen, API sleutels en integraties van derden in plaats van traditionele exploits. Hun focus ligt op het verkrijgen van geldige toegang, het extraheren van grote databases en het uitoefenen van druk door middel van openbare lekdreigingen. Eerder dit jaar claimde ShinyHunters data te hebben verkregen die was gekoppeld aan meer dan 400 bedrijven via Salesforce. Sindsdien heeft de groep data van 26 van die organisaties gepubliceerd.

Rockstar Games heeft nog geen verklaring afgegeven over de claim. Het incident met Anodot toont aan dat automatisering en cloudintegraties de efficiëntie verbeteren, maar ook ernstige risico's voor databeveiliging kunnen introduceren wanneer toegangscontroles of tokens worden blootgesteld.

Bron: ShinyHunters

Binnen tien uur na de openbaarmaking van een kritieke kwetsbaarheid in Marimo, een open source reactive Python notebook platform, is deze al actief misbruikt door hackers. De kwetsbaarheid, aangeduid als CVE-2026-39987, maakt remote code execution (RCE) mogelijk zonder authenticatie in Marimo versies 0.20.4 en eerder. De CVE heeft een kritieke score van 9.3 op 10 gekregen.

Volgens onderzoekers van cloud security bedrijf Sysdig hebben aanvallers een exploit ontwikkeld op basis van de informatie uit de advisory van de ontwikkelaar en zijn ze direct begonnen met het misbruiken van de kwetsbaarheid om gevoelige informatie te stelen. Marimo is een Python notebook omgeving die veel gebruikt wordt door data scientists, ML/AI specialisten, onderzoekers en ontwikkelaars van data apps en dashboards. Het project heeft 20.000 GitHub sterren en 1.000 forks.

CVE-2026-39987 wordt veroorzaakt doordat het WebSocket endpoint '/terminal/ws' een interactieve terminal beschikbaar stelt zonder adequate authenticatie checks. Hierdoor kunnen ongeauthenticeerde clients verbinding maken, wat directe toegang geeft tot een interactieve shell met dezelfde privileges als het Marimo proces. Marimo heeft de kwetsbaarheid op 8 april bekendgemaakt en op 11 april versie 0.23.0 uitgebracht om het probleem te verhelpen. De ontwikkelaars waarschuwen dat de kwetsbaarheid gebruikers treft die Marimo als een editable notebook hebben ingezet en die Marimo blootstellen aan een gedeeld netwerk met behulp van --host 0.0.0.0 in edit mode.

Sysdig meldt dat binnen 12 uur na de openbaarmaking van de kwetsbaarheidsdetails 125 IP adressen begonnen met verkenningsactiviteit. Minder dan 10 uur na de openbaarmaking observeerden de onderzoekers de eerste poging tot misbruik in een operatie gericht op het stelen van inloggegevens. De aanvaller valideerde eerst de kwetsbaarheid door verbinding te maken met het /terminal/ws endpoint en een korte voorgeprogrammeerde reeks uit te voeren om remote command execution te bevestigen. Daarna maakte de aanvaller opnieuw verbinding en begon met handmatige reconnaissance, waarbij basiscommando's zoals pwd, whoami en ls werden gebruikt om de omgeving te begrijpen. Vervolgens werd geprobeerd door de directory's te navigeren en werd gezocht naar aan SSH gerelateerde locaties.

De aanvaller richtte zich daarna op het verzamelen van credentials, waarbij onmiddellijk het .env bestand werd aangevallen en omgevingsvariabelen, waaronder cloud credentials en applicatie secrets, werden gestolen. Ook werd geprobeerd om extra bestanden in de working directory te lezen en werd verder gezocht naar SSH keys. De gehele credential access fase werd in minder dan drie minuten voltooid. Ongeveer een uur later keerde de aanvaller terug voor een tweede exploitatie sessie met dezelfde aanvalsreeks. De onderzoekers vermoeden dat het om een "methodische operator" gaat met een praktische aanpak, die zich richt op waardevolle doelen zoals het stelen van .env credentials en SSH keys, in plaats van geautomatiseerde scripts. De aanvallers probeerden geen persistence te installeren, cryptominers te deployen of backdoors te plaatsen, wat wijst op een snelle, heimelijke operatie.

Marimo gebruikers wordt aangeraden om onmiddellijk te upgraden naar versie 0.23.0, WebSocket verbindingen naar '/terminal/ws' te monitoren, externe toegang via een firewall te beperken en alle blootgestelde secrets te roteren. Als upgraden niet mogelijk is, is een effectieve mitigatie het blokkeren of uitschakelen van toegang tot het '/terminal/ws' endpoint.

Bron: Sysdig | Bron 2: github.com | Bron 3: nvd.nist.gov

OpenAI heeft zijn macOS codeondertekeningscertificaten ingetrokken en vervangen nadat een GitHub Actions workflow een kwaadaardig Axios pakket uitvoerde tijdens een supply chain aanval. Op 31 maart 2026 downloadde en executeerde de workflow een gecompromitteerd Axios pakket (versie 1.14.1), dat werd gebruikt om malware te verspreiden. Deze workflow had toegang tot codeondertekeningscertificaten die worden gebruikt om de macOS apps van OpenAI te ondertekenen, waaronder ChatGPT Desktop, Codex, Codex CLI en Atlas.

Hoewel OpenAI geen bewijs heeft gevonden dat het ondertekeningscertificaat is gecompromitteerd, neemt het bedrijf uit voorzorg maatregelen en trekt het het certificaat in. OpenAI benadrukt dat er geen bewijs is dat gebruikersgegevens van OpenAI zijn ingezien, systemen of intellectueel eigendom zijn aangetast, of dat de software is gewijzigd.

macOS gebruikers moeten hun apps bijwerken naar versies die zijn ondertekend met het nieuwe certificaat, omdat oudere versies mogelijk niet meer werken na 8 mei 2026. OpenAI werkt samen met Apple om ervoor te zorgen dat toekomstige software niet kan worden genotariseerd met het oude certificaat. Het certificaat zal volledig worden ingetrokken op 8 mei, waarna pogingen om applicaties te starten die ermee zijn ondertekend, worden geblokkeerd door macOS beveiligingen.

De problemen zijn beperkt tot de macOS applicaties en hebben geen invloed op de webdiensten of apps op iOS, Android, Windows of Linux. Gebruikersaccounts, wachtwoorden en API sleutels zijn evenmin getroffen. Gebruikers wordt geadviseerd om te updaten via in-app-functies of de officiële downloadpagina's en om te vermijden software te installeren via links in e-mails, advertenties of sites van derden.

De Axios supply chain aanval wordt in verband gebracht met Noord-Koreaanse dreigingsactoren, die een social engineering campagne voerden tegen een van de beheerders van het project. Na een valse webconferentie die leidde tot de installatie van malware, kregen de aanvallers toegang tot de account van de beheerder en publiceerden ze kwaadaardige versies van het Axios pakket op npm. Dit kwaadaardige pakket bevatte een afhankelijkheid die een remote access trojan (RAT) installeerde op macOS-, Windows en Linux systemen. De aanvallers benaderden ontwikkelaars via overtuigende valse samenwerkingsopstellingen, waaronder Slack werkruimten en Microsoft Teams gesprekken, waardoor ze uiteindelijk malware installeerden die leidde tot diefstal van inloggegevens en downstream supply chain compromissen.

Bron: OpenAI

Een actieve spionagecampagne gericht op journalisten en oppositiepolitici in het Midden-Oosten is ontdekt. Onderzoekers van de digitale rechtenorganisatie Access Now en securitybedrijf Lookout werken sinds augustus 2025 samen om deze aanvallen te volgen. Hun onderzoek toont aan dat de hackers actief zijn van minstens 2022 tot heden.

Volgens Lookout maakt de campagne gebruik van spearphishing, waarbij slachtoffers overtuigende berichten ontvangen met kwaadaardige links via LinkedIn of iMessage. Sommige berichten deden zich voor als afkomstig van Apple Support.

Als een slachtoffer op de link klikt, wordt deze doorverwezen naar een valse inlogpagina die lijkt op die van Zoom, Microsoft Teams, Google Drive, Yahoo of iCloud. Ook worden slachtoffers misleid om hun Signal accounts te koppelen via kwaadaardige QR codes, waardoor de aanvallers toegang krijgen tot hun privéchats.

Uit het gezamenlijke onderzoek en een rapport van ESET uit oktober 2025 blijkt dat Android gebruikers worden misleid om ProSpy of ToSpy malware te downloaden. Deze spyware monitort de online activiteiten van gebruikers en kan de volgende gegevens stelen, foto's, audio, video's, smsberichten, contactlijsten, Word-, Excel en PDF bestanden, en backupbestanden van apps zoals ToTok.

ProSpy is ontwikkeld in Kotlin en de oudste van de 11 verkregen samples dateert van augustus 2024. De spyware maakt gebruik van objectgeoriënteerde programmeerprincipes en is actief in ontwikkeling, aldus Lookout.

Lookout heeft deze campagne toegeschreven aan de Zuid-Aziatische groep BITTER (ook bekend als T-APT-17, APT-Q-37), vanwege de code overeenkomsten tussen ProSpy en de oudere Dracarys malware uit 2022. Beide gebruiken dezelfde genummerde commando's om telefoons te controleren.

Hoewel BITTER's aanvallen doorgaans de belangen van de Indiase overheid ondersteunen en gericht zijn op militaire, energie en overheidsgroepen, is deze nieuwe campagne gericht op activisten en journalisten in Egypte, Libanon, Bahrein en de Verenigde Arabische Emiraten. Onderzoekers vermoeden dat het om een hack for hire opdracht gaat. De onderzoekers waarschuwen dat men voorzichtig moet zijn met het klikken op links.

Bron: Lookout | Bron 2: accessnow.org | Bron 3: welivesecurity.com

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Cybercriminelen maken steeds vaker gebruik van tools die al in Windows aanwezig zijn om aanvallen uit te voeren, waarbij MSBuild.exe een favoriet is geworden. Dit door Microsoft ondertekende hulpprogramma wordt gebruikt om kwaadaardige code uit te voeren zonder traditionele uitvoerbare bestanden op de schijf te plaatsen.

MSBuild.exe is ontworpen om softwareontwikkelaars te helpen bij het compileren en bouwen van applicaties met behulp van XML gebaseerde projectbestanden. Omdat het een legitieme digitale handtekening van Microsoft heeft, wordt het door de meeste beveiligingsoplossingen als veilig beschouwd. Aanvallers maken hier misbruik van door kwaadaardige C#-code direct in projectbestanden in te voegen en in het geheugen uit te voeren, waardoor er weinig tot geen sporen op het bestandssysteem achterblijven.

ASEC analisten hebben twee praktijkvoorbeelden geïdentificeerd en gedocumenteerd waarin MSBuild werd misbruikt als een Living Off the Land Binary (LOLBin). De eerste, waargenomen in januari 2025, toonde aan dat MSBuild een TCP reverse shellverbinding tot stand kon brengen zonder een waarschuwing van Windows 11 Defender te activeren, zelfs met real-time monitoring ingeschakeld. De tweede, meer geavanceerde campagne, ontdekt in februari 2026, liet zien dat aanvallers MSBuild gebruikten als een downloader om kwaadaardige bestanden op te halen van een externe command and control (C2) server, in combinatie met een DLL sideloadingtechniek.

MSBuild is aantrekkelijk voor aanvallers vanwege de mogelijkheid om C#-code inline uit te voeren binnen projectbestanden, waardoor een afzonderlijk kwaadaardig uitvoerbaar bestand niet nodig is. Het ondersteunt het laden van bestanden, netwerkcommunicatie en het uitvoeren van binaries. Omdat het digitaal is ondertekend door Microsoft, omzeilt het gemakkelijk codehandtekeningcontroles waarop veel endpoint security tools vertrouwen.

De impact van deze aanvallen is groot. Organisaties die alleen vertrouwen op traditionele antivirus of handtekeninggebaseerde detectie zijn grotendeels blind voor deze technieken. Het fileless karakter van de aanval betekent minimale forensische bewijzen op de schijf, en het gebruik van een vertrouwde systeembinaire maakt het moeilijker voor verdedigers om kwaadaardige activiteit te scheiden van normale ontwikkelworkflows.

De aanvalscampagne van februari 2026 begint met een phishingmail met een gecomprimeerd bestand als bijlage, vermomd als een uitnodiging voor een vergadering of een werkgerelateerd document. In het archief vindt het slachtoffer een bestand dat een document lijkt te zijn, maar in werkelijkheid een hernoemde kopie is van MSBuild.exe, nog steeds met de originele Microsoft handtekening om geen argwaan te wekken. Wanneer het slachtoffer het bestand opent, scant MSBuild automatisch dezelfde map voor een projectbestand (.csproj) en laadt dit zonder enige command line input van de gebruiker. Het geladen projectbestand bevat een inline C#-script met Base64-gecodeerde URL's die verwijzen naar een externe C2-server. Het script decodeert deze URL's en downloadt drie bestanden, een willekeurig genoemd uitvoerbaar bestand, een DLL genaamd Avk.dll en een gegevensbestand genaamd AVKTray.dat, die allemaal in de tijdelijke map van het systeem worden opgeslagen. Eenmaal gedownload, voert MSBuild automatisch het uitvoerbare bestand uit. Dat uitvoerbare bestand, dat ook een geldige digitale handtekening heeft, laadt de kwaadaardige Avk.dll uit dezelfde map via DLL sideloading, waardoor de code van de aanvaller rechtstreeks in het geheugen wordt geïnjecteerd.

Om zich te beschermen tegen MSBuild gebaseerde aanvallen, zouden security teams MSBuild.exe moeten monitoren buiten ontwikkelomgevingen, .csproj bestanden moeten markeren die vanuit tijdelijke of downloadmappen worden uitgevoerd, uitgaande netwerkverbindingen van MSBuild moeten volgen en DLL sideloading patronen moeten detecteren waarbij legitiem ondertekende uitvoerbare bestanden abnormale DLL's laden. Een op gedrag gebaseerde, meerlagige detectieaanpak blijft de meest betrouwbare manier om deze dreiging te onderscheppen voordat er schade wordt aangericht.

Bron: ASEC

► Lees ook: Alles over phishing in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/phishing

Antivirusbedrijf Kaspersky meldt dat naast individuen ook bedrijven zijn getroffen door de besmette versies van CPU-Z en HWMonitor, die vorige week via de gehackte website van CPUID werden verspreid. CPUID biedt tools waarmee gebruikers informatie over hun systeem kunnen opvragen of de werking van de hardware kunnen monitoren.

De downloadlinks op de officiële CPUID site verwezen zes uur lang naar getrojaniseerde versies van CPU-Z, HWMonitor Pro, HWMonitor en PerfMonitor. Volgens de ontwikkelaar was een gecompromitteerde 'side API' de oorzaak, maar verdere details zijn nog niet bekendgemaakt. Kaspersky heeft een analyse van de malware gepubliceerd. Het betreft een remote access trojan (RAT) waarmee aanvallers toegang tot de systemen van slachtoffers krijgen.

Kaspersky detecteerde meer dan 150 slachtoffers, voornamelijk individuen, maar ook diverse bedrijven. Deze bedrijven zijn actief in sectoren als retail, productie, consultancy, telecom en landbouw. De meeste infecties werden waargenomen in Brazilië, China en Rusland. Kaspersky benadrukt dat het werkelijke aantal slachtoffers waarschijnlijk hoger ligt, aangezien het hier alleen om infecties gaat die door Kaspersky zijn waargenomen.

Bron: Kaspersky

"Ghost APIs", verouderde API endpoints die nog steeds toegankelijk zijn, vormen een groeiend beveiligingsrisico omdat ze vaak minder goed beveiligd zijn dan nieuwere versies. In tegenstelling tot "Shadow APIs" (API's die onbekend zijn binnen een organisatie), zijn Ghost APIs wel bekend, maar worden ze niet effectief buiten gebruik gesteld.

Oudere endpoints dateren vaak van vóór de introductie van Multi Factor Authenticatie (MFA), zero trust architecturen en moderne authenticatiemethoden, waardoor ze aantrekkelijke doelwitten zijn voor aanvallers. GenAI tools kunnen de structuur van verouderde API's snel reconstrueren op basis van publiek beschikbare trainingsdata, wat het voor aanvallers makkelijker maakt om misbruik te maken van deze endpoints.

Een voorbeeld van de risico's is het datalek bij Optus in 2022, waarbij de persoonlijke gegevens van 9,5 miljoen Australiërs werden blootgesteld via een vergeten API endpoint. Een programmeerfout in 2018 zorgde ervoor dat het endpoint feitelijk niet-geauthenticeerd was. Het endpoint werd nooit buiten gebruik gesteld, verwijderd of gemonitord. Vier jaar later ontdekte een aanvaller het en kon zonder authenticatie de data opvragen. De Australian Communications and Media Authority stelde vast dat Optus minstens drie eerdere mogelijkheden had om het probleem te identificeren en op te lossen.

Het verwijderen van een verouderde API op cloudschaal is lastig, omdat het moeilijk te bepalen is of er nog gebruikers zijn. In grote, gedistribueerde systemen is het antwoord zelden duidelijk. Het in leven houden van de API lijkt dan een veiliger optie dan het risico lopen iets onbekends te breken. Dit leidt tot een kloof tussen de beoogde architectuur en de daadwerkelijke situatie.

Aanvallers gebruiken verschillende technieken om Ghost API's te vinden, zoals brute-forcing van directory's, het raadplegen van het Wayback Machine voor oude documentatie, en het misbruiken van hardcoded of zwakke credentials. GenAI tools kunnen ook helpen bij de herkenning.

Om Ghost API's te mitigeren, worden drie stappen aanbevolen, verkeersanalyse via een service mesh, "scream testing" (het testen van endpoints om te zien of ze nog reageren), en identiteitsgebaseerde handhaving.

Bron: nvlpubs.nist.gov | Bron 2: ibm.com | Bron 3: doi.org

Cybercrimeinfo heeft op het darkweb een post ontdekt over een mogelijk datalek bij VUMI Group, een internationale aanbieder van ziektekostenverzekeringen en levensverzekeringen. VUMI Group heeft vooralsnog niet publiek gereageerd op de claim. De dreigingsactor, bekend als bytetobreach, claimt toegang te hebben gehad tot gevoelige gegevens van ongeveer 300.000 verzekerden en meer dan 25.000 medewerkers, partners en agenten.

Volgens de informatie zou de exfiltratie van de data zes dagen hebben geduurd. De acteur benadrukt dat alle databases en documenten exclusief van VUMI Group afkomstig zijn, zonder betrokkenheid van derden. De buitgemaakte data zou onder meer volledige persoonsgegevens (PII), burgerservicenummers (SSN's), gescande paspoorten en W-9 belastingformulieren bevatten.

De dreigingsactor heeft een reeks screenshots als bewijs van de aanval gepubliceerd, die de verschillende stappen van de aanvalsketen documenteren, van de initiële ontdekking van een kwetsbaarheid tot de daadwerkelijke extractie van data. De data wordt via OwnCloud verspreid, met twee back-uplinks. De acteur geeft de voorkeur aan contact via Session of Signal messaging.

Gezien het internationale karakter van VUMI Group en het feit dat het bedrijf veel expats bedient, is het risico op identiteitsdiefstal aanzienlijk. Met name de paspoortscans en W-9 formulieren bieden mogelijkheden voor respectievelijk reisdocumentfraude en belastingfraude.

De aanval zou gebruik hebben gemaakt van een kwetsbaarheid in een publiek toegankelijke applicatie (T1190 Exploit Public-Facing Application) om toegang te krijgen tot de verzekeringsdatabase. Vervolgens werden gegevens uit informatierepository's geëxfiltreerd (T1213 Data from Information Repositories), waarbij SSN's, paspoortgegevens en W-9 formulieren werden verzameld (T1589.001 Gather Victim Identity Credentials). Tijdens de data-exfiltratie werden data transfer size limits in acht genomen (T1030 Data Transfer Size Limits) om te voorkomen dat de server crashte.

Bron: darkweb

Cybercrimeinfo heeft op het darkweb een post ontdekt over een datalek bij de Poolse retailer VegeHome, een bedrijf dat milieuvriendelijke producten verkoopt. Het incident speelt in april 2026. Een dreigingsactor, bekend onder de naam lulzintel, heeft de volledige database van vegehome.pl openbaar gemaakt. Hierdoor zijn de gegevens van meer dan 100.000 klanten gelekt.

De gelekte data is afkomstig van een PrestaShop installatie en bevat onder andere klantgegevens zoals ID's, voornamen en achternamen, e-mailadressen, geslacht en verjaardagen. Ook zijn bedrijfsgegevens, zoals bedrijfsnamen, SIRET-nummers (bedrijfsregistratie Frans en EU identificatie) en APE-codes (classificatie van bedrijfsactiviteiten) buitgemaakt. Dit suggereert dat VegeHome zowel particuliere als zakelijke klanten bedient.

Verder bevat het lek gehashte wachtwoorden, tijdstempels van de laatste wachtwoordgeneratie, secure keys, wachtwoord reset tokens en de geldigheidsduur van wachtwoord resets. De combinatie van wachtwoord reset tokens, secure keys en gehashte wachtwoorden maakt dit lek extra gevaarlijk, omdat aanvallers mogelijk direct accounts kunnen overnemen zonder wachtwoorden te kraken. De data voor B2B (SIRET-nummers, bedrijfsnamen, betalingsvoorwaarden) voegt een extra dimensie toe, namelijk identiteitsdiefstal van bedrijven.

De gelekte data bevat ook shop group ID's, shop ID's, default group ID's, taal ID's, risico ID's, nieuwsbrief inschrijving status, IP-adressen van nieuwsbrief registraties, opt-in status, account aanmaakdatums, laatste update datums, actieve/deleted/guest flags en notities. Daarnaast zijn er financiële instellingen zoals openstaande bedragen, publieke prijzen en maximale betalingstermijnen, die typisch worden gebruikt voor B2B-klanten met kredietvoorwaarden. Ook een aparte ps_mail tabel met mail ID's, ontvangers, templates, onderwerpen, taal ID's en tijdstempels is gelekt, waardoor de interne e-mailcommunicatie van de winkel met klanten is blootgesteld.

De dreigingsactor heeft de gestolen database gratis te downloaden aangeboden op een forum, waarvoor men zich eerst moet registreren.

Bron: darkweb

Een dreigingsactor die bekend staat als 'nxe' biedt 70 GB aan onder exportcontrole vallende technische gegevens te koop aan, afkomstig van SEKISUI Aerospace Corporation, de Amerikaanse dochteronderneming van SEKISUI Chemical Japan. Cybercrimeinfo ontdekte de advertentie op het darkweb.

SEKISUI Aerospace is een Tier 1 directe leverancier voor Boeing 737- en 787-programma's, Spirit AeroSystems, Triumph Group en diverse Amerikaanse militaire programma's. Het bedrijf is gespecialiseerd in geavanceerde composietstructuren, precisie-assemblagetools en thermoplastische componenten en laswerkzaamheden die worden gebruikt in de romp, vleugel, kielbalk en interieurstructuren. Tot de bekende eindklanten behoren Boeing Commercial, Boeing Defense, NASA, Lockheed Martin en Northrop Grumman.

Alle tekeningen en modellen in het pakket zijn gemarkeerd als export-gecontroleerd onder EAR 9E991 en ITAR Technical Data, wat betekent dat geen van het materiaal legaal vanuit de Verenigde Staten mag worden geëxporteerd zonder een goedgekeurde licentie van BIS of DDTC. De verkoop van deze gegevens op een openbaar forum vormt een mogelijke schending van de Amerikaanse exportwetgeving, ongeacht wie het koopt. De actor verklaart dat de gegevens eerder exclusief aan hen zijn verkocht als een eenmalige verkoop, en dat ze deze nu doorverkopen.

Het 70 GB technische datapakket bevat:

* Technische PDF-bestanden met volledige productie-engineeringdocumentatie.

* Complete STEP-bestanden in AP242-formaat, compatibel met CATIA V5-6R2022 en SolidWorks 2018 tot en met 2024.

* Volledige stuklijsten met authentieke Boeing-onderdeelnummers.

* Productietools voor Boeing 737 MAX Keel Skin Splice Strap, Boeing 787 Section 41 Nose en interieurpaneelassemblages.

* Details voor koolstofvezel prepreg, thermoplastische PEI en PPS, aluminium 6061-T6 en titanium inserts.

* Toleranties tot plus/minus 0,0005 inch met GD&T in overeenstemming met ASME Y14.5.

* Driedimensionale modellen van assemblagetools inclusief boorjiggen, trimfixtures, bondingfixtures en alle gerelateerde bussen en locatorhardware met echte Carr Lane en McMaster-Carr-onderdeelnummers.

* Boeing BAC-conforme processpecificatiedocumenten.

De actor beschrijft dit als technische gegevens op productieniveau van een actieve Boeing-leverancier. De prijs is $200.000 USD en bespreekbaar, met escrow vereist, samples beschikbaar op vertoon van bewijs van geldmiddelen, en contact via Telegram.

Bron: darkweb

Meer dan honderd malafide extensies in de officiële Chrome Web Store proberen Google OAuth2 Bearer tokens te stelen, backdoors te installeren en advertentiefraude te plegen. Onderzoekers van applicatiebeveiligingsbedrijf Socket ontdekten dat de schadelijke extensies deel uitmaken van een gecoördineerde campagne die gebruikmaakt van dezelfde command-and-control (C2) infrastructuur. De dreigingsactor publiceerde de extensies onder vijf verschillende uitgeveridentiteiten in meerdere categorieën: Telegram sidebar clients, slotmachine en Keno-spellen, YouTube en TikTok-verbeteraars, een tool voor tekstvertaling en hulpprogramma's.

Volgens de onderzoekers gebruikt de campagne een centrale backend die wordt gehost op een Contabo VPS, met meerdere subdomeinen die sessie-hijacking, identiteitsverzameling, commando-uitvoering en monetization-operaties afhandelen. Socket heeft bewijs gevonden dat wijst op een Russische malware-as-a-service (MaaS) operatie, gebaseerd op commentaar in de code voor authenticatie en sessie-diefstal.

De grootste cluster, bestaande uit 78 extensies, injecteert door de aanvaller gecontroleerde HTML in de gebruikersinterface via de 'innerHTML' property. De tweede grootste groep, met 54 extensies, gebruikt 'chrome.identity.getAuthToken' om het e-mailadres, de naam, de profielfoto en de Google account ID van het slachtoffer te verzamelen. Ze stelen ook het Google OAuth2 Bearer token, een kortstondig toegangstoken dat applicaties toestaat om toegang te krijgen tot de data van een gebruiker of om namens hen te handelen.

Een derde batch van 45 extensies bevat een verborgen functie die bij het opstarten van de browser wordt uitgevoerd en fungeert als een backdoor die commando's van de C2 ophaalt en willekeurige URL's kan openen. Deze functie vereist niet dat de gebruiker met de extensie interageert. Een extensie die door Socket wordt benadrukt als "de meest ernstige" steelt elke 15 seconden Telegram Web sessies, extraheert sessiedata van 'localStorage' en het sessietoken voor Telegram Web, en stuurt de info naar de C2.

"De extensie behandelt ook een inkomend bericht (set_session_changed) dat de omgekeerde operatie uitvoert, het wist de localStorage van het slachtoffer, overschrijft het met door de dreigingsactor geleverde sessiedata, en forceert het herladen van Telegram," aldus Socket. "Dit stelt de operator in staat om de browser van elk slachtoffer te verwisselen naar een andere Telegram account zonder dat het slachtoffer het weet."

De onderzoekers vonden ook drie extensies die security headers strippen en advertenties injecteren in YouTube en TikTok, één die vertaalverzoeken via een malafide server proxy't, en een niet-actieve Telegram sessie-diefstal extensie die gebruikmaakt van gefaseerde infrastructuur. Socket heeft Google op de hoogte gebracht van de campagne, maar waarschuwt dat alle schadelijke extensies nog steeds beschikbaar zijn in de Chrome Web Store op het moment van publicatie van hun rapport. BleepingComputer bevestigt dat veel van de extensies die in het rapport van Socket worden genoemd nog steeds beschikbaar zijn op het moment van publicatie.

Gebruikers wordt aangeraden hun geïnstalleerde extensies te controleren aan de hand van de IDs die Socket heeft gepubliceerd, en alle overeenkomsten onmiddellijk te verwijderen.

Bron: Socket

Een kwaadaardige versie van de Ledger Live app voor macOS, beschikbaar in de Apple App Store, heeft in enkele dagen tijd ongeveer 9,5 miljoen dollar aan cryptocurrency gestolen van 50 slachtoffers. Gebruikers die de valse Ledger app downloaden, worden misleid om hun seed/recovery phrases in te voeren, waardoor aanvallers volledige toegang krijgen tot hun wallets. Hierdoor kunnen ze digitale assets overboeken naar externe adressen die onder hun controle staan.

Volgens blockchain onderzoeker ZachXBT gebruikten de aanvallers diverse wallet-adressen om fondsen te ontvangen via meerdere blockchains, waaronder Bitcoin, Ethereum, Tron, Solana en Ripple. De gestolen bedragen werden vervolgens witgewassen via meer dan 150 deposit-adressen op KuCoin, die gelinkt zijn aan een gecentraliseerde mixing service genaamd "AudiA6". Deze dienst witwast crypto in ruil voor hoge kosten.

De onderzoeker traceerde drie individuele slachtoffers die bedragen in de zeven cijfers verloren (3,23 miljoen dollar, 2,08 miljoen dollar en 1,95 miljoen dollar) tussen 8 en 11 april. Muzikant G. Love meldde op X dat hij ook 5,9 BTC (ongeveer 430.000 dollar) verloor na het downloaden van de app. Dit verlies werd ook getraceerd en bevestigd door ZachXBT.

Volgens een Reddit-discussie werd de valse app ingediend bij de Apple App Store onder de naam 'Leva Heal Limited', een account dat niet is geassocieerd met het echte Ledger-ontwikkelteam. De kwaadwillende acteur creëerde ook een valse versiegeschiedenis door om de paar dagen nieuwe versies uit te brengen, van 1.0 naar 5.0 in slechts twee weken.

Na meerdere meldingen van gebruikers heeft Apple de valse app uit de App Store verwijderd, maar niet voordat 50 gebruikers in totaal 9,5 miljoen dollar verloren.

KuCoin heeft de accounts die betrokken zijn bij de recente oplichting bevroren. Het platform merkte echter op dat de bevriezing slechts tot 20 april duurt. Daarna kan de bevriezing worden verlengd via een officieel verzoek van de autoriteiten.

Ledger biedt wel een Mac app aan op zijn website, maar niet in de Apple App Store. Daar is alleen een iOS-compatibele versie beschikbaar. Dreigingsactoren hebben in het verleden geprobeerd dit gat in de beschikbaarheid te misbruiken, zelfs gericht op de Microsoft Store in 2023, waarbij ze voor 768.000 dollar aan cryptocurrency stalen.

Bron: support.ledger.com

AI bedrijf Anthropic stelt dat zijn nieuwe AI model, Claude Mythos Preview, in staat is om zelfstandig kritieke kwetsbaarheden in complexe software te vinden en te misbruiken. Het model is echter niet publiekelijk beschikbaar, maar is gedeeld met partijen zoals Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Deze bedrijven kunnen het model gebruiken om hun eigen software te controleren.

Volgens Anthropic heeft het model duizenden kwetsbaarheden gevonden in onder andere alle grote besturingssystemen en browsers. Een van de ontdekte kwetsbaarheden betreft een 27 jaar oude bug in OpenBSD. Het model is tevens in staat om exploits te ontwikkelen. Zo zou het een kwetsbaarheid in de Linux-kernel kunnen vinden en misbruiken, waardoor een aanvaller zijn rechten kan verhogen en root-toegang kan verkrijgen.

Anthropic benadrukt dat het model niet specifiek is getraind om kwetsbaarheden te vinden en te misbruiken. De mogelijkheden zijn volgens het bedrijf een gevolg van algemene verbeteringen in code, redeneren en autonomie. Dezelfde verbeteringen die het model effectiever maken in het patchen van kwetsbaarheden, maken het ook effectiever in het misbruiken ervan. Het AI bedrijf is niet van plan om het model publiekelijk beschikbaar te maken, maar wil in de toekomst wel AI modellen zoals Mythos Preview aan gebruikers aanbieden, zodra er voldoende beveiligingsmaatregelen zijn om gevaarlijke outputs te detecteren en blokkeren.

Bron: Anthropic | Bron 2: nodesource.com | Bron 3: computerworld.com

InfoGuard heeft een nieuwe Python gebaseerde backdoor ontdekt, genaamd ViperTunnel, die zich schuilhoudt in de netwerken van bedrijven in het Verenigd Koninkrijk en de Verenigde Staten. De malware is sinds eind 2023 in ontwikkeling en wordt vaak ingezet als follow-up op FAKEUPDATES (SocGholish) infecties. Momenteel wordt het gebruikt om lange termijn toegang tot systemen te behouden, waarna die toegang wordt verkocht aan grote ransomwaregroepen zoals RansomHub.

De ontdekking begon tijdens een reactie op een DragonForceransomware aanval. Onderzoekers ontdekten een vreemde geplande taak op Windows-machines met de naam 523135538. Verder onderzoek wees uit dat de aanvallers een truc gebruikten met een bestand genaamd sitecustomize.py in C:\ProgramData\cp49s\Lib\. Dit is een standaard Python module, maar omdat het automatisch wordt geladen wanneer de interpreter start, kunnen hackers hun code uitvoeren zonder handmatige input. De backdoor zelf was vermomd als een systeembestand genaamd b5yogiiy3c.dll.

Ondanks de naam is het eigenlijk een Python script dat zich voordoet als een systeem bibliotheek. Om te voorkomen dat iemand de code leest, hebben hackers de code versleuteld met drie encryptielagen: Base85 encoding, zlib compressie, en AES en ChaCha20 encryptie.

"Het script maakt gebruik van ctypes om Python C API functies aan te roepen," aldus de onderzoekers, die uitleggen hoe de code identificeert of het alleen wordt uitgevoerd of als onderdeel van een grotere taak. Wanneer VIPERTUNNEL is geïnstalleerd, creëert het eerst een SOCKS5 proxy via poort 443, dezelfde poort die wordt gebruikt voor standaard web browsing. Dit wordt gedaan om de gestolen data bijna onmogelijk te traceren in regulier verkeer.

Volgens de onderzoekers is ViperTunnel het werk van UNC2165, een groep die nauw verbonden is met het beruchte EvilCorp. Het wordt vaak gebruikt in combinatie met ShadowCoil, een tool voor het stelen van inloggegevens die Chrome, Firefox en Edge als doelwit heeft. De malware is in de loop der tijd verbeterd. In december 2023 stond de code vol met typefouten, maar in september 2024 gebruikten de makers PyOBFUSCATE om hun werk te verbergen. Eind 2025 was het een professionele tool geworden met een modulair ontwerp, bestaande uit Wire, Relay en Commander.

Een zorgwekkende ontdekking was een nieuwe check voor TracerPid in Linux systeem bestanden. Hoewel de huidige aanvallen gericht zijn op Windows, vermoeden de onderzoekers dat hackers mogelijk een versie voor Linux servers voorbereiden om een platform overschrijdend framework te creëren. De meeste controle servers worden momenteel in de VS gehost. De stealthy aard van de code betekent dat deze maandenlang onopgemerkt kan blijven in netwerken. De onderzoekers waarschuwen dat de hackers, door hun code te blijven verbeteren, mogelijk Linux servers van grote bedrijven kunnen gaan aanvallen.

Bron: InfoGuard

► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware

Meer dan 30 WordPress plugins in het EssentialPlugin pakket zijn gecompromitteerd met kwaadaardige code die ongeautoriseerde toegang tot websites mogelijk maakt. Een kwaadwillende actor heeft de backdoor code vorig jaar geplaatst, maar is pas recentelijk begonnen met het pushen ervan naar gebruikers via updates. Dit genereert spam pagina's en veroorzaakt redirects, volgens instructies van de command-and-control (C2) server.

De inbreuk treft plugins met honderdduizenden actieve installaties en werd ontdekt door Austin Ginder, de oprichter van managed WordPress hosting provider Anchor Hosting, na een tip over een add-on met code die toegang door derden mogelijk maakte. Verder onderzoek door Ginder onthulde dat er sinds augustus 2025 een backdoor aanwezig was in alle plugins binnen het EssentialPlugin pakket, nadat het project in een zescijferige deal was overgenomen door een nieuwe eigenaar.

EssentialPlugin, opgericht in 2015 als WP Online Support en in 2021 omgedoopt, is een WordPress ontwikkelingsbedrijf dat sliders, galerijen, marketing tools, WooCommerce extensies, SEO/analytics utilities en thema's aanbiedt. Volgens Ginder bleef de backdoor inactief tot hij recentelijk werd geactiveerd en stilletjes contact opnam met externe infrastructuur om een bestand op te halen ('wp-comments-posts.php') dat malware injecteert in 'wp-config.php.' De gedownloade malware is onzichtbaar voor site-eigenaren en gebruikt Ethereum-gebaseerde C2 adresresolutie voor ontwijking. Afhankelijk van de ontvangen instructies kan de malware "spam links, redirects en nep pagina's" ophalen.

"De geïnjecteerde code was geavanceerd. Het haalde spam links, redirects en nep pagina's op van een command-and-control server. Het toonde de spam alleen aan Googlebot, waardoor het onzichtbaar was voor site-eigenaren," aldus Ginder. Analyse van WordPress security platform PatchStack laat zien dat de backdoor alleen werkte als het 'analytics.essentialplugin.com' endpoint terugkeerde met kwaadaardige serialized content.

WordPress.org reageerde snel op de meldingen van de kwaadaardige activiteit door de plugins te sluiten en een geforceerde update naar websites te pushen om de communicatie van de backdoor te neutraliseren en het uitvoeringspad uit te schakelen. De ontwikkelaars waarschuwden echter dat de actie het wp-config core configuratiebestand, dat websites verbindt met hun databases en belangrijke instellingen bevat, niet opschoonde. Het WordPress.org Plugins Team waarschuwde ook beheerders van websites die een EssentialPlugin product gebruiken dat, hoewel een bekende locatie voor de backdoor een bestand is genaamd wp-comments-posts.php, dat lijkt op het legitieme wp-comments-post.php, de malware zich ook in andere bestanden kan verbergen.

Bron: essentialplugin.com | Bron 2: anchor.host | Bron 3: patchstack.com

Het CERT-team van Oekraïne heeft in maart een nieuwe malwarefamilie ontdekt, genaamd 'AgingFly', die wordt gebruikt bij aanvallen op lokale overheden en ziekenhuizen. De malware steelt authenticatiegegevens van Chromium-gebaseerde browsers en WhatsApp. Mogelijke doelwitten zijn ook vertegenwoordigers van de strijdkrachten. CERT-UA heeft de aanvallen toegeschreven aan een cyberdreiging die ze volgen als UAC-0247.

De aanval begint met een e-mail die zogenaamd humanitaire hulp aanbiedt en een ingesloten link bevat. Deze link leidt naar een legitieme site die is gecompromitteerd via een cross-site scripting (XSS) kwetsbaarheid, of naar een valse site die is gegenereerd met behulp van een AI tool. Het doelwit ontvangt een archief met een shortcut-bestand (LNK) dat een ingebouwde HTA-handler start. Deze handler maakt verbinding met een externe bron om het HTA-bestand op te halen en uit te voeren. Het HTA-bestand toont een afleidingsformulier en creëert een geplande taak die een EXE-payload downloadt en uitvoert, die shellcode injecteert in een legitiem proces.

Vervolgens implementeren de aanvallers een two-stage loader, waarbij de tweede stage een aangepast uitvoerbaar formaat gebruikt en de uiteindelijke payload is gecomprimeerd en versleuteld. Een TCP reverse shell, of een analoog geclassificeerd als RAVENSHELL, kan worden gebruikt als stager om een TCP-verbinding met de beheerserver tot stand te brengen. De TCP-verbinding is versleuteld met een XOR-cipher en wordt gebruikt om commando's uit te voeren via de Command Prompt in Windows.

In de volgende fase wordt de AgingFly-malware geleverd en ingezet. Tegelijkertijd wordt een PowerShell-script (SILENTLOOP) gebruikt om commando's uit te voeren, de configuratie bij te werken en het C2-serveradres op te halen uit een Telegram-kanaal of fallback-mechanismen.

Na onderzoek van een tiental incidenten hebben de onderzoekers vastgesteld dat de aanvaller browserdata steelt met behulp van de open-source security tool ChromElevator. Deze tool kan gevoelige informatie, zoals cookies en opgeslagen wachtwoorden, decoderen en extraheren uit Chromium-gebaseerde browsers (zoals Google Chrome, Edge, Brave) zonder beheerdersrechten. De dreigingsactor probeert ook gevoelige gegevens te extraheren uit de WhatsApp-applicatie voor Windows door databases te decoderen met behulp van de ZAPiDESK open-source forensic tool. De actor voert ook reconnaissance uit en probeert lateraal te bewegen op het netwerk, en gebruikt publiek beschikbare utilities, zoals de RustScan port scanner en de Ligolo-ng en Chisel tunneling tools.

AgingFly is een C#-malware die operators in staat stelt tot remote control, commando-uitvoering, file exfiltration, screenshot capture, keylogging en arbitrary code execution. Het communiceert met de C2-server via WebSockets en versleutelt het verkeer met AES-CBC met een statische sleutel. De malware compileert command handlers on-demand, direct op de host, vanuit de source code die het ontvangt van de C2-server.

CERT-UA adviseert gebruikers om de lancering van LNK-, HTA- en JS-bestanden te blokkeren om de aanvalsketen te verstoren.

Bron: CERT-UA | Bron 2: cert.gov.ua

De ransomwaregroep Vect, een nieuwe Ransomware-as-a-Service groep actief sinds december 2025, heeft Guesty (property management sector) als slachtoffer op hun data-leaksite geplaatst. Volgens securityonderzoek van Socket is dit onderdeel van de bredere TeamPCP supply chain campagne, waarbij compromises in tools als LiteLLM, Trivy en KICS worden gebruikt om toegang te verkrijgen tot downstream organisaties.

Vect claimt data-exfiltratie van 4 miljoen items bij Guesty. De groep gebruikt ChaCha20-Poly1305 encryptie en werkt via BreachForums, waar TeamPCP affiliate keys distribueerde onder ongeveer 300.000 gebruikers.

Supply chain aanvallen zoals deze raken vaak meerdere organisaties tegelijk doordat aanvallers de vertrouwensrelatie tussen leverancier en klant misbruiken. Voor Nederlandse en Belgische organisaties is het belangrijk om te weten welke softwareleveranciers en dienstverleners toegang hebben tot systemen en welke maatregelen zij hebben genomen tegen dit type aanval.

Bron: Int. Cyber Digest

Cybersecurity-experts van Malwarebytes hebben een nieuwe campagne ontdekt waarbij cybercriminelen de populariteit van Anthropic's AI tool Claude misbruiken om malware te verspreiden. De aanvallers hebben een valse website gemaakt die sterk lijkt op de officiële website van Anthropic en biedt een Pro-versie van de tool voor Windows aan. Hiermee proberen ze gebruikers te verleiden een kwaadaardig bestand te downloaden.

Het slachtoffer wordt via phishing-e-mails naar de valse site gelokt en downloadt een zip-bestand genaamd Claude-Pro-windows-x64.zip. Dit bestand bevat een MSI-installer die een shortcut genaamd Claude AI.lnk op het bureaublad plaatst. Wanneer hierop wordt geklikt, wordt een VBScript uitgevoerd. Dit script start eerst de echte Claude app om de gebruiker af te leiden en installeert tegelijkertijd de PlugX-malware, waardoor aanvallers op afstand controle over het geïnfecteerde apparaat kunnen krijgen.

De aanvallers gebruiken een techniek genaamd DLL sideloading. Ze maken gebruik van een legitiem bestand, NOVUpdate.exe, van het beveiligingsbedrijf G DATA. Omdat dit bestand is ondertekend en officieel, beschouwt het systeem het als veilig. Echter, de aanvallers hebben heimelijk een kwaadaardig bestand genaamd avk.dll en een data bestand genaamd NOVUpdate.exe.dat in dezelfde map geplaatst. Wanneer het legitieme bestand wordt uitgevoerd, worden onbedoeld ook deze kwaadaardige bestanden geopend.

Volgens het onderzoek van Malwarebytes voegt PlugX zichzelf toe aan de Windows Startup-map om persistente toegang te verkrijgen. Hierdoor wordt de malware gestart telkens wanneer de computer wordt ingeschakeld. Binnen 22 seconden na installatie begint PlugX te communiceren met de aanvallers via een server op het IP-adres 8.217.190.58 op poort 443. Deze server maakt deel uit van Alibaba Cloud, die vaak door cybercriminelen wordt gebruikt om hun sporen te verbergen. De malware wijzigt zelfs de TCP/IP-register sleutel om de communicatie te vergemakkelijken.

Malwarebytes-onderzoekers merken op dat PlugX in het verleden in verband is gebracht met spionage-operaties die gelinkt zijn aan Chinese overheidsbelangen. De broncode van PlugX circuleert echter ook op ondergrondse forums, waardoor de groep potentiële gebruikers groter is geworden. Attributie op basis van tooling alleen is daarom niet definitief.

Een simpele spelfout kan aangeven dat de software nep is. De aanvallers hebben een map genaamd "Cluade" gemaakt in plaats van Claude in C:\Program Files (x86)\Anthropic\Claude\Cluade. Om verborgen te blijven, gebruikt de malware een script genaamd del.vbs.bat dat zichzelf na installatie verwijdert. Ook wordt een silent error-techniek gebruikt om te voorkomen dat er waarschuwingsberichten verschijnen als de installatie mislukt.

De aanvallers blijven actief. Onderzoekers hebben waargenomen dat ze Kingmailer gebruikten op 28 maart 2026 en overschakelden naar CampaignLark op 5 april 2026 om phishing-mails te verspreiden. Daarom wordt aangeraden AI tools alleen van officiële websites te downloaden, in dit geval claude.com. Als bestanden zoals NOVUpdate.exe of avk.dll in de Startup-map worden aangetroffen, wordt aangeraden de internetverbinding te verbreken en onmiddellijk wachtwoorden te wijzigen.

Yagub Rahimov, CEO van Polygraf AI, deelde zijn mening over deze campagne met Hackread.com en merkte op dat hoewel het aas nieuw is, de strategie bekend is. De methode is al jaren hetzelfde, waarbij een signed binary, een malicious DLL en een encrypted payload worden gebruikt. Het feit dat een legitiem signed executable niet wordt opgemerkt, maakt deze aanpak effectief. De opkomst van AI tools heeft wel de doelgroep veranderd, waardoor niet langer alleen grafisch ontwerpers, maar een breder publiek kan worden misleid door een ogenschijnlijk onschuldige advertentie.

Bron: Malwarebytes

Onderzoekers van het securitybedrijf Huntress hebben een campagne ontdekt waarbij een digitaal gesigneerde adware tool wordt misbruikt om antivirusprogramma's uit te schakelen op duizenden endpoints, waaronder systemen in het onderwijs, de energiesector, de overheid en de gezondheidszorg. Op 22 maart 2026 ontdekten de onderzoekers dat de software, die wordt beschouwd als een potentieel ongewenst programma (PUP), alerts veroorzaakte in verschillende beheerde omgevingen.

De adware tool is gesigneerd door Dragon Boss Solutions LLC, een bedrijf dat zich bezighoudt met "search monetization research" en verschillende tools promoot, zoals Chromstera Browser, Chromnius, WorldWideWeb, Web Genius en Artificius Browser. Deze tools worden door beveiligingsoplossingen als PUP's gedetecteerd. Naast het tonen van advertenties en browser redirects, bevatten de browsers van Dragon Boss Solutions een geavanceerd update mechanisme dat een antivirus killer implementeert.

Het update mechanisme, afkomstig van de commerciële Advanced Installer authoring tool, wordt gebruikt om MSI en PowerShell- payloads uit te rollen. De configuratie van het updateproces is volledig stil en vereist geen gebruikersinteractie. De payloads worden geïnstalleerd met verhoogde (SYSTEM) privileges, waardoor gebruikers automatische updates niet kunnen uitschakelen. Het proces controleert frequent op nieuwe updates.

Het updateproces haalt een MSI-payload (Setup.msi) op, vermomd als een GIF-afbeelding. Deze payload wordt door slechts een klein aantal security vendors als kwaadaardig gemarkeerd op VirusTotal. De MSI-payload bevat DLL's die Advanced Installer gebruikt om PowerShell-scripts uit te voeren, naar specifieke software op het systeem te zoeken en andere custom actions uit te voeren die zijn gedefinieerd in een bestand genaamd '!_StringData'.

Voordat de hoofdpayload wordt uitgerold, voert de MSI-installer reconnaissance uit. Het controleert de admin status, detecteert virtuele machines, verifieert de internetconnectiviteit en controleert het register op geïnstalleerde antivirusproducten van Malwarebytes, Kaspersky, McAfee en ESET. Deze security producten worden vervolgens uitgeschakeld met behulp van een PowerShell-script genaamd ClockRemoval.ps1, dat op twee locaties wordt geplaatst.

Het ClockRemoval.ps1 script wordt uitgevoerd bij het opstarten van het systeem, bij het inloggen en elke 30 minuten. Het script stopt services, beëindigt processen, verwijdert installatiemappen en registervermeldingen, voert silent uninstallers van de vendors uit en verwijdert bestanden geforceerd wanneer de uninstallers falen. Het script voorkomt ook dat de security producten opnieuw worden geïnstalleerd of bijgewerkt door de vendor domains te blokkeren via het hosts bestand en deze te null-routen (omleiden naar 0.0.0.0). Ook de installatieprogramma's voor Opera, Chrome, Firefox en Edge worden geviseerd, waarschijnlijk om interferentie met de browser hijacking van de adware te voorkomen.

Huntress registreerde het hoofddomein (chromsterabrowser[.]com) en het fallback domein (worldwidewebframework3[.]com) die in de campagne werden gebruikt, nadat ze ontdekten dat de operator dit had nagelaten. Hierdoor konden ze het verkeer van tienduizenden geïnfecteerde endpoints sinkholen. Op basis van de IP-adressen identificeerden de onderzoekers 324 geïnfecteerde hosts in high-value netwerken: 221 academische instellingen, 41 Operational Technology netwerken, 35 gemeenten, overheidsinstanties en openbare nutsbedrijven, 24 primaire en secundaire onderwijsinstellingen en 3 zorgorganisaties.

Huntress waarschuwt dat, hoewel de tool momenteel een AV killer gebruikt, het mechanisme om veel gevaarlijkere payloads te introduceren aanwezig is en op elk moment kan worden gebruikt om de aanvallen te escaleren.

Bron: Huntress | Bron 2: virustotal.com | Bron 3: advancedinstaller.com

De opkomst van artificiële intelligentie (AI) maakt het voor cybercriminelen steeds eenvoudiger om online mensen op te lichten. Ethisch hacker Inti De Ceukelaire demonstreerde hoe eenvoudig het is om met behulp van AI een phishingplatform te maken. Met het AI model Claude van Anthropic kon hij in minder dan een half uur een volledige phishingpagina genereren.

Waar vroeger technische kennis vereist was en het opzetten van een phishingcampagne dagen of weken kon duren, is het nu voor vrijwel iedereen mogelijk om in enkele minuten een dergelijke campagne op te zetten, aldus De Ceukelaire. AI maakt het ook mogelijk om phishingmails veel persoonlijker te maken. Een AI-systeem kan sociale media uitlezen en zo bijvoorbeeld interesses van potentiële slachtoffers achterhalen. Vervolgens kan een phishingmail worden verstuurd die verwijst naar een valse website die bijvoorbeeld tickets voor een evenement verkoopt waar het slachtoffer interesse in heeft.

Hoewel AI modellen in eerste instantie zijn ontworpen om illegale opdrachten te weigeren, blijkt het verrassend eenvoudig om deze veiligheidsmechanismen te omzeilen. Door het model bijvoorbeeld te vragen om een waarschuwing op de pagina te plaatsen, zogenaamd om gebruikers te beschermen, kan het model alsnog een phishingtool bouwen. Vervolgens kan de waarschuwing weer worden verwijderd, waardoor een werkende phishingtool ontstaat.

De Ceukelaire geeft enkele tips om AI-phishing te herkennen. Let op het gebruik van een lang liggend streepje "-", wat vaak voorkomt in Engelstalige teksten maar minder in het Nederlands. Ook zien websites die door AI zijn gemaakt er vaak blauw of paars uit en gebruiken ze veel emoji's. De belangrijkste tip blijft echter om kritisch te zijn, niet te klikken zonder na te denken en zeker geen voorschotten te betalen zonder de website te controleren.

Bron: VRT NWS

Volgens het Google Threat Intelligence Group (GTIG) is Duitsland in 2025 teruggekeerd naar de positie van primair doelwit voor cyberafpersing in Europa. Hoewel het aantal publicaties op datalek-sites (DLS) wereldwijd met bijna 50% steeg, tonen gegevens van GTIG aan dat de toename de Duitse infrastructuur harder en sneller treft dan de buurlanden. Dit markeert een significante terugkeer naar de hoge druk die het land in 2022 en 2023 ondervond.

Na een periode in 2024 waarin het Verenigd Koninkrijk voorop liep, verschoof de focus in 2025 naar Duitsland. Deze verschuiving is niet het gevolg van het totale aantal bedrijven in Europa, aangezien Duitsland minder actieve ondernemingen heeft dan Frankrijk of Italië. De aanhoudende aantrekkingskracht op afpersingsgroepen wordt gedreven door de status van Duitsland als een geavanceerde Europese economie met een steeds verder gedigitaliseerde industriële basis.

De snelheid van deze escalatie is opvallend. Na een relatieve afkoeling in 2024, zag Duitsland in 2025 een groei van 92% in datalekken, een groei die het Europese gemiddelde verdrievoudigde. Terwijl het aantal vermeldingen van Britse organisaties op shaming-sites afkoelde, zagen niet-Engelstalige landen, met name Duitsland, een sterke stijging. De voortdurende rijping van het cybercriminele ecosysteem, inclusief het gebruik van AI om lokalisatie van hoge kwaliteit te automatiseren, erodeert de historische bescherming die taalbarrières boden. GTIG heeft ook waargenomen dat meerdere cybercriminele groepen advertenties plaatsen, op zoek naar toegang tot Duitse bedrijven en een deel van de afpersingsgelden aanbieden. Zo richt de dreigingsactor Sarcoma zich sinds november 2024 op bedrijven in verschillende ontwikkelde landen, waaronder Duitsland.

Het jaar 2025 werd gekenmerkt door turbulentie in het cybercriminele ecosysteem, als gevolg van interne conflicten en acties van wetshandhavers tegen dominante "big game" operaties zoals LOCKBIT en ALPHV. Het ontstane vacuüm aan de top van de ransomwaremarkt heeft geleid tot een drukker veld van wendbare, mid-tier DLS-merken. In Duitsland is deze herverdeling zichtbaar, toen gevestigde merken zich terugtrokken, ontstond er een grotere pool van concurrenten om het marktaandeel te absorberen. Na de verstoring van LockBit hebben groepen zoals SAFEPAY en Qilin aan belang gewonnen in het Duitse landschap. SAFEPAY claimde in 2025 inbreuken op 76 Duitse bedrijven, wat neerkomt op 25% van alle Duitse slachtofferposts dat jaar. Qilin verdrievoudigde het aantal operaties in Duitsland in het derde kwartaal van 2025.

Bron: hithorizons.com | Bron 2: coveware.com

Onderzoekers hebben een nieuwe Android malware ontdekt, genaamd Mirax, die besmette telefoons als proxy kan gebruiken. Mirax is een Remote Access Trojan (RAT) en banking Trojan die sinds december vorig jaar op underground fora wordt aangeboden. Volgens securitybedrijf Cleafy wordt Mirax anders dan gebruikelijk gedistribueerd via een exclusief model, beperkt tot een klein aantal partners.

De verspreiding van Mirax gebeurt via advertenties die doorlinken naar een malafide website die een IPTV-applicatie aanbiedt. In werkelijkheid wordt er een malafide APK-bestand verspreid. Zodra een gebruiker dit bestand installeert, wordt de malware voor Mirax actief. De malware steelt diverse gegevens van het toestel, waaronder inloggegevens, en kan de telefoon op afstand bedienen.

Een opvallende eigenschap is dat Mirax besmette telefoons als proxy kan gebruiken. De malware maakt hiervoor gebruik van een SOCKS5-proxy die over een WebSocket-gebaseerd kanaal multiplexing implementeert. Dit maakt het mogelijk om meerdere verbindingen via één kanaal te ondersteunen.

Volgens Cleafy is het gebruik van een SOCKS5-proxy in een Android RAT een nieuwe ontwikkeling. Hoewel de malware deze functionaliteit nog niet heeft gebruikt, is het volgens de onderzoekers relevant om te overwegen waarom deze functionaliteit is toegevoegd en wat de gevolgen kunnen zijn voor doelwitten zoals banken en andere financiële instellingen. Een aanvaller die toegang heeft tot de telefoon via de proxyverbinding kan het internet benaderen vanaf een legitiem IP-adres, wat kan leiden tot bruteforce en DDoS aanvallen. Cleafy meldt dat de malware zich vooral richt op Spaanstalige gebruikers, maar dat de malware zich snel verspreidt en mogelijk ook andere landen als doelwit heeft.

Bron: Cleafy

De toenemende capaciteit van geavanceerde AI modellen om kwetsbaarheden in code te vinden, kan positief zijn voor de cybersecurity, maar brengt ook risico's met zich mee. Dit stelt Richard Horne, CEO van het National Cyber Security Centre (NCSC), in een blogpost. Technologieleveranciers kunnen AI gebruiken om gedurende de levenscyclus van hun producten en diensten kwetsbaarheden te identificeren en te herstellen, waardoor klanten en gebruikers beschermd worden tegen nieuwe bedreigingen.

Op korte termijn zullen organisaties die geen adequate maatregelen hebben genomen om hun cybersecurity te waarborgen, steeds vaker door AI worden blootgesteld, aldus Horne. AI maakt het eenvoudiger, sneller en goedkoper om zwakke plekken te ontdekken en te misbruiken, waar voorheen meer tijd, vaardigheid of middelen voor nodig waren. De druk op organisaties om systemen snel te patchen zal toenemen.

Daarom is het essentieel dat organisaties de goede praktijken volgen die door het NCSC zijn opgesteld, om hun security baseline te verhogen. Dit omvat het verminderen van onnodige blootstelling aan aanvallen, het snel toepassen van beveiligingsupdates, en het monitoren van, en snel reageren op, gedetecteerde kwaadaardige activiteiten.

Het NCSC biedt een breed scala aan tools en richtlijnen op haar website om dit te bereiken. Overheidsgesteunde certificeringen zoals Cyber Essentials geven organisaties en hun klanten het vertrouwen dat kritieke disciplines worden toegepast. Het NCSC blijft zich richten op haar missie om het Verenigd Koninkrijk te beschermen tegen cyberdreigingen, in samenwerking met de industrie en de overheid. Door de basisprincipes goed te implementeren en AI modellen zorgvuldig in te zetten, kunnen netwerkverdedigers een voordeel behouden en de online veiligheid waarborgen.

Bron: NCSC

Traditionele incident response methoden, waarbij een bekende code path wordt getraceerd en een defect wordt hersteld, schieten tekort bij incidenten met AI. Een AI model kan vandaag schadelijke output genereren, terwijl dezelfde prompt morgen iets anders oplevert. De oorzaak ligt niet in een specifieke code, maar in een kansverdeling die wordt beïnvloed door trainingsdata, context en gebruikersinput. Ondanks deze uitdagingen blijven de basisprincipes van incident response relevant, zoals prioriteit geven aan containment, transparant communiceren en leren van elke gebeurtenis.

AI introduceert nieuwe soorten schade, versnelt response timelines en vereist vaardigheden en telemetrie die veel teams nog moeten ontwikkelen. De kern van crisismanagement blijft van toepassing. De technische fout is het mechanisme, maar vertrouwen is het systeem dat bedreigd wordt. Een succesvolle aanpak vereist een cross-functionele aanpak die technische, juridische, ethische en sociale dimensies omvat. Cruciaal is expliciet eigenaarschap op elk niveau, waarbij een incident commander input van domeinexperts synthetiseert. Containment moet prioriteit krijgen boven onderzoek om verdere schade te voorkomen. Escalatie moet psychologisch veilig zijn, en communicatie moet transparant en actief probleemoplossend zijn.

De belangrijkste verschuivingen bij AI-incidenten zijn non-determinisme en snelheid. Nieuwe soorten schade bemoeilijken classificatie en triage, omdat traditionele IR-taxonomieën zich richten op vertrouwelijkheid, integriteit en beschikbaarheid, terwijl AI-incidenten ook gevaarlijke instructies, gerichte content en misbruik via natuurlijke taalinterfaces kunnen omvatten. Severity is moeilijk te kwantificeren, omdat de context rond de getroffenen zwaarder weegt dan traditionele security metrics. De root cause is vaak multi-dimensionaal en kan voortkomen uit de interactie van trainingsdata, fine-tuning keuzes, gebruikerscontext en retrieval inputs.

Observability is een belangrijk aandachtspunt, omdat traditionele security telemetrie zich richt op netwerkverkeer, authenticatie, bestandsysteemwijzigingen en procesuitvoering, terwijl AI-incidenten andere signalen genereren, zoals afwijkende output patronen, spikes in gebruikersrapporten, verschuivingen in content classifier confidence scores en onverwacht modelgedrag na een update. Microsoft gebruikt AI in de eigen response operations om de mogelijkheden te verbeteren.

Bron: Microsoft

De hackersgroep ShinyHunters heeft data van Rockstar Games gelekt. Dit is een update van de eerder gemelde claim. Vorige week claimde ShinyHunters dat het toegang had verkregen tot Rockstar Games data via Anodot, door een gecompromitteerd Snowflake account. De gelekte bestanden, 25 in totaal en ongeveer 7,54 GB groot, bestaan voornamelijk uit interne analyses en rapportagegegevens, zonder klant of persoonlijke informatie. De bestandsnamen verwijzen naar statistieken met betrekking tot GTA Online en Red Dead Online, waaronder boekingscijfers, inwisselingen van virtuele valuta en regionale prestatiemetingen.

De structuur van de data suggereert dat deze afkomstig is van geautomatiseerde exports die zijn gegenereerd door analysepijplijnen. De bestanden zijn gecomprimeerde CSV-outputs, die vaak worden gebruikt voor batchrapportage in cloud-dataplatforms zoals Snowflake. Dit ondersteunt eerdere berichten dat het toegangspunt niet het kernnetwerk van Rockstar was, maar een integratie van analyses van derden, vermoedelijk Anodot.

Sommige bestanden verwijzen ook naar interne monitoring en tests. Datasetnamen die zijn gekoppeld aan modellen voor het detecteren van valsspelen en inkomstenverschillen op platformniveau suggereren dat de data operationele inzichten bevat die door Rockstar-teams worden gebruikt om de gameplay-balans te beheren en misbruik te detecteren. Er zijn ook verwijzingen naar Zendesk-ticketstatistieken en rapportage van klantenondersteuning, wat wijst op inzicht in serviceactiviteiten in plaats van individuele spelersaccounts.

Er zijn geen spelergegevens, accountdata of niet-vrijgegeven game-assets zoals GTA VI-content in het gelekte materiaal te vinden. Dit komt overeen met de eerdere verklaring van Rockstar dat de inbreuk beperkte bedrijfsinformatie betrof en geen invloed had op spelers.

Interne analytics-data kan onthullen hoe in-game economieën worden beheerd, hoe inkomsten stromen en hoe supportsystemen reageren op problemen. Voor aanvallers kan dit type informatie waardevol zijn, zelfs zonder directe toegang tot gebruikers. Het richten op Anodot, een platform van derden dat data uit meerdere bronnen aggregeert en analyseert, om data van een groter bedrijf te stelen, is de typische modus operandi van ShinyHunters. Het laat zien dat dreigingsactoren nu toegang kunnen krijgen tot een breed overzicht van activiteiten zonder de hoofdomgeving te schenden.

Rockstar Games-klanten en -spelers zijn niet getroffen, aangezien de gelekte dataset geen persoonlijke of gebruikersdata bevat. Het bedrijf lijkt klantinformatie te hebben uitgesloten voordat het data deelde met Anodot.

Bron: HackRead

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat kunstmatige intelligentie (AI) de snelheid van cyberaanvallen kan verhogen, waardoor organisaties minder tijd hebben om kwetsbaarheden te patchen. Deze waarschuwing volgt op de aankondiging van het Amerikaanse AI-bedrijf Anthropic van hun AI model Mythos, dat ontworpen is voor het opsporen en koppelen van kwetsbaarheden tot complete exploits en aanvalsketens.

Volgens het NCSC kan Mythos kwetsbaarheden sneller opsporen en koppelen, wat zowel de verdediging kan versterken als digitale aanvallen kan versnellen. Het NCSC adviseert organisaties om hun reactietijden te verkorten, patchprocessen te versnellen en de basisbeveiliging op orde te brengen. De huidige beperkte toegang tot Mythos, die is voorbehouden aan een selecte groep grote techbedrijven, onderstreept de gevoeligheid en het potentieel van deze technologie.

Het NCSC merkt op dat Mythos niet alleen losse kwetsbaarheden kan vinden, maar deze ook in samenhang kan benutten om complete aanvalsketens te construeren. Dit vergroot het risico dat kleine, op zichzelf onschuldige bugs in combinatie een serieuze aanval mogelijk maken. Hoewel er nog geen publieke technische details beschikbaar zijn om de volledige impact te verifiëren, acht het NCSC het aannemelijk dat Mythos echte kwetsbaarheden kan blootleggen, maar het is minder duidelijk hoe eenvoudig deze in de praktijk misbruikt kunnen worden.

Het NCSC verwacht dat vergelijkbare capaciteiten snel breder beschikbaar zullen komen via andere AI modellen. De overheidsinstantie adviseert organisaties om AI-ontwikkelingen expliciet op te nemen in hun beveiligingsmaatregelen, met name patchmanagement. Hoewel zero-days niet te voorkomen zijn, moet de "time-to-patch" omlaag, omdat uitstel van dagen of weken niet meer past bij het huidige dreigingslandschap.

Bron: NCSC

Cybercriminelen richten zich steeds vaker op Apple-computers met macOS en mobiele apparaten, waarbij verouderde besturingssystemen en trage updates de grootste risico's vormen. Hoewel macOS lange tijd als virusvrij werd beschouwd vanwege het geringe marktaandeel, is dit veranderd nu het besturingssysteem ongeveer tien procent van de markt in handen heeft. Een vergelijkbare ontwikkeling is te zien bij mobiele apparaten met iOS en Android.

Smartphones en tablets hebben een inherent veiligere beveiligingsarchitectuur dan traditionele pc's en servers, doordat ze meer gesloten zijn. Jamf, een bedrijf gespecialiseerd in het beheer van Apple-pc's en mobiele apparaten, deelt cijfers uit 2025 die dit illustreren. De cijfers zijn gebaseerd op data van 1,7 miljoen mobiele toestellen en 150.000 MacBooks.

Het grootste probleem voor de beveiliging van MacBooks, iPhones en Android-smartphones is een ontoereikend updatebeleid. Uit het onderzoek van Jamf blijkt dat 53 procent van de onderzochte organisaties minstens één mobiel toestel in het netwerk had met een kritiek verouderd besturingssysteem. Dit betekent dat het besturingssysteem zodanig oud is dat het bekende en ongepatchte kwetsbaarheden bevat. Voor iOS is een voorbeeld CVE-2025-31200, een bug met een risicoscore van 9,8 die aanvallers in staat stelt om via een audiostream code uit te voeren. Deze kwetsbaarheid is verholpen in iOS 18.4.1, maar blijft aanwezig in oudere versies.

Voor MacBooks is de situatie iets beter, maar nog steeds heeft 41 procent van de gecontroleerde MacBooks een gebrekkig updatebeleid. Het patchen van kwetsbaarheden is een belangrijke reden om updates uit te rollen, en het missen van één of twee updates kan al risico's met zich meebrengen. Jamf stelde ook vast dat 73 procent van de gecontroleerde MacBooks kwetsbare apps aan boord had.

Jamf ontdekte dat alternatieve appwinkels aanwezig waren op toestellen in twee procent van de organisaties. Het installeren van applicaties van buiten de gecontroleerde omgeving kan een risico vormen voor de integriteit van een toestel.

De beveiligingsarchitectuur van mobiel en Mac zorgt voor een ander dreigingslandschap dan bij Windows. Adware, malware die browserinstellingen verandert, advertenties toont en gedrag monitort, is nog steeds populair op macOS, met 16,4 procent van de geïdentificeerde malware voor Mac. Trojans, tools die informatie stelen, waaronder wachtwoorden, zijn ook populair en vertegenwoordigen 7,5 procent van de malware. Klassieke ransomware komt nauwelijks voor op macOS, met slechts 0,3 procent van de gevallen.

Een goede update-hygiëne is essentieel voor de beveiliging van macOS en mobiele apparaten. Het onderzoek toont aan dat dit in veel organisaties nog onvoldoende het geval is.

Bron: Jamf | Bron 2: itdaily.com

Uit een nieuw rapport van Qrator Labs blijkt dat het grootste DDoS-botnet is gegroeid tot 13,5 miljoen apparaten, waardoor hackers nu massale aanvallen van 2 Tbps kunnen lanceren. De FinTech en gokindustrie zijn in het eerste kwartaal van 2026 het zwaarst getroffen.

Het rapport, dat zich richtte op het eerste kwartaal van 2026, onthult dat het grootste botnet dat momenteel door onderzoekers wordt gevolgd, in slechts één jaar tijd tien keer groter is geworden. Dit enorme netwerk omvat nu 13,5 miljoen geïnfecteerde apparaten wereldwijd, terwijl het bij de eerste ontdekking op 26 maart 2025 slechts ongeveer 1,33 miljoen apparaten telde. Deze apparaten bevinden zich voornamelijk in de Verenigde Staten (16,0%), Brazilië (13,6%) en India (6,5%). Doordat ze verspreid zijn over zoveel verschillende landen, is het voor bedrijven veel moeilijker om ze te blokkeren op basis van hun locatie.

Het rapport van Qrator Labs belicht ook het toenemende gebruik van een relatief nieuwe botnet loader genaamd Aeternum C2, die de Polygon blockchain gebruikt om commando's naar geïnfecteerde computers te sturen. Cybercriminelen gebruiken meestal een centrale computer om hun aanvallen te controleren, die de politie kan uitschakelen. Door echter de blockchain te gebruiken, is er geen centrale hub om uit te schakelen, waardoor het netwerk moeilijk te stoppen is en de kosten voor de beheerders worden verlaagd.

Multi-vector DDoS aanvallen zijn gestegen van 8,0% naar 10,7% van de incidenten dit kwartaal. Aanvallen die L3-L4 (netwerk en transportlagen) en L7 (applicatielaag) methoden combineren, zijn gestegen van 3,6% naar 6,2%.

Een massale DDoS aanval tegen een bedrijf in de gokindustrie werd half maart 2026 ook gedetecteerd, met een piek van 2,065 Tbps en bijna 1 miljard datapakketten per seconde. Deze aanvallen duren meestal maar een paar seconden op vol vermogen, maar deze piekte gedurende 40 minuten. Onderzoekers zagen dat de hackers tijdens deze periode 11 keer probeerden hun strategie te wijzigen om de druk te behouden.

De FinTech-sector werd het zwaarst getroffen en vertegenwoordigde 44,2% van alle incidenten, waarbij banken (22,8%) en betalingssystemen (15,9%) de belangrijkste doelwitten waren. Andere veel voorkomende doelwitten waren informatietechnologiebedrijven (19,3%) en wedkantoren (10,0%). Deze gebieden waren samen goed voor bijna driekwart van alle geregistreerde aanvallen.

