Ansell, een wereldwijd toonaangevend bedrijf in beschermingsoplossingen, werd op 31 oktober 2025 getroffen door een ransomwareaanval uitgevoerd door de Clop ransomwaregroep. Het bedrijf is gespecialiseerd in het ontwerpen, ontwikkelen en produceren van beschermende handschoenen, condooms en andere veiligheidskleding. Ansell is actief in verschillende sectoren, waaronder de gezondheidszorg en de industrie, en heeft een lange geschiedenis van meer dan 125 jaar. De aanval werd ontdekt op 31 oktober 2025, en het bedrijf heeft zijn activiteiten in Australië en wereldwijd, inclusief België, gestaakt. De Clop-groep heeft de verantwoordelijkheid voor de aanval opgeëist, en er is een vermoeden van datalekken, waarbij gevoelige gegevens van medewerkers en externe partners mogelijk zijn buitgemaakt.

Ansell biedt een breed assortiment aan persoonlijke beschermingsmiddelen, met de nadruk op handschoenen en beschermkleding voor diverse industrieën zoals gezondheidszorg en de chemische sector. Het bedrijf heeft vestigingen in meer dan 100 landen en biedt producten die voldoen aan strenge veiligheidsnormen en duurzaamheidseisen. Een van de innovaties is de HyFlex™ Precision Comfort Series, ontworpen met AEROFIT™ Technology, die zorgt voor een uitstekende pasvorm en verhoogd draagcomfort. Ansell zet zich in voor duurzaamheid en heeft initiatieven zoals het RightCycle™-programma, dat zich richt op circulaire economie door producten te reinigen en hergebruiken. De organisatie heeft ook het AnsellGUARDIAN veiligheidsbeoordelingsprogramma en biedt producten die voldoen aan milieuverantwoordelijkheid. Met een focus op veiligheid, innovatie en duurzaamheid blijft Ansell een vooraanstaande speler in de wereld van persoonlijke beschermingsmiddelen.

Screenshot

Bij een ransomwareaanval op de afvalverwerker Omrin zijn persoonsgegevens van inwoners van Schiermonnikoog buitgemaakt. Gehackte gegevens omvatten namen, adressen, BSN-nummers en RSIN-nummers van zowel eilandbewoners als eigenaren van recreatiewoningen. Daarnaast werden ook adresgegevens van bedrijven gestolen, wat risico’s met zich meebrengt zoals identiteitsfraude en phishing. De aanval vond plaats halverwege oktober 2025 en werd door de gemeente Schiermonnikoog gemeld bij de Autoriteit Persoonsgegevens. Omrin, dat verantwoordelijk is voor afvalinzameling in het noorden van Nederland, had onterecht BSN-nummers verzameld, waarvoor geen noodzakelijkheid bestond. De gemeente heeft inwoners geadviseerd alert te zijn op verdachte communicatie en bankgegevens te controleren. Verdachte gevallen kunnen gemeld worden bij de Fraudehelpdesk of het Centraal Meldpunt Identiteitsfraude om verdere schade te voorkomen.

Bron 1

Op een hackforum werd informatie gedeeld over toegang tot een Nederlands bedrijf met een omzet van ongeveer $6 miljoen in de commerciële sector. De toegang wordt beschreven als sterk en betreft een domeinaccount. Dit wijst op mogelijke kwetsbaarheden binnen het systeem van het bedrijf, die kunnen worden misbruikt voor ongeautoriseerde toegang. De details impliceren dat cybercriminelen toegang hebben tot waardevolle gegevens van een commercieel bedrijf, wat het risico op datalekken of andere vormen van digitale criminaliteit verhoogt. Het delen van dergelijke toegangspunten op hackforums is een veelvoorkomende manier waarop aanvallers zich toegang verschaffen tot systemen van bedrijven, wat kan leiden tot schade aan de reputatie en financiële verliezen.

Screenshot

Twee maanden na de inbraak op de Citrix-systemen van het Openbaar Ministerie (OM) is het onderzoek door een commissie van cyberexperts nog niet begonnen. Het kabinet had eerder aangekondigd een onderzoekscommissie in te stellen om de incidenten te onderzoeken. De inbraak leidde tot het loskoppelen van de interne systemen van het OM, naar aanleiding van waarschuwingen van het Nationaal Cyber Security Centrum (NCSC). De gevolgen van het incident zijn groot voor de strafrechtketen. Een eerste technisch en forensisch onderzoek heeft geen aanwijzingen opgeleverd dat er data is gestolen of aangepast. De minister van Justitie laat weten dat het onderzoek door de commissie zich zal richten op de reactie van het OM op het incident, de genomen maatregelen en de versterking van de IT-weerbaarheid. Het is nog niet duidelijk wanneer het onderzoek zal beginnen en wanneer de commissie wordt aangesteld.

Bron 1

De gemeente Schiermonnikoog heeft in 2024 een bestand met namen, adressen en burgerservicenummers van alle inwoners en eigenaren van recreatiewoningen gedeeld met afvalverwerker Omrin. Het bestand diende voor de introductie van nieuwe containerstags, maar bevatte meer gegevens dan noodzakelijk. Bij de ransomwareaanval op Omrin, gemeld op 13 oktober 2025, kwam het bestand op een gecompromitteerde schijf terecht en is mogelijk door criminelen ingezien. Omrin stelt dat het bestand destijds is aangepast, maar dat een kopie is blijven staan. De burgemeester noemde de situatie “vervelend” en ziet geen datalek; er is geen melding gedaan bij de Autoriteit Persoonsgegevens. Binnen de gemeente onderzoekt een privacyexpert het incident. Tijdens de storing waren kringloopwinkels tijdelijk gesloten, was de klantenservice telefonisch onbereikbaar en gaf de Afvalapp problemen; deze dienstverlening is inmiddels hersteld. De casus roept vragen op over dataminimalisatie, verantwoordingsplicht en meldplicht onder de AVG. Bron 1

RTV Noord is het slachtoffer geworden van een cyberaanval, die aanzienlijke gevolgen heeft voor de uitzendingen en publicaties op hun verschillende platforms. De hack werd ontdekt op donderdagochtend, waardoor medewerkers tijdelijk niet meer toegang hadden tot de systemen. Ondanks de verstoring bleef de omroep in staat om uitzendingen voort te zetten, hoewel dit met tijdelijke ongemakken gebeurde. De live-uitzendingen via de website en app waren echter niet beschikbaar, en de normale berichtgeving lag stil. De omroep blijft actief op sociale media, maar in beperkte mate. Er werd een bericht achtergelaten door de hackers, maar hierover zijn geen details gedeeld. De technische ploeg wordt ondersteund door experts om het probleem op te lossen. De politie is nog niet ingeschakeld, aangezien de focus eerst ligt op het herstellen van de diensten van de omroep.

Bron 1

Op 10 november 2025 werd bekend dat de Belgische multinational AGFA het slachtoffer is geworden van een cyberaanval, geclaimd door de Everest ransomwaregroep. AGFA is actief in de ontwikkeling van analoge en digitale beeldsystemen, evenals IT-oplossingen voor onder andere de gezondheidszorg en de grafische industrie. De aanval werd gedetecteerd door Ransomware.live en vond plaats op dezelfde dag. De Everest ransomwaregroep, bekend om hun aanvallen op grote organisaties, heeft de verantwoordelijkheid voor de aanval opgeëist. Er is momenteel geen specifieke informatie over de aard van de gestolen data of de omvang van de schade. AGFA is een van de vele bedrijven die in 2025 getroffen zijn door een reeks ransomware-aanvallen, wat de risico's voor bedrijfsbeveiliging verder benadrukt.

Screenshot

Op een darkwebkanaal is een melding verschenen over een mogelijk datalek bij Eurofiber, waarbij zowel de volledige database als onderdelen van het interne IT systeem zouden zijn buitgemaakt. De claim is op dit moment niet bevestigd door Eurofiber of andere officiële bronnen, waardoor de omvang en betrouwbaarheid van het bericht nog onduidelijk zijn. Als de melding klopt, kan dit gevolgen hebben voor de continuïteit van netwerkdiensten en de bescherming van klantinformatie, omdat Eurofiber een belangrijke rol speelt in digitale infrastructuur in Nederland en omringende landen. De situatie illustreert hoe snel ongeverifieerde datalekclaims kunnen circuleren via online platforms, vaak voordat verificatie heeft plaatsgevonden. Verdere informatie is nodig om de werkelijke impact te bepalen en om vast te stellen of er daadwerkelijk gegevens zijn gepubliceerd.

Screenshot

De hack op RTV Noord was een ransomware-aanval, vermoedelijk een spray-aanval, waarbij de cybercriminelen willekeurig zoveel mogelijk systemen probeerden te compromitteren. Dit soort aanvallen is vaak geautomatiseerd en maakt gebruik van AI om kwetsbare systemen te vinden. Het doel van de aanvallers is om zoveel mogelijk data te stelen en daarna losgeld te eisen, zonder dat er sprake is van gerichte targeting. RTV Noord meldde dat de aanval geen specifieke focus had op de omroep, maar dat de interne systemen werden versleuteld en er mogelijk gevoelige werknemersdata werd gestolen. Ondanks de dreiging van publicatie van de gegevens, besloot de omroep niet te betalen. Er werd bevestigd dat de aanval niet het gevolg was van een medewerker die op een verdachte link had geklikt. De omroep werkt nu samen met andere organisaties en het NCSC aan herstel en versterking van de beveiliging.

Bron 1

De Franse dochter van Eurofiber heeft bevestigd dat onbevoegde toegang is verkregen tot interne systemen waarin klantgegevens waren opgeslagen. Cybercrimeinfo ontdekte op 14 november dat er sprake was van een datalek, maar inmiddels blijkt dat de impact uitsluitend de Franse tak betreft en niet de Nederlandse omgeving. Aanvallers maakten misbruik van een kwetsbaarheid in het ticketmanagementplatform van Eurofiber France en in een portaal dat door hosting en outsourcingpartner ATE wordt gebruikt. Daarbij is informatie uit beide systemen gekopieerd, al geeft Eurofiber niet aan om welke gegevens het precies gaat of hoeveel klanten zijn getroffen. De kwetsbaarheid is na ontdekking verholpen.

Eurofiber benadrukt dat alleen klanten van Eurofiber France en de regionale merken Eurafibre, FullSave, Netiwan en Avelia zijn geraakt. Klanten die gebruikmaken van diensten die in Nederland, België of Duitsland worden gehost, waaronder Eurofiber Cloud Infra, zijn volgens de verklaring niet getroffen. Berichten op sociale media suggereren dat de aanval mogelijk verband houdt met een verouderde versie van GLPI en dat gegevens van duizenden klanten kunnen zijn buitgemaakt, maar deze details zijn niet bevestigd. Eurofiber geeft aan dat betrokken klanten inmiddels zijn geïnformeerd en dat melding is gedaan bij de Franse toezichthouder CNIL.

Bron 1

Zie ook 14 november 2025 | Mogelijk datalek bij Eurofiber met publicatie interne gegevens

Op 18 november 2025 heeft een technische storing bij netwerkbedrijf Cloudflare wereldwijd geleid tot onbereikbaarheid van verschillende websites. Cloudflare, een van de grootste bedrijven op het gebied van netwerkbeveiliging, speelt een cruciale rol in het beschermen van miljoenen websites tegen digitale aanvallen. De oorzaak van de storing is nog onbekend, maar Cloudflare heeft aangegeven op de hoogte te zijn van het probleem en is bezig met onderzoek.

In Nederland hebben onder andere de websites van NH Nieuws, AT5 en het Financieele Dagblad te maken gehad met downtime. Ook de websites van politieke partijen zoals VVD en D66, evenals de stichting Alzheimer Nederland, waren niet bereikbaar. Het platform Allestoringen.nl heeft inmiddels meer dan 2000 meldingen ontvangen van gebruikers die moeite hadden met het laden van sites. De storing heeft wereldwijd gevolgen, aangezien vele andere populaire sites ook werden getroffen.

Cloudflare heeft bevestigd dat het probleem actief wordt onderzocht en er nog geen exacte oplossing is gepresenteerd. De impact van de storing blijft groot, aangezien veel bedrijven en organisaties wereldwijd afhankelijk zijn van de diensten van Cloudflare voor hun digitale aanwezigheid. De incidenten benadrukken de kwetsbaarheid van de infrastructuur die het internet ondersteunt.

Op 18 november 2025 heeft een grote storing bij Cloudflare wereldwijd geleid tot verstoringen van vele websites en apps, waaronder populaire platforms zoals X en ChatGPT. De storing begon rond 12:30 uur Nederlandse tijd en resulteerde in wijdverspreide 500-foutmeldingen bij gebruikers van Cloudflare-diensten. Het probleem betrof een storing in het Global Network van Cloudflare, die meerdere klanten beïnvloedde en zorgde voor onbereikbaarheid van diverse websites. Bovendien waren de Cloudflare Dashboard en de Cloudflare API tijdelijk niet beschikbaar.

Als gevolg van de storing werden duizenden meldingen ingediend via DownDetector.com, die de omvang van het probleem aantoonden. Diverse websites die gebruik maken van Cloudflare voor content delivery network (CDN) services en DDoS-bescherming waren niet bereikbaar of traag in het laden. Op fora zoals Hacker News en Reddit kwamen honderden reacties binnen van verontruste gebruikers die de gevolgen van de storing ondervonden.

Cloudflare heeft de storing inmiddels verholpen en meldde dat het probleem werd geïdentificeerd en opgelost. Details over de oorzaak van de storing zijn vooralsnog niet beschikbaar. De impact van de storing heeft echter opnieuw het belang van robuuste infrastructuren voor de online dienstverlening benadrukt.

Bron 1

Het Máxima Medisch Centrum (MMC), met vestigingen in Eindhoven en Veldhoven, heeft vanwege een ernstige netwerkstoring alle geplande afspraken, behandelingen en operaties voor dinsdag 18 november moeten annuleren. Het ziekenhuis heeft aangegeven dat door de storing toegang tot elektronische patiëntendossiers onmogelijk is, wat ernstige gevolgen heeft voor de zorgverlening. Hoewel de storingen begonnen zijn met telefonieproblemen, heeft het MMC benadrukt dat er geen sprake is van een hack, maar van een technisch probleem binnen het netwerk.

Het ziekenhuis is momenteel alleen bereikbaar voor spoedeisende vragen en roept patiënten op geen niet-spoedeisende vragen te stellen om de beschikbare middelen niet verder te belasten. De storingen hebben invloed op de toegang tot verschillende systemen, waardoor het ziekenhuis tijdelijk niet in staat is om zorg te leveren zoals gebruikelijk. Medewerkers kunnen bijvoorbeeld geen gegevens in patiëntendossiers raadplegen, wat de zorg voor patiënten bemoeilijkt. Het MMC benadrukt dat de situatie nauwlettend wordt gevolgd en dat spoedeisende hulp bij andere locaties kan worden geboden als dat nodig blijkt.

Bron 1

Op 18 november 2025 kampten meerdere Nederlandse providers, waaronder Odido en Ziggo, met een grote storing die duizenden klanten in het hele land trof. Klanten meldden op verschillende platformen, zoals Allestoringen.nl, dat ze geen internetverbinding konden maken en problemen ondervonden bij het tv-kijken. De storing begon in de vroege ochtenduren en bereikte zijn piek rond 9.30 uur, met meldingen die opliepen tot bijna tienduizend voor Odido en enkele duizenden voor Ziggo.

De oorzaak van de storing bleek een stroomstoring in een datacenter te zijn, wat leidde tot de tijdelijke uitval van de diensten van deze providers. Zowel Odido als Ziggo gaven aan dat de problemen werden veroorzaakt door deze onvoorziene technische storing, die het netwerk ernstig verstoorde. Technici van de providers werden snel ingezet om de situatie te verhelpen, en na enkele uren waren de meeste diensten weer operationeel.

De storing had niet alleen impact op de telefonie- en internetdiensten van Odido en Ziggo, maar ook op andere diensten zoals internetbankieren. ASN Bank ondervond op hetzelfde moment ook technische problemen door de landelijke netwerkuitval, hoewel klanten geen problemen ervaarden met pinbetalingen. De banken gaven aan dat het probleem was opgelost zodra de verbindingen van de providers waren hersteld.

Dit incident benadrukt de kwetsbaarheid van digitale diensten, die steeds meer afhankelijk zijn van betrouwbare datacenters en netwerkverbindingen. De bedrijven werken nu aan maatregelen om de kans op soortgelijke storingen in de toekomst te verkleinen. De oorzaak van de stroomstoring wordt verder onderzocht om herhaling te voorkomen.

Op 18 november 2025 kwam het wereldwijd tot een verstoring van verschillende internetdiensten door Cloudflare, een belangrijke speler in het beheer van webverkeer en bescherming tegen aanvallen. Volgens Cloudflare-CTO Dane Knecht was de oorzaak van de storing een "latente bug" die tot problemen leidde bij de botmitigatie-oplossing van het bedrijf. De bug crashte na een routine configuratie-aanpassing, wat resulteerde in verstoringen in de diensten van Cloudflare, waaronder traag ladende of niet werkende websites en applicaties.

De storing begon rond 12:30 uur Nederlandse tijd en trof een breed scala aan bedrijven, organisaties en websites die afhankelijk zijn van Cloudflare. In een verklaring op X (voorheen Twitter) benadrukte Knecht dat het niet om een cyberaanval ging. Ondanks de transparantie over de oorzaak, gaf hij aan dat de impact en de tijd die het kostte om het probleem op te lossen onacceptabel waren. Cloudflare kondigde maatregelen aan om herhaling van dergelijke incidenten in de toekomst te voorkomen.

Bron 1

De oorzaak van de hack bij Clinical Diagnostics, waarbij gegevens werden buitgemaakt van 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen, is nog steeds niet bekend. Het datalek werd begin augustus 2025 openbaar, maar bijna vier maanden later is het nog niet duidelijk hoe de aanvallers toegang kregen tot de systemen van het bedrijf.

Staatssecretaris Tielen van Volksgezondheid heeft in reactie op Kamervragen laten weten dat de oorzaak van de hack onderwerp is van nader onderzoek. Er is op dit moment geen concrete informatie over wanneer de uitkomsten van dit onderzoek verwacht kunnen worden. De staatssecretaris benadrukt echter dat op basis van de bevindingen van het onderzoek gekeken zal worden welke lessen er getrokken kunnen worden.

In reactie op de situatie werd ook gevraagd of er aanvullende beveiligingsmaatregelen worden ingevoerd voor zorgaanbieders, aangezien zij wettelijk verantwoordelijk zijn voor hun eigen informatiebeveiliging. Tielen gaf aan dat de minister van Volksgezondheid ondersteuning biedt, maar dat zorgaanbieders zelf moeten bepalen welke maatregelen ze nemen om hun systemen te beschermen. Daarnaast wordt er door Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, nu een scan uitgevoerd op kwetsbaarheden bij alle laboratoria die betrokken zijn bij bevolkingsonderzoeken naar kanker en screeningsprogramma’s voor zwangerschap en geboorte.

Bron 1

Lees tip: Ben jij getroffen door het datalek bij Bevolkingsonderzoek Nederland, wat nu?

Op dinsdag 18 november 2025 werd Cloudflare getroffen door een van de ergste storingen in zes jaar, die bijna zes uur duurde. Deze storing belemmerde de toegang tot veel websites en online platforms wereldwijd. De oorzaak van de storing was een wijziging in de toegangsrechten van de database die leidde tot een cascade van systeemfouten door het wereldwijde netwerk van Cloudflare. Het bedrijf verklaarde dat de storing niet het resultaat was van een cyberaanval, maar dat een wijziging in de databasepermissies ervoor zorgde dat er foutieve gegevens werden gegenereerd. Dit leidde tot het aanmaken van een te groot configuratiebestand voor het botmanagementsysteem van Cloudflare, wat het netwerk verstoorde.

De storing begon om 11:28 UTC en veroorzaakte een fluctuerende netwerkverbinding doordat het bestand de vooraf ingestelde limieten overschreed, wat leidde tot systeemcrashes. Dit resulteerde in foutmeldingen en een blokkering van verkeer via Cloudflare's netwerken. De technische teams van Cloudflare werkten snel om de oorzaak van het probleem te identificeren en het systeem te herstellen. Het verkeer herstelde zich om 14:30 UTC, en de volledige operatie was weer in werking tegen 17:06 UTC. De storing had invloed op verschillende belangrijke diensten van Cloudflare, waaronder de CDN, beveiligingsdiensten, Turnstile, Workers KV en de toegang tot dashboards en e-mailbeveiliging. CEO Matthew Prince bood zijn excuses aan voor de impact van de storing en benadrukte dat dergelijke incidenten onacceptabel zijn voor een bedrijf van Cloudflare's omvang.