Het gemiddelde aantal geblokkeerde 'bad bot' verzoeken bereikte in het eerste kwartaal van 2026 2,5 miljard per maand, een stijging van 12% ten opzichte van het voorgaande jaar. Een aanval op een shopping website duurde meer dan twee weken, waarbij meer dan 178 miljoen kwaadaardige verzoeken werden geblokkeerd.

Het rapport concludeert dat traditionele verdedigingsmethoden minder effectief zijn wanneer aanvallers IP-adressen uit bijna elk land kunnen gebruiken.

Bron: Qrator

Onderzoekers hebben een multi-stage phishingcampagne ontdekt die Google Cloud Storage (GCS) misbruikt om HTML phishing-pagina's te hosten die zich voordoen als Google Drive document viewers. Het einddoel is het afleveren van de Remcos Remote Access Trojan (RAT) op computers van slachtoffers.

De aanvallers plaatsen phishingpagina's op legitieme Google-domeinen, waardoor de campagne traditionele e-mailbeveiligingsgateways en webfilters kan omzeilen. Doordat de links naar Google Cloud Storage verwijzen, worden ze vaak niet geblokkeerd door systemen die verkeer van bekende en vertrouwde bronnen toelaten.

Dit is de derde grote misbruikcampagne van Google Cloud infrastructuur binnen vier maanden. In december 2025 werden 9.394 phishingmails verstuurd via Google Cloud Application Integration, gericht op circa 3.200 klanten wereldwijd. In maart 2026 werd Google Cloud Storage gebruikt om kwaadaardige redirect links te hosten. De aprilcampagne zet de trend voort met een nieuwe techniek, valse Google Drive document viewers die Remcos RAT leveren.

Voor Nederlandse en Belgische organisaties is het belangrijk om e-mailbeveiliging niet alleen te baseren op domeinreputatie, aangezien aanvallers steeds vaker betrouwbare cloud infrastructuur misbruiken. Aanvullende controles op inhoud, gedragsanalyse en gebruikersbewustzijn zijn essentieel. Gebruikers wordt aangeraden extra alert te zijn op onverwachte e-mails met documentweergave links, zelfs wanneer deze naar Google-domeinen verwijzen.

Bron: CyberSecurityNews

Cybercrimeinfo heeft diverse meldingen van datalekken en ransomware incidenten ontdekt op het dark web.

Een dreigingsactor claimt dat de Franse nationale ID-agentschap ANTS (Agence Nationale des Titres Securises) is gehackt, waarbij 18 miljoen burgerrecords met door de overheid geverifieerde identiteiten te koop worden aangeboden. Belangrijke nuance, de Franse cyberagentschap ANSSI heeft deze claim firmly ontkend, directeur Vincent Strubel stelt dat de betreffende dataset sinds maart 2025 op het dark web circuleert zonder aantoonbare link met de ANTS-database.

Ook is er een claim over een datalek bij het Instituto Tecnologico de Cintalapa, een openbare technologie-instituut in Chiapas, Mexico.

Een dreigingsactor die opereert onder de PF-community claimt een myBB-kwetsbaarheid op DarkForums te hebben misbruikt om ongeveer 427.000 records te extraheren die post-ID's koppelen aan gebruikersnamen, IP-adressen en hostnamen.

Cognizant is bevestigd als slachtoffer van de Coinbasecartel ransomware groep (ontdekking 15 april 2026). Deze groep heeft sinds september 2025 in totaal 118 slachtoffers geclaimd en richt zich exclusief op data-exfiltratie zonder encryptie.

Autovista, een Europese leverancier van automotive data, bevestigt een ransomware-incident dat systemen in Europa en Australie heeft geraakt. The Register meldde het incident op 15 april 2026, externe experts onderzoeken de oorzaak. Geen ransomware groep heeft verantwoordelijkheid geclaimd.

De censusgegevens van Irak voor 2025-2026 met ongeveer 47,7 miljoen records worden geclaimd te koop aangeboden op een cybercrimeforum. Het Iraakse Ministerie van Planning heeft deze claim ontkend en stelt dat de census data zich binnen een gesloten lokaal netwerk bevindt dat niet met internet is verbonden.

Voor Nederlandse en Belgische organisaties zijn de bevestigde incidenten (Cognizant, Autovista) het meest relevant als voorbeeld van de aanhoudende dreiging tegen internationaal opererende dienstverleners.

Bron: Darkweb

De Fraudehelpdesk waarschuwt voor een valse sms uit naam van DPD. In de sms staat dat er een pakket klaar ligt voor de ontvanger, maar dat de bezorging is mislukt vanwege een onjuiste postcode. Via een link in de sms kan de ontvanger zogenaamd de postcode controleren.

Wie op de link klikt, komt op een website waar naam, adres en woonplaats moeten worden ingevuld. Vervolgens verschijnt er een betaalpagina waar €1,20 betaald moet worden door creditcardgegevens in te vullen. Het is nog niet duidelijk wat er precies gebeurt na het invullen van de creditcardgegevens. In veel gevallen wordt er een ongewenst abonnement afgesloten. Een melder gaf aan een notificatie te hebben ontvangen dat Google Pay succesvol was geactiveerd. Omdat Google Pay aan de creditcard gekoppeld kan worden, kunnen oplichters op deze manier ook geld afschrijven.

De Fraudehelpdesk adviseert om niet op de link te klikken, geen gegevens in te vullen en niets te betalen als je deze sms ontvangt. Meld de ontvangst van de sms bij de Fraudehelpdesk en verwijder de sms van je telefoon. Als je al op de link hebt geklikt en creditcardgegevens hebt ingevuld, neem dan direct contact op met je bank.

Bron: Fraudehelpdesk

Hackers maken misbruik van een kritieke kwetsbaarheid in Marimo reactive Python notebook (CVE-2026-39987) om een nieuwe variant van de NKAbuse malware te verspreiden, die gehost wordt op Hugging Face Spaces. Volgens cloud security bedrijf Sysdig begonnen de aanvallen die gebruikmaken van de remote code execution kwetsbaarheid vorige week, minder dan 10 uur nadat de technische details openbaar werden gemaakt. De aanvallen zijn gericht op het stelen van inloggegevens.

onderzoekers van Sysdig ontdekten op 12 april een campagne die het Hugging Face Spaces platform misbruikt. Hugging Face is een platform gericht op AI ontwikkeling en machine learning, dat fungeert als een hub voor AI assets zoals modellen, datasets, code en tools, gedeeld binnen de community. Hugging Face Spaces stelt gebruikers in staat om interactieve web apps rechtstreeks vanuit een Git repository te implementeren en te delen, meestal voor demo's, tools of experimenten rond AI.

Bij de door Sysdig waargenomen aanvallen creëerde de aanvaller een Space genaamd vsccode-modetx (een opzettelijke typosquat voor VS Code) die een dropper script (install-linux.sh) en een malware binary met de naam kagent host. Na het exploiteren van de Marimo RCE voerde de dreigingsactor een curl opdracht uit om het script van Hugging Face te downloaden en uit te voeren. Omdat Hugging Face Spaces een legitiem HTTPS eindpunt is met een schone reputatie, is het minder waarschijnlijk dat het waarschuwingen activeert.

Het dropper script downloadt de kagent binary, installeert deze lokaal en zet persistentie op via systemd, cron, of macOS LaunchAgent. Volgens de onderzoekers is de payload een eerder ongedocumenteerde variant van de DDoS gerichte malware NKAbuse. onderzoekers van Kaspersky rapporteerden de malware al in 2023 en benadrukten het gebruik van het NKN (New Kind of Network) gedecentraliseerde peer-to-peer netwerktechnologie voor data uitwisseling. Sysdig zegt dat de nieuwe variant functioneert als een remote access trojan die shell commando's kan uitvoeren op het geïnfecteerde systeem en de output terug kan sturen naar de operator.

Sysdig meldt dat de binary verwijzingen bevat naar NKN Client Protocol, WebRTC/ICE/STUN voor NAT traversal, proxy management, en gestructureerde command handling, wat overeenkomt met de NKAbuse familie die initieel gedocumenteerd werd door Kaspersky in december 2023.

Sysdig spotte ook andere opmerkelijke aanvallen die CVE-2026-39987 exploiteerden, waaronder een operator uit Duitsland die 15 reverse shell technieken probeerde over meerdere poorten. Ze gingen over tot laterale beweging door database credentials uit environment variables te halen en verbinding te maken met PostgreSQL, waar ze snel schema's, tabellen en configuratie data opzochten. Een andere actor uit Hong Kong gebruikte gestolen .env credentials om een Redis server te targeten, systematisch alle 16 databases te scannen en opgeslagen data te dumpen, inclusief session tokens en applicatie cache entries.

Het is cruciaal dat gebruikers upgraden naar versie 0.23.0 of later. Als upgraden niet mogelijk is, wordt aanbevolen om externe toegang tot het '/terminal/ws' endpoint te blokkeren via een firewall, of het volledig te blokkeren.

Bron: Sysdig

Google maakt steeds meer gebruik van zijn Gemini AI modellen om schadelijke advertenties op zijn advertentieplatformen te detecteren en te blokkeren. Cybercriminelen passen voortdurend hun tactieken aan om detectie te ontwijken. In 2025 heeft Google 8,3 miljard advertenties geblokkeerd of verwijderd en 24,9 miljoen adverteerdersaccounts opgeschort, waaronder 602 miljoen advertenties die aan scams waren gerelateerd.

Malvertising is een al langer bestaand probleem op het advertentienetwerk van Google. Aanvallers kopen advertenties die legitieme merken en diensten nabootsen en malware verspreiden, cryptocurrency stelen of naar phishing sites leiden. Deze advertentiecampagnes maken vaak gebruik van cloaking-technieken en URL-omleidingen om eruit te zien als vertrouwde websites, inclusief het tonen van Google's eigen domeinen en die van legitieme software downloadpagina's en authenticatieportals.

Voorbeelden van recente campagnes zijn valse inlogpagina's om Google Ads accounts te stelen, het verspreiden van trojanized software via advertenties die tools als Google Authenticator en Homebrew nabootsen, en het weergeven van advertenties voor websites die zich voordoen als cryptocurrency platforms en de cryptocurrency wallets van bezoekers leegroven.

Volgens Google gebruiken cybercriminelen nu generatieve AI in deze campagnes, waardoor ze sneller grootschaligere en geavanceerdere operaties kunnen opzetten. Keerat Sharma, VP & General Manager, Ads Privacy and Safety, legt uit dat Gemini helpt bij het detecteren en blokkeren van misleidende advertenties op grote schaal en in real time. Eind vorig jaar werd het merendeel van de in Google Ads gemaakte Responsive Search Ads direct beoordeeld en werd schadelijke inhoud bij indiening geblokkeerd. Google is van plan deze mogelijkheid dit jaar naar meer advertentieformaten te brengen.

Google vertrouwt nu op Gemini AI-systemen om de ontdekking en blokkering van malafide advertenties te automatiseren voordat ze aan gebruikers worden getoond. Waar eerdere detectiesystemen keywords analyseerden op kwaadaardig gedrag, kan Gemini miljarden signalen analyseren, waaronder adverteerdersgedrag, accountgeschiedenis, campagnepatronen en intentie, om te bepalen of een advertentie kwaadaardig is.

In de Verenigde Staten heeft Google in 2025 1,7 miljard advertenties verwijderd en 3,3 miljoen adverteerdersaccounts opgeschort. "Misbruik van het advertentienetwerk" en "verkeerde voorstelling van zaken" waren de twee belangrijkste schendingen van het beleid. De toegenomen nauwkeurigheid van de AI modellen heeft het aantal onjuiste opschortingen van adverteerders met 80% verminderd. Google zal het gebruik van Gemini verder uitbreiden naar extra advertentieformaten en handhavingssystemen, met als doel kwaadaardige campagnes al bij de indiening te blokkeren.

Bron: Google

Een nieuw cybercrimeplatform genaamd ATHR maakt gebruik van AI gestuurde voice phishing (vishing) om op geautomatiseerde wijze inloggegevens te stelen. Het platform, dat wordt geadverteerd op underground forums voor 4.000 dollar plus 10% commissie op de winst, kan inloggegevens voor verschillende diensten buitmaken, waaronder Google, Microsoft en Coinbase. Het automatiseert alle stadia van een telefonische aanval (TOAD), van het lokken van slachtoffers via e-mail tot het uitvoeren van voice based social engineering en het oogsten van accountgegevens.

Volgens onderzoekers van het cloud email security bedrijf Abnormal is ATHR een complete phishing/vishing aanval generator. Het biedt merkspecifieke e-mailtemplates, aanpassingen per doelwit en spoofing mechanismen om het te laten lijken alsof het bericht van een betrouwbare afzender komt. Tijdens hun analyse ondersteunde ATHR acht online diensten: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo en AOL.

De aanval begint met een e-mail die is ontworpen om verificatiecontroles te doorstaan. De e-mail bevat een valse beveiligingswaarschuwing of accountmelding die urgent genoeg is om een telefoontje uit te lokken. Het bellen van het telefoonnummer in de e-mail leidt het slachtoffer via Asterisk en WebRTC naar AI voice agents. Deze agents volgen een script dat een beveiligingsincident simuleert. Voor Google accounts repliceren ze het account recovery en verificatieproces, waarbij ze vooraf ingestelde prompts gebruiken om hun toon, aanpak, persona en gedrag aan te passen en professionele supportmedewerkers na te bootsen. Het doel is om een zescijferige verificatiecode te verkrijgen, waarmee de aanvaller toegang krijgt tot het account van het slachtoffer. Hoewel ATHR de optie biedt om het gesprek naar een menselijke operator door te schakelen, onderscheidt de mogelijkheid om een AI agent te gebruiken het platform.

Het dashboard van ATHR geeft operators controle over het hele proces en real-time data voor elke aanval per doelwit. Via het ATHR panel beheren ze e-mail distributie, behandelen ze telefoongesprekken en beheren ze phishing operaties, waarbij ze de resultaten in real time volgen en logs ontvangen met de gestolen data.

Abnormal waarschuwt dat ATHR de handmatige inspanning voor de operator aanzienlijk vermindert en dreigingsactoren een geïntegreerd platform biedt dat alle stadia van een TOAD aanval kan afhandelen. Hierdoor kunnen minder technische aanvallers geautomatiseerde vishing aanvallen uitvoeren zonder dat ze individuele componenten hoeven te configureren. De onderzoekers verwachten dat vishing aanvallen vaker voorkomen en moeilijker te onderscheiden zijn van legitieme communicatie. Detectie is mogelijk door het communicatiegedrag tussen een afzender en een ontvanger te controleren en te identificeren of soortgelijke lokmails met een telefoonnummer de organisatie binnen korte tijd hebben bereikt.

Bron: Abnormal

De opkomst van AI modellen die in staat zijn om snel kwetsbaarheden te ontdekken en exploits te genereren, creëert een kritieke periode van risico voor bedrijven. Algemeen beschikbare AI modellen kunnen uitblinken in het vinden van kwetsbaarheden, zelfs zonder specifiek voor die taak te zijn ontwikkeld. Google Cloud waarschuwt dat deze ontwikkeling de drempel verlaagt voor kwaadwillenden om functionele exploits te ontwikkelen.

Volgens Google Cloud zijn er twee belangrijke taken voor verdedigers, namelijk het zo snel mogelijk verharden van de gebruikte software en het voorbereiden op de verdediging van systemen die nog niet zijn verhard. Het bedrijf heeft al gezien dat dreigingsactoren gebruikmaken van LLM's (Large Language Models) en dat deze mogelijkheid wordt aangeboden in AI tools en -diensten die op underground forums worden geadverteerd.

De veranderende economie van zero day exploits zal leiden tot grootschalige misbruikcampagnes, ransomware en afpersingsoperaties, en een toename van de activiteit van actoren die deze mogelijkheden voorheen spaarzaam gebruikten. De versnelde inzet van exploits is een trend die al wordt waargenomen bij geavanceerde tegenstanders. Google Cloud meldde in het "2025 Zero Days in Review"-rapport dat PRC nexus spionage operatoren steeds beter worden in het snel ontwikkelen en verspreiden van exploits onder verschillende dreigingsgroepen. Dit heeft de kloof tussen openbaarmaking van kwetsbaarheden en wijdverbreid misbruik aanzienlijk verkleind.

Om zich te wapenen tegen deze dreigingen, adviseert Google Cloud om playbooks te versterken, blootstelling te verminderen en AI te integreren in securityprogramma's. Organisaties moeten hun personeel de automatisering bieden die nodig is om handmatige inspanningen te elimineren.

Bron: Google Cloud | Bron 2: blog.google | Bron 3: deepmind.google

OpenAI heeft GPT-5.4-Cyber gelanceerd, een nieuwe versie van zijn AI model, een week na de introductie van Anthropic's Mythos AI model (Claude Mythos). Dit model is specifiek geoptimaliseerd voor defensieve cybersecurity toepassingen. Volgens de aankondiging van OpenAI is het doel om betere tools te bieden aan netwerk en systeemverdedigers die verantwoordelijk zijn voor het beveiligen van systemen, data en gebruikers. Dit stelt hen in staat om problemen sneller te vinden en op te lossen.

Naast het nieuwe model breidt OpenAI het Trusted Access for Cyber (TAC) programma uit, dat in februari 2026 werd gelanceerd. Dit project is nu beschikbaar voor duizenden individuele verdedigers en honderden teams die kritieke infrastructuur beveiligen. Door deze professionals geavanceerdere mogelijkheden te bieden, wil het bedrijf hen helpen om bedreigingsactoren die ook met AI experimenteren, voor te blijven.

Een integraal onderdeel van deze strategie is de Codex Security tool, die eerder in 2026 in research preview ging. OpenAI claimt dat dit systeem heeft geholpen bij het identificeren en patchen van meer dan 3.000 kritieke en hoog risico kwetsbaarheden. Het systeem monitort codebases en stelt fixes voor voordat ze kunnen worden misbruikt in een cyberaanval.

Het GPT-5.4-Cyber model introduceert een nieuwe functie genaamd binary reverse engineering. Deze functie is ontworpen voor beveiligingsexperts om gecompileerde software te analyseren en malware en kwetsbaarheden te vinden, zelfs zonder de broncode. Deze functie is ontwikkeld van GPT-5.2 via GPT-5.3-Codex tot de officiële release.

Volgens OpenAI krijgen klanten in de hoogste tiers toegang tot GPT-5.4-Cyber, een model dat specifiek is afgestemd op extra cybermogelijkheden en minder beperkingen heeft. Dit is een versie van GPT-5.4 die de weigeringsgrens voor legitiem cybersecurity werk verlaagt en nieuwe mogelijkheden biedt voor geavanceerde defensieve workflows, waaronder binary reverse engineering. Hierdoor kunnen beveiligingsprofessionals gecompileerde software analyseren op malware potentieel, kwetsbaarheden en beveiligingsrobuustheid zonder toegang tot de broncode.

GPT-5.4-Cyber is meer permissief voor beveiligingstaken, en OpenAI staat geen onbeperkte toegang toe. Om de meest geavanceerde functies te gebruiken, moeten gebruikers eerst hun identiteit verifiëren. Het bedrijf gebruikt een authenticatieproces om ervoor te zorgen dat de software wordt gebruikt door legitieme beveiligingsprofessionals en niet door hackers of spionage actoren.

Defenders/individuele gebruikers kunnen zich aanmelden om zichzelf te verifiëren op chatgpt.com/cyber, terwijl bedrijven toegang kunnen aanvragen via hun officiële OpenAI vertegenwoordigers. OpenAI merkt op dat hoewel kwetsbaarheden in digitale systemen al jaren bestaan, deze nieuwe tools legitieme actoren kunnen helpen om publieke diensten en kritieke infrastructuur beter te beschermen.

OpenAI is van plan om deze defensieve modellen in 2026 te blijven updaten. Ze geloven dat naarmate de AI mogelijkheden groeien, de tools die worden gebruikt voor systeemverdediging ook moeten worden verbeterd om de veerkracht van het systeem te verbeteren en digitale omgevingen veilig te houden.

Bron: OpenAI

Onderzoekers hebben een nieuwe aanval ontdekt, genaamd "Comment and Control", waarmee AI agents op GitHub kunnen worden overgenomen via speciaal geprepareerde GitHub comments. De aanval kan worden gebruikt om API keys en access tokens van de host repository te stelen. De onderzoekers waarschuwen dat de aanval werkt tegen AI agents die onbetrouwbare GitHub-data verwerken en toegang hebben tot tools in een runtime omgeving waarin zich ook productie secrets bevinden.

De aanval is getest tegen Anthropic Claude Code, Google Gemini en GitHub Copilot. Aanvallers kunnen malafide PR ("Pull Request") titels, comments en issue bodies gebruiken om de AI agent te overtuigen willekeurige commando's uit te voeren of credentials te stelen. Deze gestolen informatie kan vervolgens als een security finding of een entry in de GitHub Actions log worden gepubliceerd of geëxfiltreerd.

Een belangrijk risico van de Comment and Control aanval is dat een "malafide prompt" automatisch kan worden verwerkt door een AI agent via bijvoorbeeld een GitHub Actions workflow, zonder enige interactie van het slachtoffer. De onderzoekers hebben de bevindingen gerapporteerd aan Anthropic, Google en GitHub.

Bron: De onderzoekers | Bron 2: oddguan.com

Cisco Talos heeft een actieve kwaadaardige campagne ontdekt die sinds december 2025 aan de gang is en zich richt op werknemers in Tsjechië met een niet eerder gedocumenteerd botnet genaamd "PowMix". PowMix maakt gebruik van willekeurige command-and-control (C2) beaconing intervallen, in plaats van een permanente verbinding met de C2-server, om detectie van netwerksignaturen te omzeilen. PowMix sluit de versleutelde heartbeat-data samen met unieke identificatoren van de machine van het slachtoffer in de C2 URL-paden in, waardoor legitieme REST API URL's worden nagebootst. PowMix heeft de mogelijkheid om op afstand het nieuwe C2-domein dynamisch bij te werken naar het botnet-configuratiebestand.

Talos observeerde enkele tactische overeenkomsten van de huidige campagne met de ZipLine campagne, waaronder het payload-aflevermechanisme en het misbruik van het legitieme cloudplatform Heroku voor C2-operaties. De aanval richt zich op Tsjechische organisaties op verschillende niveaus, op basis van de inhoud van de lokdocumenten die door de aanvaller in de huidige campagne worden gebruikt. De aanvaller doet zich voor als het legitieme EDEKA-merk en authentieke regelgevingskaders, zoals de Tsjechische wet op de gegevensbescherming. De aanvaller gebruikt decoy documenten met compliance-thema's, mogelijk gericht op het compromitteren van slachtoffers van human resources (HR), juridische en wervingsbureaus. In de lokdocumenten gebruikte de aanvaller ook compensatiegegevens, evenals legitieme wetgevende verwijzingen, om de authenticiteit van deze decoy documenten te vergroten en de werkzoekenden in diverse sectoren zoals IT, financiën en logistiek te verleiden.

De PowMix botnet payload wordt geleverd via een LNK-geactiveerde PowerShell loader die deze uit een ZIP-archief datablob extraheert, AMSI omzeilt en het ontsleutelde script rechtstreeks in het geheugen uitvoert. Deze campagne vertoont tactische overeenkomsten met de oudere ZipLine campagne (die de MixShell malware implementeerde), waaronder identieke ZIP-gebaseerde payload concealment, Windows-geplande taak persistentie, CRC32-gebaseerde BOT ID-generatie en het misbruik van "herokuapp.com" voor command-and-control (C2) infrastructuur. Hoewel er overeenkomsten zijn in de tactieken, werd de uiteindelijke payload van de aanvaller niet waargenomen en blijft de intentie onbekend in deze campagne.

De aanval begint wanneer een slachtoffer het Windows shortcut bestand uitvoert dat zich in het ontvangen kwaadaardige ZIP bestand bevindt, mogelijk via een phishing e-mail. Dit shortcut bestand activeert de uitvoering van een ingebed PowerShell loader script, dat initieel een kopie van het ZIP bestand samen met de inhoud ervan in de "ProgramData" folder van het slachtoffer creëert. Vervolgens laadt het het kwaadaardige ZIP bestand, extraheert en voert de ingebedde PowMix botnet payload rechtstreeks in het geheugen van de machine van het slachtoffer uit en begint te communiceren met de botnet C2.

Het PowerShell script functioneert als een loader, en de uitvoeringsroutine is ontworpen om beveiligingscontroles te omzeilen en een secundaire payload af te leveren. Het script definieert verschillende versluierde variabelen, waaronder de bestandsnaam van het kwaadaardige ZIP bestand dat waarschijnlijk via een phishing e-mail is ontvangen. Vervolgens construeert het script dynamisch paden naar de folders zoals "ProgramData" en de "Downloads" folder van de gebruiker om dit ZIP bestand te lokaliseren. Zodra het ZIP bestand is gevonden, extraheert het de inhoud naar de "ProgramData" folder, waardoor de omgeving effectief wordt voorbereid voor de volgende fase van de aanval.

Om detectie te omzeilen, gebruikt het script een AMSI (Antimalware Scan Interface) bypass techniek. Het gebruikt een reflectie techniek om door de geladen assemblies in het huidige proces te bladeren, specifiek op zoek naar de AmsiUtils class. Eenmaal gelokaliseerd, identificeert het het amsiInitFailed field en stelt de waarde handmatig in op true. Deze actie misleidt het Windows beveiligingssubsysteem door te denken dat AMSI niet is geïnitialiseerd, wat real-time scanning van volgende commando's uitschakelt, waardoor het script kwaadaardige code in het geheugen kan uitvoeren zonder te worden gedetecteerd door Windows Defender of andere endpoint detection and response (EDR) oplossingen.

Het script parseert het kwaadaardige ZIP bestand om een specifieke marker te lokaliseren die hardcoded is, zoals zAswKoK. Deze marker wordt behandeld als een delimiter, waardoor de extractie mogelijk wordt van een verborgen, gecodeerd commando dat is ingebed in de ZIP bestand datablob. Gedurende dit proces voert het script een reeks string replacements uit, waaronder het verwijderen van # symbolen en het mappen van placeholders, zoals {cdm}, naar hun corresponderende specifieke bestandspaden, waardoor een functionele secundaire PowerShell script payload wordt gereconstrueerd. Vervolgens voert het het secundaire payload script uit in het slachtoffer.

Bron: Cisco Talos | Bron 2: github.com | Bron 3: research.checkpoint.com

Microsoft Threat Intelligence heeft een macOS gerichte cybercampagne ontdekt van de Noord-Koreaanse dreigingsactor Sapphire Sleet. In plaats van softwarekwetsbaarheden te misbruiken, vertrouwt de actor op social engineering. Door zich voor te doen als een legitieme software update, verleiden de aanvallers gebruikers om handmatig kwaadaardige bestanden uit te voeren. Hierdoor kunnen ze wachtwoorden, cryptocurrency en persoonlijke gegevens stelen, terwijl ze de ingebouwde macOS beveiligingscontroles omzeilen.

Sapphire Sleet maakt gebruik van door de gebruiker geïnitieerde uitvoering om persistentie te creëren, credentials te verzamelen en gevoelige gegevens te exfiltreren, buiten de traditionele macOS beveiligingsgrenzen. Hoewel de technieken op zichzelf niet nieuw zijn, benadrukt de analyse uitvoeringspatronen en combinaties die Microsoft niet eerder bij deze dreigingsactor heeft waargenomen. De actor gebruikt AppleScript als een speciale credential-harvesting component, geïntegreerd met nep-update workflows.

Na de ontdekking heeft Microsoft de details van deze activiteit gedeeld met Apple. Apple heeft sindsdien updates geïmplementeerd om de infrastructuur en malware die aan deze campagne zijn gekoppeld, te detecteren en te blokkeren.

Sapphire Sleet overtuigt gebruikers om handmatig AppleScript of Terminal-gebaseerde commando's uit te voeren. Hierdoor verschuift de uitvoering naar een door de gebruiker geïnitieerde context, waardoor de activiteit buiten macOS-beveiligingen zoals Transparency, Consent, and Control (TCC), Gatekeeper, quarantainehandhaving en notarisatiecontroles kan plaatsvinden. Sapphire Sleet creëert een betrouwbare infectieketen die de operationele frictie verlaagt en de kans op een succesvolle compromittering vergroot. Dit vormt een verhoogd risico voor organisaties en individuen die betrokken zijn bij cryptocurrency, digitale assets, financiën en soortgelijke waardevolle doelwitten.

De aanvalsketen begint met kwaadaardige .scpt-bestanden, gevolgd door multi-stage payload delivery, credential harvesting met behulp van nep-systeemdialogen, manipulatie van de macOS TCC-database, persistentie met behulp van launch daemons en grootschalige data-exfiltratie.

Sapphire Sleet is actief sinds maart 2020 en richt zich voornamelijk op de financiële sector, waaronder cryptocurrency, venture capital en blockchain-organisaties. Het primaire doel is het stelen van cryptocurrency wallets om inkomsten te genereren, en het richten op technologie of intellectueel eigendom gerelateerd aan cryptocurrency trading en blockchain platforms.

In de waargenomen activiteit werd het doelwit gevraagd om een bestand genaamd Zoom SDK Update.scpt te downloaden. Dit is een gecompileerd AppleScript dat standaard wordt geopend in macOS Script Editor. Het bestand is zo gemaakt dat het lijkt op een legitieme Zoom SDK-update wanneer het wordt geopend in de macOS Script Editor app, beginnend met een groot decoy commentaarblok dat onschuldige upgrade-instructies nabootst en de indruk wekt van een routine software update. Om het werkelijke gedrag te verbergen, voegt het script duizenden blanco regels in direct na deze zichtbare inhoud, waardoor de kwaadaardige logica ver onder het scrollbare venster van de Script Editor terechtkomt.

Onder deze decoy lanceert het script eerst een onschuldig uitziend commando dat de legitieme macOS softwareupdate binary aanroept met een ongeldige parameter. Dit voert geen echte update uit, maar lanceert een vertrouwd Apple-ondertekend proces om de schijn van legitimiteit te versterken. Vervolgens voert het script zijn kwaadaardige payload uit door curl te gebruiken om door de dreigingsactor gecontroleerde content op te halen en de geretourneerde data onmiddellijk door te geven aan osascript voor uitvoering met behulp van de run scriptresult instructie. Omdat de content die door curl wordt opgehaald zelf een nieuw AppleScript is, wordt deze rechtstreeks binnen de Script Editor-context gelanceerd, waardoor een payload delivery wordt geïnitieerd waarin extra stages dynamisch worden gedownload en uitgevoerd.

Bron: Microsoft

De Payouts King ransomware gebruikt de QEMU emulator als een reverse SSH backdoor om verborgen virtuele machines (VM's) op gecompromitteerde systemen te draaien en zo endpoint security te omzeilen. QEMU is een open-source CPU emulator en systeem virtualisatie tool waarmee gebruikers besturingssystemen als virtuele machines op een host computer kunnen draaien. Omdat securityoplossingen op de host de VM's niet kunnen scannen, kunnen aanvallers deze gebruiken om payloads uit te voeren, kwaadaardige bestanden op te slaan en heimelijke remote access tunnels over SSH te creëren.

QEMU is in het verleden al misbruikt door verschillende dreigingsactoren, waaronder de 3AM ransomware groep, LoudMiner cryptomining en 'CRON#TRAP' phishing. Onderzoekers van Sophos documenteerden twee campagnes waarbij aanvallers QEMU inzetten als onderdeel van hun aanvalsarsenaal om domein credentials te verzamelen.

Een campagne die Sophos volgt als STAC4713 werd voor het eerst waargenomen in november 2025 en is gelinkt aan de Payouts King ransomware operatie. De andere campagne, STAC3725, is gespot in februari van dit jaar en maakt gebruik van de CitrixBleed 2 (CVE‑2025‑5777) kwetsbaarheid in NetScaler ADC en Gateway instances.

Onderzoekers merken op dat de dreigingsactoren achter de STAC4713 campagne geassocieerd worden met de GOLD ENCOUNTER threat group, die bekend staat om het targeten van hypervisors en encryptors voor VMware en ESXi omgevingen. Volgens Sophos creëert de kwaadaardige actor een scheduled task genaamd 'TPMProfiler' om een verborgen QEMU VM te lanceren als SYSTEM. Ze gebruiken virtuele disk files vermomd als databases en DLL files, en zetten port forwarding op om heimelijke toegang te bieden tot de geïnfecteerde host via een reverse SSH tunnel. De VM draait Alpine Linux versie 3.22.0 en bevat tools zoals AdaptixC2, Chisel, BusyBox en Rclone.

Sophos merkt op dat de initiële toegang werd verkregen via blootgestelde SonicWall VPN's, terwijl de exploitatie van de SolarWinds Web Help Desk kwetsbaarheid CVE-2025-26399 werd waargenomen in recentere aanvallen. In de post-infectie fase gebruikten de dreigingsactoren VSS (vssuirun.exe) om een shadow copy te maken en gebruikten ze het print commando over SMB om NTDS.dit, SAM en SYSTEM hives naar temp directories te kopiëren.

In februari gebruikte GOLD ENCOUNTER een blootgestelde Cisco SSL VPN, en in maart deden ze zich voor als IT-medewerkers en misleidden ze werknemers via Microsoft Teams om QuickAssist te downloaden en te installeren. In beide gevallen gebruikten de dreigingsactoren de ADNotificationManager.exe binary om een Havoc C2 payload (vcruntime140_1.dll) te sideloaden en vervolgens Rclone te gebruiken om data te exfiltreren naar een remote SFTP locatie.

Volgens een Zscaler rapport is Payouts King waarschijnlijk verbonden aan voormalige BlackBasta affiliates, gebaseerd op het gebruik van vergelijkbare initiële toegangsmethoden zoals spam bombing, Microsoft Teams phishing en Quick Assist misbruik. De ransomware gebruikt zware obfuscation en anti-analysis mechanismen, zet persistence op via scheduled tasks en beëindigt security tools met behulp van low-level system calls. Het encryptie schema van Payouts King gebruikt AES-256 (CTR) met RSA-4096 met intermittent encryption voor grotere bestanden.

Bron: Sophos | Bron 2: zscaler.com

Cybercrimeinfo ontdekte dat de Franse basketbalfederatie (FFBB) slachtoffer is geworden van een datalek. De gegevens van 1,9 miljoen leden en ongeveer 800.000 ouders zijn mogelijk in handen van de cybercrimineel HexDex. Deze dreigingsactor claimt de data te koop aan te bieden. HexDex is eerder verantwoordelijk geweest voor datalekken bij Therapeutes, Airsoft-Entrepot en Allopneus, eveneens gericht op Franse organisaties.

Het gelekte dataset omvat een breed scala aan persoonlijke informatie, waaronder volledige namen, geboortedata, geboorteplaatsen, geslacht en nationaliteit. Ook contactgegevens zoals telefoonnummers (zowel mobiel als vast), e-mailadressen en volledige woonadressen met details zoals appartementnummer en verdieping zijn gelekt.

Daarnaast bevat de dataset informatie over lidmaatschapsgegevens, zoals licentienummers, kwalificatiedata, speler categoriecodes (bijvoorbeeld U19, U20, Senior), competitieclassificaties en divisieclassificaties, regionale competitie-identificaties en clubgegevens met organisatienamen en codes.

Een bijzonder gevoelig aspect van het datalek is de aanwezigheid van medische informatie, waaronder data van medische certificaten en de bijbehorende vervaldata. Deze gegevens bevestigen of een speler een geldige gezondheidsverklaring heeft om te kunnen deelnemen aan wedstrijden. Ook fysieke gegevens zoals lengte zijn opgenomen.

Voor minderjarige spelers bevat de dataset tevens contactgegevens van ouders, zoals e-mailadressen en telefoonnummers. De gelekte data betreffen personen geboren in de periode 2003-2007.

De aanval maakt volgens de threat actor gebruik van een kwetsbaarheid in een publiek toegankelijke applicatie (T1190 Exploit Public-Facing Application) om toegang te krijgen tot de database. De data zelf wordt onttrokken aan informatie repositories (T1213 Data from Information Repositories).

Bron: Darkweb

Cybersecurity onderzoekers van Zimperium zLabs hebben details onthuld over vier nieuwe Android malware families: RecruitRat, SaferRat, Astrinox en Massiv. Deze malware families worden ingezet in vier verschillende campagnes en zijn in staat om privégegevens te stelen van meer dan 800 apps, voornamelijk gericht op bank en crypto-applicaties.

Elke malware familie gebruikt een andere methode om gebruikers te verleiden tot het downloaden van de malware. RecruitRat verspreidt zich via valse vacaturesites en richt zich op werkzoekenden, waarbij een APK-bestand wordt aangeboden dat eruitziet als een sollicitatie. SaferRat gebruikt phishing via websites die gratis toegang tot premium videostreamingdiensten beloven. Smishing wordt ook gebruikt, waarbij urgente tekstberichten met een link naar een schadelijke payload worden verstuurd. Astrinox doet zich voor als de business tool HireX op de site xhirecc, en er werd een valse Apple App Store-pagina gevonden, hoewel de malware zich momenteel alleen op Android-gebruikers richt. De verspreidingsmethode van Massiv is nog onbekend.

Na infectie lanceren de apps een aanval met Overlay, waarbij een nep-scherm verschijnt wanneer een echte app (zoals een bank-app of crypto wallet) wordt geopend. Slachtoffers die hun wachtwoord invoeren, geven dit rechtstreeks aan de aanvallers. Om geen argwaan te wekken, gebruikt de malware een "blinddoek" door misbruik te maken van Accessibility Service-rechten, waarbij een stilstaand beeld over het scherm wordt geplaatst, zoals een bevroren pagina of een valse Android Update-scherm. Ondertussen kunnen de aanvallers op de achtergrond contacten bekijken, SMS-berichten lezen en het scherm opnemen met behulp van het MediaProjection framework.

De malware onderschept ook OTP's (One-Time Passwords) die via SMS worden verzonden. RecruitRat bevat een bibliotheek van meer dan 700 valse inlogpagina's die worden geactiveerd wanneer een doelwit-app wordt geopend. Keylogging wordt gebruikt om elke aanraking op het scherm te volgen. De malware maakt gebruik van een constante verbinding via WebSockets om in contact te blijven met het apparaat en op het juiste moment toe te slaan.

Experts adviseren om niet op links in urgente tekstberichten te klikken en apps alleen van officiële platforms te downloaden.

Bron: Zimperium

Een handleiding die is gevonden op een ondergronds forum door Flare-analisten, geeft inzicht in hoe cybercriminelen de wereld van creditcard (CC)-marktplaatsen beoordelen. Het document, getiteld "The Underground Guide to Legit CC Shops: Cutting Through the Bullshit", beschrijft een gestructureerde aanpak om risico's te verminderen in een ecosysteem dat geplaagd wordt door oplichting, infiltratie door wetshandhavers en kortstondige operaties. De analyse van de handleiding onthult niet alleen praktische adviezen, maar ook een methodologie voor het screenen van carding shops, operationele beveiligingspraktijken en sourcing strategieën.

De auteur benadrukt dat legitimiteit niet wordt bepaald door branding of zichtbaarheid, maar door overlevingsvermogen. Een "echte" shop is er een die blijft opereren ondanks operaties van wetshandhavers, oplichting en interne instabiliteit. De kwaliteit van de gestolen data is cruciaal, met verwijzingen naar "verse bins" (Bank Identifiable Number) en lage afkeuringspercentages. Reputatie wordt gebouwd op het consistent leveren van werkende kaarten, afkomstig van infostealer infecties, phishing campagnes of point-of-sale breaches.

Transparantie is een terugkerend thema, met de nadruk op duidelijke prijsmodellen, real-time inventaris en functionele supportsystemen. Community validatie is ook belangrijk, waarbij gebruikers worden doorverwezen naar discussies in gesloten forums in plaats van on-site testimonials. De handleiding onthult een sterke bewustwording van druk door tegenstanders, met de nadruk op security-first infrastructuur zoals mirror domeinen en DDoS-bescherming.

De technische checklist omvat het testen van de kaartvalidatie, het controleren van de responsiviteit van de support, het beoordelen van de verscheidenheid aan BIN's en het verifiëren van de versheid van de aangeboden kaarten. Door een gedisciplineerde aanpak te volgen, kunnen carding actoren de risico's in de ondergrondse markt verminderen en betrouwbare leveranciers van gestolen creditcardgegevens identificeren.

Bron: Flare

Ransomware blijft een aanzienlijke bedreiging, waarbij recente incidenten aantonen dat zowel particulieren als organisaties doelwit kunnen worden van cybercriminelen. De gevolgen van een ransomwareaanval kunnen ernstig zijn, zoals versleutelde bestanden, gestolen gegevens en de eis tot losgeld. Het is daarom cruciaal om preventieve maatregelen te nemen.

Een basisregel is het installeren van een malwarescanner, zoals Microsoft Defender of een externe antivirussoftware. Hoewel een antivirusscanner kan voorkomen dat ransomware wordt geïnstalleerd, kan het virus er soms toch in slagen om de scanner te omzeilen. Windows 10 en Windows 11 bieden extra ingebouwde bescherming die aanvallers de toegang tot waardevolle bestanden kan bemoeilijken. Deze instellingen moeten echter handmatig worden geconfigureerd.

De ingebouwde bescherming tegen ransomware is te vinden in het Windows-beveiligingsmenu, dat toegankelijk is via Privacy en Beveiliging in de instellingen. Vervolgens klik je op virus en bedreigingsbeveiliging, waar de optie Bescherming tegen ransomware te vinden is. Het menu Controlled folder access staat standaard uitgeschakeld. Door deze optie in te schakelen, worden drie nieuwe instellingen beschikbaar.

Een belangrijke instelling is Beschermde mappen, die een overzicht biedt van mappen die extra bescherming genieten tegen externe applicaties. Controlled folder access zorgt ervoor dat alleen geverifieerde applicaties wijzigingen mogen aanbrengen in een beschermde map. Standaard zijn Windows-systeemmappen, zoals Documenten en Afbeeldingen, al opgenomen in deze lijst. De lijst kan worden uitgebreid via Beveiligde map toevoegen. Het toevoegen van de Bureaublad-map is aan te raden, aangezien deze niet standaard is opgenomen.

Via Een app toestaan kan worden bepaald welke applicaties toegang krijgen tot de beschermde mappen. Het is raadzaam om de recente blokkeringen te bekijken om te zien welke apps recentelijk de toegang tot een beschermde map is ontzegd. Indien een applicatie onterecht is tegengehouden, kan dit worden gecorrigeerd door de app goed te keuren.

Daarnaast is het belangrijk om een back-up te hebben voor het geval de bescherming tegen ransomware tekortschiet. In het ransomware-menu van Windows kunnen OneDrive-accounts worden toegevoegd waar back-upbestanden staan. Door op Bestanden weergeven te klikken, kunnen deze bestanden eenvoudig lokaal worden hersteld. Voor maximale veiligheid is het verstandig om ook een offline back-up te bewaren, bijvoorbeeld op een externe schijf.

Naast de ingebouwde bescherming van Windows is het cruciaal om als gebruiker alert te zijn op phishing, systemen up-to-date te houden en voldoende veilige back-ups te maken. Phishing is nog steeds een veelgebruikte aanvalsvector, waarbij malware kan worden verspreid via URL's of downloadbare bestanden. Hackers zoeken voortdurend naar kwetsbaarheden in software, dus beveiligingsupdates moeten zo snel mogelijk worden uitgevoerd. Back-ups zijn essentieel, maar moeten ook goed worden beveiligd om te voorkomen dat criminelen ze versleutelen.

Bron: ITdaily.be

Cybersecurityonderzoekers van FortiGuard Labs van Fortinet hebben een nieuwe malware ontdekt die wereldwijd smart devices overneemt. Deze dreiging, genaamd Nexcorium, is een nieuwe versie van de beruchte malware voor Mirai. Het is gebouwd om een botnet te creëren, een groot netwerk van geïnfecteerde IoT apparaten en gadgets die door hackers worden bestuurd om grootschalige DDoS aanvallen uit te voeren.

De onderzoekers van FortiGuard Labs ontdekten dat de belangrijkste doelwitten in deze campagne videorecorders zijn die worden gebruikt voor beveiligingscamera's, bij voorkeur de modellen TBK DVR-4104 en DVR-4216. Deze apparaten worden zelden bijgewerkt en hebben zwakke beveiligingsinstellingen, waardoor ze gemakkelijker te compromitteren zijn.

Volgens de onderzoekers maken aanvallers misbruik van CVE-2024-3721, een command injection kwetsbaarheid in deze specifieke apparaten, waardoor hackers toegang kunnen krijgen, kwaadaardige code kunnen uitvoeren en permanente toegang op afstand kunnen verkrijgen. Na een succesvolle compromittering verschijnt er een bericht op het systeem met de tekst "NexusCorp has taken control." Dit geeft de identiteit van de aanvallers prijs, die volgens de onderzoekers het Nexus Team is. Ze laten zelfs een handtekening achter in de code met de tekst "Nexus Team - Exploited By Erratic," waarmee deze attributie wordt bevestigd.

Vincent Li van FortiGuard Labs merkte op dat Nexcorium een "multi-architectuur" malware is, wat betekent dat het op verschillende processors kan werken. De malware is ook moeilijk te verwijderen omdat het zichzelf kopieert naar verschillende mappen. Vervolgens worden automatische taken ingesteld, zodat de malware opnieuw start als het apparaat wordt uit en weer ingeschakeld. De originele bestanden worden zelfs verwijderd om te voorkomen dat iemand het probeert te vinden.

Om het botnet uit te breiden, probeert de malware andere smart devices in hetzelfde gebouw te compromitteren. Hiervoor wordt een ingebouwde, lange lijst met eenvoudige wachtwoorden gebruikt, zoals "admin123, 12345 en guest." Door middel van brute force blijft Nexcorium deze wachtwoorden één voor één proberen om te zien of het kan inloggen op andere routers of camera's. Het belangrijkste doel van dit alles is het lanceren van Distributed Denial of Services (DDoS)-aanvallen waarbij duizenden geïnfecteerde apparaten een website overspoelen met zoveel nepverkeer dat deze crasht en niet meer werkt.

De onderzoekers merkten op dat Nexcorium malware "typische kenmerken vertoont van moderne IoT-gerichte botnets, waarbij gebruik wordt gemaakt van kwetsbaarheden, ondersteuning voor meerdere architecturen en verschillende persistentiemethoden om langdurige toegang tot geïnfecteerde systemen te behouden."

Omdat Nexcorium op veel verschillende soorten hardware kan draaien, is het een serieuze bedreiging voor elke organisatie die deze videorecorders gebruikt. Daarom is het wijzigen van standaardwachtwoorden en het up-to-date houden van software de beste manier om veilig te blijven.

Trey Ford, Chief Strategy and Trust Officer bij Bugcrowd, adviseert organisaties om te blijven testen en niet alleen naar de kroonjuwelen te kijken.

Bron: Fortinet | Bron 2: nvd.nist.gov

Een beveiligingsonderzoeker heeft Claude Opus van Anthropic ingezet om een exploit te ontwikkelen voor een reeds bekende kwetsbaarheid in Chrome. De onderzoeker, "s1r1us" van Hacktron, wilde onderzoeken of Claude in staat is om een exploit te ontwikkelen voor de V8 JavaScript-engine van Chrome. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en is een populair doelwit voor security onderzoekers.

S1r1us meldt dat het een week kostte om Claude Opus de exploit te laten ontwikkelen. Dit kostte hem 2,3 miljard tokens en ruim 2.000 dollar aan API-kosten. Uiteindelijk slaagde Claude Opus erin om een succesvolle exploit te ontwikkelen die een calculator opende op het systeem van de onderzoeker ("Full Chain Exploit").

De onderzoeker stelt dat het ontwikkelen van de exploit 2.000 dollar kostte. Google betaalt volgens s1r1us 10.000 dollar voor een dergelijke exploit, terwijl Discord in dit geval 5.000 dollar betaalde voor de ontwikkelde exploit.

Bron: Security.NL

Onderzoekers van Cyderes hebben een nieuwe malwarecampagne ontdekt die antivirussoftware omzeilt en gegevens steelt van nietsvermoedende gebruikers. De campagne maakt gebruik van twee nieuwe malwarefamilies genaamd Direct-Sys Loader en CGrabber Stealer. De aanval begint met ZIP-archieven die via GitHub-gebruikersattachmentlinks worden verspreid. Een terugkerende bestandsnaam is Eclipsyn.zip.

Deze archieven bevatten een legitiem, door Microsoft ondertekend programma genaamd Launcher_x64.exe. Dit vertrouwde bestand wordt misleid om een kwaadaardig component uit te voeren via DLL sideloading. Het component is vermomd als een dependency met de naam msys-crypto-3.dll. Vervolgens begint de Direct-Sys Loader. Deze loader voert een reeks controles uit om te zien of het wordt gecontroleerd voordat het iets doet. Het zoekt naar 67 verschillende beveiligingstools en controleert ook op virtuele omgevingen zoals VMware, Hyper-V of VirtualBox.

Als de loader een sandbox van een onderzoeker detecteert, stopt het. De malware gebruikt direct syscalls om rechtstreeks met de operating system kernel te communiceren. Dit helpt het om onopgemerkt te blijven, omdat het stilletjes de gebruikelijke security hooks omzeilt die op verdachte activiteit controleren. Nadat de loader bevestigt dat het systeem onverdedigd is, voert het de uiteindelijke payload uit, bekend als de CGrabber Stealer, die verantwoordelijk is voor het stelen van de data.

CGrabber steelt opgeslagen wachtwoorden, creditcardgegevens en cookies van browsers zoals Chrome, Edge, Brave en Firefox, en richt zich ook op private keys van meer dan 150 crypto apps, waaronder MetaMask, Exodus, Coinbase en Binance. Zelfs communicatietools worden niet gespaard, want de stealer verkrijgt data van Telegram, Discord, Steam en VPN-diensten zoals NordVPN en ProtonVPN. Daarnaast voert de stealer een CIS-check (regional location check) uit, en als het apparaat zich in een land binnen het Commonwealth of Independent States bevindt, sluit het onmiddellijk af.

Alle gestolen data wordt versleuteld met het ChaCha20 algoritme voordat het naar de servers van de aanvallers wordt verzonden. Omdat de malware custom web headers zoals X-Auth-Token gebruikt, kan het gemakkelijk door netwerkfilters heen. Het is raadzaam om op je hoede te zijn voor ZIP bestanden van GitHub en je systeem te controleren op vreemde bestanden in mappen die je niet hebt gemaakt.

Bron: Cyderes

Cybercriminelen gebruiken Microsoft Teams om zich voor te doen als IT helpdeskmedewerkers en gebruikers te overtuigen om toegang te verlenen via remote desktop software. Na succesvolle toegang via Quick Assist of vergelijkbare tools, voeren de aanvallers vaak legitieme, door leveranciers ondertekende applicaties uit, samen met kwaadaardige modules om schadelijke code uit te voeren.

Deze methode kan gebruikt worden voor laterale beweging binnen het netwerk, waarbij gebruik wordt gemaakt van Windows Remote Management (WinRM) om toegang te krijgen tot waardevolle assets, zoals domeincontrollers. In waargenomen gevallen gebruikten de aanvallers commerciële remote management software en datatransferprogramma's zoals Rclone om hun toegang uit te breiden en bedrijfsgegevens te verzamelen voor exfiltratie naar externe cloudopslag. Deze aanvalsketen maakt gebruik van legitieme applicaties en administratieve protocollen, waardoor de activiteit van de aanvallers opgaat in de normale bedrijfsactiviteit.

Door misbruik te maken van externe samenwerking via Microsoft Teams kunnen aanvallers zich voordoen als IT medewerkers en gebruikers overtuigen om remote assistance toegang te verlenen. Vanuit dit startpunt kunnen ze trusted tools en native administratieve protocollen gebruiken om lateraal door het bedrijf te bewegen en gevoelige gegevens te verzamelen voor exfiltratie.

In plaats van traditionele phishing via e-mail, maken de aanvallers gebruik van enterprise samenwerking workflows via Microsoft Teams. Hoewel Teams beveiligingsfuncties heeft, zoals labels voor externe afzenders en Accept/Block prompts, is deze aanvalsketen afhankelijk van het feit dat gebruikers deze waarschuwingen negeren en vrijwillig remote access verlenen via legitieme support tools.

Het risico ontstaat niet alleen door externe berichten, maar vooral wanneer een gebruiker acties goedkeurt, zoals het starten van een remote assistance sessie, die resulteert in interactieve systeemtoegang.

Een goedgekeurde externe interactie via Teams kan aanvallers in staat stellen om laterale bewegingen uit te voeren en tooling te installeren, wat het risico op persistentie in de hele onderneming en gerichte datadiefstal vergroot. De aanval begint met misbruik van de externe samenwerkingsfuncties in Microsoft Teams, waarbij een aanvaller vanuit een afzonderlijke tenant contact initieert en zich voordoet als interne supportmedewerker. Dit omzeilt vaak de initiële scepsis die gebruikers hebben bij ongevraagde externe communicatie via e-mail. Het is belangrijk op te merken dat deze aanval afhankelijk is van gebruikers die beveiligingswaarschuwingen en andere beschermingsfuncties negeren. De gebruikte lokmiddelen variëren en kunnen "Microsoft Security Update", "Spam Filter Update" of "Account Verification" omvatten, maar het doel is altijd hetzelfde, namelijk de gebruiker overtuigen om waarschuwingen en externe contactvlaggen te negeren, een remote management sessie te starten en elevation te accepteren. Soms wordt voice phishing (vishing) gebruikt om het vertrouwen te vergroten.

Het tijdstip is cruciaal. Een "ChatCreated" event duidt op een eerste contact, gevolgd door verdachte chats of vishing, remote management en andere events die vaak alerts genereren, zoals mailbombing of URL click alerts. Deze kunnen allemaal worden gecorreleerd door informatie over account en chat thread in de Defender hunting omgeving.

Het is belangrijk op te merken dat de aanvaller de URL vaak niet via een bericht via Teams verzendt, maar er tijdens een remote management sessie naartoe navigeert op het endpoint. Daarom is user education van belang om het belang van het niet negeren van externe vlaggen voor nieuwe helpdeskcontacten te benadrukken.

Met verkregen toestemming via social engineering krijgt de aanvaller interactieve controle over het apparaat met behulp van remote support tools zoals Quick Assist.

Bron: Microsoft

Een nieuwe variant van het Mirai botnet, genaamd Nexcorium, is ontdekt en richt zich op met internet verbonden videorecorders. Onderzoek van Fortinet FortiGuard Labs toont aan dat aanvallers een command injection kwetsbaarheid misbruiken om TBK DVR systemen te kapen en een DDoS-botnet te creëren.

De campagne richt zich specifiek op de TBK DVR-4104 en DVR-4216 modellen en maakt gebruik van CVE-2024-3721. Deze kwetsbaarheid stelt aanvallers in staat om een downloader script te leveren door argumenten binnen het apparaatsysteem te manipuleren. Tijdens de exploitatie is er HTTP-verkeer met de header "X-Hacked-By: Nexus Team - Exploited By Erratic", wat FortiGuard Labs toeschrijft aan de "Nexus Team".

Na de uitvoering van het downloader script worden multi architectuur payloads voor ARM-, MIPS- en x86-64-omgevingen opgehaald, waarna het bericht "nexuscorp has taken control" verschijnt. Nexcorium deelt een fundamentele architectuur met Mirai varianten, inclusief XOR gecodeerde configuraties en modulaire componenten.

De malware gebruikt standaard Mirai functies, zoals een watchdog module, een scanner voor netwerkpropagatie en een aanvalsmodule voor DDoS aanvallen. Om de infectiegraad te verhogen, maakt Nexcorium gebruik van de oudere CVE-2017-17215 kwetsbaarheid, gericht op Huawei routers. Het voert ook Telnet gebaseerde brute-force aanvallen uit op andere netwerkapparaten met een hardcoded lijst van gebruikersnamen en wachtwoorden.

Nexcorium controleert zijn eigen integriteit met FNV-1a hashing algoritmen en dupliceert zichzelf onder een nieuwe bestandsnaam om detectie te voorkomen. Het botnet vestigt persistentie via vier mechanismen, namelijk het wijzigen van /etc/inittab om automatische procesherstarts te garanderen, het updaten van /etc/rc.local voor uitvoering tijdens het opstarten, het creëren van een systemd service genaamd persist.service en het planten van geplande taken via crontab. Na deze setup verwijdert Nexcorium zijn originele binary.

Het doel van de Nexus Team campagne is het lanceren van DDoS aanvallen. Nexcorium communiceert met een command en control server om aanvalsinstructies te ontvangen en is uitgerust met UDP, TCP ACK, TCP SYN, SMTP en TCP PSH floods, naast VSE query floods en UDP blast aanvallen.

Security experts adviseren organisaties om CVE-2024-3721 onmiddellijk te patchen, standaard wachtwoorden te vervangen en kritieke infrastructuur te isoleren van kwetsbare IoT endpoints met behulp van netwerksegmentatie.

Bron: Fortinet | Bron 2: cybersecuritynews.com

Apple account wijzigingsnotificaties worden misbruikt om valse iPhone aankoop phishing scams te versturen via legitieme e-mails van Apple servers. Dit verhoogt de legitimiteit en helpt mogelijk spamfilters te omzeilen. Een lezer deelde met BleepingComputer een e-mail die eruitzag als een standaard Apple beveiligingsnotificatie, waarin stond dat hun accountinformatie was bijgewerkt. In het bericht was een phishing lokmiddel ingebed waarin werd beweerd dat een iPhone aankoop van $899 via PayPal was gedaan, samen met een telefoonnummer om de transactie te annuleren.

De phishing e-mail vermeldt: "Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761," en "The following changes to your Apple Account, hxfedna24005@icloud.com, were made on April 14, 2026 at 7:01:40 PM GMT: Shipping Information". Het doel is om ontvangers te misleiden door hen te laten denken dat hun accounts zijn gebruikt voor frauduleuze aankopen en hen bang te maken om het "support" nummer van de oplichter te bellen. Wanneer het nummer wordt gebeld, proberen de oplichters slachtoffers ervan te overtuigen dat hun accounts zijn gecompromitteerd en kunnen ze hen instrueren om software voor toegang op afstand te installeren of financiële informatie te verstrekken. In eerdere callback phishing campagnes is deze toegang op afstand gebruikt om geld van bankrekeningen te stelen, malware te verspreiden of gegevens te stelen.

Om de aanval uit te voeren, maakt de dreigingsactor een Apple ID aan en voegt het phishing bericht in de persoonlijke informatievelden van het account in, waarbij de tekst wordt verdeeld over de velden voornaam en achternaam. BleepingComputer kon dit gedrag repliceren door een test Apple account aan te maken en vergelijkbare callback phishing taal toe te voegen aan de velden voornaam en achternaam. Om de Apple account profiel wijzigingsnotificatie te activeren, wijzigt de aanvaller de verzendinformatie van het account, waardoor Apple een beveiligingswaarschuwing stuurt om de gebruiker op de hoogte te stellen van de wijziging. Omdat Apple de door de gebruiker opgegeven voornaam en achternaam in deze notificaties opneemt, wordt het phishing bericht rechtstreeks in de e-mail ingebed en als onderdeel van een legitieme waarschuwing afgeleverd.

Hoewel het doelwit van de aanvallen het bericht ontving, werd de e-mail aanvankelijk verzonden naar een iCloud e-mailadres dat aan het account van de aanvaller is gekoppeld. Dit e-mailadres is ook opgenomen in de notificatie e-mail, waardoor de e-mail er zorgwekkender uitziet en iemand mogelijk denkt dat het account is gehackt. Header analyse toont aan dat de oorspronkelijke ontvanger verschilt van het uiteindelijke afleveradres, wat aangeeft dat de aanvaller waarschijnlijk een mailinglijst gebruikt om de e-mails naar meerdere doelwitten te verspreiden. Deze campagne is vergelijkbaar met een eerdere phishing campagne die misbruik maakte van iCloud Calendar uitnodigingen om valse aankoop notificaties via de servers van Apple te versturen.

Als algemene regel zouden gebruikers onverwachte accountwaarschuwingen die aankopen claimen of hen aansporen om supportnummers te bellen met de nodige voorzichtigheid moeten behandelen, vooral als ze geen recente wijzigingen hebben doorgevoerd of als ze ongebruikelijke e-mailadressen bevatten. BleepingComputer heeft Apple op vrijdag over deze campagne benaderd, maar heeft geen antwoord ontvangen, en het misbruik is nog steeds mogelijk.

Bron: Apple

In de Chinese Apple App Store zijn 26 kwaadaardige apps ontdekt die zich voordoen als populaire wallets, zoals Metamask, Coinbase, Trust Wallet en OneKey. Het doel is voor het stelen van herstel of seed phrases en zo cryptocurrency tegoeden te plunderen. Onderzoekers van Kaspersky hebben deze campagne de naam FakeWallet gegeven en linken deze aan de SparkKitty operatie die al sinds vorig jaar actief is.

De aanvallers maakten gebruik van verschillende methoden om de officiële producten na te bootsen, waaronder typosquatting en valse branding. Omdat dergelijke apps in China beperkt zijn, publiceerden de aanvallers ze als games of calculator apps, in de hoop dat gebruikers dit zouden zien als een manier om de verboden te omzeilen.

Eenmaal geopend, leiden de apps gebruikers door naar phishingpagina's die eruitzien als legitieme portals voor de crypto services. Deze sites overtuigen slachtoffers om trojanized wallet apps te downloaden met behulp van iOS provisioning profiles. Dit is een legitieme enterprise functie die wordt misbruikt om malware op hun apparaten te installeren.

De trojanized apps bevatten extra code die mnemonic phrases onderschept tijdens de wallet setup of recovery schermen. Deze worden vervolgens versleuteld met RSA en Base64, en naar de aanvaller verzonden. Voor cold wallets zoals Ledger vertrouwen aanvallers op in-app phishing prompts die gebruikers misleiden om handmatig hun seed phrases in te voeren via valse security verificatie schermen. Deze phrases, die alleen door de rechtmatige wallet eigenaar worden bewaard, zijn bedoeld voor wallet porting/recovery naar nieuwe apparaten en vereisen geen verdere bevestiging of wachtwoorden. Hierdoor kunnen aanvallers de wallet van het slachtoffer herstellen op hun eigen apparaten en de wallet leegroven.

Kaspersky merkte op dat de campagne voornamelijk gericht is op gebruikers in China. De malware zelf heeft echter geen geografische beperkingen, dus het zou gebruikers wereldwijd kunnen treffen als de aanvallers besluiten om hun targeting scope uit te breiden.

Cryptocurrency houders wordt geadviseerd om de uitgever van de apps die ze downloaden dubbel te controleren, zelfs vanuit officiële app stores, en alleen de links te gebruiken die op de officiële website worden verstrekt. Apple heeft alle 26 FakeWallet apps uit de App Store verwijderd na een melding van Kaspersky.

Bron: Kaspersky

Uit een experiment van VRT NWS op de Groenplaats in Antwerpen blijkt hoe makkelijk mensen persoonlijke gegevens afstaan wanneer ze een vertrouwde stem horen, zelfs als die stem volledig is nagemaakt met kunstmatige intelligentie. De VRT liet een AI model een stemkloon maken op basis van enkele geluidsfragmenten van zanger en presentator Niels Destadsbader, en testte vervolgens of voorbijgangers er intrappen.

In het experiment werd voorbijgangers gevraagd om zogezegd te stemmen voor hun favoriete artiest voor de muziekwedstrijd Zomerhit. Om mee te doen moesten ze naam, e-mailadres en rijksregisternummer doorgeven. Opvallend veel mensen gingen daarin mee. Sommigen aarzelden kort, maar voor velen was de herkenbare stem genoeg om vertrouwen te winnen. Zelfs toen Niels plots echt naast hen stond, hadden sommigen amper door dat ze met een valse stem hadden gesproken.

De techniek achter zulke stemklonen is vrij toegankelijk geworden. Criminelen gebruiken dit om familieleden na te bootsen in valse noodoproepen, bijvoorbeeld een kind of kleinkind dat dringend geld nodig heeft. Omdat de stem zo overtuigend klinkt, vallen veel slachtoffers in de val.

Eén eenvoudige tip helpt om je hiertegen te wapenen. Spreek met familie een gezamenlijk wachtwoord af voor noodgevallen. Wie belt met een vraag om geld of gevoelige informatie, moet dat wachtwoord kunnen noemen. Lukt dat niet, hang dan op en bel zelf terug op een bekend nummer om te verifiëren. Deze maatregel kost niets, maar onderschept precies het soort AI-phishing dat VRT op de Groenplaats demonstreerde.

Bron: Niels Destadsbader om persoonsgegevens te ontfutselen

Onderzoekers van Check Point hebben een SystemBC malware voor proxy botnet van meer dan 1.570 besmette hosts ontdekt, vermoedelijk allemaal bedrijfsslachtoffers. Het botnet werd in kaart gebracht tijdens onderzoek naar aanvallen van The Gentlemen ransomware-as-a-service groep. Onder de slachtoffers bevinden zich onder meer de Roemeense energiemaatschappij Oltenia Energy Complex en The Adaptavist Group.

The Gentlemen ontstond rond medio 2025 en levert affiliates een Go-based locker voor Windows, Linux, NAS en BSD systemen, plus een C-based variant voor VMware ESXi hypervisors. De groep heeft publiekelijk ongeveer 320 slachtoffers geclaimd, waarvan de meeste aanvallen in 2026 plaatsvonden. Het gebruik van een eigen proxy-botnet wijst erop dat de affiliates hun aanvalsinfrastructuur aanzienlijk uitbreiden.

SystemBC is een bekend proxy-malwarevariant die al sinds 2019 wordt gebruikt door meerdere ransomware-operaties. Het fungeert als tussenlaag waarmee aanvallers commando's en data door besmette systemen laten lopen, waardoor de oorspronkelijke bron van het verkeer verborgen blijft. Voor verdedigers betekent dit dat verdachte uitgaande verbindingen vanuit bedrijfsnetwerken extra aandacht verdienen, ook als ze naar ogenschijnlijk legitieme bestemmingen gaan.

Organisaties met ESXi-omgevingen moeten extra alert zijn. The Gentlemen richt zich nadrukkelijk op virtualisatie-infrastructuur omdat één succesvolle aanval meerdere tientallen servers tegelijk kan versleutelen. Patchbeleid, netwerksegmentatie en offline backups van hypervisor-omgevingen zijn de belangrijkste tegenmaatregelen.

Bron: Check Point Research

De Noord-Koreaanse dreigingsactor UNC1069 voert een geavanceerde campagne waarin cryptocurrency en Web3 professionals worden overtuigd om deel te nemen aan valse online vergaderingen. Doel is om hun apparaten te infecteren met malware die digitale assets steelt. De groep doet zich voor als durfkapitaalinvesteerders op zoek naar partnerschappen en bouwt via maanden lange gesprekken vertrouwen op met de doelwitten.

Zodra het vertrouwen is gewonnen, delen de aanvallers afspraaklinks via Calendly voor meetings op nagemaakte platforms die Zoom, Google Meet en Microsoft Teams zeer overtuigend nabootsen. In de valse omgevingen nemen de aanvallers zelf live deel, en in sommige gevallen gebruiken ze deepfake video van echte executives om de schijn volledig op te houden. Tijdens de nep-meeting wordt het slachtoffer gevraagd een extensie, driver of update te installeren die feitelijk malware is.

De malware richt zich specifiek op cryptocurrency wallets, browserextensies zoals Metamask, en exchange-inloggegevens. Eenmaal geïnstalleerd kunnen aanvallers private keys en seed phrases exfiltreren, waarna de digitale assets binnen minuten naar eigen wallets worden doorgesluisd.

Voor Nederlandse en Belgische crypto professionals en Web3 startups is dit een concrete waarschuwing. Behandel onverwachte investeringsbenaderingen met extreme terughoudendheid, installeer nooit software omdat een "meeting" dat vereist, en gebruik hardware wallets voor bedrijfsmiddelen. Bij twijfel over de identiteit van een gesprekspartner, verifieer via een onafhankelijk kanaal en niet via de link die zojuist is aangeleverd.

Bron: Google Threat Intelligence

Microsoft waarschuwt dat aanvallers steeds vaker misbruik maken van externe Microsoft Teams samenwerking en van legitieme tools om toegang te krijgen en lateraal te bewegen binnen bedrijfsnetwerken. De aanvallers doen zich voor als IT- of helpdesk-medewerkers en nemen via cross-tenant chats contact op met medewerkers om hen te misleiden tot het geven van remote toegang, met datadiefstal als uiteindelijk doel.

Microsoft heeft meerdere inbraken waargenomen met een vergelijkbare aanvalsketen. De aanvallers gebruiken commerciële remote management software zoals Quick Assist en tools als Rclone om bestanden naar externe cloudopslag te verplaatsen. Omdat er intensief gebruik wordt gemaakt van legitieme applicaties en native beheerprotocollen, is vervolgmalware moeilijk te onderscheiden van normale administratieve activiteit.

Typische aanvallen verlopen via een eerste contact in Teams vanuit een externe tenant. De aanvaller doet zich voor als "IT-support bij een leverancier" of "hoofdkantoor helpdesk". Zodra het slachtoffer akkoord gaat met een Quick Assist sessie, neemt de aanvaller controle over het scherm, disabelt security-tools, en exfiltreert data. Soms wordt daarna ransomware uitgerold.

Voor IT-afdelingen in Nederland en België is het advies om cross-tenant Teams-communicatie strikt te beperken, externe bellers te blokkeren tenzij expliciet goedgekeurd, en medewerkers te trainen om nooit Quick Assist of vergelijkbare remote software op te starten op verzoek van iemand die zich alleen via chat of telefoon identificeert. Een verificatie via een bekend intern kanaal is de gouden standaard.

Bron: Microsoft Security Blog

Onderzoekers van LayerX Security hebben een malwarecampagne blootgelegd onder de codenaam StealTok, waarin meer dan een dozijn kwaadaardige browserextensies zich voordoen als TikTok video downloaders. Ongeveer 130.000 gebruikers wereldwijd hebben een van deze extensies geïnstalleerd via Chrome Web Store of Microsoft Edge Add-ons, in de veronderstelling dat ze TikTok video's zonder watermerk konden opslaan.

De extensies beloven een simpele download functie, maar in werkelijkheid verzamelen ze uitgebreide device fingerprinting data. Denk aan tijdzone, taalinstellingen, batterijstatus en andere hoge entropie waarden die samen een unieke vingerafdruk van het apparaat vormen. Daarmee kunnen de aanvallers gebruikers over verschillende sessies en websites blijven volgen, ook als cookies worden gewist of een nieuw IP adres wordt gebruikt.

Opvallend is de lange inactieve periode. Veel extensies deden zes tot twaalf maanden niets kwaadaardigs, waardoor ze duizenden installaties kregen en in sommige gevallen het Featured badge toegekend kregen door Microsoft Edge moderatoren. Pas na het bereiken van een grote gebruikersbasis begonnen de extensies te communiceren met command and control servers, waar ze nieuwe instructies ophaalden. Deze slapende aanpak bemoeilijkt detectie aanzienlijk, zowel voor store-review processen als voor endpoint security tools.

Voor Nederlandse en Belgische gebruikers is het advies helder. Controleer geïnstalleerde Chrome en Edge extensies op herkomst en noodzaak, verwijder alles wat niet actief wordt gebruikt, en installeer uitsluitend extensies van geverifieerde ontwikkelaars. Bedrijven doen er goed aan om browser extensie management centraal te regelen via Group Policy of Chrome Enterprise, en om downloaders van social media platforms in principe te blokkeren. Een aantal extensies is inmiddels verwijderd uit de stores, maar LayerX meldt dat een groot deel nog actief beschikbaar is voor installatie.

Bron: LayerX Security | Bron 2: hackread.com

Nieuw onderzoek van Cybersecurity Insiders, uitgevoerd in samenwerking met Saviynt, onthult dat identiteiten van AI steeds vaker opereren binnen de kernsystemen van bedrijven, vaak zonder adequate governance of toezicht. De studie, die wereldwijd is uitgevoerd, wijst op een aanzienlijk tekort aan zichtbaarheid en controle over deze nieuwe klasse van niet-menselijke identiteiten.

Uit de bevindingen blijkt dat 71% van de CISOs en senior beveiligingsleiders bevestigt dat AI-gedreven tools toegang hebben tot bedrijfskritieke systemen zoals Salesforce en SAP. Echter, slechts 16% rapporteert dat deze toegang effectief wordt beheerd. Dit creëert een potentieel groot beveiligingsrisico, aangezien deze AI-systemen API's kunnen aanroepen, persistente inloggegevens kunnen bewaren en over applicaties heen kunnen opereren met beperkte menselijke supervisie.

Een alarmerende 92% van de respondenten geeft aan geen volledig zicht te hebben op de identiteiten van AI binnen hun omgeving. Bovendien uitte 95% twijfels over hun vermogen om misbruik te detecteren of in te dammen mocht dit zich voordoen. Driekwart (75%) van de onderzochte organisaties heeft al niet-goedgekeurde AI tools binnen hun omgeving geïdentificeerd, wat de uitdaging verder vergroot.

Holger Schulze, oprichter van Cybersecurity Insiders, benadrukt de urgentie van de situatie: "Dit is niet langer een probleem voor de toekomst. AI heeft al toegang tot bedrijfskritieke systemen, vaak met meer autonomie en minder toezicht dan welk beveiligingsteam dan ook bewust zou goedkeuren. Als organisaties deze accounts niet kunnen identificeren, hun privileges niet begrijpen en er geen beleid op kunnen afdwingen, hebben ze geen echte controle over de omgevingen waarin die systemen opereren."

De handhaving van formele toegangsbeleidsregels blijft laag; 86% van de respondenten stelt dergelijke beleidsregels niet af te dwingen voor identiteiten van AI. Slechts 5% van de beveiligingsleiders voelt zich voldoende capabel om een gecompromitteerde AI-agent in te dammen. Het rapport concludeert dat naarmate AI verder integreert in SaaS- en cloud-workflows, de focus voor CISOs moet verschuiven naar continue ontdekking, classificatie en monitoring van machine-identiteiten om de beveiligingsstandaarden te handhaven.

Bron: Cybersecurity Insiders

Beveiligingsonderzoekers van Kaspersky hebben een voorheen ongedocumenteerde data malware voor wiper, genaamd Lotus, geanalyseerd. Deze malware werd vorig jaar ingezet bij gerichte aanvallen op energie- en nutsbedrijven in Venezuela. De Lotus wiper werd medio december geüpload naar een openbaar platform vanuit een machine in Venezuela.

De malware is ontworpen om gecompromitteerde systemen volledig te vernietigen door fysieke schijven te overschrijven en herstelopties te elimineren. Volgens Kaspersky verwijdert de wiper herstelmechanismen, overschrijft het de inhoud van fysieke schijven en verwijdert het systematisch bestanden op getroffen volumes, waardoor het systeem uiteindelijk in een onherstelbare staat achterblijft.

De waargenomen activiteit, die plaatsvond rond medio december 2025, valt samen met geopolitieke spanningen in de regio. Rond diezelfde periode werd de staatsoliemaatschappij Petróleos de Venezuela (PDVSA) getroffen door een cyberaanval die de leveringssystemen uitschakelde. PDVSA wees de Verenigde Staten aan als verantwoordelijke voor dit incident. Er is echter geen openbaar bewijs dat de systemen van PDVSA zijn gewist door de malware voor Lotus, noch concrete details over de aard van die specifieke aanval.

De aanvallen beginnen met de uitvoering van een batch script genaamd 'OhSyncNow.bat'. Dit script schakelt de Windows-service 'UI0Detect' uit en voert een XML-bestandscontrole uit om de uitvoering op domain-joined systemen te coördineren. Een tweede script, 'notesreg.bat', wordt uitgevoerd wanneer aan bepaalde voorwaarden is voldaan. Dit script inventariseert gebruikers, schakelt accounts uit door wachtwoorden te wijzigen, meldt actieve sessies af, schakelt alle netwerkinterfaces uit en deactiveert gecachede logins.

Vervolgens inventariseert de kwaadaardige code schijven en voert het commando 'diskpart clean all' uit om deze met nullen te overschrijven. Het maakt ook gebruik van 'robocopy' om de inhoud van directory's te overschrijven. In een latere fase berekent het script de vrije ruimte en gebruikt het 'fsutil' om een bestand aan te maken dat de schijf vult, waardoor het moeilijker wordt om de gewiste gegevens te herstellen. Na deze voorbereidingen en de eerste wisacties, ontsleutelt en voert het batch script de Lotus wiper uit als de uiteindelijke payload.

De Lotus wiper werkt op een lager niveau en interageert met schijven via IOCTL-aanroepen. Het haalt schijfgeometrie op, wist USN-journaalitems, wist herstelpunten en overschrijft fysieke sectoren, niet alleen logische volumes. De malware schakelt alle privileges in zijn token in voor administratieve toegang, verwijdert alle Windows-herstelpunten met behulp van de Windows System Restore API, wist fysieke schijven door alle sectoren met nullen te overschrijven, en wist het USN-journaal om sporen van bestandssysteemactiviteit te verwijderen. Het verwijdert bestanden door hun inhoud te nullen, ze willekeurig te hernoemen en ze te verwijderen (of te plannen voor verwijdering bij herstart als ze vergrendeld zijn). Deze cycli van schijfwissen en het verwijderen van herstelpunten worden meerdere keren herhaald, waarna de schijfeigenschappen worden bijgewerkt met 'IOCTL_DISK_UPDATE_PROPERTIES'.

Kaspersky adviseert systeembeheerders om te controleren op wijzigingen in NETLOGON-shares, manipulatie van UI0Detect, massale accountwijzigingen en het uitschakelen van netwerkinterfaces, aangezien dit voorlopige activiteiten zijn. Onverwacht gebruik van 'diskpart', 'robocopy' en 'fsutil' is eveneens een waarschuwingssignaal. Een algemene aanbeveling tegen wipers en ransomware is het onderhouden van regelmatige offline back-ups waarvan de herstelbaarheid frequent wordt gevalideerd.

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: adaptivesecurity.com

Aanvallers maken steeds vaker misbruik van Microsoft Teams om zich voor te doen als medewerkers van de helpdesk. Dit heeft als doel om toegang te verkrijgen tot systemen en vervolgens data te stelen, zo waarschuwt Microsoft. De methode omvat het versturen van berichten aan slachtoffers via Teams, waarin zij worden aangespoord om een beveiligingsupdate te installeren of hun account te verifiëren.

Na het initiële contact via Teams, vragen de aanvallers hun slachtoffers om een tool voor ondersteuning op afstand, zoals Quick Assist, te starten. Door dit te doen, verlenen de gebruikers onbedoeld de aanvallers toegang tot hun systeem. Eenmaal binnen voeren de aanvallers diverse commando's uit om hun rechten te escaleren en het netwerk van de organisatie in kaart te brengen.

De volgende stap in de aanvalsketen is het plaatsen van DLL-bestanden op locaties zoals ProgramData. Deze bestanden worden vervolgens uitgevoerd door middel van sideloading van DLL-bestanden via legitieme, ondertekende applicaties. Dit stelt de aanvallers in staat om hun kwaadaardige code te verbergen binnen ogenschijnlijk betrouwbare processen.

Voor laterale verplaatsing binnen het netwerk maken de aanvallers gebruik van Windows Remote Management (WinRM). Hiermee kunnen zij toegang krijgen tot andere systemen binnen hetzelfde domein. Nadat zij zich lateraal hebben bewogen, installeren de aanvallers aanvullende software voor beheer op afstand. De gestolen data wordt vervolgens via Rclone of vergelijkbare tools naar externe opslag in de cloud verzonden.

Microsoft adviseert gebruikers om externe berichten via Teams als onbetrouwbaar te beschouwen. Het bedrijf wijst op de beveiligingswaarschuwingen binnen Teams die duidelijk aangeven wanneer communicatie afkomstig is van personen buiten de eigen organisatie, wat kan duiden op een phishingpoging. Daarnaast wordt geadviseerd om het gebruik van tools voor ondersteuning op afstand te beperken of nauwlettend te monitoren. Ook is het raadzaam om WinRM altijd alleen vanaf vertrouwde systemen toe te staan om ongeautoriseerde toegang te voorkomen.

Bron: Microsoft

Vercel, een cloudplatform dat veel gebruikt wordt door ontwikkelaars, heeft een cyberaanval bekendgemaakt die is terug te voeren op een tool met kunstmatige intelligentie (AI) van een derde partij, geïnstalleerd op het apparaat van een medewerker. Op zondag claimde een hacker interne databases en toegang tot meerdere medewerkersaccounts bij Vercel te hebben. De hacker opperde plannen voor cascaderende aanvallen op de wereldwijde toeleveringsketen via diverse belangrijke bibliotheken van Vercel, waaronder een die in december al zijdelings betrokken was bij een ander cyberincident.

Vercel heeft in een verklaring de inbreuk erkend en een "beperkte groep klanten" gewaarschuwd dat hun Vercel-inloggegevens waren gecompromitteerd. Het bedrijf heeft contact opgenomen met de getroffen klanten en hen geadviseerd hun inloggegevens onmiddellijk te wijzigen. Vercel onderzoekt nog of er meer klanten zijn getroffen.

Het incident werd door Vercel herleid tot de compromittering van Context.ai, een AI tool van een derde partij die door een Vercel-medewerker werd gebruikt. Vercel legde uit dat "de aanvaller die toegang gebruikte om het Vercel Google Workspace account van de medewerker over te nemen, wat hen in staat stelde toegang te krijgen tot sommige Vercel-omgevingen en omgevingsvariabelen die niet als 'gevoelig' waren gemarkeerd." Omgevingsvariabelen die wel als 'gevoelig' zijn gemarkeerd in Vercel, worden zo opgeslagen dat ze niet kunnen worden gelezen, en er is momenteel geen bewijs dat die waarden zijn geraadpleegd. Mandiant is ingehuurd om te helpen bij het onderzoek en de wetshandhavingsinstanties zijn betrokken. Vercel omschreef de aanvaller als "zeer geavanceerd, gebaseerd op hun operationele snelheid en gedetailleerde kennis van de systemen van Vercel."

Vercel waarschuwde dat het verwijderen van Vercel-projecten of -accounts niet voldoende is om het potentiële risico voor klanten te elimineren. Het bedrijf stelde dat gecompromitteerde geheimen "nog steeds toegang kunnen bieden tot productiesystemen, dus deze moeten worden gewijzigd voordat projecten of accounts worden verwijderd."

Context.ai heeft een eigen verklaring uitgebracht waarin het uitlegt dat hun tool was bedoeld om mensen te helpen bij het gebruik van AI-agents voor het maken van presentaties en spreadsheets. Een functie was een browserextensie waarmee de AI-agent "acties kon uitvoeren in externe applicaties." In maart ontdekte en stopte Context.ai een cyberaanval waarbij ongeautoriseerde toegang tot hun AWS-omgeving plaatsvond. Het bedrijf huurde CrowdStrike in om de aanval te onderzoeken en "informeerde een klant die als getroffen werd geïdentificeerd." Recentelijk, op basis van informatie van Vercel en aanvullend intern onderzoek, leerde Context.ai dat tijdens het incident vorige maand de ongeautoriseerde actor waarschijnlijk ook OAuth-tokens van sommige van hun consumentengebruikers heeft gecompromitteerd. Ze ontdekten ook dat de ongeautoriseerde actor een gecompromitteerd OAuth-token lijkt te hebben gebruikt om toegang te krijgen tot de Google Workspace van Vercel.

De getroffen Vercel-medewerker meldde zich aan voor de Context.ai-suite met hun werkaccount. Context.ai merkte op dat de interne autorisatieconfiguraties van Vercel "deze actie brede machtigingen lijken te hebben verleend in de enterprise Google Workspace van Vercel." Context.ai heeft contact opgenomen met andere klanten nadat het werd geïnformeerd over hoe Vercel was gecompromitteerd. Meerdere cybersecurity-onderzoeksbedrijven hebben de inbreuken teruggevoerd op een infectie met malware voor infostealer op 17 februari, die naar verluidt betrekking had op het apparaat van een Context.ai-medewerker. Cybersecurityfirma Hudson Rock stelde dat logs aantonen dat de medewerker zocht naar exploits voor Roblox-games, die vaak zijn beladen met malware en specifiek infostealers.

Randolph Barr, CISO van Cequence Security, benadrukte dat Vercel een enorme voetafdruk heeft in de ontwikkelaarsgemeenschap, met name voor moderne webapplicaties en workflows. "De grotere zorg is de blootstelling van omgevingsvariabelen en tokens, wat deuren kan openen voor vervolgtoegang als teams niet snel handelen om zaken af te grendelen," zei hij. De hackers die naar verluidt achter het incident zaten, claimden deel uit te maken van ShinyHunters, een bekende cybercriminele organisatie achter verschillende recente aanvallen. De groep gebruikte later echter hun communicatiekanalen om hun betrokkenheid bij de Vercel-inbreuk te ontkennen. De hacker eiste een losgeld van 2 miljoen dollar. Vercel reageerde niet op verzoeken om commentaar.

Vercel CEO Guillermo Rauch zei te geloven dat de aanvallers "aanzienlijk werden versneld door AI" omdat ze "met verrassende snelheid en diepgaand begrip van Vercel opereerden." Hij drong er bij alle klanten op aan hun inloggegevens te wijzigen en de toegang tot hun Vercel-omgevingen en gekoppelde diensten te monitoren.

Bron: Vercel | Bron 2: context.ai | Bron 3: infostealers.com

In 2025 zagen aanvallers een toename in het misbruiken van zwakke punten in multi-factor authenticatie (MFA) processen en lanceerden phishing aanvallen vanuit gecompromitteerde, vertrouwde accounts. Deze trends benadrukten een verschuiving naar het exploiteren van vertrouwen in alledaagse bedrijfsvoering. Phishing bleef de dominante initiële toegangsmethode, verantwoordelijk voor 40% van de incidenten. Aanvallers intensiveerden 'cascaded phishing'-campagnes, waarbij ze het vertrouwen van een gecompromitteerd account gebruikten om gerichte phishing-pogingen te lanceren, zowel intern als extern, richting vertrouwde partners en derden.

De inhoud van phishing-e-mails veranderde van spamaanbiedingen naar berichten in workflow-stijl, zoals IT-meldingen, reisbevestigingen of andere alledaagse zakelijke taken die bekend zijn bij werknemers. Met name lokmiddelen gerelateerd aan reizen en logistiek namen sterk toe. Het doel was vaak het stelen van inloggegevens, betaalinformatie of MFA-tokens via valse single sign-on (SSO) pagina's. Uit analyse bleek dat 60% van de onderwerpregels termen als "request," "invoice," "fwd," en "report" bevatte. IT-gerichte phishing-zoekwoorden werden technischer, gericht op concepten als "tampering," "domain," "configuration" en "token".

Een opvallende tactiek was het misbruiken van Microsoft 365 Direct Send. Deze functie, bedoeld voor netwerkapparaten zoals printers om documenten te leveren, stelt aanvallers in staat interne e-mailadressen te spoofen. Omdat deze interne berichten minder kritisch worden gecontroleerd door werknemers en e-mailfilters, konden aanvallers zeer overtuigende lokberichten bezorgen vanuit de organisatie zelf, zonder daadwerkelijk accounts te compromitteren, wat leidde tot aanzienlijke schade.

Identiteits- en toegangsbeheer (IAM) applicaties, hoewel populair voor het consolideren van gebruikersprivileges, werden ook een doelwit voor aanvallers. Bijna een derde van de MFA aanvallen met spray in 2025 was gericht op IAM. Apparaatcompromittering steeg met 178%, voornamelijk door voice phishing (vishing) waarbij beheerders werden misleid om kwaadaardige apparaten te registreren. De MFA-aanvalsstrategie varieerde per sector; succesvolle aanvallen konden SSO-tokens opleveren en aanvallers in staat stellen gebruikersrollen, inloggegevens of zelfs MFA-beleidsregels te wijzigen. aanvallen met Spray waren effectief tegen netwerken met voorspelbaar identiteitsgedrag, terwijl diverse, onbeheerde apparaatecosystemen kwetsbaarder waren voor apparaatcompromittering. Het hoger onderwijs was hierbij het meest getroffen, mogelijk door een diverse populatie van onbeheerde apparaten, slecht gepatchte systemen en openbaar toegankelijke directories.

Voor verdedigers is het cruciaal om Living-off-the-Land Binaries (LOLBins) en open-source tools in de gaten te houden. Effectieve verdedigingsmechanismen omvatten het blokkeren van externe IP-adressen voor specifieke functies, het inschakelen van Microsofts "Reject Direct Send"-controle, het aanscherpen van SPF/DMARC-handhaving en het kritisch behandelen van intern lijkende e-mails. Bescherming tegen MFA aanvallen moet worden afgestemd op de omgeving. MFA aanvallen met spray kunnen worden tegengegaan met sterke vergrendelingsbeleidsregels, goede wachtwoordhygiëne en voorwaardelijke toegang. Tegen apparaatcompromittering zijn verbeterde apparaatbeveiliging en -beheer, sessiecontroles en strikte phishing-resistente MFA met inschrijvingsgovernance van belang.

Bron: Cisco Talos | Bron 2: duo.com

Het vibe-coding platform Lovable, dat gespecialiseerd is in de ontwikkeling van AI-applicaties, heeft gevoelige gebruikersdata gelekt. Beveiligingsonderzoeker WeezerOSINT maakte dit nieuws bekend via X en benadrukte de ernst van de situatie. De gelekte informatie omvat onder meer broncode, inloggegevens voor databases, AI-chatgeschiedenis en gedetailleerde klantgegevens.

Lovable, een bedrijf dat naar eigen zeggen een waarde van 6,6 miljard dollar vertegenwoordigt, stelt gebruikers in staat om via een gratis account toegang te krijgen tot de gegevens van andere gebruikers. Dit significante beveiligingslek werd reeds 48 dagen geleden door WeezerOSINT gerapporteerd, maar is tot op heden niet verholpen.

In een initiële reactie ontkende Lovable dat er sprake was van een datalek en schreef het probleem toe aan onduidelijke documentatie. Het bedrijf verklaarde: "Onze documentatie van wat publiek inhoudt was onduidelijk, en dat is een falen van onze kant." Deze eerste verklaring werd later echter ingetrokken.

In een daaropvolgende verklaring erkende Lovable dat de oorspronkelijke communicatie de situatie niet correct weergaf. Het bedrijf legde uit dat chatberichten van publieke projecten al enige tijd afgeschermd waren, maar door een wijziging in de API in februari van dit jaar weer leesbaar werden. Lovable heeft aangegeven dat dit specifieke probleem inmiddels is verholpen.

Verder meldde Lovable dat de melding van de beveiligingsonderzoeker via het bugbountyplatform HackerOne niet is opgepakt. Volgens het bedrijf dacht HackerOne dat het om bedoeld gedrag ging en sloot de melding daarom zonder verdere escalatie af. De situatie benadrukt de uitdagingen bij het effectief afhandelen van beveiligingsrapporten en de noodzaak van duidelijke communicatie over wat als publieke informatie wordt beschouwd binnen ontwikkelingsplatforms. Het incident bij Lovable onderstreept het belang van robuuste beveiligingsprotocollen en transparantie, vooral voor platforms die opereren met gevoelige data en AI-toepassingen.

Bron: WeezerOSINT (via HackerOne)

De Fraudehelpdesk waarschuwt voor een geavanceerde smishing-campagne die momenteel actief is in Nederland. Slachtoffers ontvangen een vals sms-bericht waarin wordt gedreigd met het blokkeren van hun betaalpas. De sms claimt dat er al "meerdere herinneringen" zijn verstuurd en dat de pas nu daadwerkelijk zal worden geblokkeerd indien er geen actie wordt ondernomen. Om dit te voorkomen, worden ontvangers aangespoord om op een bijgevoegde link te klikken.

Het bijzonder gevaarlijke aspect van deze specifieke aanval is de personalisatie: het sms-bericht vermeldt de werkelijke IBAN van de ontvanger. Deze tactiek is erop gericht om een gevoel van authenticiteit en urgentie te creëren, waardoor de ontvanger eerder geneigd is te geloven dat het bericht legitiem is en afkomstig van hun bank of een betrouwbare financiële instelling. De aanwezigheid van de correcte IBAN kan de argwaan aanzienlijk verminderen, zelfs bij personen die normaal gesproken alert zijn op phishing.

Hoewel er op dit moment nog geen meldingen zijn ontvangen van mensen die daadwerkelijk op de link hebben geklikt en hun gegevens hebben ingevuld, is het vermoeden dat na het klikken op de URL om gevoelige informatie zal worden gevraagd. Dit omvat waarschijnlijk inloggegevens voor internetbankieren, volledige bankrekeningnummers, pincodes, of andere persoonsgebonden financiële data die criminelen kunnen gebruiken om toegang te krijgen tot rekeningen of identiteitsfraude te plegen.

De Fraudehelpdesk adviseert iedereen die een dergelijk sms-bericht ontvangt dringend om niet op de link te klikken en absoluut geen persoonlijke of financiële gegevens in te vullen. Het bericht dient direct verwijderd te worden. Mocht men toch op de link hebben geklikt en/of gegevens hebben ingevuld, dan wordt aangeraden onmiddellijk contact op te nemen met de Fraudehelpdesk voor persoonlijk advies en verdere stappen om potentiële schade te beperken. Deze methode van personalisatie via de IBAN vertegenwoordigt een significante escalatie in de verfijning van smishing aanvallen.

Bron: Fraudehelpdesk

Symantec-onderzoekers hebben een nieuwe Linux-variant van de GoGra-backdoor ontdekt die legitieme Microsoft-infrastructuur misbruikt voor communicatie. Deze malware, ontwikkeld door de vermoedelijk door een staat gesteunde spionagegroep Harvester, wordt als zeer ontwijkend beschouwd vanwege het gebruik van de Microsoft Graph API voor toegang tot mailboxgegevens.

De groep Harvester is al minstens sinds 2021 actief en staat bekend om het inzetten van aangepaste kwaadaardige tools, waaronder backdoors en loaders. Hun campagnes richten zich voornamelijk op telecommunicatie-, overheids- en IT-organisaties in Zuid-Azië. De ontdekking van een Linux-variant van GoGra duidt erop dat Harvester zijn toolset en doelbereik uitbreidt naar een breder scala aan systemen.

De initiële toegang wordt verkregen door slachtoffers te verleiden tot het uitvoeren van ELF-bestanden die vermomd zijn als PDF-documenten. De Linux-versie van de GoGra-backdoor gebruikt hardcoded Azure Active Directory (AD)-referenties om te authenticeren bij de cloud van Microsoft en OAuth2-tokens te verkrijgen. Dit stelt de malware in staat om via de Microsoft Graph API te communiceren met Outlook-mailboxes.

In de eerste fase van de aanval installeert een Go-gebaseerde malware-dropper een i386-payload. Deze zorgt voor persistentie via 'systemd' en een XDG autostart-vermelding, vermomd als de legitieme Conky systeemmonitor voor Linux en BSD. De malware controleert elke twee seconden een Outlook-mailboxmap genaamd "Zomato Pizza". Het maakt gebruik van OData-query's om inkomende e-mails te identificeren waarvan de onderwerpregels beginnen met "Input".

De inhoud van deze berichten, die base64-gecodeerd en AES-CBC-versleuteld zijn, wordt vervolgens door de malware gedecodeerd en lokaal uitgevoerd. De resultaten van de uitvoering worden op hun beurt AES-versleuteld en teruggestuurd naar de operator via antwoord-e-mails met het onderwerp "Output". Om de forensische zichtbaarheid te verminderen, verstuurt de malware een HTTP DELETE-verzoek om de oorspronkelijke opdracht-e-mail te verwijderen na verwerking.

Symantec benadrukt dat de Linux-variant van GoGra een vrijwel identieke codebase deelt met de Windows-versie van de malware, inclusief dezelfde typefouten in strings en functienamen, evenals dezelfde AES-sleutel. Dit sterke bewijs suggereert dat beide malwarevarianten door dezelfde ontwikkelaar zijn gecreëerd, wat wijst op de Harvester-dreigingsgroep.

Bron: Symantec | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

Noord-Koreaanse hackers, bekend onder de naam Famous Chollima en opererend als de groep HexagonalRodent, hebben in de eerste drie maanden van 2026 meer dan 12 miljoen dollar aan cryptocurrency buitgemaakt. Dit gebeurde via een uitgebreide campagne gericht op Web3-ontwikkelaars. Incidentresponders van Expel, onder leiding van Marcus Hutchins, ontdekten nieuwe details over deze operatie.

De aanvallers gebruikten diverse malwarevarianten, waaronder BeaverTail, OtterCookie en InvisibleFerret, om geld te onttrekken uit 26.584 cryptowallets op 2.726 geïnfecteerde systemen. Eerder waren BeaverTail en InvisibleFerret al door andere incidentresponsebedrijven gekoppeld aan Noord-Koreaanse hackers.

Het onderzoek van Expel begon in oktober, na een infectie met BeaverTail malware op een klantnetwerk. Dit leidde hen naar de infrastructuur van de dreigingsactoren, wat inzicht gaf in de interne werking van de campagne. De hackers benaderden Web3-ontwikkelaars via LinkedIn met goedbetaalde nepvacatures, waarbij ze zich voordeden als medewerkers van valse bedrijven. In één geval registreerden de aanvallers zelfs een nepfirma in Mexico om geloofwaardigheid op te bouwen.

Volgens Hutchins maakten de dreigingsactoren gebruik van generatieve AI om niet alleen de malwarecode te verfijnen, maar ook om de valse bedrijven en LinkedIn-accounts te creëren die nodig waren voor de nepvacatures. Na het leggen van contact met een ontwikkelaar kregen slachtoffers het verzoek om een codebeoordelingstool te downloaden die besmet was met malware.

Expel-onderzoekers kregen toegang tot een intern paneel dat de groep gebruikte om statistieken van BeaverTail te verzamelen. Deze malware stelt hackers in staat om inloggegevens te exfiltreren van wachtwoordmanagers, de macOS Keychain en andere bronnen. Interne documenten toonden aan dat de HexagonalRodent-campagne is verdeeld over 31 hackers, georganiseerd in zes verschillende teams. Er is bewijs dat voormalige leden van HexagonalRodent zich hebben afgesplitst om hun eigen operaties te starten.

De bevindingen van Expel onderstrepen de diverse methoden die Noord-Korea inzet voor het stelen van cryptocurrency. Naast grootschalige aanvallen op crypto-exchanges, richten meerdere Noord-Koreaanse groepen zich op het stelen van relatief kleine bedragen van individuele gebruikers. Hutchins merkt op dat de recente massaontslagen in de tech-industrie het voor deze hackers makkelijker maken om slachtoffers te vinden, aangezien werkzoekende ontwikkelaars hun waakzaamheid mogelijk laten verslappen bij een ogenschijnlijk aantrekkelijke vacature.

Dit rapport volgt op recente beschuldigingen dat de Noord-Koreaanse overheid verantwoordelijk was voor twee afzonderlijke crypto-overvallen, waarbij elk platform meer dan 280 miljoen dollar werd gestolen. Cybersecuritybedrijven waarschuwen de cryptosector voortdurend voor de toegewijde teams van Noord-Koreaanse hackers die specifiek ontwikkelaars met malware aanvallen. Vorige week onthulde Microsoft een Noord-Koreaanse campagne gericht op macOS, gericht op het stelen van cryptocurrency en inloggegevens. Ook een ander bedrijf identificeerde deze week een campagne geleid door Pyongyang, waarbij nepvergaderingen werden gebruikt om macOS-gebruikers te compromitteren.

Bron: Expel | Bron 2: microsoft.com | Bron 3: any.run

Een nieuwe Mirai-gebaseerde malwarecampagne is actief bezig met het misbruiken van CVE-2025-29635, een kwetsbaarheid met hoge ernst voor commando-injectie die D-Link DIR-823X routers treft. Deze campagne is gericht op het toevoegen van deze apparaten aan een botnet. De kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige commando's uit te voeren op externe apparaten door een POST-verzoek te sturen naar een kwetsbaar eindpunt, wat leidt tot remote command execution (RCE).

Akamai's Security Intelligence Response Team (SIRT) detecteerde de campagne van Mirai in maart 2026. Hoewel de kwetsbaarheid 13 maanden geleden voor het eerst werd onthuld door beveiligingsonderzoekers Wang Jinshuai en Zhao Jiangting, is dit de eerste keer dat actieve exploitatie in het wild is waargenomen. Volgens het rapport van Akamai SIRT bestaat de kwetsbaarheid in D-Link DIR-823X serie routers met firmwareversies 240126 en 24082. Een geautoriseerde aanvaller kan via de /goform/set_prohibiting endpoint willekeurige commando's uitvoeren.

De onderzoekers die de kwetsbaarheid ontdekten, publiceerden kortstondig een proof-of-concept (PoC) exploit op GitHub, maar trokken deze later in. Akamai's observaties tonen aan dat aanvallers POST-verzoeken versturen die directory's wijzigen over beschrijfbare paden, een shellscript genaamd "dlink.sh" downloaden van een extern IP-adres en dit vervolgens uitvoeren.

Het script installeert Mirai-gebaseerde malware met de naam "tuxnokill", die meerdere architecturen ondersteunt. De malware beschikt over het standaard repertoire voor gedistribueerde denial-of-service (DDoS) aanvallen van Mirai, inclusief TCP SYN/ACK/STOMP, UDP floods en HTTP null. Akamai heeft tevens vastgesteld dat de dreigingsactor achter deze campagne ook CVE-2023-1389 misbruikt, een kwetsbaarheid die TP-Link routers treft, en een afzonderlijke kwetsbaarheid in RCE in ZTE ZXV10 H108L routers. Bij al deze aanvallen werd hetzelfde aanvalspatroon waargenomen, wat leidde tot de implementatie van een Mirai payload.

De getroffen D-Link apparaten bereikten hun einde van levensduur (EoL) in november 2024, wat betekent dat de meest recente firmware voor dit model waarschijnlijk CVE-2025-29635 niet adresseert. D-Link maakt geen uitzonderingen wanneer actieve exploitatie wordt gedetecteerd, dus het is onwaarschijnlijk dat de leverancier nu nog een patch zal leveren. Gebruikers van routers die hun EoL hebben bereikt, wordt aangeraden om te upgraden naar een nieuwer model dat actieve ondersteuning en frequente beveiligingsupdates ontvangt. Daarnaast wordt geadviseerd om externe beheerportals uit te schakelen indien niet nodig, standaard administrator wachtwoorden te wijzigen en te monitoren op onverwachte configuratiewijzigingen.

Bron: Akamai | Bron 2: nvd.nist.gov | Bron 3: adaptivesecurity.com

De Kyber ransomware-groep richt zich in recente aanvallen op systemen van Windows en endpoints van VMware ESXi, waarbij één variant de Kyber1024 post-kwantum encryptie implementeert. Dit blijkt uit onderzoek van cybersecuritybedrijf Rapid7, dat in maart 2026 twee verschillende Kyber-varianten analyseerde tijdens een incidentrespons. Beide varianten werden op hetzelfde netwerk ingezet, waarbij de ene gericht was op VMware ESXi en de andere op Windows-bestandsservers.

Volgens Rapid7 is de ESXi-variant specifiek gebouwd voor VMware-omgevingen. Deze variant heeft de mogelijkheid tot datastore-encryptie, optionele beëindiging van virtuele machines en het onleesbaar maken van beheerinterfaces. De Windows-variant, geschreven in Rust, bevat een "experimentele" functie voor het aanvallen van Hyper-V. Beide varianten delen hetzelfde campagne-ID en een infrastructuur gebaseerd op Tor voor losgeldbetalingen, wat suggereert dat ze door dezelfde ransomware-affiliate zijn ingezet om de impact te maximaliseren door alle servers tegelijkertijd te versleutelen.

Op het datalekportaal van Kyber is tot op heden slechts één slachtoffer vermeld, een Amerikaans defensiebedrijf en IT-dienstverlener met een waarde van meerdere miljarden dollars. De ESXi-variant inventariseert alle virtuele machines op de infrastructuur, versleutelt datastore-bestanden en voorziet vervolgens de ESXi-interfaces van losgeldbriefjes om slachtoffers door het betalings- en herstelproces te leiden. Hoewel de variant adverteert met 'post-kwantum' encryptie gebaseerd op Kyber1024 sleutelinkapseling, heeft Rapid7 vastgesteld dat deze beweringen vals zijn voor de Linux ESXi-encryptor. De Linux-versie van de ransomware gebruikt ChaCha8 voor bestandsencryptie en RSA-4096 voor sleutelversleuteling. Kleine bestanden (minder dan 1 MB) worden volledig versleuteld en voorzien van de extensie '.xhsyw', terwijl bij bestanden tussen 1 MB en 4 MB alleen de eerste MB wordt versleuteld. Bestanden groter dan 4 MB worden intermitterend versleuteld, afhankelijk van de configuratie van de operator.

De Windows-variant, daarentegen, implementeert wel Kyber1024 en X25519 voor sleutelbeveiliging, wat overeenkomt met de claims in het losgeldbriefje. Rapid7 legt uit dat Kyber niet wordt gebruikt voor directe bestandsencryptie, maar dat Kyber1024 het symmetrische sleutelmateriaal beschermt, terwijl AES-CTR de bulkdataversleuteling afhandelt. Hoewel het gebruik van post-kwantum cryptografie opmerkelijk is, verandert het de uitkomst voor slachtoffers niet; de bestanden blijven onherstelbaar zonder toegang tot de private sleutel van de aanvaller.

De Windows-variant voegt de extensie '.#~~~' toe aan versleutelde bestanden, beëindigt diensten, verwijdert back-ups en bevat een experimentele functie om Hyper-V virtuele machines af te sluiten. Deze variant is ontworpen om een breed scala aan paden voor dataherstel te elimineren. Het verwijdert shadow-kopieën, schakelt herstel van de opstartprocedure uit, beëindigt SQL-, Exchange- en back-updiensten, wist gebeurtenislogboeken en leegt de prullenbak van Windows. Rapid7 merkte ook een ongebruikelijke keuze op van een mutex in de Windows-variant van Kyber, die lijkt te verwijzen naar een nummer op het muziekplatform Boomplay. Over het algemeen lijkt de Windows-variant technisch volwassener, terwijl de ESXi-variant momenteel enkele van deze functies mist.

Bron: Rapid7 | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

Anthropic, het bedrijf achter de onlangs aangekondigde Claude Mythos Preview (ook bekend als Claude Mythos en Mythos AI) als onderdeel van zijn Project Glasswing-initiatief, onderzoekt ongeautoriseerde toegang tot het AI model via de omgeving van een externe leverancier. Dit incident vond plaats slechts twee weken na de introductie van Mythos.

Een kleine groep gebruikers op een Discord-kanaal heeft naar verluidt toegang verkregen tot Mythos. Hun primaire doel was het verzamelen van informatie over nog niet-uitgebrachte AI modellen. Het Bloomberg News rapporteerde op 21 april 2026 dat de groep een "goed onderbouwde gok" deed over de online locatie van het model, gebaseerd op hun bekendheid met de URL-formattering van Anthropic voor andere modellen.

De inbreuk werd mede mogelijk gemaakt door een individu dat momenteel werkzaam is bij een externe contractant van Anthropic. Het rapport onthulde verder dat gedeelde accounts en API-sleutels, die toebehoorden aan leveranciers met penetratietesttoegang, werden misbruikt door ongeautoriseerde gebruikers. Volgens een partij die bekend is met de kwestie, is de groep enkel geïnteresseerd in het testen van de modellen en heeft deze geen kwaadwillende intenties. De groep lijkt de modellen te testen in plaats van ze te gebruiken voor actieve cyberbeveiligingsoperaties, hoewel hun exacte intentie onduidelijk blijft. Desalniettemin biedt intentie weinig geruststelling bij een systeem dat in staat is cyberaanvallen met grote impact te automatiseren. De mogelijkheid bestaat dat dezelfde groep ook toegang heeft tot andere nog niet-uitgebrachte Anthropic-modellen, hoewel hiervoor tot op heden geen bevestigd bewijs is.

Een woordvoerder van Anthropic bevestigde: "We onderzoeken een melding van ongeautoriseerde toegang tot Claude Mythos Preview via een van onze externe leveranciersomgevingen." Er is momenteel geen bewijs dat de systemen van Anthropic zelf zijn getroffen, noch dat de gerapporteerde activiteit verder reikte dan de omgeving van de externe leverancier. De ongeautoriseerde groep heeft Mythos regelmatig gebruikt sinds ze toegang kregen en heeft Bloomberg bewijs geleverd in de vorm van screenshots en een live demonstratie van de software.

De timing van deze inbreuk is bijzonder opmerkelijk gezien de mogelijkheden die Anthropic aan Claude Mythos Preview heeft toegeschreven. Dit nog niet-uitgebrachte systeem is gebouwd voor algemeen gebruik, maar toont de vooruitgang in de coderingscapaciteiten van AI aan. Anthropic beweert dat Mythos de meeste mensen kan overtreffen in het vinden en exploiteren van softwarefouten. Tijdens tests heeft het al duizenden ernstige kwetsbaarheden geïdentificeerd, inclusief problemen in belangrijke besturingssystemen en webbrowsers. Het model kan zero-day kwetsbaarheden vinden in belangrijke besturingssystemen en webbrowsers en meerdere bugs koppelen tot exploits in meerdere stappen. Het model is ook in verband gebracht met onderzoek naar kritieke kwetsbaarheden, waaronder CVE-2026-5194 in wolfSSL, een encryptiebibliotheek die in miljarden apparaten wordt gebruikt, waar een fout aanvallers in staat zou kunnen stellen digitale identiteiten te vervalsen. In een test vóór release brak het op eigen kracht uit een beveiligde sandbox, bouwde het een pad in meerdere stappen om internettoegang te verkrijgen, en e-mailde het zelfs een onderzoeker zonder daartoe te zijn aangezet.

Logan Graham, die offensief cyberonderzoek leidt bij Anthropic, verklaarde dat het Mythos Preview-model geavanceerd genoeg was om niet alleen onontdekte softwarekwetsbaarheden te identificeren, maar deze ook te exploiteren. Het model kan zelfstandig complexe, effectieve hackingstaken uitvoeren, waaronder het identificeren van meerdere niet-openbaar gemaakte kwetsbaarheden, het schrijven van code die deze kan hacken, en vervolgens het aaneenschakelen van die code om complexe software te penetreren.

Gezien de mogelijkheden van het model zou een compromittering echter veel grotere risico's met zich meebrengen. Ram Varadarajan, CEO van Acalvio, merkte hierover op: "De inbreuk op Mythos vereiste geen geavanceerde aanval; het vereiste slechts een contractant, een URL-patroon en een 'Day-One' gok, wat betekent dat het 'gecontroleerde release'-model faalde op zijn zwakste schakel voordat de mogelijkheden van het model ooit een probleem werden." Ram benadrukte dat het negeren van problemen in de toeleveringsketen altijd leidt tot beveiligingsproblemen. "Dit is het toeleveringsketenprobleem dat perimetergerichte beveiliging altijd heeft onderschat: toegangscontroles zijn een beleid, geen architectuur, en beleidsregels falen," betoogde hij. "Deceptie-infrastructuur is wat nodig is en werkt precies in de omgeving na een inbreuk. Het gaat er niet van uit dat de perimeter standhield, het instrumenteert het terrein binnenin zodat wanneer iemand onuitgenodigd binnendringt, elke beweging een signaal wordt," adviseerde Ram.

Anthropic hield de toegang tot Mythos met opzet beperkt. Het bedrijf werkte samen met organisaties die verantwoordelijk zijn voor de infrastructuur waar miljarden mensen van afhankelijk zijn, om hun verdedigers een voorsprong te geven met het nieuwste frontiermodel. Het initiatief brengt technologie- en cyberbeveiligingsgiganten samen als lanceringspartners. Anthropic meldt ook dat het de toegang heeft uitgebreid tot meer dan 40 aanvullende organisaties die kritieke software bouwen of onderhouden, en zet tot $100 miljoen aan gebruikstegoeden voor Claude Mythos Preview in, samen met $4 miljoen aan directe donaties aan open-source beveiligingsorganisaties.

Anthropic heeft de betrokken leverancier echter niet publiekelijk geïdentificeerd, noch de volledige omvang van de blootstelling beschreven. Eén ding is wel duidelijk: de AI-capaciteit vordert sneller dan ons vermogen om deze veilig te beheren.

Bron: Anthropic | Bron 2: bloomberg.com | Bron 3: engadget.com

Een recentelijk ontdekt Remote Access Trojan (RAT) framework, genaamd Auraboros C2, is aan het licht gekomen en toont een alarmerend niveau van open toegang tot slachtoffergegevens, live surveillancemogelijkheden en diefstal van browserreferenties. Het volledige command-and-control (C2) dashboard opereert via plain HTTP, zonder login, token of enige vorm van authenticatie, waardoor slachtoffergegevens toegankelijk zijn voor iedereen die de serverpoort kan bereiken.

Het C2 paneel van de malware, gehost op een DigitalOcean server met het IP-adres 174.138.43[.]25, draait op poort 5000 en maakt gebruik van een Express.js- en Socket.io-backend. Het paneel is gebouwd in het Braziliaans Portugees en draagt de branding "Auraboros Advanced Defense Systems". Het toont een gepolijste, donker gethematiseerde interface met aangepaste CSS en JavaScript. Ondanks het professionele uiterlijk van het dashboard, zijn er geen beveiligingscontroles toegepast om de toegang tot de beheersfuncties of slachtoffergegevens te beperken. De volledige JavaScript-broncode van 84 KB was vrij downloadbaar voor elke bezoeker, wat de complete architectuur van het framework onthulde.

Analisten en onderzoekers van Breakglass Intelligence identificeerden de Auraboros C2 na een tip van beveiligingsonderzoekers @Fact_Finder03 en @4_n_0_n_1_3_3_7, die het live paneel op sociale media signaleerden. De onderzoekers downloadden de paneelbron, maakten verbinding met het realtime Socket.io-transport en inventariseerden de volledige commandoset zonder enige referenties. Hun analyse bevestigde dat het framework op maat is gemaakt en niet eerder was verschenen in dreigingsinformatierapporten, vendoradviezen of openbaar onderzoek.

Het framework beschikt over een uitgebreide set functionaliteiten gericht op Windows systemen. Het ondersteunt het vastleggen van schermafbeeldingen, webcam-snapshots, het stelen van klembordgegevens, live keylogging met polling-intervallen van drie seconden, het extraheren van Wi-Fi wachtwoorden, bestandsbrowsing, het uitvoeren van willekeurige shell-commando's, procesenumeratie, ARP-scanning, poortscanning, reverse SOCKS5 proxying op poort 1080, OTA agent updates en een speciale engine voor cookie-impersonatie. Zes niet-geauthenticeerde API-eindpunten exposen beaconlijsten, commandresultaten, eventlogs, live keylogger feeds en gestolen browserreferenties aan iedereen op het netwerk. Het Socket.io-transport zendt ook alle realtime commandresultaten uit naar elke verbonden client, zonder sessie-isolatie.

De enige geregistreerde beacon die tijdens het onderzoek werd gevonden, bleek de eigen testmachine van de ontwikkelaar te zijn. Deze beacon, geïdentificeerd als hostnaam DESKTOP-FVPFLD2 met een gebruikersnaam "LabCasa" (Portugees voor "home lab"), draaide een proces genaamd DiskIntegrityScanner.exe op een Lenovo laptop in Goiania, Brazilië. De beacon was vijf dagen offline op het moment van ontdekking, en de testmachine toonde geen opgeslagen wachtwoorden, wat bevestigde dat het een schone laboratoriumopstelling was die tijdens de ontwikkeling werd gebruikt.

Een van de technisch meest significante aspecten van Auraboros is de manier waarop het de implant op een doelmachine levert en verbergt. In plaats van een op zichzelf staand kwaadaardig binair bestand in te zetten, gebruikt het framework DLL-sideloading. Een schone, ogenschijnlijk legitieme uitvoerbare DiskIntegrityScanner.exe fungeert als hostproces. Wanneer dit bestand wordt uitgevoerd, laadt het een kwaadaardige DLL die onmiddellijk een "CollectData"-routine uitvoert, waarbij de hostnaam, gebruikersnaam en het privilegeniveau van de machine worden verzameld voordat deze zich registreert bij de C2 server. Deze techniek stelt de implant in staat zich te verbergen achter een legitiem ogend proces in de Windows taaklijst, waardoor het moeilijker te detecteren is tijdens routinematige monitoring.

Het mechanisme voor het stelen van referenties richt zich op Brave en Chrome browsers met behulp van de Windows DPAPI (Data Protection API). De implant lost het AppData profielpad van de browser op, lokaliseert de versleutelde hoofdsleutel, ontsleutelt deze met behulp van de Windows CryptUnprotectData-functie, en kopieert vervolgens de Login Data SQLite-database om opgeslagen wachtwoorden en sessiecookies op te vragen. Tijdens het testen voerde de ontwikkelaar de Brave-extractieopdracht 18 keer uit in één middagsessie, wat duidt op actieve debugging van de DPAPI-ontsleutelingslogica. De cookie-impersonatie-engine neemt vervolgens de gestolen cookies, genereert een sessiekloneringsscript en routeert verkeer via de SOCKS5 proxy-tunnel van het slachtoffer, zodat de browser van de aanvaller afkomstig lijkt te zijn van het IP-adres van het slachtoffer tijdens pogingen tot accountovername.

Organisaties en beveiligingsteams moeten onmiddellijk actie ondernemen op basis van de bevindingen. Blokkeer het IP-adres 174.138.43[.]25 direct aan de netwerkperimeter. Zoek naar de aanwezigheid van DiskIntegrityScanner.exe op alle endpoints, aangezien dit geen legitiem Windows binair bestand is. Monitor uitgaande verbindingen naar poort 9000 op IP-adressen gehost door DigitalOcean, wat wordt beoordeeld als de beacon callback poort. Stel alerts in voor reverse SOCKS5 activiteit op poort 1080. Rapporteer de infrastructuur aan het abuse-team van DigitalOcean via abuse@digitalocean.com. Controleer bovendien op Socket.io polling requests gericht op niet-standaard poorten, wat kan duiden op actief C2 beaconing gedrag.

Bron: Breakglass Intelligence | Bron 2: intel.breakglass.tech

Telefoonfraude is wereldwijd een dagelijkse realiteit geworden, met miljoenen mensen die worden geconfronteerd met oplichters die zich voordoen als overheidsfunctionarissen, bankmedewerkers of technische ondersteuning. Deze directe, real-time gesprekken zijn ontworpen om urgentie en psychologische druk te creëren, met als doel gevoelige informatie of geld te ontfutselen. De impact van deze vorm van cybercriminaliteit is aanzienlijk, zowel financieel als emotioneel. Volgens de FBI verloren Amerikaanse burgers van 60 jaar en ouder in 2023 maar liefst 3,4 miljard dollar door telefoonfraude. Een ander rapport toont een toename van vishing (voice phishing) met 449% in 2025, waarbij het gemiddelde verlies per oplichtingsgesprek 3.690 dollar bedraagt.

Een onderbelicht, maar snelgroeiend aspect van moderne cybercriminaliteit is "Caller-as-a-Service". Dit fenomeen beschrijft hoe cybercriminelen, net als legitieme verkooporganisaties, gestructureerde, zakelijke bedrijfsmodellen hebben aangenomen, compleet met specialisatie, schaalbaarheid en prestatiegerichte uitvoering. Deze ecosystemen zijn niet langer ad hoc, maar bestaan uit duidelijke rollen en functies, waarbij verschillende actoren zich richten op specifieke stadia van de aanvalscyclus, van infrastructuur en tooling tot de uitvoering van social engineering. Het resultaat is een zeer georganiseerde, servicegerichte economie die fraude op grote schaal professionaliseert, de drempel voor deelname verlaagt en tegelijkertijd de efficiëntie en impact verhoogt.

De professionele en gesegmenteerde structuur van deze oplichtingsgesprekken weerspiegelt die van legitieme bedrijfsactiviteiten. Er zijn nu duidelijke rollen in de waardeketen, waaronder malwareontwikkelaars, distributeurs, bouwers van phishing kits, exploitanten van infrastructuur, verkopers van logs, data-analisten, handelaren in slachtofferlijsten en, ten slotte, de telefonische oplichters die de aanvallen uitvoeren. Deze arbeidsverdeling stelt elke deelnemer in staat zich te specialiseren. Voor de oplichters, die zich uitsluitend richten op de interactie met slachtoffers, verschuift de nadruk naar de kwaliteit van de rekrutering en operationele professionaliteit, in plaats van technische bekwaamheid. Hierdoor wordt de drempel voor deelname aanzienlijk verlaagd; individuen hoeven geen malware te ontwikkelen of infrastructuur te beheren, maar kunnen zich richten op het verfijnen van communicatievaardigheden, overtuigingstechnieken en social engineering-tactieken.

Vacatures op ondergrondse forums weerspiegelen deze specialisatie en bevatten doorgaans duidelijke vereisten, zoals moedertaal Engels, bekendheid met operationele beveiliging (OPSEC) en eerdere fraude-ervaring. Opvallend is dat sommige rollen vereisen dat deelnemers hun scherm delen tijdens live gesprekken. Deze eis duidt op actieve supervisie van de prestaties in real time, wat een niveau van kwaliteitscontrole en operationeel toezicht introduceert dat vaker wordt geassocieerd met legitieme callcenters dan met traditionele cybercriminaliteit. Deze supervisie dient meerdere doelen: het waarborgen van de naleving van scripts, het verbeteren van conversiepercentages en het voorkomen van interne fraude of datalekken. Dit gelaagde en gecontroleerde model benadrukt hoe moderne fraudeoperaties worden beheerd met dezelfde logica, structuur en efficiëntie als legitieme bedrijven.

Gestructureerde fraudeoperaties zijn afhankelijk van gelekte inloggegevens en slachtofferlijsten die afkomstig zijn van ondergrondse markten. Om potentiële medewerkers aan te trekken, gebruiken rekruteerders in de ondergrondse gemeenschappen "bewijs van winstgevendheid", zoals een screenshot van een hoge balans in de digitale portemonnee voor cryptovaluta van het bedrijf, bijvoorbeeld ongeveer 475.000 dollar. Dergelijke visuals dienen als wervingsmiddel om geloofwaardigheid te vestigen en potentiële verdiensten aan te tonen. Of ze nu authentiek zijn of gefabriceerd, hun doel is om scepsis te verminderen en deelname aan te moedigen. Deze tactiek weerspiegelt bredere trends in cybercriminele ecosystemen, waar reputatie en waargenomen succes een belangrijke rol spelen bij rekrutering en samenwerking. Analyse van experts toont verder aan dat er ook op maat gemaakte compensatiemodellen bestaan voor deze telefonische oplichters.

Bron: Flare | Bron 2: nypost.com | Bron 3: knowbe4.com

De Chinese hackergroep Mustang Panda heeft haar spionageactiviteiten uitgebreid naar de financiële sector van India en politieke kringen in Zuid-Korea. De Acronis Threat Research Unit ontdekte deze recente campagne, die volgt op eerdere activiteiten begin 2026 waarbij de groep zich richtte op de Amerikaanse overheid met Venezuela-gerelateerde lokmiddelen.

De tweeledige campagne begon naar verluidt in maart 2026. In India probeerden de aanvallers werknemers in de bankensector te misleiden met een bestand genaamd `Request forSupport.chm`. Dit bestand bevatte een pop-upvenster dat HDFC Bank Limited vermeldde om een officiële indruk te wekken. Wanneer een gebruiker op het bestand klikte, werd een keten van gebeurtenissen geactiveerd waarbij een kwaadaardig JavaScript-bestand, `music.js`, werd gedownload van het domein `cosmosmusiccom`.

Het onderzoek van Acronis toonde aan dat de hackers niet stopten bij het nabootsen van ondersteuningstickets. Ze creëerden ook nep-pop-upvensters die eruitzagen als legitieme software van HDFC Bank. Terwijl de werknemers dachten dat ze een bankapplicatie bekeken, spioneerde een nieuwe versie van de LOTUSLITE backdoor, genaamd LOTUSLITE v1.1, daadwerkelijk op het systeem.

In het Zuid-Koreaanse deel van de campagne deed de groep zich voor als Victor Cha, een voormalig directeur voor Aziatische Zaken bij de Amerikaanse Nationale Veiligheidsraad. Met behulp van een nep-Gmail account (victor.cha.official@gmail.com) en de echte foto van de heer Cha, verstuurden zij Google Drive-links naar mappen met de naam 'March 30'. Binnen deze mappen bevonden zich valse uitnodigingsbrieven die waren ontworpen om de computers van beleidsmakers te infecteren.

De hackers maken gebruik van een techniek genaamd DLL sideloading. Hierbij plaatsen zij een kwaadaardig bestand naast een legitiem, door Microsoft ondertekend bestand, zoals `Microsoft_DNX.exe`. Het systeem vertrouwt de Microsoft-naam en staat daardoor toe dat het geïnfecteerde bestand wordt uitgevoerd.

Volgens de onderzoekers probeert de groep zich beter te verbergen. Zij roteerden de interne codemarker, ook wel 'magic value' genoemd, die wordt gebruikt om hun verkeer te identificeren, van `0x8899AABB` naar `0xB2EBCFDF`. Ook werd een commandovlag genaamd `--DATA` vervangen door een nieuwe, genaamd `--ZoneMAX`.

Onderzoekers merkten verder op dat de hackers een dienst genaamd Gleeze gebruikten voor communicatie met hun server op `editorgleezecom`. Dit is dezelfde infrastructuur die in eerdere aanvallen werd ingezet, wat experts hielp de activiteit te koppelen aan Mustang Panda. Hoewel de groep probeerde haar methoden te vernieuwen, lieten zij oude codenamen zoals `KugouMain` en `DataImporterMain` achter in de nieuwe bestanden. Ook werd een bericht in de code aangetroffen waarin een beveiligingsonderzoeker werd genoemd die hen al langer volgt.

Bron: Acronis

Een recent rapport van Cisco Talos over incidentresponstrends in het eerste kwartaal van 2026 toont aan dat phishing opnieuw de meest waargenomen methode is voor het verkrijgen van initiële toegang tot systemen, wat verantwoordelijk is voor meer dan een derde van de incidenten waarbij de initiële toegang kon worden vastgesteld. Dit is de eerste keer sinds het tweede kwartaal van 2025 dat phishing weer bovenaan staat als toegangsmiddel. Overheidsinstanties en de gezondheidszorg waren de meest getroffen sectoren, elk goed voor 24 procent van alle incidenten. Voor overheidsinstanties is dit het derde opeenvolgende kwartaal dat deze sector het meest wordt aangevallen.

Opvallend is de documentatie van het gebruik van een specifieke tool met kunstmatige intelligentie (AI) in een phishingcampagne. Talos Incident Response (Talos IR) reageerde op een campagne die phishing gebruikte om een organisatie binnen de overheidssector te compromitteren. De aanvallers maakten gebruik van Softr, een AI-gestuurde webapplicatie-ontwikkelingsdienst, om een pagina te genereren voor het oogsten van inloggegevens, gericht op Microsoft Exchange- en Outlook Web Access (OWA)-accounts van gebruikers. Dit is de eerste keer dat Cisco Talos het gebruik van een specifieke AI tool door een tegenstander in een phishingcampagne heeft vastgelegd, hoewel er eerder al misbruik van grote taalmodellen (LLM's) door zowel door de staat gesponsorde als criminele actoren is waargenomen voor het ontwikkelen van phishing-lokkers en kwaadaardige scripts. DDoS als een dienst-actoren hebben eveneens AI-algoritmes ingezet voor het omzeilen van verdedigingsmechanismen en het orkestreren van aanvallen. Talos schat in dat Softr's platform voor AI-gestuurde webapplicatiecreatie al sinds mei 2023 met toenemende frequentie wordt misbruikt. Dit incident benadrukt hoe AI tools de drempel voor minder geavanceerde aanvallers verlagen en de snelheid van phishing- en credential-harvestingcampagnes kunnen versnellen. Een phishingpagina zoals gebruikt in deze aanval kan snel worden gemaakt met enkele prompts voor AI en zonder code, waarbij gegevens naar een externe opslag zoals Google Sheets kunnen worden gestuurd en waarschuwingen via e-mail kunnen worden verzonden.

Cisco Talos rapporteerde ook de eerste confrontatie met Crimson Collective, een groep die zich richt op cyberafpersing en in september 2025 voor het eerst opdook. Bij deze aanval werd initiële toegang verkregen via geldige accounts, de op één na meest voorkomende methode dit kwartaal. De aanval omvatte tevens het misbruiken van kwetsbaarheden, wat de op één na meest waargenomen beveiligingszwakte was. De aanval begon toen een GitHub Personal Access Token (PAT) per ongeluk op een publiekelijk toegankelijke website werd gepubliceerd, waardoor de organisatie maandenlang kwetsbaar was. Na het verkrijgen van toegang gebruikten de aanvallers TruffleHog, een open source tool die vaak door beveiligingsprofessionals wordt gebruikt, om duizenden GitHub-repositories van het slachtoffer te scannen op extra geheimen en gevoelige informatie. Deze methode maakt verkenning mogelijk zonder argwaan te wekken, aangezien legitieme tools worden gebruikt. De ontdekking van clientgeheimen via TruffleHog leidde tot verdere toegang tot de Azure-cloudopslag van het slachtoffer, waar aanvallers Microsoft Graph API-aanroepen gebruikten voor authenticatie, verkenning en data-exfiltratie. Het misbruik van legitieme cloud-API's toont een groeiende trend waarbij dreigingsactoren native platformfunctionaliteit gebruiken om op te gaan in normale gebruikersactiviteit, wat detectie bemoeilijkt. Bovendien probeerden de aanvallers kwaadaardige code te injecteren in meerdere GitHub-repositories, bedoeld om toekomstige geheimen te verzamelen en naar door de aanvaller gecontroleerde infrastructuur te sturen. Hoewel deze pogingen grotendeels werden gedwarsboomd, weerspiegelt de tactiek een opkomende trend van aanvallen op de supply chain en ontwikkelomgevingen.

Wat betreft ransomware-incidenten, vormden incidenten voorafgaand aan ransomware slechts 18 procent van de incidenten dit kwartaal. Er werd geen ransomware-encryptie waargenomen dankzij snelle mitigatie door Talos IR. Dit is een lichte stijging ten opzichte van vorig kwartaal, maar over het algemeen zeer laag vergeleken met het eerste en tweede kwartaal van 2025, toen ransomware in 50 procent van de incidenten werd waargenomen. Hoewel attributie bij incidenten voorafgaand aan ransomware uitdagend is, wordt geschat dat Rhysida-ransomware en MoneyMessage-ransomware verantwoordelijk waren voor twee van de incidenten. Grote ransomware als een dienst (RaaS)-operaties zoals Qilin of Akira werden niet actief waargenomen, maar hun data lek sites blijven consistent actief.

Bron: Cisco Talos | Bron 2: talosintelligence.com | Bron 3: storage.ghost.io

Een aanzienlijke supply chain aanval heeft de officiële Checkmarx KICS Docker Hub repository getroffen. Aanvallers injecteerden getrojaniseerde images die in staat zijn om gevoelige credentials van ontwikkelaars en infrastructuurgeheimen te verzamelen en te exfiltreren.

De interne monitoring van Docker detecteerde op 22 april 2026 verdachte activiteiten rond KICS imagetags en waarschuwde onmiddellijk de onderzoekers van Socket. Uit het onderzoek bleek dat aanvallers bestaande tags, waaronder `v2.1.20` en `alpine`, hadden overschreven. Ook introduceerden zij een nieuwe tag, `v2.1.21`, waarvoor geen legitieme upstream release bestaat. De getroffen tags omvatten uiteindelijk `v2.1.20-debian`, `v2.1.20`, `debian`, `alpine` en `latest`, die inmiddels allemaal zijn hersteld naar hun voorgaande legitieme releases.

KICS, een afkorting voor Keeping Infrastructure as Code Secure, is een open-source tool die veel wordt gebruikt door DevOps- en beveiligingsteams. Het scant Terraform-, CloudFormation- en Kubernetes-configuraties op beveiligingsfouten. De brede adoptie in CI/CD-pijplijnen maakte het een bijzonder waardevol doelwit voor supply chain aanvallers.

Analyse van de geïnfecteerde KICS-images toonde aan dat de gebundelde ELF-binary, geschreven in Golang, was aangepast. Deze bevatte ongeautoriseerde telemetrie- en data-exfiltratiemogelijkheden die volledig ontbraken in de legitieme versie. De malware was ontworpen om ongecensureerde IaC-scanrapporten te genereren, de resultaten te versleutelen en deze stilzwijgend te verzenden naar een door de aanvaller beheerd extern eindpunt op `https://audit.checkmarx[.]cx/v1/telemetry`. Organisaties die de getroffen images gebruikten om infrastructure-as-code-bestanden te scannen, moeten alle blootgestelde geheimen, cloudcredentials of API-sleutels als potentieel gecompromitteerd beschouwen.

De kwaadaardige binary deelde hetzelfde Command and Control (C2)-serveradres als een afzonderlijk ontdekte JavaScript-payload genaamd `mcpAddon.js`. Dit duidt op een gecoördineerde aanvalsinfrastructuur met meerdere componenten.

Onderzoekers van Socket breidden hun onderzoek uit en ontdekten dat ook getrojaniseerde versies van de VS Code- en Open VSX-extensies van Checkmarx waren geïdentificeerd, specifiek `cx-dev-assist` versies 1.17.0 en 1.19.0, en `ast-results` versies 2.63.0 en 2.66.0. Deze extensies downloadden bij activering stilzwijgend een tweede fase payload (`mcpAddon.js`) van een hardcoded GitHub-URL, verwijzend naar een verouderde commit (`68ed490b`) in de officiële Checkmarx-repository. Vervolgens werd deze uitgevoerd met behulp van de Bun runtime, zonder gebruikers toestemming of integriteitsverificatie. Het `mcpAddon.js`-bestand, een zwaar geobfusceerde JavaScript-bundel van ongeveer 10 MB, functioneerde als een volwaardige steler van credentials. Het verzamelde authenticatietokens van GitHub, AWS-credentials, tokens van Azure en Google Cloud, configuratiebestanden van npm, SSH-sleutels en omgevingsvariabelen. De exfiltratie van de gegevens gebeurde gecomprimeerd en versleuteld naar het eindpunt van de aanvaller.

De reikwijdte van de malware ging verder dan diefstal van credentials. Met gestolen GitHub-tokens injecteerde de malware kwaadaardige workflows van GitHub Actions (`.github/workflows/format-check.yml`) in repositories waartoe het slachtoffer schrijftoegang had. De workflow maakte misbruik van `${{ toJSON(secrets) }}` om de volledige secrets-context van elke doelrepository te serialiseren en te exfiltreren als een downloadbaar artefact. Gestolen npm-tokens werden verder misbruikt om schrijfbaarbare packages te identificeren en opnieuw te publiceren, wat verdere supply chain-propagatie in het npm-ecosysteem mogelijk maakte.

De dreigingsactor TeamPCP lijkt de verantwoordelijkheid voor de aanval op te eisen. Hun X-bericht bevatte spottende berichten na het bekend worden van het verhaal, met de tekst "Thank you OSS distribution for another very successful day at PCP inc.". Dit komt overeen met een eerdere campagne van TeamPCP in maart 2026, waarbij de groep GitHub Actions en OpenVSX-plugins van Checkmarx compromitteerde in een bredere supply chain aanval die ook Trivy en LiteLLM trof.

Beveiligingsteams moeten onmiddellijk de volgende acties ondernemen:

*   Verwijder alle getroffen KICS Docker-images, VS Code-extensies en GitHub Actions van ontwikkelaarssystemen en build-pijplijnen.

*   Roteer GitHub-tokens, npm-tokens, cloudcredentials (AWS, Azure, GCP), SSH-sleutels en alle CI/CD-geheimen die zijn blootgesteld aan de getroffen omgevingen.

*   Controleer GitHub-repositories op ongeautoriseerde workflowbestanden, onverwachte aanmaak van branches, verdachte downloads van artefacten en openbare repositories met het patroon `---` en de beschrijving "Checkmarx Configuration Storage".

*   Zoek naar uitgaande verbindingen naar `94[.]154[.]172[.]43` of `audit.checkmarx[.]cx`, onverwachte uitvoering van de Bun runtime en ongeautoriseerde toegang tot `.npmrc`, `.env` of opslagplaatsen voor cloudcredentials.

*   Pin Docker image-referenties aan geverifieerde SHA256-digests in plaats van veranderlijke tags.

Socket heeft zijn bevindingen gedeeld met het beveiligingsteam van Checkmarx en blijft geactualiseerde technische analyses publiceren naarmate het onderzoek vordert. De Docker-repository is gearchiveerd en alle getroffen tags zijn hersteld naar geverifieerde legitieme releases.

Bron: Socket | Bron 2: audit.checkmarx[

Een Amerikaanse overheidsinstantie is in september vorig jaar gehackt door geavanceerde aanvallers, die misbruik maakten van kwetsbaarheden in firewalls van Cisco. De Cybersecurity and Infrastructure Security Agency (CISA) meldt dat de ongenoemde afdeling besmet raakte met malware genaamd "FIRESTARTER". Deze malware stelde de aanvallers in staat om in maart van dit jaar terug te keren naar het Cisco-apparaat, zonder opnieuw de oorspronkelijke kwetsbaarheden te hoeven exploiteren.

CISA heeft een waarschuwing over de FIRESTARTER-malware gepubliceerd, samen met een geactualiseerde richtlijn voor federale civiele instanties. Deze richtlijn verplicht hen specifieke acties te ondernemen om op infectie te controleren. CISA waarschuwde reeds in september voor de problemen en gaf toen opdracht aan alle instanties om CVE-2025-30333 en CVE-2025-20362 te patchen, twee kwetsbaarheden die invloed hebben op Cisco Adaptive Security Appliances (ASA).

De herziene waarschuwing van CISA is een reactie op bijgewerkte cyberdreigingsinformatie, betreffende dreigingsactoren die persistentie behouden en ongeautoriseerde toegang voortzetten tot Cisco Firepower en Secure Firewall producten met Adaptive Security Appliance (ASA) of Firepower Threat Defense (FTD) software. ASA is een veelgebruikte productlijn binnen overheden en grote bedrijven, omdat het verschillende beveiligingstaken consolideert in één apparaat. Deze apparaten functioneren niet alleen als firewalls, maar voorkomen ook bepaalde inbraken, verwerken spam en voeren antiviruscontroles uit.

Door middel van haar continue monitoringprogramma identificeerde CISA verdachte verbindingen op een Cisco Firepower apparaat van een Amerikaanse federale instantie dat ASA-software draaide. Na validatie van deze bevinding met het personeel van de instantie, initieerde CISA een forensisch onderzoek. Tijdens dit onderzoek werd één malwaremonster, genaamd FIRESTARTER, op het Firepower apparaat ontdekt.

De aanvallers hebben ook een andere variant van malware ingezet, genaamd Line Viper. Deze malware creëerde illegitieme virtuele private netwerk (VPN) sessies die alle VPN-authenticatiebeleidsregels omzeilden. FIRESTARTER werd gebruikt om de toegang tot het gecompromitteerde apparaat te behouden, waardoor de aanvallers in maart 2026 opnieuw toegang konden krijgen zonder de oorspronkelijke kwetsbaarheden opnieuw te exploiteren. Apparaten die gecompromitteerd waren voordat de verdedigers CVE-2025-20333 en CVE-2025-20362 patchen, blijven kwetsbaar vanwege FIRESTARTER. CISA stelt dat FIRESTARTER vóór 25 september 2025 op het geëxploiteerde Cisco-apparaat werd geïnstalleerd, hoewel de exacte datum onbekend is. De aanvallers maakten ook gebruik van federale accounts die weliswaar bestonden, maar niet langer actief waren binnen de instantie. Line Viper stelde de dreigingsactoren in staat om toegang te krijgen tot alle gegevens op een Firepower apparaat van het slachtoffer, inclusief beheerdersgegevens, certificaten en private sleutels.

CISA weigerde in september en opnieuw deze week te specificeren welke landen achter de aanvallen zitten. Eerdere berichtgeving door Wired, dat de campagne twee jaar geleden voor het eerst meldde, suggereerde op basis van bronnen een connectie met Chinese staatsbelangen.

CISA publiceerde de nieuwe waarschuwingen over de kwetsbaarheden in Cisco samen met het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk. De twee instanties werkten ook samen aan een andere mededeling over het gebruik van verborgen netwerken van gecompromitteerde apparaten door aan de Chinese overheid gelinkte dreigingsactoren. Die waarschuwing bespreekt specifiek tactieken die worden gebruikt door Volt Typhoon en Flax Typhoon, twee Chinese groepen die eerder zijn geïdentificeerd voor hun aanvallen op de Amerikaanse overheid en kritieke infrastructuur.

In september publiceerde Cisco een uitgebreide studie over CVE-2025-20333 en CVE-2025-20362, waarin met grote zekerheid werd vastgesteld dat de campagne verband houdt met dezelfde aanvallers die verantwoordelijk waren voor de ArcaneDoor-campagne, ontdekt in 2024. Cisco verklaarde eerder dat de ArcaneDoor-aanvallen deel uitmaakten van een campagne door door een staat gesponsorde dreigingsactoren.

De waarschuwingen van CISA bevatten meerdere taken die alle federale civiele instanties moeten uitvoeren in het licht van de meest recente campagne tegen Cisco firewall-apparaten. Elke federale instantie moet uitgebreide nieuwe informatie indienen, en als een compromis wordt bevestigd, zal CISA verdere instructies sturen die mogelijk "instructies om het apparaat fysiek los te koppelen van de stroom" om de persistentie van FIRESTARTER te verwijderen, omvatten. Federale instanties moeten de bevestiging van de malwarecontroles voor middernacht op vrijdag indienen, en uiterlijk 1 mei moeten alle instanties een inventaris van Cisco Firepower-apparaten aanleveren. CISA zal uiterlijk 1 augustus een rapport over de campagne indienen bij de National Cyber Director en andere leiders van het Witte Huis. Ze waarschuwden herhaaldelijk dat de oorspronkelijke acties die in de septemberwaarschuwing werden uiteengezet, niet voldoende zijn om de malware te verwijderen of de aanvallers volledig uit een gecompromitteerd systeem te verwijderen. Organisaties moeten het apparaat niet loskoppelen, tenzij CISA daartoe opdracht geeft.

Bron: CISA | Bron 2: sec.cloudapps.cisco.com | Bron 3: wired.com

Geavanceerde AI modellen, ook wel bekend als 'frontier AI', transformeren het landschap van cybersecurity door de snelheid en schaal van cyberaanvallen drastisch te verhogen. Onderzoekers van Unit 42, het Threat Research Center van Palo Alto Networks, hebben gesprekken gevoerd met Chief Information Security Officers (CISO's) en beveiligingsleiders wereldwijd. Hieruit blijkt een duidelijke consensus, hoewel het potentieel voor innovatie gedreven door AI enorm is, vormt de snelheid waarmee deze modellen kunnen worden ingezet als wapen een enorme uitdaging voor traditionele beveiligingsprogramma's.

Frontier AI, zoals het recent onthulde Anthropic Mythos model, onderscheidt zich van eerdere grote taalmodellen (LLM's) door een aanzienlijke vooruitgang in redenering en programmeervaardigheden. Deze modellen zijn in staat om autonoom softwarekwetsbaarheden te identificeren, complexe exploitatiepaden te ketenen en zich in bijna realtime aan te passen aan verdedigingsmechanismen. Tests door Unit 42 toonden aan dat deze geavanceerde AI modellen het equivalent van een heel jaar handmatige penetratietesten in minder dan drie weken konden voltooien.