Bron 1

De hackersorganisatie Black Witch heeft recentelijk zo'n 30 Nederlandse websites gehackt, waaronder de websites van het Martini Ziekenhuis in Groningen, het Isala Ziekenhuis in Zwolle, en vervoersbedrijf Arriva. De aanvallers plaatsten Nazi-teksten en symbolen, waaronder de cijfers 14 en 18, op de voorpagina’s van de getroffen sites. Deze cijfers verwijzen naar een nazimanifest uit de Tweede Wereldoorlog en worden vaak geassocieerd met extreemrechtse groeperingen. De hackers verklaarden dat de actie niet bedoeld was om schade aan te richten, maar om meer naamsbekendheid te genereren en nieuwe leden te werven voor hun groep.

De getroffen instellingen, waaronder de ziekenhuizen, reageerden snel door de ongewenste inhoud te verwijderen en de websites weer operationeel te krijgen. Het Martini Ziekenhuis gaf aan dat de website werd beheerd door een externe partij en dat er gezamenlijk werd onderzocht hoe de aanval had kunnen plaatsvinden. De aanvallers zouden voornamelijk actief zijn vanuit Frankrijk en Rusland en beweren geen gegevens te hebben gestolen, maar dit is nog niet bevestigd door de getroffen organisaties.

Het onderzoek naar de herkomst van de aanval is nog in volle gang, en de schade door de verspreiding van de extreemrechtse boodschappen blijft onduidelijk. Er wordt geen verdere informatie gedeeld over mogelijke beveiligingslekken die door de hackers zijn misbruikt. De organisaties werken samen met relevante autoriteiten om de aanval grondig te onderzoeken.

Het laboratorium Clinical Diagnostics in Rijswijk heeft recentelijk getroffen patiënten geïnformeerd over een datalek dat eerder dit jaar plaatsvond. Het lek resulteerde in de openbaarmaking van privégegevens van honderdduizenden mensen wiens lichamelijke onderzoeken door het laboratorium waren verwerkt. De getroffen gegevens betreffen geen informatie van deelnemers aan het Bevolkingsonderzoek Nederland. Patiënten, van wie de gegevens via een huisarts waren doorgegeven, ontvangen brieven van het laboratorium waarin zij worden geïnformeerd over de gebeurtenis. Het laboratorium heeft aangegeven geen precieze datum te noemen voor wanneer deze brieven arriveren.

Huisartsen die rechtstreeks betrokken waren bij de aanvraag van onderzoeken krijgen eveneens een brief. Huisartsen die geen brief ontvangen, maar vermoeden dat patiënten getroffen zijn, kunnen contact opnemen met Clinical Diagnostics voor meer informatie. De omvang van het datalek is nog steeds niet volledig duidelijk. Het lek werd in juli 2025 ontdekt en in augustus gemeld. Begin september werden de eerste patiënten geïnformeerd over de gegevens die waren gelekt. In totaal waren meer dan 941.000 mensen betrokken bij het incident, waarvan gegevens zoals namen, geboortedata, adressen, testuitslagen en burgerservicenummers konden zijn buitgemaakt.

Een klein aantal van de gehackte gegevens werd op het darkweb aangetroffen. Het laboratorium heeft nog niet bevestigd of er losgeld is betaald voor het herstel van de gegevens. De situatie is nog in onderzoek, en de getroffen organisaties zijn bezig met het herstellen van de gevolgen van het incident.

Bron 1

Op 31 oktober 2025 werd een FakeCaptcha-payload ontdekt op een gecompromitteerde webpagina van analyticscampus.com. De site, die zich voordeed als een legitiem artikel over een zelfpropagerende Visual Studio Code worm, bevatte in werkelijkheid een misleidende verificatieprompt. Deze prompt instrueerde gebruikers om opdrachten uit te voeren op macOS-systemen, een typische techniek van FakeCaptcha-social-engineeringcampagnes. Het doel was om gebruikers te misleiden en hen te laten uitvoeren van schadelijke payloads of toegang te geven tot hun systemen via de opdrachtregel. De verdachte website wordt aanbevolen om te blokkeren en gebruikers te waarschuwen voor dit type gedrag. Deze aanval benadrukt de voortdurende evolutie van FakeCaptcha-technieken, waarbij zelfs legitiem ogende technologie-artikelen worden misbruikt om malware te verspreiden.

Cybercriminelen maken gebruik van de populariteit van ChatGPT door vervalste mobiele apps te verspreiden die zich voordoen als legitieme ChatGPT-interfaces. Onderzoek heeft onthuld dat deze apps ontworpen zijn om gevoelige gebruikersgegevens te verzamelen en digitale activiteiten te monitoren zonder toestemming. De kwaadaardige apps infiltreren derde partij-appstores en gebruiken overtuigende branding, waardoor ze moeilijk te onderscheiden zijn van echte ChatGPT-toepassingen. Eenmaal geïnstalleerd voeren ze verborgen surveillance uit, terwijl ze de schijn wekken van werkende AI-assistenten. Het risico neemt toe doordat miljoenen gebruikers wereldwijd onofficiële AI-apps downloaden zonder zich bewust te zijn van de ingebedde spyware. Onderzoekers ontdekten dat de malware gebruik maakt van cloudinfrastructuur van Amazon Web Services en Google Cloud om communicatie te maskeren en beveiligingsdetectie te omzeilen. Gevoelige gegevens zoals wachtwoorden, bankcodes en contactgegevens worden gestolen en kunnen worden gebruikt voor verdere aanvallen.

Bron 1

In de eerste helft van 2025 hebben financieel gemotiveerde aanvallers hun aanpak veranderd, waarbij ze traditionele malware-aanvallen hebben vervangen door het misbruiken van gestolen inloggegevens en geldige accounttoegang. Deze aanvallers verkrijgen toegang tot netwerken via gecompromitteerde VPN-inloggegevens, vaak verkregen door phishing, de aankoop van gestolen gegevens of via infostealer-malware. De aanvallers maken gebruik van externe diensten, zoals VPN-infrastructuur en kwetsbaarheden in openbare applicaties, om toegang te verkrijgen en zich lateraal door netwerken te bewegen. Een belangrijk kenmerk van deze aanvallen is het gebruik van legitieme remote managementtools zoals AnyDesk en Atera, wat het detecteren van aanvallen bemoeilijkt. De aanvallers behouden hun toegang door eigen remote toegangstools te installeren en misbruik te maken van verhoogde gebruikersrechten. Deze aanpak stelt de aanvallers in staat om voor langere tijd onopgemerkt te blijven en effectief datadiefstal of andere aanvallen uit te voeren.

Bron 1

Vibe hacking is een opkomende vorm van sociale manipulatie waarbij AI wordt ingezet om de toon, timing en persoonlijkheid van aanvallers te gebruiken om slachtoffers, inclusief andere AI-systemen, te misleiden. Deze techniek maakt gebruik van tekst, stemdeepfakes, korte video's en persona-mimicry om vertrouwen op te bouwen en toegang te verkrijgen tot gevoelige gegevens. Het doel is om mensen of bedrijven te overtuigen om informatie, geld of toegang te delen. Vibe hacking richt zich vooral op de bedrijfswereld, waar aanvallers gebruik maken van AI-modellen zoals Claude Code om vertrouwen op te bouwen en gegevens te stelen. Criminelen gebruiken ook eenvoudige AI-tools om overtuigende stemmen en berichten te genereren. Deze nieuwe vorm van cybercrime is moeilijk te detecteren, omdat de aanvallen zowel menselijke als AI-systemen kunnen misleiden.

Download rapport (pdf)

Cybercriminelen hebben in de periode tussen midden augustus en eind september 2025 maar liefst 1.330 valse domeinen geregistreerd om consumenten te misleiden. De domeinen deden zich voor als officiële websites van 23 bekende luxe merken zoals Gucci, Prada, Louis Vuitton, Rolex en Chanel. Deze nepdomeinen waren vaak gelinkt aan 'boutiques' of 'outlets' en probeerden consumenten met vermeende kortingen te lokken. De domeinen werden kort voor de drukke feestdagen geregistreerd, wat suggereert dat ze tijdens de piekverkoopseizoenen geactiveerd zouden kunnen worden. Sommige domeinen zijn nog inactief, maar er wordt verwacht dat ze zullen worden gebruikt voor verkoop tijdens evenementen zoals Black Friday. De onderzoekers van PreCrime Labs, onderdeel van BforeAI, adviseren merken om proactief domeinen die een risico vormen te registreren en consumenten bewust te maken van veilige kooppraktijken om schade aan hun reputatie en financiën te voorkomen.

Bron 1

Hackers richten zich op vrachtmakelaars en transportbedrijven door kwaadaardige links en e-mails te versturen. Deze berichten bevatten tools voor remote monitoring en management (RMM), zoals NetSupport en ScreenConnect, waarmee de aanvallers volledige controle krijgen over de systemen van de bedrijven. Het doel van de aanvallers is om de vrachtwagens te kapen en fysieke goederen te stelen. De aanvallen zijn met name gericht op Noord-Amerikaanse bedrijven, maar ook in andere landen zoals Brazilië, Mexico, Duitsland en Zuid-Afrika zijn er incidenten gemeld. De aanvallers gebruiken fraude met vrachtvermeldingen en e-mailinbraken om slachtoffers naar schadelijke URL’s te leiden, waarna de RMM-tools worden geïnstalleerd. Deze tools geven de hackers controle over de systemen, waardoor ze de boekingen kunnen aanpassen en ladingen kunnen stelen. De gestolen goederen worden vaak via internet of in het buitenland verkocht.

Bron 1, 2

Microsoft-onderzoekers hebben een nieuwe backdoor-malware ontdekt, SesameOp, die de OpenAI Assistants API gebruikt als een verborgen command-and-control kanaal. Het werd aangetroffen tijdens het onderzoeken van een cyberaanval in juli 2025. De malware stelt aanvallers in staat om langdurige toegang tot geïnfecteerde omgevingen te behouden, door gebruik te maken van legitieme cloudservices in plaats van traditionele malafide infrastructuur. SesameOp haalt gecomprimeerde en versleutelde opdrachten op via de API, welke vervolgens op geïnfecteerde systemen worden uitgevoerd. De aanvallers gebruikten deze techniek voor langdurige spionage. Microsoft werkte samen met OpenAI om de misbruikte API-sleutels uit te schakelen en adviseert bedrijven om firewalllogs te controleren, bescherming in te schakelen en endpointdetectie te configureren.

Bron 1, 2

Een vervalste Solidity-extensie in de Open VSX-registry heeft zich als een populaire ontwikkeltool voorgedaan, maar bevatte de malware SleepyDuck, een remote access trojan. Deze trojan gebruikt een Ethereum-smartcontract om een communicatiekanaal met de aanvaller te creëren, wat zorgt voor langdurige persistentie. De extensie, genaamd 'juan-bianco.solidity-vlang', werd meer dan 53.000 keer gedownload voordat het kwaadwillige karakter werd ontdekt. De malware wordt geactiveerd wanneer een Solidity-bestand wordt geopend, waarna het systeemgegevens verzamelt en het commando-executiesysteem van de aanvaller opzet. Een uniek kenmerk van SleepyDuck is het gebruik van de Ethereum-blockchain om de C2-server te onderhouden, zelfs wanneer de primaire server offline is. Open VSX heeft inmiddels waarschuwingen geplaatst, maar ontwikkelaars moeten voorzichtig zijn met het downloaden van extensies van onbekende auteurs.

Bron 1

Op 3 november 2025 werd een waarschuwing uitgegeven over een domein dat zich voordeed als een Shopify-verificatiewebsite. Het domein thesmartboater.com bleek onderdeel te zijn van een ClickFix-payload leveringscampagne. Dit domein imiteerde een standaard "beveiligingsverificatie"-pagina, maar bevatte scripts die gebruikers omleidden of secundaire payloads afleverden. Dit soort infrastructuur wordt vaak gebruikt in ClickFix-campagnes, waarbij gecompromitteerde of verlopen Shopify- en WordPress-sjablonen worden geëxploiteerd voor malwarelevering en phishing-omleidingen. De campagne werd met 100% zekerheid bevestigd. Beveiligingsexperts adviseren om toegang tot thesmartboater.com te blokkeren en netwerkbeacons en omleidingen te monitoren die verband houden met deze ClickFix-campagne.

De FBI heeft een wijziging in de DNS-registratie gedetecteerd voor het domein lkxstress[.]su. Het betreft een verandering van de naamservers (NS), waarbij de vorige naamservers zijn vervangen door de nieuwe servers van beget.com, beget.pro en beget.ru. Deze wijziging kan wijzen op een aanpassing van de infrastructuur van een cybercriminele site die mogelijk wordt gebruikt voor ransomware- of andere cyberaanvallen. De verandering werd op 4 november 2025 geregistreerd.

Onderzoekers hebben twee Android-trojans ontdekt, BankBot-YNRK en DeliveryRAT, die gericht zijn op het stelen van gevoelige gegevens van besmette apparaten. BankBot-YNRK vermijdt detectie door de omgeving te analyseren en werkt alleen op specifieke apparaten zoals Google Pixel of Samsung. Het kan financiële gegevens stelen en frauduleuze transacties uitvoeren. De malware maakt gebruik van Android's toegankelijkheidsdiensten om verhoogde machtigingen te verkrijgen en misbruik van applicaties zoals cryptocurrency wallets te maken. DeliveryRAT, dat zich voordoet als voedselbezorg- en bankapps, verzamelt ook gegevens en voert acties uit op de achtergrond. Beide trojans worden verspreid via kwaadwillige apps die onterecht toegang vragen tot systeeminstellingen. Deze malwarefamilies zijn actief sinds midden 2024 en hebben wereldwijd slachtoffers gemaakt, waaronder in Rusland, Brazilië, Polen en andere landen.

Bron 1, 2, 3, 4, 5

XLoader, een complexe malwarefamilie, blijft een uitdaging voor analisten door de versnelde releases en geavanceerde encryptie- en obfuscatiemethoden. Dit artikel beschrijft hoe generatieve AI wordt ingezet om de reverse-engineering van XLoader te versnellen. Het traditionele proces van handmatige analyse en decryptie wordt aanzienlijk versneld door AI, die complexe functies analyseert, algoritmes identificeert en werkende tools genereert in enkele uren. Dit versnelt de toegang tot gedecrypteerde code en indicatoren van compromittering (IoC's). Check Point Research toonde aan hoe ChatGPT cloudgebaseerde statische analyses uitvoert zonder de noodzaak van zware lokale tools. De AI kan zowel statische als dynamische reverse-engineering effectief combineren, wat de efficiëntie en samenwerking in onderzoek verbetert. Hoewel AI de efficiëntie verhoogt, blijft menselijke expertise noodzakelijk, vooral bij het oplossen van complexere beschermingsmechanismen van de malware.

Bron 1

In september 2025 lanceerden cybercriminelen een gecoördineerde phishingaanval gericht op NPM-ontwikkelaars. De aanval infiltreerde de accounts van onder andere de bekende ontwikkelaar Josh Junon, bekend als “qix”, en richtte zich op vier andere onderhouders, wat de kwetsbaarheid van softwarerepositories blootlegde. Het slachtoffer van de aanval was goed voor 2,8 miljard wekelijkse downloads. De phishingmails, die zich voordeden als officiële communicatie van NPM, drukten ontwikkelaars aan om hun twee-factor-authenticatie bij te werken om accountopschorting te voorkomen. Deze e-mails, verstuurd vanaf een vervalst domein, wisten bij meerdere ontvangers het wantrouwen te omzeilen. Door de toegang tot de NPM-accounts konden de aanvallers schadelijke JavaScript-clipper malware toevoegen aan populaire pakketten, die cryptocurrency-overdrachten onderschepte en omleidde. De aanval werd gedetecteerd door een nieuw Business Email Protection-systeem, wat een belangrijke bescherming biedt tegen dergelijke aanvallen.

Bron 1

Een geavanceerde phishingcampagne maakt misbruik van het vertrouwen dat in legitieme cloudhostingdiensten wordt gesteld. Cybercriminelen gebruiken Cloudflare Pages en ZenDesk-platforms om op grote schaal inloggegevens te stelen van nietsvermoedende gebruikers. De aanvallers hebben meer dan 600 malafide domeinen geregistreerd onder de *.pages[.]dev-domeinnaamstructuur. Ze passen typografische technieken toe om klantenportalen van bekende merken te imiteren. De phishingpagina's bevatten een live chat-interface waarmee menselijke operators persoonlijke gegevens van slachtoffers verzamelen. Na het verkrijgen van deze gegevens worden de slachtoffers gevraagd een legitiem maar kwaadaardig hulpmiddel te installeren, genaamd Rescue, waarmee aanvallers volledige toegang krijgen tot het apparaat van het slachtoffer. De aanvallers richten zich op accountovername en fraude, wat deze campagne tot een aanzienlijke bedreiging maakt voor zowel bedrijven als individuen.

Bron 1

TruffleNet, een nieuwe Business Email Compromise (BEC) campagne, maakt gebruik van gestolen AWS-credentials om de Amazon Simple Email Service (SES) te misbruiken voor grootschalige phishing- en BEC-aanvallen. De aanvallers benaderen meer dan 800 gecompromitteerde hosts verspreid over 57 netwerken. Dit stelt hen in staat om e-mails te verzenden die afkomstig lijken van legitieme bedrijven, zoals valse facturen met verzoeken om betaling. De aanvallers gebruiken gekaapte WordPress-websites om DKIM-sleutels te verkrijgen en AWS SES in te stellen voor e-mailidentiteit. Het netwerk is specifiek ontworpen voor deze aanval, zonder gebruik te maken van reguliere VPN's of Tor. Fortinet Labs ontdekte de infrastructuur en merkte op dat de aanvallers gebruik maakten van geavanceerde beveiligingsmaatregelen en automatisering om de aanval op grote schaal uit te voeren. De fraudeurs richtten zich onder andere op de olie- en gasindustrie, waarbij ze frauduleuze betalingsverzoeken verstuurden.

Bron 1

Meer dan 40 miljoen downloads van kwaadaardige Android-apps op Google Play werden geregistreerd tussen juni 2024 en mei 2025, volgens een rapport van Zscaler. Het aantal malware-aanvallen op mobiele apparaten groeide in hetzelfde periode met 67% in vergelijking met het jaar ervoor. De meeste dreigingen kwamen van spyware en banktrojans. Cybercriminelen verschuiven van traditionele creditcardfraude naar aanvallen op mobiele betalingen door middel van phishing, smishing, SIM-swapping en betalingsfraude. Bovendien nam het aantal gedetecteerde adware-aanvallen toe, wat nu 69% van alle Android-malware vormt, bijna dubbel zoveel als vorig jaar. De meest getroffen landen waren India, de Verenigde Staten en Canada, maar er werden ook enorme stijgingen waargenomen in Italië en Israël. Drie belangrijke malwarefamilies werden opgemerkt: Anatsa, Android Void (Vo1d) en Xnotice. Zscaler raadt aan om regelmatig beveiligingsupdates te installeren en alleen apps van vertrouwde ontwikkelaars te downloaden.

Bron 1

Onderzoekers van Check Point hebben vier ernstige kwetsbaarheden in Microsoft Teams onthuld die aanvallers de mogelijkheid bieden om gesprekken te manipuleren, collega's te imiteren en meldingen te misleiden. Deze kwetsbaarheden stellen aanvallers in staat om berichtinhoud te wijzigen zonder dat het label "Bewerkt" wordt weergegeven, en om de afzender van berichten te veranderen, zodat deze afkomstig lijkt van een vertrouwde bron, zoals hooggeplaatste medewerkers. Dit vergemakkelijkt social engineering-aanvallen, waarbij slachtoffers worden misleid om schadelijke berichten te openen of gevoelige informatie te delen. Bovendien kunnen aanvallers de weergavenaam in privégesprekken en tijdens oproepen aanpassen, wat het mogelijk maakt om de identiteit van bellers te vervalsen. Microsoft heeft na de verantwoorde bekendmaking van de kwetsbaarheden in maart 2024 patches uitgerold, maar de gebreken blijven een risico vormen voor de beveiliging van organisaties.

Bron 1

Een fusie van drie prominente cybercriminelen, Scattered Spider, LAPSUS$ en ShinyHunters, heeft geleid tot de oprichting van een nieuwe cybercrime-groep genaamd "Scattered LAPSUS$ Hunters" (SLH). Sinds augustus 2025 zijn ze actief op Telegram, waar ze tot wel 16 kanalen hebben gecreëerd en opnieuw gestart, telkens onder variaties van hun naam. Deze kanalen dienen zowel als communicatieplatform als als middel voor het uitvoeren van extortion-aanvallen. De groep biedt 'extortion-as-a-service' aan, waardoor andere groepen zich kunnen aansluiten en profiteren van hun merk en naamsbekendheid om losgeld te eisen. De SLH-groep is verbonden met andere cybercriminaliteitclusters zoals CryptoChameleon en Crimson Collective. Hun tactieken omvatten geavanceerde sociale engineering, zoals spear-phishing en vishing, en het gebruik van kwetsbare toegangspunten voor datadiefstal en afpersing. Ze tonen een mix van financieel gemotiveerde criminaliteit en hacktivistische motieven.