De snelheid waarmee aanvallers kwetsbaarheden kunnen ontdekken en misbruiken, neemt exponentieel toe. Waar dreigingsactoren al binnen vijftien minuten na bekendmaking beginnen te scannen op nieuwe CVE's (Common Vulnerabilities and Exposures), zal frontier AI dit venster verder versnellen. Dit betekent dat aanvallers kwetsbaarheden kunnen vinden en exploiteren voordat er zelfs patches beschikbaar zijn. Organisaties moeten hun programma's voor het patchen van kwetsbaarheden verbeteren, maar dit zal niet voldoende zijn. Het is essentieel om bevindingen meedogenloos te prioriteren op basis van de bereikbaarheid voor aanvallers, de impact op de bedrijfsvoering en, cruciaal, de exploiteerbaarheid door AI.

Open source softwarecomponenten lopen een verhoogd risico door de effectiviteit van frontier modellen in het analyseren van broncode. Dit kan leiden tot grootschalige compromittering van de toeleveringsketen, met name op korte termijn. Hoewel open source software niet inherent minder veilig is, maakt de transparantie van de code het voor AI modellen gemakkelijker om exploitatieketens te vinden en te testen dan bij gecompileerde commerciële software. Voor open source projecten wordt aangeraden uit te gaan van een compromis. Organisaties dienen over te stappen op het gebruik van gecentraliseerde, beheerde en geharde 'cool-down' repositories om strikte beveiligingsgovernance en scanning te waarborgen voordat open source code in productieomgevingen wordt geïmplementeerd.

Een primaire zorg is ook het zogenaamde 'vulnerability chaining'. Hierbij identificeert een AI model meerdere, mogelijk minder ernstige problemen en koppelt deze aan elkaar om één kritiek exploitatiepad te creëren. Deze capaciteit stelt aanvallers in staat om traditionele beveiligingsfilters te omzeilen die individuele mediumrisico's mogelijk over het hoofd zien, en de zwakke plekken in een verdedigingsstrategie met meerdere lagen te identificeren. De vraag is of huidige Security Operations Centers (SOC's) gelijke tred kunnen houden met autonome aanvalsagenten.

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

Het Wachtwoordmanager CLI npm-pakket is kortstondig gecompromitteerd geweest nadat aanvallers een kwaadaardig `kwaadaardig npm pakket`-pakket met een credential-stelende payload naar npm hadden geüpload. Deze payload was in staat zich te verspreiden naar andere projecten.

Volgens rapporten van Socket, JFrog en OX Security werd het kwaadaardige pakket verspreid als versie 2026.4.0 en was het beschikbaar tussen 22 april 2026, 17:57 uur en 19:30 uur ET, voordat het werd verwijderd. Wachtwoordmanager heeft het incident bevestigd en verklaarde dat de inbreuk alleen het npm-distributiekanaal voor het CLI npm-pakket betrof, en alleen gebruikers die de kwaadaardige versie hadden gedownload.

Wachtwoordmanager meldde in een verklaring dat het onderzoek geen bewijs heeft gevonden dat eindgebruikersdata is benaderd of in gevaar is geweest, of dat productiedata of productiesystemen waren gecompromitteerd. Zodra het probleem werd gedetecteerd, werd de gecompromitteerde toegang ingetrokken, de kwaadaardige npm-release werd afgeschreven en er werden onmiddellijk herstelstappen geïnitieerd. Het probleem trof het npm-distributiemechanisme voor de CLI gedurende een beperkte periode, niet de integriteit van de legitieme Wachtwoordmanager CLI-codebase of opgeslagen kluisdata.

Volgens Socket lijken dreigingsactoren een gecompromitteerde GitHub Action in de CI/CD-pijplijn van Wachtwoordmanager te hebben gebruikt om kwaadaardige code in het CLI npm-pakket te injecteren. JFrog meldt dat het pakket zo werd aangepast dat het pre-installatiescript en het ingangspunt van de CLI een aangepaste loader genaamd `bw_setup.js` gebruiken. Deze loader controleert op de Bun runtime en, indien deze niet bestaat, downloadt deze. Vervolgens gebruikt de loader de Bun runtime om een versleuteld JavaScript-bestand genaamd `bw1.js` te starten, dat fungeert als malware voor het stelen van credentials.

Eenmaal uitgevoerd, verzamelt de malware een breed scala aan geheimen van geïnfecteerde systemen, waaronder npm-tokens, authenticatietokens van GitHub, SSH-sleutels en cloudcredentials voor AWS, Azure en Google Cloud. De malware versleutelt de verzamelde data met AES-256-GCM en exfiltreert deze door openbare GitHub-repositories aan te maken onder het account van het slachtoffer, waar de versleutelde data wordt opgeslagen. OX Security stelt dat deze aangemaakte repositories de string "Shai-Hulud: The Third Coming" bevatten, een verwijzing naar eerdere supply chain aanvallen op npm die een vergelijkbare methode en tekststring gebruikten bij het exfiltreren van gestolen data.

De malware beschikt ook over zelfverspreidingsmogelijkheden. OX Security rapporteerde dat het gestolen npm-credentials kan gebruiken om pakketten te identificeren die het slachtoffer kan wijzigen en deze te injecteren met kwaadaardige code. Socket observeerde ook dat de payload zich richt op CI/CD-omgevingen en probeert geheimen te oogsten die kunnen worden hergebruikt om de aanval uit te breiden.

Deze aanval volgt op een afzonderlijk supply chain-incident dat Checkmarx gisteren bekendmaakte en dat de KICS Docker-images, GitHub Actions en developer-extensies beïnvloedt. Hoewel het niet precies bekend is hoe aanvallers toegang hebben verkregen, vertelde Wachtwoordmanager aan BleepingComputer dat het incident verband hield met de supply chain aanval bij Checkmarx. Een gecompromitteerde ontwikkeltool gerelateerd aan Checkmarx maakte misbruik van het npm-leveringspad voor de CLI mogelijk gedurende een beperkte tijd.

Socket meldde aan BleepingComputer dat er overlappende indicatoren zijn tussen de inbreuk bij Checkmarx en deze aanval. De connectie bevindt zich op het malware en infrastructuurniveau. In het geval van Wachtwoordmanager gebruikt de kwaadaardige payload hetzelfde `audit.checkmarx[.]cx/v1/telemetry`-eindpunt dat verscheen in het Checkmarx-incident. Het gebruikt ook dezelfde `__decodeScrambled`-obfuscatieroutine met de seed `0x3039` en vertoont hetzelfde algemene patroon van credentialdiefstal, GitHub-gebaseerde exfiltratie en verspreidingsgedrag in de supply chain. Deze overlap gaat verder dan een oppervlakkige gelijkenis. De Wachtwoordmanager-payload bevat dezelfde soort ingebedde gzip en Base64-componenten die eerder in de malware zijn waargenomen, inclusief tooling voor het verzamelen van credentials en misbruik stroomafwaarts.

Beide campagnes zijn gekoppeld aan een dreigingsactor die bekendstaat als TeamPCP, die eerder developerpakketten aanviel in de grote supply chain aanvallen op Trivy en LiteLLM. Developers die de getroffen versie hebben geïnstalleerd, moeten hun systemen en credentials als gecompromitteerd beschouwen en alle blootgestelde credentials, vooral die gebruikt voor CI/CD-pijplijnen, cloudopslag en developeromgevingen, roteren.

Bron: Bitwarden | Bron 2: ox.security | Bron 3: socket.dev

Recente aanvallen met de Trigona ransomware maken gebruik van een aangepaste commandoregeltool om sneller en efficiënter data te stelen uit gecompromitteerde omgevingen. Deze tool werd in maart ingezet bij aanvallen die werden toegeschreven aan een bij de groep aangesloten partij. Het gebruik van een eigen tool is waarschijnlijk een poging om publiekelijk beschikbare hulpmiddelen, zoals Rclone en MegaSync, die doorgaans beveiligingsoplossingen activeren, te omzeilen.

Onderzoekers van cybersecuritybedrijf Symantec suggereren dat de overstap naar een aangepaste tool erop kan wijzen dat de aanvallers "tijd en moeite investeren in eigen malware om zo een lager profiel te behouden tijdens een cruciale fase van hun aanvallen." In een recent rapport beschrijven de onderzoekers de tool als "uploader_client.exe", die verbinding maakt met een vast serveradres. De prestaties en ontwijkingsmogelijkheden van de tool zijn opmerkelijk. Zo ondersteunt de tool vijf gelijktijdige verbindingen per bestand voor snellere data-exfiltratie via parallelle uploads en roteert het TCP-verbindingen na 2GB aan verkeer om monitoring te omzeilen. Daarnaast biedt het de optie voor selectieve exfiltratie van bestandstypen, waarbij grote mediabestanden met een lage waarde worden uitgesloten, en maakt het gebruik van een authenticatiesleutel om de toegang tot gestolen data door buitenstaanders te beperken.

Bij een van de waargenomen incidenten werd de exfiltratietool gebruikt om waardevolle documenten, zoals facturen en PDF's, van netwerkdrives te stelen. De Trigona ransomware werd in oktober 2022 gelanceerd als een double-extortion operatie waarbij slachtoffers werden gedwongen losgeld in Monero-cryptovaluta te betalen. Hoewel Oekraïense cyberactivisten de Trigona-operatie in oktober 2023 verstoorden door de servers te hacken en interne data, zoals broncode en databasegegevens, te stelen, duidt het rapport van Symantec erop dat de dreigingsactoren hun activiteiten hebben hervat.

Volgens Symantecs observaties van recente aanvallen met Trigona installeren de dreigingsactoren de Huorong Network Security Suite tool HRSword als een kernel driver service. Deze fase wordt gevolgd door het inzetten van aanvullende tools die beveiligingsgerelateerde producten kunnen uitschakelen, zoals PCHunter, Gmer, YDark, WKTools, DumpGuard en StpProcessMonitorByovd. Veel van deze hulpprogramma's maakten misbruik van kwetsbare kernel drivers om endpoint-beveiligingsprocessen te beëindigen. Sommige hulpprogramma's werden uitgevoerd met PowerRun, een product dat applicaties, uitvoerbare bestanden en scripts met verhoogde privileges kan starten, waardoor gebruikersmodusbeveiligingen worden omzeild. Voor directe toegang op de gecompromitteerde systemen werd AnyDesk gebruikt, terwijl Mimikatz en Nirsoft-hulpprogramma's werden ingezet voor het stelen van inloggegevens en het herstellen van wachtwoorden. Symantec heeft Indicators of Compromise (IoC's) die geassocieerd zijn met de nieuwste Trigona-activiteit onderaan hun rapport vermeld om te helpen bij de tijdige detectie en blokkering van deze aanvallen.

Bron: Symantec | Bron 2: security.com

Onderzoek van Citizen Lab, een instituut van de Universiteit van Toronto dat zich richt op digitale surveillance, toont aan dat surveillancebedrijven misbruik maken van telecommunicatie-infrastructuur om locatiegegevens van doelwitten te verzamelen. Volgens een recent rapport exploiteren deze bedrijven zwakke plekken in het telecomnetwerk om zich voor te doen als legitieme mobiele providers en zo de locaties van slachtoffers te achterhalen.

Het onderzoek identificeerde twee specifieke campagnes. Eén methode omvatte het versturen van een tekstbericht met verborgen kwaadaardige SMS-commando's naar doelwitten. Deze commando's transformeerden het apparaat in een "covert tracking beacon", waarmee de locatie onopgemerkt kon worden gevolgd. De tweede campagne maakte gebruik van kwetsbaarheden in Signaling System 7 (SS7), een set protocollen die voornamelijk in oudere 3G-netwerken worden gebruikt. SS7-protocollen zijn bijzonder kwetsbaar omdat ze de bron van signaleringsberichten niet verifiëren of authenticeren en geen encryptie toepassen. Dit maakt ze al lange tijd een doelwit voor kwaadwillende actoren.

Daarnaast bleken de surveillancebedrijven in staat te zijn om ook Diameter-protocollen aan te vallen, die worden ingezet voor nieuwere 4G en 5G-netwerken. Hoewel Diameter-protocollen zijn ontworpen met beveiligingsmaatregelen die ontbreken in SS7, hebben veel operators deze beveiligingen nog niet volledig geïmplementeerd, wat de deur opent voor misbruik.

Beide campagnes kregen toegang tot gebruikerslocaties door dezelfde drie telecomnetwerken te exploiteren. Deze mobiele netwerken fungeerden als gateways, waardoor verkeer via vertrouwde signaleringsverbindingen kon bewegen, terwijl het tegelijkertijd toegang verleende aan dreigingsactoren die zich achter hun infrastructuur verborgen hielden. Gary Miller, een van de auteurs van het rapport, merkte op dat de gebruikte technieken specifiek waren ontworpen om de bron te verhullen. Echter, door het routeringspad van het verkeer te analyseren, kon worden vastgesteld dat het verkeer teruggeleid zou zijn naar Israël, wat suggereert dat een Israëlisch bedrijf mogelijk betrokken is bij deze surveillance.

Miller benadrukt de omvang van het probleem: "We hebben het niet over een paar pogingen tot spyware. Dit zijn enorme hoeveelheden ongeautoriseerd verkeer, waarvan meer dan 90 procent wordt gegenereerd door derden die toegang hebben tot de mobiele signaleringsomgeving. Het is een gigantisch probleem dat nog niet is aangepakt." De kwetsbaarheden in telecomsystemen, zowel oudere als nieuwere netwerken, vormen een wereldwijde bedreiging voor de privacy en veiligheid van gebruikers.

Bron: Citizen Lab

Cisco Talos heeft in zijn kwartaalrapportage voor het eerste kwartaal van 2026 belangrijke trends in incidentrespons belicht. De onderzoekers constateren dat phishing officieel zijn positie als de voornaamste initiële toegangsmethode heeft heroverd. Een opvallende ontwikkeling is de waarneming dat aanvallers steeds vaker gebruikmaken van Softr, een door kunstmatige intelligentie (AI) aangedreven webontwikkelingstool, om snel pagina's voor het oogsten van inloggegevens te genereren. Deze ontwikkeling verlaagt de drempel voor cybercriminelen aanzienlijk, waardoor zelfs minder geavanceerde actoren snel en zonder code aanvallen kunnen lanceren.

Hoewel daadwerkelijke ransomware-implementaties in dit kwartaal op "absoluut nul" uitkwamen dankzij de snelle mitigatie door Talos Incident Response, vormden pre-ransomware-activiteiten nog steeds 18% van de onderzochte incidenten. Dit duidt erop dat aanvallers wel degelijk toegang krijgen tot netwerken met de intentie tot ransomware, maar dat verdedigers effectiever zijn geworden in het stoppen van deze aanvallen voordat ze tot volledige encryptie leiden.

Daarnaast misbruiken dreigingsactoren legitieme ontwikkelaarstools zoals TruffleHog en native cloud API's om onopgemerkt te zoeken naar blootgestelde geheimen. Dit maakt detectie extreem lastig voor verdedigers, die vaak al kampen met hiaten in logging. De dalende toegangsdrempel voor cybercriminelen en het misbruik van legitieme tools en AI-platforms benadrukt de noodzaak voor organisaties om hun basisbeveiliging te versterken.

Cisco Talos adviseert dringend om correct geconfigureerde multi-factor authenticatie (MFA) te implementeren, met name door de self-service inschrijving van apparaten te beperken om te voorkomen dat aanvallers nieuwe apparaten registreren. Verder is robuust patchbeheer essentieel en moet centrale logging via een SIEM-systeem aanwezig zijn, zodat forensisch bewijs intact blijft.

Naast deze trends is deze week ook bekendgemaakt dat 22 kwetsbaarheden, gezamenlijk bekend als "BRIDGE:BREAK", zijn ontdekt in duizenden serieel-naar-IP-converters van Lantronix en Silex. Succesvolle exploitatie van deze kwetsbaarheden kan aanvallers in staat stellen om seriële communicatie met veldactiva te verstoren, laterale beweging uit te voeren en sensorwaarden te manipuleren of het gedrag van actuatoren te wijzigen. Dit onderstreept de bredere uitdagingen op het gebied van beveiliging, variërend van geavanceerde softwarekwetsbaarheden tot de menselijke factor en configuratiefouten.

Bron: Cisco Talos | Bron 2: techradar.com | Bron 3: techcrunch.com

Onderzoekers hebben ontdekt dat een kwaadaardig npm-pakket, genaamd `js-logger-pack`, het veelgebruikte platform voor het hosten van AI modellen Hugging Face misbruikt als zowel een netwerk voor de verspreiding van malware als een opslagplaats voor gestolen gegevens. Deze campagne illustreert een zorgwekkende verschuiving in hoe aanvallers legitieme cloudservices inzetten voor aanvallen via de toeleveringsketen, terwijl ze hun activiteiten verborgen houden.

Het pakket leek aanvankelijk onschuldig. Bij installatie laadde het een plausibele, maar onschadelijke logger in het project van de ontwikkelaar, waardoor de werkelijke dreiging werd gemaskeerd. De daadwerkelijke aanval begon via een `postinstall`-script dat automatisch werd uitgevoerd tijdens de installatie. Dit script lanceerde een losgekoppeld achtergrondproces, waardoor de zichtbare npm-installatie normaal eindigde, terwijl een verborgen downloader actief bleef.

Afhankelijk van het besturingssysteem van de host, haalde de downloader een van de vier kwaadaardige binaire bestanden op uit een openbare Hugging Face-repository die onder controle stond van de aanvaller, geïdentificeerd als `Lordplay/system-releases`. JFrog Security-onderzoekers identificeerden en extraheerden de ingebedde JavaScript-payload uit alle vier de Node.js Single Executable Application (SEA) binaire bestanden voor Windows, macOS en Linux. Hun analyse, gepubliceerd op 23 april 2026, bevestigde dat dezelfde platformoverschrijdende JavaScript-bundel in elke container werd geïnjecteerd, waarbij alle kwaadaardige logica binnen die ene bundel was verpakt. De vier binaire bestanden waren geen afzonderlijke malwarefamilies, maar hetzelfde implantaat verpakt in vier verschillende Node.js runtime-containers.

Eenmaal geïmplementeerd, vestigde het implantaat persistentie via platform-eigen methoden, geplande taken en register Run-sleutels op Windows, LaunchAgent-ingangen op macOS, en systemd user units op Linux. Vervolgens begon het systeeminformatie te verzenden naar een hardgecodeerde command-and-control server op `195[.]201[.]194[.]107` via WebSocket. De aanvaller had hiermee een live toegangspunt dat in staat was om willekeurige bestanden te lezen en te schrijven, te zoeken naar inloggegevens, toetsaanslagen te loggen, het klembord te monitoren en verdere payloads te implementeren.

Het meest opvallende aspect van deze campagne was de keuze van de exfiltratiebestemming. In plaats van gestolen bestanden naar een privéserver te sturen, leidde de operator alle verzamelde gegevens om naar privé Hugging Face-datasets, waardoor de volledige opslag van de datadiefstal werd uitbesteed aan de infrastructuur van Hugging Face zelf. Wanneer de operator een uploadtaak via de command-and-control server activeerde, ontving het implantaat een Hugging Face-token, een gebruikersnaam, een doelspecifieke pad en een upload-ID. Het comprimeerde het gevraagde bestand of de map in een gzip-archief, creëerde of hergebruikte een privé Hugging Face-dataset onder het account van de aanvaller, en uploadde het archief met behulp van een ingebedde Hugging Face hub-client. Na voltooiing informeerde het implantaat de controller die op Hetzner werd gehost. Lopende uploads werden bijgehouden in een lokaal statusbestand en hervat bij herverbinding, zodat geen gestolen gegevens verloren gingen, zelfs als de verbinding wegviel. Dit gaf de aanvaller een aanzienlijk operationeel voordeel, aangezien de command-and-control server nooit gestolen inhoud direct hoefde op te slaan, wat de blootstelling verminderde en het verkeer moeilijker detecteerbaar maakte.

Het implantaat ondersteunde ook een functie voor het wissen van sessies, die browserprocessen beëindigde en inloggegevens wiste. Dit dwong gebruikers om wachtwoorden opnieuw in te voeren terwijl de keylogger al actief was, waardoor alle na de gedwongen uitlogging ingevoerde gegevens binnen enkele minuten konden worden vastgelegd en naar een privédataset konden worden verzonden.

Om deze dreiging te mitigeren, wordt geadviseerd om onmiddellijk alle geheimen te roteren, inclusief AWS-sleutels, SSH-sleutels, npm-tokens, databasewachtwoorden, API-sleutels en inloggegevens die zijn opgeslagen in browserprofielen. Verwijder alle persistentie-artefacten door de geplande taak van MicrosoftSystem64, register Run-sleutel, LaunchAgent-ingang of systemd-eenheid te verwijderen, afhankelijk van het besturingssysteem. Zuiver het pakket en wis de npm-cache, en voer vervolgens `npm config set ignore-scripts true` uit om te voorkomen dat `postinstall`-hooks automatisch worden uitgevoerd. Controleer alle afhankelijkheidsveranderingen in `package.json` zorgvuldig, inclusief kleine updates op patch-niveau. Elke machine die `js-logger-pack` versie 1.1.27 heeft uitgevoerd, moet als volledig gecompromitteerd worden beschouwd totdat alle geheimen zijn geroteerd en elk persistentie-artefact is verwijderd.

Bron: JFrog Security | Bron 2: research.jfrog.com

Onderzoekers hebben recentelijk alarmerende bevindingen gepubliceerd over de software 'Vibing.exe', die wordt geleverd via de Microsoft Store. Deze applicatie, die zich presenteert als een "interface naar de AI-native wereld" en wordt uitgegeven door een onbekend "Vibing-Team", blijkt zonder expliciete toestemming van de gebruiker screenshots, klembordinhoud en audio via de microfoon vast te leggen en te versturen naar een Azure-eindpunt.

Het Vibing-Team heeft geen eigen website, en online is geen informatie te vinden over de identiteit van dit team. De software zelf informeert de gebruiker niet over het verzenden van gegevens naar Azure, noch vraagt het om toestemming binnen de applicatie. Hoewel een privacybeleid voor Vibing wel beschikbaar is in de Microsoft Store, wordt dit niet in de app zelf vermeld. Dit beleid stelt bovendien onjuist dat gebruikers de API-servers configureren, terwijl deze in werkelijkheid zijn voorgeconfigureerd naar een Microsoft Azure-eindpunt, een dienst van derden.

De software kan worden gedownload via de Vibing-website of de Microsoft Store en is digitaal ondertekend door Yaoyao Chang met een co-ondertekenaar van SSL.com. Yaoyao Chang is werkzaam bij de GenAI-onderzoekslabs van Microsoft in Beijing. De eerste online vermelding van Vibing verscheen op de GitHub-website van Microsoft voor VibeVoice, waaraan Yaoyao Chang eveneens bijdraagt. De vermelding beschrijft Vibing als "gebouwd door de gemeenschap" en werd toegevoegd door MSJwyv, een andere Microsoft-medewerker in het AI-onderzoekscentrum in Beijing. De wijziging omschrijft de adoptie als "open source".

Echter, de GitHub-repository van Vibing is niet open source en bevat geen broncode, maar enkel een binair bestand van 80 MB, Vibing.exe. Opmerkelijk is dat Yaoyao Chang op GitHub-issues reageert en suggereert niet betrokken te zijn, ondanks het feit dat zij de binaire code digitaal heeft ondertekend en de app heeft gepubliceerd. De Vibing GitHub-repository gebruikt hetzelfde logo-ontwerp als het Microsoft VibeVoice-product en heeft slechts drie bijdragers. Deze accounts werden aangemaakt kort voordat Microsoft de repository toevoegde aan hun VibeVoice-pagina. Installatie-instructies tonen schermafbeeldingen van een bedrijfsapparaat van Microsoft, en OSINT-tools hebben aangetoond dat het Azure Front Door-eindpunt waarnaar gebruikersgegevens worden verzonden, zich bevindt binnen een door Microsoft beheerde Azure-tenant. Dit suggereert dat de term "gemeenschap" in dit geval verwijst naar Microsoft zelf, en dat interne governance en compliance-stappen voor beveiligings-, privacy en AI-beoordelingen zijn omzeild door het project als open source voor te doen.

Vibing is beschikbaar voor Windows en Mac. De Windows-versie stelt zichzelf in om automatisch te starten bij Windows-aanmelding. Wanneer de software in gebruik is, kaapt het het klembord om inhoud te kopiëren en maakt het screenshots van de pc van de gebruiker. Deze schermen worden vervolgens via Base64-codering verzonden naar het Azure Front Door-eindpunt, samen met een unieke hardware-GUID per machine. Dit maakt het mogelijk om screenshots per machine te identificeren, hoewel de reden hiervoor onduidelijk is. Naast de screenshots verstuurt de software ook specifieke woorden uit Windows, venstertitels/app-namen en inhoud via WebSocket. Ook neemt het audio op met de microfoon en uploadt deze ruwe audio naar Azure, eveneens met GUID-identificaties.

Er zijn aanzienlijke cybersecurity en privacybezwaren geïdentificeerd. De software geeft geen indicatie dat het gegevens op afstand verzendt. Het privacybeleid van Vibing in de Microsoft Store beweert dat het geen gegevens naar derden stuurt, maar dit gebeurt wel standaard. Er is geen genoemde auteur voor het Vibing-Team of een gegevensbeheerder, en de eigenaren binnen Microsoft proberen hun identiteit te verhullen. Bovendien stuurt het een unieke GUID voor elke toetsaanslag en screenshot, waardoor gegevens in de loop van de tijd kunnen worden gevolgd, wat nergens wordt vermeld. Er is geen duidelijke reden voor deze gegevensverzameling, en het lijkt erop dat de software geen adequate privacy of beveiligingsbeoordeling heeft ondergaan bij Microsoft voorafgaand aan de release. Ook is onduidelijk welk privacytoezicht Microsoft hierop uitoefent en wie de verzamelde gegevens bekijkt. Ontwikkelaars hebben meerdere malen hun zorgen geuit bij Microsoft, maar deze zijn zonder commentaar gesloten door de betrokken Microsoft-medewerkers.

Bron: DoublePulsar | Bron 2: apps.microsoft.com | Bron 3: get.microsoft.com

De Google Threat Intelligence Group (GTIG) heeft een meerfasige inbraakcampagne geïdentificeerd, uitgevoerd door een nieuw gevolgde dreigingsgroep genaamd UNC6692. Deze groep maakt gebruik van persistente social engineering, een op maat gemaakte modulaire malwaresuite en behendige bewegingen binnen de omgeving van slachtoffers om diepe netwerkpenetratie te bereiken. De campagne van UNC6692 toont een interessante evolutie in tactieken, met name het gebruik van social engineering, aangepaste malware en een kwaadaardige browserextensie, waarbij wordt ingespeeld op het inherente vertrouwen van slachtoffers in diverse zakelijke softwareleveranciers.

Eind december 2025 voerde UNC6692 een grootschalige e-mailcampagne uit, gericht op het overweldigen van doelwitten met berichten om een gevoel van urgentie en afleiding te creëren. Hierna stuurden de aanvallers een phishingbericht via Microsoft Teams, zich voordoend als helpdeskmedewerkers die hulp aanboden bij het grote aantal e-mails.

De infectieketen begon wanneer het slachtoffer via Microsoft Teams werd benaderd en werd gevraagd op een link te klikken om een 'lokale patch' te installeren die e-mailspam zou voorkomen. Na het klikken opende de browser van de gebruiker een HTML-pagina en werd uiteindelijk een hernoemde AutoHotKey binary en een AutoHotkey script, met dezelfde naam, gedownload vanuit een door de dreigingsactor beheerde AWS S3-bucket. Dit script werd gepresenteerd als een 'Microsoft Spam Filter Update' om de account te beschermen.

Als de AutoHotkey binary dezelfde naam heeft als een scriptbestand in de huidige directory, wordt het script automatisch uitgevoerd zonder extra command line argumenten. Bewijs van AutoHotKey-uitvoering werd vastgelegd direct na de downloads, wat leidde tot initiële verkenningscommando's en de installatie van SNOWBELT. SNOWBELT is een kwaadaardige Chromium-browserextensie die niet via de Chrome Web Store wordt verspreid.

De persistentie van SNOWBELT werd op meerdere manieren tot stand gebracht. Ten eerste werd een snelkoppeling naar een AutoHotKey script toegevoegd aan de Windows Startup-map, die controleerde of SNOWBELT actief was en of een geplande taak aanwezig was. Ten tweede werden twee extra geplande taken geïnstalleerd: één om een vensterloos Microsoft Edge-proces te starten dat de SNOWBELT-extensie laadt, en een andere om Microsoft Edge-processen te identificeren en te beëindigen die de CoreUIComponents.dll niet hadden geladen. Edge-processen zonder deze DLL zijn doorgaans headless, wat de dreigingsactor gebruikt om headless Edge-processen die hun malware uitvoeren, op te schonen.

Via de SNOWBELT-extensie downloadde UNC6692 verdere bestanden, waaronder SNOWGLAZE en SNOWBASIN, extra AutoHotkey scripts, en een ZIP-archief met een draagbare Python executable en benodigde bibliotheken. Na de initiële toegang werd door UNC6692 een Python script gebruikt om het lokale netwerk te scannen op poorten 135, 445 en 3389. Na deze interne poortscan vestigde de dreigingsactor een Sysinternals PsExec-sessie op het systeem van het slachtoffer via de SNOWGLAZE-tunnel, en voerde commando's uit voor verdere enumeratie.

Bron: Mandiant | Bron 2: virustotal.com | Bron 3: storage.googleapis.com

Onderzoekers Yahav Festinger en Chen Doytshman van Unit 42, het Threat Research Center van Palo Alto Networks, hebben een proof of concept (PoC) ontwikkeld van een multi-agent penetratietest systeem dat autonome aanvalsmogelijkheden met AI demonstreert tegen cloudomgevingen. De bevindingen van dit onderzoek, gepubliceerd op 23 april 2026, verschuiven de discussie over de offensieve capaciteiten van grote taalmodellen (LLM's) van theoretisch naar praktisch.

Deze ontwikkeling volgt op een rapport van Anthropic uit november 2025, waarin een spionagecampagne door een staat gesponsord werd gedocumenteerd. In die campagne assisteerde AI niet alleen menselijke operators, maar voerde het 80-90% van de operatie autonoom uit, met snelheden die geen menselijk team kon evenaren. Dit zette de vraag op scherp of AI daadwerkelijk end-to-end autonoom kan opereren en waar de huidige LLM-capaciteiten uitblinken of tekortschieten ten opzichte van ervaren menselijke operators.

Om deze vragen te beantwoorden, heeft Unit 42 het multi-agent penetratietest PoC gebouwd. Het systeem is ontworpen om empirisch de autonome offensieve capaciteiten van AI te testen tegen cloudomgevingen. De resultaten tonen aan dat AI op zichzelf niet noodzakelijkerwijs nieuwe aanvalsoppervlakken creëert. In plaats daarvan fungeert het als een 'force multiplier', die de exploitatie van bekende, bestaande misconfiguraties aanzienlijk versnelt.

Het onderzoeksteam heeft de architectuur van hun multi-agent PoC gedetailleerd beschreven en de aanvalsketen gedemonstreerd tegen een misconfigureerde, gesandboxte Google Cloud Platform (GCP) omgeving. De PoC is in staat om kwetsbaarheden te ontdekken, meerstapsaanvallen uit te voeren en met machinesnelheid te opereren tegen de cloudinfrastructuur. Dit omvat onder meer data exfiltratie. De onderzoekers benadrukken de implicaties van deze ontwikkeling voor verdedigers, aangezien de snelheid en autonomie van AI-gestuurde aanvallen nieuwe uitdagingen met zich meebrengen voor detectie en respons.

Palo Alto Networks geeft aan dat klanten met producten zoals Cortex XDR en XSIAM beter beschermd zijn tegen de dreigingen zoals beschreven in dit artikel.

Bron: Unit 42 | Bron 2: github.com | Bron 3: mastodon.social

Google heeft aangekondigd Chrome voor zijn zakelijke klanten te zullen uitrusten met functionaliteiten die gebruikmaken van kunstmatige intelligentie (AI) en een nieuwe detectie van 'Shadow IT'-risico's. De AI-functionaliteit, genaamd "auto browse", stelt gebruikers in staat om via de AI-assistent Gemini diverse taken uit te voeren die gerelateerd zijn aan het browsen. Dit omvat onder meer het boeken van reizen, het invoeren van data, het plannen van vergaderingen en het vergelijken van prijzen van leveranciers in verschillende browsertabs.

Volgens Google is de "auto browse" functionaliteit specifiek ontworpen om routinetaken te automatiseren, zodat werknemers meer tijd kunnen besteden aan strategisch werk. Voorbeelden van de mogelijkheden zijn het overzetten van informatie uit een Google Doc naar het CRM-systeem van een organisatie, het samenvatten van een portfolio van een sollicitatiekandidaat en het extraheren van specifieke informatie van websites. Google benadrukt dat deze functionaliteit niet zal worden gebruikt voor het trainen van AI modellen. Bovendien is er een "human in the loop" principe geïntegreerd, wat inhoudt dat gebruikers de door de AI gegenereerde output altijd eerst moeten controleren voordat deze wordt uitgevoerd. De uitrol van deze functionaliteit zal in eerste instantie plaatsvinden onder Workspace-gebruikers in de Verenigde Staten.

Naast de AI-functionaliteit introduceert Google ook een feature genaamd "Shadow IT risk detection". Deze functionaliteit is gericht op het verschaffen van inzicht in het gebruik van zowel goedgekeurde als niet-goedgekeurde generatieve AI en SaaS-software binnen een organisatie. De bestaande detectie van niet-geautoriseerde AI tools wordt uitgebreid, waardoor beheerders ook kunnen zoeken naar gecompromitteerde browserextensies en andere vormen van wat Google omschrijft als "anomalous agent activity". Deze uitbreidingen moeten organisaties helpen bij het beter beheren en beveiligen van hun digitale infrastructuur tegen ongeautoriseerd gebruik van software en potentieel schadelijke browsercomponenten.

Bron: Google

Uit recente bevindingen van de Britse cybersecuritydienst NCSC, een onderdeel van de Britse inlichtingendienst GCHQ, blijkt dat ongeveer honderd landen wereldwijd inmiddels beschikken over commerciële spionagesoftware. Dit is een aanzienlijke stijging ten opzichte van 2023, toen het NCSC het aantal nog op 80 landen schatte. De drempel voor overheden om toegang te krijgen tot deze krachtige tools, die computers en smartphones kunnen kraken, is significant gedaald.

De bevindingen werden gedeeld tijdens de cybersecurityconferentie CYBERUK in Glasgow, zoals gerapporteerd door POLITICO. Commerciële spyware maakt misbruik van zwakke plekken in besturingssystemen om apparaten binnen te dringen en gevoelige data te stelen. Bekende voorbeelden van dergelijke software zijn Pegasus van het Israëlische NSO Group en Graphite van Paragon. Hoewel overheden claimen deze tools uitsluitend in te zetten tegen zware criminelen en terreurverdachten, tonen mensenrechtenorganisaties al jaren aan dat ook journalisten en politieke opponenten regelmatig het doelwit zijn. Volgens het NCSC zijn hier recentelijk ook bankiers en rijke ondernemers bijgekomen.

Naast de proliferatie van spyware maakt de dienst zich ook zorgen over de opkomst van nieuwe, geavanceerde modellen met kunstmatige intelligentie (AI). Richard Horne, hoofd van het NCSC, wees in zijn toespraak specifiek op het Mythos-model van Anthropic. Dit Amerikaanse AI-bedrijf kondigde het model eerder deze maand aan, maar besloot het bewust niet publiekelijk beschikbaar te maken vanwege de potentiële gevaren. Anthropic stelt dat Mythos in staat is ingewikkelde kwetsbaarheden in softwaresystemen op te sporen en uit te buiten.

Als reactie op deze dreiging heeft de Britse veiligheidsdienst NPSA, onderdeel van inlichtingendienst MI5, al contact opgenomen met bedrijven die kritieke infrastructuur beheren, zoals kerncentrales, waterbedrijven en telecomoperatoren, om hen te waarschuwen voor de risico's.

Een bijkomend gevaar komt van gewone cybercriminelen, die profiteren van gelekte hacktools. Begin dit jaar verscheen DarkSword, een verzameling van geavanceerde aanvalstools, op het internet. Hierdoor kregen kwaadwillenden plotseling de middelen in handen om iPhones en iPads zonder de meest recente update van software te kraken. Brits minister van Veiligheid Dan Jarvis riep AI-bedrijven op tot intensievere samenwerking met de overheid om kwetsbaarheden in netwerken op te sporen en aan te pakken "op een snelheid en schaal die geen mens kan evenaren."

Bron: Politico

Onderzoekers hebben malware van AppleScript ontdekt die gericht is op het stelen van wachtwoorden, cookies en andere gevoelige gegevens van gebruikers van macOS. De aanval, bekend als ClickFix, verleidt gebruikers tot het uitvoeren van een kwaadaardig commando in de terminal, waarna de malware wordt gedownload en geïnstalleerd.

De aanval begint wanneer gebruikers een website bezoeken die een CAPTCHA toont. Om deze ogenschijnlijk op te lossen, wordt de gebruiker geïnstrueerd een specifiek commando in de terminal van hun macOS-systeem uit te voeren. Dit commando is echter geen legitieme oplossing voor de CAPTCHA; in plaats daarvan initieert het de download van de schadelijke software.

Een van de voornaamste doelen van de malware is het bemachtigen van de inhoud van de macOS Keychain. Deze Keychain is een beveiligde opslagplaats die een breed scala aan gevoelige informatie bevat, waaronder opgeslagen inlogwachtwoorden, wifi-wachtwoorden, digitale certificaten en private keys. Standaard is de macOS Keychain versleuteld met het inlogwachtwoord van de gebruiker, wat een extra beveiligingslaag biedt.

Om deze versleuteling te omzeilen en toegang te krijgen tot de Keychain, maakt de malware gebruik van social engineering. Het toont een pop-upvenster dat nauwkeurig is ontworpen om eruit te zien als een legitieme macOS-prompt die om het inlogwachtwoord vraagt. Zodra gebruikers hun wachtwoord in dit valse venster invoeren, wordt het onderschept door de aanvallers. Dit gestolen wachtwoord wordt vervolgens gebruikt om de Keychain te ontsleutelen, waarna de volledige inhoud naar de aanvallers wordt gestuurd.

Netskope adviseert gebruikers van macOS dringend om hun systemen te updaten naar macOS Tahoe 26.4 of macOS Sequoia. Deze nieuwere versies van het besturingssysteem zijn voorzien van een verbeterde bescherming tegen ClickFix aanvallen. Ze waarschuwen gebruikers specifiek wanneer zij een potentieel gevaarlijk commando in de terminal proberen te plakken, waardoor de kans op onbedoelde malware-installatie aanzienlijk wordt verkleind.

Bron: Netskope | Bron 2: prosopo.io

Onderzoekers hebben recentelijk alarmerende "worm" functionaliteit ontdekt in diverse packages van npm, een populaire pakketbeheerder voor JavaScript. Deze malware is ontworpen om gevoelige informatie van ontwikkelaars te stelen en zich vervolgens autonoom te verspreiden naar andere softwareprojecten. De besmettingen zijn aangetroffen in packages die afkomstig zijn van Namastex Labs, een onderneming die gespecialiseerd is in op AI gebaseerde "agentic solutions".

De malware die op de systemen van slachtoffers terechtkomt, richt zich op het verzamelen van een breed scala aan gevoelige gegevens. Hieronder vallen onder andere cryptowallets, API keys, en SSH keys, die cruciaal zijn voor toegang tot diverse systemen en diensten. Daarnaast steelt de kwaadaardige software inloggegevens voor cloudservices en opgeslagen wachtwoorden uit de lokale Chrome Login Database van het getroffen systeem. Deze diefstal van credentials vormt een aanzienlijk risico voor de veiligheid van ontwikkelaarsaccounts en de projecten waaraan zij werken.

Een bijzonder zorgwekkend aspect van deze malware is de ingebouwde logica voor zelfverspreiding, die de "worm" functionaliteit mogelijk maakt. Na infectie zoekt de malware actief naar npm-tokens en PyPi-credentials die aanwezig zijn op het besmette systeem. Met deze gestolen authenticatiegegevens identificeert de malware vervolgens welke packages de gecompromitteerde ontwikkelaar kan publiceren. Vervolgens downloadt de malware de bijbehorende package tarballs, voegt er een nieuwe, kwaadaardige postinstall hook aan toe, en republiceert de besmette packages. Dit mechanisme stelt de malware in staat om zich verder te verspreiden binnen de software-supply chain, waardoor het potentiële bereik van de aanval exponentieel toeneemt.

Om de risico's te mitigeren, wordt ontwikkelaars dringend geadviseerd om de geïdentificeerde besmette versies van de npm packages onmiddellijk te vermijden en, indien aanwezig, te verwijderen van alle ontwikkelingssystemen en CI/CD-pipelines. Bovendien is het essentieel om alle credentials, API keys, tokens en andere gevoelige data die mogelijk zijn blootgesteld, direct te roteren. Dit omvat het wijzigen van wachtwoorden en het intrekken en opnieuw uitgeven van API-sleutels en tokens. Deze stappen zijn cruciaal om verdere verspreiding en potentiële schade te voorkomen.

Bron: Socket.dev

Een recent geïdentificeerde dreigingsgroep, UNC6692, is betrapt op het uitvoeren van een geavanceerde intrusiecampagne in meerdere fasen. Deze campagne maakt gebruik van misleiding via Microsoft Teams, een op maat gemaakte modulaire malware suite en misbruik van cloud infrastructuur om diep door te dringen in bedrijfsnetwerken. Opmerkelijk is dat dit alles plaatsvindt zonder de exploitatie van enige softwarekwetsbaarheid.

Onderzoekers van Google Threat Intelligence Group (GTIG) en Mandiant hebben de details van deze campagne op 22 april openbaar gemaakt. De aanvallers van UNC6692 doen zich voor als medewerkers van de IT helpdesk binnen Microsoft Teams om zo toegang te verkrijgen tot organisaties. Eenmaal binnen gebruiken zij hun gespecialiseerde malware en cloudbronnen om hun aanwezigheid te verankeren en verder te infiltreren.

De methodiek van UNC6692 toont een zorgwekkende trend waarbij aanvallers zich richten op sociale engineering en misbruik van legitieme tools en diensten, in plaats van op technische kwetsbaarheden. Dit maakt detectie en preventie complexer, aangezien traditionele beveiligingsmaatregelen die zich richten op het patchen van software mogelijk niet volstaan. Het ontbreken van exploits van bekende kwetsbaarheden benadrukt de noodzaak voor organisaties om hun verdediging te versterken tegen identiteitsfraude en misbruik van cloud accounts.

Bron: Google Threat Intelligence Group (GTIG) en Mandiant

Het beveiligingslandschap van het npm-ecosysteem heeft een kritiek keerpunt bereikt in september 2025, met de opkomst van de Shai-Hulud worm. Deze zelfreplicerende malware markeerde het einde van een periode van "hinderlijke" aanvallen met npm en luidde een tijdperk in van ernstige bedreigingen. Sinds dit moment heeft Unit 42 een agressieve versnelling waargenomen in de frequentie en technische diepgang van supply chain compromitteringen. Aanvallen zijn geëvolueerd van geïsoleerde typosquatting-incidenten naar systematische campagnes door diverse dreigingsactoren, die het vertrouwen in moderne softwareontwikkeling misbruiken.

De Shai-Hulud-incidenten toonden aan dat de npm-registry kan worden gebruikt als een vermenigvuldiger voor malwareverspreiding. In de maanden na september 2025 zijn drie belangrijke verschuivingen in tactieken, technieken en procedures (TTP's) van aanvallers waargenomen:

Ten eerste, worm-achtige propagatie. Kwaadaardige payloads richten zich nu op de diefstal van npm-tokens en GitHub Personal Access Tokens (PAT's) om legitieme pakketten automatisch te infecteren en opnieuw te publiceren. Een voorbeeld hiervan is de compromittering van Axios in maart 2026.

Ten tweede, persistentie op infrastructuurniveau. Aanvallers stelen niet langer alleen data; zij nestelen zich in continuous integration/continuous delivery (CI/CD) pipelines om langdurige, onopspoorbare toegang tot bedrijfsomgevingen te verkrijgen.

Ten derde, multi-stage payloads. Volgens het patroon van september 2025, gebruiken huidige aanvallen vaak slapende "sleeper" afhankelijkheden die pas onder specifieke omgevingscondities activeren om geautomatiseerde scanners te omzeilen.

De compromitteringen van npm-pakketten vertonen gemeenschappelijke thema's. In het tijdperk na Shai-Hulud is het nuttig om het aanvalsoppervlak als geheel te beschouwen. Dit omvat details van grote incidenten zoals Shai-Hulud 2.0, Axios en Chalk/Debug, de correlatie tussen campagnes om gemeenschappelijke infrastructuur of codefragmenten te identificeren die verschillende aanvallen aan dezelfde dreigingsactoren koppelen, en handleidingen voor herstelacties, zoals het roteren van referenties en het verwijderen van kwaadaardige afhankelijkheden uit lokale en cloudgebaseerde caches. Een specifiek kwaadaardig npm-pakket, gepubliceerd als een populair commandline-pakket voor wachtwoordbeheer (versie 2026.4.0), werd geïdentificeerd als onderdeel van een bredere supply chain aanval.

Bron: Unit 42 | Bron 2: docs.github.com | Bron 3: ox.security

Een nieuwe financieel gemotiveerde hackgroep, aangeduid als BlackFile en ook bekend onder de namen CL-CRI-1116, UNC6671 en Cordial Spider, is sinds februari 2026 verantwoordelijk voor een golf van aanvallen met datadiefstal en afpersing. De groep richt zich specifiek op organisaties in de retail en hospitality sector. Dit blijkt uit informatie die cybersecurity firma Palo Alto Networks' Unit 42 heeft gedeeld met het Retail en Hospitality Information Sharing en Analysis Center (RH-ISAC).

De aanvallers van BlackFile doen zich voor als IT helpdesk personeel van bedrijven om inloggegevens van werknemers te stelen en vervolgens losgeld van zeven cijfers te eisen. RH-ISAC rapporteerde donderdag dat de aanvallen beginnen met telefoongesprekken naar werknemers vanaf gespoofde nummers. Tijdens deze gesprekken lokken de dreigingsactoren, zich voordoend als IT ondersteuning, het personeel naar nep login pagina's van bedrijven waar ze worden gevraagd hun inloggegevens en eenmalige toegangscodes in te voeren.

RH-ISAC benadrukt dat de aanvallers achter CL-CRI-1116 gebruikmaken van stem-gebaseerde phishing (vishing) via gespoofde Voice over Internet Protocol (VoIP) nummers of frauduleuze Caller ID Namen (CNAM) als social engineering techniek. Oprichter en CEO Jason S.T. Kotler van CyberSteward bevestigt een significante toename van BlackFile-incidenten, waarbij de tactieken sterk lijken op die van groepen als ShinyHunters en SLSH, die eveneens vishing en social engineering inzetten voor data-exploitatie.

Met de gestolen inloggegevens registreren de BlackFile-aanvallers hun eigen apparaten om multifactor authenticatie te omzeilen. Vervolgens escaleren ze hun toegang tot accounts op directieniveau door interne werknemersmappen te scrapen. De groep steelt data van servers van Salesforce en SharePoint door gebruik te maken van standaard API-functies, waarbij specifiek wordt gezocht naar bestanden die termen als "vertrouwelijk" en "SSN" bevatten. De geëxfiltreerde documenten, waaronder CSV datasets met telefoonnummers van werknemers en vertrouwelijke bedrijfsrapporten, worden gedownload naar door de aanvallers gecontroleerde infrastructuur. Dit gebeurt vaak onder het mom van legitieme SSO-geauthenticeerde sessies om detectie te vermijden.

De gestolen data wordt vervolgens gepubliceerd op de darkweb datalek site van de groep, waarna slachtoffers worden gecontacteerd met losgeldeisen via gecompromitteerde werknemers e-mailaccounts of willekeurig gegenereerde Gmail-adressen. Werknemers van getroffen bedrijven, inclusief senior managers, zijn ook doelwit geweest van swatting pogingen, waarbij valse noodoproepen worden gedaan naar hulpdiensten om extra druk uit te oefenen op de slachtoffers.

Mandiant meldt eveneens actief te reageren op diverse vishing-incidenten die hebben geleid tot datadiefstal en afpersing, waaronder een incident waarbij een BlackFile-slachtoffer-shaming site werd gebruikt die inmiddels offline is. Unit 42-onderzoekers linken BlackFile met matige zekerheid ook aan "The Com", een los-vast netwerk van Engelssprekende cybercriminelen die bekend staan om het werven van jonge mensen voor afpersing, geweld en de productie van materiaal met seksuele uitbuiting van kinderen (CSAM).

Om het succespercentage van de BlackFile-aanvallen te verminderen, adviseert RH-ISAC organisaties om hun beleid voor oproepafhandeling te versterken, multifactor identiteitsverificatie voor bellers af te dwingen, en simulatie-gebaseerde social engineering trainingen voor frontlinie personeel te organiseren.

Bron: RH-ISAC | Bron 2: crowdstrike.com | Bron 3: adaptivesecurity.com

Het CyberProof Threat Research Team heeft een nieuwe aanvalscampagne geïdentificeerd die de ClickFix-methode gebruikt om Windows-computers te compromitteren. Hoewel de ClickFix-techniek zelf niet nieuw is, wordt deze steeds vaker ingezet door cybercriminelen, die de methode betrouwbaar achten voor het omzeilen van geavanceerde beveiligingssoftware. Deze specifieke variant werd door CyberProof ontdekt in april 2026.

De aanval is gebaseerd op social engineering en begint doorgaans met een nep-CAPTCHA of een browserfoutmelding. Gebruikers wordt verteld dat zij het probleem kunnen oplossen door de Windows-toets en R (Win + R) in te drukken, waarna zij een specifieke opdracht moeten plakken. Eerdere ClickFix-aanvallen maakten al misbruik van deze methode door zich voor te doen als Google Meet, Microsoft Word en zelfs GitHub om gebruikers te verleiden tot het uitvoeren van kwaadaardige code.

De recent ontdekte versie onderscheidt zich door het vermijden van veelvoorkomende tools zoals PowerShell of rundll32, die gemakkelijk door beveiligingssoftware kunnen worden gedetecteerd. In plaats daarvan maakt deze variant gebruik van twee andere, native hulpprogramma's van Windows: `cmdkey` en `regsvr32`. Deze "Living Off The Land Binaries" (LOLBins), die reeds aanwezig zijn op computers, stellen aanvallers in staat om onopgemerkt te opereren. Omdat de gebruiker het proces handmatig start, beschouwt de computer de activiteit als legitiem. De kwaadaardige opdracht bevat zelfs een nep-opmerking 'I am not a robot' om de code te laten lijken op een echte beveiligingscontrole van Cloudflare.

Wanneer de opdracht wordt geplakt en uitgevoerd, maakt deze snel verbinding met een server op het IP-adres 151.245.195.142, via een UNC-pad. Vanaf deze server wordt een bestand genaamd `demo.dll` opgehaald. Dit is een 64-bit DLL-bestand van Windows, ontworpen om stil op de achtergrond te functioneren. Het bestand maakt gebruik van de functie `DllRegisterServer` om een verborgen `CreateProcessA`-aanroep te starten. Deze aanroep stelt vervolgens een geplande taak in op de computer, waardoor aanvallers persistentie kunnen behouden.

De aanvallers hebben deze taak de naam `RunNotepadNow` gegeven, om het te laten lijken op een alledaags achtergrondproces. Opvallend is ook dat de instructies voor de taak niet op de computer zelf worden opgeslagen, maar worden opgehaald uit een extern bestand genaamd `777.xml`. Onderzoekers merkten op dat door het gebruik van deze vertrouwde tools, de aanvaller "een hoge mate van stealth bereikt met behoud van uitvoeringsbetrouwbaarheid."

Het detecteren van dergelijke aanvallen wordt bemoeilijkt doordat aanvallers het XML-bestand op hun eigen servers opslaan. Dit stelt hen in staat om de instructies op elk gewenst moment te wijzigen, zonder een nieuw bestand te hoeven sturen om de aanval bij te werken. Ten tijde van de publicatie van het onderzoek was de server op 151.245.195.142 al offline, wat het moeilijker maakte om de verdere intenties van de aanvallers te achterhalen.

CyberProof-onderzoekers adviseren gebruikers om nooit code van een website in het uitvoerdialoogvenster van hun computer te kopiëren en plakken, ongeacht hoe legitiem de CAPTCHA of de melding eruitziet.

Bron: CyberProof

Een recent technisch onderzoek, uitgevoerd door privacyonderzoeker Alexander Hanff, heeft aan het licht gebracht dat de Claude Desktop applicatie van Anthropic voor macOS ongemerkt een Native Messaging bridge installeert in de mappen van diverse op Chromium gebaseerde browsers. Dit ongedocumenteerde gedrag vindt plaats zonder expliciete toestemming van de gebruiker en heeft aanzienlijke privacy- en beveiligingszorgen doen rijzen binnen de cybersecurity gemeenschap.

Bij de installatie van Claude Desktop (Claude.app) plaatst de applicatie automatisch een Native Messaging manifestbestand, genaamd `com.anthropic.claude_browser_extension.json`, in de mappen voor applicatieondersteuning van maar liefst zeven browsers gebaseerd op Chromium. Dit omvat populaire browsers zoals Chrome, Brave, Edge, Arc, Vivaldi en Opera. Een browser extensie heeft een Native Messaging host nodig om te kunnen communiceren met een lokale desktop applicatie. Deze bridge opereert buiten de beveiligde sandbox van de browser en draait met dezelfde privileges als de gebruiker zelf.

Het manifestbestand autoriseert drie specifieke ID's van Chrome-extensies om de ondersteunende binary (`chrome-native-host`) te activeren, die zich bevindt in de app-bundel van Claude Desktop. Het is zorgwekkend dat deze installatie automatisch plaatsvindt, zelfs als de gebruiker de Claude browser-extensie nooit heeft geïnstalleerd, en zelfs in mappen voor browsers die op dat moment niet op de machine zijn geïnstalleerd. Bovendien herschrijft Claude Desktop deze manifestbestanden telkens wanneer de applicatie wordt gestart, waardoor permanente verwijdering bemoeilijkt wordt.

De beveiligings- en privacyimplicaties van dit gedrag zijn significant. Hoewel de ondersteunende binary inactief blijft totdat deze wordt geactiveerd door een van de drie vooraf geautoriseerde extensies, vergroot de aanwezigheid ervan het potentiële aanvalsoppervlak van de gebruikersmachine. Indien een aanvaller erin slaagt om een van de toegestane extensie-ID's te compromitteren, bijvoorbeeld via een overname van accounts, een kwaadaardige update in de Web Store of een gecompromitteerde build-pipeline, zou dit kunnen leiden tot code-executie buiten de sandbox van de browser.

De privacyrisico's zijn eveneens ernstig. Volgens Anthropic's eigen documentatie zijn hun browser-integraties ontworpen om inlogstatussen te delen, het Document Object Model (DOM) te lezen, gestructureerde data te extraheren en formulieren in te vullen. Dit betekent dat een volledig geactiveerde bridge de AI-agent in staat zou kunnen stellen om onversleutelde privéberichten te lezen, toegang te krijgen tot bankportalen en wachtwoorden vast te leggen terwijl deze worden getypt. Anthropic heeft bovendien eerder bekendgemaakt dat de Claude voor Chrome-extensie kwetsbaar is voor prompt injection aanvallen. Een succesvolle prompt injection tegen de extensie zou in theorie de vooraf geïnstalleerde Native Messaging bridge kunnen gebruiken om commando's op de hostmachine uit te voeren.

Het kernprobleem dat Hanff benadrukt, is het totale gebrek aan transparantie. De software maakt gebruik van een "donker patroon" door een integratie af te dwingen over onafhankelijke softwaregrenzen heen, zonder de gebruiker om expliciete toestemming te vragen. Hanff merkte op dat deze stille implementatie van slapende tracking- en automatiseringsmogelijkheden mogelijk in directe strijd is met de ePrivacy Richtlijn van de EU en de regelgeving inzake computermisbruik, die strikte regels hanteren voor de opslag van informatie op de terminalapparatuur van een gebruiker. Standaard cybersecurity praktijken dicteren dat dergelijke krachtige systeemintegraties alleen geïnstalleerd zouden moeten worden wanneer een gebruiker er actief om vraagt, correct gescopeerd zijn tot de beoogde browser en zichtbaar zijn binnen de instellingen van de applicatie. Terwijl AI tools steeds meer agentische controle over onze digitale omgevingen zoeken, blijft het afdwingen van strikte gebruikerstoestemming en transparante beveiligingsgrenzen van cruciaal belang.

Bron: Alexander Hanff | Bron 2: thatprivacyguy.com

Cybercriminelen hebben een methode ontwikkeld om bekende CAPTCHA-tests te misbruiken voor grootschalige internationale fraude via sms. Gebruikers worden naar frauduleuze CAPTCHA-pagina's geleid die hen instrueren om sms-berichten te versturen, wat leidt tot hoge onverwachte kosten op hun telefoonrekening. Deze tactiek maakt deel uit van een telecomfraude genaamd International Revenue Share Fraud (IRSF), die al sinds juni 2020 actief is.

De aanval werkt door slachtoffers naar websites te lokken die eruitzien als legitieme verificatiepagina's. In plaats van de gebruikelijke visuele of tekstuele uitdagingen, vragen deze nep-CAPTCHA-pagina's gebruikers om een sms-bericht te sturen om hun menselijkheid te bewijzen. Wat de slachtoffers niet weten, is dat deze berichten worden verzonden naar telefoonnummers in landen met extreem hoge terminatiekosten, zoals Azerbeidzjan, Egypte en Myanmar. Elke verzonden sms genereert inkomsten voor de fraudeur, die een deel van de telecomtarieven heeft afgesproken met lokale providers. De schade wordt vaak pas weken later ontdekt wanneer onverwachte kosten op de telefoonrekening verschijnen.

Onderzoekers van Infoblox Threat Intel hebben deze operatie gedetailleerd gedocumenteerd. Hun analyse toont aan dat één enkele interactie met een nep-CAPTCHA-pagina kan leiden tot het versturen van wel 60 internationale sms-berichten naar meer dan 50 verschillende bestemmingen, met een gemiddelde kostenpost van ongeveer dertig dollar per sessie. Hoewel dit bedrag per individu relatief klein lijkt, maakt de potentiële schaal van miljoenen slachtoffers de fraude zeer winstgevend.

De campagne maakt gebruik van een Traffic Distribution System (TDS), dat webverkeer stilletjes omleidt via meerdere lagen voordat gebruikers op een kwaadaardige landingspagina terechtkomen. Een waargenomen aanvalsketen begon bijvoorbeeld met een gebruiker die een domein bezocht dat sterk leek op dat van een grote Amerikaanse telecommaatschappij, waarna een reeks omleidingen via TDS-nodes volgde alvorens op de nep-CAPTCHA-pagina te eindigen. Deze infrastructuur helpt de operatie verborgen te blijven voor beveiligingsonderzoekers en geautomatiseerde detectiesystemen. De fraude benadeelt zowel individuen als telecomproviders, aangezien providers vaak verliezen absorberen als gevolg van klantengeschillen, terwijl ze onbewust inkomsten uitbetalen aan de fraudeurs. Infoblox Threat Intel heeft 35 telefoonnummers in 17 landen geobserveerd die bij deze campagne betrokken zijn, en de infrastructuur is sinds juni 2020 consistent gebleven op hetzelfde netwerk. De brede verspreiding over vele landen maakt het voor één enkele provider vrijwel onmogelijk om de volledige omvang te detecteren.

Het technische ontwerp van de nep-CAPTCHA is eenvoudig maar effectief. Zodra een gebruiker op een van deze pagina's belandt, ziet deze een ogenschijnlijk normale taak, zoals het identificeren van afbeeldingen. Na elk antwoord neemt JavaScript onopgemerkt contact op met de server van de aanvaller, die een vooraf geladen lijst met internationale telefoonnummers en een voorbereid bericht retourneert. De telefoon van de gebruiker opent vervolgens de berichten-app met deze nummers en de tekst al ingevuld; het slachtoffer hoeft alleen nog op 'verzenden' te tikken.

De campagne maakt ook gebruik van 'back button hijacking', voor het eerst waargenomen in januari 2023. Wanneer een gebruiker probeert de pagina te verlaten door op de terugknop te drukken, plaatst een script de huidige URL in de browsergeschiedenis en leidt het slachtoffer terug naar de CAPTCHA-pagina. Deze lus houdt gebruikers gevangen totdat ze de browser geforceerd afsluiten. Een disclaimer onderaan de pagina omschrijft het proces losjes als een dienstuitwisseling, maar vermeldt nergens dat tientallen betaalde internationale berichten zullen worden verzonden.

Gebruikers worden dringend geadviseerd nooit een sms-bericht te versturen als onderdeel van een CAPTCHA- of online verificatieproces, aangezien geen enkele legitieme dienst dit vereist. Het is cruciaal om de telefoonrekening maandelijks te controleren en onmiddellijk contact op te nemen met de provider als onverwachte internationale sms-kosten verschijnen. Organisaties moeten DNS-beveiligingstools gebruiken om bekende TDS- en kwaadaardige omleidingsdomeinen te detecteren en te blokkeren. Telecomproviders zouden realtime monitoring moeten implementeren om kunstmatig opgeblazen sms-verkeer te identificeren en te blokkeren.

Bron: Infoblox Threat Intel

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam Davina Keenan op een populair cybercrimeforum een nieuwe binder-tool aanbiedt. Het product wordt verkocht onder de naam Universal File Binder 2026 en richt zich op cybercriminelen die schadelijke code willen verbergen in onschuldig ogende bestanden zoals documenten, afbeeldingen en video's. De tool kost honderd dollar voor een build en duizend dollar voor een levenslange licentie met updates.

Een binder is software die kwaadaardige code koppelt aan een legitiem bestand, zodat een slachtoffer bij het openen tegelijkertijd het verwachte document en de verborgen payload activeert. De verkoper claimt dat het product compatibel is met Windows 10 en Windows 11, en dat het bestanden kan binden aan formaten als JPG, PNG, PDF, DOCX, PPTX, MP4 en MP3. Daarnaast belooft de advertentie pictogram- en extensiespoofing met een dubbele-extensie-truc, plus een lichte stub die weinig sporen achterlaat.

Opvallend in de advertentie is de claim dat de tool '100% FUD' zou zijn, oftewel volledig onzichtbaar voor de virusscanners van Microsoft Defender, Avast en Kaspersky, zowel bij scannen als bij uitvoeren. Dergelijke claims op publieke fora houden in de praktijk zelden lang stand, omdat antivirusleveranciers binnen dagen of weken samples verzamelen en handtekeningen toevoegen. Binders worden vooral gebruikt om phishingmails en chatberichten geloofwaardig te maken en zijn een veelvoorkomend onderdeel van campagnes met afpersingssoftware en informatiestelers.

Voor organisaties is dit een herinnering om bestandsbijlagen uit onbekende afzenders niet zomaar te openen, dubbele extensies actief te blokkeren in mailfilters en endpointbeveiliging te onderhouden die ook gedragsmatige signalen oppikt naast handtekeningen.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat de private groep Telegram van het cybercrimecollectief ShinyHunters volgens een rivaliserende actor zou zijn gelekt. De plaatser, opererend onder de naam NormalLeVrai, heeft op een populair cybercrimeforum een volledig export van de groepschat aangeboden, inclusief schermafdrukken van interne berichten en een downloadlink naar het complete archief. De lek wordt gepresenteerd als vergelding voor een eerder geschil tussen beide actoren.

ShinyHunters is sinds 2020 actief en wordt gelinkt aan een lange reeks grote datalekken. Het collectief speelde een centrale rol in de aanvallen op klanten van het cloudplatform Snowflake in 2024, waarbij gegevens van tientallen Fortune 500-bedrijven werden buitgemaakt. De groep is ook in verband gebracht met inbraken bij onder meer AT&T en Ticketmaster, en lekte recent gegevens van Rockstar Games en Amtrak.

Interne chatlekken van actieve cybercrimegroepen zijn waardevol voor onderzoekers en opsporingsdiensten omdat ze inzicht geven in de leden, hun aliassen en accounts op andere platforms, de doelwitten waar de groep aan werkt, het gereedschap dat wordt ingezet en de onderhandelingen rond gestolen datasets. Dergelijke lekken volgen meestal op interne ruzies, machtsstrijd of ontevredenheid over winstverdeling. Eerdere voorbeelden, zoals de Conti-lekken in 2022 en de BlackCat-publicaties in 2024, leverden de cybersecuritygemeenschap maandenlang materiaal voor attributie en patroonherkenning.

Voor verdedigers is het verstandig om eventueel publiek wordende membersnamen, infrastructuur en aanvalspatronen mee te nemen in dreigingsmodellen, en alert te blijven op een mogelijke verschuiving van activiteiten als de groep zich opnieuw moet organiseren.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam NormalLeVrai op een populair cybercrimeforum toegang aanbiedt tot wat naar eigen zeggen het zakelijke e-mailaccount is van een medewerker van Facebook-moederbedrijf Meta. De actor vraagt 1.000 dollar voor de toegang en levert deze in het formaat link, e-mailadres en wachtwoord. Als bewijs is een schermafdruk bijgesloten van een ingelogde mailbox met berichten van en aan @facebook.com adressen, met data die teruggaan tot 2025.

NormalLeVrai is een relatief nieuwe forumgebruiker die zich in maart 2026 aansloot, maar dezelfde actor is deze week ook in beeld gekomen vanwege een vermeende lek van de prive groep Telegram van het cybercrimecollectief ShinyHunters. Op X, voorheen Twitter, plaatste NormalLeVrai een bericht waarin de actor zich afvraagt hoe het mogelijk is dat Facebook de e-mailaccounts van zijn eigen werknemers niet beter beveiligt. Meta zelf heeft tot nu toe niet publiekelijk gereageerd op de claim.

Toegang tot het zakelijke e-mailaccount van een werknemer van een groot techbedrijf is voor cybercriminelen aantrekkelijk omdat het kan dienen als startpunt voor verdere aanvallen. Denk aan het lezen van interne communicatie, het versturen van overtuigende phishingberichten naar collega's en partners, of het misbruiken van mailgekoppelde herstelopties op andere bedrijfsaccounts. In sommige gevallen wordt zulke toegang doorverkocht aan affiliates van afpersingssoftwaregroepen of aan spionagegroepen die op zoek zijn naar een eerste opening in een doelorganisatie.

Voor organisaties is dit een herinnering om medewerkersaccounts standaard te beschermen met phishingbestendige multifactor-authenticatie, ongebruikelijke inlogpogingen actief te monitoren en aliassen op cybercrimefora structureel in de gaten te houden via threat intelligence.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor op een populair cybercrimeforum een mobiele malware-toolkit te koop aanbiedt die zich richt op zowel Android- als iOS-apparaten. Het pakket combineert klassieke spyware-functies met aanvalsmodules waarmee specifieke apps op het toestel van een slachtoffer ontregeld of buiten gebruik gesteld kunnen worden. De aanbieder presenteert het als een licentie per apparaat, met de belofte van een uitgebreid functiepakket en een verzorgde interface.

De spionagefuncties van de toolkit omvatten klassieke RAT-mogelijkheden, zoals het op afstand vergrendelen van het scherm, het inschakelen van de zaklamp, het uitlezen van de GPS-locatie via verschillende methodes, IP-tracking via een gedeelde link en algehele apparaatmonitoring. Daarnaast zit er een sectie met spy tools voor netwerkverkenning, OSINT en downloader-functionaliteit. Een aparte module richt zich specifiek op de games Free Fire en Mobile Legends Bang Bang en biedt mogelijkheden om de spelervaring van anderen actief te verstoren.

Opvallend zijn de offensieve modules tegen losse apps. Het toolkit kan WhatsApp en andere apps geforceerd afsluiten, het systeem laten crashen, een blanco interface tonen, de app onzichtbaar maken, vertraagd onzichtbaar uitvoeren of zelfs gericht een Android systeem blokkeren. Voor iPhone-gebruikers zijn er aparte varianten om iOS-apps geforceerd af te sluiten of onzichtbaar te maken. Ook is er een functie om accounts via valse rapportages te laten schorsen, zoals een WhatsApp-ban via report.

Mobiele malware-toolkits zoals deze worden vaak ingezet voor stalking, intimidatie of digitale afpersing tussen privepersonen, en duiken regelmatig op in conflicten binnen game- en social media-gemeenschappen. Voor gebruikers helpt het om alleen apps uit officiele stores te installeren, geen onbekende profielen of MDM-installaties te accepteren, het besturingssysteem actueel te houden en bij vermoeden van compromittering het toestel te resetten en gevoelige inloggegevens te vernieuwen.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam vmoreal op een Russischtalig cybercrimeforum actief op zoek is naar nieuwe partners die toegang kunnen leveren tot bedrijfsnetwerken. De actor presenteert zichzelf als ervaren operator en sluit expliciet onderwijsinstellingen, overheidsinstanties en non-profitorganisaties uit als doelwit. De voorkeur gaat uit naar zogeheten Tier 1-doelen, oftewel grote internationale ondernemingen, met selectieve interesse in Tier 2 als het profiel interessant is.

De aangeboden samenwerkingsmodellen omvatten een vaste vergoeding, een percentage van de uiteindelijke opbrengst, of een combinatie van beide. Dit type prijsstructuur en de uitsluiting van bepaalde sectoren is kenmerkend voor gevestigde operaties van afpersingssoftwaregroepen en zogenoemde initial access brokers, partijen die initiele toegang tot organisaties verkopen of inbrengen voor verdere uitbuiting. De actor benadrukt in een postscriptum geen vooruitbetaling te accepteren en evenmin scam-aanbiedingen te tolereren, een signaal dat de operator ervaring heeft met het cybercrime-ecosysteem.

De zoektocht naar nieuwe leveranciers van toegang past in een patroon waarbij ransomware-affiliates en gerelateerde groepen voortdurend hun pijplijn van potentiele slachtoffers willen aanvullen. Initial access brokers leveren doorgaans geverifieerde toegang via gestolen inloggegevens, gehackte VPN-accounts, kwetsbare exposure naar internet of via malware-besmette werkstations binnen een doelorganisatie. Volgens onderzoek van diverse threat intelligence-bedrijven worden zulke toegangen verkocht voor bedragen tussen enkele honderden en duizenden dollars per organisatie, afhankelijk van omzet, sector en privilege-niveau.

Voor verdedigers blijft het cruciaal om de gangbare initial access-routes goed dicht te zetten, met multifactor-authenticatie op alle externe diensten, snel patchen van publiekelijk bereikbare systemen, monitoring van ongebruikelijke inlogpogingen en netwerksegmentatie zodat een eerste compromittering niet meteen tot bedrijfsbrede schade leidt.

Bron: Cybercrimeinfo darkweb-onderzoek

Het netwerk van Litecoin werd op 25 april 2026 getroffen door een zero day kwetsbaarheid in het MimbleWimble Extension Block (MWEB) protocol. De kwetsbaarheid stelde aanvallers in staat om een ongeldige MWEB transactie te injecteren die door niet-geüpdatete nodes als geldig werd geaccepteerd. Hierdoor konden zij coins onrechtmatig "peg-outen" naar externe decentralized exchanges en double spend aanvallen uitvoeren tegen meerdere cross-chain swap protocollen.

Voor herstel van de schade voerde het Litecoin team, in samenwerking met grote mining pools, een 13 block reorganisatie uit waarbij blokken 3.095.930 tot en met 3.095.943 werden teruggedraaid. Deze rollback overschreef ruim drie uur aan blockchain-geschiedenis en maakte de illegitieme MWEB-transacties ongedaan. Legitieme transacties uit dezelfde periode bleven geldig en zijn opnieuw verwerkt op de gepatchte chain.

Het MWEB protocol werd in 2022 toegevoegd aan Litecoin als optionele privacy-laag op basis van het MimbleWimble cryptografische ontwerp. Volgens beveiligingsonderzoekers betreft dit het eerste grote incident waarbij deze privacy-laag als aanvalsvector werd misbruikt. De kwetsbaarheid raakte specifiek mining nodes die recente Litecoin software-updates niet hadden toegepast.

De ontwikkelaars van Litecoin hebben inmiddels een patch uitgebracht die de fout in de validatie-logica van MWEB transacties verhelpt. Beheerders van Litecoin nodes en mining pools wordt sterk aangeraden om hun software direct te updaten en zo verdere uitbuiting te voorkomen. Het netwerk is volgens de ontwikkelaars op het moment van schrijven stabiel en de illegitieme transacties zijn van de canonieke chain verwijderd.

Bron: Bitcoin News | Bron 2: theblock.co | Bron 3: x.com

Uit WOO-documenten die in april 2026 openbaar zijn gemaakt blijkt dat de Koninklijke Marechaussee (KMar) tussen ongeveer mei 2009 en maart 2015 software van het Amerikaanse data-analysebedrijf Palantir heeft ingezet voor de screening van miljoenen passagiers. Op 1 januari 2014 ondertekende het Ministerie van Justitie en Veiligheid hiervoor een License and Services Agreement met Palantir. De software werd ingezet bij het Targeting Center Borders van het API Centre in Soesterberg, dat Advance Passenger Information uit binnenkomende vluchten van buiten de EU en het Schengengebied verwerkt.

In augustus 2025 antwoordde minister Van Weel (Justitie en Veiligheid) op Kamervragen ontkennend op de vraag of zijn ministerie Palantir nog gebruikte. Uit e-mailcorrespondentie van juli 2025 blijkt dat het contract uit 2014 op dat moment al binnen het departement bekend was bij de voorbereiding van het Kamerantwoord. Onderzoeksjournalisten van Follow the Money en publicist Elias Rutten constateerden op basis van de WOO-stukken dat de Tweede Kamer hierdoor onvolledig is geinformeerd, in afwijking van Artikel 68 van de Grondwet over de inlichtingenplicht van bewindspersonen.

Hoogleraar staatsrecht Reijer Passchier kwalificeerde het niet informeren van de Kamer staatsrechtelijk als "een politieke doodzonde". In maart 2026 verklaarde een woordvoerder van de Marechaussee aanvankelijk dat de KMar "nooit" Palantir had gebruikt. Geconfronteerd met de WOO-documenten herriep dezelfde woordvoerder die uitspraak en bevestigde dat de software van ongeveer mei 2009 tot maart 2015 in gebruik is geweest.

De screening verwerkte gevoelige persoonsgegevens zoals namen, geboortedatums, nationaliteiten en paspoortnummers van miljoenen reizigers, zonder dat dit publiek bekend was. De onthulling roept vragen op over transparantie, parlementaire controle en privacy-bescherming bij grootschalige geautomatiseerde grenscontroles van Nederlandse luchthavens.

Bron: Follow the Money | Bron 2: eliasrutten.substack.com

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsacteur onder de naam plane_tg op een populair cybercrimeforum een verificatieservice aanbiedt voor Telegram. Volgens de listing kunnen kopers persoonlijke accounts, kanalen, groepen en bots laten voorzien van een "geverifieerd door de organisatie"-badge in de Telegram-client. De actor stelt dat de verificatie via een niet nader genoemde verifierende entiteit wordt geleverd en biedt kortingsprijzen aan voor nieuwe kopers.

Als bewijsmateriaal voegt de verkoper schermafbeeldingen toe van een geverifieerd kanaal met circa 3.596 abonnees en van een persoonlijk account waarop de organisatie-badge zichtbaar is. Onderdeel van het aanbod is volgens de berichten ook toegang tot een exclusieve, alleen voor Telegram-geactiveerde chat. De aangeboden tarieven liggen rond 29 procent onder wat de verkoper presenteert als standaardprijs, met 2.490 dollar per jaar voor een persoonlijk profiel, 1.490 dollar voor een kanaal of groep en 3.990 dollar voor een bot.

Of de aangeboden service ook daadwerkelijk werkt zoals beloofd, of dat het binnen het cybercrime-ecosysteem om een vorm van oplichting onder dreigingsacteurs gaat, valt op basis van de listing alleen niet vast te stellen.

Voor gebruikers en organisaties is het verstandig om bij berichten van Telegram accounts of kanalen die als geverifieerd worden gepresenteerd, niet automatisch op de badge te vertrouwen. Bevestiging via een onafhankelijk kanaal en een eigen interne procedure voor communicatie met externe partijen via Telegram blijven de basismaatregelen tegen misbruik.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam goodboytaxis een phishingdienst genaamd BlueLight aanbiedt op een populair cybercrimeforum. De dienst wordt naar verluidt verkocht voor een levenslange licentie van 1.500 dollar plus een commissie van 7 procent op de uiteindelijke opbrengst, met ruimte voor onderhandeling bij grote afnames. De actor presenteert het platform als een volledige Phishing as a Service oplossing, waarbij de criminele koper niet zelf hoeft te ontwikkelen of hosten.

In de aanbieding staan complete phishingsjablonen voor onder meer Bank of America, Chime en TowneBank. De screenshots tonen een werkend dashboard met rolgebaseerde toegang voor beheerders, supportmedewerkers en zogenoemde call agents, een live overzicht van actieve slachtofferssessies, en gedetailleerde event logs die elke stap van een slachtoffer volgen. Te denken valt aan inloggen, identiteitsverificatie en het invoeren van eenmalige codes. Ook zijn er tools voor het bekijken van wachtwoorden en persoonlijke gegevens, het beheren van gebruikers en proxyservers, en het aanmaken van interne accounts met verschillende rechten.

Dit type dienst past in een bredere trend waarin technische drempels voor cybercrime steeds lager worden. Een koper hoeft geen kennis van phishingsites of infrastructuur te hebben, want het platform regelt sjablonen, hosting, slachtoffersessies en het verzamelen van data. De rolverdeling met call agents wijst op een professionele opzet waarbij meerdere medewerkers parallel slachtoffers kunnen begeleiden, bijvoorbeeld door telefonisch contact onder het mom van een bank.

Voor verdedigers is het belangrijk om bankklanten goed te informeren dat een bank nooit telefonisch om eenmalige inlogcodes of wachtwoorden vraagt, om sterke phishingbestendige tweede factor authenticatie toe te passen waar mogelijk, om verdachte domeinen actief te monitoren en te laten verwijderen, en om interne fraude en risk teams alert te houden op patronen van begeleiding via gesproken kanalen, een herkenbaar signaal van dergelijke phishingoperaties.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam TheStrain een zogenoemde PDF Exploit Builder aanbiedt op een populair cybercrimeforum. De dienst is naar verluidt bedoeld om uitvoerbare bestanden zoals EXE en JAR payloads te verstoppen in een PDF bestand, dat zich vervolgens als een gewoon document gedraagt totdat het slachtoffer het opent. De actor claimt 100 procent niet-detecteerbaarheid door antivirussoftware en geeft op dat de tool werkt op alle versies van Adobe Acrobat Reader en Foxit Reader.

De licentiestructuur kent drie varianten. Een licentie voor één maand kost 300 dollar, een driemaandelijkse licentie 500 dollar en een levenslange licentie 1.500 dollar. Volgens de promotietekst krijgt de afnemer onbeperkte builds, oftewel het aantal kwaadaardige PDF bestanden dat met de tool gegenereerd kan worden is niet aan een limiet gebonden.

Dergelijke builders maken het voor minder technisch onderlegde criminelen mogelijk om binnen enkele klikken een werkende phishing of malware bijlage te produceren. PDF bestanden gelden vaak als veilig in de perceptie van eindgebruikers, terwijl ze in werkelijkheid een populaire afleveringsvector zijn voor banking trojans, infostealers en andere schadelijke programma's. De claim 100 procent FUD, kort voor Fully UnDetectable, moet kopers overtuigen dat de gegenereerde bestanden door endpointbescherming heen glippen, hoewel dergelijke beloftes in de praktijk doorgaans tijdelijk zijn omdat antivirusleveranciers hun signatures snel bijwerken.

Voor verdedigers blijft het belangrijk om PDF bijlagen uit onbekende bronnen te wantrouwen, om sandboxing in te zetten op mailservers en endpoints, om macros en JavaScript in PDF lezers te blokkeren waar dat operationeel haalbaar is, en om gebruikers te trainen op het herkennen van afzendervervalsing. Een actuele update van Adobe Acrobat Reader of Foxit Reader sluit oude misbruikroutes en blijft een goede basismaatregel.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam convince op een populair cybercrimeforum een complete dienstverlening aanbiedt rond zogeheten Emergency Data Requests (EDR's). Met deze dienst kunnen criminelen zich voordoen als bevoegde politie of overheid en zo gebruikersdata opvragen bij grote techplatformen. Het aanbod bestrijkt het hele proces, van toegang tot mailboxen van overheids en politiediensten tot vervalste rechterlijke bevelen en de daadwerkelijke verzending van het verzoek bij Meta, Microsoft, TikTok, Snapchat, Twitch, X en domeinregistreerders.

Het assortiment dat de actor naar eigen zeggen op voorraad heeft, omvat onder andere mailaccounts van Maleisië (60 dollar), de Argentijnse politie (80 dollar), Buenos Aires (60 dollar), de Braziliaanse militaire politie (100 dollar), Pakistan (40 dollar), Vietnam (40 dollar), Bosnië en Herzegovina (50 dollar), Nigeria (30 dollar), Oost Timor (20 dollar), de Braziliaanse penitentiaire dienst (50 dollar) en de Koninklijke Thaise politie (60 dollar). Daarnaast zijn vervalste internationale rechtshulpverzoeken, dagvaardingen en gerechtelijke bevelen beschikbaar voor 100 dollar. De daadwerkelijke EDR verzending bij grote platformen begint bij 200 dollar.

Met een geslaagd verzoek kan een crimineel volgens de aanbieding informatie ontvangen als laatste IP-adres, apparaatgegevens, e-mailadres, telefoonnummer en in sommige gevallen volledige berichtenlogs en privéberichten. Bij gerechtelijk bevel zelfs verwijderde berichten. Voor 300 dollar biedt de actor ook het opheffen van weinig bekende domeinen aan.

Hoewel de aangeboden overheidsmail uit landen buiten Nederland en België komt, raakt deze handel direct gebruikers van Meta, X, Microsoft, Apple en andere platformen wereldwijd, dus ook Nederlandse en Belgische slachtoffers van stalking, huiselijk geweld of doxing kunnen via deze route ongewild getroffen worden. Voor verdedigers blijft het belangrijk om verdachte verzoeken om accountdata extra te valideren via een tweede officieel kanaal voordat data wordt vrijgegeven, en bij vermoeden van misbruik direct contact op te nemen met het betreffende platform en de eigen politie. Privégebruikers kunnen daarnaast tweefactorauthenticatie aanzetten en zoekbaarheid op telefoonnummer en mail beperken in privacy-instellingen.

Bron: Cybercrimeinfo darkweb-onderzoek

Een recent onderzoek, uitgevoerd door LayerX Security en gepubliceerd in hun 'Enterprise Browser Extension Security Report for 2026', heeft aangetoond dat tientallen browser extensies persoonlijke data verzamelen en deze doorverkopen aan derden. De bevindingen suggereren dat veel mensen browser extensies installeren zonder de implicaties van gegevensverzameling volledig te overwegen.

LayerX Security analyseerde de privacybeleid van duizenden Chrome extensies en identificeerde 82 extensies die expliciet het recht voorbehouden om gebruikersdata te verkopen. Dit betreft geen verborgen malwareprogramma's; de praktijken voor gegevensverzameling en -verkoop staan duidelijk vermeld in hun beleidsdocumenten.

Een specifieke groep van 24 media gerelateerde extensies, die deel uitmaken van het Quality Viewership Initiative (QVI), is volgens LayerX Security geïnstalleerd op ongeveer 800.000 apparaten. Het QVI wordt beschreven als een samenwerkingsverband gericht op het verbeteren van de streamingkwaliteit door hogere resoluties, zoals 1080p, af te dwingen in Chrome. De onderzoekers ontdekten echter dat deze tools de activiteit van gebruikers volgen op diverse platforms, waaronder Netflix, Hulu, Disney+ en Amazon Prime Video. De verzamelde data omvat kijkgeschiedenis, contentvoorkeuren, abonnementsstatus, gedownloade items en streaminggedrag. In bepaalde gevallen leiden de extensies ook leeftijd en geslacht af door gebruikers-e-mailadressen te matchen met demografische databases van derden, wanneer deze informatie niet direct is verstrekt.

Het rapport van LayerX Security, dat voorafgaand aan de publicatie op maandag met Hackread.com werd gedeeld, toonde verder aan dat twaalf advertentieblokkerende extensies, met een gecombineerd gebruikersbestand van meer dan 5,5 miljoen, een vergelijkbaar model volgen van het verzamelen en verkopen van browsegegevens. Bijna vijftig aanvullende Chrome extensies, met meer dan 100.000 gebruikers, monetiseren algemene webactiviteit. In totaal zijn ten minste 6,5 miljoen gebruikers getroffen door deze bevestigde gevallen van dataverkoop.

Nadere analyse wees uit dat 29 van de 82 Chrome extensies functioneren als sales intelligence tools. Deze tools kunnen interne browseactiviteit vastleggen, inclusief bezoeken aan bedrijfssystemen, SaaS-platforms en onderzoeks-workflows, en deze data doorgeven aan commerciële datasets die toegankelijk zijn voor kopers. Dit heeft tot gevolg dat de entertainmentkeuzes en online gewoonten van alledaagse gebruikers worden verkocht aan adverteerders, terwijl bedrijven risico lopen wanneer soortgelijke extensies op apparaten van werknemers terechtkomen.

Op het moment van schrijven hebben de onderzoekers 82 unieke extensies geïdentificeerd, verspreid over 94 vermeldingen in de Chrome Web Store. Hiervan zijn 75 extensies nog steeds live, terwijl slechts zeven zijn verwijderd. Het is aan te raden om de installatie van browser extensies of plug-ins die beperkte waarde bieden en gebruikersdata verzamelen, te vermijden. Gebruik bij voorkeur tools die geverifieerd zijn en vermeld staan op de officiële website van een dienst. Gebruikers met QVI-gerelateerde extensies op Chrome wordt geadviseerd deze te controleren en onnodige exemplaren te verwijderen.

Bron: LayerX Security

Een online beïnvloedingscampagne, gelinkt aan China, heeft geprobeerd de verkiezingen voor het Tibetaanse parlement in ballingschap te ondermijnen. Hoewel de campagne de afgelopen dagen actief was, lijkt deze volgens onderzoekers weinig impact te hebben gehad. De operatie, geïdentificeerd door het Digital Forensic Research Lab (DFRLab), maakt deel uit van Spamouflage, een langlopend invloedsnetwerk dat in verband wordt gebracht met Beijing.

De campagne maakte gebruik van tientallen inauthentieke sociale media-accounts die kritiek uitten op de Tibetaanse regering in ballingschap en haar leiderschap. Ondanks de inzet van steeds geavanceerdere tactieken, waaronder beelden die door kunstmatige intelligentie zijn gegenereerd, slaagde de campagne er nauwelijks in om tractie te krijgen. De berichten genereerden vrijwel geen organische betrokkenheid, aldus het rapport van DFRLab. Het netwerk probeert wiggen te drijven binnen de Tibetaanse gemeenschap.

De campagne richtte zich op de verkiezingen voor het Tibetaanse parlement in ballingschap, die afgelopen zondag plaatsvonden. Tibetanen stemden om alle 45 zetels in het orgaan te vullen. Dit parlement is onderdeel van een democratisch systeem dat wordt gerund door de Tibetaanse regering in ballingschap, gevestigd in Dharamsala, India, en vertegenwoordigt naar schatting 150.000 Tibetanen die in het buitenland wonen. De stemming voor de politieke leider was reeds in februari afgerond, toen zittend leider Penpa Tsering, een frequente criticus van Beijing en pleitbezorger voor Tibetaanse rechten internationaal, een tweede termijn veiligstelde. Het stemmen vond plaats in 27 landen, waaronder de Verenigde Staten. De officiële uitslag wordt op 13 mei verwacht.

DFRLab-onderzoekers identificeerden 90 Facebook accounts en 13 Instagram-profielen die aan de campagne van Spamouflage waren gekoppeld. De accounts verspreidden verschillende narratieven, voornamelijk persoonlijke aanvallen op Tsering, waarbij hij werd afgeschilderd als corrupt en machtsbelust. Andere berichten probeerden twijfel te zaaien over de legitimiteit van de verkiezingen zelf, door interne debatten binnen de Tibetaanse diaspora te versterken en de stemming als gemanipuleerd af te schilderen.

Spamouflage accounts versterkten deze narratieven door herhaaldelijk berichten te delen binnen het netwerk en deze in te voegen in bestaande discussies binnen Tibetaanse Facebook-groepen. De accounts probeerden ook hun bereik te vergroten door in meerdere diaspora-groepen te plaatsen. Onderzoekers ontdekten echter dat de meeste berichten weinig tot geen authentieke betrokkenheid kregen, waarschijnlijk omdat de operatie afhankelijk was van gewoon ogende Facebook-profielen met beperkt bereik in plaats van gevestigde pagina's met meer volgers.

Volgens het rapport zet deze activiteit een breder patroon voort van Spamouflage-campagnes die zich online richten op Tibetaanse organisaties. In 2025 verspreidde het netwerk beschuldigingen van corruptie tegen het International Tibet Network, een wereldwijde coalitie van Tibet-gerelateerde niet-gouvernementele organisaties. Enkele van dezelfde accounts hadden deelgenomen aan eerdere campagnes die teruggaan tot 2022. Het netwerk hergebruikt vaak dezelfde accounts om narratieven te promoten die gericht zijn op andere landen. Onderzoekers ontdekten dat sommige profielen recentelijk overgingen op inhoud over de Filipijnen, terwijl Spamouflage-campagnes zich ook hebben gericht op de Verenigde Staten, de Taiwanese verkiezingen van 2024 en de Japanse politiek. Hoewel de operatie een toenemende technische verfijning vertoont, met name door het gebruik van met behulp van AI gegenereerde beelden, blijft deze grotendeels ineffectief in het beïnvloeden van de Tibetaanse gemeenschappen die het probeert te bereiken, aldus de onderzoekers.

Bron: DFRLab | Bron 2: asianews.it

Een aanvaller heeft een kwaadaardige versie van het populaire Python Package Index (PyPI)-pakket 'elementary-data' verspreid om gevoelige ontwikkelaarsgegevens en cryptocurrency-wallets te stelen. De gevaarlijke release, versie 0.23.3, verspreidde zich ook naar de Docker-image van het project, omdat de workflow van het pakket de image genereert vanuit de code en deze uploadt naar een containerregister voor implementatie.

Communitylid crisperik ontdekte de kwaadaardige upload en opende hierover een melding op de GitHub-pagina van het project, waardoor de beheerder snel op de hoogte werd gesteld en de blootstellingsperiode beperkt bleef. Kort daarna werd een schone vervangende versie, 'elementary-data 0.23.4', beschikbaar gesteld. Gebruikers die echter de kwaadaardige variant hadden gedownload, bleven gecompromitteerd.

Het 'elementary-data' pakket is een open-source tool voor data-observatie voor dbt (Data Build Tool), voornamelijk gebruikt door data-engineers en analyse-engineers die werken met datapijplijnen. Het is een veelgebruikte tool binnen het dbt-ecosysteem, met meer dan 1,1 miljoen maandelijkse downloads op PyPI.

Uit een analyse van het incident, gepubliceerd door StepSecurity-onderzoekers, blijkt dat de aanvaller een kwetsbaarheid in de workflow van het project heeft misbruikt. Dit is een minder gebruikelijke methode dan het compromitteren van beheerdersaccounts voor malafide updates. De aanvaller plaatste een kwaadaardige opmerking bij een pull-request, waarbij een kwetsbaarheid in de GitHub Actions scriptinjectie werd uitgebuit. Dit zorgde ervoor dat de workflow shellcode uitvoerde die door de aanvaller werd beheerd.

Door deze actie werd de `GITHUB_TOKEN` van de workflow blootgesteld. Deze token werd vervolgens gebruikt om een ondertekende commit en tag (v0.23.3) te vervalsen en de legitieme releasepijplijn van het project te activeren. De pijplijn bouwde en publiceerde het besmette pakket naar PyPI en een kwaadaardige image naar GitHub Container Registry, waardoor het leek alsof het een officiële release was.

De kwaadaardige release op PyPI bevatte het bestand `elementary.pth`, dat automatisch bij het opstarten werd uitgevoerd om een secrets stealer te laden. Deze stealer was gericht op het verzamelen van de volgende soorten gegevens: SSH-sleutels, Git-referenties, cloud-referenties (AWS, GCP, Azure), Kubernetes-geheimen, Docker-geheimen en CI-geheimen, .env-bestanden en ontwikkelaarstokens, crypto-wallet-bestanden (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple) en systeeminformatie (/etc/passwd, logs, shellgeschiedenis).

De onderzoekers van StepSecurity gaven aan dat dezelfde payload het Docker-image van het project bereikte, omdat de "Release package workflow die uploadt naar PyPI ook een build-and-push-docker-image job heeft." Volgens StepSecurity trokken systemen die geen vastgepinde versies gebruikten automatisch de besmette build binnen. Gebruikers die de kwaadaardige release, `elementary-data==0.23.3`, en de images met de tags `ghcr.io/elementary-data/elementary:0.23.3` en `:latest` hebben gedownload, wordt geadviseerd alle geheimen te roteren en hun omgevingen te herstellen vanaf een bekend veilig punt.

Bron: StepSecurity | Bron 2: github.com | Bron 3: pypistats.org

De dreiging van deepfake stemaanvallen neemt exponentieel toe, waarbij de verdedigingsmechanismen van veel organisaties achterblijven. Onderzoek van Marshall Bennett, onderzoeker bij Adaptive Security, toont aan dat deze aanvallen steeds geavanceerder en makkelijker uit te voeren zijn, met aanzienlijke financiële gevolgen.

Een sprekend voorbeeld vond plaats in maart 2025, toen een financieel directeur van een multinationale onderneming in Singapore een ogenschijnlijk routineuze Zoom-vergadering bijwoonde. De CFO en andere leidinggevenden verschenen op het scherm en klonken authentiek. Hierdoor werd een overboeking van $499.000 geautoriseerd voordat de fraude aan het licht kwam; alle gezichten in de oproep waren door AI gegenereerd. Een vergelijkbare aanvalsmethode werd begin 2024 gebruikt om $25,6 miljoen te stelen van Arup, een van 's werelds grootste ingenieursbureaus.

De middelen voor deze aanvallen zijn laagdrempelig en goedkoop. Het klonen van iemands stem vereist slechts drie seconden aan audio, afkomstig van bijvoorbeeld een voicemail, een podcast of een LinkedIn-video. Een huidig AI model kan hiermee een volledig interactieve stemreplica in realtime genereren. Deze modellen werken offline, vereisen geen technische achtergrond en zijn kosteloos te downloaden. Ze draaien op standaard consumentenhardware.

Het aantal incidenten met deepfake stemmen steeg in 2025 met 680% op jaarbasis, waarbij in de Verenigde Staten meer dan 100.000 aanvallen werden geregistreerd in één jaar. De tools zijn beschikbaar op openbare repositories en kennen geen moderatie. De effectiviteit van deze aanvallen ligt in de voorbereiding: aanvallers brengen de organisatiestructuur in kaart, identificeren personen met financiële bevoegdheid en bestuderen de standaard goedkeuringsworkflows voor overboekingen. Tegen de tijd dat het contact wordt gelegd, is het script al geschreven.

Huidige beveiligingssystemen zijn primair ontworpen om technische bedreigingen te detecteren en te blokkeren, niet om directe menselijke interacties zoals telefoongesprekken, videovergaderingen en mondelinge verzoeken te inspecteren. Dit maakt medewerkers, met name in financiële rollen zoals controllers, specialisten op de crediteurenafdeling en HR-coördinatoren, kwetsbaar. Ook IT-helpdesks worden benaderd met urgente verzoeken om wachtwoorden opnieuw in te stellen, geleverd met een stem die exact overeenkomt met die van de CTO. De aanvalsoppervlakte strekt zich zelfs uit tot wervingsprocessen, waarbij door AI gegenereerde persona's, gebouwd uit gestolen LinkedIn-profielen, video-interviews doorstaan om toegang te krijgen tot interne systemen, broncode en bedrijfsgegevens.

De financiële impact van dit probleem neemt snel toe. Alleen al in de eerste vier maanden van 2025 bedroegen de verliezen door deepfake fraude meer dan $200 miljoen, vergeleken met $359 miljoen in heel 2024. Wereldwijd is de gedocumenteerde deepfake fraude opgelopen tot meer dan $2,19 miljard, met het grootste deel in de Verenigde Staten. Van de organisaties die geld verloren aan een deepfake aanval, rapporteerde 61% verliezen boven de $100.000, en bijna 19% boven de $500.000. Deze cijfers vertegenwoordigen slechts de gerapporteerde verliezen; het daadwerkelijke totaal ligt waarschijnlijk veel hoger. Voor een succesvolle aanval zijn slechts drie elementen nodig: een naam, een audiofragment van drie seconden en een medewerker zonder verificatieprotocol.

Om deze aanvallen te stoppen, is het cruciaal om medewerkers te trainen om te verifiëren voordat zij actie ondernemen, ongeacht hoe bekend of urgent een verzoek klinkt. Drie kosteloze controles kunnen worden geïmplementeerd: een mondelinge toegangscode voor financiële verzoeken met hoge waarde, een terugbelvereiste naar een vooraf opgeslagen nummer voordat een bankoverschrijving wordt goedgekeurd, en een beleid dat urgentie in een financieel verzoek een reden is om de procedure te vertragen. Momenteel ontbreken deze maatregelen bij de meeste organisaties. Een incident in juli 2025 illustreerde de politieke implicaties, toen een aanvaller een door AI gegenereerde stem gebruikte om staatssecretaris Marco Rubio te imiteren en spraakberichten via Signal verstuurde naar buitenlandse ministers en een zittende senator.

Bron: Adaptive Security

Een nieuwe campagne met de Vidar-malware, die zich richt op het stelen van inloggegevens, is begin 2026 uitgegroeid tot een van de meest actieve bedreigingen voor bedrijfsmedewerkers wereldwijd. Aanvallers maken gebruik van misleidende YouTube-video's die valse software-downloads aanbieden. Wanneer werknemers deze software installeren, leidt dit tot grootschalige diefstal van inloggegevens, browserdata en informatie uit cryptovaluta-wallets. De omvang en gerichte aard van deze campagne hebben de aandacht getrokken van beveiligingsonderzoekers.

De opkomst van Vidar is een direct gevolg van internationale wetshandhavingsoperaties in 2025, die de infrastructuur van de populaire infostealers Lumma en Rhadamanthys ontmantelden. Hierdoor ontstond een vacuüm, dat de operators van Vidar benutten door in oktober 2025 versie 2.0 van hun malware uit te brengen. Deze nieuwe versie beschikt over verbeterde mogelijkheden en geavanceerdere ontwijkingstechnieken. Sindsdien is Vidar consequent de meest gebruikte stealer op de Russian Market, gemeten naar het aantal gestolen logs dat maandelijks wordt geüpload.

Analisten van Intrinsec hebben de volledige aanvalsketen (kill-chain) geïdentificeerd tijdens een onderzoek naar een Vidar-compromis bij een van hun cliënten. De aanval begon met een YouTube-video die een nepsoftware-tool genaamd NeoHub promootte. Het slachtoffer volgde een link naar het bestand, werd omgeleid via een file-sharing site, en downloadde uiteindelijk een kwaadaardig archief van Mediafire. Het gehele proces leek op een reguliere software-installatie.

De impact van Vidar reikt verder dan individuele gecompromitteerde werknemers. De malware is in gebruik genomen door een breed scala aan dreigingsactoren, variërend van opportunistische individuen tot georganiseerde groepen zoals Scattered Spider. CISA heeft Vidar zelfs genoemd in een beveiligingsadvies als een van de tools die door deze groep worden gebruikt. De gestolen gegevens worden vervolgens verkocht op de Russian Market, wat een aanzienlijk risico vormt voor bedrijfsnetwerken en interne accounts. Vidar richt zich op browsers zoals Chrome, Firefox, Edge, Opera, Vivaldi, Waterfox en Palemoon, waarbij het wachtwoorden, cookies, creditcardgegevens en bestanden van cryptovaluta-wallets verzamelt.

Het infectiemechanisme van deze campagne is zorgvuldig ontworpen om argwaan te vermijden. Na het downloaden van het archief van Mediafire, krijgt het slachtoffer wat lijkt op een standaard softwarepakket. Het meest zichtbare bestand is NeoHub.exe, dat eruitziet als een normale installer. In werkelijkheid laadt dit uitvoerbare bestand een tweede bestand, msedge_elf.dll, dat de daadwerkelijke Vidar-payload bevat. Beide bestanden werken samen om de infectie stilzwijgend te starten. Het msedge_elf.dll-bestand is gebouwd om een legitieme Microsoft Edge-browsercomponent na te bootsen, waardoor het moeilijker te detecteren is bij een snelle controle. Om de geloofwaardigheid verder te vergroten, is het bestand ondertekend met een vals code-signing certificaat. Een eerdere versie imiteerde GitHub onder de naam "githab.com", terwijl een latere versie grow.com imiteerde. Beide certificaten waren gekoppeld aan meerdere andere kwaadaardige bestanden, wat wijst op een gedeelde dreigingsactor of een externe dienst die valse handtekeningen genereert.

De kwaadaardige DLL is gepackt met een GO-gebaseerde packer, met ongebruikelijke sectienamen en "control flow flattening". Deze methode verstoort opzettelijk de natuurlijke structuur van de code, wat de analyse door beveiligingstools en -analisten aanzienlijk bemoeilijkt. Eenmaal actief op de machine van het slachtoffer, gebruikt Vidar een "Dead Drop Resolver" om zijn command-and-control (C2)-server te lokaliseren. In plaats van een hardgecodeerd C2-adres te gebruiken, verbergt de malware de werkelijke serverlocatie in openbare Steam-profielen en Telegram-kanalen. Dit stelt aanvallers in staat om snel van infrastructuur te wisselen zonder de malware zelf te hoeven updaten.

Organisaties wordt geadviseerd om werknemers te trainen in het vermijden van software-downloads via links in YouTube-video's of onbekende file-sharing websites. Multi-factor authenticatie (MFA) dient te worden ingeschakeld voor alle aan browsers gekoppelde accounts om het risico van diefstal van inloggegevens te verlagen. Beveiligingsteams moeten kwaadaardige domeinen en IP-adressen blokkeren met behulp van gepubliceerde indicators of compromise (IoC's), en netwerkmonitoring instellen om ongebruikelijke uitgaande verbindingen naar onbekende C2-servers te detecteren. Secure Web Gateways en DNS-filtering kunnen kwaadaardige omleidingen stoppen voordat ze gebruikers bereiken. Het sandboxing van gedownloade bestanden vóór uitvoering voegt een cruciale verdedigingslaag toe.

Bron: Intrinsec

Een recent ontdekte malwarecampagne richt zich op overheidsmedewerkers in Pakistan, waarbij zorgvuldig opgestelde spear-phishing e-mails worden gebruikt. Deze e-mails combineren obfuscatie en gefaseerde payload levering om detectie door beveiligingstools te omzeilen. De aanval was gericht op personeel van de Punjab Safe Cities Authority (PSCA) en PPIC3. De dreigingsactor deed zich voor als een interne consultant en verwees naar een overheidsproject genaamd het "Safe Jail Project", een tactiek die steeds vaker wordt ingezet om geloofwaardigheid te winnen.

De campagne levert twee kwaadaardige bijlagen via dezelfde e-mail. De eerste is een Word document met de naam "CAD Reprot.doc", waarbij de opzettelijke spelfout "Reprot" vaak voorkomt in bestanden die door dreigingsactoren zijn gemaakt. De tweede bijlage is een PDF bestand genaamd "ANPR Reprot.pdf", dat een nep Adobe Reader fout toont om gebruikers te verleiden een schadelijk bestand te downloaden. Beide bijlagen halen payloads op van dezelfde infrastructuur die wordt gehost op BunnyCDN, een legitiem content delivery netwerk, wat het verkeer moeilijker maakt voor beveiligingstools om te markeren.

JoeReverser analysts identificeerden de volledige omvang van deze campagne na een grondige sandbox analyse. Het Word document kreeg een perfecte score van 100 uit 100 voor kwaadaardig gedrag. Met een betrouwbaarheidsniveau van 95% bevestigden de analisten dat de campagne was ontworpen om persistente externe toegang op gecompromitteerde machines te vestigen. Detectiesignalen van Suricata, Sigma, YARA, ReversingLabs (op 52%), en VirusTotal (op 56%) ondersteunden allemaal dezelfde conclusie, waardoor er geen redelijke twijfel bestond over de intentie van de aanval.

Wat deze campagne bijzonder zorgwekkend maakt, is het gebruik van Microsofts legitieme VS Code tunnel service als een verborgen command and control kanaal. Zodra de payload `code.exe` in de tijdelijke map van het slachtoffer wordt geplaatst en uitgevoerd, leidt het verkeer via de eigen infrastructuur van Microsoft. Hierdoor lijkt de verbinding op routine developer activiteit. De dreigingsactor gebruikte ook Discord webhooks om directe meldingen te ontvangen wanneer een systeem was gecompromitteerd, een onopvallende methode die de meeste netwerk monitoring tools omzeilt. De aanval behaalde een perfecte kwaadaardige beoordeling in alle sandbox tests, en er werd geen bekende malwarefamilie match gevonden in Malpedia, wat bevestigt dat dit een op maat gemaakte toolset is voor een specifiek doelwit. Joe Sandbox bevestigde de volledige keten via Web ID's 1903908, 1903907 en 1903906, die elk een ander deel van de aanval, van de e-mail tot de uiteindelijke PDF, dekken.

Het meest technisch significante aspect van deze campagne is de manier waarop de aanvaller elke leveringsstap heeft ontworpen om onopgemerkt door beveiligingsmaatregelen te komen. Het Word document maakt gebruik van een techniek genaamd VBA stomping, waarbij de zichtbare macro source code volledig wordt verwijderd en alleen de gecompileerde p-code achterblijft. De meeste antivirus tools die macro inhoud in Word documenten controleren, scannen het leesbare gedeelte en vinden dan niets, waardoor de verborgen logica kan draaien zonder een waarschuwing te activeren. Zodra het slachtoffer op "Inhoud inschakelen" klikt op het vervaagde document, activeert de DownloadAndExfil functie van de macro stilzwijgend op de achtergrond. Het gebruikt een COM-gebaseerd HTTP object om `code.exe` op te halen van het domein `adobe-pdfreader.b-cdn.net` en schrijft het via ADODB.Stream naar de tijdelijke map van het systeem.

De PDF volgt een parallel pad, waarbij het klikken op de nep "Update PDF Reader" knop een automatische download start van een ongesigneerd .NET ClickOnce manifest dat Adobe software imiteert. Beide paden voeden vanuit dezelfde infrastructuur, waardoor de aanvaller twee onafhankelijke kansen heeft om het doelwit te compromitteren. Beveiligingsteams wordt geadviseerd om elk document dat gebruikers vraagt macro's in te schakelen of software updates te installeren, te behandelen als een potentiële dreiging, vooral wanneer het afkomstig is van onbekende afzenders. Praktische stappen die kunnen helpen bij het vroegtijdig detecteren of stoppen van soortgelijke aanvallen omvatten het blokkeren van CDN domeinen die niet zijn gekoppeld aan goedgekeurde services, het monitoren van ongebruikelijke VS Code tunnel activiteit op bedrijfseindpunten en het markeren van Discord webhook verbindingen van niet browser applicaties.

Bron: JoeReverser

De relatief nieuwe hackinggroep UNC6692 is verantwoordelijk voor een recente campagne gericht op gegevensdiefstal. Deze groep maakt gebruik van social engineering en een op maat gemaakt modulair toolset, genaamd het SNOW ecosysteem, om bedrijfsnetwerken te infiltreren. Onderzoek door Mandiant, onderdeel van de Google Threat Intelligence Group (GTIG), wijst uit dat deze campagne eind december 2025 van start ging.

De aanvalsketen begint met een e-mailbombardement, waarbij de inbox van het doelwit wordt overspoeld met duizenden berichten. Terwijl het slachtoffer wordt afgeleid door deze chaos, sturen de hackers een bericht via Microsoft Teams. Hierin doen zij zich voor als IT helpdeskmedewerkers en bieden zij een link aan naar een patch die de spam zou moeten stoppen.

Deze link is echter een valstrik en leidt naar een pagina die is ontworpen om inloggegevens te stelen. De pagina bootst een 'Mailbox Repair Utility' na. Om er zeker van te zijn dat zij het juiste wachtwoord bemachtigen, wordt een psychologische truc toegepast: de eerste twee inlogpogingen worden afgewezen. Uiteindelijk, wanneer het slachtoffer interactie heeft met de website, wordt ongemerkt een AutoHotkey binary en script gedownload, wat de infectieketen formeel initieert.

Het onderzoek toont aan dat UNC6692 een modulaire suite van kwaadaardige tools gebruikt om deze aanval onopgemerkt uit te voeren. Het eerste onderdeel is SNOWBELT, een kwaadaardige browserextensie die dient als primaire toegangspoort en commando's van de hackers doorgeeft. Voor een blijvende communicatieverbinding wordt SNOWGLAZE ingezet, een op Python gebaseerde tunneler die een verborgen connectie opzet naar de servers van de aanvallers.

Het laatste instrument in deze suite is de SNOWBASIN backdoor. Deze stelt aanvallers in staat om remote command execution (RCE) uit te voeren via PowerShell of cmd.exe. Hiermee kunnen systeemcommando's worden uitgevoerd, schermafbeeldingen van apparaten worden gemaakt en gestolen bestanden worden voorbereid. Vervolgens starten de aanvallers een interne verkenning om andere verbonden computers en servers te identificeren.

Met behulp van Python scripts scannen de aanvallers het netwerk op poorten 135, 445 en 3389. Deze poorten worden voornamelijk gebruikt voor het delen van bestanden en externe toegang, wat direct leidt tot de volgende fase: het aanvallen van de hoofdservers die alle wachtwoorden beheren.

Naar verluidt richtte UNC6692 zich op het LSASS (Local Security Authority Subsystem Service) procesgeheugen op back-upservers om meer inloggegevens te stelen. Zoals de onderzoekers uitlegden, "handhaaft het lsass.exe proces het beveiligingsbeleid en bevat het gebruikersnamen, wachtwoorden en hashes voor accounts die toegang hebben gehad tot het systeem."

Door de Pass The Hash techniek te gebruiken, waarbij authenticatie plaatsvindt via NTLM in plaats van het accountwachtwoord, voerden zij laterale bewegingen uit en bereikten zij de Domain Controllers. Dit zijn servers die de gebruikersidentiteiten van een bedrijf beheren, waardoor de aanvallers volledige controle konden verkrijgen.

Met een ander hulpmiddel, genaamd FTK Imager, konden zij lokale schijven koppelen en de Active Directory database, bekend als NTDS.dit, extraheren, samen met registerhives zoals SAM, SYSTEM en SECURITY. Ten slotte werd LimeWire gebruikt om deze gegevens te exfiltreren.

De onderzoekers concludeerden dat deze campagne "een interessante evolutie in tactieken" benadrukt, door legitieme clouddiensten te misbruiken om op te gaan in normaal kantoorverkeer. Vroege detectie is de enige verdediging tegen dergelijke aanvallen. Het vermogen om diverse gebeurtenissen te correleren over de browser, lokale Python omgevingen en cloudegressiepunten zal cruciaal zijn voor vroege detectie, nu dreigingsactoren deze modulaire, cross-platform methodologieën verder professionaliseren.

Bron: Mandiant/Google Threat Intelligence

Buitenlandse inlichtingendiensten zijn in staat om met relatief weinig moeite achterdeuren te creëren in systemen, zonder dat zij direct grote technologiebedrijven zoals Google hoeven te compromitteren. Dit blijkt uit een recente dreigingsanalyse. De aanpak richt zich op het uitbuiten van de zwakste schakels binnen een 'beneficiary list' of de bredere leveranciersketen.

De strategie van deze inlichtingendiensten omvat het infiltreren via indirecte methoden. Zij kunnen bijvoorbeeld een failliete startup overnemen, een gecompromitteerde contractpartij misbruiken, of een goedgekeurde entiteit stilletjes verwerven die vervolgens onder controle van een vijandige staat komt. Door deze zwakke punten te exploiteren, verkrijgen de aanvallers toegang tot netwerken en data van grotere, beter beveiligde organisaties die afhankelijk zijn van deze kleinere, minder robuuste partners.

Deze methode stelt de inlichtingendiensten in staat om ongemerkt toegang te krijgen tot gevoelige informatie en systemen. De focus ligt hierbij op het identificeren van organisaties met minder strenge beveiligingsprotocollen of financiële stabiliteit, die daardoor kwetsbaarder zijn voor overname of infiltratie. Dit onderstreept het belang van een grondige screening van alle partners en leveranciers in de digitale keten, ongeacht hun omvang, om dergelijke geavanceerde en persistente dreigingen tegen te gaan.

Bron: Int. Cyber Digest

Nieuw onderzoek van het Lat61 Threat Intelligence Team van Point Wild onthult dat cybercriminelen kwaadaardige code verbergen in alledaagse bestanden zoals JPEG afbeeldingen en tekst documenten om een nieuwe versie van de beruchte Vidar infostealer te verspreiden. De Vidar infostealer heeft naar verluidt een grote transformatie ondergaan, waarbij het is geëvolueerd van een eenvoudige wachtwoordsteler naar een zeer aanpasbaar aanvalsframework met een infectieketen in meerdere fases.

Onderzoekers merken op dat oplichters nu minder geïnteresseerd zijn in het vinden van technische kwetsbaarheden en meer in social engineering. Ze exploiteren met name een recent lek in de broncode, genaamd Claude Code, door neppe repositories op GitHub op te zetten om ontwikkelaars te verleiden een kwaadaardig bestand te downloaden, denkende dat het de gratis of ontgrendelde versie van de tool is. Hackers gebruiken ook Reddit en Discord om neppe video game cheats aan te bieden en misbruiken WordPress websites om neppe CAPTCHA meldingen (genaamd ClickFix pagina's) weer te geven. Deze meldingen moedigen gebruikers aan om een specifiek commando uit te voeren ter verificatie dat zij mens zijn, wat in werkelijkheid een infectieketen in meerdere fases activeert. Het onderzoek van Lat61 richt zich op deze infectieketen, die begint met VBScript en PowerShell scripts die leiden tot de implementatie van een met Go gecompileerde loader.

Wat de 2026 versie van de Vidar infostealer gevaarlijker maakt, is de heimelijkheid. Wanneer een apparaat geïnfecteerd raakt, gebruikt de malware een op IP gebaseerde leveringsinfrastructuur om bestanden zoals '160066.jpg' en diverse TXT bestanden te downloaden vanaf het adres 62.60.226.200. Deze normaal ogende afbeeldingen en tekstbestanden zijn in feite payload containers die Base64 gecodeerde data insluiten.

Bovendien maakt de malware nu gebruik van Living-off-the-Land (LotL) technieken, waarbij vertrouwde Windows binaire bestanden zoals WScript, PowerShell en RegAsm.exe worden misbruikt om op te gaan in normale systeem processen. Via steganografie scant de malware deze bestanden op geheime markers om Base64 gecodeerde data te extraheren. In plaats van een afzonderlijk virusbestand te downloaden, reconstrueert het de uiteindelijke Vidar payload uit deze verborgen data. Door middel van .NET reflective loading wordt de code direct in het geheugen van de computer uitgevoerd. Deze methode zonder bestanden is bijzonder gevaarlijk omdat de kwaadaardige code nooit op de harde schijf wordt opgeslagen, waardoor detectie door de meeste beveiligingsscanners wordt vermeden.

Het uiteindelijke doel is data exfiltratie. Deze versie kan data stelen van meer dan 200 browser extensies op Google Chrome en Microsoft Edge, en richt zich specifiek op crypto wallets, login gegevens en sessie data om hackers toegang te geven tot privé accounts. De gestolen data wordt teruggestuurd naar de server van de aanvallers via Telegram en via Cloudflare gefaciliteerde domeinen, wat hen helpt hun sporen te verbergen. Dr. Zulfikar Ramzan, hoofd van het Lat61 Threat Intelligence Team, legde uit dat het gebruik van afbeeldingsbestanden als "verborgen dragers" een slimme zet is om de aanval op normale web traffic te laten lijken. Hij benadrukte dat de dreigingsactoren het recente Claude Code lek hebben bewapend door neppe GitHub repositories te zaaien met getrojaniseerde tools die de Vidar infostealer leverden.

Voor ontwikkelaars of aankomende ontwikkelaars wordt geadviseerd om geen commando's uit te voeren zonder de impact ervan te begrijpen, en geen bestanden te downloaden van onofficiële GitHub pagina's of verdachte pop-up meldingen.

Bron: Point Wild

Het online handelsplatform Robinhood is misbruikt door cybercriminelen om phishingberichten te injecteren in legitieme e-mails, door een kwetsbaarheid in het aanmaakproces van accounts. Deze aanval misleidde gebruikers door hen te doen geloven dat er verdachte activiteit op hun account plaatsvond. Vanaf de avond van 27 april 2026 ontvingen Robinhood klanten e-mails met de titel "Your recent login to Robinhood", waarin stond dat een "Unrecognized Device Linked to Your Account" was gedetecteerd, met ongebruikelijke IP-adressen en gedeeltelijke telefoonnummers. De phishingmail spoorde ontvangers aan om hun accountactiviteit onmiddellijk te controleren.

Wat deze e-mails bijzonder overtuigend maakte, was dat ze afkomstig waren van het legitieme Robinhood e-mailadres noreply@robinhood.com en de SPF en DKIM e-mailbeveiligingscontroles doorstonden. De e-mails bevatten een knop met de tekst "Review Activity Now", die leidde naar een phishingwebsite op robinhood[.]casevaultreview[.]com. Deze website is inmiddels offline, maar screenshots op Reddit suggereren dat deze waarschijnlijk bedoeld was om Robinhood inloggegevens te stelen.

De aanvallers konden deze phishingmails genereren door een kwetsbaarheid in het onboardingproces van Robinhood uit te buiten. Deze kwetsbaarheid stelde hen in staat willekeurige HTML-code te injecteren in de accountbevestigingse-mails van het bedrijf. Bij het registreren van een nieuw Robinhood account stuurt het bedrijf automatisch een "Your recent login to Robinhood"-e-mail naar het bijbehorende adres, met daarin de registratietijd, IP-adres, apparaatinformatie en geschatte locatie.

Om het phishingbericht te injecteren, wijzigden de dreigingsactoren hun metadata van het apparaat om ingebedde HTML op te nemen, die Robinhood niet correct opschoonde. Deze HTML werd vervolgens geïnjecteerd in het 'Device:'-veld van de e-mail voor accountcreatie, waardoor het werd weergegeven als een nepbericht over een "Unrecognized Device Linked to Your Account".

De aanvallers hebben waarschijnlijk lijsten met bekende klant-e-mailadressen uit eerdere datalekken gebruikt om Robinhood-klanten te targeten. In november 2021 leed Robinhood een datalek waarbij 7 miljoen klanten werden getroffen, waarvan de gegevens later te koop werden aangeboden op een hackersforum. De aanvallers maakten ook gebruik van Gmail's dot aliasing-gedrag, waarbij het toevoegen van punten aan een adres de bestemming niet verandert, waardoor ze accounts konden registreren met variaties van echte e-mailadressen en de berichten toch bij de beoogde ontvangers terechtkwamen.

Robinhood heeft het incident bevestigd via een verklaring op X, waarin het bedrijf aangaf dat het een phishingpoging betrof die mogelijk was gemaakt door misbruik van de accountcreatiestroom. Het bedrijf benadrukte dat er geen sprake was van een inbreuk op hun systemen of klantaccounts, en dat persoonlijke informatie en financiële middelen niet waren aangetast. Robinhood heeft de kwetsbaarheid inmiddels verholpen door het misbruikte 'Device:'-veld uit hun accountcreatie-e-mails te verwijderen en adviseert gebruikers die de bewuste e-mail hebben ontvangen om deze te verwijderen en geen links aan te klikken.

Bron: Robinhood

Cybercrimeinfo ontdekte op het darkweb signalen van een vermeende nieuwe ransomware-variant onder de naam Dominus27. Een delingspost met indicatoren van compromis is opgedoken op een cybercrimeforum en op een publieke X-tip, en wordt op het moment van publicatie nog niet bevestigd door gevestigde threat intelligence-bronnen zoals BleepingComputer, MalwareBazaar of ID-Ransomware. De variant verdient niettemin aandacht omdat de gepubliceerde indicatoren en het werkpatroon overeenkomen met andere afpersingsfamilies die actief zijn binnen Europa.

De gedeelde indicatoren omvatten een md5-hash van het kwaadaardige bestand met waarde 44b00a98918e058650aeaacc741d10e5, een bestandsextensie .dominus27 die wordt toegevoegd aan versleutelde bestanden, en een ransom note in HTML-vorm met de naam RANSOM_NOTE.html. De aanvallers gebruiken twee outlook-mailadressen voor contact, namelijk stevensfalls@outlook.com en richardfeuell@outlook.com. Voor onderhandeling is daarnaast een onion-adres beschikbaar, namelijk 723pt5dc2plfexrfvudhdhzvesgesqbcl4yivijjubptnogukxxv3hqd.onion, dat een support-chat aanbiedt waarop slachtoffers met een uniek Recovery ID hun zaak kunnen openen.

In de gedeelde tekst van de ransom note benadrukken de aanvallers een afpersingsmodel waarbij naast versleuteling ook gevoelige data wordt buitgemaakt. Volgens hun eigen formulering zouden de gestolen gegevens publiek of via tussenhandelaren worden verspreid bij niet-betalen, terwijl de aanvallers stellen dat hun doel niet is om de reputatie van het slachtoffer te schaden. Slachtoffers worden naar eigen zeggen in staat gesteld om twee tot drie onbelangrijke bestanden gratis te laten ontsleutelen ter demonstratie. De note dreigt expliciet met een hogere losprijs als het slachtoffer niet binnen 72 uur reageert, en suggereert dat het aanmaken van een gratis Protonmail account de eenvoudigste manier is om in contact te treden.

Dergelijke ransom note-elementen zijn niet uniek voor Dominus27. Veel hedendaagse afpersingsfamilies hanteren een vergelijkbare combinatie van onderhandelingschat, mailcontact, beperkte gratis ontsleuteling en oplopende prijs onder tijdsdruk. Wel valt op dat de groep naast een onion-portaal teruggrijpt op publieke outlook-mailadressen, wat eerder past bij kleine of opportunistische operatoren dan bij gevestigde ransomware-as-a-service-platforms.

Voor securityteams en MSP's in Nederland en Belgie is het verstandig de hierboven genoemde indicatoren toe te voegen aan endpointdetectieregels, mailfilters en proxy-blokkeringen. Detectie op de bestandsextensie .dominus27, op uitgaande connecties naar het genoemde onion-adres en op uitgaande mailverkeer naar de twee outlook-adressen kan vroege signalen geven van een infectie. Verder blijft de basishygiëne onverminderd belangrijk, namelijk getest offsite back-up beleid, multifactor-authenticatie op administrator-accounts, segmentatie tussen werkstations en serverparken, en monitoring van ongebruikelijke uitvoering van scripts of versleutelingsactiviteit op fileshares. Cybercrimeinfo zal de claim verder volgen en aanvullen zodra mainstream threat intelligence-bronnen de variant onafhankelijk bevestigen of weerleggen.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een cybercrimeforum dat een dreigingsactor onder de naam ric007 een handel aanbiedt in toegang tot accounts van verschillende grote mailproviders en cloudmailingdiensten. De aangeboden accounts zijn naar eigen zeggen klaar voor gebruik en bevatten volledige inloggegevens. De prijzen starten bij honderdvijftig dollar per account en lopen tot zevenhonderd dollar voor een AWS SES-account met een verzendlimiet van vijftigduizend mails. Betalingen worden uitsluitend in cryptovaluta geaccepteerd, waaronder Bitcoin, USDT, Ethereum en Litecoin.

Het aanbod betreft een breed scala aan mailproviders die door legitieme bedrijven wereldwijd worden ingezet voor transactionele mail, marketing en bulkcommunicatie. Voor de combinatie SendGrid, Mailgun en SparkPost vraagt ric007 honderdvijftig dollar voor een account met een verzendlimiet van vijftigduizend mails, en tweehonderdtwintig dollar voor honderdduizend mails. Dezelfde prijsstructuur geldt voor SMTP2GO, Elastic Email en SMTP.com. Voor Brevo, dat door veel kleinere ondernemingen in Europa wordt gebruikt voor nieuwsbrieven en transactionele berichten, ligt de prijs op honderdtachtig dollar voor veertigduizend mails en tweehonderdtwintig dollar voor honderdduizend mails. Postmark accounts kosten tweehonderd tot tweehonderdvijftig dollar, en een AWS SES-account met een limiet van vijftigduizend mails wordt aangeboden voor zevenhonderd dollar.

Volgens de listing levert de actor de accounts pas na betaling en verstrekt hij geen vervangende account als het gekochte account wordt geblokkeerd vanwege de verzonden inhoud of een te hoog percentage onbestelbare berichten. De voorwaarden van de actor verbieden het wijzigen van het wachtwoord of de beveiligingsinstellingen na aankoop, omdat dit volgens de aanbieder de garantie ongeldig maakt. Voor pre-orders hanteert ric007 een aanbetaling van vijftig procent met restitutie van vijftig procent bij annulering.

De handel in dergelijke gestolen of gehackte mailprovider-accounts is een bekend probleem dat al jaren bijdraagt aan de schaal en effectiviteit van phishingcampagnes. Een crimineel die toegang heeft tot een legitiem mailprovider-account kan namelijk verzenden vanaf een gevestigd domein met geldige SPF-, DKIM- en DMARC-records. Daardoor passeren berichten doorgaans de strengere mailfilters van Microsoft 365, Google Workspace en zakelijke gateways, en bereiken zij hun doelwit met een veel hogere kans dan phishing vanaf wegwerpdomeinen. Eerdere onderzoeken van diverse threat intelligence-bedrijven hebben bevestigd dat misbruik van legitieme mail-infrastructuur een belangrijke factor is bij CEO-fraude, factuurfraude en credential-phishingaanvallen op zakelijke organisaties.

Voor mailproviders en hun klanten is het van belang accountcompromittering vroegtijdig te detecteren. Praktische maatregelen zijn het verplicht inschakelen van multifactor-authenticatie op accounts met verzendrechten, het beperken van API-sleutels tot specifieke IP-bereiken, het instellen van afwijkingsalerts op verzendvolume en op verzending naar onbekende ontvangers, en periodieke controle op nieuwe of gewijzigde sender-identiteiten binnen een account. Eindgebruikers in Nederland en Belgie wordt aangeraden alert te blijven op phishing die afkomstig lijkt van bekende mailing-domeinen, vooral wanneer een bericht onverwacht actie vraagt zoals het wijzigen van bankgegevens, het bevestigen van een levering of het inloggen op een portaal.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een cybercrimeforum dat een dreigingsactor onder de naam Snow versie 2.0 van een eigen toolkit aanbiedt voor verkenning van Active Directory-omgevingen en validatie van VPN- en LDAP-toegangen. De toolkit wordt gepresenteerd als een centraal aanvalsplatform met een webpanel voor taakbeheer en analyse, en met afzonderlijke worker-instances die via Incus en Java worden uitgerold op gehuurde servers. De prijs begint bij duizend dollar en loopt tot vijftienhonderd dollar voor een volledige versie met broncode. Eerdere kopers krijgen volgens de actor een gratis upgrade naar versie 2.0 zonder broncode van het paneel.

Het Active Directory-onderdeel van de toolkit ondersteunt vier verschillende dump-modi. In Minidump-modus worden gebruikers, beheerders, domeincontrollers, domeintrusts, een inventaris van servers en werkstations en algemene besturingssysteem-informatie verzameld. Fulldump voegt daar de groepsstructuren, organisatie-eenheden en subnetkaarten aan toe, terwijl Fastdump beperkt blijft tot een snelle inventarisatie van gebruikers, computers, huidige groeplidmaatschappen en de IP-adressen van domeincontrollers. Een aparte Share Enum-modus scant SMB-shares en verifieert lees- en schrijfrechten. De VPN Checker-component valideert toegang tegen VPN- en LDAP-diensten van onder meer Cisco, WatchGuard en Fortinet, en start na een succesvolle verbinding automatisch het verzamelen van gegevens.

Voor de operationele kant biedt het Orchestrator-paneel volgens Snow gecentraliseerde taakplanning, livestatus per server, schaalbaarheid en rotatie over meerdere VPS-aanbieders, een statistiekendashboard met geldige treffers en gevonden domeincontrollers, en een filterbare zoekfunctie over alle dumps. Een één-klik exportfunctie zou alle verzamelde logbestanden in één archief opleveren. De Auto-Deploy-functie zou een gehuurde server volautomatisch voorbereiden door Incus en Java te installeren en SSH-toegang te configureren. Opvallend is de ingebouwde geografische blokkering, waarbij de toolkit weigert te werken tegen doelen in Rusland, Belarus en andere GOS-landen, evenals Georgie, Oekraine en China. Dit type uitsluiting is een bekend patroon bij Russischtalige cybercrime-platforms en suggereert dat de aanbieder zich richt op slachtoffers in Westerse landen, waaronder potentieel Nederland en Belgie.

Toolkits van dit type worden in de praktijk gebruikt door zogenoemde initial access brokers en ransomware-affiliates die snelle inventarisatie van bedrijfsnetwerken willen uitvoeren na een initiele compromittering. Een geslaagde Active Directory-dump levert een aanvaller in korte tijd een volledig overzicht van privileges, beheerders, vertrouwensrelaties tussen domeinen en gevoelige fileshares. In combinatie met geldige VPN-toegangen, doorgaans verkregen uit eerder gestolen referenties, infostealer-logs of phishing, kan een operatie binnen enkele uren van initiele toegang naar laterale beweging en data-exfiltratie escaleren. Cisco, WatchGuard en Fortinet-VPN's worden door veel Nederlandse en Belgische organisaties gebruikt voor toegang op afstand, wat het commerciële profiel van deze toolkit ook in deze regio relevant maakt.

Voor verdedigers is monitoring op afwijkende LDAP- en SMB-activiteit een effectieve eerste verdedigingslaag. Concrete maatregelen zijn het beperken van LDAP-queries naar bekende beheerders, het detecteren van een ongebruikelijk hoog aantal authenticatiepogingen tegen een domeincontroller binnen een kort tijdvenster, het registreren van SMB-share-enumeratie en het alarmeren op verdachte combinaties zoals een fileshare-scan vanaf een werkstation dat normaal geen beheerstaken uitvoert. Voor de VPN-laag blijven multifactor-authenticatie op alle externe toegangsoplossingen, kortlevende sessietokens, geo- en risicogebaseerde toegangsregels en monitoring op succesvolle inlogpogingen vanaf onbekende of bulkservices essentieel om grootschalige misbruik te beperken.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een cybercrimeforum dat een dreigingsactor onder de naam unico een volledige productie-backup aanbiedt van een niet bij naam genoemd crypto B2B-affiliatebedrijf. Volgens de aanbieder bevat de leak ongeveer 73,4 miljoen individuele records, verdeeld over 46 afzonderlijke productdatabases, en heeft de dataset een omvang van zesentwintig gigabyte. De vraagprijs is dertigduizend dollar voor verkoop in meerdere kopieen, of vijftigduizend dollar als de buyer exclusieve toegang wenst.

In de gedeelde inhoudslijst geeft unico een gedetailleerd overzicht van de producten die in de leak zouden zitten. Het grootste onderdeel betreft z1labs cypher, een blockchain-testnet met ongeveer 45,5 miljoen records over tokenoverdrachten, contract deployments en zogeheten faucet claims. Daarnaast zou de dataset een crypto-platform met gebruikers- en puntensystemen bevatten onder de naam photonchain, met 9,9 miljoen records. Verder noemt de actor stabilio backend, dat zou functioneren als een DeFi-poolanalyse met ongeveer 8,9 miljoen records van prijzen, opbrengsten en liquiditeit, en nftb io, een NFT-marktplaats met circa 3,7 miljoen records inclusief items, gebruikers, vesting-data en afbeeldingsbestanden. Verdere onderdelen zijn een crypto-app-platform robox to met campagnes, waitlists en beta testers, een crypto-georienteerde social feed eba met ongeveer 377.000 records, een Web3 auction-platform nexus auction, en staking- en vesting-diensten onder de naam Seraphnet. Daarnaast zouden tientallen kleinere AI agent-projecten in de dataset zitten, onder meer hypaw ai, rivens ai, zalen ai, testra ai, synthas ai, taiagent, lylo ai, clearpill en yodalabs io. Een aparte categorie binnen de dataset zou bestaan uit interne ontwikkel- en testkopieen van de meeste van deze producten.

De persoonlijke gegevens in de dataset zouden volgens unico bestaan uit ongeveer 119.273 unieke persoonlijke e-mailadressen, met in totaal bijna driehonderdtachtigduizend voorkomens verspreid over negentig tabellen. De mailadressen zijn gekoppeld aan crypto-walletadressen, referral- en uitnodigingsketens, puntensaldi en beloningsclaims, aanmeldingsdata en aan IP-adressen gekoppelde activiteitslogs, beta- en whitelist-lidmaatschappen, supportberichten verstuurd aan het team en sociale media-gegevens van gebruikers. Verder zouden veertien beheerdersaccounts zijn meegelekt met bijbehorende wachtwoordhashes in zowel SCRAM-SHA-1 als SCRAM-SHA-256-formaat. Hashes in deze formaten zijn ontwikkeld om wachtwoorden te beschermen, maar bij een offline aanval blijven zwakke of veelgebruikte wachtwoorden alsnog kraakbaar. Beheerderswachtwoorden van een centrale partij in een keten van crypto-producten vormen daarmee een serieus risico op verdere compromittering van afgeleide systemen.

De combinatie van crypto-walletadressen, persoonlijke e-mailadressen, IP-adressen en deelnamegegevens aan beta- en airdrop-programma's maakt dit type leak bijzonder bruikbaar voor cybercriminelen. Crypto-gebruikers worden hierdoor doelwit voor zogenoemde wallet drainer-phishing, waarbij slachtoffers via gepersonaliseerde berichten worden verleid om een fraude-transactie te ondertekenen die hun wallet leeghaalt. Andere risico's zijn gerichte SIM-aanvallen met swap, social engineering richting community managers, en doxing van gebruikers die in de dataset zijn gekoppeld aan een echte naam of werkgever. Voor de getroffen bedrijven binnen het affiliate-netwerk vormt de leak ook een commercieel risico, omdat referral-structuren, conversiecijfers en interne tabellen mogelijk worden blootgesteld aan concurrenten.

Voor crypto-gebruikers in Nederland en Belgie die actief zijn op DeFi-platforms, NFT-markten of token-launchpads is het verstandig om bestaande wachtwoorden van crypto-gerelateerde accounts te wijzigen, multifactor-authenticatie te activeren waar mogelijk, en geen onverwachte berichten meer te vertrouwen die naar inloggen of het ondertekenen van een transactie verwijzen. Het apart bewaren van mailadressen voor crypto-platforms tegenover dagelijks gebruikte mailadressen blijft daarnaast een effectieve manier om het risico van gerichte campagnes na een leak te beperken. Cybercrimeinfo zal de claim verder volgen om vast te stellen om welk affiliate-bedrijf het gaat zodra publieke verificatie beschikbaar komt.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een cybercrimeforum dat een dreigingsactor onder de naam unico een commerciele exploit-toolkit aanbiedt voor de kritieke kwetsbaarheid in React Server Components, beter bekend als React2Shell of CVE-2025-55182. De aanbieder vraagt zevenhonderdvijftig dollar voor de toolkit zonder updates en duizend dollar voor de versie met doorlopende updates. Cybercrimeinfo berichtte eerder over actief misbruik van deze kwetsbaarheid door dreigingsgroepen, maar de verkoop van een kant-en-klare toolkit verlaagt de drempel voor minder geavanceerde aanvallers en kan leiden tot een nieuwe golf van inbraken op nog niet gepatchte systemen.

CVE-2025-55182 betreft een onveilige deserialisatie in het Flight-protocol van React Server Components en raakt React 19.x in combinatie met Next.js 15.x tot en met 16.x bij gebruik van de App Router. De kwetsbaarheid heeft een CVSS-score van 10.0, de maximale ernst, en maakt ongeauthenticeerde uitvoering van willekeurige code mogelijk op kwetsbare web-servers. De fout werd op 3 december 2025 publiek gemaakt, en al binnen enkele dagen werden actieve exploitatiepogingen waargenomen, onder meer met inzet van miners, backdoors zoals HISONIC en COMPOOD, en malware voor tunneling als MINOCAT. Mainstream onderzoek door onder andere Google Cloud, Microsoft, AWS, Cloudflare, JFrog en Rapid7 bevestigt dat duizenden installaties wereldwijd nog kwetsbaar zijn.

De toolkit van unico bestaat volgens de listing uit vier samenwerkende scripts. Het eerste onderdeel scant het internet op kwetsbare React2Shell-installaties en zou geschikt zijn voor massaal scannen. Het tweede onderdeel produceert een zogenoemde pseudo-shell op een succesvol uitgebuit doel, waarmee een aanvaller handmatige verkenning en commando-uitvoering kan toepassen. Het derde script automatiseert de exfiltratie van gevoelige bestanden en omgevingsvariabelen, waaronder dotenv-bestanden, API-sleutels en andere referenties. Het vierde script dumpt automatisch databases vanuit gecompromitteerde servers. De aanbieder benadrukt dat de toolkit specifiek is gericht op het verzamelen van industrie-relevante gegevens, zoals API-sleutels, SMTP-credentials en betaalsleutels van diensten zoals Stripe, en op het permanent infecteren van x86 webservers.

Voor verdedigers in Nederland en Belgie blijft de prioriteit de updateketen rond React Server Components zo snel mogelijk afsluiten. Bij gebruik van React 19 in combinatie met Next.js dienen organisaties te controleren of hun installatie de gepatchte versie draait die door React en Next.js sinds december 2025 is uitgebracht, zowel voor zelf-gehoste implementaties als voor builds die via geautomatiseerde pipelines worden uitgerold. Daarnaast is monitoring van uitgaande connecties vanuit web-applicatieprocessen, beperking van schrijfrechten op dotenv-bestanden, rotatie van potentieel blootgestelde API-sleutels en SMTP-credentials, en alerting op onverwachte database-dumps of grote uitgaande dataoverdrachten essentieel om snelle exfiltratie te detecteren. Web Application Firewalls met regels gericht op afwijkende RSC Flight-payloads kunnen een aanvullende verdedigingslaag vormen totdat alle systemen volledig gepatcht zijn.

De combinatie van een kritieke kwetsbaarheid met maximale CVSS-score, een nog onvolledige patchgraad in productie-omgevingen en de commerciele beschikbaarheid van een exploit-toolkit is een gevaarlijke mix. Beheerders die binnen hun organisatie nog niet hebben geverifieerd of React- of Next.js-toepassingen aanwezig zijn, doen er goed aan dit met spoed in kaart te brengen. Cybercrimeinfo zal verdere ontwikkelingen rond CVE-2025-55182 en gerelateerde commerciele exploit-toolkits blijven volgen.

Bron: Cybercrimeinfo darkweb-onderzoek

Onderzoekers van het Forcepoint X-Labs team hebben recentelijk een geavanceerde phishingcampagne ontdekt die gericht is op het stelen van inloggegevens van gebruikers. De campagne valt op door het gebruik van de merknaam DHL en een complexe, elfstaps aanvalsketen om slachtoffers te misleiden en hun wachtwoorden te ontfutselen.

De aanval begint met een vervalste e-mail die afkomstig lijkt te zijn van DHL Express. De onderwerpregel luidt "DHL EXPRESS WAYBILL CONFIRMATION REQUIRED" en vraagt de ontvanger om een vrachtbrief of zending te bevestigen. Een duidelijk teken van de fraude is dat de weergavenaam weliswaar "DHL EXPRESS" is, maar het afzenderdomein `cupelva.com` betreft. Dit domein heeft echter de DKIM-authenticatie van de aanvaller doorstaan, waardoor de e-mail bepaalde beveiligingsfilters kan omzeilen.

Nadat het slachtoffer op de link in de e-mail klikt, wordt deze doorgestuurd naar een valse "parcel OTP"-pagina op het domein `perfectgoc.com`. Deze pagina toont een nep-verificatiestap met een zescijferig nummer dat lokaal door JavaScript wordt gegenereerd. De onderzoekers benadrukken dat dit geen echte beveiligingscontrole is, aangezien er geen SMS of e-mail wordt verzonden. In plaats daarvan wordt de gebruiker gevraagd het getoonde nummer in te voeren, wat een vals gevoel van vertrouwen creëert. De pagina bevat ook een vertraging van twee seconden om een realistische gegevensverwerking te simuleren.

Forcepoint-onderzoekers lichtten toe dat de campagne zich richt op individuen in plaats van specifieke organisaties en geen geografische concentratie vertoont. De OTP-mechaniek is bijzonder, omdat het een vertrouwenswekkende laag is zonder echte authenticatie erachter, puur ontworpen om de argwaan van het slachtoffer te verlagen voordat de daadwerkelijke diefstal begint.

De oplichters maken gebruik van URL-gebaseerde identiteitsinjectie om het e-mailadres van het slachtoffer van de initiële e-mail naar de uiteindelijke inlogpagina te transporteren. Deze stap zorgt ervoor dat de valse DHL-inlogportal al is voorgevuld met het e-mailadres van de gebruiker, wat de legitimiteit van de pagina verder verhoogt. Op dit punt wordt het wachtwoord van de gebruiker gestolen.

Vervolgens verzamelt de phishingkit telemetriegegevens van het apparaat, waaronder het publieke IP-adres, het type apparaat, het besturingssysteem en de browserversie. Ook wordt de stad en het land van de gebruiker bepaald via een geolocatiescan. Al deze gegevens worden lokaal in de browser opgeslagen voordat ze van het apparaat worden overgebracht.

Volgens het onderzoek van X-Labs wordt voor het verplaatsen van de gestolen gegevens een legitieme dienst genaamd EmailJS ingezet. Deze tool stelt de phishingkit in staat om e-mails rechtstreeks vanuit de browser naar de aanvallers te versturen, waardoor hackers minder behoefte hebben aan het onderhouden van complexe eigen servers. De onderzoekers observeerden dat de gestolen gegevens naar een specifieke mailbox werden verzonden, namelijk `dhlsupport.express@proton.me`.

Nadat de aanval is voltooid, leidt de kit het slachtoffer om naar de daadwerkelijke DHL-website. Dit voorkomt dat slachtoffers argwaan krijgen, omdat ze bij het zien van de echte site mogelijk aannemen dat hun inlog succesvol was. De onderzoekers merkten op dat deze lichtgewicht kit effectief is vanwege de focus op gebruikersvertrouwen in plaats van complexe malware. Bescherming tegen deze dreiging omvat het blokkeren van de misbruikte URL's en alert zijn op de specifieke mailbox die in de campagne wordt gebruikt.