Bron 1

Hackers richten zich actief op een kritieke kwetsbaarheid in XWiki's SolrSearch-component, die een remote code execution (RCE) aanval mogelijk maakt. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige commando's uit te voeren op kwetsbare systemen, wat een groot beveiligingsrisico vormt voor organisaties die deze open-source wiki-software gebruiken. De kwetsbaarheid kan worden misbruikt met minimale gastrechten, wat het voor vrijwel elke gebruiker met basis toegang mogelijk maakt om het systeem te compromitteren. XWiki bracht in februari een beveiligingsupdate uit, maar de exploitatie van de kwetsbaarheid kwam pas onlangs op gang, nadat proof-of-concept code eerder werd vrijgegeven. De aanvallers sturen speciaal geprepareerde GET-aanvragen naar de kwetsbare XWiki-eindpunten, waarbij Groovy-scriptcommando's worden ingesloten om shellcommando's uit te voeren. Organisaties wordt aangeraden om de patch te implementeren en verdachte verzoeken naar SolrSearch te monitoren om aanvallen te voorkomen.

Bron 1

Wereldwijd zijn ruim veertienduizend Cisco routers en switches besmet met de Badcandy backdoor. Uit onderzoek van Shadowserver blijkt dat de infecties voortkomen uit misbruik van CVE-2023-20198, een ernstig lek in de webinterface van IOS XE waarmee ongeauthenticeerde aanvallers een privileged account kunnen aanmaken en controle over het apparaat krijgen. Het lek wordt gebruikt om de backdoor te plaatsen, waarna aanvallers het lek lokaal dichten om verdere exploitatie te voorkomen. De backdoor en de toegepaste patch verdwijnen bij een reboot, maar toegang kan blijven bestaan via gestolen inloggegevens of aanvullende kwetsbaarheden. Het aantal besmette apparaten daalde de afgelopen maanden van achttienduizend naar veertienduizend. In Nederland zijn 103 apparaten geïnfecteerd en in België 13. De grootste aantallen worden waargenomen in Mexico en de Verenigde Staten. De situatie laat zien dat ongepatchte systemen langdurig risico’s veroorzaken.

Bron 1

Google's Threat Intelligence Group (GTIG) heeft een verschuiving in cyberdreigingen geïdentificeerd, waarbij aanvallers kunstmatige intelligentie (AI) gebruiken om nieuwe malwarefamilies te creëren. Deze malware, zoals de "PromptFlux" dropper en de "PromptSteal" miner, maken gebruik van grote taalmodellen (LLM's) zoals Gemini, waarmee ze zich dynamisch kunnen aanpassen tijdens uitvoering. Dit stelt hen in staat om hun gedrag in real-time te wijzigen, wat traditionele malwaretechnieken overtreft. De techniek, genaamd "just-in-time" zelfmodificatie, maakt de malware moeilijk te detecteren en te blokkeren. Google ontdekte ook andere AI-gedreven malware zoals FruitShell en QuietVault, die gebruik maken van AI om commando's uit te voeren en gegevens te stelen. De opkomst van AI-tools op ondergrondse marktplaatsen vergroot de toegang tot geavanceerde cyberaanvallen, wat de dreiging verder verhoogt. Google heeft de toegang tot de gebruikte AI-modellen in sommige gevallen geblokkeerd en veiligheidsmaatregelen aangescherpt.

Bron 1

De Gootloader-malware is terug na een pauze van zeven maanden en heeft zijn strategieën aangepast. Deze malware wordt verspreid via websites die door aanvallers zijn gecompromitteerd of gecontroleerd, en maakt gebruik van zoekmachineoptimalisatie (SEO) om valse websites te promoten die schadelijke bestanden aanbieden. In eerdere campagnes werden valse fora gebruikt om malafide document sjablonen aan te bevelen, maar nu worden websites gepromoot die zogenaamd gratis juridische documenten aanbieden. Gebruikers die op een "Get Document" knop klikken, worden misleid om een schadelijke ZIP-archief te downloaden dat een JavaScript-bestand bevat. Bij openen van dit bestand worden aanvullende malwarepayloads geïnstalleerd, zoals Cobalt Strike en backdoors, waarmee aanvallers toegang krijgen tot netwerken. De onderzoekers wijzen erop dat deze nieuwe variant technieken gebruikt die het voor automatische analysetools moeilijker maken om de dreiging te detecteren.

Bron 1, 2

Er wordt melding gemaakt van de vermeende verkoop van EU-creditcards op de zwarte markt. Deze kaarten zouden te koop worden aangeboden door cybercriminelen op diverse darknetmarktplaatsen. De verkoop betreft mogelijk gestolen gegevens van Europese consumenten, wat de kans op fraude verhoogt. Het aanbieden van deze gegevens op het darkweb is een onderdeel van grotere cybercriminaliteitsnetwerken die actief zijn in het uitvoeren van financieel gerelateerde misdaden. Dergelijke activiteiten kunnen leiden tot aanzienlijke financiële schade voor de betrokken slachtoffers. Deze zaak benadrukt de voortdurende dreiging van identiteitsdiefstal en het misbruik van persoonlijke informatie, met een groeiend aantal incidenten die via online marktplaatsen worden verhandeld. Cybersecurity-experts adviseren bedrijven en individuen om waakzaam te zijn en beveiligingsmaatregelen te treffen tegen deze vormen van digitale fraude.

Cloudflare heeft onlangs domeinen die zijn gekoppeld aan het Aisuru-botnet, verwijderd uit hun publieke lijst van meest gevraagde websites. Het Aisuru-botnet, dat in 2024 werd ontdekt, maakt gebruik van duizenden gehackte IoT-apparaten, zoals routers en beveiligingscamera’s, en is sinds zijn ontstaan aanzienlijk gegroeid. Aisuru wordt ingezet voor DDoS-aanvallen van recordgrootte. De botnetbeheerders maakten gebruik van Cloudflare’s DNS-service om hun malafide domeinen hoog in de ranking te krijgen, wat bezorgdheid opriep over de betrouwbaarheid van deze lijst. Cloudflare reageerde door de malafide domeinen gedeeltelijk te redacteren en hun systeem aan te passen om dergelijke manipulaties te voorkomen. De meeste DNS-aanvragen naar deze domeinen kwamen uit de VS, waar Aisuru zijn grootste infrastructuur heeft. Cloudflare werkt nu aan verbeteringen om te voorkomen dat dergelijke schadelijke activiteiten de lijst opnieuw verstoren.

Bron 1

Het RondoDox-botnet heeft zijn aanvalsmogelijkheden drastisch uitgebreid, met een toename van 650% in exploitatiecapaciteiten. Dit markeert een verschuiving van de oorspronkelijke variant, die zich vooral richtte op DVR-systemen, naar een meer geavanceerde versie (RondoDox v2) die meer dan 75 exploitatievectoren bevat. Deze nieuwe variant richt zich op een breed scala aan kwetsbare apparaten, van legacy routers tot moderne enterprise-toepassingen. De aanvallen, die in oktober 2025 werden gedetecteerd via honeypots, kenmerkten zich door een groot aantal exploits die snel na elkaar werden uitgevoerd. Het botnet maakt gebruik van een geavanceerd infrastructuurdesign dat moeilijk te blokkeren is en voegt malware toe aan systemen om resourcegebruik te monopolizeren en andere schadelijke software te elimineren. Dit vergroot de dreiging voor zowel IoT-infrastructuren als bedrijfsomgevingen.

Bron 1

Het Tycoon 2FA phishing-kit is een geavanceerd platform dat sinds zijn lancering in augustus 2023 actief is en specifiek is ontworpen om bescherming van twee- en meerfactorauthenticatie te omzeilen bij Microsoft 365- en Gmail-accounts. Deze dreiging maakt gebruik van een 'Adversary-in-the-Middle'-aanval, waarbij reverse proxy-servers overtuigende phishingpagina’s hosten die legitieme inloginterfaces repliceren en gebruikersgegevens in realtime onderscheppen. Het Tycoon 2FA-kit is bijzonder gevaarlijk omdat het zelfs de codes voor twee-factorauthenticatie steelt. Dit wordt mogelijk gemaakt door het implementeren van complexe JavaScript-executieketens en het gebruik van meerdere verdedigingsmechanismen die gericht zijn op het omzeilen van detectie door automatische beveiligingstools. Het phishing-aanvalsnetwerk verspreidt zich via schadelijke documenten, e-mailbijlagen en cloudopslagplatforms zoals Amazon S3, Canva en Dropbox, waardoor het moeilijker wordt om de dreiging te identificeren.

Bron 1

De APT-groep Silent Lynx blijft haar spionagecampagne tegen overheidsinstanties in Centraal-Azië voortzetten. De groep is sinds 2024 actief en heeft zich gepositioneerd als een bedreiging door overheidsmedewerkers te targeten via phishingcampagnes, waarbij ze zich voordoen als overheidsfunctionarissen. Het belangrijkste aanvalsmiddel zijn vervalste e-mails met kwaadaardige bijlagen, vaak in verband met valse topontmoetingen. Twee campagnes in 2025 richtten zich op diplomatieke entiteiten in verband met de voorbereiding van een Rusland-Azerbeidzjan top en een tweede, gericht op China-Centraal-Aziatische relaties. De aanvallen maken gebruik van PowerShell-scripts en andere kwaadaardige software om inloggegevens en gevoelige informatie te stelen. Silent Lynx past een geavanceerde infectieketen toe, waarbij een onschadelijke RAR-bestand wordt gebruikt om de schadelijke payload te verspreiden. De infecties zijn zorgvuldig gecoördineerd met geopolitieke belangen als drijfveer, niet financieel gewin.

Bron 1

De DragonForce groep, actief sinds 2023, heeft zich gepositioneerd als een ransomware-cartel, voortgekomen uit de openbaar gelekte source code van Conti v3. Oorspronkelijk een ransomwaregroep die de LockBit 3.0 builder gebruikte, schakelde DragonForce in 2025 over naar een eigen Conti v3 code, wat hen strategische voordelen en geavanceerde technische capaciteiten gaf. In plaats van te functioneren als een traditionele groep, opereert DragonForce nu als een netwerk van affiliates, die in ruil voor 80% van de winst gebruik kunnen maken van de infrastructuur van het cartel. Het cartel biedt op maat gemaakte encryptor-tools, geautomatiseerde uitrolsystemen en ondersteuning voor meerdere platforms. Ze werken samen met Scattered Spider, een groep die zich richt op social engineering en MFA-bypassing. DragonForce heeft zich gepositioneerd als een krachtige speler in de ransomware-industrie, met meer dan 200 slachtoffers in sectoren zoals retail en luchtvaart.

Bron 1

De datalekzoekmachine Have I Been Pwned heeft 1,3 miljard gestolen wachtwoorden en 2 miljard gecompromitteerde e-mailadressen toegevoegd aan zijn database. De nieuwe data werd verzameld uit zogenaamde credential stuffing-aanvallen, waarbij gestolen inloggegevens geautomatiseerd worden gebruikt om toegang te verkrijgen tot accounts op verschillende websites. Deze aanvallen zijn effectief wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven onvoldoende bescherming bieden tegen dergelijke geautomatiseerde pogingen. De meeste gestolen e-mailadressen waren al bekend bij de zoekmachine, maar de toevoeging van de wachtwoorden bevatte een aanzienlijk aantal nieuwe gegevens. Beheerders kunnen nu via de zoekmachine controleren of de wachtwoordhashes in hun systemen overeenkomen met de gecompromitteerde gegevens. Dit geeft hen de mogelijkheid om maatregelen te nemen om de veiligheid van hun systemen te verbeteren.

Bron 1

De ClickFix-malwareaanvallen zijn geavanceerd door toevoeging van videohandleidingen die slachtoffers door het zelfinfectieproces leiden, evenals een timer die druk uitoefent op het slachtoffer om risicovolle acties snel uit te voeren. Daarnaast detecteert de aanval automatisch het besturingssysteem van de gebruiker om de juiste commando's te leveren. Bij de meeste ClickFix-aanvallen wordt gebruikgemaakt van social engineering, waarbij slachtoffers worden misleid om schadelijke code of opdrachten uit te voeren. Nieuwere aanvallen bevatten een video die de aanvallen minder verdacht maakt. De aanvallers gebruiken bekende kwetsbaarheden in verouderde WordPress-plug-ins of SEO-technieken om hun kwaadaardige JavaScript op webpagina's te injecteren. Onder de gebruikte payloads bevinden zich onder andere PowerShell-scripts en MSHTA-executables. Er wordt verwacht dat toekomstige ClickFix-aanvallen volledig in de browser kunnen plaatsvinden, waardoor traditionele beveiligingsmaatregelen mogelijk worden omzeild.

Bron 1

Onderzoekers hebben een kwaadaardige Visual Studio Code-extensie ontdekt, genaamd "susvsex", die ransomware-functionaliteiten bevat. Deze extensie, die vermoedelijk met behulp van kunstmatige intelligentie is gemaakt, werd op 5 november 2025 geüpload door de gebruiker "suspublisher18" en bevatte een beschrijving "Just testing". De extensie maakt gebruik van een functie die bestanden in een opgegeven directory comprimeert, uploadt naar een externe server, en deze vervolgens versleutelt. Gelukkig is deze extensie momenteel beperkt tot een testdirectory, maar de functionaliteit kan eenvoudig worden aangepast. De extensie maakt gebruik van GitHub als command-and-control-server en zoekt naar nieuwe opdrachten in een privérepository. Microsoft heeft inmiddels de extensie uit de officiële VS Code-marktplaats verwijderd. Dit incident benadrukt de gevaren van open-source extensies en de noodzaak voor developers om zorgvuldig te zijn bij het installeren van packages.

Bron 1, 2

Een recente phishingcampagne heeft hotels wereldwijd getroffen, waarbij aanvallers e-mails verzonden vanuit gecompromitteerde Booking.com accounts van hotels. De aanvallers gebruikten malafide links die via de ClickFix-techniek malware, waaronder PureRAT, verspreidden. Deze malware stelt de aanvallers in staat om beheerdersaccounts van hotels te compromitteren en vervolgens gasten via valse e-mails en WhatsApp-berichten opnieuw te laten betalen voor hun reserveringen, wat resulteert in financiële schade. De malware werd geleverd door PowerShell-opdrachten, die systematische gegevensverzameling en verdere infectie van het systeem mogelijk maakten. De aanvallers verkochten ook gestolen inloggegevens van Booking.com in ondergrondse marktplaatsen. Dit frauduleuze model wordt breed gedistribueerd via cybercriminaliteitsforums, wat het voor criminelen gemakkelijker maakt om deze tactieken op grote schaal toe te passen.

Bron 1

De afhankelijkheid van verbonden technologieën in de publieke sector brengt steeds meer risico's met zich mee. Zscaler’s ThreatLabz-rapport 2025 benadrukt de opkomst van bedreigingen door kwetsbaarheden in mobiele apparaten, IoT-systemen en legacy OT-omgevingen. Afgelopen jaar was er een stijging van 370% in IoT-aanvallen op overheidsystemen, evenals een toename van 147% in mobiele dreigingen. Vooral in de gezondheidszorg werden mobiele aanvallen met 224% toegenomen, met name gericht op Android-malware. Scholen en universiteiten ervaren ook een sterke stijging in IoT-aanvallen, met een 861% toename in het afgelopen jaar. Deze dreigingen hebben grote gevolgen voor publieke diensten, waarbij kwetsbare apparaten en systemen het risico op verstoringen vergroten. Zscaler beveelt aan om een zero trust-architectuur te implementeren om de risico's te beheersen en mobiele en IoT/OT-systemen in de publieke sector beter te beveiligen.

Bron 1

In het jaarlijkse cybersecurity-rapport van Google Cloud wordt een dreigende toekomst geschetst voor 2026. Bedreigers passen geavanceerde technologieën, waaronder kunstmatige intelligentie (AI), steeds vaker toe als fundamentele tools in hun aanvallen. Dit markeert een verschuiving van experimentele naar operationele toepassingen van deze technologieën. In 2026 zullen zowel aanvallers als verdedigers zich snel aanpassen aan nieuwe technologieën, waarbij AI steeds vaker wordt ingezet voor snellere en effectievere aanvallen. Specifieke dreigingen, zoals het manipuleren van AI-systemen en het gebruik van stemkloning voor social engineering, worden steeds gebruikelijker. Ook virtualisatielaag-kwetsbaarheden worden een belangrijke zorg, waarbij succesvolle aanvallen volledige controle over digitale infrastructuren kunnen opleveren. Naast cybercriminaliteit nemen ook geopolitieke cyberactiviteiten van landen zoals China, Rusland en Noord-Korea toe, wat de complexiteit van de dreigingslandschap vergroot.

Bron 1

De EndClient RAT, een geavanceerde Remote Access Trojan, is opgedoken als een ernstige dreiging die gericht is op mensenrechtenactivisten uit Noord-Korea. De malware, toegeschreven aan de Kimsuky groep, maakt gebruik van gestolen code-signing certificaten om antivirusbescherming te omzeilen en Windows SmartScreen waarschuwingen te ontwijken. De aanval wordt gekarakteriseerd door sociale engineering en het gebruik van legitiem uitziende installatiepakketten, zoals een MSI-bestand genaamd "StressClear.msi", dat een module voor Zuid-Koreaanse bankauthenticatie bevat. Na installatie zorgt de malware voor persistente toegang via geavanceerde technieken, zoals het instellen van geplande taken en polymorfe variaties om detectie te vermijden. Deze aanval heeft minstens 40 bevestigde slachtoffers, voornamelijk binnen de mensenrechtencommunity, maar de volledige omvang blijft onduidelijk door het lage aantal antivirusdetecties.

Bron 1

Socket-onderzoekers hebben negen kwaadaardige NuGet-pakketten ontdekt die gebruikmaken van tijdvertragingen om destructieve payloads te leveren. Deze pakketten, gepubliceerd onder de alias shanhai666 tussen 2023 en 2024, kunnen applicaties doen crashen en industriële besturingssystemen verstoren. De kwaadaardige pakketten, waaronder het meest gevaarlijke Sharp7Extend, richten zich op verschillende databasesystemen zoals SQL Server, PostgreSQL en SQLite, evenals industriële PLC's (programmable logic controllers). Het Sharp7Extend-pakket bevat twee sabotagemechanismen: onmiddellijke procesbeëindiging en stille schrijfoperaties die na een vertraging van 30 tot 90 minuten mislukken. De kwaadaardige code heeft 9.488 downloads verzameld en is nog steeds actief, ondanks dat NuGet onderzoek doet naar de verwijdering. Organisaties worden aangespoord om onmiddellijk hun systemen te controleren op deze kwaadaardige pakketten.

Bron 1

De politie heeft een waarschuwing uitgebracht voor nepmails die zogenaamd afkomstig zijn van de Eenheid Landelijke Opsporing en Interventies (LO). In de e-mails wordt gesteld dat er een onderzoek is ingesteld naar de ontvanger wegens seksuele strafbare feiten, die digitaal en grensoverschrijdend zouden zijn gepleegd. Tevens wordt beweerd dat er een arrestatiebevel tegen de ontvanger loopt. Ontvangers worden gevraagd persoonlijke informatie te verstrekken. De politie benadrukt dat dit een phishingpoging betreft en waarschuwt mensen om de e-mail onmiddellijk te verwijderen en melding te maken bij de Fraudehelpdesk. Tevens wordt erop gewezen dat de politie nooit op deze manier contact opneemt met burgers en enkel e-mails verstuurt van adressen die eindigen op @politie.nl.

Bron 1

Aanvallers hebben een ernstig beveiligingslek in Samsung Galaxy-telefoons misbruikt om Android-spyware, genaamd Landfall, te installeren. Dit gebeurde via een kwetsbaarheid in de verwerking van DNG-afbeeldingen, gedocumenteerd als CVE-2025-21042. Het lek werd in 2024 ontdekt en een update werd pas in april 2025 beschikbaar. De spyware werd voornamelijk gebruikt in landen in het Midden-Oosten, zoals Turkije, Marokko, Iran en Irak. De aanvallers verstuurden speciaal aangepaste afbeeldingen via WhatsApp, die bij opening het lek benutten om de spyware te installeren. De spyware kan onder andere de microfoon van de telefoon inschakelen, de locatie van het slachtoffer volgen en gevoelige gegevens zoals foto's en berichten verzamelen. Palo Alto Networks ontdekte de aanval nadat vergelijkbare kwetsbaarheden ook in andere platformen, zoals iOS, werden gebruikt. Er is geen bewijs dat dezelfde aanvaller verantwoordelijk is voor de aanvallen op zowel Android- als iOS-apparaten.