Bron: Forcepoint

Videodienst Vimeo heeft bevestigd dat data van een deel van zijn klanten en gebruikers zonder autorisatie is benaderd. Dit volgt op een recent datalek bij het bedrijf Anodot, gespecialiseerd in de detectie van data-anomalieën. Vimeo stelt dat de ongeautoriseerde actor e-mailadressen van sommige klanten heeft ingezien, maar dat het grootste deel van de blootgestelde informatie technische data, video titels en metadata betrof.

Vimeo heeft in een verklaring aangegeven: "We hebben vastgesteld dat, als gevolg van het datalek bij Anodot, een ongeautoriseerde actor toegang heeft verkregen tot bepaalde gebruikers- en klantdata van Vimeo. Onze eerste bevindingen suggereren dat de benaderde databases voornamelijk technische data, video titels en metadata bevatten, en in sommige gevallen e-mailadressen van klanten."

Het datalek bij Vimeo werd opgeëist door de beruchte afpersingsgroep ShinyHunters. Deze groep dreigde de gestolen data uiterlijk 30 april te publiceren, tenzij Vimeo losgeld zou betalen. Vimeo is een platform voor videohosting en -streaming, dat wereldwijd door meer dan 300 miljoen geregistreerde gebruikers wordt gebruikt voor het uploaden, hosten en delen van video’s van hoge kwaliteit. Het bedrijf heeft ruim 1.100 medewerkers en een jaarlijkse omzet van 417 miljoen dollar.

ShinyHunters plaatste Vimeo op hun afpersingsportaal, met de bewering data te hebben van de Snowflake- en BigQuery-instanties van het bedrijf. Naast de dreiging om de data te lekken, waarschuwde de actor het bedrijf ook voor "diverse vervelende digitale problemen".

Het Anodot-incident omvatte het stelen van authenticatie tokens, die vervolgens werden gebruikt om toegang te krijgen tot klantomgevingen, voornamelijk Snowflake, en data te exfiltreren van meerdere organisaties. Deze activiteit is gekoppeld aan de ShinyHunters afpersingsgroep, die nu probeert te profiteren van het datalek door middel van afpersing en het dreigen met het lekken van gestolen data van diverse getroffen partijen. Een van de andere slachtoffers was game-ontwikkelstudio Rockstar Games, waarbij ShinyHunters beweerde meer dan 78,6 miljoen records te hebben gestolen. In het geval van Vimeo is de exacte omvang van de gestolen data echter onduidelijk, aangezien de actor geen specifiek aantal heeft vermeld.

Vimeo heeft gespecificeerd dat de blootgestelde data geen video content omvat die gebruikers op het platform hebben geüpload, accountgegevens of betalingskaart informatie. Bovendien bleven de operationele activiteiten van het platform onaangetast. Het bedrijf heeft inmiddels alle Anodot-gegevens uitgeschakeld en de integratie van de dienst met zijn systemen verwijderd. Vimeo onderzoekt het incident momenteel met de hulp van externe beveiligingsexperts en heeft ook de wetshandhavingsinstanties op de hoogte gesteld. Het bedrijf heeft beloofd updates te verstrekken als het onderzoek belangrijke nieuwe informatie over het incident aan het licht brengt.

Bron: Vimeo | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

Een geavanceerde, geheugenresidente phishingcampagne genaamd BlobPhish, die sinds oktober 2024 actief is, misbruikt de Blob URL API's van browsers om ongemerkt inloggegevens te stelen van gebruikers van Microsoft 365, grote Amerikaanse banken en financiële platforms. Deze methode maakt de aanval vrijwel onzichtbaar voor traditionele beveiligingstools.

BlobPhish is een aanhoudende operatie voor het stelen van inloggegevens die de manier waarop phishingwebpagina's aan slachtoffers worden geleverd, fundamenteel verandert. In plaats van nep-inlogpagina's te hosten op door aanvallers gecontroleerde servers en deze via standaard HTTP te leveren, genereert BlobPhish phishingwebpagina's volledig binnen de browser van het slachtoffer met behulp van JavaScript Blob objecten. Dit resulteert in een phishingpayload die alleen in het geheugen bestaat, zonder bestanden op de schijf, geen cache-artefacten en geen verdachte HTTP-verzoeken in proxylogs die door beveiligingstools kunnen worden gedetecteerd.

De campagne werd voor het eerst waargenomen in oktober 2024 en is al meer dan 18 maanden ononderbroken actief, met een aanzienlijke piek in activiteit in februari 2026. Dit bevestigt dat het een volwassen en goed onderhouden dreigingsoperatie is, en geen kortstondige opportunistische aanval.

De aanvalsketen van BlobPhish is elegant ontworpen om zowel netwerkgebaseerde als bestandsgebaseerde verdedigingsmechanismen te omzeilen. De initiële toegang begint vaak met een phishingmail die een financiële waarschuwing, factuur of documentdeling imiteert, met daarin een link naar een betrouwbaar ogende dienst zoals DocSend of een verkorte URL via t.co. Ook zijn PDF-bijlagen met QR-codes waargenomen die leiden naar kwaadaardige JavaScript-pagina's, met name in campagnes gericht op de energiesector.

Na het klikken op de link wordt het slachtoffer omgeleid naar een door de aanvaller gecontroleerde HTML-pagina die een JavaScript loader host. Deze loader gebruikt jQuery om onzichtbaar een verborgen anker-element te creëren, decodeert vervolgens een gebundelde phishingpayload met Base64 via `atob()`, construeert een Blob object van het type `text/html`, genereert een `blob:https://` URL via `window.URL.createObjectURL()`, en dwingt de browser om hiernaartoe te navigeren – dit alles zonder zichtbare gebruikersinteractie. Onmiddellijk na de navigatie roept de loader `window.URL.revokeObjectURL()` aan en verwijdert het anker-element uit het DOM, waardoor alle resterende sporen van de loader uit het geheugen worden gewist.

Het slachtoffer krijgt vervolgens een overtuigende replica te zien van een inlogpagina van Microsoft 365, Chase, Capital One of een andere financiële dienst. De adresbalk van de browser toont een `blob:https://` URL, wat voor een ongetraind oog legitiem kan lijken. Een teller voor mislukte aanmeldingen dwingt slachtoffers om inloggegevens meerdere keren opnieuw in te voeren, wat de nauwkeurigheid van de oogst maximaliseert. De verzamelde gegevens worden via HTTP POST geëxfiltreerd naar door aanvallers gecontroleerde eindpunten die overeenkomen met het patroon `*/res.php`, `*/tele.php` of `*/panel.php`, die voornamelijk worden gehost op gecompromitteerde legitieme WordPress sites.

BlobPhish imiteert een breed scala aan waardevolle platforms, waaronder Microsoft 365, OneDrive, SharePoint, Chase, Capital One, FDIC, E*TRADE, Charles Schwab, Morgan Stanley/Merrill Lynch, American Express, PayPal en Intuit. Hoewel financiële en cloud-productiviteitslokmiddelen domineren, omvatten de getroffen organisaties sectoren zoals Financiën, Productie, Onderwijs, Overheid, Transport en Telecommunicatie. Geografisch gezien bevindt ongeveer een derde van de waargenomen slachtoffers zich in de Verenigde Staten, met aanvullende activiteit geregistreerd in Duitsland, Polen, Spanje, Zwitserland, het Verenigd Koninkrijk, Australië, Zuid-Korea, Saoedi-Arabië, Qatar, Jordanië, India en Pakistan.

Het `blob:https://` schema is de kerninnovatie van deze campagne. Omdat de phishingpagina nooit via het netwerk als een afzonderlijke HTTP-respons wordt verzonden, kunnen URL-reputatiemotoren deze niet blokkeren, proxylogs geen verdachte verzoeken voor de phishingpagina zelf tonen, Secure Email Gateways (SEG's) de payload missen die pas na levering materialiseert, bestandsgebaseerde endpoint oplossingen niets vinden omdat er geen bestand naar de schijf wordt geschreven, en cache-forensics leeg terugkeren omdat de Blob URL wordt ingetrokken voordat onderzoekers deze kunnen inspecteren.

Een enkele succesvolle BlobPhish-compromis kan escaleren tot Business Email Compromise (BEC) fraude, volledige overname van de Microsoft 365 tenant, ongeautoriseerde bankoverschrijvingen, manipulatie van beleggingsrekeningen en de inzet van ransomware na laterale beweging. Regulerende gevolgen, waaronder de 72-uurs meldingsplicht voor datalekken onder de AVG, de SEC-vereisten voor openbaarmaking van cyberincidenten en de FFIEC-richtlijnen voor authenticatie, voegen aanzienlijke juridische risico's toe naast de operationele schade.

Belangrijke Indicators of Compromise (IOC's) omvatten de gecompromitteerde domeinen `larva888[.]com`, `riobeautybrazil[.]com`, `i-seotools[.]com` en `mts-egy[.]net`. Beveiligingsteams wordt aangeraden om sandbox-analyse in te zetten die JavaScript in echte browsers kan uitvoeren om blob-gebaseerde payloads veilig te detoneren voordat ze eindgebruikers bereiken. Daarnaast is proactief jagen essentieel met behulp van de BlobPhishLoaderHTML YARA-regel en URL pivot queries (`url:"/res.php$"`, `url:"*/blob.html$"`) in dreigingsinformatieplatforms. Het afdwingen van MFA die bestand is tegen phishing (FIDO2/hardware keys) op alle Microsoft 365 en bankportals kan de impact na een compromis beperken. Integratie van live feeds van dreigingsinformatie die BlobPhish IOC's automatisch in firewalls, proxies en SIEM-regels pushen, is cruciaal nu de infrastructuur van aanvallers snel roteert. Tot slot is training van werknemers om onverwachte `blob:https://` URL's in de adresbalk van de browser te herkennen als een waarschuwingssignaal van groot belang. BlobPhish toont aan dat de phishingdreiging de perimeter- en statische handtekeninggebaseerde verdediging heeft ingehaald. Effectieve bescherming vereist nu dynamische gedragsanalyse, continue dreigingsjacht en geautomatiseerde verspreiding van informatie die opereert met de snelheid van de rotatie van de aanvallersinfrastructuur.

Bron: URL

Applicatiebeveiligingsbedrijf Checkmarx heeft bevestigd dat de dreigingsgroep LAPSUS$ data heeft gelekt die is gestolen uit de private GitHub-repository van het bedrijf. Hoewel het onderzoek nog loopt, vermoedt Checkmarx dat de toegang is verkregen via de Trivy supply chain aanval, die wordt toegeschreven aan de hackersgroep TeamPCP. Deze aanval verschafte toegang tot inloggegevens van downstream gebruikers.

Met behulp van de gestolen inloggegevens, verkregen tijdens het Trivy-incident, kon de dreigingsactor de GitHub-repositories van Checkmarx benaderen en op 23 maart kwaadaardige code publiceren. Checkmarx licht toe dat de aanvallers als gevolg van deze toegang konden interacteren met de GitHub-omgeving van Checkmarx en vervolgens kwaadaardige code publiceerden naar bepaalde artefacten.

Op 22 april, hetzij door hernieuwde toegang of door maandenlange persistentie, publiceerde de aanvaller kwaadaardige Docker-images, VSCode- en Open VSX-extensies voor Checkmarx’s KICS beveiligingsscanner. Deze kwaadaardige componenten waren ontworpen om inloggegevens, sleutels, tokens en configuratiebestanden te stelen.

In een update van gisteren heeft het bedrijf bevestigd dat de data die de LAPSUS$-groep op hun afpersingsportal publiceerde, toebehoorde aan Checkmarx en afkomstig was van de compromittering op 23 maart 2026. "Ons onderzoek, uitgevoerd met ondersteuning van een vooraanstaand extern forensisch bedrijf, wijst uit dat een cybercriminele groep data gerelateerd aan Checkmarx heeft gepubliceerd op het darkweb," zo luidt de update. "Op basis van het huidige bewijs, geloven we dat deze data afkomstig is van de GitHub-repository van Checkmarx, en dat de toegang tot die repository werd gefaciliteerd door de initiële supply chain aanval van 23 maart 2026."

Hoewel Checkmarx en andere media meldden dat deze data op het darkweb werd gelekt, heeft Cybercrimeinfo ontdekt dat LAPSUS$ het 96GB grote datapakket ook beschikbaar heeft gemaakt via clearnet portals. Checkmarx heeft verzekerd dat de gelekte data geen klantinformatie bevat, aangezien deze niet in de GitHub-repository van het bedrijf wordt opgeslagen. Er is een forensisch onderzoek gaande om het exacte type blootgestelde data te bepalen. Het bedrijf stelt dat, indien er klantinformatie wordt gevonden in de gelekte data, getroffen individuen onmiddellijk zullen worden geïnformeerd. De toegang tot de getroffen GitHub-repository is geblokkeerd totdat het onderzoek is afgerond. Checkmarx verwacht binnen 24 uur meer details te kunnen delen.

Bron: Checkmarx | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

Tientallen extensies voor Visual Studio Code die beschikbaar waren op de Open VSX marktplaats, bleken malware te bevatten. Dit is gemeld door securitybedrijf Socket. Open VSX fungeert als een open-source alternatief voor de officiële Visual Studio Code Marketplace en biedt extensies voor zowel Visual Studio Code als Theia, twee veelgebruikte integrated development environments (IDE's) onder softwareontwikkelaars.

De door Socket geïdentificeerde malafide extensies waren ontworpen om legitieme en populaire uitbreidingen na te bootsen, wat het voor ontwikkelaars moeilijk maakte om het verschil te zien. Ze waren uitgerust met een loader die in staat was om aanvullende malware te downloaden en uit te voeren. Het primaire doel van deze malware was het stelen van inloggegevens en andere gevoelige data van de systemen van getroffen ontwikkelaars. Dit omvat potentiële toegang tot broncode repositories, private keys en andere cruciale informatie die nodig is voor softwareontwikkeling. De beheerders van Open VSX hebben inmiddels actie ondernomen en de betreffende extensies verwijderd van hun platform. Het exacte aantal gebruikers dat deze schadelijke extensies heeft gedownload, is echter nog onbekend, wat de potentiële impact van deze aanval onzeker maakt.

De aanwezigheid van de kwaadaardige extensies op Open VSX werd voor het eerst waargenomen in april. Volgens de analyse van Socket is het waarschijnlijk dat de aanvallers een tactiek hebben toegepast waarbij de extensies aanvankelijk zonder malware werden gepubliceerd. Dit zou zijn gedaan om vertrouwen op te bouwen binnen de ontwikkelaarsgemeenschap en om detectie door beveiligingsscans te omzeilen. Nadat een zekere mate van acceptatie was bereikt, werden de extensies vervolgens geüpdatet en voorzien van de schadelijke code. Deze methode van "supply chain" aanval via legitiem ogende softwarecomponenten is een groeiende dreiging in de softwareontwikkeling.

De malware die in deze extensies is aangetroffen, staat bekend onder de naam GlassWorm. Deze specifieke malware is ontworpen om inloggegevens te bemachtigen voor diverse ontwikkeltools en platforms, waaronder NPM (Node Package Manager), GitHub en Git. Het stelen van deze credentials kan aanvallers directe toegang geven tot projecten, codebases en zelfs de mogelijkheid om verdere malafide code te injecteren in projecten van slachtoffers. Bovendien heeft GlassWorm de functionaliteit om VNC-servers op de geïnfecteerde systemen te installeren. Dit stelt de aanvallers in staat om op afstand persistente toegang tot de systemen van de slachtoffers te behouden, wat verdere kwaadaardige activiteiten mogelijk maakt, zoals het exfiltreren van meer data of het lanceren van verdere aanvallen vanuit de gecompromitteerde omgeving.

Bron: Socket | Bron 2: koi.ai

De drempel voor cybercriminelen om aanvallen uit te voeren is tot een ongekend laag niveau gedaald, zo blijkt uit de recente "Year in Review" van Cisco Talos. Tools met AI maken het mogelijk om binnen enkele minuten malafide websites op te zetten die data naar externe opslaglocaties sturen en alerts genereren bij nieuwe datavangsten, dit alles zonder code. Ook het ontwikkelen van proof-of-concept code voor het misbruiken van nieuwe kwetsbaarheden, wat voorheen maanden duurde, kan nu in slechts enkele uren. Deze snelle ontwikkelingen vormen een aanzienlijke uitdaging voor cyberverdedigers.

Volgens Talos moeten verdedigers zich richten op wat ze zelf kunnen beheersen en beïnvloeden, en prioriteit geven aan acties die direct impact hebben. Een cruciaal inzicht is dat aanvallers, ondanks hun snelheid, zich niet gedragen als normale gebruikers. Het opsporen van afwijkend gedrag, ongeacht of dit door machines of mensen wordt gegenereerd, blijft de kern van effectieve verdediging.

Cisco Talos heeft vijf belangrijke prioriteiten voor verdedigers geïdentificeerd om kwaadaardig en ongebruikelijk gedrag in hun omgeving te herkennen:

1.  **Identiteit is het belangrijkste slagveld:** Aanvallers maken frequent gebruik van geldige accounts en misbruik van inloggegevens gedurende de gehele aanvalsketen. Dit omvat MFA-sprayaanvallen gericht op Identity and Access Management (IAM) platforms, een toename van 178% in aanvallen op gecompromitteerde apparaten, en het registreren van eigen apparaten als vertrouwde multi-factor authenticatie (MFA) methoden. Ransomware-aanvalsketens zijn ook sterk afhankelijk van geldige accounts of tools die inloggegevens gebruiken. Netwerkinfrastructuur, zoals VPN's, Active Directory Controllers (ADC's) en firewalls, wordt misbruikt om sessietokens te stelen, MFA te omzeilen en gebruikers te imiteren. Eenmaal succesvol geauthenticeerd, wijkt het gedrag van aanvallers af van normale gebruikers, bijvoorbeeld door toegang te zoeken tot systemen buiten hun rol, lateraal te bewegen met tools als PsExec, en commando's op ongebruikelijke tijdstippen uit te voeren. Het is daarom essentieel om identiteitsinfrastructuur te behandelen als Tier 1 kritieke assets, de sterkste monitoring- en beschermingscontroles toe te passen op IAM- en PAM-systemen, MFA-apparaatregistratieworkflows te beveiligen, authenticatiesystemen te verharden tegen geautomatiseerde aanvallen en detecties op te bouwen rondom gebruikersgedrag.

2.  **Prioriteer kwetsbaarheden met de grootste blootstelling:** Aanvallers selecteren hun doelwitten zorgvuldig. Snelle exploitatie van kwetsbaarheden zoals React2Shell en ToolShell toont aan dat misbruik direct na openbaarmaking kan beginnen met direct beschikbare proof-of-concepts. Aanvallers richten zich vervolgens op wat extern is blootgesteld en bereikbaar is, met een voorkeur voor kwetsbaarheden die dicht bij identiteit, sessiebeheer en toegangslogica liggen. Tegelijkertijd blijven oudere kwetsbaarheden zoals Log4Shell, meer dan vier jaar na openbaarmaking, tot de meest misbruikte behoren. Dit creëert een situatie waarin nieuwe kwetsbaarheden direct worden bewapend, terwijl waardevolle, oudere kwetsbaarheden nooit volledig worden geëlimineerd. Verdedigers moeten kwetsbaarheden verhelpen op basis van internetblootstelling en impact op toegang, niet alleen op CVSS-scores. Ook is het verkorten van de tijd tot patchen voor extern toegankelijke systemen en het continu opnieuw beoordelen van externe bereikbaarheid cruciaal.

3.  **Pak het langdurige risico van verouderde en ingebedde systemen aan:** De "Year in Review" benadrukt dat bijna 40% van de top 100 meest getargete kwetsbaarheden betrekking heeft op end-of-life (EOL) systemen, en 32% ouder is dan tien jaar. Veel van deze kwetsbaarheden bevinden zich in diep ingebedde componenten zoals PHP-frameworks, Log4j en ColdFusion. Deze componenten zijn vaak slecht geïnventariseerd, moeilijk te patchen en nauw gekoppeld aan bedrijfskritische systemen. Dit resulteert in hardnekkige risico's die vaak het minst zichtbaar en het moeilijkst te verwijderen zijn, waardoor blinde vlekken op lange termijn ontstaan die aanvallers graag exploiteren. Prioriteiten zijn het verbeteren van de zichtbaarheid van softwareafhankelijkheden en ingebedde componenten, het behandelen van ontwikkelingsframeworks en bibliotheken als onderdeel van het aanvalsoppervlak, en het opzetten van duidelijke strategieën voor het isoleren of uitfaseren van verouderde systemen.

4.  **Beveilig de systemen die vertrouwen bemiddelen:** Aanvallers richten zich steeds vaker op systemen die maximale operationele hefboomwerking bieden. Dit omvat netwerkbeheerplatforms, application delivery controllers (ADC's) en gedeelde softwareplatforms die op meerdere apparaten draaien. Deze systemen zijn aantrekkelijk voor tegenstanders omdat ze inloggegevens opslaan, configuraties controleren in grote omgevingen, inzicht bieden in het netwerk en wijzigingen op schaal mogelijk maken. Helaas worden deze platforms traditioneel minder gemonitord dan endpoints.

Bron: Cisco Talos | Bron 3: storage.ghost.io

Een recent dreigingsalert wijst op zorgwekkend gedrag van het 'French Response' account, dat oorspronkelijk werd gelanceerd om desinformatie te bestrijden. Het account wordt nu bekritiseerd omdat het burgers bespot die de eigen gepubliceerde documenten van de Europese Commissie lezen. Dit gedrag komt voort uit een "terechte bezorgdheid" over een voorstel van de Europese Commissie dat, naar verluidt, miljoenen Europeanen in gevaar brengt.

De kern van de kritiek richt zich op de ironische draai die het 'French Response' account heeft genomen. In plaats van de strijd aan te gaan met misinformatie, lijkt het nu publiekelijk spot te drijven met burgers die zich informeren via officiële bronnen van de Europese Commissie. Dit ondermijnt de primaire functie van het account en creëert verwarring over de betrouwbaarheid van informatiebronnen.

Hoewel de specifieke inhoud van het voorstel van de Europese Commissie en de aard van de risico's niet nader zijn gespecificeerd in het alert, benadrukt de melding de potentiële impact op "miljoenen Europeanen". Het gedrag van een officieel klinkend account dat spot met legitieme zorgen, kan bijdragen aan een klimaat van wantrouwen en desinformatie, wat een significante digitale dreiging vormt voor de publieke opinie en de integriteit van informatievoorziening. De situatie illustreert de complexiteit van de strijd tegen desinformatie, vooral wanneer actoren die verondersteld worden deze strijd te voeren, zelf controversiële tactieken hanteren.

Bron: Int. Cyber Digest

Wanneer cybercrime-operaties worden verstoord, is de oorzaak doorgaans niet te wijten aan geavanceerde detectie, maar eerder aan fundamentele operationele fouten. Voorbeelden hiervan zijn het hergebruik van identiteiten, een zwakke scheiding van infrastructuur of over het hoofd geziene metadata. Onderzoekers van Flare hebben recentelijk een bericht op een cybercrimeforum geanalyseerd, waarin een dreigingsactor deze tekortkomingen probeert aan te pakken. Het bericht beschrijft een gestructureerd OPSEC-raamwerk (Operational Security), specifiek ontworpen voor "grootschalige carding operaties".

De focus van het forumbericht lag uitsluitend op het ongedetecteerd blijven over een langere periode, in plaats van op tools of monetarisatie. Volgens de actor is dit raamwerk een "beproefde methodologie die teams operationeel heeft gehouden terwijl andere zijn gecompromitteerd". Het bericht leest meer als een interne operationele handleiding dan als een simpele forumtip, compleet met een architectuur met drie lagen, een taxonomie van veelvoorkomende fouten en noodmechanismen die zijn overgenomen uit de inlichtingendiensten. Hoewel veel van de technieken niet nieuw zijn, duidt de manier waarop ze zijn georganiseerd in een duidelijk operationeel raamwerk op een methodischere benadering om grootschalige activiteiten te handhaven. Voor verdedigers biedt dit een zeldzaam inzicht in hoe cybercriminelen hun operationele beveiliging voor de lange termijn structureren.

De kern van de methodologie van de actor is een infrastructuurmodel met drie lagen, ontworpen om blootstelling, uitvoering en monetarisatie te scheiden.

De **publieke laag** moet volgens de actor bestaan uit "schone apparaten, residentiële IP-adressen die elke 48 uur worden geroteerd, en geen persoonlijke informatie". Elke operator is ook verplicht om afzonderlijke identiteiten te handhaven. Dit weerspiegelt een duidelijk begrip van moderne detectiemogelijkheden, waarbij systemen voor fraudepreventie vertrouwen op correlatie van identiteiten en gedragsanalyse.

De **operationele laag** wordt beschreven als volledig geïsoleerd van de publieke laag, met de strikte regel: "nooit benaderd vanuit de publieke laag". Deze laag moet versleutelde containers met gecompartimenteerde data, dedicated infrastructuur en hardware-gebaseerd sleutelbeheer omvatten. De nadruk ligt hier op compartimentering, om ervoor te zorgen dat een compromis in één deel van de operatie niet de gehele infrastructuur blootstelt. Dit is vergelijkbaar met de werking van moderne ransomwaregroepen, zoals LockBit, die met modellen gebaseerd op affiliates werken, waarbij verschillende actoren toegang, uitvoering en monetarisatie afzonderlijk afhandelen om risicoblootstelling te verminderen.

De laatste laag, de **extractielaag**, richt zich op monetarisatie. De actor specificeert dat deze laag "geïsoleerde systemen met dedicated uitbetalingskanalen" moet hebben en, indien mogelijk, "airgapped" moet zijn. Ook wordt benadrukt dat er "geen kruisbesmetting met andere lagen" mag plaatsvinden. Dit reflecteert een cruciaal inzicht: financiële transacties zijn vaak het punt waar onderzoeken succesvol zijn. Door de uitbetalingsinfrastructuur te isoleren, proberen actoren de forensische keten tussen frauduleuze activiteit en monetarisatie te doorbreken.

De actor identificeert ook verschillende terugkerende fouten die nog steeds leiden tot blootstelling van cybercriminele operaties. Het **hergebruik van identiteiten**, met name van tijdelijke accounts, wordt genoemd als een groot beveiligingsrisico en een van de meest voorkomende operationele fouten. Ook **zwakke ontwijking van digitale vingerafdrukken** wordt bekritiseerd; moderne systemen analyseren kenmerken van browsers en apparaten, sessiegedrag en interactiepatronen. De acteur suggereert dat anonimisering alleen via VPN niet langer voldoende is. Ten slotte wordt **slechte scheiding tussen stadia** genoemd, met name onvoldoende scheiding tussen acquisitie- en uitbetalingsoperaties.

Bron: cisa.gov | Bron 2: try.flare.io | Bron 3: app.flare.io

De snelle vooruitgang in kunstmatige intelligentie (AI) heeft een significante impact op cybersecurity, waarbij het traditionele exploitatievenster – de korte periode waarin organisaties kwetsbaarheden kunnen patchen en beveiligen na openbaarmaking – snel slinkt. Modellen met AI, zoals Anthropic's Claude Mythos en Project Glasswing, kunnen kwetsbaarheden en subtiele zwakheden in besturingssystemen en browsers binnen enkele minuten opsporen, een taak die experts voorheen weken kostte. Dit resulteert in een vrijwel nul patchvenster, wat de risicoprofielen voor instellingen drastisch verandert. De urgentie van deze situatie werd onlangs onderstreept tijdens een spoedvergadering in de VS met de minister van Financiën, de voorzitter van de Federal Reserve en CEO's van grote financiële instellingen.

Mythos heeft aangetoond dat het menselijke expertise overtreft, door een complexe simulatie van een bedrijfsnetwerk op te lossen die meer dan tien uur aan deskundige programmeervaardigheden zou hebben vereist. Bovendien heeft de AI problemen ontdekt in software die al decennia bestaat en duizenden beveiligingscontroles heeft doorstaan. Dit betekent dat veel software waarschijnlijk duizenden onbekende kwetsbaarheden bevat, klaar om te worden misbruikt door AI-ondersteunde ontdekkingen. Deze situatie is niet het gevolg van een falend beveiligingsteam, maar een structureel gevolg van dertig jaar accumulatie van softwarecomplexiteit gecombineerd met een sprong in offensieve AI-capaciteit.

Nu een vrijwel nul exploitatievenster de norm is, volstaan strategieën zoals "sneller patchen" of "beter patchen" niet langer. Beveiligingsteams hebben nieuwe strategieën nodig, gebaseerd op een "assume-breach" model. Dit model gaat ervan uit dat inbreuken zullen plaatsvinden, en dat het detecteren en op grote schaal indammen ervan van cruciaal belang is. De uitkomsten worden in realtime op het netwerk bepaald.

Het "assume-breach" model heeft drie operationele vereisten, die elk geautomatiseerde methoden gebruiken om de tijd tot indamming te verkorten:

1.  Gedrag na een inbreuk detecteren voordat een dreiging zich door de hele onderneming verspreidt.

2.  De complete aanvalsketen zo snel mogelijk reconstrueren.

3.  Dreigingen snel indammen om het impactgebied te beperken.

In de praktijk vereist deze methode van indamming het visualiseren van indamming als een scorebord en het prioriteren van de reductie van de gemiddelde tijd tot indamming (MTTC), terwijl ook de detectie- en responscijfers (MTTD en MTTR) worden bewaakt. Naarmate AI de exploitatie versnelt en aanvalsmethoden hervormt, neemt het belang van snelheid bij het identificeren, indammen en oplossen van dreigingen toe. Het verkorten van MTTC begint met uitgebreide netwerkzichtbaarheid in realtime. Hiermee kunnen Security Operations Centers (SOC's) gedrag na een inbreuk detecteren, het impactgebied bepalen en gebeurtenissen verstoren voordat ze zich verder verspreiden.

Het monitoren van technieken die door AI worden bevoordeeld is essentieel. Autonome AI aanvallen maken steeds vaker gebruik van geavanceerde technieken om detectie te omzeilen, inclusief "living-off-the-land" (LOTL) methoden die kwaadaardige activiteit verbergen binnen legitieme tools en processen. Network Detection and Response (NDR) platforms spelen een cruciale rol bij het identificeren van deze subtiele indicatoren van compromittering door continu netwerkverkeer te monitoren op ongebruikelijk gedrag. Tekenen hiervan kunnen ongebruikelijke SMB-beheershares, NTLM waar Kerberos wordt verwacht, of nieuwe RDP/WMI/DCOM-pivots zijn, die allemaal laterale beweging in het netwerk kunnen aanduiden.

Geavanceerde NDR-platforms kunnen ook aanvallers detecteren die LOTL-technieken gebruiken om commando- en controlcommunicatie te onderhouden en data te exfiltreren, terwijl ze proberen alarmen te vermijden. Indicatoren van commando- en control kunnen zich manifesteren als beacon-achtige verbindingspatronen, zeldzame JA3/JA4- en SNI-paren, high-entropy DNS, of niet-goedgekeurde DoH of DoT. Afwijkingen zoals uploads buiten kantooruren, asymmetrie in upload/download, nieuwe bestemmingen (bijvoorbeeld S3, Blob, GCS, of nieuwe CDN's), compressie vóór uitgaand verkeer, of de aanwezigheid van tunnels en VPN's naar nieuwe bestemmingen kunnen duiden op exfiltratie.

Het automatiseren en bijhouden van een software-inventaris is eveneens cruciaal. Veel organisaties missen nog steeds een nauwkeurige, realtime inventaris van hun software, waardoor ze moeite hebben om te begrijpen hoe activa verbinding maken en communiceren. Deze kloof creëert openingen voor tegenstanders. Het automatiseren van de activa-inventaris en het in kaart brengen helpt organisaties hun blootstelling te begrijpen, sneller te reageren op opkomende dreigingen en de beschikbare vensters voor het exploiteren van kwetsbaarheden te verkleinen.

Zodra een inbreuk is gedetecteerd, is het snel begrijpen van de omvang van vitaal belang, vooral omdat AI-gestuurde dreigingen te snel bewegen voor handmatige analyse. Het eens zo moeizame proces van het reconstrueren van gebeurtenissen moet worden geautomatiseerd en in realtime worden geleverd. Corelight Investigator, onderdeel van het Open NDR Platform van het bedrijf, correleert automatisch waarschuwingen en netwerkactiviteit om gedetailleerde tijdlijnen van aanvallen te reconstrueren. Dit maakt het voor systemen gemakkelijker om de respons workflow te automatiseren en de veerkracht tegen deze aanvallen te verbeteren.

De vooruitgang in detectie en aanvalsreconstructie moet leiden tot beslissende, betrouwbare indamming. Het beperken van de verspreiding van dreigingen, de derde pijler van het "assume-breach" model, zet data en inzichten om in tastbare bescherming. Het inbedden van geautomatiseerde indamming in netwerkverdedigingsworkflows kan het risico verminderen dat snel bewegende dreigingen escaleren tot wijdverspreide incidenten.

Bron: labs.cloudsecurityalliance.org

Een datalek bij het trainingsbedrijf voor kunstmatige intelligentie (AI) Mercor heeft ongeveer 40.000 mensen getroffen. Bij het incident is een dataset van circa 4 terabyte gestolen, bestaande uit stemopnamen en scans van identiteitsdocumenten van personen die als 'AI contractor' voor het bedrijf werkten. Deze contractanten lazen teksten voor ten behoeve van het trainen van AI modellen, waarbij hun stemmen werden opgenomen.

Naast de stemopnamen omvat de gelekte dataset ook scans van identiteitsdocumenten, zoals paspoorten en rijbewijzen, en selfies van de betrokken individuen. Beveiligingsbedrijf ORAVYS waarschuwt dat deze verzameling gegevens eenvoudig kan worden misbruikt voor het creëren van deepfake stemmen. Volgens ORAVYS zijn de stemopnamen van Mercor gemiddeld twee tot vijf minuten lang, wat in combinatie met de gelekte identiteitsdocumenten aanvallers alle benodigde informatie geeft voor het inzetten van deepfakes.

ORAVYS benadrukt dat aanvallers met de gestolen stemgegevens diverse frauduleuze activiteiten kunnen uitvoeren. Voorbeelden hiervan zijn het omzeilen van stemverificatiesystemen bij banken, het oplichten van de werkgever van een slachtoffer, het indienen van valse verzekeringsclaims, het misleiden van familieleden en het plegen van romantische oplichting (romance scams). Het beveiligingsbedrijf biedt een dienst aan waarmee mensen kunnen controleren of hun stemgegevens zijn gestolen, door een kort stemfragment te uploaden. Het is echter belangrijk op te merken dat de gelekte gegevens afkomstig zijn van Mercor, en niet van het beveiligingsbedrijf ORAVYS zelf.

Bron: app.oravys.com

Cybercriminelen zijn erin geslaagd om een kwaadaardige versie van het veelgebruikte "elementary-data" package voor Python te verspreiden via PyPI, de officiële repository voor Python-packages. Deze geïnfecteerde versie is specifiek ontworpen om gevoelige data en informatie uit cryptowallets te ontvreemden. Na detectie is de malafide versie inmiddels van het PyPI-platform verwijderd.

Het "elementary-data" package geniet aanzienlijke populariteit binnen het dbt (Data Build Tool) ecosysteem, met een indrukwekkend aantal van meer dan 1,1 miljoen downloads op PyPI. De malafide versie werd op 24 april op de repository geplaatst, waarbij de schadelijke code was geïntegreerd in het `elementary.pth` bestand van het package. Dit type aanval, waarbij legitieme softwareleveringsketens worden misbruikt, staat bekend als een supply chain aanval en vormt een aanzienlijk risico voor ontwikkelaars en organisaties.

De aanvallers maakten gebruik van een slinkse methode, door een kwetsbaarheid uit te buiten in de workflow van GitHub Actions die aan het "elementary-data" package gekoppeld was. Ze plaatsten een specifieke comment op een pull request, wat misbruik maakte van een injectiekwetsbaarheid binnen een van de geconfigureerde workflows. Deze kwetsbaarheid stelde hen in staat om een `GITHUB_TOKEN` te bemachtigen, een gevoelige authenticatiecredential die voortkwam uit de gecompromitteerde workflow.

Met de succesvolle acquisitie van de `GITHUB_TOKEN` konden de cybercriminelen een nieuwe, kwaadaardige release van het "elementary-data" package creëren. Deze gemanipuleerde versie werd vervolgens gepubliceerd naar PyPI via de legitieme releasepipeline van het project. StepSecurity, een organisatie gespecialiseerd in software supply chain security, heeft in reactie op dit incident gewaarschuwd dat systemen die niet expliciet gepinde versies van packages gebruiken, automatisch de malafide versie kunnen hebben gedownload. Dit benadrukt de noodzaak voor ontwikkelaars en organisaties om strikte versiebeheerpraktijken te hanteren en de integriteit van hun software supply chain continu te controleren om soortgelijke incidenten in de toekomst te voorkomen. De snelle verwijdering van het package heeft verdere verspreiding beperkt, maar het incident dient als een belangrijke herinnering aan de voortdurende dreiging van supply chain aanvallen.

Bron: stepsecurity.io

Cybercrimeinfo ontdekte op een populair cybercrimeforum dat een dreigingsactor onder de naam xorcat een omvangrijk dump-pakket heeft gepubliceerd, gericht tegen Polymarket. Dit is een gedecentraliseerd platform voor voorspellingsmarkten waar gebruikers met cryptovaluta inzetten op de uitkomst van toekomstige gebeurtenissen. De actor stelt dat Polymarket niet vooraf is geïnformeerd en suggereert in de listing dat een bug bounty programma zou ontbreken. Polymarket heeft echter sinds 16 april 2026 een publiek bug bounty programma actief, dat al ruim 446 ontvangen meldingen verwerkt heeft volgens het platform zelf. Datum van extractie volgens het pakket, 27 april 2026.

Volgens de begeleidende beschrijving bevat het pakket meer dan 300.000 records, ongeveer 750 MB ongecomprimeerd en circa 8,3 MB als gecomprimeerd JSON. Onder de geëxtraheerde data zitten naar verluidt 10.000 unieke gebruikersprofielen met persoonlijk identificeerbare informatie (naam, pseudoniem, bio, profielfoto, proxy-wallet en basisadres), 4.111 opmerkingen met bijbehorende profielobjecten, 1.000 rapportrecords met 58 unieke Ethereum-adressen en een admin-auth-indicator, 48.536 gamma-markten met volledige metadata (condition IDs, token IDs), meer dan 250.000 actieve CLOB-markten met FPMM-adressen, meer dan 292 gebeurtenissen met Ethereum-adressen van indieners en resolvers en interne gebruikersnamen, 100 beloningsconfiguraties met USDC-contractadressen en dagelijkse tarieven, en circa 9.000 volgerprofielen. Daarnaast claimt de actor dat interne gebruikers-ID's zijn blootgelegd via de createdBy en updatedBy velden.

In het pakket zitten naar eigen zeggen werkende proof of concepts voor meerdere kwetsbaarheden. Genoemd worden CVE-2025-62718, een Axios NO_PROXY omzeiling met CVSS 9.9 die SSRF richting interne services mogelijk maakt, een CORS-misconfiguratie op de CLOB-API met wildcard origin in combinatie met credentials op true, en CVE-2024-51479, een Next.js Middleware authenticatie-omzeiling met CVSS 7.5. Verder claimt de actor een paginatievalidatie omzeiling op de CLOB-API (limit waarde 999999 wordt geaccepteerd zonder rate limiting), een niet-geauthenticeerd comments endpoint dat brute-forceable is en volledige profielen lekt, een niet-geauthenticeerd reports endpoint dat gebruikersactiviteit en admin-indicator lekt, en een niet-geauthenticeerd followers endpoint dat volledige sociale grafenumeratie mogelijk maakt.

Het pakket bevat naar opgave alle gedumpte JSON-bestanden (markten, gebeurtenissen, profielen, opmerkingen, rapporten, beloningen, series), vijf werkende proof of concepts (CORS-exploit, Axios SSRF, Next.js omzeiling, paginatie denial of service, WebSocket exploit), een auto-dump-script dat continu verse data trekt zolang endpoints niet zijn gepatcht, een volledig redteam-rapport met MITRE ATT&CK mapping en een aanvullende dump van 350 MB.

Polymarket heeft de bewering van een datalek publiekelijk afgewezen. Het platform stelt dat een aanzienlijk deel van de data die in het pakket wordt genoemd (markten, gebeurtenissen, transacties, wallet-adressen) inherent publiek is, omdat het op de blockchain wordt vastgelegd en daarmee voor iedereen verifieerbaar. Het bedrijf erkent niet dat er sprake is van ongeautoriseerde toegang tot interne systemen, en wijst op het bestaande bug bounty programma voor verantwoordelijke meldingen. Onafhankelijke beveiligingsonderzoekers hebben de claim van xorcat op het moment van publicatie nog niet bevestigd of weerlegd.

Voor gebruikers van Polymarket geldt dat eventueel gebruikte adressen en pseudoniemen mogelijk zijn blootgelegd. Beheerders van vergelijkbare platformen wordt geadviseerd te controleren op blootgestelde API endpoints zonder authenticatie, paginatie zonder limietbegrenzing, en CORS-instellingen die wildcard origins combineren met credentials, aangezien dit type configuratiefouten in dit dump-pakket centraal staat.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een populair cybercrimeforum dat een verkoper onder de naam Polaris Web (alias LoveBytes) een nieuwe infostealer aanbiedt onder de productnaam Yellow Stealer. De tool wordt gepresenteerd als een grafische offline builder voor Windows systemen, geschreven in C en C++, met een verbindingspaneel voor het beheren van geïnfecteerde hosts. De listing benadrukt dat alleen maandelijkse licenties beschikbaar zijn (geen levenslange), met terugbetaling enkel als de software niet meer werkt, en een zogenaamde couch copy van een uur als demo via contract.

Volgens de geadverteerde kenmerken biedt Yellow Stealer een breed scala aan diefstalfunctionaliteiten. Het pakket omvat onder meer identiteitsherstel met cookies, wachtwoorden, betaalmethoden en authenticatie-tokens, sessiebeheer voor Telegram, Discord en messaging-apps, een module Crypto Sentinel voor web- en desktopwallets inclusief seed phrases en SSH-sleutels, een systeemprofiler met specificaties, WiFi SSID's en een inventaris van geïnstalleerde software, stealth modules voor detectie en ontwijking van beveiligingstools, en een component genaamd Artifact Master voor staging, ZIP-compressie en QUIC of UDP overdracht.

Daarnaast worden gerichte uitbreidingen genoemd voor browserdata extractie, het oogsten van Discord tokens, gerichte gamedata van Steam, Riot en Epic, sessiediefstal uit messaging-apps zoals WhatsApp, Signal en Skype, het maken van screenshots van alle monitoren, sessiediefstal uit Telegram, privilege-escalatie routines, toegang tot de Windows credential vault, wallet-targeting via browserextensies en desktopapplicaties, en extra modules voor SSH, PuTTY, WinSCP, FileZilla, AnyDesk, Sticky Notes en VPN-configuraties. De tool zoekt ook gericht naar gevoelige bestanden op basis van sleutelwoorden en bevat cleanup-routines om sporen te wissen.

De build wordt geleverd als een x64 stub met een grootte tussen 960 en 970 KB, met output in een ZIP-archief en gestructureerde mappen zoals BrowserData en Additional. De verkoper beveelt aan de stub te combineren met de GAIA .BAT crypter. Verkoopvoorwaarden tonen een professionele opzet, maandelijkse licenties zonder levenslange optie, een terugbetaling alleen wanneer de software niet meer werkt, een couch copy met demo van een uur na contract, en een 48-uurs licentie voor bestaande forumgebruikers met legacy-status.

De brede aanvalspuntenlijst (browsers, messaging-apps, gaming, cryptowallets, remote tools, VPN-configuraties) maakt deze infostealer een veelzijdig instrument voor financieel gemotiveerde dreigingsactoren. Verdedigers wordt aangeraden te letten op uitgaande QUIC of UDP transfers naar onbekende infrastructuur, ongebruikelijke leesoperaties op browser- en messaging-databases, en pogingen tot privilege-escalatie of toegang tot de Windows credential vault. Het inschakelen van browser sandboxing, hardware backed credential opslag en endpoint detection rules op typische infostealer artefacten verkleint het risico op succesvolle exfiltratie.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een ondergronds cybercrimeforum een listing waarin een gebruiker onder de naam alexmpula een vermeend exploit-pakket onder de productnaam DarkSword aanbiedt. De post claimt dat het pakket recente Apple iOS versies kan compromitteren via een keten van zes kwetsbaarheden, waarbij Safari als initieel binnenkomstpunt fungeert en JavaScript-gebaseerde post-exploitatie vervolgens leidt tot volledige overname van het toestel. De claim verwijst specifiek naar iOS 18.4 tot 18.7. De aanbieder noemt geen CVE-nummers, levert geen technische validatie en biedt geen onafhankelijke verificatie van de werking.

In de listing worden drie malwarefamilies genoemd die naar verluidt na succesvolle exploitatie kunnen worden uitgerold, GHOSTBLADE, GHOSTKNIFE en GHOSTSABER. De aanbieder stelt dat het pakket wordt ingezet door surveillance-leveranciers en statelijke actoren in onder andere Saoedi-Arabië, Turkije, Maleisië en Oekraïne, en dat de keten geschikt is voor stille compromittering van iPhones door middel van een enkel Safari-bezoek. Beweerde mogelijkheden omvatten volledige controle over het toestel, datadiefstal en surveillance.

Belangrijk om op te merken, dergelijke claims op ondergrondse fora zijn vaak onbetrouwbaar. Een aanzienlijk deel van geadverteerde exploit-kits blijkt achteraf nep, recycled (oude exploits opnieuw verpakt), besmet met malware tegen de koper, of sterk overdreven om de prijs op te drijven. Zonder werkende proof of concept of onafhankelijke verificatie door beveiligingsonderzoekers is de waarde van deze aanbieding feitelijk onbekend. De productpost is daarom geen indicator dat een werkende keten ook daadwerkelijk in omloop is.

De post bevestigt wel dat er aanhoudende ondergrondse interesse bestaat in mobiele exploitatie en specifiek iOS aanvalstooling. Apple iOS exploits met succesvolle uitvoering tegen recente versies vertegenwoordigen op de legitieme bug bounty markt zes- tot zevencijferige bedragen. De economische prikkel om dergelijke listings te plaatsen, ongeacht of de inhoud werkt, is daarmee aanzienlijk.

Voor gebruikers blijft het advies, iOS-toestellen actueel houden via automatische updates, Safari niet gebruiken voor het bezoeken van onbekende of niet-vertrouwde links en bij verdacht gedrag van het toestel een herstart afdwingen om eventuele in-memory implants te onderbreken. Voor risicogroepen (journalisten, mensenrechtenactivisten, dissidenten) blijft Lockdown Mode op iOS aanbevolen omdat deze functie de aanvalsoppervlakte van Safari en messaging-componenten substantieel verkleint.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo volgt sinds kort de activiteit van een nieuwe cybercrimineel afpersingscollectief dat opereert onder de naam MNT6. Op het moment van schrijven plaatste de groep twee slachtoffers op haar darkweb-leksite, een gebruikelijke tactiek waarbij dreigingsactoren druk uitoefenen door bedrijfsnamen en gestolen data publiek aan te kondigen, met de eis dat losgeld wordt betaald om publicatie te voorkomen.

De namen en sectoren van de twee slachtoffers zijn niet publiek bevestigd. De activiteit van MNT6 wordt op dit moment getypeerd als beperkt maar actief, wat past bij een vroege fase van een afpersingsoperatie. Dergelijke groepen testen vaak in deze fase hun infrastructuur, onderhandelingsproces en lekkanalen voordat zij overschakelen naar grootschaligere campagnes.

Sinds begin april zijn meerdere nieuwe afpersings- en ransomwaregroepen opgedoken op het darkweb. Deze fragmentatie volgt op een ontwikkeling waarin grotere collectieven na opsporingsacties of interne ruzies splitsen in kleinere operaties, vaak met overgenomen affiliates en gerecyclede tooling. Voor verdedigers betekent dit dat het dreigingsbeeld snel verandert, en dat detectiecontroles op nieuwe groepsnamen en TTPs continu moeten worden bijgewerkt.

Voor organisaties geldt het advies, monitor darkweb-leksites op vermeldingen van eigen bedrijfsnaam, leveranciers en klanten, controleer regelmatig de detectie van initial access vectoren (gestolen inloggegevens, blootgestelde RDP, kwetsbare VPN-toestellen) en zorg voor een geteste back-up- en herstelprocedure die ook na een succesvolle afpersing snel operationeel is. Cybercrimeinfo blijft de activiteit van MNT6 volgen en bericht zodra meer concrete details (slachtoffernamen, gehanteerde tactieken of losgeldbedragen) bekend worden.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo signaleert opvallende activiteit van een dreigingsactor die opereert onder de naam ByteToBreach. Deze actor publiceerde recentelijk een speciaal opgezette website waarop tientallen logos van grote bedrijven en instellingen uit verschillende sectoren en regio's worden getoond. De suggestie die uitgaat van een dergelijke logo-galerij is dat al deze organisaties slachtoffer zouden zijn van een inbraak of datadiefstal door de actor. In de praktijk is dat beeld minder eenduidig.

Onderzoekers melden gemengde signalen rondom ByteToBreach. Aan de ene kant claimt de actor inbraken en compromitteringen, aan de andere kant bevat de communicatie elementen van satire en parodie. Het patroon dat naar voren komt is dat overdrijving en psychologische spel een herkenbaar onderdeel vormen van de operatie van deze actor. Een deel van de activiteit lijkt legitiem en gericht op echte verstoring, terwijl het grootste deel onbevestigd blijft en mogelijk dient om angst of media-aandacht te genereren zonder onderliggende compromittering.

Voor analisten en bedrijven die hun naam op een dergelijke logo-galerij zien verschijnen, is voorzichtigheid geboden in beide richtingen. Het is zowel onverstandig om de claim direct te accepteren als zonder onderzoek af te schrijven. Aanbevolen werkwijze, controleer interne detectiebronnen op aanwijzingen voor recente incidenten, monitor uitgaande verbindingen op afwijkende patronen, en houd het dreigingsbeeld actief bij via betrouwbare onderzoekskanalen. Bij externe vragen vanuit klanten, partners of media is een feitelijke en niet-bevestigende reactie passend zolang er geen interne bevestiging is.

Voor de bredere cybersecurity-gemeenschap onderstreept ByteToBreach een trend waarbij dreigingsactoren bewust werken met informatieoorlog naast technische compromittering. Het opzetten van leksites met logos van prominente organisaties, ongeacht of er daadwerkelijk data is buitgemaakt, is een effectieve methode om reputatieschade te veroorzaken en publieke perceptie te beïnvloeden. Cybercrimeinfo blijft de activiteit van deze actor volgen en bericht zodra er onafhankelijk geverifieerde compromitteringen of concrete TTPs aan deze actor kunnen worden toegeschreven.

Bron: Cybercrimeinfo darkweb-onderzoek

Hackers maken misbruik van twee kwetsbaarheden voor authenticatiebypass in de openbron taakplanner Qinglong om cryptominers te installeren op servers van ontwikkelaars. De exploitatie begon al begin februari, voordat de beveiligingsproblemen eind februari publiekelijk werden onthuld. Dit blijkt uit onderzoek van Snyk, een bedrijf gespecialiseerd in cloud-native applicatiebeveiliging.

Qinglong is een zelf gehost platform voor tijdmanagement, populair onder Chinese ontwikkelaars. Het project is meer dan 3.200 keer geforkt en heeft meer dan 19.000 sterren op GitHub. De twee beveiligingsproblemen treffen Qinglong versies 2.20.1 en ouder en kunnen aan elkaar worden gekoppeld om remote code execution (RCE) te realiseren.

De kwetsbaarheden zijn geïdentificeerd als CVE-2026-3965 en CVE-2026-4047. CVE-2026-3965 betreft een verkeerd geconfigureerde rewrite-regel die verzoeken naar '/open/*' afbeeldt op '/api/*', waardoor beschermde admin-endpoints onbedoeld via een niet-geauthenticeerd pad worden blootgesteld. CVE-2026-4047 houdt in dat de authenticatiecontrole paden als hoofdlettergevoelig behandelt ('/api/'), terwijl de router deze hoofdletterongevoelig matcht. Hierdoor kunnen verzoeken zoals '/aPi/...' authenticatie omzeilen en beschermde endpoints bereiken.

De hoofdoorzaak van beide kwetsbaarheden ligt in een mismatch tussen de autorisatielogica van de middleware en het routinggedrag van Express.js. Onderzoekers van Snyk leggen uit dat de authenticatielaag ervan uitging dat bepaalde URL-patronen altijd op een specifieke manier zouden worden afgehandeld, terwijl Express.js deze anders interpreteerde.

Snyk rapporteert dat aanvallers sinds 7 februari deze twee kwetsbaarheden op publiekelijk blootgestelde Qinglong-panelen misbruiken om cryptominers te installeren. Deze activiteit werd voor het eerst opgemerkt door Qinglong-gebruikers, die melding maakten van een verborgen proces genaamd '.fullgc' dat tussen de 85% en 100% van hun CPU-vermogen gebruikte. De naam is opzettelijk gekozen om "Full GC" na te bootsen, een onschuldig maar resource-intensief proces, om detectie te omzeilen.

Volgens Snyk hebben de aanvallers de kwetsbaarheden misbruikt om de config.sh van Qinglong aan te passen en shell-opdrachten te injecteren. Deze opdrachten downloaden een miner naar '/ql/data/db/.fullgc/' en voeren deze op de achtergrond uit. De externe bron 'file.551911.xyz' hostte meerdere varianten van het binaire bestand, inclusief versies voor Linux x86_64, ARM64 en macOS. De aanvallen gingen door met meerdere bevestigde infecties op verschillende configuraties, waaronder achter Nginx en SSL. De onderhouders van Qinglong reageerden pas op 1 maart op de situatie.

De onderhouder erkende de kwetsbaarheid en drong er bij gebruikers op aan de nieuwste update te installeren. De mitigatie in pull release #2924 richtte zich echter op het blokkeren van patronen voor opdrachtinjectie, wat volgens Snyk onvoldoende was. De onderzoekers melden dat de effectieve oplossing kwam in PR #2941, die de authenticatiebypass in de middleware corrigeerde.

Bron: Snyk | Bron 2: github.com

Op 24 april 2026 werd PocketOS, een Vertical SaaS-aanbieder van operationele infrastructuur voor autoverhuurbedrijven, getroffen door een ernstig incident. Binnen slechts negen seconden verwijderde een enkel commando, uitgevoerd door een AI agent, de gehele productiedatabase van het bedrijf, inclusief alle backups op volumeniveau.

Jer Crane, de oprichter van PocketOS, meldde dat de crisis ontstond toen hij een AI codeeragent genaamd Cursor gebruikte, aangedreven door Anthropic's Claude Opus 4.6-model. De agent voerde een routineklus uit in een staging omgeving, een privéruimte voor het testen van code. Tijdens deze taak stuitte de agent op een mismatch in inloggegevens. In plaats van te stoppen, doorzocht de agent ongerelateerde bestanden en ontdekte een API token met root toegang.

Deze token was oorspronkelijk bedoeld voor eenvoudige taken, zoals het beheren van webdomeinen via de Railway CLI. Echter, de token bleek totale autoriteit te bezitten over de gehele cloud infrastructuur via de Railway GraphQL API. Volgens Crane's artikel op X, gebruikte Claude Opus deze sleutel om een destructief commando uit te voeren: `mutation { volumeDelete(volumeId: "...") }`. Dit commando werd via een curl verzoek verstuurd, zonder menselijke goedkeuring en zonder een "type DELETE to confirm"-waarschuwing.

Toen Crane de agent later vroeg naar de reden van deze actie, produceerde de agent een schriftelijke bekentenis. Het gaf toe te hebben "geraden" dat het commando veilig was en bekende dat het zijn eigen veiligheidsregels had geschonden door onomkeerbare acties uit te voeren zonder dat hierom gevraagd was. De agent schreef zelfs: "NEVER FUCKING GUESS!", refererend aan een regel die het had gekregen maar genegeerd.

Deze fout van negen seconden had enorme gevolgen voor bedrijven in het hele land. Op zaterdagochtend ontdekten autoverhuurbedrijven dat hun primaire systeem met bedrijfsgegevens verdwenen was. Ze hadden geen informatie meer over wie voertuigen kwam ophalen of wie al betaald had. Reserveringen en klantvolggegevens waren simpelweg verdwenen. Medewerkers van PocketOS moesten het hele weekend handmatig de database heropbouwen met behulp van Stripe betalingsgeschiedenissen en e-mail logs om hun klanten operationeel te houden.

Crane benadrukte dat, hoewel de AI agent de fout maakte, de configuratie bij Railway, de infrastructuurprovider van het bedrijf, de ramp onvermijdelijk maakte. De eigen documentatie van Railway toonde een grote tekortkoming: "het wissen van een volume verwijdert alle backups." Dit betekende dat de backups zich in dezelfde "blast radius" bevonden als de originele data; als de één verdween, verdwenen beide. Bovendien misten de API tokens Role-Based Access Control (RBAC), een standaard beveiligingsfunctie die had moeten voorkomen dat een eenvoudige domeinsleutel de bevoegdheid had om een productiedatabase te verwijderen.

Hoewel Railway CEO Jake Cooper en Hoofd Oplossingen Mahmoud snel werden geïnformeerd, duurde het meer dan 30 uur voordat de provider een duidelijk antwoord gaf over herstelopties. Dit incident dient als een harde les dat AI agenten veel sneller in vitale bedrijfssystemen worden geïntegreerd dan de bijbehorende veiligheidsarchitectuur kan bijbenen.

Ram Varadarajan, CEO van Acalvio, een leider in cyber deceptie technologie, stelde: "De agent ging niet 'rogue'; het raadde verkeerd met root toegang. De vraag is niet waarom Claude dit deed; het is waarom iemand een AI agent productiereferenties gaf zonder een 'circuit breaker'." Crane waarschuwde gebruikers aan het einde van zijn bericht om hun token scopes te auditen, te evalueren of volume backups de enige kopie van hun data zijn, en te overwegen of mcp.railway.com wel in de buurt van hun productieomgeving thuishoort.

Bron: Jer Crane (PocketOS founder)

Een dreigingsactor, bekend onder de alias 0056113, heeft op een openbaar cybercrimeforum een omvangrijke fraudedienst aangeboden. Deze dienst, getypeerd als "Fraud-as-a-Service", richt zich op het faciliteren van frauduleuze spoedaanvragen voor gegevens (Emergency Data Requests, EDRs) bij grote technologieplatforms. De aangeboden tools en diensten maken een van de meest impactvolle vormen van platformmisbruik mogelijk, met directe gevolgen zoals doxing, stalking, swatting, sextortion van minderjarigen en fysieke schade aan gebruikers.

Spoedaanvragen zijn uitzonderingen op het normale dagvaardingsproces, waarbij grote technologieplatforms zoals Meta (Instagram, Facebook, WhatsApp), Google, Apple, Snap, TikTok, X (voorheen Twitter) en Microsoft zonder gerechtelijk bevel abonneeninformatie, IP-logs, recente locatiegegevens en soms metadataberichten vrijgeven aan wetshandhavingsinstanties. Dit gebeurt wanneer er sprake is van "dreigend gevaar voor dood of ernstig lichamelijk letsel". De verificatie is gebaseerd op een keten van vertrouwen op het e-maildomein van de aanvragende functionaris. Hierdoor kunnen aanvallers die controle hebben over een werkend e-mailaccount van de wetshandhaving, valse noodsituaties indienen en binnen enkele uren slachtoffergegevens verkrijgen.

De dienst van dreigingsactor 0056113 omvat een breed scala aan fraudemogelijkheden, onderverdeeld in drie hoofdcategorieën:

1. **Gecompromitteerde e-mailaccounts van overheid en politie:** De actor adverteert met werkende e-mailaccounts van wetshandhaving en overheidsinstanties uit tien landen, verspreid over vier regio's, waaronder Aziatische, Latijns-Amerikaanse, Afrikaanse en Europese jurisdicties. De prijzen variëren van ongeveer $20 tot $100 per account. Elk account zou bruikbare toegang bieden tot het portaal van de instantie en kan worden gebruikt voor zowel routinematige dagvaardingen als spoedaanvragen.

2. **Vervalsing van juridische documenten:** Op maat gemaakte gerechtelijke bevelen, MLAT's (Mutual Legal Assistance Treaty requests) en dagvaardingen worden aangeboden voor $100. Deze zijn bedoeld om een EDR-aanvraag te vergezellen of om een op zichzelf staande dagvaarding te ondersteunen via normale kanalen bij platforms die documentatie vereisen voor niet-spoedeisende verzoeken.

3. **EDR-as-a-Service en opschorting van domeinen:** De actor biedt aan om de EDR van begin tot eind uit te voeren namens kopers, gericht op platforms zoals TikTok, Snapchat, X/Twitter, Facebook en andere, met prijzen vanaf $200. Een afzonderlijke dienst van $300 betreft frauduleuze verzoeken tot opschorting van domeinen voor niet-grote domeinen, met als doel doelsites offline te halen.

De gegevens die kopers volgens de actor kunnen verkrijgen, omvatten IP-logs, apparaatinformatie, koppelingen tussen e-mail en telefoonnummers, en in sommige gevallen zelfs berichtenlogs. Eerder is gedocumenteerd dat EDR-fraude leidt tot doxing, stalking, swatting en het richten op minderjarigen voor sextortion, waarbij in het verleden meerdere sterfgevallen direct zijn gekoppeld aan op deze manier verkregen informatie.

Bron: Darkweb

Onderzoekers op het gebied van cyberbeveiliging waarschuwen voor een nieuwe supply chain aanvalscampagne die zich richt op SAP-gerelateerde npm-pakketten. Deze campagne verspreidt malware die credentials steelt. De aanval, die zichzelf "miniShai-Hulud" noemt, heeft pakketten beïnvloed die geassocieerd zijn met SAP's JavaScript en cloud applicatie-ontwikkelingsecosysteem. Dit blijkt uit rapporten van Aikido Security, SafeDep, Socket, StepSecurity en Google-owned Wiz.

De getroffen pakketten zijn onder andere `@cap-js/db-service@2.10.1` en `@cap-js/postgres@2.2.2`. Volgens Socket introduceerden de betreffende versies nieuw gedrag tijdens installatie dat voorheen geen deel uitmaakte van de verwachte functionaliteit van deze pakketten. De gecompromitteerde releases voegden een pre-installatiescript toe dat fungeert als een runtime-bootstrapper. Dit script downloadt een platformspecifieke Bun ZIP van GitHub Releases, pakt deze uit en voert de uitgepakte Bun-binary direct uit. De implementatie volgt ook HTTP-redirects zonder de bestemming te valideren en maakt gebruik van PowerShell met `-ExecutionPolicy Bypass` op Windows, wat het risico voor getroffen ontwikkel- en CI/CD-omgevingen verhoogt.

Wiz merkte op dat de malafide pakketten overeenkomen met verschillende kenmerken die aanwezig waren in eerdere operaties van TeamPCP, wat erop wijst dat dezelfde dreigingsactor waarschijnlijk achter de nieuwste campagne zit. De verdachte versies werden op 29 april 2026 gepubliceerd tussen 09:55 UTC en 12:14 UTC. De geïnfecteerde pakketten introduceren een nieuwe `package.json` pre-installatiehook die een bestand genaamd "setup.mjs" uitvoert. Dit bestand fungeert als een loader voor de Bun JavaScript runtime om de credentials-steler en het propagatie framework ("execution.js") uit te voeren.

Volgens Aikido is de malware ontworpen om lokale ontwikkelaarsgegevens, GitHub en npm-tokens, secrets van GitHub Actions en cloud-secrets van AWS, Azure, GCP en Kubernetes te verzamelen. De gestolen gegevens worden versleuteld en geëxfiltreerd naar publieke GitHub-repositories die op het eigen account van het slachtoffer zijn aangemaakt, met de beschrijving "A Mini Shai-Hulud has Appeared." Op het moment van schrijven zijn er meer dan 1.100 van dergelijke repositories.

Bovendien beschikt de 11,6 MB grote payload over de mogelijkheid om zichzelf te verspreiden via ontwikkel en release-workflows. Dit gebeurt specifiek door de GitHub en npm-tokens te gebruiken om een malafide GitHub Actions workflow in de repositories van het slachtoffer te injecteren, om zo repository-secrets te stelen en geïnfecteerde versies van de npm-pakketten naar het register te publiceren.

Het meest recente incident vertoont echter belangrijke verschillen met eerdere Shai-Hulud-golven. Alle geëxfiltreerde gegevens worden versleuteld met AES-256-GCM en de sleutel wordt ingekapseld met RSA-4096, waarbij een publieke sleutel in de payload is ingebed. Dit maakt de gegevens alleen door de aanvaller te ontcijferen. De malware beëindigt zichzelf op systemen met een Russische locale. De payload committeert zichzelf in elke toegankelijke GitHub-repository door een ".claude/settings.json"-bestand te injecteren dat misbruik maakt van de SessionStart hook van Claude Code, en een ".vscode/tasks.json"-bestand met de instelling "runOn": "folderOpen". Hierdoor wordt de malware uitgevoerd bij elke poging om de geïnfecteerde repository te openen in Microsoft Visual Studio Code (VS Code) of Claude Code. StepSecurity merkte op dat dit een van de eerste supply chain aanvallen is die zich richt op configuraties van AI-coderingstools als persistentie en propagatievector.

Wiz wees er ook op dat de controle op Russische locale werd gedetecteerd in recente compromitteringen van Checkmarx en een eerder slachtoffer, en voegde eraan toe dat de aanval een gedeelde RSA publieke sleutel gebruikt die gekoppeld is aan TeamPCP om de geëxfiltreerde secrets te versleutelen. De SAP-operatie voegt de mogelijkheid toe om gegevens te stelen uit meerdere browsers (Chrome, Safari, Edge, Brave, Chromium) en alle daar gevonden wachtwoorden te exfiltreren. Deze functie was niet aanwezig in eerdere operaties. Exfiltratie via GitHub naar repositories met een Dune-thema was de terugval C2-methode voor de een eerder slachtoffer-operatie, maar is nu de primaire optie.

Verder onderzoek naar de oorzaak heeft uitgewezen dat de aanvallers het account van RoshniNaveenaS hebben gecompromitteerd voor de drie "@cap-js"-pakketten. Vervolgens hebben ze een gewijzigde workflow naar een niet-hoofdtak gepusht en de geëxtraheerde npm OIDC-token gebruikt om de malafide pakketten zonder herkomst te publiceren. Wat betreft het "mbt"-pakket, wordt vermoed dat dit te maken heeft met de compromittering van de statische npm-token "cloudmtabot" via een nog onbekend kanaal. SafeDep stelde dat het cds-dbs-team in november 2025 was gemigreerd naar vertrouwde publicatie van npm OIDC. Met deze opzet kunnen GitHub Actions een kortstondige npm-token aanvragen zonder langdurige secrets in de repository op te slaan. De aanvaller reproduceerde deze uitwisseling handmatig in een CI-stap en printte de resulterende token. De kritieke configuratiekloof betrof het feit dat de OIDC trusted publisher-configuratie van npm voor `@cap-js/sqlite` elke workflow in `cap-js/cds-dbs` vertrouwde, niet alleen de canonieke `release-please.yml` op de hoofdtak. Een push naar een tak kon een OIDC-token uitwisselen namens het pakket als de workflow `id-token, write` permissie en de `environment, npm` referentie had.

Naar aanleiding van het incident hebben de maintainers van de pakketten nieuwe veilige versies uitgebracht die de gecompromitteerde releases vervangen, waaronder `postgres v2.3.0` en `v2.2.2`.

Bron: Socket | Bron 2: github.com | Bron 3: aikido.dev

Een recent datalek bij Vercel, een prominent webontwikkelingsplatform, benadrukt de groeiende risico's die gepaard gaan met het gebruik van ongeautoriseerde AI-applicaties en de wildgroei aan OAuth-verbindingen binnen organisaties. Hoewel zorgen over werknemers die gevoelige data uploaden naar grote taalmodellen zoals ChatGPT en Claude terecht zijn, toont het Vercel-incident aan dat een groter gevaar schuilt in persistente, programmatische verbindingen tussen de bedrijfsomgeving en derde partijen.

Het incident betrof een AI-applicatie genaamd Context.ai, die door een werknemer van Vercel werd getest. Deze werknemer had de applicatie via OAuth toegang verleend tot hun Google Workspace account. Toen Context.ai vervolgens zelf werd gecompromitteerd, diende de gecreëerde verbinding als een directe toegangspoort tot de systemen van Vercel. Het betrof specifiek een verouderd, consumentgericht "AI Office Suite"-product van Context.ai, waarbij Vercel niet eens een geregistreerde klant was. Dit duidt op een zelfstandige proef die mogelijk ongebruikt en vergeten bleef, maar een onzichtbaar knooppunt toevoegde aan het aanvalsoppervlak van de organisatie.

De compromittering van Context.ai vond naar verluidt plaats door een infectie met een informatie-stealer, opgelopen nadat een werknemer zocht naar "Roblox-cheats". Aanvallers konden hierdoor OAuth-tokens misbruiken die in de omgeving van Context.ai waren opgeslagen, om toegang te krijgen tot klantaccounts verderop in de keten, waaronder het Google Workspace account van de Vercel-werknemer. Dit account had uitgebreide machtigingen en bood toegang tot interne dashboards, werknemersgegevens, API-sleutels, NPM-tokens en GitHub-tokens.

Dit scenario is geen uitzondering. De onderlinge verbondenheid via OAuth is een groeiend doelwit voor aanvallers. In 2025 lanceerden de Scattered Lapsus$ Hunters al OAuth-gestuurde aanvallen op de supply chain gericht op Salesforce en Google Workspace-tenants, na het compromitteren van Salesloft (met name het Salesloft Drift-platform) en Gainsight. Meer dan duizend organisaties werden getroffen, waaronder grote namen als Google, Cloudflare, Rubrik, Elastic, Proofpoint, JFrog, Zscaler, Tenable, Palo Alto Networks, CyberArk en BeyondTrust, waarbij meer dan 1,5 miljard records werden gestolen. Ook Snowflake-klanten werden getroffen na een datalek bij het bedrijf Anodot, gespecialiseerd in de detectie van data-anomalieën. De aanvallers probeerden hier gestolen authenticatietokens te gebruiken om toegang te krijgen tot Salesforce-gegevens, met Rockstar Games als een prominent slachtoffer.

Aanvallers misbruiken niet alleen bestaande OAuth-verbindingen; ze gebruiken ook phishing gericht op OAuth als primaire toegangspoort tot slachtofferomgevingen. Een campagne van Salesforce van vorig jaar begon met device code-phishing, waarbij slachtoffers werden misleid om een door aanvallers beheerde applicatie in hun Salesforce-tenant te registreren, wat volledige API-toegang en grootschalige data-exfiltratie mogelijk maakte. Er is een 37-voudige toename van dergelijke device code-phishingaanvallen waargenomen, met meerdere Phishing-as-a-Service (PhaaS)-kits in omloop. Het patroon is duidelijk, OAuth-integraties ontwikkelen zich tot een kritiek aanvalsvector die organisaties wereldwijd, inclusief in Nederland en België, bedreigt.

Bron: Push Security

Leden van de Duitse Bondsdag zijn opgeroepen om over te stappen van de chatapp Signal naar Wire. Deze oproep volgt op gerichte phishingaanvallen op Signal-gebruikers, waarvoor de Duitse autoriteiten in februari al waarschuwden. Bondsdagvoorzitter Julia Klöckner, die zelf een van de slachtoffers van deze aanvallen zou zijn, heeft een bericht hierover naar de Bondsdagleden gestuurd, zo meldt het Duitse Heise.

Bij de phishingaanvallen doen de aanvallers zich voor als een Support-chatbot van Signal. Via deze methode proberen zij verificatie en pincodes van hun doelwitten te bemachtigen, met als doel het account van de gebruiker over te nemen.

De veiligheid van de communicatie is de belangrijkste reden voor de voorgestelde overstap naar Wire. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), een onderdeel van het Duitse ministerie van Binnenlandse Zaken, heeft de zakelijke versie 'Wire Bund' goedgekeurd voor de uitwisseling van gevoelige informatie. Een ander genoemd voordeel van Wire is de registratieprocedure, die plaatsvindt via een e-mailadres in plaats van een telefoonnummer. Dit e-mailadres is bovendien niet zichtbaar voor derde partijen, wat het voor aanvallers moeilijker zou moeten maken om phishingaanvallen uit te voeren.

Volgens Wire waren de phishingaanvallen tegen Signal succesvol omdat ze gericht waren op gebruikers die mogelijk niet ideaal geschikt zijn voor Signal. Wire wijst hierbij op het gebruik van telefoonnummers door Signal, waardoor beveiligingsmaatregelen zoals Single Sign-On en andere access controls niet toepasbaar zouden zijn. Bovendien kunnen gebruikers van Signal elke andere gebruiker benaderen, mits zij diens gebruikersnaam of telefoonnummer kennen. Eerder had Andrea Lindholz, vicevoorzitter van de Bondsdag, ook al gepleit voor een overstap naar Wire en een verbod op het gebruik van Signal op officiële apparatuur van parlementsleden en Bondsdagpersoneel.

Bron: Heise | Bron 2: wire.com | Bron 3: support.signal.org

Het artikel beschrijft een nieuwe benadering van cybersecurity-verdediging met behulp van honeypots die door AI worden aangedreven. Martin Lee van Cisco Talos legt uit hoe generatieve AI het mogelijk maakt om snel en op grote schaal diverse misleidende omgevingen te creëren, zoals Linux-shells of Internet of Things (IoT)-apparaten, met behulp van eenvoudige tekstprompts. Deze methode vereenvoudigt de implementatie van complexe en overtuigende nepomgevingen aanzienlijk vergeleken met traditionele technieken.

Volgens het onderzoek profiteren aanvallers van systemen met AI om tijdrovende taken, zoals het opsporen van potentieel kwetsbare systemen, het identificeren van hun kwetsbaarheden en het uitvoeren van exploitcode, te automatiseren en te orkestreren. Deze nieuwe mogelijkheden plaatsen verdedigers in het nadeel, aangezien ze nieuwe kwetsbaarheden blootleggen voor dreigingsactoren. Echter, aanvallen die door AI worden gestuurd, geven vaak prioriteit aan snelheid boven heimelijkheid, wat hen bijzonder kwetsbaar maakt voor misleiding door gesimuleerde systemen. Dit is cruciaal, omdat het verdedigers in staat stelt geautomatiseerde dreigingen te vangen en te bestuderen die anders menselijke teams zouden kunnen overweldigen.

De aanpak verschuift de strategie van louter het detecteren van aanvallen naar het actief manipuleren en misleiden van dreigingsactoren. Organisaties kunnen binnen een gecontroleerde "spiegelzaal" in realtime de methodologieën van aanvallers veilig observeren. Door de inherente afwezigheid van bewustzijn in AI-agenten te benutten, kunnen verdedigers het speelveld gelijk maken en de automatisering van een aanvaller omzetten in een zwakte.

Systemen met AI beschikken niet over bewustzijn; ze genereren plausibele reacties binnen een gegeven context en set van inputs. Hierdoor kunnen ze worden misleid of gefopt om ongepast te reageren via promptinjectie, of om te interageren met systemen die niet zijn wat ze lijken. Honeypot systemen worden al lange tijd ingezet om informatie te verzamelen over kwaadaardige activiteiten. Hoewel er veel softwareprojecten bestaan die honeypots leveren die kunnen worden geïnstalleerd en geconfigureerd, biedt de komst van generatieve systemen met AI de mogelijkheid om AI te gebruiken om zich te vermommen als kwetsbare systemen, waardoor ze breed en met minimale inspanning kunnen worden ingezet.

De implementatie van deze honeypots die door AI worden aangedreven, bestaat uit drie componenten, een listener die netwerkverbindingen accepteert, een gesimuleerde kwetsbaarheid die toegang verleent aan de aanvaller zodra deze wordt geactiveerd, en een framework voor AI dat reageert op de instructies van de aanvaller. De listener opent een TCP-poort, accepteert inkomende verbindingen en stuurt verkeer door naar een `handle_client`-functie. De `HOST` wordt ingesteld op "0.0.0.0" om alle inkomende verbindingen naar lokale IPv4-adressen te accepteren.

Binnen de `handle_client`-functie is een zeer eenvoudige kwetsbaarheid gecreëerd die moet worden uitgebuit voordat verdere toegang wordt verleend. In dit voorbeeld moet de aanvaller de gebruikersnaam "admin" met het wachtwoord "password123" opgeven om te worden geverifieerd. De aard van de kwetsbaarheid hoeft niet zo eenvoudig te zijn; men zou alleen kunnen reageren op pogingen om bijvoorbeeld Shellshock (CVE-2014-6271) uit te buiten, of zich kunnen vermommen als een webshell die alleen wordt geactiveerd als reactie op poortkloppen. Het resterende deel van de `handle_client`-code accepteert de invoer van de aanvaller, stuurt deze door naar de ChatGPT-instantie en toont het bericht en de reactie in de console. Dit demonstreert hoe generatieve AI kan worden gebruikt om snel adaptieve honeypot-systemen te implementeren.

Bron: Cisco Talos | Bron 2: attack.mitre.org

Videodienst Vimeo heeft een datalek bevestigd waarbij gegevens van een onbekend aantal klanten en gebruikers zijn buitgemaakt. Onder de gelekte informatie bevinden zich e-mailadressen. Het incident is indirect veroorzaakt door een cyberaanval op Anodot, een derde partij die software levert aan Vimeo voor het detecteren van storingen en andere afwijkingen in hun systemen.

De aanvallers slaagden erin authenticatietokens te stelen van Anodot. Deze tokens werden door diverse klanten van Anodot, waaronder Vimeo, gebruikt om toegang te verkrijgen tot hun clouddata. Met de gestolen tokens konden de cybercriminelen vervolgens toegang krijgen tot klantgegevens die in cloudomgevingen waren opgeslagen en deze exfiltreren. Vimeo heeft inmiddels bevestigd dat hun gebruikers en klantgegevens onderdeel waren van deze buitgemaakte informatie.

De gelekte data omvat voornamelijk technische informatie, zoals titels en metadata gerelateerd aan video-content. Daarnaast zijn in een aantal gevallen ook e-mailadressen van getroffen gebruikers en klanten gelekt. Vimeo heeft geen specifieke aantallen bekendgemaakt over het aantal individuen wiens gegevens zijn getroffen door dit incident.

In reactie op het datalek heeft Vimeo onmiddellijk alle Anodot-credentials die binnen hun infrastructuur werden gebruikt, uitgeschakeld. Tevens is de integratie met de software van Anodot binnen de systemen van Vimeo volledig verwijderd om verdere ongeautoriseerde toegang te voorkomen. Het interne onderzoek naar de precieze omvang en impact van het datalek is nog gaande, en Vimeo heeft aangegeven dat zij met meer details zullen komen zodra deze beschikbaar zijn.

De verantwoordelijkheid voor de aanval is opgeëist door de bekende hackersgroep ShinyHunters. Deze groep heeft een reputatie opgebouwd met eerdere grootschalige datalekken, waaronder een incident waarbij meer dan zes miljoen mensen in Nederland werden getroffen door het stelen van gegevens bij telecomprovider Odido. Dit recente incident bij Vimeo via een supply chain aanval op Anodot benadrukt opnieuw de kwetsbaarheid van digitale ecosystemen en het belang van robuuste beveiligingsmaatregelen bij toeleveranciers om indirecte datalekken te voorkomen.

Bron: Vimeo

Kunstmatige intelligentie (AI) modellen blijken in staat te zijn om softwarebeveiliging te kraken in een fractie van de tijd die menselijke experts hiervoor nodig hebben. Onderzoek van Palo Alto Networks toont aan dat cyberaanvallen momenteel vier keer minder lang duren dan vorig jaar, waarbij open sourcesoftware het grootste risico vormt. Recente bevindingen van UNIT 42, de onderzoekstak van Palo Alto Networks, belichten de impact van geavanceerde AI modellen op de beveiliging van software. Het nieuwe AI model Mythos van Anthropic blinkt bijvoorbeeld uit in het vinden van beveiligingslekken en versnelt het tempo van aanvallen aanzienlijk.

UNIT 42 testte diverse AI modellen op hun vermogen om softwarefouten op te sporen. De resultaten zijn opvallend, waar menselijke penetratietesters doorgaans tot een jaar nodig hebben, analyseert AI de broncode, identificeert kwetsbaarheden en bouwt werkende aanvallen in minder dan drie weken. Bovendien combineert AI kleinere lekken tot kritieke aanvalspaden, een proces dat voor mensen zeer tijdrovend is.

De onderzoekers signaleren dat met name open sourcesoftware kwetsbaar is. Aangezien open sourcecomponenten in vrijwel alle bedrijfsapplicaties voorkomen, vormen zij een aantrekkelijk doelwit. Recente incidenten met tools als LiteLLM en Trivy illustreren dat aanvallen via de toeleveringsketen steeds vaker voorkomen, waardoor meerdere verdedigingslagen tegelijkertijd worden omzeild.

Traditioneel werd de tijd tussen het ontdekken van een lek en het eerste misbruik uitgedrukt in N-dagen. Door de inzet van AI spreekt UNIT 42 nu van N-uren, in bepaalde gevallen hadden aanvallers slechts 72 minuten nodig om bedrijfsdata te stelen, waar dat vorig jaar nog bijna vijf uur bedroeg. De drempel voor minder ervaren hackers wordt door AI aanzienlijk verlaagd. Wat voorheen jarenlange expertise vereiste, lukt nu met beperkte kennis. Volgens de onderzoekers zal het aantal zero-day en N-day aanvallen de komende maanden fors toenemen.

Jesper Olsen, CSO Northern Europe bij Palo Alto Networks, benadrukt het belang van snelle detectie en reactie. Hij adviseert bedrijven om patching te automatiseren, open sourcecomponenten te inventariseren en te monitoren, en te investeren in realtime detectiesystemen. Wekelijkse beveiligingsscans schieten volgens hem tekort in het huidige AI landschap.

Bron: Palo Alto Networks | Bron 2: itdaily.com

Meerdere officiële npm-pakketten van SAP zijn gecompromitteerd in wat wordt beschouwd als een supply chain aanval van de dreigingsactor TeamPCP. Het doel van de aanval is het stelen van credentials en authenticatietokens van ontwikkelaarssystemen. Beveiligingsonderzoekers melden dat vier pakketten zijn getroffen, waarvan de betreffende versies nu zijn afgekeurd op NPM: `@cap-js/sqlite - v2.2.2`, `@cap-js/postgres - v2.2.2`, `@cap-js/db-service - v2.10.1` en `mbt - v1.2.48`. Deze pakketten ondersteunen SAP's Cloud Application Programming Model (CAP) en Cloud MTA, die veel worden gebruikt in enterprise-ontwikkeling.

Volgens recente rapporten van Aikido en Socket zijn de gecompromitteerde pakketten aangepast om een kwaadaardig 'preinstall'-script te bevatten. Dit script wordt automatisch uitgevoerd wanneer het npm-pakket wordt geïnstalleerd. Het script lanceert een loader genaamd `setup.mjs` die de Bun JavaScript runtime van GitHub downloadt en gebruikt om een zwaar geobfusceerde `execution.js` payload uit te voeren.

De payload is een informatiedief die een breed scala aan credentials steelt van zowel ontwikkelaarsmachines als CI/CD-omgevingen. Dit omvat authenticatietokens voor npm en GitHub, SSH-sleutels en credentials voor ontwikkelaars, cloudcredentials voor AWS, Azure en Google Cloud, configuratie en geheimen voor Kubernetes, en geheimen en omgevingsvariabelen van CI/CD-pipelines. De malware probeert ook geheimen rechtstreeks uit het geheugen van de CI-runner te extraheren, vergelijkbaar met eerdere supply chain aanvallen van TeamPCP. Socket legt uit dat de payload een ingebed Python-script uitvoert dat `/proc/ /maps` en `/proc/ /mem` leest voor het Runner.Worker-proces om elke secret die overeenkomt met `"key" :{ "value": "...", "isSecret":true}` rechtstreeks uit het geheugen van de runner te extraheren, waarbij alle logmaskering door het CI-platform wordt omzeild. Deze geheugenscanner voor geheimen is structureel identiek aan degene die is gedocumenteerd in de vergelijkbare eerdere incidenten.

Nadat de gegevens zijn verzameld, worden ze versleuteld en geüpload naar openbare GitHub-repositories onder het account van het slachtoffer. Deze repositories bevatten de beschrijving "A Mini Shai-Hulud has Appeared", wat ook lijkt op de string "Shai-Hulud, The Third Coming" die werd waargenomen in de een eerder slachtoffer chain aanval. De malware maakt ook gebruik van zoekopdrachten in GitHub-commits als een dead-drop mechanisme om tokens op te halen en verdere toegang te verkrijgen. Aikido legt uit dat de malware GitHub-commits doorzoekt naar de string `OhNoWhatsGoingOnWithGitHub:` en overeenkomende commit-berichten decodeert naar GitHub-tokens om toegang tot repositories te controleren.

Net als bij eerdere aanvallen bevat de ingezette payload ook code om zichzelf naar andere pakketten te verspreiden. Met gestolen npm of GitHub-credentials probeert de malware andere pakketten en repositories waartoe het toegang krijgt te wijzigen en dezelfde kwaadaardige code te injecteren om zich verder te verspreiden. Onderzoekers linken deze aanval met gemiddelde zekerheid aan de TeamPCP-dreigingsactoren, die vergelijkbare code en tactieken gebruikten in eerdere supply chain aanvallen tegen Trivy, Checkmarx en een eerder slachtoffer. Hoewel het onduidelijk is hoe de dreigingsactoren het npm-publicatieproces van SAP hebben gecompromitteerd, meldt Security Engineer Adnan Khan dat een NPM-token mogelijk is blootgesteld via een verkeerd geconfigureerde CircleCI-taak. BleepingComputer heeft contact opgenomen met SAP voor meer informatie, maar ontving geen reactie ten tijde van publicatie.

Bron: Aikido | Bron 2: socket.dev

Een veelgebruikte redirect plugin voor WordPress, genaamd Quick Page/Post Redirect, bevatte vijf jaar lang een verborgen backdoor die het mogelijk maakte om willekeurige code te injecteren op de websites van gebruikers. De plugin is geïnstalleerd op meer dan 70.000 WordPress-sites. De malware werd ontdekt door Austin Ginder, oprichter van WordPress hostingprovider Anchor, nadat beveiligingswaarschuwingen werden geactiveerd op twaalf geïnfecteerde sites in zijn beheer.

De Quick Page/Post Redirect plugin, die al enkele jaren beschikbaar is op WordPress.org, is een basishulpmiddel voor het aanmaken van redirects in posts, pagina's en aangepaste URL's. WordPress.org heeft de plugin tijdelijk uit de directory verwijderd in afwachting van een beoordeling. Het is nog onduidelijk of de auteur van de plugin de backdoor zelf heeft geïntroduceerd, of dat deze door een derde partij is gecompromitteerd.

Austin Ginder legt uit dat de officiële plugin versies 5.2.1 en 5.2.2, die tussen 2020 en 2021 werden uitgebracht, een verborgen zelf-update mechanisme bevatten dat verwees naar een extern domein, `anadnet[.]com`. Dit mechanisme maakte het mogelijk om willekeurige code te pushen buiten de controle van WordPress.org. In februari 2021 werd de kwaadaardige zelf-updater verwijderd uit latere versies van de plugin op WordPress.org, voordat code-reviewers de kans kregen om deze te onderzoeken.

Volgens Ginder ontvingen sites die Quick Page/Post Redirect 5.2.1 en 5.2.2 draaiden, in maart 2021 stilletjes een gemanipuleerde 5.2.3 build van die externe server, die een passieve backdoor introduceerde. Deze build van de `w.anadnet[.]com` server met de extra backdoor-code had een afwijkende hash vergeleken met dezelfde versie van de plugin die afkomstig was van WordPress.org.

De passieve backdoor wordt alleen geactiveerd voor uitgelogde gebruikers om zijn activiteit voor beheerders te verbergen. Het is gekoppeld aan de 'the_content' functie en haalt gegevens op van de `anadnet`-server, waarschijnlijk gebruikt voor SEO spam operaties. Ginder merkte op dat het mechanisme "gecloakte parasitaire SEO" betrof, waarbij de plugin Google-ranking huurde op tienduizenden websites.

Het werkelijke gevaar voor de getroffen websites komt echter van het update mechanisme zelf, dat uitvoering van willekeurige code op afroep mogelijk maakte. Dat mechanisme is nog steeds aanwezig op sites die de plugin gebruiken, maar is momenteel slapend omdat het kwaadaardige externe command-and-control subdomein niet meer kan worden opgelost. Het domein zelf is echter nog wel actief.

De oplossing voor getroffen gebruikers is om de plugin te de-installeren en te vervangen door een schone kopie van versie 5.2.4, afkomstig van WordPress.org, zodra deze weer beschikbaar is. Ginder heeft een oproep gedaan aan de verantwoordelijken achter de backdoor om een statisch update manifest te publiceren dat alle getroffen installaties dwingt om automatisch te upgraden naar de schone WordPress.org-versie, waardoor de backdoor van eerder gecompromitteerde sites effectief wordt verwijderd. De onderzoeker waarschuwt dat Quick Page/Post Redirect nog steeds 70.000 installaties heeft met een update controle die verwijst naar de `anadnet`-server.

Bron: Anchor

Op een populair cybercrimeforum is een nieuwe verkoopadvertentie verschenen waarbij een dreigingsactor onder het alias AckLine geteste Palo Alto GlobalProtect VPN-referenties aanbiedt voor vijf afzonderlijke bedrijfsnetwerken. De listing volgt het standaardformaat van Initial Access Brokers en vermeldt voor elk slachtoffer de omzet, het aantal werknemers, het land en de sector. Zo kunnen ransomware-partners de doelen evalueren op basis van potentieel uitbetaald bedrag.

De aangeboden toegangen omvatten een telecombedrijf in Roemenië met meer dan 290 miljoen dollar omzet en tussen de 1.000 en 5.000 werknemers, een non-profit organisatie in Colombia met meer dan 120 miljoen dollar omzet en 500 tot 1.000 werknemers, een bedrijfsdienst in Thailand met meer dan 10 miljoen dollar omzet en 50 tot 200 werknemers, een ISP en telecombedrijf in Slovenie met meer dan 25 miljoen dollar omzet en 50 tot 200 werknemers, en een onderwijsinstelling in Spanje met meer dan 350 miljoen dollar omzet en tussen de 1.000 en 5.000 werknemers.

De verkoper claimt dat de inloggegevens zijn getest, maar geeft aan dat de host en endpoint-detectiestatus niet is gecontroleerd. Het accent op telecommunicatie en ISP suggereert dat ransomware-actoren via deze ingangen brede downstream-toegang kunnen verkrijgen tot klanten en partners van deze bedrijven. Voor verdedigers in Nederland en Belgie geldt dat Palo Alto GlobalProtect VPN-toegangen een veelgebruikte aanvalsvector vormen die perimeterdetecties vaak omzeilen, en dat dergelijke listings doorgaans afkomstig zijn van credentials uit infostealer-logs of phishingcampagnes. Organisaties die GlobalProtect gebruiken doen er goed aan multifactorauthenticatie strikt af te dwingen en te controleren op anomale loginpogingen vanuit infostealer-IP-ranges.

Bron: Darkweb

Op een populair cybercrimeforum wordt een nieuwe bulletproof hostingdienst onder de naam offshore.lc geadverteerd, expliciet vermarkt aan dreigingsactoren. De dienst biedt VPS, RDP, dedicated servers en shared hosting aan, en stelt zich te onderscheiden door anonieme aanmelding zonder Know-Your-Customer-controle, en uitsluitend cryptobetalingen. De verkoper benadrukt verder dat de service DMCA-non-responsief is en geen logs bijhoudt.

Bulletproof hostingdiensten van dit type worden in de praktijk gebruikt om phishingkits te hosten, command-and-control servers voor malware op te zetten, panels voor malware voor stealer te draaien en andere criminele infrastructuur uit te baten. Hoewel de advertentie zelf geen breach of datalek betreft, is de bewustwording relevant voor verdedigers in Nederland en Belgie. Aanvallen vanuit deze infrastructuur kunnen NL/BE bedrijven en consumenten treffen, en juridische en technische bestrijding verloopt traag door de zelfverklaarde DMCA-niet-responsiviteit.

Voor SOC-teams en hostingproviders is het verstandig domeinen die naar offshore.lc wijzen op te nemen in interne dreigingsfeeds en uitgaand verkeer naar dergelijke infrastructuur extra te monitoren. Voor advocaten en compliance-officers betekent het dat juridische kanalen vermoedelijk weinig effect zullen hebben en focus moet liggen op detectie en blokkering aan de eigen netwerkrand.

Bron: Darkweb

Op een populair cybercrimeforum biedt een dreigingsactor onder het alias NormalLeVrai een eerder onopgepatchte informatielek-kwetsbaarheid in cPanel te koop aan voor 1.000 dollar. De verkoper omschrijft het als een vervolgkwetsbaarheid die werd ontdekt na het patchen van de eerdere cPanel auth-bypass van 28 april 2026. De kwetsbaarheid zou volgens de listing inloggegevens van getroffen websites blootleggen, inclusief paneel en sitelink, gebruikersnaam en wachtwoord. De actor claimt dat de exploit 13.522 cPanel installaties in 94 verschillende landen treft. De volledige lijst van getroffen landen is volgens de actor gepost op Pastebin. Deze cijfers zijn actor-claims en niet onafhankelijk geverifieerd op het moment van schrijven.

cPanel is een van de meest wijdverspreide hostingbedieningspanelen ter wereld en wordt door talloze hostingproviders en website-eigenaren in Nederland en Belgie gebruikt. Een informatielek dat administratieve referenties blootlegt vormt een direct compromisrisico voor de getroffen accounts. Hostingaccounts die op deze manier worden overgenomen, worden in de praktijk vaak hergebruikt voor het hosten van phishingkits, malware-distributie en SEO-vergiftigingscampagnes. De acceptatie van escrow door de verkoper, een onafhankelijke derde-partij die het geld vasthoudt, suggereert dat de actor meerdere kopers en serieuze onderhandelingen verwacht.

Voor verdedigers, beheerders en hostingbedrijven betekent dit dat directe controle van cPanel installaties op de meest recente patchstatus prioriteit moet krijgen. Daarnaast is het verstandig logs van cPanel logins te monitoren op afwijkende patronen, multifactorauthenticatie waar mogelijk af te dwingen, en cPanel sessies te beperken tot specifieke IP-bereiken.

Bron: Darkweb

Op een Russisch cybercrimeforum heeft een dreigingsactor onder het alias Fidel.Castro een werving-advertentie geplaatst voor Initial Access Brokers die op continue basis toegang tot bedrijfsnetwerken kunnen leveren. De groep adverteert expliciet dat ze opereren op afspraak en zonder locker, wat in de praktijk betekent dat zij data exfiltreren en slachtoffers afpersen zonder bestand-encryptie in te zetten. Deze datadiefstal-en-afpersing-aanpak maakt detectie moeilijker voor organisaties die afhankelijk zijn van encryptie-waarschuwingen als primaire indicator van ransomware-activiteit.

In de werving claimt de actor een reputatie-deposit van 2 Bitcoin op aangrenzende fora te hebben staan, en biedt procentuele uitbetalingen aan bij succesvolle operaties. Volgens de listing koopt de groep elk type toegang met elk privilege-niveau, inclusief footholds die eerder aan andere ransomware-crews zijn verkocht maar door hen niet werden ingezet. De expliciete focus ligt op KORP-accesses, jargon voor toegang tot grote bedrijfsnetwerken, met de bedoeling deze in te zetten voor hoogwaardige afpersing. De vermelde reputatie-deposit en de premium forum-status van het account suggereren dat het een georganiseerde, financieel capabele operatie betreft.

Voor verdedigers in Nederland en Belgie is de relevantie dat data-only afpersing een groeiende trend is en dat klassieke ransomware-detectie op encryptie-events onvoldoende is. Organisaties moeten investeren in detectie van anomale uitgaande dataverkeerspatronen, ongebruikelijke archiveringsactiviteit, en toegangspatronen vanuit infostealer-credentials. Voorbereiding op een afpersingsincident zonder encryptie betekent ook dat incident response draaiboeken aangepast moeten worden, omdat de gebruikelijke encryptie-trigger ontbreekt.

Bron: Darkweb

Op een populair cybercrimeforum wordt een dienst aangeboden waarbij een dreigingsactor onder het alias convince een private methode verkoopt om willekeurige domeinen binnen 24 uur offline te halen. De listing draagt de titel Private Domeinopschortingsmethode, en spreekt expliciet over het misbruiken van registrar-misbruikrapportage en juridische neerhalingskanalen om legitieme en illegitieme doelwitten offline te krijgen.

De verkoper biedt twee niveaus aan, een eenmalige dienst om een doelwitdomein binnen 24 uur offline te halen, en een volledig methodologiepakket waarmee kopers de aanval kunnen repliceren. De geclaimde techniek leunt niet op een technische exploit, maar op sociale engineering van nalevingsteams bij registrars met vervalste juridische documenten en valse abuse-meldingen, ontworpen om de clientHold-status door de registrar te laten activeren. De doelwitten in de advertentie omvatten domeinen onder alle grote topleveldomeinen, inclusief .com, .net, .org, .io en .ai. De aangeboden gebruiksdoelen zijn expliciet, aanvallen op concurrenten, journalisten, beveiligingsonderzoekers en legitieme bedrijven.

Voor verdedigers in Nederland en Belgie heeft deze dienst directe relevantie. Onafhankelijke onderzoekers, security journalisten, opsporingsplatforms en bedrijven die gevoelig liggen bij cybercriminelen lopen risico op een tijdelijke domein-suspensie via deze route. Beheerders van waardevolle domeinen wordt aangeraden om bij hun registrar het verificatie-protocol op te vragen voor abuse-meldingen en juridische neerhalingsverzoeken, en waar mogelijk additionele identiteitsverificatie of vertraging in te bouwen voor clientHold-acties. Daarnaast is het zinvol om als domeineigenaar reactiesnelheid op abuse-meldingen door de registrar zelf te controleren, en alternatieve communicatiekanalen klaar te hebben voor het geval een domein onverhoeds wordt opgeschort.

Bron: Darkweb

Het Amerikaanse Federal Bureau of Investigation (FBI) heeft een waarschuwing uitgegeven over een toename van vrachtdiefstal, aangedreven door cybercriminelen die bedrijven imiteren en leveringen omleiden. Vorig jaar werd in de Verenigde Staten en Canada voor bijna 725 miljoen dollar aan vracht gestolen, een trend die de afgelopen twee jaar aanzienlijk is toegenomen. Deze geavanceerde methode van cybercriminaliteit vormt een potentiële dreiging voor de internationale transport en logistiek sector, inclusief bedrijven in Nederland en België.

Volgens het advies van de FBI zijn cybercriminelen erin geslaagd om in te breken in de systemen van makelaars en vervoerders. Dit stelt hen in staat om zich voor te doen als legitieme bedrijven en frauduleuze vrachtaanbiedingen te plaatsen op online marktplaatsen die bekendstaan als 'load boards'. Deze platforms worden gebruikt door vrachtwagenbezitters, verladers en vrachtmakelaars om banen aan te bieden en aan te nemen.

De criminelen misleiden vervolgens zowel makelaars als vervoerders om goederen af te staan door pakketten om te leiden van hun oorspronkelijke bestemming. De verliezen door vrachtdiefstal in 2025 zijn met 60% gestegen ten opzichte van 2024, en de gemiddelde waarde per diefstal nam met 36% toe. De waarschuwing van de FBI volgt op maanden van klachten uit verschillende sectoren over incidenten waarbij grote, dure vracht werd gekaapt nadat hackers zendingen hadden omgeleid. Zo verloor een vapebedrijf vorig jaar producten ter waarde van 1 miljoen dollar door een dergelijk hacks en kapingsincidenten.

Een anonieme bron binnen een autodealer in New York bevestigde de ernst van de situatie, waarbij meerdere overzeese autozendingen in de afgelopen 16 maanden zijn gestolen. In al deze gevallen wisten hackers de load boards te compromitteren. De FBI bevestigt deze bevindingen en stelt dat dreigingsactoren makelaars imiteren en zich voordoen als hen via e-mail. Ze versturen dan kwaadaardige links die hen uiteindelijk toegang geven tot de systemen van de makelaars of vervoerders.

"Criminele dreigingsactoren krijgen toegang tot load boards, waar zij zich voordoen als makelaars met behulp van gecompromitteerde vervoerdersaccounts om tienduizenden nepvrachten te plaatsen," aldus de FBI. Legitieme vervoerders reageren op deze nepvrachten en nemen contact op met de dreigingsactoren, die een kwaadaardige overeenkomst tussen vervoerder en makelaar aanbieden en zo de computersystemen van de vervoerder compromitteren.

Vervolgens doen de hackers zich voor als de gecompromitteerde vervoerder en accepteren ze zendingen die op de load boards zijn geplaatst. In sommige gevallen passen de cybercriminelen een proces toe dat 'double-brokering' wordt genoemd, waarbij ze een extra stop in de leveringsketen toevoegen. Een nietsvermoedende chauffeur transporteert het pakket dan naar een andere locatie dan de eindbestemming, waar de hackers de gestolen vracht ophalen. De FBI heeft zelfs incidenten waargenomen waarbij cybercriminelen de contactinformatie van de legitieme vervoerder bij de Federal Motor Carrier Safety Administration wijzigden en verzekeringsinformatie bijwerkten om ladingen toe te staan die de vervoerder voorheen niet accepteerde.

Vervoerders die zijn gecompromitteerd, zijn zich vaak niet bewust van de inbreuk totdat makelaars contact met hen opnemen over vermiste vracht die onder hun naam is geboekt. De FBI waarschuwde tevens dat sommige cybercriminelen, na het stelen van de vracht, contact opnemen met makelaars om losgeld te eisen voor de gestolen lading. Slachtoffers zijn via e-mail en telefoon benaderd, waarbij sommige incidenten telefoonnummers uit het buitenland betroffen.

Bron: FBI (via IC3) | Bron 2: bloomberg.com

Onderzoeker Jeremiah Fowler heeft een omvangrijk datalek ontdekt dat privéfoto's, screenshots en berichten van een bekende Europese beroemdheid en diverse social media figuren bevatte. De bestanden, waaronder 86.859 afbeeldingen, waren opgeslagen in een publiekelijk toegankelijke database die niet met een wachtwoord was beveiligd.

Uit verdere analyse bleek dat veel van de screenshots direct van de telefoon van een slachtoffer afkomstig waren, wat duidt op het gebruik van stalkerware. Het lek bevatte ook privé chatlogs van applicaties zoals WhatsApp, Facebook, TikTok en Instagram. Fowler vermoedt dat de persoon of personen die de stalkerware hadden geïnstalleerd, nagelaten hadden hun opslagmap te beveiligen, waardoor iedereen met een internetverbinding en de mogelijkheid om verkeerd geconfigureerde servers te vinden, toegang had tot deze gevoelige bestanden.

De data, zoals beschreven in het onderzoek van Fowler dat door ExpressVPN werd gepubliceerd, omvatte zeer persoonlijke details zoals romantische berichten en privéfoto's. Daarnaast waren er telefoonnummers, e-mailadressen en foto's van identiteitsdocumenten zoals facturen en bonnetjes te vinden. De stalkerware legde zelfs berichten vast die waren verzonden naar influencers met miljoenen volgers. De voornaamste getroffen persoon is een prominente Europese ondernemer en mediapersoonlijkheid. Fowler heeft de namen van de betrokkenen niet bekendgemaakt ter bescherming van hun privacy, maar heeft de gelekte telefoonnummers gebruikt om hen te waarschuwen en heeft de situatie gemeld bij de wetshandhaving om verdere monitoring te stoppen.

Fowler legde uit dat stalkerware een spionagetool is die heimelijk op een telefoon wordt geïnstalleerd door een aanvaller of een bekende van het slachtoffer om alle activiteiten te volgen. Hoewel het soms wordt gebruikt voor monitoring van kinderen, misbruiken kwaadwillenden deze software om anderen te bespioneren voor eigen gewin. De software werkt verborgen, zonder enige indicatie van installatie. Stalkerware kan GPS-locaties zien, teksten lezen en zelfs de camera of microfoon van de telefoon activeren. Doorgaans is fysieke toegang tot het apparaat gedurende enkele minuten nodig voor installatie, waarna alle data naar een externe server wordt verzonden.

Zelfs applicaties als WhatsApp, die end-to-end encryptie gebruiken, zijn niet volledig veilig, omdat spyware screenshots kan maken van het scherm. Fowler benadrukte dat "encryptie alleen data tijdens transport beschermt"; zodra een bericht op het scherm verschijnt, kan de spyware het vastleggen.

Gebruikers wordt geadviseerd alert te zijn op signalen die kunnen duiden op de aanwezigheid van stalkerware, zoals een snel leeglopende batterij of een onverklaarbaar heet wordend apparaat. Verder is het essentieel om sterke wachtwoorden te gebruiken en nooit toe te staan dat anderen de telefoon zonder toezicht vasthouden. Bij vermoeden van stalkerware op de telefoon, dienen gebruikers te zoeken naar onbekende of verdachte apps, antivirusscans uit te voeren, apparaatbeheerderinstellingen en toegankelijkheidsrechten te controleren, en indien nodig een volledige fabrieksreset uit te voeren om de spyware te verwijderen.

Bron: ExpressVPN

Een nieuwe phishing kit, genaamd Bluekit, duikt op in de cybercrimewereld en biedt meer dan veertig templates gericht op populaire diensten. Opvallend is de integratie van basale AI-functies die cybercriminelen helpen bij het opstellen van phishingcampagnes. De beschikbare templates kunnen worden ingezet voor het aanvallen van e-mailaccounts zoals Outlook, Hotmail, Gmail, Yahoo en ProtonMail, maar ook clouddiensten zoals iCloud, ontwikkelaarsplatforms zoals GitHub, en cryptovalutadiensten zoals Ledger.

Wat deze kit onderscheidt, is de aanwezigheid van een paneel voor een AI assistent dat diverse modellen ondersteunt, waaronder Llama, GPT-4.1, Claude, Gemini en DeepSeek. Deze assistent helpt bij het opstellen van concept-phishing-e-mails, wat de bredere trend van cybercrimeplatforms versterkt om AI te integreren voor het stroomlijnen en opschalen van hun operaties. Eerder rapporteerde Abnormal Security al over ATHR, een voice-phishing platform dat AI-agenten gebruikt voor geautomatiseerde social engineering aanvallen.

Cybersecuritybedrijf Varonis analyseerde een beperkte versie van het paneel van de AI assistent van Bluekit. Hun bevindingen suggereren dat de gegenereerde concepten nog plaatsaanduidingen bevatten en aanvullende bewerking vereisen, wat duidt op een experimentele fase van deze functionaliteit. Volgens Varonis levert de AI assistent eerder een campagnestructuur dan een volledig uitgewerkte phishingflow.

Naast de AI-functionaliteit integreert Bluekit het aankopen en registreren van domeinen, de opzet van phishingpagina's en het beheer van campagnes in één enkel paneel. Varonis heeft templates beoordeeld voor diensten als iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara en Ledger, die stuk voor stuk realistische ontwerpen en logo's bevatten.

Operators kunnen via een uniforme interface domeinen, templates en modi selecteren, het gedrag van de phishingpagina's configureren (zoals omleidingen, mechanismen tegen analyse en de afhandeling van het inlogproces), en de sessies van slachtoffers in real-time monitoren. Het dashboard biedt gedetailleerde controle over het gedrag van de phishingpagina's, met opties om VPN of proxyverkeer en headless user agents te blokkeren, of om op vingerafdrukken gebaseerde filters in te stellen.

Gestolen gegevens worden via Telegram geëxfiltreerd naar privékanaal, die alleen toegankelijk zijn voor de operators. De monitoring van sessies na buitmaking van gegevens omvat cookies, lokale opslag en de live sessiestatus, wat inzicht geeft in wat het slachtoffer na het inloggen te zien kreeg en operators helpt hun aanvallen te verfijnen voor maximale effectiviteit.

Varonis merkt op dat Bluekit een voorbeeld is van een alles-in-één phishingplatform, dat cybercriminelen op een lager niveau volwaardige tools biedt om de gehele levenscyclus van een phishingaanval te beheren. De kit is momenteel nog volop in ontwikkeling, ontvangt frequente updates en evolueert snel, wat het een goede kandidaat maakt voor een groeiende adoptie onder kwaadwillenden.

Bron: Varonis | Bron 2: hubs.la

Onderzoekers hebben een onbeveiligde server ontdekt die toebehoorde aan een groep cybercriminelen. Deze server, die op 16 april werd gevonden, was gekoppeld aan "Jerry's Store", een online marktplaats waar hackers gestolen creditcards testen op geldigheid. Nader onderzoek wees uit dat de hackers per ongeluk hun eigen database hadden gelekt als gevolg van een fout met een code-editor die gebruikmaakt van kunstmatige intelligentie (AI).

De beheerders van Jerry's Store maakten gebruik van een AI-ondersteunde ontwikkelomgeving genaamd Cursor om hun code te schrijven. Cursor is een legitieme tool die ontwikkelaars gebruiken voor snelle softwareontwikkeling. Echter, volgens bevindingen van Cybernews, gedeeld met Hackread.com, vertrouwden de hackers sterk op de AI om het werk voor hen te doen, een methode die "vibecoding" wordt genoemd.

Deze aanpak leidde tot een aanzienlijke beveiligingsfout. Toen de hackers de AI vroegen om een statistiekendashboard te bouwen, creëerde de tool een niet-geauthenticeerde open webdirectory in plaats van een beveiligde pagina. Dit betekende dat de hackers een website bouwden die voor iedereen toegankelijk was zonder wachtwoord. De onderzoekers legden uit dat de AI een open webdirectory creëerde om de webpagina te hosten, zonder de noodzaak van authenticatie in acht te nemen.

Een analyse van de chatgeschiedenis toonde aan dat de Cursor LLM (Large Language Model) voldoende informatie had om te herkennen dat het hielp bij het bouwen van een creditcardverificatiedienst. Dit benadrukt volgens de onderzoekers een gebrek aan veiligheidsbarrières, aangezien Cursor de hackers niet weerhield van crimineel gebruik. Deze fout stelde het onderzoeksteam ook in staat om de privégegevens en de exacte stappen die waren genomen om de site te bouwen, in te zien.

De hackers gebruikten deze server om te controleren welke van hun gestolen creditcards actief waren. Hiervoor maakten ze gebruik van bekende websites zoals Amazon US, Amazon JP, Grubhub, Sam's Club, Temu, Lyft, Elf Cosmetics en CountryMax. Ze creëerden duizenden accounts op deze sites en probeerden kleine transacties uit te voeren. Als een betaling succesvol was op een site zoals Amazon, wisten de hackers dat de kaart geldig was en voor een hoge prijs kon worden verkocht. De gelekte data op de server was omvangrijk en bevatte:

*   345.000 creditcards in totaal, Dit omvatte 200.000 ongeldige en meer dan 145.000 geldige kaarten.

*   Gevoelige informatie, De lek bevatte namen van kaarthouders, huisadressen, kaartnummers en beveiligingscodes.

*   Marktwaarde, Aangezien werkende kaarten op het darkweb worden verkocht voor $7 tot $18, had deze lijst een potentiële waarde van maximaal $2,6 miljoen.

Jerry's Store werd eind 2023 gelanceerd. De locatie van de groep is onduidelijk, maar de persoon die de shop runt, lijkt vloeiend Chinees te spreken. De server zelf werd gehost in Duitsland, en de onderzoekers vermoeden dat een bulletproof hostingprovider werd gebruikt om verborgen te blijven. Deze zaak dient als waarschuwing voor iedereen die AI gebruikt voor softwareontwikkeling, aangezien het aantoont dat AI, hoewel snel, tot dergelijke catastrofes kan leiden als de code niet handmatig wordt gecontroleerd.

Bron: Cybernews

In een recente reeks software supply chain aanvallen zijn kwaadwillende actoren erin geslaagd om populaire Python en PHP-pakketten te compromitteren. Het doel is uitgebreide diefstal van inloggegevens en verdere verspreiding via een worm-achtig mechanisme. De incidenten, die worden toegeschreven aan de dreigingsactor TeamPCP, betreffen onder andere PyTorch Lightning en het `intercom-client` pakket, en zijn een uitbreiding van de eerder waargenomen Mini Shai-Hulud campagne.

Volgens onderzoekers van Aikido Security, OX Security, Socket en StepSecurity zijn de kwaadaardige versies 2.6.2 en 2.6.3 van PyTorch Lightning op 30 april 2026 gepubliceerd. PyTorch Lightning, een open-source Python framework voor PyTorch, is inmiddels door de beheerders van de Python Package Index (PyPI) repository in quarantaine geplaatst.

De aanval op PyTorch Lightning omvat een verborgen `_runtime` map met daarin een downloader en een geobfusceerde JavaScript-payload. Deze payload wordt automatisch uitgevoerd zodra de `lightning` module wordt geïmporteerd, zonder dat verdere gebruikersactie na installatie en import nodig is. De aanvalsketen activeert een Python-script (`start.py`) dat de Bun JavaScript runtime downloadt en uitvoert. Vervolgens wordt een 11MB grote, geobfusceerde kwaadaardige payload (`router_runtime.js`) gelanceerd, gericht op het stelen van diverse inloggegevens.

Gestolen GitHub-tokens worden gevalideerd en vervolgens gebruikt om een worm-achtige payload te injecteren in maximaal 50 branches van elk repository waartoe het token schrijft. Deze operatie creëert nieuwe bestanden en overschrijft bestaande bestanden, waarbij elke besmette commit wordt geauthenticeerd met een hardgecodeerde identiteit die Anthropic's Claude Code imiteert. Daarnaast maakt de malware gebruik van een npm-gebaseerde propagatievector die de lokale npm-pakketten van ontwikkelaars aanpast met een `postinstall` hook in het `package.json` bestand. Dit activeert de kwaadaardige payload, verhoogt het patch-versienummer en herverpakt de .tgz tarballs. Indien de nietsvermoedende ontwikkelaar deze gewijzigde pakketten publiceert, worden ze via npm verspreid naar andere gebruikers.

De beheerders van PyTorch Lightning hebben de problemen erkend en onderzoeken de exacte oorzaak van de compromittering, hoewel aanwijzingen duiden op een gecompromitteerd GitHub-account van het project. Als tijdelijke maatregel wordt geadviseerd om Lightning-versies 2.6.2 en 2.6.3 te blokkeren en te verwijderen, terug te keren naar versie 2.6.1, en alle in de getroffen omgevingen blootgestelde inloggegevens te roteren.

In een gerelateerde ontwikkeling is versie 7.0.4 van `intercom-client` gecompromitteerd als onderdeel van dezelfde Mini Shai-Hulud campagne. Deze aanval maakt gebruik van een vergelijkbare modus operandi, waarbij een `preinstall` hook wordt gebruikt om credential-stealing malware te activeren. De GitHub-gebruiker "nhur" bleek gehackt te zijn, wat leidde tot de publicatie van het kwaadaardige pakket via een geautomatiseerde CI publish workflow. De campagne heeft zich ook verspreid naar Packagist met de compromittering van "intercom/intercom-php" (versie 5.0.2), die een vergelijkbaar mechanisme gebruikt voor het PHP-ecosysteem.

De PHP-payload downloadt Bun via een shell-script (`setup-intercom.sh`) dat wordt geactiveerd tijdens installatie of update-events (via de `post-install-cmd` en `post-update-cmd` hooks) en lanceert eveneens de geobfusceerde `router_runtime.js` payload. Deze malware richt zich op GitHub, npm, SSH-sleutels, cloud-inloggegevens, Kubernetes, Vault, Docker-inloggegevens, .env bestanden en andere ontwikkelaars- en CI-geheimen. Gestolen data wordt versleuteld en geëxfiltreerd naar een externe server (`zero.masscan[.]cloud:443/v1/telemetry`), met een fallback naar de GitHub-gebaseerde exfiltratiemethode via gestolen GitHub-tokens door een publieke repository met de beschrijving "A Mini Shai-Hulud has Appeared" aan te maken. De malware beschikt ook over propagatiemogelijkheden, waarbij ontdekte npm-tokens worden misbruikt om pakketten aan te passen en opnieuw te publiceren.

Bron: Socket | Bron 2: github.com | Bron 3: ox.security

De Qilin ransomwaregroep, ook bekend als Agenda, is een van de meest actieve en schadelijke dreigingen in het huidige cyberlandschap. Sinds de verschijning in 2022 heeft de groep haar tactieken continu geëvolueerd. Een recente techniek die is waargenomen, is het enumereren van de authenticatiegeschiedenis van Remote Desktop Protocol (RDP) op gecompromitteerde servers. Deze methode biedt Qilin een snelle en stille manier om een netwerk in kaart te brengen en volgende doelwitten te identificeren.

Qilin is een Ransomware-as-a-Service (RaaS) groep die vermoedelijk vanuit Rusland opereert. Hoewel de groep in juli 2022 aanvankelijk weinig aandacht trok, nam de activiteit in 2023 aanzienlijk toe met 45 geclaimde aanvallen. Qilin richtte zich op kritieke sectoren zoals de gezondheidszorg, productie, financiën en overheidsinstanties. Tegen 2025 had de groep al meer dan 700 bevestigde aanvallen in één jaar op haar naam staan, wat haar tot een van de meest productieve ransomware-operatoren maakt. Eerdere slachtoffers omvatten onder meer NHS-ziekenhuizen in Londen en systemen van lokale overheden in de Verenigde Staten.

De initiële toegang wordt doorgaans verkregen via spearphishing-e-mails, het misbruiken van bekende softwarekwetsbaarheden of het exploiteren van Remote Monitoring and Management (RMM)-tools. Eenmaal binnen een netwerk richten de aanvallers zich op het geruisloos uitbreiden van hun bereik. Ze maken gebruik van "living-off-the-land" technieken, die opgaan in normale systeemactiviteit om detectiesystemen te omzeilen. Qilin past ook dubbele afpersing toe, waarbij data wordt versleuteld en gedreigd wordt met publieke lekken als niet aan de losgeldeisen wordt voldaan.

Maurice Fielenbach, Information Security Researcher bij Hexastrike, heeft onlangs een bijzonder geraffineerde verkenningsbeweging van Qilin-operatoren op een gecompromitteerde server geïdentificeerd. Zijn observatie toonde aan hoe de groep een PowerShell-commando gebruikte om alle Event ID 1149-logboeken uit het `Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational` logboek op te vragen. Deze enkele query verschafte de aanvallers een duidelijk overzicht van welke accounts RDP op de host gebruikten, welke cliëntsystemen ermee verbonden waren en welke accounts voldoende bevoegd leken om als volgend doelwit te dienen. Het script werd geleverd via een ongeautoriseerde ScreenConnect-installatie tijdens de inbraak.

Wat dit gedrag opvallend maakt, is de minimale ruis die het genereert. In plaats van luidruchtige netwerkscans of Active Directory-enumeratietools uit te voeren die beveiligingssystemen doorgaans detecteren, gebruikte Qilin een ingebouwd Windows-logboekmechanisme om alle benodigde verkenningsdata te verzamelen. Dit is een berekende zet die een bredere verschuiving weerspiegelt in de manier waarop ransomwaregroepen stealth benaderen vóór de encryptiefase.

De gebruikte RDP-authenticatie-enumeratietechniek staat centraal in Qilin's strategie voor laterale beweging. Door Event ID 1149 op te vragen, dat registreert wanneer een Remote Desktop-verbindingsverzoek wordt ontvangen, extraheerden de aanvallers gebruikersnamen, domeinnamen en de broncliëntmachines die bij elke sessie betrokken waren. Met één commando bouwden ze een geprioriteerde lijst op van accounts die het waard waren om verder te compromitteren. Deze aanpak is bijzonder effectief omdat Event ID 1149 zich bevindt in het RemoteConnectionManager Operational-logboek, en niet in het hoofdbereik van het Security-gebeurtenislogboek. Veel organisaties sturen dit logboek niet door naar hun Security Information and Event Management (SIEM)-systeem of behandelen het als lage prioriteit, wat aanvallers een stille mogelijkheid biedt om waardevolle intelligentie te verzamelen. Het is belangrijk op te merken dat Event ID 1149 op zichzelf geen succesvolle RDP-login bevestigt; het registreert alleen dat een verbindingsverzoek is ontvangen. Correlatie met Event ID 4624 uit het Security-logboek of entries uit het Local Session Manager-logboek is nodig om daadwerkelijke succesvolle logins te verifiëren.

Beveiligingsteams wordt geadviseerd om PowerShell ScriptBlockLogging in hun gehele omgeving in te schakelen, aangezien er geen legitieme reden is voor een niet-administratief proces om dit type RDP-enumeratiequery uit te voeren. Organisaties moeten ook alert zijn op ongeautoriseerde installaties van remote toegangstools zoals ScreenConnect, AnyDesk, Atera of Total Software Deployment op gecompromitteerde hosts. Monitoring op manipulatie-events van Windows Defender, naast deze indicatoren, voegt een sterke extra detectielaag toe. Gezamenlijk kunnen deze signalen, waargenomen in de uren vóór de encryptie begint, dienen als een betrouwbare vingerafdruk van een actieve Qilin-inbraak.

Bron: CyberSecurityNews

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die verantwoordelijk is voor het beheer van de .nl-domeinnamen, heeft in haar recent verschenen Jaarverslag 2025 onthuld dat phishingsites en websites die malware verspreiden binnen de .nl-zone gemiddeld twintig uur actief blijven voordat ze worden verwijderd. Dit is een lichte verbetering ten opzichte van het voorgaande jaar, toen de gemiddelde levensduur van dergelijke kwaadwillende sites nog 23 uur bedroeg. De .nl-zone is een van de grootste landdomeinen ter wereld en telt momenteel ongeveer zes miljoen geregistreerde domeinnamen.

SIDN speelt een cruciale rol in de bescherming van de digitale veiligheid in Nederland door actief de strijd aan te gaan met het misbruik van .nl-domeinnamen. Dit misbruik omvat diverse vormen van cybercriminaliteit, zoals phishingcampagnes, de verspreiding van malware en de exploitatie van nepwebwinkels die consumenten proberen op te lichten. De stichting initieert actie door gedetailleerde meldingen te sturen naar de betrokken domeinnaamhouders, de .nl-registrars en de hostingpartijen. Deze meldingen bevatten specifieke informatie over het misbruik, waardoor de verantwoordelijke partijen in staat worden gesteld om snel en effectief in te grijpen en de betreffende kwaadwillende content offline te halen.

De inspanningen van SIDN en haar partners werpen vruchten af. Volgens het jaarverslag werd vorig jaar 77 procent van de gemelde websites die gebruikt werden voor phishing of malware binnen 24 uur na ontvangst van de melding door de registrars offline gehaald. Dit toont een effectieve samenwerking binnen het ecosysteem van de .nl-zone. In aanvulling op deze gecoördineerde acties heeft SIDN in 411 specifieke gevallen zelf direct ingegrepen. Na een grondig intern onderzoek werden deze domeinnamen onbereikbaar gemaakt, waardoor de bijbehorende websites eveneens buiten werking werden gesteld.

Om de effectiviteit verder te vergroten, heeft SIDN per 1 januari van dit jaar haar beleid inzake phishing aangescherpt. Indien een nieuwe domeinregistratie voldoet aan specifieke kenmerken die door de organisatie zijn vastgesteld als indicatoren voor phishingactiviteiten, wordt de domeinnaam proactief en sneller onbereikbaar gemaakt. Deze versnelde respons is van groot belang, gelet op de aanhoudende dreiging van phishing. Een recent onderzoek van SIDN onder 412 Nederlandse bedrijven heeft uitgewezen dat maar liefst 58 procent van deze ondernemingen tussen juli 2024 en juli 2025 doelwit is geweest van phishingaanvallen, wat de urgentie van snelle en daadkrachtige maatregelen onderstreept.

Bron: SIDN

Cybersecurityonderzoekers hebben details vrijgegeven over een geavanceerd Python-gebaseerd backdoor-framework genaamd DEEP#DOOR. Deze dreiging beschikt over de mogelijkheid om persistente toegang te verkrijgen en een breed scala aan gevoelige informatie van gecompromitteerde systemen te verzamelen.

Volgens Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee, onderzoekers bij Securonix, begint de aanvalsketen met de uitvoering van een batchscript, genaamd 'install_obf.bat'. Dit script schakelt Windows-beveiligingscontroles uit, extraheert dynamisch een ingebedde Python-payload ('svc.py') en zorgt voor persistentie via meerdere mechanismen. Denk hierbij aan scripts in de opstartmap, Run-sleutels in het register, geplande taken en optionele WMI-abonnementen. De verspreiding van het batchscript gebeurt vermoedelijk via traditionele methoden, zoals phishing.

Hoewel de exacte omvang van de aanvallen met deze malware nog onbekend is, en er geen duidelijk bewijs is voor grootschalig gebruik, lijkt de inzet ervan beperkt en enigszins gericht. Er zijn op dit moment geen consistente indicatoren die wijzen op specifieke geografische gebieden of bedrijfssectoren die systematisch worden getroffen. De modulaire aard van het framework maakt echter dat verschillende dreigingsactoren het in de toekomst voor uiteenlopende doeleinden kunnen aanpassen.

Een opmerkelijk aspect van de aanvalsketen is dat de kern van de Python-implantatie direct in het dropper-script is ingebed. Van daaruit wordt het geëxtraheerd, gereconstrueerd en uitgevoerd. Dit vermindert de noodzaak om herhaaldelijk verbinding te maken met externe infrastructuur en minimaliseert de forensische voetafdruk.

Eenmaal actief, legt de malware communicatie vast met "bore[.]pub", een tunnelingdienst op basis van Rust. Deze dienst stelt de operator in staat om commando's te geven voor uitvoering op afstand en uitgebreide surveillance. Dit omvat systeemonderzoek, opname van omgevingsaudio, verzamelen van inloggegevens van webbrowsers (Google Chrome, Mozilla Firefox, Windows Credential Manager) en diefstal van cloudinloggegevens (Amazon Web Services, Google Cloud en Microsoft Azure). Het gebruik van een openbare TCP-tunnelingdienst voor commando en controleserver (C2) biedt diverse voordelen, het elimineert de noodzaak voor een toegewijde infrastructuur, maskeert kwaadaardig verkeer en voorkomt het inbedden van serverdetails in de payload.

DEEP#DOOR bevat ook een reeks anti-mechanismen voor analyse en verdedigingsontwijking. Hieronder vallen detectie van sandboxes, debuggers en virtuele machines (VM's), patching van AMSI en Event Tracing for Windows (ETW), NTDLL-unhooking, manipulatie van Microsoft Defender, SmartScreen-bypass, onderdrukking van PowerShell-logboekregistratie, wissen van de commandoregel, aanpassen van tijdstempels en wissen van logboeken. Deze technieken dragen bij aan het onopgemerkt blijven en bemoeilijken de incidentrespons.

De malware maakt gebruik van meerdere persistentiemechanismen, waaronder het creëren van scripts in de Windows-opstartmap, Run-sleutels in het register en geplande taken. Een waakhondmechanisme controleert bovendien of persistentie-artefacten zijn verwijderd. Indien dit het geval is, worden ze automatisch opnieuw aangemaakt, wat herstel uitdagend maakt.

De resulterende implantatie functioneert als een volledig uitgeruste Remote Access Trojan (RAT), in staat tot langdurige persistentie, spionage, laterale beweging en post-exploitatieoperaties binnen gecompromitteerde omgevingen. DEEP#DOOR benadrukt de voortdurende ontwikkeling van dreigingsactoren richting bestandsloze, scriptgestuurde inbraakframeworks die sterk afhankelijk zijn van eigen systeemcomponenten en geïnterpreteerde talen zoals Python. Door de payload direct in de dropper in te bedden en deze tijdens runtime te extraheren, vermindert de malware aanzienlijk de externe afhankelijkheden en beperkt het de traditionele detectiemogelijkheden.

Bron: Securonix | Bron 2: github.com | Bron 3: elastic.co

In het eerste kwartaal van 2026 (januari-maart) heeft Microsoft Threat Intelligence ongeveer 8,3 miljard e-mailgebaseerde phishingdreigingen gedetecteerd. De maandelijkse volumes daalden licht van 2,9 miljard in januari naar 2,6 miljard in maart. Tegen het einde van het kwartaal bleek QR code phishing de snelst groeiende aanvalsvector te zijn, met een verdubbeling in deze periode. Tegelijkertijd evolueerde CAPTCHA-gated phishing snel over verschillende payloadtypes.

Over het algemeen bestond 78% van de e-maildreigingen uit linkgebaseerde aanvallen, terwijl kwaadaardige payloads goed waren voor 19% van de aanvallen in januari   mede door grote HTML en ZIP-campagnes   om vervolgens in februari en maart op 13% te stabiliseren. Credential phishing bleef gedurende het hele kwartaal het dominante doel achter kwaadaardige payloads. Deze verschuiving naar linkgebaseerde levering, in combinatie met de payloadtrends, suggereert dat dreigingsactoren gaandeweg het kwartaal steeds vaker de voorkeur gaven aan gehoste credential phishinginfrastructuur boven lokaal gerenderde payloads.

Deze trends weerspiegelen hoe dreigingsactoren blijven innoveren op het gebied van schaal en afleveringstechnieken om hun effectiviteit te verbeteren. Tegelijkertijd kunnen verstoringsinspanningen deze activiteiten aanzienlijk beïnvloeden. Na de actie van Microsoft's Digital Crime Unit (DCU) tegen het Tycoon2FA phishing-as-a-service (PhaaS) platform begin maart, daalde het bijbehorende e-mailvolume met 15% gedurende de rest van de maand. Dit ging gepaard met een aanzienlijke vermindering van de toegang tot actieve phishingpagina's, waardoor de onmiddellijke effectiviteit van het platform werd beperkt. Hoewel Tycoon2FA zich sindsdien heeft aangepast door hostingproviders en domeinregistratiepatronen te wijzigen, weerspiegelen deze veranderingen een gedeeltelijk herstel in plaats van een volledige terugkeer naar eerdere capaciteiten.

Naast deze verschuivingen bleef Business Email Compromise (BEC) activiteit prominent aanwezig, met ongeveer 10,7 miljoen aanvallen in het kwartaal, voornamelijk gedreven door generieke outreach-berichten met lage inspanning. Tegelijkertijd observeerde Microsoft Defender Research vroege indicaties van opkomende technieken zoals device code phishing   soms mogelijk gemaakt door aanbiedingen zoals EvilTokens   die, hoewel nog niet op de schaal van de hierboven besproken trends, de voortdurende innovatie in methoden voor het stelen van inloggegevens weerspiegelen.

Tycoon2FA, getraceerd door Microsoft Threat Intelligence als Storm-1747, is sinds de opkomst in augustus 2023 snel uitgegroeid tot een van de meest wijdverspreide PhaaS-platforms. Het maakt gebruik van adversary-in-the-middle (AiTM) technieken om niet-phishingresistente multifactorauthenticatie (MFA) te omzeilen. De groep achter het PhaaS-platform verhuurt kwaadaardige infrastructuur en verkoopt phishingkits die diverse aanmeldpagina's van bedrijfstoepassingen imiteren en omzeilingstactieken, zoals nep-CAPTCHA-pagina's, integreren.

Het kwartaal begon met een periode van verminderde activiteit voor Tycoon2FA; januari volumes daalden met 54% ten opzichte van december 2025. Dit kan deels te wijten zijn aan seizoenseffecten na de feestdagen, maar ook aan de eerdere disruptie door Microsoft's Digital Crimes Unit van RedVDS, een dienst die door veel Tycoon2FA-klanten werd gebruikt om kwaadaardige e-mailcampagnes te verspreiden. Na een stijging van 44% in februari, daalden phishingaanvallen die naar Tycoon2FA wezen in maart met 15%, grotendeels als gevolg van een gecoördineerde disruptieoperatie. Begin maart 2026 ondernam Microsoft's Digital Crimes Unit, in coördinatie met Europol en industriële partners, actie om de infrastructuur en operaties van Tycoon2FA te verstoren, wat de hostingcapaciteiten van het platform aanzienlijk belemmerde. Hoewel Tycoon2FA-gerelateerde berichten na de disruptie bleven circuleren, was bijna een derde van het totale volume van maart geconcentreerd in een periode van drie dagen vroeg in de maand; de dagelijkse volumes voor de rest van maart waren aanzienlijk lager dan historische gemiddelden en de mogelijkheid voor doelwitten om actieve phishingpagina's te bereiken was substantieel verminderd.

De infrastructuur van Tycoon2FA evolueerde meerdere keren in het eerste kwartaal van 2026. In januari begonnen Tycoon2FA-domeinen te verschuiven naar nieuwere generieke top-level domeinen (TLD's) zoals .DIGITAL, .BUSINESS, .CONTRACTORS, .CEO en .COMPANY, weg van eerder veelgebruikte TLD's of second-level domeinen zoals .SA.COM, .RU en .ES. Deze trend zette zich in februari sterker door. Na de disruptie in maart observeerde Microsoft Threat Intelligence echter een opmerkelijke toename van Tycoon2FA-domeinen met .RU-registraties, waarbij meer dan 41% van alle Tycoon2FA-domeinen sinds de laatste week van maart een .RU TLD gebruikte. Bovendien zagen we tegen het einde van maart dat Tycoon2FA wegging van Cloudflare als hostingservice en nu de meeste van zijn domeinen host via een verscheidenheid aan alternatieve platforms, wat suggereert dat de groep probeert vervangende diensten te vinden die vergelijkbare anti-analysebeveiligingen bieden.

QR-codes zijn de afgelopen jaren snel uitgegroeid tot een favoriet hulpmiddel onder phishingdreigingsactoren die traditionele e-mailbeveiligingen willen omzeilen. Door kwaadaardige URL's in op afbeeldingen gebaseerde QR-codes in de hoofdtekst van een e-mail of in de inhoud van een bijlage in te bedden, proberen dreigingsactoren de beperkingen van op tekst gebaseerde scanengines te omzeilen en slachtoffers om te leiden naar phishingwebsites.

Bron: Microsoft

Meer dan 450.000 Vlamingen hebben deelgenomen aan de AI Check van VRT, een digitale test die tot doel had mensen te helpen onderscheid te maken tussen echte en door artificiële intelligentie (AI) gemanipuleerde beelden. Uit de resultaten van de VRT Checkweken, een campagne gericht op mediawijsheid in het tijdperk van AI, blijkt echter dat slechts 1,8 procent van de deelnemers de test foutloos heeft afgelegd. Dit onderstreept de grote uitdaging die het herkennen van deepfakes en desinformatie met zich meebrengt.

De campagne van de publieke omroep duurde twee weken en had als doel de Vlaming wegwijs te maken in de complexiteit van AI-gegenereerde content. Ambassadeurs Anna-Livia Smekens, Fatma Taspinar en Tim Verheyden demonstreerden hoe deepfakes en desinformatie werken en hoe deze het vertrouwen in media kunnen ondermijnen. Hoewel de gemiddelde score van de deelnemers 82 procent bedroeg, slaagde bijna niemand erin elke deepfake te ontmaskeren.

Enkele voorbeelden uit de test illustreren de moeilijkheidsgraad. De eerste vraag, over Balthazar Boma als deelnemer aan Parijs-Roubaix, werd door 96 procent van de deelnemers correct geïdentificeerd als een deepfake. Ook de springende beer op de trampoline (94 procent) en een boodschap van dokter Geert Meyfroidt (93 procent) werden veelal correct als nep ontmaskerd. Echter, de foto met Steffi Mercie bleek aanzienlijk lastiger; slechts 41 procent herkende hier een deepfake. Een afgespeeld nummer dat niet door Pommelien Thijs was ingezongen, werd door 55 procent correct beantwoord. Daarnaast wist maar 54 procent van de deelnemers dat first lady Melania daadwerkelijk naast een robot richting Brigitte Macron liep.

Het misbruik van AI kan ook leiden tot ernstige persoonlijke gevolgen. Influencer Steffi Mercie getuigde hierover als slachtoffer van deepnudes, een vorm van AI-misbruik waarbij expliciete beelden worden gecreëerd zonder toestemming. Zij sprak haar dank uit dat zij haar ervaring tijdens de VRT Checkweken kon delen, wat het herkenbare en impactvolle karakter van deepnudes verder benadrukt. Ook kwam in de campagne de praktijk van contentmakers aan bod die de gezichten van hun kinderen op sociale media verbergen om te voorkomen dat de foto's in verkeerde handen vallen.

VRT NWS-hoofdredacteur Luc Van Bakel benadrukt dat de VRT hier volop op blijft inzetten, gezien de vele vragen die bij mensen leven. De publieke omroep heeft daarom aparte checkkanalen opgericht via Instagram, TikTok en e-mail, waar Vlamingen terechtkunnen met vragen en twijfels over de echtheid van beelden of berichten. De brede belangstelling en de resultaten van de campagne onderstrepen de noodzaak van heldere uitleg over de werking van AI en wat nog te vertrouwen is. Daarom zal er binnenkort een volgende editie van de VRT Checkweken plaatsvinden, met een focus op de nieuwste ontwikkelingen op dit gebied.

Bron: VRT NWS

Het ultra luxe hotelmerk Aman is in april 2026 het doelwit geweest van een "betaal of lek" extortiecampagne, uitgevoerd door de bekende dreigingsactor ShinyHunters. De aanvallers claimden data te hebben verkregen uit het CRM-systeem van Salesforce dat door Aman wordt gebruikt. Deze data is vervolgens openbaar gelekt en omvat meer dan 200.000 unieke e-mailadressen. In totaal zijn 215.600 accounts getroffen.

De gelekte informatie, hoewel niet bij alle records aanwezig, bevatte gevoelige persoonsgegevens. Onder de gecompromitteerde data vallen geboortedatums, fysieke adressen, telefoonnummers, nationaliteiten, geslachten, namen van echtgenoten en VIP-statuscodes. Ook taalvoorkeuren van klanten waren onderdeel van het datalek.

De inbreuk vond plaats in april 2026 en is op 1 mei 2026 toegevoegd aan de Have I Been Pwned (HIBP) database, een dienst die gebruikers informeert over datalekken waarbij hun gegevens mogelijk betrokken zijn. De campagne van ShinyHunters benadrukt de aanhoudende dreiging van extortie en datalekken, zelfs voor organisaties die gebruikmaken van externe CRM-oplossingen.

Als algemeen advies voor gebruikers van wie de gegevens mogelijk zijn gelekt, wordt aangeraden om onmiddellijk wachtwoorden te wijzigen die bij deze inbreuk zijn getroffen, en dit te doen voor elk account waar hetzelfde wachtwoord werd gebruikt. Daarnaast wordt geadviseerd om overal waar mogelijk twee-factor authenticatie (2FA) in te schakelen om een extra beveiligingslaag toe te voegen aan accounts. De bron vermeldt ook het gebruik van een wachtwoordmanager voor het genereren en veilig opslaan van sterke, unieke wachtwoorden. Voor Nederlandse gebruikers wordt specifiek verwezen naar Veiliginternetten.nl voor basistips over online veiligheid.

Bron: Have I Been Pwned | Bron 2: scworld.com | Bron 3: veiliginternetten.nl

Op het darkweb is ontdekt dat een dreigingsacteur een volledige backup van BreachForums.hn aanbiedt, het cybercrimeforum dat eerder werd beheerd door de groep ShinyHunters. De verkoper, die zich onder de naam HAUNTED presenteert, adverteert de backup als compleet pakket met alle gegevens, configuraties en toegang tot het platform, klaar voor herimplementatie.

De listing biedt twee niveaus. Voor 5.000 dollar (uitsluitend in monero) krijgt de koper alleen de databestanden. Voor 10.000 dollar (eveneens in monero) wordt de backup geleverd inclusief serveropzet, domein en hostingconfiguratie om het platform direct weer online te brengen. De verkoper presenteert het als privéverkoop waarbij contact uitsluitend via XMPP verloopt.

Backups van cybercrimeforums bevatten doorgaans volledige gebruikersdatabases met gehashte wachtwoorden, IP-adressen, privéberichten en interne personeelscommunicatie. Die gegevens zijn waardevol voor identificatie en toeschrijving van dreigingsactoren door opsporingsdiensten en threat intelligence onderzoekers. Tegelijk kan een herimplementeerbare backup worden gebruikt om een opvolgend forum op te starten en de bestaande gebruikersbasis opnieuw onder nieuw eigenaarschap te aggregeren.

De gegevens uit de periode waarin ShinyHunters het forum beheerde omvatten jaren aan datalekhandel, activiteit van initial access brokers en communicatie tussen affiliates van ransomwaregroepen. Voor verdedigers betekent dit dat de inhoud nuttig kan zijn voor incidentenanalyse en attributie, maar ook risicovol als die in handen komt van een nieuwe operator die de gebruikersbasis wil heractiveren. De claim van HAUNTED kon op het moment van publicatie niet onafhankelijk worden geverifieerd.

ShinyHunters dreigde eerder al, op 26 maart 2026, om een volledige backup van het forum publiek te lekken nadat verschillende imitatiesites onder de naam BreachForums waren opgedoken. Of de huidige listing direct verband houdt met die eerder aangekondigde dreiging is niet bekend.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een nieuwe commerciële remote access trojan onder de naam Scorpio hVNC actief wordt verkocht. De aanbieder presenteert de tool als verborgen werkstation toepassing met ingebouwde diefstal van inloggegevens en cryptocurrency wallets, plus live keylogging. De betaling verloopt via een eigen webwinkel waarop de verkoper ook een anonieme VPS dienst aanbiedt, een aanwijzing voor een geïntegreerde criminele hosting en tooling pijplijn.

De prijs is 250 dollar per maand of 1.000 dollar voor een eenmalige licentie. Volgens de listing biedt Scorpio hVNC een verborgen VNC en remote desktop sessie waarbij de aanvaller volledig met muis en toetsenbord kan werken zonder dat het slachtoffer iets ziet. Daarnaast omvatten de functies camera capture, het beheren van bestanden en processen op afstand, een remote shell met CMD en PowerShell, en het herstarten of afsluiten van de pc.

Specifiek voor de cryptocurrency diefstal claimt de operator dat de tool wallets van Metamask, Phantom, Binance, Coinbase, Exodus, Terra Station, Rainbow en Wallet Connect kan ontfutselen. Een bijgeleverde clipper functie vervangt negen cryptocurrency adrestypen tijdens een transactie, waardoor uitgaande betalingen onopgemerkt naar een ander adres gaan. De tool kan ook volledige Chrome profielen klonen, wat sessiecookies, opgeslagen wachtwoorden en betaalmethoden in één keer richting de aanvaller stuurt en sessie gebaseerde verdedigingen omzeilt.

Persistentie verloopt volgens het aanbod via AppData en de Temp startup map. De netwerkverbinding tussen besmette werkstations en de command and control infrastructuur is volgens de aanbieder via TCP versleuteld. De gebundelde anonieme VPS dienst maakt het voor minder ervaren operators eenvoudig om kant en klare aanvalsinfrastructuur in te zetten zonder zelf hosting op te zetten.