Bron 1

Cisco heeft gewaarschuwd voor twee kwetsbaarheden in ASA- en FTD-firewalls die actief misbruikt worden in zero-day aanvallen. De kwetsbaarheden, CVE-2025-20333 en CVE-2025-20362, stellen aanvallers in staat om op afstand toegang te krijgen tot beperkte URL-eindpunten zonder authenticatie, en zelfs om op kwetsbare apparaten code uit te voeren. Deze kwetsbaarheden kunnen in combinatie worden gebruikt, waardoor aanvallers volledige controle krijgen over niet-gepatchte systemen. Cisco heeft al beveiligingsupdates uitgebracht, maar veel apparaten zijn nog niet geüpdatet. CISA heeft een spoedmaatregel genomen, waarbij Amerikaanse federale overheidsinstanties binnen 24 uur hun Cisco firewalls moesten beveiligen tegen deze aanvallen. Shadowserver volgt momenteel meer dan 34.000 internet-verbonden, kwetsbare apparaten. Van deze apparaten bevinden zich 591 in Nederland en 86 in België. Deze aanvallen worden gekoppeld aan de ArcaneDoor-campagne, die eerder al andere zero-day kwetsbaarheden in Cisco firewalls misbruikte.

BE en NL overzicht

Op NuGet, een open-source pakketmanager voor .NET, zijn verschillende kwaadaardige pakketten aangetroffen die sabotage-payloads bevatten, die zijn geprogrammeerd om in 2027 en 2028 te activeren. Deze payloads richten zich voornamelijk op database-implementaties en Siemens S7 industriële controleapparaten. Het kwaadwillige code maakt gebruik van een probabilistische trigger, waardoor de activering afhankelijk is van specifieke parameters op het geïnfecteerde apparaat. De meest gevaarlijke is het pakket Sharp7Extend, dat de communicatie met Siemens PLC's saboteert door het stoppen van Ethernet-communicatie of het corrupt maken van gegevens. De aanval heeft meerdere lagen, met zowel onmiddellijke als vertraagde verstoringen. Het is nog niet duidelijk wie er achter de aanval zit, maar organisaties wordt aangeraden om hun systemen te controleren op de getroffen pakketten.

Een nieuwe scam richt zich op cryptocurrency-gebruikers door hen te misleiden met valse 0-day-exploit e-mails. Deze e-mails beweren een winstgevende methode te bieden via een "0-day glitch" en verzoeken gebruikers om een stuk JavaScript-code in hun browser in te voeren. Dit stukje code haalt vervolgens een groter, verborgen programma op dat de browsercontrole overneemt. De code manipuleert de weergegeven informatie, zoals winstpercentages, en zorgt ervoor dat betalingen naar de wallet van de aanvallers worden omgeleid. De scam is goed georganiseerd en heeft zich verspreid via privé cybercrime-forums. Onderzoekers waarschuwen dat gebruikers voorzichtig moeten zijn met het invoeren van onbekende code in hun browser en benadrukken de rol van hebzucht en urgentie in het succes van deze aanvalsmethode.

Bron 1

Criminelen hebben een grootschalige fraudeoperatie opgezet waarbij hotelreserveringssystemen zoals Booking.com en Expedia zijn aangevallen. Via een phishingaanval ontvangen hotelmedewerkers een e-mail die een link bevat naar een malware-installatie, genaamd PureRAT, die hen toegang geeft tot de reserveringssystemen van hotels. De malware steelt inloggegevens, die vervolgens worden verkocht op het dark web. Zodra de aanvallers toegang hebben tot een echt Booking.com-account, nemen ze contact op met hotelgasten en informeren hen over vermeende betalingsproblemen. Gasten worden naar een valse website geleid om bankgegevens te stelen. Het kwaadwillende systeem heeft al honderden schadelijke domeinen geïdentificeerd en richt zich op een breed scala aan reis- en horecabedrijven. Deze goed georganiseerde fraudemodel blijft veel slachtoffers maken, zowel bij hotels als gasten.

Bron 1

Tussen 21 en 26 oktober 2025 werd een geavanceerde supply chain-aanval ontdekt waarbij kwaadaardige npm-pakketten werden gebruikt om Vidar infostealer malware te verspreiden naar Windows-systemen. In totaal werden 17 pakketten met 23 releases gepubliceerd, die als legitiem ogende tools, zoals Telegram-bots en icon libraries, werden vermomd. Deze pakketten werden meer dan 2.240 keer gedownload voordat ze uit de registry werden verwijderd. De aanvallers maakten gebruik van twee nieuwe npm-accounts, aartje en saliii229911, en plaatsten code die automatisch schadelijke scripts uitvoerde bij installatie. De malware verzamelde gevoelige informatie, waaronder wachtwoorden en cryptomunten, en exfiltreerde deze naar command-and-control servers. Deze aanval benadrukt de kwetsbaarheden in de npm-ecosysteem en toont aan hoe makkelijk het is voor kwaadwillende actoren om ontwikkelaars te misleiden door gebruik te maken van vertrouwde pakketten.

Bron 1

Een nieuwe Android-malware, genaamd Fantasy Hub, is ontdekt. Deze malware, ontwikkeld door Russische dreigingsactoren, wordt verspreid als een Malware-as-a-Service (MaaS) en is gericht op het stelen van persoonlijke gegevens van slachtoffers. Fantasy Hub stelt aanvallers in staat om SMS-berichten, contacten en oproeplogs te onderscheppen, en zelfs twee-factor-authenticatiecodes te stelen. De malware richt zich voornamelijk op financiële instellingen en maakt gebruik van geavanceerde technieken om detectie door beveiligingssoftware te omzeilen. Gebruikers die het slachtoffer worden van deze malware kunnen hun bankgegevens, zoals inloggegevens, verliezen. De verspreiding van de malware gebeurt via Telegram-kanalen, waar criminelen zich abonneren op de dienst en toegang krijgen tot de malware. Fantasy Hub maakt gebruik van versleuteling en andere maatregelen om onopgemerkt te blijven en zijn werking uit te voeren.

Bron 1

LockBit 5.0, gelanceerd in september 2025, brengt belangrijke upgrades voor de beruchte ransomware-as-a-service groep. Het nieuwe model bouwt voort op de versie 4.0 codebase, maar introduceert een modulair ontwerp dat gericht is op het verhogen van de evasiecapaciteiten, de destructieve impact en de persistentie binnen netwerken. Een opvallende verbetering is het twee-fasen uitvoeringsmodel, waarbij de infectie wordt opgesplitst in een loader- en payload-fase. De loader is ontworpen voor stealth en anti-analyse, en gebruikt complexe obfuscatie om de uitvoering van de malware te verbergen. Deze benadering maakt het moeilijker voor beveiligingstools om de aanval te detecteren en te stoppen. Het gebruik van API-hashing en procesinjectie zorgt ervoor dat LockBit 5.0 effectief kan voortbestaan, zelfs wanneer beveiligingsmechanismen ingrijpen. Deze nieuwe versie van LockBit bevestigt de reputatie van de groep als een van de meest gevreesde ransomware-bedreigingen in het huidige landschap.

Bron 1

De Herodotus Android-banktrojan is een geavanceerde dreiging die Android-gebruikers wereldwijd treft. Het malwareprogramma wordt verspreid via SMS-phishing en vermomt zich als een legitiem hulpmiddel, wat gebruikers misleidt om een APK-bestand buiten de officiële Play Store te downloaden en te installeren. Zodra het op een apparaat is geïnstalleerd, krijgt de trojan toegang tot belangrijke systeemrechten en kan het banktransacties uitvoeren namens de getroffen gebruiker. Dit vormt een zorgwekkende evolutie van mobiele malware, omdat het nauwelijks detecteerbaar is door traditionele antivirussoftware, ondanks zijn kwaadaardige intenties. Het malwareprogramma gebruikt geavanceerde technieken om automatische detectie te vermijden, zoals het 'humaniseren' van schadelijke acties door vertragingen en realistische typen. Het stelt aanvallers in staat om scherminhoud en toetsaanslagen in real-time te onderscheppen en bankgegevens te stelen.

Bron 1

Onderzoekers van Synacktiv hebben aangetoond dat aanvallers kwetsbaarheden in Active Directory-sites kunnen misbruiken om administratieve rechten te verkrijgen en domeinen te compromitteren. Active Directory-sites worden normaal gebruikt om de netwerkprestaties te optimaliseren door replicatie en authenticatie over verschillende locaties te beheren. De kwetsbaarheid ontstaat doordat deze sites gekoppeld kunnen worden aan Group Policy Objects (GPO’s), die systeeminstellingen regelen binnen een organisatie. Wanneer aanvallers schrijfrechten verkrijgen op deze sites of de bijbehorende GPO’s, kunnen zij schadelijke configuraties injecteren die alle verbonden systemen, inclusief domeincontrollers, compromitteren. Dit geeft aanvallers toegang tot domeinen zonder traditionele beveiligingsmaatregelen te activeren. De onderzoekers benadrukken dat dit aanvalspad vaak over het hoofd wordt gezien door organisaties, wat het een kritieke kwetsbaarheid maakt voor systemen met grote Active Directory-omgevingen.

Bron 1

De GlassWorm malwarecampagne is teruggekeerd en heeft drie nieuwe VSCode-extensies toegevoegd aan de OpenVSX-marktplaats. Deze extensies zijn al meer dan 10.000 keer gedownload. De malware richt zich op GitHub-, NPM- en OpenVSX-accountgegevens, evenals op cryptocurrency-walletinformatie van 49 verschillende extensies. Door het gebruik van onzichtbare Unicode-tekens die als lege ruimte worden weergegeven, maar als JavaScript functioneren, kan de malware kwaadaardige acties uitvoeren. Vorige maand was de malware ook al actief via 12 extensies op de OpenVSX- en VS Code-marktplaatsen, die in totaal 35.800 keer werden gedownload, hoewel het aantal downloads mogelijk werd opgeblazen door de aanvaller zelf. De drie nieuwe extensies bevatten dezelfde obfuscatie-truc om beveiligingsmaatregelen te omzeilen. Gegevens van getroffen slachtoffers zijn inmiddels in handen van de onderzoekers en worden gedeeld met wetshandhavers.

Bron 1, 2, 3, 4

Er is melding gemaakt van de verkoop van ongeautoriseerde shell-toegang tot een onbekende e-commercewebsite die draait op het OpenCart-platform. Dit wijst op een potentieel beveiligingsrisico voor online winkels, aangezien kwaadwillenden toegang kunnen krijgen tot gevoelige gegevens of de werking van het platform kunnen verstoren. De verkoper en de getroffen website zijn onbekend, maar dergelijke incidenten benadrukken de noodzaak voor bedrijven in de e-commercebranche om hun beveiliging voortdurend te evalueren en te versterken. Het is essentieel dat e-commerceplatforms, zoals OpenCart, extra waakzaam zijn en hun beveiligingsmaatregelen verbeteren om dit soort dreigingen te voorkomen.

Microsoft heeft details gedeeld over een nieuwe zij-kanaalaanval genaamd Whisper Leak, die de mogelijkheid biedt om, zelfs bij versleuteld verkeer, de onderwerpen van gesprekken met AI-taalmodellen af te leiden. Het verkeer tussen gebruikers en modellen kan worden geanalyseerd door middel van patroonherkenning in de pakketgrootte en tijdsverschillen tijdens gestreamde antwoorden van de modellen. Dit maakt het mogelijk voor aanvallers om te achterhalen of het gesprek over gevoelige onderwerpen gaat, zoals politieke kwesties of financiële misdrijven, ondanks de versleuteling van het verkeer via HTTPS. Onderzoekers ontdekten dat met behulp van machine learning-modellen de aanval boven de 98% nauwkeurigheid kan bereiken bij het identificeren van specifieke gespreksonderwerpen. Microsoft en andere AI-aanbieders hebben mitigaties uitgerold, maar de ontdekking wijst op de potentieel toenemende dreiging van deze aanval bij langdurige interacties en het verzamelen van extra trainingdata.

Bron 1

Cisco heeft een kritieke kwetsbaarheid in zijn firewalls gemeld die nu actief wordt misbruikt voor Denial of Service (DDoS)-aanvallen. Deze kwetsbaarheid maakt deel uit van twee beveiligingslekken (CVE-2025-20333 en CVE-2025-20362) in Cisco's Secure Firewall ASA- en FTD-software. De aanvallers kunnen deze lekken combineren om volledige controle over de systemen te verkrijgen. Dit werd eerder gebruikt voor het compromitteren van firewalls, maar de nieuwe aanvallen richten zich op het veroorzaken van DDoS-omstandigheden door de firewalls te laten herstarten. De kwetsbaarheden werden in september al gedocumenteerd door Cisco, die sindsdien een beveiligingsupdate heeft uitgebracht. De impactscore van de kwetsbaarheden is 9.9 voor het ernstigste lek. Dit stelt aanvallers in staat om systemen uit te schakelen door middel van DDoS-aanvallen. Cisco heeft geen verdere details over de aanvallen vrijgegeven.

Het Zwitserse Nationaal Cyber Security Centre (NCSC) heeft een waarschuwing uitgebracht voor iPhone-eigenaren over een nieuwe phishingfraude die zich richt op verloren of gestolen toestellen. Criminelen sturen sms-berichten die zogenaamd afkomstig zijn van Apple, met de bewering dat de verloren iPhone is teruggevonden. De berichten bevatten gedetailleerde informatie over het toestel en een link naar een valse website die de officiële "Find My" pagina nabootst. Wanneer slachtoffers hun Apple ID inloggen, krijgen de aanvallers toegang tot hun account. Het doel van de fraudeurs is om de Activation Lock te verwijderen, zodat de gestolen iPhone opnieuw kan worden verkocht. Het NCSC raadt gebruikers aan om nooit op verdachte links te klikken, een uniek e-mailadres voor verloren apparaten te gebruiken en de SIM-kaart te beveiligen met een pincode. Apple zelf zal nooit via sms of e-mail contact opnemen over gevonden toestellen.

Bron 1, 2

Op 10 november 2025 werd via het X-platform door de Dark Web Informer een nieuwe ransomware-software ontdekt, genaamd Kazu Onion. De ransomware is beschikbaar via een Onion-link (6czlbd2jfiy6765fbnbnzuwuqocg57ebvp3tbm35kib425k4qnmiiiqd.onion), waarmee cybercriminelen de aanval kunnen uitvoeren op slachtoffers. Deze malware kan ernstige schade veroorzaken door gegevens te versleutelen en vervolgens losgeld te eisen voor de decryptie. De ontdekking van Kazu Onion toont aan dat het dreigingslandschap op het Dark Web blijft evolueren, met nieuwe aanvallen die voortdurend opduiken. Het is belangrijk dat organisaties zich bewust zijn van de risico’s van ransomware en adequate maatregelen treffen om hun systemen te beschermen tegen dit type dreiging.

Cybercriminelen richten zich steeds vaker op productiebedrijven door gebruik te maken van cloudgebaseerde platforms en kunstmatige intelligentie (AI) voor geavanceerde aanvallen. Een recent rapport van Netskope Threat Labs toont aan dat 22 van elke 10.000 gebruikers in de productiebranche maandelijks worden blootgesteld aan kwaadaardige inhoud. Aanvallers maken niet alleen gebruik van traditionele malware, maar ook van vertrouwde cloudservices zoals Microsoft OneDrive, GitHub en Google Drive om schadelijke software te verspreiden. AI-platforms, zoals die van OpenAI en AssemblyAI, worden ook actief aangevallen, waarbij malware wordt verborgen in ogenschijnlijk legitieme bestanden. Dit maakt het voor beveiligingssystemen moeilijk om aanvallen vroegtijdig te detecteren. De toename van dergelijke aanvallen benadrukt de noodzaak voor productiebedrijven om striktere inspectie- en veiligheidsmaatregelen te implementeren, vooral met betrekking tot bestanddownloads uit cloudplatforms.

Bron 1

Cybercriminelen richten zich steeds vaker op websites om schadelijke links in te voegen en hun zoekmachineoptimalisatie (SEO) te verbeteren via blackhat SEO-technieken. Deze aanvallen richten zich voornamelijk op online casinospam, die momenteel het meest voorkomende type spam is dat getroffen websites beïnvloedt. De aanvallers maken misbruik van kwetsbaarheden in WordPress-installaties om spaminhoud te plaatsen die online casino's promoot, met name gericht op markten waar gokken zwaar gereguleerd is. Om hun aanwezigheid te verbergen, maken de aanvallers gebruik van meerdere technieken, waaronder het vervangen van originele websitepagina's door pagina's met spam-inhoud. De kwaadaardige code wordt op slimme wijze verborgen in thema- en pluginbestanden van WordPress, wat zorgt voor meerdere lagen van bescherming tegen detectie. Deze geavanceerde malware maakt gebruik van dynamische content en database-manipulatie om zijn schadelijke code door te voeren, zelfs als onderdelen van de aanval worden ontdekt.

Bron 1

Een nieuw phishingplatform, Quantum Route Redirect, wordt wereldwijd ingezet om inloggegevens van Microsoft 365 gebruikers buit te maken. Het systeem maakt gebruik van ongeveer duizend domeinen die vooraf zijn ingericht om snel grootschalige campagnes te starten. Onderzoekers zien dat aanvallen beginnen met overtuigend ogende e-mails die bijvoorbeeld lijken op DocuSign meldingen, betalingsverzoeken of gemiste berichten. Slachtoffers worden doorgestuurd naar een pagina waar hun gegevens worden onderschept, terwijl het platform geautomatiseerde beveiligingstools juist naar onschuldige sites leidt. Deze aanpak maakt gebruik van gecompromitteerde of geparkeerde domeinen, wat de betrouwbaarheid voor slachtoffers vergroot. Het platform biedt aanvallers dashboards om verkeer te volgen en onderscheid te maken tussen echte bezoekers en bots. De meeste activiteiten zijn gericht op gebruikers in de Verenigde Staten, maar het platform is actief in negentig landen. Analisten verwachten een verdere toename door de effectieve omzeiling van URL-scans. Bron 1

Er zijn meldingen van valse sms-berichten die zogenaamd van banken of Bitvavo afkomstig zijn. In deze berichten wordt aangegeven dat er een inlogpoging is gedaan vanuit het buitenland. Ontvangers worden gevraagd een telefoonnummer te bellen als zij zelf geen inlogpoging hebben gedaan. Bij contact via dit nummer wordt een zogenaamde medewerker geïnformeerd, die de ontvanger vertelt dat hij of zij moet helpen het saldo te beveiligen. Dit kan door software te downloaden of inlogcodes te verstrekken. In werkelijkheid wordt het saldo gestolen. De afzender lijkt de echte nummer van Bitvavo te gebruiken, maar dit is een geval van spoofing. Het advies is om niet naar het opgegeven nummer te bellen en het bericht te verwijderen.

Bron 1

Onderzoekers hebben een kwaadaardig npm-pakket met de naam "@acitons/artifact" ontdekt, dat lijkt op het legitieme pakket "@actions/artifact" en gericht is op repositories van GitHub. Het pakket bevat een post-installatiescript dat tokens uit de buildomgeving van GitHub-repositories probeert te stelen. Deze tokens zouden vervolgens gebruikt kunnen worden om nieuwe schadelijke bestanden te publiceren als GitHub. Het kwaadaardige pakket werd gedownload via zes versies tussen 4.0.12 en 4.0.17 en is sinds de ontdekking verwijderd. Het pakket werd in totaal 47.405 keer gedownload. Een andere npm-pakket, "8jfiesaf83", werd ook geïdentificeerd, maar is inmiddels verwijderd, na 1.016 downloads. Het malware-script is ontworpen om gegevens in een versleuteld bestand te exfiltreren naar een specifieke GitHub-onderdomein. Deze campagne lijkt gericht te zijn op GitHub zelf en mogelijk een testaccount.

Bron 1, 2

AI-aangedreven aanvallen op software-supply chains zijn de afgelopen tijd exponentieel gestegen, met een toename van 156% in het afgelopen jaar. Traditionele beveiligingsmaatregelen blijken steeds minder effectief tegen de nieuwe, meer geavanceerde dreigingen, waarbij aanvallers gebruik maken van AI-gegenereerde malware die polymorfisch, contextbewust en semantisch gecamoufleerd is. Hierdoor is het steeds moeilijker voor detectietools om deze aanvallen op te sporen. Malafide uploads van softwarepakketten naar open-source repositories hebben geleid tot ernstige incidenten, zoals de 3CX-inbraak die 600.000 bedrijven wereldwijd trof. AI-malware kan nu zelfstandig zijn code aanpassen om traditionele beveiligingsmechanismen te omzeilen, wat resulteert in aanzienlijk langere detectietijden. Experts adviseren bedrijven om AI-bewuste beveiligingsmaatregelen te implementeren, zoals gedragsanalyse en runtime bescherming, en zich voor te bereiden op strengere regelgeving zoals de EU AI-wetgeving, die hoge boetes kan opleggen voor ernstige inbreuken.

Bron 1

In 2025 werd een nieuwe golf van ransomware-aanvallen gemeld, gericht op Britse organisaties, waarbij gebruik werd gemaakt van kwetsbaarheden in de SimpleHelp Remote Monitoring and Management (RMM)-platforms. Twee bekende ransomware-groepen, Medusa en DragonForce, exploiteerden drie ernstige kwetsbaarheden (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) om via vertrouwde derde partijen toegang te krijgen tot systemen. In plaats van direct te richten op organisaties, richtten de aanvallers zich op de RMM-infrastructuur van leveranciers, waardoor ze door de toegenomen vertrouwensbanden toegang kregen tot de netwerken van klanten. Beide groepen gebruikten geavanceerde technieken om de beveiliging van de systemen te omzeilen, waaronder het uitschakelen van Microsoft Defender en het verkrijgen van toegang via remote management-tools. De aanvallen resulteerden in ernstige verstoringen, versleuteling van gegevens en de dreiging van gegevensdiefstal op darkweb-leksites.

Bron 1

Cybercriminelen richten zich steeds vaker op Outlook en Google, de twee grootste e-mailplatforms ter wereld, waarbij ze traditionele beveiligingslagen omzeilen. Uit het Q3-rapport over e-maildreigingen blijkt dat meer dan 90% van de phishingaanvallen nu op deze platforms is gericht. De onderzoekers van VIPRE hebben 1,8 miljard e-mails geanalyseerd en ontdekten 26 miljoen extra kwaadaardige berichten, een toename van 13% ten opzichte van vorig jaar. Aanvallers maken niet alleen gebruik van geavanceerde malware, maar ook van eenvoudige methoden zoals vervalste loginpagina's en misbruik van vertrouwde links. Dit maakt het voor zowel automatische systemen als menselijke operators steeds moeilijker om legitieme berichten van kwaadaardige te onderscheiden. De aanvallen zijn voornamelijk gericht op het stelen van inloggegevens en het overnemen van e-mailaccounts, wat leidt tot toegang tot netwerken en cloudservices van bedrijven.

Bron 1

De VanHelsing ransomware is een nieuwe, geavanceerde ransomware-as-a-service (RaaS) operatie die sinds maart 2025 actief is. Deze ransomware biedt criminelen een platform om snel aanvallen te lanceren op verschillende besturingssystemen, waaronder Windows, Linux, BSD, ARM en ESXi, waarmee de potentiële slachtoffers drastisch zijn vergroot. Nieuwe affiliates betalen $5.000 om deel te nemen, waarbij ze 80% van de losgeldbetalingen ontvangen. Dit model vergroot de schaalbaarheid van aanvallen. De ransomware is ontworpen met veel technische flexibiliteit, zoals een uitgebreid systeem voor het aanpassen van aanvallen en de mogelijkheid om laterale bewegingen door netwerken uit te voeren. VanHelsing is nog in ontwikkeling, met regelmatige updates die de effectiviteit vergroten. Het model heeft al geresulteerd in meerdere succesvolle aanvallen, waarbij losgeldbedragen tot $500.000 werden geëist. De operaties lijken bovendien geografische beperkingen te hanteren, met uitzondering van landen binnen de Gemenebest van Onafhankelijke Staten (CIS).

Bron 1

Onderzoekers van CyberProof hebben sterke connecties ontdekt tussen de Maverick- en Coyote-bankingtrojan, die beide gericht zijn op Braziliaanse gebruikers en financiële instellingen. Beide malwarefamilies maken gebruik van vergelijkbare infectieketens en vertonen bijna identieke gedragingen. De aanvallen beginnen wanneer slachtoffers ZIP-bestanden via WhatsApp ontvangen, die kwaadaardige snelkoppelingbestanden bevatten. Deze bestanden starten PowerShell-commando’s die obfusceren en bedoeld zijn om detectie te vermijden. De malware gebruikt complexe coderingsmethoden zoals Base64 en UTF-16LE om de kwaadaardige commando's te reconstrueren en contact te maken met de infrastructuur van de aanvaller voor verdere infectie. Daarnaast gebruiken beide malwaretypes dezelfde versleuteling om de URL's van banken te decrypten en monitoren ze activiteiten in verschillende browsers. De overeenkomsten tussen deze malwarefamilies wijzen op een gedeelde ontwikkelingsbron.

Bron 1

Er is een nieuwe golf van phishing-aanvallen die zich voordoen als beveiligingsmeldingen. Deze kwaadaardige e-mails lijken afkomstig te zijn van de eigen domeinen van slachtoffers en waarschuwen voor vermeende "geblokkeerde berichten." De aanvallers proberen gebruikers in paniek te brengen en hen te dwingen op een link te klikken om het probleem op te lossen. Zodra een slachtoffer op de link klikt, wordt het doorverwezen naar een valse inlogpagina die lijkt op legitieme webmailportalen. Deze pagina is zelfs al ingevuld met het e-mailadres van het slachtoffer, wat de echtheid versterkt. De aanvallers gebruiken JavaScript in de e-mailbijlagen om inloggegevens te verzamelen, die vervolgens naar een server van de aanvallers worden gestuurd. Deze campagne maakt gebruik van psychologische manipulatie en technische verfijning om gebruikers te misleiden, wat het belang van goede beveiligingsmaatregelen en waakzaamheid onderstreept.

Bron 1

Danabot, een bekende banking trojan, is teruggekeerd met versie 669 na een tijdelijke onderbreking door de handhavingsactie Operation Endgame in mei 2025. Deze geavanceerde malware richt zich opnieuw op financiële instellingen, cryptocurrency-gebruikers en individuele slachtoffers via geavanceerde multi-stage aanvallen. De trojan maakt gebruik van spear-phishing en kwaadaardige documenten om systemen te infecteren, waarna het zijn payload aflevert. Zodra de malware zich heeft gevestigd, kan het meerdere modules inzetten voor gegevensdiefstal, laterale verplaatsing binnen netwerken en verdere payload-levering, specifiek voor Windows-omgevingen. Danabot versie 669 heeft ook zijn infrastructuur geüpdatet, waarbij het nu zowel IP-gebaseerde command-and-control (C2)-servers als .onion-adressen gebruikt voor communicatie, wat de detectie bemoeilijkt. Deze strategische verbeteringen maken de malware een nog grotere dreiging in het huidige cyberlandschap.

Bron 1

Een grootschalige phishingaanval is ontdekt die zich richt op gebruikers van Meta Business Suite, met als doel inloggegevens te stelen van duizenden kleine en middelgrote bedrijven wereldwijd. De aanval, die werd geïdentificeerd door Check Point-onderzoekers, verspreidde ongeveer 40.000 phishing-e-mails naar meer dan 5.000 klanten, voornamelijk uit de automobiel-, onderwijs-, vastgoed-, horeca- en financiële sectoren in de VS, Europa, Canada en Australië. De phishingcampagne maakt gebruik van legitieme Meta-infrastructuur, wat het moeilijker maakt om de aanval te detecteren. Aanvallers maakten misbruik van de uitnodigingsfunctie van Meta Business, waardoor de berichten authentiek lijken en traditionele e-mailbeveiligingsfilters omzeilen. De e-mails bevatten schadelijke links die gebruikers naar phishing-websites leiden, waar inloggegevens en andere gevoelige informatie wordt verzameld. Organisaties wordt geadviseerd om multi-factorauthenticatie in te schakelen om ongeautoriseerde toegang te voorkomen.

Bron 1

Een nieuwe phishingcampagne maakt misbruik van het officiële @facebookmail.com-domein om Facebook Business-gebruikers wereldwijd te misleiden. De aanvallers verstuurden e-mails die lijken op officiële uitnodigingen van Meta, bedoeld om de ontvangers naar frauduleuze inlogpagina's te lokken. Deze e-mails, met onderwerpen zoals 'Accountverificatie vereist' en 'Uitnodiging voor Meta Agency Partner', bevatten links naar websites die ontworpen zijn om inloggegevens van gebruikers te stelen. De campagne werd opgemerkt door Check Point en heeft wereldwijd duizenden kleine en middelgrote bedrijven getroffen, waaronder bedrijven in de VS, Europa, Canada en Australië. Het grootste slachtoffer ontving meer dan 4.000 phishingberichten. Bedrijven die gebruik maken van Meta Business Suite wordt geadviseerd om multi-factor authenticatie in te schakelen en uitnodigingen altijd te verifiëren via de officiële Meta-ondersteuningspagina’s.

Bron 1

Een nieuwe Android Remote Access Trojan (RAT), genaamd KomeX, is opgedoken op hackerforums en zorgt voor bezorgdheid binnen de cybersecuritygemeenschap. Het is gebouwd op de BTMOB RAT-code en biedt geavanceerde spionage- en apparaatcontrolefuncties. KomeX wordt gepromoot door een dreigingsactor onder de alias “Gendirector” en is ontworpen om Android-apparaten in massa te infecteren. De malware wordt verspreid via schadelijke Android-apps en phishingcampagnes. Na installatie vraagt KomeX onmiddellijk om uitgebreide systeemrechten, wat zijn bereik vergroot en zijn effectiviteit versterkt. De RAT biedt onder andere functies voor live schermstreaming, audio- en videocaptatie via camera en microfoon, sms-interceptie, geolocatie-tracking, en volledige besturingssysteemtoegang. KomeX wordt verkocht met verschillende abonnementsopties, waaronder toegang voor een korte periode, levenslange updates en volledige broncode voor criminele netwerken die aangepaste aanpassingen willen maken.

Bron 1

Een nieuwe vorm van cyberaanval, bekend als 'authentication coercion', richt zich op Windows-systemen binnen organisaties. Deze aanval maakt gebruik van de ingebouwde communicatieprotocollen in Windows om machines te misleiden en gevoelige inloggegevens automatisch naar een door de aanvaller gecontroleerde server te sturen. De techniek is bijzonder effectief doordat het gebruik maakt van legitieme Windows-functies, zoals Remote Procedure Call (RPC), wat het moeilijk maakt voor traditionele beveiligingssystemen om de aanval te detecteren. De aanvallers zetten kwaadaardige luisteraars op die zich voordoen als vertrouwde netwerkbronnen. Wanneer een geïnfecteerde machine probeert verbinding te maken met deze server, worden de inloggegevens via RPC-berichten doorgestuurd. Aangezien de aanval geen speciale rechten vereist, kunnen aanvallers met minimale technische kennis profiteren van deze kwetsbaarheid. Organisaties kunnen zichzelf beschermen door verdachte RPC-patronen en ongebruikte protocollen te monitoren en beveiligingsmaatregelen zoals SMB-handtekeningen in te stellen.

Bron 1

Hackers hebben een nieuwe methode ontwikkeld om malware te verspreiden via AppleScript-bestanden (.scpt), die nu worden gebruikt om vervalste Zoom- en Teams-installaties te verspreiden. Deze bestanden worden gepresenteerd als legitieme software-updates, maar bevatten schadelijke code. Wanneer gebruikers de bestanden openen, wordt een sociaal-engineeringprompt weergegeven, die hen aanmoedigt de scriptbestanden uit te voeren, zelfs als ze door Apple’s Gatekeeper-beveiliging zijn gemarkeerd. De aanvallers maken gebruik van de scripteditor van macOS, een legitieme applicatie die door gebruikers vaak wordt vertrouwd. Deze aanvalsmethode is moeilijk te detecteren, aangezien veel van de AppleScript-bestanden momenteel geen meldingen op virus-scanners zoals VirusTotal geven. Security-onderzoekers hebben dit als een zorgwekkende trend gemeld, vooral omdat deze techniek nu ook door cybercriminelen wordt gebruikt die eerder geavanceerde aanvallen uitvoerden.

Bron 1

Een geavanceerde phishingcampagne richt zich op organisaties in Centraal- en Oost-Europa door legitieme wereldmerken te imiteren om gebruikers te misleiden en hun inloggegevens te verkrijgen. De aanval maakt gebruik van zelfbevatte HTML-bestanden die als e-mailbijlagen worden verzonden, waardoor externe servers of verdachte URL's, die meestal door traditionele beveiligingssystemen worden gedetecteerd, overbodig zijn. Wanneer de bijlagen worden geopend, tonen ze overtuigende nep-inlogpagina's voor merken zoals Microsoft 365, Adobe, WeTransfer, FedEx en DHL, waarmee een naadloze gebruikerservaring wordt gecreëerd. Deze aanpak maakt gebruik van JavaScript binnen de HTML-bestanden om inloggegevens te verzamelen en direct naar Telegram-bots van de aanvallers te sturen. De campagne richt zich vooral op sectoren zoals landbouw, de auto-industrie, de bouw en het onderwijs in landen als Tsjechië, Slowakije, Hongarije en Duitsland. Organisaties wordt aangeraden om controles voor HTML-bijlagen in te voeren om dergelijke aanvallen te blokkeren.

Bron 1

De APT-C-08 hacker-groep, ook bekend als Manlinghua of BITTER, heeft een verfijnde aanvalscampagne gelanceerd gericht op overheidsorganisaties in Zuid-Azië. De groep maakt gebruik van een kritieke directory traversal-kwetsbaarheid in WinRAR (CVE-2025-6218), die het mogelijk maakt om systeemgrenzen te doorbreken en kwaadaardige code uit te voeren op gecompromitteerde systemen. De groep heeft een lange geschiedenis in het stelen van gevoelige informatie van overheidsinstanties en andere gerelateerde organisaties. De aanval maakt gebruik van een speciaal gemaakte RAR-archief met misleidende bestandsnamen, zoals "Provision of Information for Sectoral for AJK[.]rar". Wanneer het archief wordt uitgepakt, wordt een kwaadaardig macrobestand gedeponeerd op het systeem, dat via Microsoft Word automatisch wordt geladen. Experts raden aan alle WinRAR-installaties onmiddellijk te patchen en toepassing van macro-uitvoering te blokkeren voor verhoogde bescherming.

Bron 1

Een nieuwe aanval richt zich op Windows-gebruikers via een gemanipuleerde versie van SteamCleaner, een legitiem hulpprogramma voor het opruimen van ongewenste bestanden van het Steam-platform. De malware maakt gebruik van Node.js-scripts om toegang te verkrijgen tot het systeem en onderhoudt communicatie met command-and-control-servers. Deze aanval maakt gebruik van een ongewijzigde versie van het SteamCleaner-programma, dat sinds 2018 geen updates meer heeft ontvangen, maar nu wordt verspreid via frauduleuze websites. Het kwaadaardige installatiebestand is ondertekend met een geldig digitaal certificaat, waardoor het aanvankelijk niet wordt gedetecteerd door beveiligingssoftware. Nadat het programma is uitgevoerd, installeert de malware zich op het systeem en zorgt ervoor dat er verbinding wordt gemaakt met meerdere C2-servers voor verdere commando-uitvoering. De aanvallers maken gebruik van geavanceerde technieken om detectie te voorkomen, zoals het uitvoeren van milieutests en het obfusceren van commando's.

Bron 1

In 2025 is er een significante stijging in het gebruik van infostealers gericht op macOS-apparaten, wat een verhoogde dreiging vormt voor zowel individuele gebruikers als bedrijven. Deze malware is ontworpen om vertrouwelijke gegevens zoals inloggegevens, cryptowallets en persoonlijke informatie te stelen. Door de groeiende populariteit van macOS, vooral in zakelijke omgevingen, zijn deze apparaten nu een aantrekkelijk doelwit voor cybercriminelen. KELA’s onderzoek toont aan dat de macOS-gebruikers vaak hogere inkomens hebben, meer vertrouwen in de beveiliging van hun apparaten en waardevolle accounts beheren, wat hen kwetsbaarder maakt voor social engineering-aanvallen. Bedrijven die macOS in hun netwerk gebruiken lopen het risico dat één gecompromitteerd apparaat toegang biedt tot gevoelige gegevens, waaronder cloud- en SaaS-inloggegevens. De markt voor macOS infostealers heeft zich ontwikkeld tot een gestructureerd ecosysteem waarin dergelijke malware tegen hoge prijzen wordt verhandeld.

Bron 1

Een grootschalige phishingcampagne richt zich wereldwijd op reizigers door meer dan 4.300 valse domeinen te gebruiken om betaalkaartgegevens te stelen. De aanvallers doen zich voor als bekende reismerken en sturen nepbevestigingsmails voor hotelboekingen, waarmee ze slachtoffers naar valse boekingspagina's lokken. De nepwebsites zijn zorgvuldig ontworpen om legitiem te lijken, met bekende logo's en professionele layouts. De slachtoffers worden aangemoedigd om snel te handelen en hun gegevens in te voeren, onder de indruk van valse urgentie. De aanval maakt gebruik van een complex redirectiesysteem, waarbij de slachtoffers via meerdere websites naar de phishingpagina worden geleid. Zodra de slachtoffers hun betaalgegevens invoeren, worden deze gestolen. De aanval wordt toegeschreven aan een Russisch-talige dreigingsactor. De campagne, die begon in februari 2025, is in omvang gegroeid met dagelijks nieuwe domeinen.

Bron 1

De Uhale Android-gebaseerde digitale fotolijsten vertonen meerdere ernstige beveiligingsproblemen, waaronder de automatische download en uitvoering van malware tijdens het opstarten. Onderzoek door Quokka ontdekte dat de apparaten bij het opstarten verbinding maken met servers in China en schadelijke payloads downloaden. Deze malware is gelinkt aan de Vo1d-botnet en Mzmess-malwarefamilies. Bovendien bevat de app talrijke kwetsbaarheden, zoals de mogelijkheid voor man-in-the-middle-aanvallen en root toegang door onveilige TrustManager-implementaties. Veel van de onderzochte apparaten worden met een standaardinstelling geleverd die SELinux uitschakelt en ze worden vaak direct geroot, wat ze kwetsbaar maakt. Andere gebreken omvatten gebrekkige versleuteling en onvoldoende bescherming tegen het injecteren van kwaadaardige code. Consumenten wordt aangeraden om alleen apparaten van vertrouwde merken te kopen die geen firmwaremodificaties bevatten.

Bron pdf (downloaden), Google, Apple, Amazon

Onderzoekers hebben een grootschalige spamcampagne ontdekt die de npm-registry heeft overspoeld met duizenden nep-pakketten sinds begin 2024. De aanval, die meer dan 67.000 nep-pakketten heeft gepubliceerd, is gericht op het verstoren van de npm-ecosysteem door willekeurige pakketten te plaatsen. De pakketten bevatten een JavaScript-bestand dat pas actief wordt wanneer een gebruiker het handmatig uitvoert, waardoor het moeilijker te detecteren is door beveiligingssystemen. Het doel lijkt geen datadiefstal of andere kwaadwillende acties te zijn, maar eerder het creëren van ruis in de registry, wat kan leiden tot onbedoelde installatie van deze nep-pakketten door ontwikkelaars. De campagne maakt gebruik van een wormachtig mechanisme, waarbij de pakketten elkaar als afhankelijkheden vermelden, wat de belasting van de registry vergroot. GitHub heeft de kwaadaardige pakketten inmiddels verwijderd.

Bron 1, 2, 3

Een kwaadaardige Chrome-extensie genaamd "Safery: Ethereum Wallet" is ontdekt, die zich voordoet als een veilige Ethereum-portemonnee, maar een backdoor bevat waarmee het de seedfrases van gebruikers steelt. De extensie werd op 29 september 2025 geüpload naar de Chrome Web Store en is tot op heden nog beschikbaar. De malware encodeert de seedfrases als valse Sui-walletadressen en verstuurt microtransacties naar deze adressen vanuit een door de aanvaller gecontroleerde wallet. Dit stelt de aanvaller in staat om de seedfrases te reconstrueren en vervolgens de fondsen van de slachtoffers te stelen. Gebruikers worden geadviseerd alleen vertrouwde extensies te gebruiken en verdachte extensies te controleren op verdachte blockchain-activiteiten.