De combinatie van verborgen interactieve toegang, brede dekking van crypto wallets en lage instapprijs maakt deze tool een serieus risico voor consumenten en kleine ondernemers die met cryptocurrency werken. Voor verdedigers is het belangrijk om verdachte processen in AppData en de Temp folder actief te monitoren, browserprofielen niet te delen tussen apparaten, fysieke wallet apparaten te gebruiken voor grote bedragen en transactieadressen visueel te verifiëren voor de bevestiging. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een dreigingsacteur onder de naam paws root toegang en shell toegang tot een Linux gebaseerd firewall systeem aanbiedt. Het systeem zou volgens de listing toebehoren aan een niet bij naam genoemd bedrijf dat DDoS bescherming aan klanten levert. De vraagprijs is 1.500 dollar, uitsluitend te betalen in monero. Communicatie verloopt via TOX en de actor benadrukt geen tijdverspillers te accepteren.

De gespecificeerde toegang omvat root remote code execution en een shell op het Linux apparaat. Dit niveau van toegang geeft een aanvaller volledige controle over de firewall, inclusief het wijzigen van regels, het uitlezen van verkeer dat over het apparaat loopt en het potentieel manipuleren of doorsturen van data van klanten van de getroffen dienstverlener. De omzet van het doelbedrijf wordt door de actor als onbekend opgegeven, wat suggereert dat de doelorganisatie eerder is gecompromitteerd dan strategisch geselecteerd.

DDoS bescherming is voor veel organisaties een kritische schakel in de toeleveringsketen. Bedrijven die DDoS mitigatie afnemen sturen hun internetverkeer doorgaans via de infrastructuur van zo een dienstverlener, waardoor toegang tot de firewall in theorie zicht geeft op verkeerstromen, IP adressen, mogelijk gevoelige headers en upstream configuraties. Volgens onafhankelijke threat intelligence is een soortgelijk aanbod eerder dit jaar aan een Taiwanees DDoS bedrijf gekoppeld, al kan op basis van de huidige listing niet onafhankelijk worden vastgesteld of het om hetzelfde slachtoffer gaat.

Voor verdedigers blijft het belangrijk om de eigen leveranciersketen voor DDoS bescherming kritisch te bevragen, te vragen naar maatregelen voor lateral movement preventie binnen het netwerk van de dienstverlener, audit logging op beheerlagen en een eigen incident response procedure voor het scenario dat een dienstverlener zou worden gecompromitteerd. De claim van paws kon op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een dreigingsacteur onder de naam QuimaCORE een tweede versie van een uniform malware bouwplatform aanbiedt aan andere cybercriminelen. Het platform wordt verkocht als abonnementsdienst en bundelt volgens de aanbieder negen afzonderlijke modules voor het genereren van payloads in één paneel, gericht op de eerste fase van phishing en initiële toegang tot bedrijfsnetwerken.

De aanbieder claimt dat het platform is gebouwd in de programmeertaal Rust met een React en Tauri interface, en dat het uitsluitend draait op Windows x64. De toegang wordt afgeschermd met hardware vergrendelde licenties via KeyAuth. De prijsmodellen variëren van 50 tot 70 dollar voor een enkele bouwopdracht, 100 tot 150 dollar voor een maand toegang tot één module, een bundelabonnement van 600 dollar per maand of 4.000 dollar voor een levenslange licentie. Individuele modules zijn ook levenslang aan te schaffen voor 750 tot 1.200 dollar.

De inbegrepen modules richten zich op verschillende bestandsformaten die in phishingaanvallen worden ingezet. Een XLL builder genereert kwaadaardige Excel uitbreidingen, een LNK builder zou de kwetsbaarheid CVE-2025-9491 wapenen voor Windows snelkoppelingen, een CHM builder werkt met helpbestanden, en MSC en CPL builders richten zich op respectievelijk Microsoft Management Console en Configuratiescherm onderdelen. Daarnaast zijn er bouwers voor scripts in formaten als VBS, BAT en PS1, voor VBA macro code in Word en Excel, en voor uitvoerbare bestanden en JAR launchers met cross platform Java mogelijkheden.

Volgens de listing bevatten de modules technieken die regulier endpoint protectie willen omzeilen, waaronder directe systeemoproepen via Hell's Gate, het uitschakelen van AMSI en ETW logging, RTLO spoofing om bestandsnamen visueel te manipuleren, en sandbox detectie. De keuze voor Rust resulteert volgens de aanbieder in compacte uitvoerbare bestanden zonder Python of Java afhankelijkheden, wat handtekening detectie bemoeilijkt.

Voor verdedigers is dit type aanbod een illustratie van consolidatie in de leveringsketen voor phishingmalware. Door negen formaten in één toolkit aan te bieden zakt de drempel voor minder ervaren operators flink, terwijl de gewapende exploitatie van CVE-2025-9491 in de LNK module een directe aanleiding is om patches en detectieregels voor die kwetsbaarheid prioriteit te geven. Bredere defensieve maatregelen blijven het beperken van uitvoerbare bestandsformaten via groepsbeleid, het monitoren van macro uitvoering in Office, en het signaleren van onverwachte gebruikersacties met XLL en CHM bestanden. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een geavanceerd webgebaseerd fraudepaneel onder de naam HUB wordt aangeboden voor het uitvoeren van grootschalige Telegram operaties. Het platform combineert een infrastructuur die platformdetectie wil omzeilen met AI agents die echte gebruikers nabootsen, en kan volgens de aanbieder fraude op honderden chats tegelijk uitvoeren. De dienst wordt verkocht door operators onder de namen Workkers en narkoman1.

Het paneel werkt volledig in de browser zonder installatie en functioneert op een prepaid saldomodel. Kopers kunnen voorverouderde Telegram accounts kopen in meer dan 40 landen, waaronder Nederland, Duitsland, Frankrijk, Italië, het Verenigd Koninkrijk en de Verenigde Staten. Een Nederlands account staat in de prijslijst voor 4,51 dollar. De goedkoopste accounts zijn voor 2,50 dollar te koop, onder andere uit Polen, Portugal, Spanje, Israël, het Verenigd Koninkrijk en Canada. De duurste accounts zijn die uit Nigeria voor 13,78 dollar en Litouwen voor 10,33 dollar.

De promotievideo van de aanbieder beschrijft openlijk hoe een AI agent wordt ingezet om verkopers op meer dan honderd marktplaats chats te benaderen en kunstmatig opgeblazen prijzen voor goederen te bieden, zodat de operator vervolgens met andere accounts en proxies de listings kan misbruiken. Het paneel biedt ook bulkbeheer van grote accountinventarissen, per account geïsoleerde server en proxy toewijzing om antifraude detectie te omzeilen, telefoonnummers voor accountregistratie in elk land, en spraak naar tekst transcriptie van inkomende spraakberichten. Ingebouwde modules voor Telegram Premium aankoop en geschenkfuncties dienen om accounts geloofwaardiger te laten lijken voordat de scams worden gestart.

Een eigen AI agent builder laat operators scripts samenstellen voor specifieke scenarios zoals romantieffraude, marktplaatsfraude en nepondersteuning aan klanten. Voor leadgeneratie zijn modules zoals Sonar AI en Лиды Россия aan boord, gericht op respectievelijk Engelstalige en Russischtalige doelgroepen. Het opladen van saldo verloopt via cryptobetalingen in USDT, TON, BTC of Ethereum via een Telegram bot met de naam CryptoBot.

Voor verdedigers en consumenten betekent dit dat fraude via Telegram nu sterk geïndustrialiseerd is. AI agents verlagen de drempel voor minder ervaren operators om imitatiescams op te zetten, voorverouderde accounts uit meer dan veertig landen maken geografisch gerichte campagnes mogelijk, en spraak naar tekst transcriptie suggereert dat ook gesproken berichten als aanvalsvector worden ingezet. Het feit dat Nederland expliciet in de prijslijst staat onderstreept dat Nederlandse consumenten een direct doelwit zijn voor scams via gecompromitteerde of speciaal voor fraude geprepareerde Telegram accounts. Voor verdedigers blijft alertheid op onverwachte berichten van onbekende Telegram contacten essentieel, evenals het verifiëren van marktplaats verkopers via meerdere kanalen voordat geld of goederen worden uitgewisseld. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Een recent ontdekte operatie, gelinkt aan Vietnamese actoren, maakt gebruik van Google AppSheet als een "phishing relay" om malafide e-mails te verspreiden met als doel Facebook accounts te compromitteren. Beveiligingsonderzoeker Shaked Chen van Guardio heeft deze activiteit de codenaam 'AccountDumpling' gegeven. De gestolen accounts worden vervolgens door de dreigingsactoren via een illegale online winkel doorverkocht. Naar schatting zijn ongeveer 30.000 Facebook accounts gehackt als onderdeel van deze campagne.

Shaked Chen merkte in een rapport op dat het hier niet ging om een enkele phishingkit, maar om een levendige operatie met realtime bedieningspanelen, geavanceerde ontwijkingstechnieken, continue evolutie en een crimineel-commerciële cyclus die zich voedt met de accounts die het helpt stelen. Deze bevindingen tonen opnieuw aan hoe Vietnamese dreigingsactoren diverse tactieken blijven hanteren om ongeautoriseerde toegang te verkrijgen tot Facebook accounts van slachtoffers, die vervolgens op ondergrondse ecosystemen worden verkocht voor financieel gewin.

De aanvallen beginnen met een phishing e-mail gericht op eigenaren van Facebook Business accounts. Deze e-mails doen zich voor als afkomstig van Meta Support en dringen erop aan om een beroep in te dienen, anders dreigt het account permanent te worden verwijderd. De e-mails worden verzonden vanaf een Google AppSheet-adres ("noreply@appsheet.com"), waardoor ze spamfilters kunnen omzeilen. Dit creëert een vals gevoel van urgentie en leidt gebruikers naar een nepwebpagina die is ontworpen om hun inloggegevens te oogsten. Een vergelijkbare campagne werd in mei 2025 al gemeld door KnowBe4.

De afgelopen weken hebben deze campagnes verschillende lokmiddelen gebruikt, allemaal gericht op het creëren van "Meta-gerelateerde paniek". Deze variëren van account deactivering en auteursrechtklachten tot verificatiebeoordelingen, werving van leidinggevenden en Facebook-loginwaarschuwingen. Guardio identificeerde vier belangrijke clusters van deze aanvallen:

1.  Facebook helpcenter pagina's gehost op Netlify, die accountovernames mogelijk maken en tevens geboortedata, telefoonnummers en door de overheid uitgegeven identiteitsbewijzen verzamelen. Deze data wordt uiteindelijk doorgestuurd naar een door de aanvallers beheerd Telegram-kanaal.

2.  Lokmiddelen voor de evaluatie van 'blauwe vinkjes' die slachtoffers naar op Vercel gehoste "Security Check"- of "Meta | Privacy Center"-pagina's leiden. Deze zijn afgeschermd met een nep-CAPTCHA-controle voordat gebruikers naar de phishing-landingspagina worden geleid om contactgegevens, bedrijfsinformatie, inloggegevens (na een geforceerde herhaalpoging) en twee-factor authenticatie (2FA) codes te verzamelen en deze naar een Telegram-kanaal te exfiltreren.

3.  Op Google Drive gehoste pdf-bestanden die zich voordoen als instructies om accountverificatie te voltooien. Deze leiden gebruikers naar het verzamelen van wachtwoorden, 2FA-codes, foto's van overheids-ID's en screenshots van de browser via html2canvas. De pdf-documenten zijn gegenereerd met een gratis Canva account.

4.  Valse vacatures die bedrijven zoals WhatsApp, Meta, Adobe, Pinterest, Apple en Coca-Cola imiteren om een band op te bouwen met de ontvangers en hen te vragen deel te nemen aan een gesprek of de discussie voort te zetten op door de aanvallers beheerde sites.

De Telegram-kanalen die geassocieerd zijn met de eerste drie clusters bevatten cumulatief ongeveer 30.000 slachtoffergegevens. De meeste slachtoffers bevinden zich in de VS, Italië, Canada, de Filipijnen, India, Spanje, Australië, het Verenigd Koninkrijk, Brazilië en Mexico, en zijn de toegang tot hun eigen accounts kwijtgeraakt.

De identiteit van de actoren achter de operatie werd onthuld door de pdf-bestanden die via het gratis Canva account werden gegenereerd. De metadata hiervan vermeldde de Vietnamese naam "PHẠM TÀI TÂN" als auteur van de bestanden. Verder open source onderzoek leidde tot de ontdekking van een website ("phamtaitan[.]vn"), waarop digitale marketingdiensten worden aangeboden. Op een post op X in februari 2023 beweerde de eigenaar van de website dat deze "gespecialiseerd is in het leveren van digitale marketingdiensten, marketingbronnen en advies over effectieve digitale marketingstrategieën."

Chen concludeerde dat al deze elementen samen een consistent beeld vormen van een grote, in Vietnam gevestigde mega-operatie. Deze campagne is groter dan alleen misbruik van Google AppSheet; het biedt inzicht in de duistere markt rond gestolen Facebook-assets, waar toegang, bedrijfsidentiteit, advertentiereputatie en zelfs accountherstel verhandelbare goederen zijn geworden. Het is een verder voorbeeld van het patroon waarbij vertrouwde platforms worden hergebruikt als levering, hosting en monetisatie lagen voor criminele activiteiten.

Bron: Guardio

Onderzoekers van cybersecuritybedrijf Darktrace hebben een nieuwe aanvalscampagne gedetecteerd die misconfigureerde Jenkins servers misbruikt om een DDoS botnet op te bouwen. Dit botnet is specifiek gericht op gaming infrastructuur. De activiteit werd op 18 maart 2026 waargenomen via het CloudyPots honeypot netwerk van Darktrace.

De aanvallers probeerden toegang te krijgen tot een Jenkins server, een veelgebruikte tool voor softwareontwikkelaars. In plaats van de broncode te manipuleren, gebruikten de hackers de toegang om een botnet te implementeren dat gericht was op servers voor videogames. De aanval maakte gebruik van het `scriptText` endpoint, waarmee gebruikers commando's direct naar de server kunnen sturen. Door dit te misbruiken, konden de aanvallers een Groovy script uitvoeren, wat hen Remote Code Execution (RCE) mogelijkheden gaf.

Met behulp van CyberChef, een tool voor het ontcijferen van verborgen data, analyseerden de onderzoekers het script. Dit leidde tot de ontdekking van een plan om zowel Windows als Linux computers te infecteren. Op Windows apparaten haalde het script een uitvoerbaar bestand op genaamd `w.exe` van het IP adres 103.177.110.202. Dit bestand werd verborgen in de Temp map als `update.dat` en later hernoemd naar `win_sys.exe`. Vervolgens werd TCP poort 5444 geopend om instructies van de hackers te ontvangen. Linux systemen werden doelwit van een Bash opdrachtregel die een binair bestand genaamd `bot_x64.exe` in de `/tmp` directory plaatste.

Opvallend is dat al dit verkeer terug te leiden is naar één enkel IP adres, eigendom van Webico, een Vietnamese provider onder het Tino merk in Ho Chi Minh City. Doorgaans gebruiken aanvallers verschillende servers voor diverse taken om detectie te bemoeilijken, maar in dit geval werd hetzelfde IP adres gebruikt voor initiële toegang, aflevering van malware en het versturen van commando's. Dit duidt op een afweging waarbij eenvoud boven veiligheid werd verkozen.

Eenmaal toegang verkregen tot een Linux systeem, blijft de malware aanvankelijk onopvallend om detectie te omzeilen. Het maakt gebruik van een omgevingsvariabele genaamd `dontKillMe` om te voorkomen dat Jenkins het proces afsluit wegens langdurige uitvoering. Daarna verwijdert de bot zijn originele bestand en hernoemt zichzelf naar iets als `ksoftirqd/0` of `kworker` om op te gaan in de normale systeemprocessen.

Het hoofddoel van het botnet is het laten crashen van servers die de Valve Source Engine draaien, waarop populaire games zoals Team Fortress 2 en Counter Strike draaien. Een van de methoden die hiervoor wordt gebruikt, is `attack_dayz`, waarbij een Source Engine Query wordt verstuurd om de server te misleiden tot het terugsturen van zoveel data dat deze uiteindelijk niet meer reageert. Het botnet beschikt ook over een `attack_special` modus, ontworpen om specifieke poorten zoals 27015, 53 (DNS) en 123 (NTP) aan te vallen. Deze campagne benadrukt hoe gevaarlijk een eenvoudige misconfiguratie kan zijn, waardoor zelfs een ogenschijnlijk onbelangrijke server het weekend van gamers kan verpesten als deze niet correct is beveiligd. Het rapport van Darktrace concludeert dat de game-industrie een prominent doelwit blijft voor cyberaanvallers en herinnert serverbeheerders aan het belang van adequate mitigatiemaatregelen.

Bron: Darktrace

Cybersecurityonderzoekers waarschuwen voor twee cybercriminele groeperingen die snelle en impactvolle aanvallen uitvoeren, bijna volledig binnen de grenzen van SaaS-omgevingen, met minimale sporen van hun activiteiten. De groepen, bekend als Cordial Spider (ook wel BlackFile, CL-CRI-1116, O-UNC-045 en UNC6671) en Snarky Spider (ook O-UNC-025 en UNC6661), worden verantwoordelijk gehouden voor snelle datadiefstal en afpersingscampagnes. Beide groeperingen zijn naar schatting sinds ten minste oktober 2025 actief en vertonen opmerkelijke operationele overeenkomsten. Snarky Spider is een Engelstalige groep met banden met het e-crime-ecosysteem genaamd The Com.

CrowdStrike's Counter Adversary Operations rapporteerde dat deze tegenstanders in de meeste gevallen voice-phishing (vishing) gebruiken om doelgebruikers naar kwaadaardige phishingpagina's te leiden die zich voordoen als Single Sign-On (SSO) omgevingen, gebruikmakend van adversary-in-the-middle (AiTM) technieken. Op deze pagina's worden authenticatiegegevens vastgelegd, waarna de aanvallers direct toegang krijgen tot SSO-geïntegreerde SaaS-applicaties. Door vrijwel uitsluitend binnen vertrouwde SaaS-omgevingen te opereren, minimaliseren zij hun digitale voetafdruk en versnellen zij de tijd tot impact. De combinatie van snelheid, precisie en uitsluitend SaaS-activiteit creëert aanzienlijke detectie en zichtbaarheid uitdagingen voor verdedigers.

In een eerder rapport, gepubliceerd in januari 2026, onthulde het door Google-eigendom zijnde Mandiant dat deze twee groeperingen een uitbreiding van dreigingsactiviteit vertegenwoordigen. De gebruikte tactieken komen overeen met afpersingsgerelateerde aanvallen die eerder door de ShinyHunters-groep werden uitgevoerd. Dit omvat het zich voordoen als IT-personeel tijdens telefoongesprekken om slachtoffers te misleiden en hun inloggegevens en multi-factor authenticatie (MFA)-codes te verkrijgen via phishingpagina's.

Recentelijk, vorige week, schatten Palo Alto Networks Unit 42 en het Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) met matig vertrouwen in dat de aanvallers achter CL-CRI-1116 waarschijnlijk ook geassocieerd zijn met The Com. Zij voegden eraan toe dat de intrusies voornamelijk vertrouwen op living-off-the-land (LotL) technieken en residentiële proxies gebruiken om hun geografische locatie te verbergen en basis IP-gebaseerde reputatiefilters te omzeilen. Onderzoekers Lee Clark, Matt Brady en Cuong Dinh gaven aan dat de activiteit van CL-CRI-1116 sinds februari 2026 actief gericht is op de retail en horeca sector, specifiek door vishing aanvallen waarbij IT-helpdeskmedewerkers worden geïmiteerd, in combinatie met phishing-inlogpagina's om inloggegevens te stelen.

De aanvallen van de twee groepen omvatten het registreren van een nieuw apparaat om MFA te omzeilen en toegang te behouden, maar niet voordat bestaande apparaten zijn verwijderd. Vervolgens configureren de dreigingsactoren inboxregels die automatisch e-mailmeldingen over ongeautoriseerde apparaatregistratie verwijderen, om detectie verder te omzeilen. De volgende fase omvat het richten op accounts met hoge privileges via verdere social engineering, door interne werknemerslijsten te doorzoeken. Na het verkrijgen van verhoogde toegang, breken de aanvallers in op doel-SaaS-omgevingen om waardevolle bestanden en bedrijfskritische rapporten te zoeken in Google Workspace, HubSpot, Microsoft SharePoint en Salesforce, waarna ze de relevante gegevens exfiltreren naar infrastructuur onder hun controle.

CrowdStrike benadrukte dat in de meeste waargenomen gevallen deze inloggegevens toegang verlenen tot de Identity Provider (IdP) van de organisatie, wat een enkel toegangspunt biedt tot meerdere SaaS-applicaties. Door de vertrouwensrelatie tussen de IdP en verbonden diensten te misbruiken, omzeilen de tegenstanders de noodzaak om individuele SaaS-applicaties te compromitteren en bewegen ze in plaats daarvan lateraal door het gehele SaaS-ecosysteem van het slachtoffer met één geauthenticeerde sessie.

Bron: CrowdStrike

Een geavanceerde en zorgvuldig geplande malwarecampagne richt zich actief op bedrijfsbeheerders, DevOps-engineers en beveiligingsanalisten door hun dagelijkse zoekgedrag te kapen. In plaats van massale phishing of brede spamgolven te gebruiken, hebben de dreigingsactoren achter deze operatie een leveringsketen gecreëerd die gevaarlijke software direct voor hooggeprivilegieerde IT professionals plaatst wanneer zij online zoeken naar routinematige administratieve tools.

De campagne werkt door zoekmachineresultaten te vergiftigen op verschillende grote platforms, waaronder Bing, Yahoo, DuckDuckGo en Yandex. Wanneer IT personeel zoekt naar tools zoals PsExec, AzCopy, Sysmon, LAPS of KustoExplorer, tonen de zoekresultaten bovenaan de pagina nep, professioneel ogende GitHub-repositories. Deze repositories lijken op het eerste gezicht schoon en legitiem, zonder kwaadaardige code. Ze fungeren puur als een toegangspoort en leiden argeloze gebruikers stilzwijgend om naar een secundair, verborgen GitHub-account waar de eigenlijke malware wordt gehost en verspreid.

Analisten van Atos identificeerden deze geraffineerde, veerkrachtige kwaadaardige campagne in maart. Onderzoekers bevestigden dat de campagne zeer actief blijft en sinds de start aanzienlijk technisch is gerijpt, met verschillende varianten en aanvullende command and control (C2) infrastructuur die in de loop der tijd zijn geïdentificeerd.

De malware die centraal staat in deze campagne is een uit meerdere fasen bestaande Remote Access Trojan (RAT) van het fileless-type, geschreven in JavaScript. Onderzoekers van Atos bevestigten dat het EtherRAT betreft, een recent opkomende dreiging die de Ethereum-blockchain gebruikt om zijn live C2-serveradres op te slaan. Dit voorkomt effectief traditionele pogingen tot domein-takedown of IP-blokkering. De malware wordt verspreid via kwaadaardige MSI-installatiebestanden die zijn vermomd als tools zoals PsExec, AzCopy, Sysmon, LAPS en KustoExplorer, welke bijna uitsluitend worden gebruikt door personeel met verhoogde netwerk en systeem rechten. Een succesvolle infectie op het werkstation van een beheerder kan dreigingsactoren de sleutels tot een complete bedrijfsomgeving verschaffen.

Het psychologische element van deze campagne is bijzonder agressief. Veel van de geïmiteerde tools zijn dezelfde die beveiligingsprofessionals gebruiken om kwaadaardige activiteit te onderzoeken en erop te reageren. Dit creëert een ironische situatie waarin een verdediger, die probeert een vermeend probleem te diagnosticeren met een tool zoals Process Explorer of TCPView, onbedoeld de dreiging introduceert die zij probeerden te vinden.

De campagne maakt gebruik van een zorgvuldig gescheiden, tweefasige leveringsarchitectuur die is ontworpen om actief te blijven, zelfs als delen ervan worden uitgeschakeld. De eerste GitHub-repository dient alleen als een net ogende facade. Deze is geoptimaliseerd voor zoekmachines (SEO) en bevat een professioneel README-bestand zonder kwaadaardige code, wat initieel vertrouwen opbouwt bij zowel gebruikers als beveiligingstools. In dat README is een link ingebed die verwijst naar een tweede, verborgen GitHub-account. Deze secundaire repository host de eigenlijke kwaadaardige MSI-payload. Door de voor zoekmachines zichtbare 'etalage' te scheiden van het account voor payload-levering, kunnen de dreigingsactoren hun distributierepositories snel roteren als deze worden gemarkeerd, terwijl de primaire, door zoekmachines geïndexeerde facade actief en onaangetast blijft.

Tussen begin december 2024 en april 2026 hebben de dreigingsactoren 17 afzonderlijke GitHub-facades ingezet, elk met een andere administratieve of ontwikkelaarstool als spoof, wat duidt op een aanhoudende inspanning om de zichtbaarheid in zoekmachines te maximaliseren en een breed scala aan hooggeprivilegieerde slachtoffers te vangen. Wanneer een slachtoffer de MSI downloadt en uitvoert, worden vier bestanden uitgepakt en wordt een CMD-batchscript gestart via een Custom Action met SYSTEEM-rechten, direct na de extractie van de bestanden. Het toegangspunt is een zwaar geobfusceerd Windows-batchscript dat met SYSTEEM-rechten wordt gestart door de MSI Custom Action onmiddellijk na het uitpakken van bestanden. De belangrijkste obfuscatie-mechanismen splitsen alle gevoelige opdrachtnamen, waaronder curl, tar, copy, start en cmd, over meerdere SET-variabeletoewijzingen die stilzwijgend tijdens runtime worden samengevoegd, zodat er geen herkenbare trefwoorden in het onbewerkte bestand verschijnen en eenvoudige string-gebaseerde statische analyse wordt omzeild.

Fase 2 is een minimaal Node.js-script, onverhuld en volledig leesbaar, dat nooit op schijf wordt opgeslagen. Het hoofddoel is het lezen van een bestand met een versleutelde payload van de tweede fase, deze te ontsleutelen met een vaste sleutel en initialisatievector (IV), en deze in het geheugen uit te voeren. Het creëert ook persistentie via een Run-sleutel in het register. Fase 3 is de hoofdlading van de malware, een JavaScript-bestand dat stilzwijgend op de achtergrond draait bij elke systeemstart binnen conhost.exe, een legitiem Windows-proces, zodat het niet opvalt in Taakbeheer.

Organisaties kunnen de volgende stappen ondernemen om het risico van deze campagne te verminderen. Het betreft het blokkeren van toegang tot de openbare Ethereum (ETH) RPC-endpoints die door EtherRAT worden gebruikt, zoals vermeld in de Appendix van de Atos TRC GitHub-repository. Daarnaast is het belangrijk historische netwerklogs te controleren om uitgaande communicatie met de genoemde RPC ETH-endpoints en geïdentificeerde historische C2-domeinen te identificeren. Verhoog bovendien het bewustzijn onder IT personeel met betrekking tot de risico's van het verkrijgen van kritieke hulpprogramma's uit zoekmachineresultaten en vereis het gebruik van geverifieerde interne softwarecentra of directe, geauthenticeerde leveranciersportals voor alle administratieve tools. Organisaties dienen ook te zoeken naar gedragspatronen in telemetrie, zoals herhaalde, hoogfrequente beacons (ongeveer elke 500 ms) naar verdachte externe domeinen, periodieke uitgaande verzoeken (ongeveer elke 5 minuten) naar openbare ETH RPC-endpoints, en verdachte processtructuren die Node.js-processen omvatten die shell-commando's uitvoeren. Tot slot moet elk gebruik van conhost.exe met het headless-argument worden behandeld als een potentiële indicator van de secundaire fasen van de EtherRAT payload.

Bron: Atos

Het Britse National Cyber Security Centre (NCSC) roept organisaties op zich voor te bereiden op een aanstaande 'patch golf': een vloedgolf van software-updates die nodig zal zijn om decennia aan technische schuld aan te pakken. Volgens Ollie Whitehouse van het NCSC toont kunstmatige intelligentie, wanneer gebruikt door voldoende bekwame individuen, het vermogen om deze technische schuld op grote schaal en in hoog tempo binnen het technologie-ecosysteem uit te buiten.

Technische schuld verwijst naar een opeenstapeling van technische problemen die het gevolg zijn van het prioriteren van korte termijn winsten boven het bouwen van veerkrachtige producten. Dit resulteert in een kostbare en tijdrovende achterstand aan technische kwesties. Het NCSC verwacht dat deze situatie zal leiden tot een "gedwongen correctie" om de technische schuld in alle soorten software aan te pakken, waaronder open source, commerciële, propriëtaire en software as a service (SaaS) oplossingen.

Organisaties moeten nu actie ondernemen om hun internetgerichte en andere extern blootgestelde aanvalsoppervlakken te identificeren en te minimaliseren. Het is cruciaal om prioriteit te geven aan technologieën aan de rand van het netwerk en vervolgens naar binnen te werken, inclusief cloud-instanties en on-premises omgevingen. Door dit te doen, kunnen organisaties het risico verkleinen dat latente kwetsbaarheden, eenmaal bekend en uitgebuit door aanvallers, met succes worden benut. Waar het niet mogelijk is om updates over de hele omgeving toe te passen, dienen kritieke beveiligingssystemen prioriteit te krijgen.

Daarnaast benadrukt het NCSC dat patchen alleen niet altijd voldoende zal zijn. Technische schuld kan ook aanwezig zijn in 'end-of-life' of verouderde technologie die niet langer wordt ondersteund en dus geen updates kan ontvangen. In dergelijke gevallen moeten organisaties de technologieën vervangen of weer onder ondersteuning brengen, vooral als ze een extern aanvalsoppervlak vormen.

Gebaseerd op de principes van hun richtlijnen voor kwetsbaarheidsbeheer, adviseert het NCSC organisaties om plannen te maken voor het snel, frequent en op grote schaal uitrollen van softwarebeveiligingsupdates, ook binnen hun toeleveringsketens. Er wordt een instroom van updates verwacht die kwetsbaarheden van alle ernstgraden zullen aanpakken, inclusief een aanzienlijk aantal kritieke kwetsbaarheden.

Het NCSC beveelt het volgende aan:

*   Waar automatische veilige 'hot patching' (patches zonder serviceonderbreking) beschikbaar is, moet dit met prioriteit worden ingeschakeld.

*   Waar geautomatiseerde updates beschikbaar zijn (ook voor embedded apparaten), moet dit worden geactiveerd om de werkdruk voor ondersteuningsteams te verminderen.

*   Als geen van bovenstaande opties beschikbaar is, moeten organisaties ervoor zorgen dat processen en risicobereidheid frequente en schaalbare updates ondersteunen, rekening houdend met operationele afwegingen rond verstoringen en veiligheidskritieke systemen. Het Stakeholder Specific Vulnerability Categorisation (SSVC) systeem kan hierbij helpen om de installatie van updates te prioriteren.

Bij actief misbruik van een kritieke kwetsbaarheid, vooral als deze een internetgericht systeem treft, is het essentieel om het updateproces te versnellen. Organisaties kunnen hiervoor de nieuwe NCSC-richtlijnen over 'Reageren op actief misbruik van kwetsbaarheden' raadplegen. Het NCSC adviseert een 'update by default' beleid, waarbij software-updates zo snel mogelijk, en idealiter automatisch, worden toegepast. Dit vormt de kern van het updatebeheerproces, hoewel het in sommige omstandigheden, zoals bij veiligheidskritieke systemen of operationele technologie, mogelijk niet van toepassing is.

Naast software-updates pleit het NCSC voor het minimaliseren van systemische technische beveiligingsschuld bij technologieproducenten en leveranciers door, waar passend, geheugenveiligheid en containment-technologieën zoals CHERI toe te passen. Voor eindgebruikers en beheerders blijft de focus liggen op cybersecurity fundamentals om de veerkracht te vergroten en de impact van inbreuken te verminderen. Dit omvat de implementatie van Cyber Essentials of het Cyber Assessment Framework voor organisaties die essentiële diensten leveren (zoals energie, gezondheidszorg, transport, digitale infrastructuur en overheidsdiensten). Voor organisaties die worden geconfronteerd met verhoogde dreigingen, heeft het NCSC ook richtlijnen opgesteld over bevoorrechte toegang werkstations (PAWs), cross-domain benadering en architectuur, en cyberveerkracht door observability en threat hunting.

Het NCSC concludeert met het advies aan alle organisaties, ongeacht hun omvang, om nu te plannen en zich voor te bereiden op de kwetsbaarheidspatch golf. Een goed startpunt is het lezen van de bijgewerkte NCSC-richtlijnen voor kwetsbaarheidsbeheer.

Bron: NCSC | Bron 2: cisa.gov | Bron 3: cl.cam.ac.uk

Een recente campagne voor software supply chain aanvallen is gedetecteerd, waarbij zogenaamde 'sleeper packages' worden gebruikt om kwaadaardige payloads te verspreiden. Deze payloads zijn ontworpen voor het stelen van inloggegevens, het manipuleren van GitHub Actions en het creëren van SSH-persistentie. De activiteiten zijn toegeschreven aan het GitHub-account "BufferZoneCorp", dat diverse repositories met malafide Ruby gems en Go modules heeft gepubliceerd. Op het moment van schrijven zijn de betreffende pakketten verwijderd van RubyGems en zijn de Go modules geblokkeerd.

De geïdentificeerde pakketten bootsen bekende en veelgebruikte modules na, zoals `activesupport-logger`, `devise-jwt`, `go-retryablehttp`, `grpc-client` en `config-loader`. Dit gebeurt om detectie te omzeilen en gebruikers te misleiden ze te downloaden. Kirill Boychenko, beveiligingsonderzoeker bij Socket, merkte in een recente analyse op dat "het account deel uitmaakt van een software supply chain campagne gericht op ontwikkelaars, CI runners en build omgevingen binnen twee ecosystemen."

De lijst met malafide bibliotheken omvat:

Voor Ruby: `knot-activesupport-logger`, `knot-devise-jwt-helper`, `knot-rack-session-store`, `knot-rails-assets-pipeline`, `knot-rspec-formatter-json`, `knot-date-utils-rb` (sleeper gem) en `knot-simple-formatter` (sleeper gem).

Voor Go: `github[.]com/BufferZoneCorp/go-metrics-sdk`, `github[.]com/BufferZoneCorp/go-weather-sdk`, `github[.]com/BufferZoneCorp/go-retryablehttp`, `github[.]com/BufferZoneCorp/go-stdlib-ext`, `github[.]com/BufferZoneCorp/grpc-client`, `github[.]com/BufferZoneCorp/net-helper`, `github[.]com/BufferZoneCorp/config-loader`, `github[.]com/BufferZoneCorp/log-core` (sleeper module) en `github[.]com/BufferZoneCorp/go-envconfig` (sleeper module).

De Ruby gems zijn specifiek ontworpen om tijdens de installatie inloggegevens te stelen. Ze verzamelen omgevingsvariabelen, SSH-sleutels, AWS secrets, .npmrc, .netrc, GitHub CLI configuratie en RubyGems credentials. De gestolen gegevens worden vervolgens geëxfiltreerd naar een door de aanvaller beheerd Webhook[.]site endpoint.

De Go modules beschikken over bredere functionaliteiten, waaronder het manipuleren van GitHub Actions workflows, het plaatsen van valse Go wrappers, het stelen van ontwikkelaarsgegevens en het toevoegen van een hardgecodeerde SSH public key aan "~/.ssh/authorized_keys" voor externe toegang tot de gecompromitteerde host. De payloads zijn niet uniform, maar verspreid over de verschillende modules. Boychenko licht toe: "De module wordt uitgevoerd via `init()`, detecteert GITHUB_ENV en GITHUB_PATH, stelt HTTP_PROXY en HTTPS_PROXY in, schrijft een vals go uitvoerbaar bestand naar een cachemap en voegt die map toe aan het workflow pad, zodat de wrapper wordt geselecteerd vóór de echte binary." Dit stelt de wrapper in staat om latere go-uitvoeringen te onderscheppen of te beïnvloeden, terwijl de controle nog steeds wordt doorgegeven aan de legitieme binary om de taak niet te onderbreken.

Gebruikers die deze pakketten hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk van hun systemen te verwijderen. Daarnaast dienen zij te controleren op tekenen van toegang tot gevoelige bestanden of ongeautoriseerde wijzigingen in "~/.ssh/authorized_keys", blootgestelde inloggegevens te roteren en netwerklogboeken te inspecteren op uitgaand HTTPS-verkeer naar het exfiltratiepunt.

Bron: Socket

Cybersecuritybedrijf Trellix heeft bevestigd dat het slachtoffer is geworden van een datalek. Ongeautoriseerde partijen kregen toegang tot een deel van de broncode van het bedrijf. Trellix heeft recent de compromittering van zijn broncode repository geïdentificeerd en is onmiddellijk begonnen met samenwerking met vooraanstaande forensische experts om de kwestie op te lossen. Daarnaast is de rechtshandhaving op de hoogte gesteld van het incident.

Trellix heeft geen details vrijgegeven over de exacte aard van de data waartoe de aanvallers mogelijk toegang hebben gehad. Het bedrijf benadrukt echter dat er tot op heden geen indicaties zijn dat de broncode is beïnvloed of misbruikt. "Op basis van ons onderzoek tot nu toe hebben we geen bewijs gevonden dat ons release of distributieproces van de broncode is aangetast, of dat onze broncode is geëxploiteerd," aldus Trellix.

De cybersecurityspecialist heeft verder geen informatie gedeeld over de identiteit van de verantwoordelijke partijen achter het incident, noch over de duur van de ongeautoriseerde toegang tot de systemen. Trellix heeft aangegeven dat aanvullende informatie zal worden gedeeld zodra het onderzoek is afgerond en dit passend wordt geacht.

Trellix, eigendom van Symphony Technology Group, werd opgericht in januari 2022 na de fusie van McAfee Enterprise en FireEye. Rond dezelfde periode werd Mandiant, dat voorheen eigendom was van FireEye, overgenomen door Google in een deal ter waarde van 5,4 miljard dollar. Het incident bij Trellix onderstreept de voortdurende dreigingen waarmee zelfs vooraanstaande cybersecuritybedrijven worden geconfronteerd.

Bron: Trellix

Sinds oktober 2025 hebben beveiligingsonderzoekers een zorgwekkende verschuiving waargenomen in de methoden van cybercriminelen, die nu steeds vaker gebruikmaken van snelle, SaaS-gerichte aanvallen. Deze nieuwe benadering stelt aanvallers in staat om traditionele endpointbeveiliging volledig te omzeilen. Twee specifieke dreigingsactoren, bekend onder de namen CORDIAL SPIDER en SNARKY SPIDER, zijn geïdentificeerd als de drijvende kracht achter agressieve campagnes gericht op datadiefstal.

Deze groepen opereren vrijwel uitsluitend binnen vertrouwde SaaS-omgevingen, wat hun detectie bemoeilijkt. Platforms zoals SharePoint, HubSpot en Google Workspace zijn de voornaamste doelwitten van deze geavanceerde aanvallen. De aanvallers zetten hierbij AiTM (Adversary-in-the-Middle) phishingpagina's in, een techniek waarbij zij zich tussen de gebruiker en de legitieme dienst plaatsen om inloggegevens en sessietokens te onderscheppen. Door deze tactiek kunnen zij ongeoorloofde toegang verkrijgen tot gevoelige gegevens binnen deze zakelijke cloudomgevingen. De snelle adoptie van deze technieken door dreigingsactoren benadrukt de noodzaak voor organisaties om hun beveiligingsstrategieën aan te passen en verder te kijken dan alleen traditionele perimeterbeveiliging.

Bron: CyberSecurityNews

Cybercriminelen bewegen aanzienlijk sneller en gebruiken steeds complexere aanvalspaden, zo blijkt uit het 2026 Unit 42 Global Incident Response Report van Palo Alto Networks. Het rapport waarschuwt dat aanvallers nu vier keer sneller overgaan tot data-exfiltratie dan in 2025. Deze versnelling wordt mogelijk gemaakt doordat dreigingsactoren tegelijkertijd drie of meer aanvalsoppervlakken exploiteren, waarbij zij bewust misbruik maken van de blinde vlekken die ontstaan door een overmatige afhankelijkheid van alleen endpoint data.

Hoewel endpoint detectie en respons (EDR) een cruciale eerste verdedigingslinie blijft, heeft de snelle toename van clouddiensten, microservices en thuiswerkende gebruikers het aanvalsoppervlak aanzienlijk uitgebreid. Dit aanvalsoppervlak is te groot geworden om door één enkele tool effectief te kunnen worden gemonitord. Uit onderzoek van Unit 42 bleek dat in 75% van de onderzochte incidenten kritieke bewijzen van de initiële inbraak aanwezig waren in logbestanden. Echter, door complexe en onsamenhangende systemen was deze informatie vaak niet direct toegankelijk of effectief bruikbaar, waardoor aanvallers onopgemerkt hun gang konden gaan.

Om de dreiging voor te blijven, moeten Security Operations Centers (SOCs) hun aanpak aanpassen door telemetrie van het gehele organisatorische landschap te verzamelen en te correleren. IT-omgevingen bestaan doorgaans uit verschillende zones, waaronder identiteit en toegangsbeheer (IAM), cloud activa, operationele technologie (OT), internet of things (IoT) en AI-workloads. Elk van deze zones heeft zijn eigen ingebouwde logging en beveiligingsbehoeften. Specifieke beveiligingstools zijn ontwikkeld om de activa in elk van deze zones te beschermen. Een SOC moet in staat zijn om de logboeken en waarschuwingen van al deze zones holistisch te analyseren en de bijbehorende beveiligingstools te gebruiken om actie te ondernemen tegen dreigingen. Een uitsluitend op EDR gerichte benadering creëert hiermee gaten die aanvallers gebruiken om onzichtbaar te bewegen.

Unit 42 heeft drie specifieke scenario's geïdentificeerd waarin een endpoint-only perspectief consistent een onvolledig beeld geeft van de situatie. Eén van deze scenario's is de "cloud-to-endpoint pivot". Hierbij verkrijgen aanvallers toegang via een verkeerd geconfigureerde cloud service access key, waarna zij kunnen doorstoten naar endpoints terwijl zij hun sporen verbergen voor EDR-agenten. Vanuit de cloudconsole kunnen zij naar een cloud-gehoste server pivoteren om daar te beginnen met verkenning. Voor een SOC dat alleen de endpoints monitort, zijn de initiële toegang en manipulatie van de console onzichtbaar. De activiteit van de aanvaller kan dan overkomen als een legitieme aanmelding, wat de kans vergroot dat het SOC een vals negatief rapporteert bij het beoordelen van de gebeurtenis. Detectie vereist het samenvoegen van cloud beveiligingslogboeken, CASB-waarschuwingen en EDR-telemetrie om het volledige verhaal van de inbraak te reconstrueren.

Een ander scenario betreft "covert C2 en identiteitsdiefstal". Hierbij gebruikt een aanvaller DNS-tunneling naar een cloudopslaglocatie om een gecompromitteerd apparaat te besturen. Om hun activiteiten te maskeren met legitieme applicaties, stelen zij inloggegevens. Dit kan 'impossible travel'-waarschuwingen activeren over meerdere Software-as-a-Service (SaaS) applicaties. Als het SOC alleen de endpoint activiteit observeert, worden deze cruciale aanwijzingen gemist.

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor op een cybercrimeforum oude accounts van het Kodex platform aanbiedt. Kodex is een Amerikaans systeem waarmee bedrijven verzoeken van politie en justitie om gebruikersgegevens verifiëren en verwerken. Misbruik van een dergelijk account stelt aanvallers in staat om zogeheten noodverzoeken om gebruikersgegevens te verzenden naar meer dan 320 grote bedrijven, waaronder Discord, Coinbase, Roblox, DraftKings, Epic Games en OnlyFans. Voor 4.000 dollar wordt het pakket aangeboden, inclusief eerder gebruikte stukken die bij dergelijke verzoeken horen.

De verkoper claimt dat de inloggegevens van de actor zelf zijn en niet via een proxy lopen. Betalingen worden uitsluitend via een vertrouwde tussenpersoon afgehandeld voordat het land van herkomst van de accounts wordt onthuld. Dit type aanbod past in een patroon dat sinds februari 2026 zichtbaar is op cybercrimefora, waar volgens onderzoek van threat intelligence bedrijven eerder al losse Kodex accounts voor 2.000 dollar werden aangeboden, soms in combinatie met vervalste mailadressen van Amerikaanse politiekorpsen en valse identiteitsbewijzen.

De impact voor eindgebruikers is reëel. Een succesvolle valse aanvraag kan leiden tot het lekken van persoonsgegevens, locatiegegevens en transactiegegevens van individuele gebruikers van platforms die bij Kodex zijn aangesloten. Onder die gebruikers bevinden zich ook veel Nederlandse en Belgische burgers. Kodex zelf publiceerde eerder dat ongeveer dertig procent van de afgelopen 1.597 verzoeken een tweede verificatieronde niet doorstond en dat in een jaar tijd ongeveer 4.000 wetshandhavingaccounts zijn opgeschort, waaronder bijna 1.300 in Europa.

Voor bedrijven die zelf juridische verzoeken via Kodex of via een mailadres van een politiekorps ontvangen, is het verstandig om voor elk noodverzoek een aparte controleronde uit te voeren via een onafhankelijk telefoonnummer dat gepubliceerd is op de officiële website van het betreffende korps.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam ryewx1 op een cybercrimeforum een tool aanbiedt die mainstream beveiligingssoftware op Windows actief uitschakelt. De tool, ExEngine genaamd, wordt gepromoot als verdedigingsontduikingstool en kost tussen 150 en 250 dollar per build. Volgens de listing termineert het pakket onder andere Windows Defender, Malwarebytes, Bitdefender en Avast.

ExEngine combineert beëindiging van beveiligingsproducten met een ring 3 rootkit, automatische verhoging van rechten via een UAC bypass en de aflevering van een afleidende payload. Verdere mogelijkheden zijn rapportage van slachtofferinformatie via een Discord webhook, persistentie over herstarts en uitloggingen, en detectie van virtuele machines en debuggers met een nette afsluiting bij verdacht gedrag. De tool ondersteunt Windows 10 en 11 en kan elk type payload aan.

De combinatie van actieve terminatie van consumentenproducten zoals Windows Defender met de mogelijkheid om bestanden, processen en netwerkverbindingen te verbergen op gebruikersniveau betekent dat traditionele bescherming op het werkstation onbetrouwbaar wordt zodra ExEngine succesvol wordt uitgevoerd. De afleidende payload, een spel of installer die de aandacht van de gebruiker vasthoudt, vertraagt bovendien incidentmeldingen en geeft aanvallers extra tijd in het netwerk. Op cybercrimefora circuleren tegenwoordig tientallen vergelijkbare tools, met prijzen die variëren tussen ongeveer 150 en 1.200 dollar per build of per maand support.

Voor organisaties is het van belang om verder te kijken dan alleen endpointbescherming. Aanbevolen maatregelen zijn netwerkmonitoring met gedragsanalyse, netwerksegmentatie zodat een gecompromitteerd werkstation niet meteen tot bedrijfsbrede schade leidt, en monitoring van uitgaande connecties naar Discord webhook URLs in netwerklogs.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo zag op het darkweb een aanbod van bestanden waarvan een actor beweert dat ze afkomstig zijn van de populaire ritmegame osu!. De claim omvat de broncode van de oude osu! stable client uit 2016, websitebestanden, een database schema en configuratiebestanden van PHP en nginx. De actor stelt dat de bestanden zouden zijn weggelekt via een oude Discord server van de community.

De claim is op het moment van publicatie niet onafhankelijk geverifieerd door osu!, het ontwikkelaarsteam ppy of buitenlandse vakmedia. In mei 2016 lekte eerder al wel de broncode van de osu! stable client. De makers van osu! hebben de nieuwere versie osu!lazer onder een MIT licentie publiek gemaakt op GitHub, wat betekent dat de game broncode zelf grotendeels openbaar is. Nieuw aan deze claim zouden vooral de websitebestanden, het database schema en de nginx configuratie zijn, omdat dat onderdelen van de live productie omgeving raakt.

Mocht de claim correct zijn dan vergroot het de aanvalsoppervlakte voor onderzoekers die zoeken naar zwakke plekken in de osu! infrastructuur. Een database schema kan helpen bij gerichte SQL injecties, en nginx configuratie kan inzicht geven in routes, rate limiting en authenticatiestappen. Voor spelers met een osu! account betekent dit dat het verstandig is om wachtwoorden niet te delen met andere diensten, tweefactorauthenticatie te activeren waar mogelijk en alert te zijn op phishing of vreemde inlogpogingen.

De ontwikkelaars van osu! reageren op incidenten doorgaans via hun officiële kanalen op de osu! website en X. Tot er een bevestiging of ontkenning verschijnt, blijft de claim status vermeend.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo zag op het darkweb een database aanbod dat door de actor wordt gepresenteerd als afkomstig uit het ecosysteem van de populaire mobiele game Mobile Legends, ontwikkeld door Moonton. Een sample van de database wijst op een systeem voor link tracking en doorverwijzingen, met velden voor onder meer slug, redirect type, sponsored markeringen, klikstatistieken, geldigheidsdatums en eigenaarsdata. Dergelijke schema's worden vaak gebruikt voor in game promoties, affiliate links en advertentiecampagnes.

De volledige database wordt gedeeld via een MediaFire koppeling. De actor claimt dat het pakket gebruikersgerelateerde gegevens bevat zoals namen, mailadressen, URL gegevens, tracking parameters, account metadata, tijdstempels en backend velden. Op het moment van publicatie is de authenticiteit, omvang en herkomst van de dataset niet onafhankelijk bevestigd door Moonton of door buitenlandse vakmedia.

In juni 2024 trof Moonton al een eerder veel groter datalek door de actor WebSpid3rs, waarbij broncode van game servers, mailadressen van werknemers en klanten, en interne wachtwoorden te koop werden aangeboden op een ander cybercrime forum. Of het huidige aanbod een afsplitsing is van die eerdere dataset of nieuw materiaal blijft tot officiële bevestiging onduidelijk.

Voor spelers van Mobile Legends is het verstandig om alert te zijn op phishing pogingen en op vreemde aanmeldpogingen op het account. Het hergebruiken van eenzelfde wachtwoord op meerdere diensten vergroot de impact van eventueel uitgelekte mailadressen. Een wachtwoordmanager zoals MindYourPass beperkt de gevolgen van een dergelijk lek.

Bron: Cybercrimeinfo darkweb-onderzoek

Een nieuwe aanvalsmethode, genaamd ConsentFix v3, circuleert op het criminele forum XSS en wordt gepromoot als een verbeterde techniek die aanvallen tegen Microsoft Azure automatiseert. Deze variant bouwt voort op eerdere versies die gericht waren op OAuth phishing.

De eerste versie van ConsentFix werd in december 2025 door onderzoeksbureau Push Security gepresenteerd als een variatie op ClickFix voor OAuth phishingaanvallen. Hierbij werden slachtoffers met social engineering misleid om een legitieme inlogprocedure van Microsoft via de Azure CLI te doorlopen. Aanvallers misleidden de slachtoffers tot het plakken van een localhost URL met een OAuth autorisatiecode. Deze code kon worden gebruikt om tokens te verkrijgen en zo het account over te nemen, zelfs wanneer multifactor authenticatie was ingeschakeld. ConsentFix v2, ontwikkeld door onderzoeker John Hammond, verfijnde dit proces door het handmatig kopiëren en plakken te vervangen door een sleep en plak functionaliteit voor de localhost URL, waardoor de phishing stroom soepeler en overtuigender werd.

ConsentFix v3 behoudt het kernidee van het misbruiken van de OAuth2 autorisatiecode stroom en richt zich op Microsoft apps van de eerste partij die vooraf zijn vertrouwd en toestemming hebben. De belangrijkste verbetering van v3 is de integratie van automatisering en schaalbaarheid.

Volgens informatie die is verkregen van het XSS forum begint de aanval door de aanwezigheid van Azure in de doelomgeving te verifiëren door te controleren op geldige tenant ID's. Vervolgens worden details van medewerkers, zoals namen, functies en e-mailadressen, verzameld om impersonatie te ondersteunen. Daarna creëren de aanvallers meerdere accounts op diverse diensten zoals Outlook, Tutanota, Cloudflare, DocSend, Hunter.io en Pipedream. Deze accounts worden gebruikt voor phishing, hosting, gegevensverzameling en exfiltratie operaties.

Onderzoekers van Push Security leggen uit dat Pipedream, een gratis te gebruiken serverloze integratieplatform, een centrale rol speelt in het automatiseren van de aanval. Het vervult drie cruciale functies, het is het webhook eindpunt dat de autorisatiecode van het slachtoffer ontvangt, het is de automatiseringsengine die die code onmiddellijk uitwisselt voor een refresh token via de API van Microsoft, en het is de centrale verzamelaar die de vastgelegde tokens in realtime beschikbaar maakt voor de aanvallers.

In de volgende fase implementeert de aanvaller een phishing pagina die wordt gehost op Cloudflare Pages. Deze pagina bootst een legitieme Microsoft of Azure interface na en initieert een echte OAuth stroom via het inlog eindpunt van Microsoft. Wanneer het slachtoffer interactie heeft met de pagina, wordt deze omgeleid naar een localhost URL die een OAuth autorisatiecode bevat. Het slachtoffer wordt vervolgens misleid om deze URL terug in de phishing pagina te plakken of te slepen. Dit activeert de data exfiltratiepijplijn, waarbij de pagina de vastgelegde URL naar een Pipedream webhook stuurt en de backend automatisering onmiddellijk de autorisatiecode uitwisselt voor tokens. De e-mails voor phishing kunnen sterk gepersonaliseerd zijn, gegenereerd uit verzamelde gegevens, en bevatten kwaadaardige links die zijn ingebed in een PDF gehost op DocSend om de geloofwaardigheid te verbeteren en spamfilters te omzeilen.

In de fase na exploitatie worden de verkregen tokens geïmporteerd in Specter Portal, waardoor de aanvaller kan interageren met gecompromitteerde Microsoft omgevingen en toegang krijgt tot bronnen die door het token zijn toegestaan, zoals e-mail, bestanden en andere diensten die aan het account zijn gekoppeld. Push Security merkte op dat hun tests van ConsentFix v3 waren gebaseerd op hun persoonlijke Microsoft accounts, waardoor het moeilijk is om de volledige impact te bepalen, die afhankelijk is van permissies, diensten en tenant instellingen.

Het mitigeren van de risico's van ConsentFix is gecompliceerd, omdat het vertrouwen in apps van de eerste partij architectonisch is. Ook de Family of Client IDs, Microsoft applicaties die permissies en refresh tokens delen, zijn anderszins nuttig. Desondanks kunnen beheerders stappen ondernemen, zoals het toepassen van token binding op vertrouwde apparaten, het instellen van gedragsdetectieregels en het toepassen van restricties voor app authenticatie. Hoewel ConsentFix aanvallen worden gebruikt in daadwerkelijke campagnes, is het onduidelijk of de v3-variant al brede tractie heeft gekregen onder cybercriminelen.

Bron: Push Security | Bron 2: github.com

De Russische hostingdienst 4VPS.su is begin mei 2026 offline gegaan als gevolg van een externe inbraak. Het bedrijf, dat sinds 2017 actief is, stond bekend als een veelgebruikt platform binnen de cybercriminele onderwereld, waar diverse forums, ransomwaregroepen en andere illegale websites hun infrastructuur hosten.

Op het officiële Telegram kanaal van 4VPS bevestigde het management dat onbekende actoren toegang hadden verkregen tot het klantsysteem en de facturatiesystemen. Volgens de verklaring is het domein 4vps.su tijdelijk omgeleid naar een kwaadaardige server door middel van een aanval via proxy spoofing. Tijdens deze inbraak zou klantdata zijn buitgemaakt, waaronder wachtwoorden en betaalgegevens van de gebruikers.

Momenteel toont de website van 4VPS een Russische foutpagina met de melding "Технические работы" (technische werkzaamheden). Hoewel er op cybercrime kanalen geruchten circuleren over een mogelijke exit scam van 4VPS, ontkent het bedrijf dit en wijst het expliciet op een externe inbraak als oorzaak van de verstoring.

Het incident heeft potentieel aanzienlijke gevolgen voor het bredere cybercriminele ecosysteem. Veel operaties waren afhankelijk van de infrastructuur van 4VPS. Bovendien creëert het datalek een doxing risico voor de cybercriminelen wier persoonlijke en betaalgegevens mogelijk zijn gelekt. Onafhankelijke verificatie van de volledige omvang van de inbraak en de precieze impact ontbreekt nog op het moment van publicatie.

Bron: 4VPS Telegram | Bron 2: lowendtalk.com

De nieuwe ransomwaregroep CMD Organization is op 2 mei 2026 op het darkweb verschenen, wat de opkomst van een potentieel nieuwe dreiging in het cyberlandschap markeert. De groep, die zichzelf profileert als een "IT Security organization est. 2026", heeft op haar onion site twee slachtoffers gepubliceerd in een veilingformat met aflopende deadlines en biedingen in Bitcoin.

De geclaimde slachtoffers zijn Zampell, een Amerikaanse leverancier van vuurvaste materialen en diensten voor industrieën zoals energieopwekking, biomassa, fossiele brandstoffen en petrochemie, en JG Stewart Construction uit Canada, gespecialiseerd in steengroeve diensten zoals het breken, wassen en sorteren van aggregaten. Voor Zampell is een vraagprijs van acht Bitcoin ingesteld, met een resterende veilingtijd van ongeveer zes dagen.

CMD Organization opereert niet alleen via een onion adres in het Tor netwerk, maar ook via een clearnet domein en een statisch IP adres. Externe ransomware tracking platforms hebben de claims onafhankelijk gerapporteerd. Dit is de eerste keer dat CMD Organization publiekelijk slachtoffers vermeldt. Het gebruik van een veilingmodel, in plaats van een directe publicatie van gestolen data, duidt mogelijk op een poging om hogere losgeldbedragen af te dwingen. Hoewel de specifieke slachtoffers buiten Nederland en België zijn gevestigd, is de verschijning van een nieuwe ransomwaregroep relevant voor de risicobeoordeling van bedrijven in vergelijkbare sectoren binnen de Benelux. De methoden en doelen van deze groep kunnen immers ook Europese organisaties treffen.

Bron: RedPacket Security | Bron 2: ransomware.live

Op het cybercrime forum BreachForums is een pakket vervalste documenten te koop aangeboden dat zich voordoet als officiële Amerikaanse opsporingsverzoeken. Een gebruiker genaamd "convince" verkoopt de documenten, waaronder valse seizure warrants, MLAT verzoeken (Mutual Legal Assistance Treaty), subpoenas en andere juridische instrumenten. De verkoper vraagt 500 dollar in Monero en claimt dat de documenten "pixel perfect" zijn nagebootst, inclusief jurisdictionele headers en juridische taal, om compliance officers van grote techbedrijven te overtuigen.

De aanbieder richt zich expliciet op het versturen van vervalste Emergency Data Requests (EDRs) naar grote online platforms zoals Apple, Google en Meta. Het doel is om gebruikersdata te verkrijgen zonder een rechtmatig juridisch traject te volgen. EDR's zijn een procedure waarmee Amerikaanse opsporingsdiensten in noodgevallen direct gegevens kunnen opvragen bij dienstverleners zonder voorafgaande gerechtelijke toetsing.

De FBI heeft eerder al publiekelijk gewaarschuwd voor de opkomst van vervalste EDR fraude. Het Internet Crime Complaint Center (IC3) beschrijft dat criminelen gehackte e-mailaccounts van politiediensten gebruiken om valse opsporingsverzoeken te versturen. Hiermee worden persoonsgegevens, IP adressen, telefoonnummers en zelfs locatiegegevens van slachtoffers buitgemaakt. Met deze informatie kan vervolgens identiteitsfraude, doxing, stalking en gerichte sociale manipulatie worden gepleegd. De verkoop op het cybercrime forum past in een groeiende ondergrondse markt waar vervalste opsporingstoegang voor enkele honderden tot enkele duizenden dollars wordt verhandeld. Online platforms met Nederlandse en Belgische gebruikers staan eveneens bloot aan dit risico.

Bron: FBI / Bitdefender Hot for Security | Bron 2: ic3.gov | Bron 3: theregister.com

Op het cybercrimeforum DarkForums is een nieuwe tool verschenen die zich richt op het automatiseren van de diefstal van cryptocurrency herstelzinnen. Een gebruiker met de naam makitabosch adverteert de software onder de naam "SEED SOFTWARES CRACK", met de ondertitel "Mnemonic Finder & Mnemonicx Detector". Deze tool gebruikt optical character recognition (OCR) waarmee BIP39 herstelzinnen automatisch worden gedetecteerd en te extraheren uit afbeeldingen en schermafbeeldingen.

Volgens de advertentie ondersteunt de software OCR gebaseerde scanning van afbeeldingen, detectie van BIP39 mnemonics, analyse van bulkmappen en geautomatiseerde workflows voor de ontdekking van frases. De software beschikt over een interface waarin gebruikers doelpaden, motoren, talen en filteropties kunnen instellen. Een dergelijk hulpmiddel verlaagt de drempel aanzienlijk om grote hoeveelheden gestolen of buitgemaakte schermafbeeldingen efficiënt te doorzoeken op crypto herstelzinnen.

In het verleden hebben veel slachtoffers van infostealer malware en gehackte cloudgalerijen onbedoeld schermafbeeldingen van seed phrases bewaard, soms gemaakt tijdens het opzetten van een wallet. De opkomst van geautomatiseerde extractie tools zoals deze maakt deze voorheen minder direct uitbuitsbare, gevoelige beelden achteraf alsnog kwetsbaar.

Voor crypto gebruikers in Nederland en België betekent dit dat oude schermafbeeldingen, cloudback-ups en notitie-apps een doorlopend risico vormen. Het dringende beveiligingsadvies blijft dat herstelzinnen niet thuishoren in schermafbeeldingen, niet versleutelde mappen, cloudnotities of berichten-apps. Hoewel de claims van de verkoper niet onafhankelijk zijn geverifieerd, past de tool in een trend van toenemende automatisering binnen operaties voor crypto diefstal.

Bron: Darkweb monitoring

Een actor die opereert onder de naam LAPSUS$ Group heeft op een cybercrime forum een openbare wedstrijd aangekondigd. De groep biedt een geldprijs van 1.000 dollar in Monero (XMR) aan. Deelnemers worden uitgedaagd om websites te defacen en bewijs van hun acties in te sturen via gearchiveerde links, zoals de Wayback Machine. De winnaar wordt gekozen op basis van de bekendheid van het slachtoffer, niet op het aantal aangevallen websites. De deadline voor inzendingen is gesteld op 12 mei 2026.

Externe analyses, onder meer van Resecurity en Picus Security, wijzen uit dat de huidige LAPSUS$ vlag op cybercrime forums geen geverifieerde connectie heeft met de oorspronkelijke LAPSUS$ groep. Deze groep was in 2022 verantwoordelijk voor grootschalige inbraken bij bedrijven zoals Microsoft, Nvidia, Samsung, Okta en Rockstar Games. Internationale opsporing heeft de kern van de oorspronkelijke groep grotendeels weggehaald uit het criminele circuit. De naam wordt nu hergebruikt door nieuwe collectieven die soms samenwerken met groepen als ShinyHunters en Scattered Spider.

Het organiseren van een openbare defacement wedstrijd benadrukt een trend waarin cybercriminele activiteit gegamificeerd en genormaliseerd wordt. Voor publiek toegankelijke websites van Nederlandse en Belgische organisaties betekent deze wedstrijd een verhoogd risico op opportunistische aanvallen in de aanloop naar de deadline. Webbeheerders wordt geadviseerd om patches voor populaire content management systemen actueel te houden, de inlog voor beheerderspanelen te beveiligen met multifactor authenticatie en monitoring op verdachte wijzigingen aan publieke pagina's te activeren.

Bron: Cybercrime forum monitoring | Bron 2: resecurity.com

De ondergrondse markt voor gestolen browser sessie cookies op cybercrime forums toont een explosieve groei. Recentelijk is een toenemend aanbod van deze cookies waargenomen voor populaire platforms zoals Netflix, Steam, TikTok, PayPal, Binance, Booking.com, Epic Games, Apple en eBay. De vermelding van Booking.com is hierbij significant, aangezien dit een Nederlands bedrijf is dat persoonsgegevens van miljoenen reizigers in Nederland en België verwerkt.

Deze methode van accountovername wijkt af van traditionele diefstal van inloggegevens. Gestolen sessie cookies stellen aanvallers in staat om reeds geauthenticeerde accounts over te nemen, zelfs wanneer multifactorauthenticatie (MFA) is ingeschakeld. Dit komt doordat de cookies een actieve, gevalideerde sessie representeren. De cookies worden in de meeste gevallen verzameld via infostealer malware die onopgemerkt draait op geïnfecteerde apparaten. Deze malware exfiltreert alle browsergegevens, waardoor het wachtwoord van een slachtoffer niet langer voldoende is om ongeautoriseerde toegang te voorkomen.

Bedreigingsactoren verschuiven hun focus van het stelen van wachtwoorden naar het stelen van sessies. Deze ontwikkeling betekent een wezenlijke verandering in het dreigingsbeeld voor zowel consumenten als organisaties. De markt voor accountovername via sessiediefstal groeit snel in 2026 en treft direct platforms met een grote Nederlandse en Belgische gebruikersbasis.

Om de risico's te beperken, worden diverse maatregelen aanbevolen. Dit omvat het regelmatig uitloggen van ongebruikte sessies, het wissen van browser cookies, het vermijden van het opslaan van inloggegevens in browsers, het actief monitoren van actieve sessies en accountactiviteit, en het beschouwen van infostealer malware als een hoofdprioriteit binnen het bedrijfsbrede beveiligingsbeleid.

Bron: Darkweb monitoring

Een actor bekend als ShinyHunters beweert op het cybercrime forum BreachForums in het bezit te zijn van miljoenen gebruikersgegevens afkomstig van het backend systeem van NVIDIA GeForce NOW, het cloud gaming platform van NVIDIA. De vermeende dataset zou diverse persoonlijke en accountgerelateerde informatie omvatten, waaronder voornamen, achternamen, geverifieerde e-mailadressen, gebruikersnamen, geboortedata, lidmaatschapsstatus, de status van TOTP en tweefactor authenticatie, en interne rolattributen.

Ter ondersteuning van de bewering heeft ShinyHunters enkele voorbeeldrecords openbaar gemaakt. Op dit moment is de authenticiteit en de werkelijke omvang van de geclaimde data niet onafhankelijk geverifieerd. NVIDIA heeft de claim tot op heden niet publiekelijk bevestigd.

ShinyHunters staat bekend als een cybercriminele groepering die in het verleden verantwoordelijk werd gehouden voor datalekken bij diverse grote technologie en clouddiensten. Indien de claim accuraat blijkt, zou een blootstelling van gebruikersdata op deze schaal de risico's aanzienlijk vergroten. Dit omvat onder meer aanvallen via credential stuffing, gerichte phishingcampagnes, overnames van accounts en sociale manipulatie. De vermelding van TOTP en tweefactor authenticatie metadata is daarbij bijzonder verontrustend, aangezien dit aanvallers extra context kan bieden voor het opzetten van zeer gerichte en effectieve campagnes.

Aangezien NVIDIA GeForce NOW gebruikers in zowel Nederland als België heeft, worden klanten van het platform geadviseerd om onmiddellijk hun wachtwoord te resetten. Verder is het raadzaam om sterke multifactor authenticatie te activeren waar dit mogelijk is, recente inlogactiviteit kritisch te controleren en wachtwoordhergebruik tussen verschillende diensten te vermijden.

Bron: Darkweb monitoring

Op een ondergronds cybercrimeforum is een nieuwe cross platform Remote Access Trojan (RAT) verschenen, genaamd QuimaRAT v2.0.0. Deze malware wordt aangeboden door een acteur die opereert onder de naam QuimaCORE en richt zich op systemen met Windows, macOS en Linux. De ontwikkelaar claimt dat de tool, gebouwd op Java 17 en JavaFX, op het moment van publicatie volledig ondetecteerbaar is.

De communicatie tussen een geïnfecteerde machine en de aanvaller wordt beveiligd met Mutual TLS, in combinatie met AES 256 GCM versleuteling. Een opvallende eigenschap die door de aanbieder wordt geadverteerd, is dat een installatie van Java op de doelmachine niet noodzakelijk is. Dit komt doordat de builder een ingebedde Java Runtime Environment (JRE) meelevert in diverse formaten, waaronder JAR, EXE via Launch4j, BAT, VBS en native binaries.

QuimaRAT v2.0.0 biedt een uitgebreide set functionaliteiten. Voor Windows systemen zijn er meer dan zeventig modules beschikbaar, terwijl macOS en Linux systemen kunnen rekenen op meer dan veertig modules. De surveillancefuncties omvatten een keylogger, een klembord logger, screenshot opname, verborgen VNC-functionaliteit, en de mogelijkheid tot webcam en microfoonopname.

Op het gebied van het stelen van inloggegevens adverteert de RAT met herstelmogelijkheden voor browsers zoals Chromium, Firefox en Edge. Daarnaast kunnen e-mail clients, LSASS dumps, RDP en VPN-credentials, crypto walletartefacten en tokens worden gestolen. Voor ontwijking van beveiligingsmaatregelen claimt de adverteerder functies zoals AMSI bypass, ETW patcher, UAC bypass, het uitschakelen van Defender en Firewall, process hollowing techniek, DLL injectie en een rootkit module.

De prijsstelling voor QuimaRAT v2.0.0 varieert van 200 dollar voor een maandlicentie tot 2400 dollar voor een levenslange licentie. Cybercrimeinfo merkt op dat de claims van de verkoper niet onafhankelijk zijn geverifieerd. De opkomst van deze RAT past echter wel in een breder patroon van aanbieders van Malware-as-a-Service (MaaS) die gebaseerd is op Java, vergelijkbaar met eerdere dreigingen zoals Adwind en Quaverse RAT.

Bron: Darkweb monitoring

Op het cybercrime forum DarkForums adverteert een dreigingsactor met de gebruikersnaam SekT0r een geautomatiseerde scanner en exploit voor LiteLLM Proxy installaties. Deze tool richt zich op systemen die kwetsbaar zijn voor een specifieke SQL injectie, bekend als CVE-2026-42208. Volgens de listing ondersteunt de scanner exploitatie van één doelwit, massascans op basis van een doelwitlijst, en geautomatiseerde uitbuiting van kwetsbare instanties.

De kwetsbaarheid CVE-2026-42208 is een kritieke pre authenticatie SQL injectie die op 19 april 2026 publiekelijk werd gemaakt via de GitHub Advisory Database. De fout ligt in de manier waarop LiteLLM Proxy API sleutels verwerkt in database queries zonder deze als afzonderlijke parameter door te geven. Dit stelt een aanvaller in staat om met een speciaal gevormde Authorization header een query op te breken en willekeurige database commando's uit te voeren, zelfs voordat authenticatie plaatsvindt.

Sysdig observeerde de eerste exploitatie pogingen al op 26 april 2026, slechts 26 uur na de openbaarmaking van het beveiligingsadvies. Aanvallers richtten zich expliciet op drie tabellen die de meest waardevolle proxy secrets bevatten. LiteLLM is een open source LLM gateway met meer dan 22.000 GitHub stars, die bedrijven gebruiken als front end voor model providers zoals OpenAI en Anthropic.

De kwetsbaarheid is verholpen in versie 1.83.7 stable. Versies van 1.81.16 tot en met 1.83.7 zijn kwetsbaar. Organisaties die LiteLLM Proxy in productie hebben staan, dienen direct te upgraden naar versie 1.83.7 of hoger. De recente opkomst van een kant en klare scanner en exploit op een cybercrime forum verlaagt de drempel voor minder vaardige aanvallers en kan leiden tot grootschaliger misbruik gericht op AI infrastructuur in Nederland en België.

Bron: Sysdig | Bron 2: docs.litellm.ai | Bron 3: thehackernews.com