Bron 1, 2, 3

Het Engels-sprekende cybercriminele ecosysteem, bekend als “The COM,” is geëvolueerd van een nichegemeenschap die zich richtte op de handel in sociale mediaaccounts, naar een georganiseerde operatie die enkele van de werelds meest schadelijke cyberaanvallen uitvoert. Oorspronkelijk gericht op het stelen van socialemediagegevens, verschoven de activiteiten tijdens de cryptovalutahype van 2020-2021 naar het stelen van digitale wallets. Deze verschuiving leidde tot nieuwe aanvalsmethoden en verdienmodellen, die de wereld van cybercriminaliteit ingrijpend veranderden. Het COM fungeert nu als een uitgebreid crimineel supply chain-systeem, waar verschillende actoren gespecialiseerd zijn in taken zoals phishing, gegevensdiefstal en witwaspraktijken. Dit ecosysteem opereert volgens een model dat lijkt op legitieme bedrijfsstructuren, wat de schaal en efficiëntie van de aanvallen vergroot. Een van de meest effectieve methoden is social engineering, waarbij aanvallers zich voordoen als legitieme medewerkers om toegang te verkrijgen tot netwerken van organisaties.

Bron 1

MastaStealer, een infostealer, wordt ingezet via spear-phishing-aanvallen waarbij LNK-bestanden in ZIP-archieven worden verzonden. Bij het openen van deze bestanden wordt een multistap-infectie geactiveerd. De LNK-bestanden openen Microsoft Edge met een legitiem ogende AnyDesk-website, terwijl in de achtergrond de MSI-installer van een gecompromitteerd domein wordt gedownload. De malware vermijdt detectie door zijn payload in een verborgen map te plaatsen en de naam van een legitiem Windows-proces na te volgen. Een PowerShell-commando wordt gebruikt om de Windows Defender-beveiliging uit te schakelen, waardoor de malware ongehinderd met command-and-control-servers kan communiceren. Dit maakt het voor traditionele beveiligingssystemen moeilijk om de aanval te detecteren. Deze techniek toont aan hoe aanvallers gebruik maken van legitieme Windows-beheerfuncties om beveiligingsmaatregelen te omzeilen.

Bron 1

Een ernstig beveiligingslek in Fortinet FortiWeb wordt actief uitgebuit om zonder authenticatie nieuwe beheerdersaccounts aan te maken op kwetsbare apparaten. Onderzoekers van Defused, PwnDefend en watchTowr Labs ontdekten dat het gaat om een path traversal-kwetsbaarheid waarmee aanvallers volledige toegang tot systemen kunnen verkrijgen. Het lek treft FortiWeb-versies tot en met 8.0.1 en is verholpen in versie 8.0.2, die eind oktober werd uitgebracht. Desondanks heeft Fortinet geen publieke melding gedaan van de kwetsbaarheid of het verhelpen daarvan, wat tot kritiek in de beveiligingsgemeenschap leidt. Rapid7 bevestigde dat meerdere versies kwetsbaar zijn en dat aanvallen sinds begin oktober sterk zijn toegenomen. De exploit wordt inmiddels breed gedeeld via een openbaar beschikbare tool waarmee willekeurige admin-accounts kunnen worden aangemaakt, wat het risico op misbruik verder vergroot. (CVE-2025-64446 / CVE-2025-40684)

Bron 1, 2

Github

Onderzoekers van Cisco Talos hebben vastgesteld dat de nieuwe variant van de Kraken-ransomware, opvolger van de vroegere HelloKitty-campagne, een unieke methode gebruikt om de encryptiesnelheid van geïnfecteerde systemen te optimaliseren. De malware voert een prestatietest uit om te bepalen of volledige of gedeeltelijke versleuteling het meest effectief is zonder het systeem te overbelasten. Kraken richt zich op Windows-, Linux- en VMware ESXi-omgevingen en verwijdert vooraf schaduwkopieën en back-ups om herstel te bemoeilijken. De groep valt voornamelijk grote organisaties aan in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Panama, Koeweit en Denemarken. Daarnaast exploiteert zij SMB-kwetsbaarheden voor toegang en gebruikt Cloudflared-tunnels en SSHFS voor datadiefstal. Na de aanval wist een automatisch script sporen, logbestanden en zichzelf. De operatie is gelinkt aan de voormalige HelloKitty-groep, wat wijst op hergebruik van infrastructuur en tactieken.

Bron 1

IOC's

Een snelgroeiende dreiging, bekend als de schermdelen-oplichting, maakt misbruik van een functie op WhatsApp om geld en persoonlijke gegevens te stelen. De scam maakt gebruik van het schermdelen, dat sinds 2023 beschikbaar is, en heeft wereldwijd al grote verliezen veroorzaakt. In een specifiek geval in Hong Kong verloor een slachtoffer ongeveer 700.000 dollar. De scam begint met een onverwachte videogesprek van een onbekend nummer, waarbij de oplichter zich voordoet als een vertrouwd persoon, zoals een bankmedewerker of een medewerker van Meta. Ze wekken paniek door te claimen dat het account van het slachtoffer is gehackt of dat er verdachte betalingen zijn. Vervolgens wordt het slachtoffer gevraagd om het scherm te delen of apps zoals AnyDesk of TeamViewer te installeren. De oplichter heeft hierdoor toegang tot gevoelige informatie zoals wachtwoorden en OTP's. Meta werkt aan maatregelen om gebruikers beter te beschermen tegen deze dreiging.

Bron 1

Hackers maken gebruik van Remote Monitoring and Management (RMM)-tools zoals LogMeIn en PDQ Connect om malware te verspreiden, terwijl ze zich voordoen als legitieme programma's. Ze misleiden slachtoffers door populaire software, zoals Notepad++ of 7-Zip, aan te bieden via valse websites. In plaats van de echte applicaties, installeren gebruikers een aangepaste versie van LogMeIn Resolve of PDQ Connect, waarmee de aanvallers volledige controle krijgen over de computers van de slachtoffers. Het malwareprogramma, PatoRAT, wordt geïnstalleerd en biedt aanvallers de mogelijkheid om functies zoals muisbediening, schermopname, keylogging en het stelen van wachtwoorden uit te voeren. Dit alles gebeurt zonder dat de slachtoffers het merken. Onderzoekers ontdekten drie verschillende dreigingsactoren die deze aanvallen uitvoeren, wat wijst op een gecoördineerde poging om systemen wereldwijd aan te vallen.

Bron 1

Cybercriminelen hebben een nieuwe campagne gelanceerd waarbij de bekende DarkComet remote access trojan (RAT) wordt vermomd als een Bitcoin-applicatie. Deze malware richt zich op cryptocurrency-gebruikers die tools downloaden van onbetrouwbare bronnen. De DarkComet RAT biedt aanvallers volledige controle over geïnfecteerde systemen en stelt hen in staat om bijvoorbeeld toetsaanslagen te registreren, bestanden te stelen, webcams te activeren en desktopcontrole uit te voeren. De malware wordt verspreid als een gecomprimeerd RAR-bestand, waarin een uitvoerbaar bestand is verpakt als "94k BTC wallet.exe". Dit maakt het moeilijker voor antivirussoftware om de malware te detecteren. Na uitvoering installeert de malware zichzelf in het systeem en maakt het verbinding met een command-and-control-server. Gebruikers worden gewaarschuwd om geen cryptocurrency-tools van onbetrouwbare bronnen te downloaden en om up-to-date beveiligingssoftware te gebruiken om dergelijke dreigingen te detecteren.

Bron 1

Een nieuwe variant van de ClickFix-aanval richt zich op zowel Windows- als macOS-gebruikers, waarbij informatie-stelende malware wordt geïnstalleerd. Deze aanval maakt gebruik van een social engineering techniek waarbij gebruikers worden misleid om schadelijke commando’s in hun besturingssysteem in te voeren. De aanval kan traditionele beveiligingssystemen omzeilen, omdat de malware binnen een browser-sandbox draait en niet door gebruikelijke e-mailbeveiliging wordt gedetecteerd. De aanvallers maken gebruik van nepwebpagina’s, gehost op vertrouwde platformen zoals Google Colab en Drive, om slachtoffers naar een besmette downloadlink te leiden. Windows-gebruikers krijgen de ACR-stealer te verwerken, terwijl macOS-gebruikers worden doorgestuurd naar de Odyssey-infostealer. Deze malware steelt niet alleen inloggegevens en persoonlijke informatie, maar fungeert ook als loader voor andere bedreigingen, zoals de SharkClipper cryptovaluta-hijacker.

Bron 1

Onderzoekers hebben een geavanceerde aanvalscampagne ontdekt waarbij dreigingsactoren legitieme JSON-opslagservices misbruiken om malware te verspreiden. Deze campagne, genaamd Contagious Interview, maakt gebruik van populaire platforms zoals JSON Keeper en npoint.io om kwaadaardige code te verbergen in legitieme ontwikkelaarsprojecten. De aanval richt zich voornamelijk op softwareontwikkelaars, vooral die in cryptocurrency- en Web3-projecten, op Windows, Linux en macOS-systemen. De aanvallers gebruiken social engineering, waarbij valse recruiters ontwikkelaars benaderen met nep-sollicitaties, om hen naar trojaanse code te leiden die wordt gehost op GitHub of GitLab. Na het uitvoeren van de geïnfecteerde projecten, wordt de BeaverTail infostealer gedownload, die gevoelige informatie steelt. Vervolgens wordt het InvisibleFerret Remote Access Tool ingezet, wat verdere data-exfiltratie en systeeminbraken mogelijk maakt. De slimme inzet van legitieme infrastructuur maakt het moeilijk voor traditionele beveiligingstools om de aanval te detecteren.

Bron 1

De SmartApeSG-campagne, ook wel bekend als ZPHP of HANEY MANEY, heeft zijn aanvallen verfijnd door gebruik te maken van de ClickFix-techniek, waarbij gebruikers worden misleid om een valse CAPTCHA-pagina in te vullen. Deze techniek is een vervolg op eerdere aanvallen die gebruik maakten van nep-browserupdates en wordt nu ingezet om het NetSupport RAT (Remote Access Tool) te installeren. De campagne richt zich op gebruikers van websites die gecompromitteerd zijn en verborgen kwaadaardige scripts bevatten. Bij het klikken op een valse verificatiebox wordt de NetSupport RAT geïnstalleerd, wat de aanvallers volledige controle over het geïnfecteerde systeem geeft. De aanval maakt gebruik van meerdere fasen, waardoor het voor traditionele beveiligingsmaatregelen moeilijk is om de aanval te detecteren en te verwijderen. De gebruikte techniek bypasses traditionele beveiligingsmaatregelen en is een voorbeeld van social engineering.

Bron 1

Een nieuwe phishingcampagne maakt gebruik van valse spamfiltermeldingen om gebruikers te misleiden en hun e-mailinloggegevens te stelen. De aanvallers versturen e-mails die beweren dat een organisatie zijn beveiligingssystemen heeft geüpgraded en dat sommige berichten niet in de inbox konden worden afgeleverd. De ontvangers worden aangemoedigd om op een link te klikken om de vastgehouden berichten in de inbox te verplaatsen. Deze link leidt echter naar een phishingwebsite die de inloggegevens van gebruikers probeert te stelen.

De e-mail is opvallend goed nagebootst, met ogenschijnlijk legitieme berichttitels en afleveringsrapporten die vertrouwd en onschuldig lijken. Daarnaast wordt er een afmeldlink toegevoegd om de e-mail authentieker te doen lijken. Zowel de knop als de afmeldlink leiden de slachtoffers via een omgeleide link naar de phishingpagina.

Wat deze aanval bijzonder maakt, is het gebruik van websockets voor het direct verzamelen van gegevens. Dit stelt de aanvallers in staat om de ingevoerde gegevens, zoals e-mailadressen en wachtwoorden, in realtime te ontvangen zonder dat de pagina hoeft te verversen. Het gebruik van websockets maakt het zelfs mogelijk om aanvullende verzoeken voor tweefactorauthenticatiecodes te sturen, waarmee aanvallers accounts met extra beveiligingslagen kunnen omzeilen.

Bron 1

Lumma Stealer is een vorm van malware die via valse software-updates en gekraakte applicaties verspreidt. Deze malware is ontworpen om inloggegevens, betaalinformatie en cryptocurrency-walletdata van geïnfecteerde systemen te stelen. Het verspreidt zich voornamelijk via phishing-e-mails, schadelijke advertenties en gecompromitteerde websites. Lumma Stealer is bijzonder gevaarlijk doordat het gegevens verzamelt van meerdere webbrowsers, waaronder Chrome, Firefox, Edge en Brave. Het verzamelt wachtwoorden, ingevulde informatie, browsegeschiedenis en sessietokens. De malware maakt gebruik van browserfingerprinting om gedetailleerde apparaatinformatie te verzamelen en stelt zich in staat om verborgen communicatiekanalen met de command-and-control-servers op te zetten. Deze techniek helpt aanvallers om geïnfecteerde apparaten te volgen en communicatie te camoufleren als reguliere webverkeer. Geïnfecteerde systemen kunnen onopgemerkt blijven totdat slachtoffers ongeautoriseerde transacties of accountinbreuken opmerken.

Bron 1

Akira ransomware is een van de meest actieve dreigingen die wereldwijd bedrijven treffen. Sinds maart 2023 heeft deze ransomware meer dan 250 organisaties in Noord-Amerika, Europa en Australië aangevallen, met een geschat losgeldbedrag van 244 miljoen dollar eind september 2025. De dreigingsactoren achter Akira worden in verband gebracht met de opgeheven Conti ransomwaregroep. Akira richt zich voornamelijk op kleine en middelgrote bedrijven in diverse sectoren, waaronder de maakindustrie, onderwijsinstellingen, informatie-technologie, gezondheidszorg en financiële dienstverlening.

De aanvallers verkrijgen toegang via virtuele privé-netwerken zonder geconfigureerde multi-factor authenticatie en maken gebruik van kwetsbaarheden in Cisco-producten. De groep past continu haar aanvalsmethoden aan, waarbij ze in 2025 gebruik maakt van verschillende encryptietools, waaronder de Megazord-encryptor, die een op Rust gebaseerde encryptie toevoegt. Akira gebruikt een double-extortion-model, waarbij naast het versleutelen van gegevens ook gedreigd wordt met de openbaarmaking van gevoelige informatie. De aanvallers zetten geavanceerde technieken in om toegang te behouden en verdere schade te veroorzaken.

Bron 1

Een nieuwe phishingkit die onlangs werd ontdekt, heeft aangetoond hoe geavanceerd cybercriminelen hun methoden blijven verbeteren om gevoelige gegevens te stelen. Deze kit is ontworpen om de Italiaanse IT- en webserviceprovider Aruba S.p.A. te imiteren, een bedrijf dat meer dan 5,4 miljoen klanten bedient binnen de digitale infrastructuur van Italië. Door een dergelijke vertrouwde dienstverlener te targeten, kunnen aanvallers toegang krijgen tot kritieke bedrijfsmiddelen, waaronder gehoste websites, domeinbeheersystemen en e-mailsystemen. De phishingcampagne begint met spear-phishing-e-mails die urgentie creëren door te waarschuwen voor verlopen diensten of mislukte betalingen. De berichten bevatten links naar valse inlogpagina’s die sterk lijken op het officiële Aruba webmailportaal.

Wat deze aanval bijzonder slim maakt, is het gebruik van vooraf ingevulde inlog-URL’s, waardoor het e-mailadres van het slachtoffer automatisch in het formulier wordt geplaatst. Dit vergroot de authenticiteit en maakt de slachtoffers minder wantrouwend, waardoor ze sneller hun wachtwoorden invoeren. Het framework achter deze aanval werkt verder met een vierfasenproces, waarbij eerst een CAPTCHA-uitdaging wordt gebruikt om bots te blokkeren, gevolgd door een valse inlogpagina, een nep-betalingspagina en uiteindelijk een frauduleuze 3D Secure-verificatiepagina. Alle gestolen gegevens worden via Telegram-kanalen direct naar de aanvallers verzonden, waardoor ze direct op de hoogte worden gehouden van elke nieuwe slachtofferinvoer. Nadat het proces is voltooid, worden de slachtoffers doorgestuurd naar de legitieme Aruba-website, waardoor ze onbewust blijven van de compromittering van hun gegevens.

Deze operatie benadrukt de groeiende trend van phishing-as-a-service, waarbij vooraf gebouwde kits de technische drempels verlagen en op industriële schaal bijdragen aan credential theft.

Bron 1

Formbook, een veelgebruikte malware, heeft opnieuw slachtoffers gemaakt door gebruik te maken van zipbestanden en meerdere scripts om beveiligingsmaatregelen te omzeilen. De aanvallen beginnen met phishing-e-mails die zipbestanden bevatten. Deze zipbestanden bevatten VBS-scripts die zich voordoen als betalingsbevestigingen. Wanneer een slachtoffer de bijlage opent, wordt het VBS-script geactiveerd, wat leidt tot een keten van gebeurtenissen die de malware uiteindelijk op het systeem van het slachtoffer installeert.

De multi-stadium-aanpak van de malware maakt het moeilijk om deze aanvallen te detecteren. Het VBS-script start een vertraging van negen seconden voordat het schadelijke acties onderneemt, waardoor detectiesystemen die zoeken naar onmiddellijke verdachte activiteiten worden omzeild. Vervolgens wordt een PowerShell-script gebruikt om een tweede payload van Google Drive te downloaden en op te slaan in de AppData-map van de gebruiker. Uiteindelijk wordt de Formbook-malware via msiexec.exe uitgevoerd, waarmee het verbinding maakt met een command server om verdere instructies te ontvangen. De lage detectiegraad van de aanvallen benadrukt de effectiviteit van de gebruikte obfuscatietechnieken.

Bron 1

Een nieuwe malwarefamilie genaamd DigitStealer heeft macOS-systemen tot doel, met geavanceerde technieken om detectie te vermijden en gegevens te stelen. Deze informatie-stealer maakt gebruik van meerdere payloads om gevoelige gegevens te stelen, terwijl het minimaliseert hoe vaak het spoor achterlaat op geïnfecteerde systemen. De malware vermomt zich als legitieme software en maakt gebruik van slimme methoden om de beveiligingsmaatregelen van Apple te omzeilen. DigitStealer verspreidt zich via vervalste versies van populaire macOS-applicaties. De malware werd ontdekt in een niet-ondertekend diskimagebestand genaamd DynamicLake.dmg, dat zich voordeed als een legitiem hulpprogramma. Gebruikers worden misleid om een bestand genaamd “Drag Into Terminal.msi” uit te voeren, waardoor het infectieproces start.

Wat deze malware bijzonder maakt, is het gebruik van geavanceerde hardwarecontroles om te voorkomen dat het draait op virtuele machines of oudere Mac-computers. DigitStealer richt zich specifiek op de nieuwste Apple Silicon-systemen, met name M2-chips en hoger, en vermijdt Intel-gebaseerde Macs en zelfs M1-apparaten. De malware voert uitgebreide systeemcontroles uit voordat de hoofdpayload wordt uitgevoerd, zoals het controleren van de systeemlocatie en het zoeken naar specifieke kenmerken van Apple Silicon-processors. Alleen Mac-computers met deze geavanceerde ARM-processorfuncties worden besmet.

Na het doorlopen van deze controles downloadt DigitStealer vier afzonderlijke payloads van externe servers, met als doel het stelen van browserwachtwoorden, cryptocurrency wallets en het aanpassen van legitieme applicaties zoals Ledger Live. Door gebruik te maken van legitieme Cloudflare-diensten om de payloads te hosten, wordt het detecteren en blokkeren van de malware nog moeilijker.

Bron 1

Cybercriminelen gebruiken nep-facturen om XWorm, een remote access trojan (RAT), te verspreiden. Deze malware is in staat om inloggegevens, wachtwoorden en gevoelige bestanden van besmette systemen te stelen. De aanval begint met een ogenschijnlijk onschuldige e-mail die een factuur of betalingsoverzicht bevat. Het bijgevoegde bestand is een Visual Basic Script (.vbs), dat, wanneer geopend, onmiddellijk kwaadaardige code uitvoert. Dit proces gebeurt op de achtergrond zonder waarschuwingen of meldingen, waardoor slachtoffers zich pas realiseren dat hun systeem is gecompromitteerd wanneer het te laat is.

XWorm biedt aanvallers volledige controle over de geïnfecteerde machines, waardoor ze toegang krijgen tot persoonlijke gegevens, het toekennen van administratorrechten mogelijk wordt, en de aanval kan worden uitgebreid met andere schadelijke software zoals ransomware. Het gebruik van verouderde technologie, zoals .vbs-bestanden, maakt deze aanvallen moeilijker te detecteren, aangezien de meeste moderne e-mailbeveiligingssystemen dergelijke bestandsformaten blokkeren. Toch slagen sommige aanvallen erin de filters te omzeilen en ernstige schade aan te richten.

Bron 1

Een recente golf van spam die npm (Node Package Manager) overspoelt, heeft in de media onterecht de aanduiding "worm" gekregen. Dit betreft echter geen nieuwe vorm van malware, maar een voortzetting van de TEA Protocol spamcampagnes die al twee jaar actief zijn. Deze campagnes misbruiken open-source registratiesystemen om kunstmatig het aantal afhankelijkheden van spamprojecten te vergroten. Het doel is het verkrijgen van TEA-tokens via nepafhankelijkheden, wat het voor ontwikkelaars moeilijker maakt om betrouwbare code te vinden.

Hoewel de spam in sommige gevallen lijkt te repliceren, is er geen sprake van kwaadaardige zelf-replicatie, zoals bij wormen. De replicatie is het gevolg van een handmatig uitgevoerd publicatiescript dat geen automatische acties uitvoert bij de installatie van de pakketten. Deze campagne heeft geen directe schadelijke gevolgen voor de beveiliging van systemen, maar zorgt voor operationele verstoringen. De vervuiling van afhankelijkheidsnetwerken en het verbruik van middelen kunnen de efficiëntie van ontwikkelaars en tools die gebruik maken van npm negatief beïnvloeden. Het probleem heeft vooral impact op de infrastructuur van open-source projecten, met name in de mate van vervuiling van de registries en vertragingen bij het detecteren van echt schadelijke activiteiten.

Bron 1

Cybercriminelen hebben het decennia-oude 'Finger' protocol opnieuw misbruikt in een serie aanvallen die nu bekendstaan als ClickFix-aanvallen. Het Finger protocol, oorspronkelijk ontwikkeld voor Unix- en Linux-systemen, wordt tegenwoordig zelden gebruikt, maar blijkt nog steeds actief in verschillende aanvallen. Het protocol wordt vaak gebruikt om commando's op afstand op Windows-systemen uit te voeren door kwaadaardige actoren.

Bij deze aanvallen wordt de 'finger' opdracht uitgevoerd op een kwetsbaar systeem, waarbij commando's worden opgehaald van een externe server. Deze commando's worden vervolgens via de Windows opdrachtprompt (cmd.exe) uitgevoerd. Recent werd een kwaadaardig batchbestand gedeeld, waarin het Finger protocol wordt gebruikt om commando's op te halen van een server. Wanneer het bestand wordt uitgevoerd, worden er scripts gedownload die uiteindelijk malware installeren op het systeem.

Een specifiek voorbeeld van deze aanvalsmethode is het misbruik van het Finger protocol via een vals CAPTCHA-venster. Gebruikers die in de verleiding komen om een vermeend beveiligingscommando in te voeren, lopen het risico dat hun systeem wordt geïnfecteerd. De malware die door deze aanvallen wordt geïnstalleerd, varieert, maar een veelvoorkomend type is een infostealer, die gevoelige informatie van het slachtoffer verzamelt en doorstuurt naar de aanvaller.

Het lijkt erop dat dit soort aanvallen specifiek gericht zijn op systemen die gevoelig zijn voor dit oude protocol, en hoewel de aanvallen tot nu toe voornamelijk door een enkele actor zijn uitgevoerd, wordt verwacht dat de dreiging zich kan uitbreiden. Als verdedigingsmaatregel kunnen organisaties het uitgaande verkeer naar poort 79, die door het Finger protocol wordt gebruikt, blokkeren om dergelijke aanvallen te voorkomen.

Bron 1, 2, 3

Virustotal

RondoDox, een botnet-malware, richt zich momenteel op onbeschermde XWiki-instanties die kwetsbaar zijn door de CVE-2025-24893-beveiligingsfout, een evaluatie-injectie die het mogelijk maakt voor aanvallers om op afstand willekeurige code uit te voeren. Deze kwetsbaarheid werd eind februari 2025 gepatcht in de versies XWiki 15.10.11, 16.4.1 en 16.5.0RC1, maar blijkt sindsdien in het wild te worden misbruikt. Het werd aanvankelijk al in maart 2025 waargenomen, maar de aanvallen bereikten een hoogtepunt in oktober, toen de exploit in een keten van aanvallen werd ingezet om cryptocurrency-miners te installeren.

Op 3 november 2025 werd de eerste exploit door RondoDox geregistreerd, gevolgd door een toename van exploitatiepogingen. De aanvallen hebben een breed scala aan vectoren bereikt, waaronder DDoS-aanvallen via HTTP-, UDP- en TCP-protocollen. Dit wijst op de uitbreiding van RondoDox’s bereik, waarbij apparaten wereldwijd worden ingepalmd voor cyberaanvallen. De VS Cybersecurity and Infrastructure Security Agency (CISA) heeft de kwetsbaarheid opgenomen in haar catalogus van bekende geëxploiteerde kwetsbaarheden, met een verplichting voor federale instanties om tegen 20 november mitigaties toe te passen.

Het blijft duidelijk dat een robuust patchbeheer essentieel is om dergelijke dreigingen tegen te gaan. RondoDox’s exploitatie van deze kwetsbaarheid toont de noodzaak aan voor tijdige updates en bescherming tegen dergelijke aanvallen die de digitale veiligheid wereldwijd ondermijnen.

Bron 1, 2, 3, 4

De afgelopen weken is er een nieuwe dreiging opgekomen die vooral gericht is op Chinese gebruikers, met de focus op het omzeilen van antivirusprogramma's en het uitschakelen van beveiligingshulpmiddelen op Windows-systemen. De malware, genaamd RONINGLOADER, maakt gebruik van slimme technieken om zijn werking te verbergen en verscheidene lagen van beveiliging te doorbreken. De infectie begint met nep-installateurs die zich voordoen als legitieme software, zoals Google Chrome of Microsoft Teams, en wanneer deze worden uitgevoerd, wordt de aanval in gang gezet.

Zodra RONINGLOADER zich op een systeem heeft gevestigd, probeert het meerdere beveiligingsmaatregelen te omzeilen. Dit gebeurt door het gebruik van een digitaal ondertekend stuurprogramma, dat oorspronkelijk bedoeld is voor legitiem gebruik maar in dit geval wordt misbruikt om Windows Defender en andere populaire Chinese beveiligingssoftware, zoals Qihoo 360, uit te schakelen. De malware gebruikt een techniek die door Windows wordt herkend als geldig, maar in werkelijkheid wordt het proces van beveiligingsschorsing uitgevoerd.

Een van de belangrijkste kenmerken van RONINGLOADER is het gebruik van een backupplan. Als een poging om de beveiliging uit te schakelen niet werkt, probeert de malware verschillende alternatieve methoden. De aanval maakt gebruik van een techniek die recentelijk in het openbaar werd gedocumenteerd, waarbij de malware de zogenaamde Protected Process Light (PPL) misbruikt om zich in te schrijven als een legitiem proces, maar uiteindelijk de beveiligingssoftware uitschakelt.

De dreiging die RONINGLOADER vormt, is dus een voorbeeld van hoe cybercriminelen hun methoden verfijnen, door gebruik te maken van steeds geavanceerdere technieken die de effectiviteit van traditionele beveiligingsmaatregelen ondermijnen. Cyberbeveiligingsexperts adviseren dan ook om waakzaam te blijven en proactief systemen te monitoren op ongebruikelijke activiteiten.

Bron 1

Op 16 november 2025 werd er op het darkweb een bulkveiling gemeld van 800 volledige gestolen identiteiten, ook wel "fullz" genoemd. De verkoper claimt dat 70% van de gelekte gegevens geldig is. Fullz bevat vaak gevoelige persoonlijke informatie, zoals naam, adres, geboortedatum, sociaal-zekerheidsnummer en bankgegevens, die door cybercriminelen gebruikt kunnen worden voor identiteitsdiefstal of andere vormen van fraude.

Het verhandelen van dergelijke gegevens op darkweb marktplaatsen is een veelvoorkomend fenomeen waarbij criminelen profiteren van gestolen informatie. De mate van geldigheid van de gelekte gegevens verhoogt de risico's voor individuen wiens gegevens zijn betrokken bij dergelijke aanbiedingen.

De NotDoor malware, gelinkt aan de hacker-groep APT28 (Fancy Bear), maakt gebruik van Outlook-macro’s om toegang te krijgen tot systemen en gegevens te stelen. Dit soort aanvallen is bijzonder gevaarlijk omdat het misbruik maakt van vertrouwde software, zoals Outlook, om ongemerkt gegevens te exfiltreren. De aanvallers plaatsen schadelijke code in Outlook-bestanden, waardoor ze onopgemerkt toegang krijgen tot het systeem.

De aanvallen beginnen vaak met een techniek genaamd DLL-sideloading, waarbij schadelijke bestanden naast legitieme applicaties worden geplaatst, zoals OneDrive.exe. Dit stelt de aanvallers in staat om ongezien commando’s uit te voeren en malware te installeren zonder dat dit direct wordt opgemerkt. De infectie laat verschillende sporen na, zoals gewijzigde bestandsinstellingen en verdachte registerwijzigingen, die belangrijk kunnen zijn voor het opsporen van dergelijke aanvallen.

Beveiligingsexperts, zoals Splunk, hebben deze technieken grondig onderzocht en laten zien hoe de malware op een slinkse manier communiceert via Outlook en PowerShell, en hoe belangrijke detectiepunten kunnen worden gebruikt om dergelijke aanvallen te identificeren. Dit onderzoek biedt waardevolle inzichten voor bedrijven die hun systemen willen beschermen tegen dit soort geavanceerde dreigingen.

Bron 1

In november 2025 werd een nieuwe malwarecampagne ontdekt die geavanceerde sociale-engineeringtechnieken combineert met krachtige stealer- en RAT-tools. Deze campagne maakt gebruik van de ClickFix-techniek, waarbij aanvallers gebruikers misleiden om specifieke commando's uit te voeren via het Windows Run-venster. Zodra gebruikers deze stappen volgen, wordt hun systeem geïnfecteerd met Amatera Stealer, een geavanceerd stuk malware dat is ontworpen om gevoelige informatie van browsers, wachtwoordbeheerders en crypto-portemonnees te stelen.

Na de initiële infectie wordt NetSupport RAT geïnstalleerd, waarmee de aanvallers volledige toegang krijgen tot het slachtoffer zijn computer. De campagne maakt gebruik van complexe technieken, zoals het versleutelen van communicatie via AES-256-CBC en het omzeilen van traditionele beveiligingsmaatregelen door middel van obfuscatie en het uitschakelen van de AMSI (Anti-Malware Scan Interface) van Windows. Het gebruik van een .NET-gebaseerde downloader en geavanceerde injectietechnieken maakt de malware moeilijk te detecteren en te analyseren.

De Amatera Stealer, voorheen bekend als ACR Stealer, maakt gebruik van WoW64-syscalls om beveiligingstools zoals antivirussoftware en endpoint-detectiesystemen te omzeilen, wat betekent dat zelfs goed beveiligde systemen kwetsbaar blijven voor deze aanval. Deze campagne is een zorgwekkend voorbeeld van hoe cybercriminelen meerdere geavanceerde technieken combineren voor maximale schade en benadrukt de noodzaak voor robuuste en gelaagde beveiligingsmaatregelen.

Bron 1

Een nieuwe phishingcampagne maakt gebruik van Microsoft Entra-gastgebruiker-uitnodigingen om slachtoffers te misleiden en hen telefonisch contact te laten opnemen met aanvallers die zich voordoen als Microsoft-ondersteuning. Deze aanval maakt gebruik van een zwakke plek in de manier waarop Microsoft Entra communiceert met externe gebruikers, waardoor een legitieme samenwerkingstool wordt omgezet in een middel voor geavanceerde social engineering-aanvallen.

De campagne is een evolutie van de TOAD (Telephone Oriented Attack Delivery)-aanvalstechniek, waarbij cloudgebaseerde systemen voor accountbeveiliging worden gecombineerd met traditionele telefoonfraude. Aanvallers maken valse Microsoft-entiteiten, zoals “Unified Workspace Team” en “CloudSync,” om het vertrouwen van hun doelwitten te winnen. De slachtoffers ontvangen uitnodigingen via e-mail, die afkomstig lijken van het legitieme Microsoft-adres "invites@microsoft.com," en bevatten valse betalingsinformatie, zoals transactiebedragen en klant-ID's.

De aanvallers vragen de ontvangers van de uitnodigingen om contact op te nemen met een telefoonnummer dat wordt gepresenteerd als Microsoft Billing Support. Dit nummer leidt echter direct naar de aanvallers, die vervolgens proberen inloggegevens te stelen en accounts over te nemen. De aanval maakt gebruik van een ontwerpflaws in Microsoft Entra, waarbij het berichtveld in de gastgebruikeraansluitingen lange teksten toestaat, wat de traditionele beveiligingssystemen omzeilt.

Beveiligingsexperts raden aan om verdachte uitnodigingen snel te herkennen door te zoeken naar specifieke aanwijzingen in de e-maillogs, zoals de afzender “invites@microsoft.com” en verdachte domeinnamen van aanvallers. Organisaties kunnen verdere schade beperken door telefoonnummerblokkades in te stellen en gebruikers te waarschuwen over het verifiëren van Microsoft-communicatie via officiële kanalen.

Bron 1

Een recente malwarecampagne op het npm-platform maakt gebruik van de Adspect-cloakingtechniek om slachtoffers te misleiden en hen om te leiden naar crypto-gerelateerde scamwebsites. De kwaadwillende npm-pakketten zijn ontworpen om een valse CAPTCHA weer te geven en de bezoeker te identificeren op basis van fingerprinting, waarbij potentiële slachtoffers naar de schadelijke sites worden geleid. Als een bezoeker geen onderzoeker is, wordt hij doorgestuurd naar een phishingwebsite die zich voordoet als een legitieme crypto-exchange.

De betrokken malware wordt verspreid via verschillende npm-pakketten, waaronder "signals-embed", "dsidospsodlks" en "integrator-filescrypt2025". De kwaadaardige software maakt gebruik van Adspect-cloaking om te verbergen voor beveiligingsonderzoekers door alleen kwaadaardige inhoud te tonen aan de echte slachtoffers. Als een slachtoffer wordt gedetecteerd, wordt een nep-CAPTCHA gepresenteerd, waarna de bezoeker wordt doorgestuurd naar een crypto-website die mogelijk is ontworpen om persoonlijke gegevens of cryptocurrency van het slachtoffer te stelen.

Wat deze aanval bijzonder maakt, is de manier waarop de Adspect-cloakingtechniek wordt ingezet binnen de npm-supply chain. De gebruikte techniek maakt het mogelijk om verkeersstromen te maskeren, waarbij beveiligingsonderzoekers worden omgeleid naar een lege of onschuldige pagina, terwijl slachtoffers gericht naar de schadelijke bestemming worden gestuurd. Door het gebruik van valse CAPTCHA's en dynamische redirects kan de aanvaller frequent nieuwe schadelijke URL's genereren zonder dat de pakketten opnieuw gepubliceerd hoeven te worden. Dit maakt het moeilijker voor beveiligingsmaatregelen om de aanval proactief te stoppen.

Deze campagne illustreert hoe kwaadaardige actoren het open-source ecosysteem kunnen misbruiken voor het uitvoeren van geavanceerde aanvallen via supply-chain compromissen. Door de inzet van Adspect-cloaking kunnen zij hun malafide activiteiten verbergen en schade aanrichten zonder snel opgemerkt te worden. Het gebruik van valse crypto-exchange-merken helpt bovendien de geloofwaardigheid van de aanval te vergroten, waardoor de kans dat slachtoffers trappen in de val groter wordt.

Bron 1

Op 17 november 2025 meldde Microsoft dat zijn Azure-netwerk was getroffen door een enorme DDoS-aanval van maar liefst 15,72 terabit per seconde (Tbps), uitgevoerd door het Aisuru-botnet. De aanval werd uitgevoerd vanaf meer dan 500.000 IP-adressen en maakte gebruik van extreem hoge UDP-stromen. Deze stroom was gericht op een specifiek publiek IP-adres in Australië en bereikte bijna 3,64 miljard pakketten per seconde (bpps).

Het Aisuru-botnet is een Turbo Mirai-achtig botnet dat bekend staat om zijn recordbrekende DDoS-aanvallen. Het botnet maakt gebruik van gecompromitteerde IoT-apparaten, zoals routers en camera's, voornamelijk in de Verenigde Staten en andere landen. De recente aanval werd gekarakteriseerd door plotselinge UDP-bursts met minimale bronspoofing en het gebruik van willekeurige bronpoorten, wat de opsporing vereenvoudigde en de handhaving door providers vergemakkelijkte.

Eerder dit jaar, in september 2025, werd hetzelfde botnet verantwoordelijk gehouden voor een DDoS-aanval van 22,2 Tbps, die een recordaantal van 10,6 miljard pakketten per seconde bereikte. Ondanks de enorme kracht van deze aanvallen, kon Azure de aanval snel neutraliseren, zonder langdurige gevolgen voor de service.

Aisuru’s operaties omvatten niet alleen DDoS-aanvallen, maar ook pogingen om de DNS-diensten van Cloudflare te verstoren door via kwaadaardige query-verzoeken de populariteit van zijn eigen domeinen te verhogen. Dit gedrag leidde tot een verstoring van het domeinrangschikkingssysteem van Cloudflare, dat daarop besloot verdachte domeinen te verwijderen om verdere schade te voorkomen.

Microsoft en Cloudflare blijven waakzaam tegenover deze nieuwe generatie botnets, die de grens van traditionele DDoS-aanvallen verleggen en nieuwe uitdagingen presenteren voor het beschermen van kritieke infrastructuren.

Bron 1

Op 17 november 2025 werd bekend dat er een 0-day kwetsbaarheid is ontdekt in een door Microsoft ondertekende driver, die mogelijk wordt misbruikt om Endpoint Detection and Response (EDR) en Extended Detection and Response (XDR) systemen te omzeilen. Deze driver zou op verschillende darkwebmarkten beschikbaar zijn, wat een verhoogd risico vormt voor organisaties die afhankelijk zijn van deze beveiligingssystemen.

De kwetsbaarheid stelt aanvallers in staat om de beveiligingsmechanismen van EDR- en XDR-oplossingen te omzeilen, waardoor ze onopgemerkt toegang kunnen krijgen tot netwerken. Het gebruik van een legitieme, door Microsoft goedgekeurde driver maakt het moeilijker voor traditionele beveiligingssystemen om de aanval te detecteren, wat de dreiging vergroot.

Omdat het gaat om een 0-day kwetsbaarheid, is er op dit moment geen patch beschikbaar om het probleem te verhelpen. Dit onderstreept het belang voor organisaties om proactief te blijven in hun beveiligingsmaatregelen en alert te zijn op potentiële misbruikscenario’s van dergelijke kwetsbaarheden.

Screenshot

Pig-butchering fraude, een van de meest schadelijke vormen van cybercriminaliteit, heeft zich op wereldwijde schaal uitgebreid en veroorzaakt jaarlijks miljarden dollars aan schade. Deze langdurige beleggingsfraudes draaien om het opbouwen van vertrouwen via emotionele manipulatie en valse handelsplatformen, waarna de slachtoffers hun levensspaargeld verliezen.

Tegenwoordig opereren de fraudeurs op industriële schaal, waarbij criminele netwerken gebruik maken van geavanceerde technologieën om hun bereik te vergroten en het succes van hun operaties te verbeteren. Een opvallend kenmerk van moderne pig-butchering operaties is het gebruik van kunstmatige intelligentie (AI) om geloofwaardige valse identiteiten te creëren en om meerdere gesprekken met slachtoffers gelijktijdig te onderhouden. Scammers maken gebruik van door AI gegenereerde foto's om overtuigende online profielen te maken, waardoor het voor slachtoffers vrijwel onmogelijk wordt om nep-profielen te herkennen.

De AI-tools die worden ingezet, kunnen realistische afbeeldingen van niet-bestaande personen creëren, compleet met verschillende poses en achtergronden. Dit helpt de fraudeurs om betrouwbaar over te komen op datingapps en sociale-mediaplatforms. De technologie stelt hen in staat om snel en op grote schaal geloofwaardige profielen te maken die een basis visuele inspectie door potentiële slachtoffers doorstaan.

Volgens onderzoekers van Cyfirma vertrouwen criminele netwerken steeds meer op AI-ondersteunde identiteitsfabricage en geautomatiseerde berichtgeneratie om hun operaties op te schalen. Deze technologie maakt het mogelijk om grote aantallen slachtoffers gelijktijdig te benaderen, terwijl de operationele continuïteit wordt gewaarborgd, zelfs wanneer individuele accounts of domeinen geblokkeerd worden.

De technische infrastructuur die deze fraude ondersteunt, omvat geavanceerde back-end systemen die gebruik maken van klantrelatiebeheertools (CRM) om het gedrag van slachtoffers te volgen en waardevolle doelwitten te identificeren. Deze systemen voeren automatisering uit voor het onboarden van nieuwe slachtoffers, het afhandelen van de eerste gesprekken en het genereren van geloofwaardige financiële rapportages op valse handelsplatformen.

Wanneer slachtoffers proberen geld op te nemen, worden geautomatiseerde barrières zoals verificatiekosten of belastingbetalingen geactiveerd, waardoor de slachtoffers nog meer geld kwijtraken voordat de fraude uiteindelijk in elkaar stort.

Bron 1

Yurei ransomware, een nieuwe dreiging op het gebied van ransomware, werd voor het eerst openbaar geïdentificeerd in september 2025. Deze Go-gebaseerde malware volgt een typisch ransomware-operatiemodel door bedrijfsnetwerken binnen te dringen, belangrijke gegevens te versleutelen, back-ups te verwijderen en losgeld te eisen voor de gestolen informatie. De groep achter de aanval opereert via een gespecialiseerde dark web-site waar ze slachtoffers benaderen en de betalingsvoorwaarden bespreken op basis van de financiële situatie van het doelwit.

Bekende slachtoffers van de Yurei-aanvallen bevinden zich in Sri Lanka en Nigeria, met voornamelijk getroffen sectoren zoals transport en logistiek, IT-software, marketing en reclame, en de voedsel- en drankindustrie. In tegenstelling tot veel moderne ransomware-operaties is er geen duidelijk bewijs dat Yurei samenwerkt met andere cybercriminaliteitsgroepen of gebruikmaakt van Ransomware-as-a-Service (RaaS)-modellen.

De dreigingsactoren stellen de losgeldbetalingen vast op basis van een case-by-case analyse van de financiële situatie van het slachtoffer, hoewel de exacte bedragen nog niet openbaar zijn gemaakt. Onderzoekers van ASEC hebben ontdekt dat Yurei ransomware zich onderscheidt door een geavanceerde encryptiemethode. De malware maakt gebruik van het ChaCha20-Poly1305-algoritme voor bestandversleuteling, waarbij een 32-byte sleutel en een 24-byte nonce als willekeurige waarden worden gegenereerd. Deze sleutels worden vervolgens beschermd door de secp256k1-ECIES-methode met een ingebedde publieke sleutel, zodat alleen de dreigingsactor met de overeenkomstige privésleutel de bestanden kan ontsleutelen.

De encryptie begint met Yurei die het geïnfecteerde systeem scant om alle beschikbare schijven en mogelijke versleutelingdoelen te identificeren. Kritieke systeemdirectory's zoals Windows, System32 en Program Files worden doelbewust uitgesloten om volledige systeemstoringen te voorkomen. Bestanden met extensies zoals .sys, .exe, .dll en .Yurei (de eigen versleutelde bestandsmarker) worden ook overgeslagen om herhaalde versleuteling te voorkomen. De versleuteling van bestanden gebeurt in blokken van 64 KB, waarbij de versleutelde sleutel en nonce aan het begin van elk bestand worden opgeslagen met de "||"-scheidingsteken.

De ransom note, opgeslagen als "_README_Yurei.txt", dreigt met het verwijderen van de ontsleutelsleutel en het lekken van gestolen gegevens, waaronder databases, financiële documenten en persoonlijke informatie, op het dark web als het slachtoffer niet binnen vijf dagen reageert.

Bron 1

Een nieuw en geavanceerd cybercrimineel netwerk, bekend als Payroll Pirates, heeft sinds medio 2023 wereldwijd doelwitten aangevallen. Het netwerk richt zich voornamelijk op salarisadministraties, kredietunies en handelsplatformen, met als doel het stelen van inloggegevens van werknemers en het omleiden van salarisbetalingen naar de bankrekeningen van de aanvallers. De criminele groep maakt gebruik van malvertising, waarbij valse advertenties verschijnen op zoekmachines die gebruikers naar phishingwebsites lokken.

Wanneer werknemers hun inloggegevens invoeren op deze nep-websites, worden de gegevens direct naar de aanvallers gestuurd. Door deze tactiek heeft het netwerk inmiddels meer dan 200 platforms aangevallen en meer dan 500.000 gebruikers getroffen. De aanvallen begonnen met Google Ads, die valse links naar payroll websites promootten. Gebruikers die hun bedrijfspagina zochten, werden via gesponsorde advertenties naar phishingwebsites geleid die identiek waren aan de legitieme inlogpagina’s.

In juni 2024 werd het netwerk opnieuw actief, met verbeterde tools die in staat waren om twee-factor-authenticatie te omzeilen. Dit werd mogelijk gemaakt door real-time interactie via Telegram-bots, die slachtoffers vroegen om verificatiecodes zodra ze hun wachtwoord hadden ingevoerd. De aanvallers gebruikten hierbij verborgen PHP-scripts die de gestolen gegevens zonder detectie naar de aanvallers stuurden.

Het gevaar van deze operaties ligt in de snelheid en verfijning waarmee de aanvallers werken. Zodra een slachtoffer zijn inloggegevens invoert, worden deze onmiddellijk naar de criminelen gestuurd, die via een Telegram-bot in real-time verder communiceren met de slachtoffers om extra informatie te verkrijgen, zoals beveiligingscodes en antwoorden op beveiligingsvragen. Dit maakt het voor de slachtoffers bijna onmogelijk om te herkennen dat ze het slachtoffer zijn van een aanval voordat het te laat is.

Bron 1

Xanthorox is een nieuwe, verontrustende AI-tool die snel verspreid is binnen de darknet gemeenschappen en wordt gebruikt voor het creëren van schadelijke code op aanvraag. Dit platform, dat wordt vergeleken met reguliere chatbots zoals ChatGPT, mist de veiligheidsbeperkingen die doorgaans dergelijke systemen beschermen. Het werd in oktober 2024 voor het eerst geïntroduceerd op een privé Telegram-kanaal en breidde zich al snel uit naar diverse darknet-forums, waar het sindsdien aan populariteit wint.

Xanthorox is niet zomaar een tool voor ethisch hacken, zoals de maker beweert, maar heeft veel geavanceerdere capaciteiten die het gevaarlijk maken voor de cybersecuritygemeenschap. De tool kan eenvoudig door gebruikers worden aangestuurd met tekstinstructies om malware en ransomware te genereren. Dit maakt het mogelijk voor zelfs technisch minder onderlegde individuen om geavanceerde schadelijke software te ontwikkelen. Een bijzonder zorgwekkende functie van Xanthorox is de "Agentex"-versie, waarbij gebruikers eenvoudig opdrachten kunnen geven zoals "geef me ransomware die dit doet", waarna de tool automatisch werkende uitvoerbare code genereert op basis van deze input.

Het platform biedt een maandelijks abonnement voor $300 en een jaarlijks abonnement voor $2.500, met betalingen die uitsluitend via cryptocurrency worden uitgevoerd, wat het moeilijk maakt om de identiteit van de gebruikers en ontwikkelaars te traceren. De tool is volledig zelfvoorzienend en draait op specifieke servers, wat het moeilijk maakt voor onderzoekers om het systeem te stoppen of te controleren.

Onderzoekers van Trend Micro ontdekten dat Xanthorox goed gecommentarieerde, functionele code produceert die klaar is voor gebruik of als basis kan dienen voor complexere aanvallen. Het gegenereerde malware kan verschillende programmeertalen gebruiken, zoals C/C++ en JavaScript, en heeft de capaciteit om encryptie en obfuscatie toe te passen. Dit maakt het moeilijk voor beveiligingssystemen om de code te detecteren en te neutraliseren. Ondanks deze geavanceerde functionaliteit, heeft de tool beperkingen. Zo kan Xanthorox niet in real-time gegevens van het internet of het dark web ophalen, wat zijn nut voor verkenning of gegevensverzameling beperkt.

Deze ontdekking benadrukt de potentiële dreiging die Xanthorox vormt voor zowel individuen als organisaties. Hoewel de maker van de tool beweert dat het bedoeld is voor penetratietesten, blijkt uit het gebruik en de functionaliteit van het platform dat het voornamelijk wordt ingezet voor het ontwikkelen van schadelijke software. De impact van deze tool op de bredere cyberbeveiligingsgemeenschap is groot, aangezien het de toegang tot geavanceerde aanvalsmethoden vergemakkelijkt voor kwaadwillende actoren.

Bron 1

Lynx ransomware vormt een steeds grotere bedreiging voor bedrijfsnetwerken, waarbij een toenemende focus ligt op zowel datadiefstal als de vernietiging van infrastructuur. De aanvalsmethoden die worden ingezet zijn steeds geavanceerder, waarbij aanvallers zich niet alleen richten op het versleutelen van bestanden, maar ook zorgvuldig de netwerkomgeving analyseren en kwetsbaarheden benutten voordat de ransomware daadwerkelijk wordt ingezet.

Een recente aanvalsgolf heeft aangetoond hoe aanvallers misbruik maken van gecompromitteerde Remote Desktop Protocol (RDP)-inloggegevens. Deze gegevens zijn vaak het resultaat van malware-infecties, datalekken of het werk van zogenaamde initial access brokers. Wat deze aanvallen onderscheidt van andere is de uitgebreide voorbereidingstijd die de aanvallers nemen voordat ze de ransomware daadwerkelijk verspreiden. In plaats van direct over te gaan tot encryptie van systemen, besteden de aanvallers dagen aan het onderzoeken van het netwerk, het creëren van backdoors en het identificeren van waardevolle doelwitten.

De aanvallers maken gebruik van een methode waarbij ze na de initiële toegang, die vaak plaatsvindt via een geldige RDP-verbinding, in korte tijd zich lateraal binnen het netwerk bewegen. Dit gebeurt bijvoorbeeld via een ander gecompromitteerd administrateuraccount, waarmee ze de controle over de netwerkstructuur kunnen verkrijgen. De aanvallers installeerden ook remote access software, zoals AnyDesk, om hun aanwezigheid te behouden, zelfs wanneer oorspronkelijke toegangspunten worden ontdekt.

Een zorgwekkend aspect van deze aanval is de vernietiging van back-ups voordat de ransomware wordt uitgerold. Nadat de aanvallers gegevens hadden verzameld en voorbereid voor de dubbele extortie, verwijderden ze systematisch alle back-upbestanden. Dit vergroot de impact van de ransomware aanzienlijk, omdat de getroffen organisaties niet meer kunnen terugvallen op hun back-upsystemen om de versleutelde gegevens te herstellen. Het proces van gegevensdiefstal en de daaropvolgende vernietiging van back-ups verhoogt de druk op slachtoffers om het geëiste losgeld te betalen, aangezien alternatieve herstelopties niet meer beschikbaar zijn.

De tijdlijn van de aanval toont een gedegen planning van de aanvallers, waarbij het aanvallen van back-ups en het voorbereiden van de ransomware-infectie ruim een week in beslag nam. De uiteindelijke encryptie van systemen en servers vond pas plaats nadat het netwerk grondig was geanalyseerd, wat de effectiviteit van de aanval vergrootte. Deze campagne benadrukt de noodzaak voor organisaties om niet alleen te focussen op het beschermen van netwerken tegen directe aanvallen, maar ook om robuuste back-upstrategieën te implementeren die bestand zijn tegen ransomware-aanvallen.

Bron 1

Remcos, een commercieel verkrijgbare remote access tool (RAT), die oorspronkelijk werd gepromoot als administratieve software, wordt momenteel actief misbruikt door cybercriminelen. Deze malware stelt aanvallers in staat om op afstand commando's uit te voeren, bestanden te stelen, schermen vast te leggen, toetsaanslagen te loggen en gebruikersreferenties te verzamelen via command-and-control (C2)-servers, die gebruik maken van HTTP- of HTTPS-protocollen. Ondanks dat het als legitieme software wordt gepositioneerd met zowel gratis als betaalde versies, worden ongeautoriseerde exemplaren op grote schaal gebruikt voor datadiefstal en ongeoorloofde toegang tot systemen.

De verspreiding van Remcos vindt voornamelijk plaats via e-mailcampagnes die kwaadaardige bijlagen bevatten, evenals via bestanden die worden gehost op gecompromitteerde websites. Daarnaast gebruiken aanvallers gespecialiseerde loaders zoals GuLoader en Reverse Loader om Remcos als een tweede payload te leveren, waarmee ze initiële detectiesystemen kunnen omzeilen. Zodra de malware is geïnstalleerd, vestigt deze persistentie en houdt continu contact met de C2-infrastructuur, waardoor een betrouwbare achterdeur wordt gecreëerd voor doorlopende aanvallen.

Beveiligingsanalisten van Censys hebben tussen 14 oktober en 14 november 2025 meer dan 150 actieve Remcos C2-servers wereldwijd gedetecteerd, wat duidt op de wijdverspreide adoptie van dit gereedschap door aanvallers. De meeste van deze servers opereerden op poort 2404, de standaardpoort voor Remcos, maar er werd ook activiteit waargenomen op andere poorten zoals 5000, 5060, 5061, 8268 en 8808, wat aangeeft dat operators flexibel zijn in hun implementatiestrategieën.

De communicatie tussen de malware en de C2-servers vindt doorgaans plaats via HTTP en HTTPS op voorspelbare poorten. Het netwerkverkeer bevat vaak gecodeerde POST-verzoeken en ongewone TLS-configuraties die karakteristieke patronen creëren. De aanvallers hergebruiken vaak certificaten over meerdere servers, maken gebruik van sjablonen en gebruiken goedkope hostingproviders in landen zoals de Verenigde Staten, Nederland en Duitsland. Deze infrastructuur maakt het voor netwerkbeheerders mogelijk om communicatie te detecteren en te blokkeren.

De persistentie van de malware wordt gehandhaafd via geplande taken en registerinstellingen, wat de aanvallers in staat stelt om toegang te behouden, zelfs na een herstart van het systeem. Deze combinatie van commando-uitvoering, bestandsoverdracht en robuuste persistentie maakt Remcos bijzonder gevaarlijk voor organisaties met zwakke beveiligingsmaatregelen, waardoor het essentieel is om netwerkmonitoring en endpointdetectie onmiddellijk te implementeren.

Bron 1

Cybersecurityonderzoekers hebben gedetailleerde informatie gedeeld over een mislukte cyberaanval op een vastgoedbedrijf in de Verenigde Staten, waarbij het Tuoni C2-framework werd gebruikt. Dit relatief nieuwe command-and-control (C2) systeem, dat sinds begin 2024 beschikbaar is, werd in de aanval ingezet om stealthy, in-memory payloads te leveren. Tuoni is oorspronkelijk bedoeld voor beveiligingsprofessionals voor penetratietests en red teaming, en is beschikbaar in een gratis versie via GitHub.

De aanval vond plaats in oktober 2025 en werd vermoedelijk opgestart door middel van sociale manipulatie, waarbij de aanvallers zich via Microsoft Teams voordeden als vertrouwde leveranciers of collega's om toegang te krijgen. Het slachtoffer werd misleid om een PowerShell-opdracht uit te voeren, die vervolgens een tweede PowerShell-script ophaalde van een externe server. Dit script gebruikte steganografische technieken om een payload te verbergen binnen een bitmapafbeelding (BMP). Het uiteindelijke doel van de ingebedde payload was het uitvoeren van shellcode in het geheugen van het systeem.

De uitvoering van de payload resulteerde in het activeren van een agent, de "TuoniAgent.dll", die verbinding maakte met de C2-server en remote control mogelijk maakte. Het framework zelf is complex, maar de aanvallers gebruikten een geavanceerd maar traditionele C2-aanvalsmethode. Onderzoekers vermoeden dat AI-tools een rol speelden in de ontwikkeling van de aanvallen, gezien de gescripte commentaren en de modulaire structuur van de eerste loader.

Hoewel de aanval uiteindelijk niet succesvol was, toont het incident aan hoe geavanceerde red teaming-tools voor kwaadaardige doeleinden kunnen worden misbruikt. Eerder dit jaar werd in een ander onderzoek ook het gebruik van AI-gebaseerde hulpmiddelen voor het versnellen van kwetsbaarheidsuitbuitingen besproken. De voortdurende dreiging van dergelijke geavanceerde aanvallen benadrukt de noodzaak van voortdurende waakzaamheid in de cybersecuritysector.

Bron 1, 2

Een groep aanvallers heeft besmette software-updates verspreid via gehackte routers, waarbij zowel organisaties als individuele gebruikers doelwit waren. Dit meldt antivirusbedrijf ESET na een grondige analyse. De aanvallers maken gebruik van de zogenaamde advanced persistent threat (APT) PlushDaemon, die wereldwijd slachtoffers heeft gemaakt, waaronder in de Verenigde Staten, Taiwan, China, Hong Kong, Nieuw-Zeeland en Cambodja.

De aanval begint met het compromitteren van netwerkapparatuur, zoals routers, die door de aanvallers worden overgenomen. Hoe deze apparaten precies worden gehackt, is nog niet bekend, maar ESET vermoedt dat kwetsbaarheden of zwakke wachtwoorden hierbij een rol spelen. Eenmaal in controle van het apparaat installeren de aanvallers malware, die het verkeer van de doelwitten omleidt naar een eigen DNS-server. Deze server controleert vervolgens of de DNS-verzoeken van de doelwitten betrekking hebben op software-updates.

Wanneer het doelwit via HTTP op zoek gaat naar software-updates, kunnen de aanvallers deze communicatie onderscheppen en een vervalste update aanbieden. Als de gebruiker deze update uitvoert, wordt het systeem geïnfecteerd met malware. Onder de slachtoffers bevinden zich ook gebruikers van de populaire Chinese keyboard-app Sogou. Het doel van de aanvallers lijkt primair gericht op spionage.

Bron 1

Een nieuwe wereldwijde aanvalscampagne, ShadowRay 2.0, heeft als doel Ray-clusters die via een oude kwetsbaarheid op het internet toegankelijk zijn. De aanvallers misbruiken een zwakte in de code van het Ray-framework, ontwikkeld door Anyscale, en zetten deze om in een zelf-propaganderend cryptomining-botnet. Het Ray-framework wordt veel gebruikt om kunstmatige-intelligentie (AI) en Python-applicaties te schalen in gedistribueerde systemen die zijn georganiseerd in clusters, of hoofdknopen.

Onderzoekers van het beveiligingsbedrijf Oligo hebben ontdekt dat de dreigingsactor, aangeduid als IronErn440, gebruik maakt van AI-gegenereerde payloads om de kwetsbare Ray-infrastructuur te compromitteren. De aanvallen richten zich op systemen die zonder authenticatie bereikbaar zijn via de openbare internetverbinding. De aanvallers zetten de Ray-clusters niet alleen in voor cryptomining, maar stelen ook data en inloggegevens en voeren DDoS-aanvallen uit.

De ShadowRay 2.0-campagne maakt gebruik van de kwetsbaarheid CVE-2023-48022, die al in de eerdere ShadowRay-campagne van 2023 werd uitgebuit. Hoewel er nog steeds geen oplossing is voor deze beveiligingsflaw, blijft het aantal kwetsbare Ray-servers op het internet enorm groeien. Oligo constateerde recent twee aanvalsgolven, waarvan de eerste via GitLab plaatsvond en eindigde op 5 november, en de tweede via GitHub die op 17 november begon.

De payloads die in deze aanvallen worden gebruikt, worden gegenereerd met behulp van grote taalmodellen, een techniek die goed zichtbaar is in de code en foutafhandelingspatronen. De aanvallers controleren de beschikbare CPU- en GPU-middelen en maken gebruik van het cryptominingprogramma XMRig om Monero te minen. De malware is zo geconfigureerd dat deze zijn activiteiten verbergt, bijvoorbeeld door valse procesnamen zoals ‘dns-filter’ te gebruiken en zijn invloed te verspreiden via cronjobs en systeeminstellingen.

Naast het cryptominen opent de malware Python reverse shells naar de infrastructuur van de aanvaller voor interactief beheer, waardoor toegang wordt verkregen tot gevoelige gegevens zoals MySQL-wachtwoorden en AI-modellen die op de server zijn opgeslagen. Ook kan de malware DDoS-aanvallen uitvoeren met behulp van de Sockstress-tool.

Omdat er geen patch beschikbaar is voor de kwetsbaarheid in CVE-2023-48022, wordt gebruikers van Ray aangeraden om hun clusters te beschermen door het implementeren van de best practices van de leverancier. Dit omvat het beperken van ongeautoriseerde toegang door middel van firewallregels, het implementeren van extra autorisatie op het Ray-dashboard en het continu monitoren van AI-clusters om afwijkende activiteiten tijdig te detecteren.

Bron 1, 2

De malware cybercriminelen achter de Phishing-as-a-Service (PhaaS)-kit genaamd Sneaky 2FA hebben een nieuwe functie toegevoegd aan hun toolkit: de Browser-in-the-Browser (BitB)-techniek. Deze ontwikkeling maakt het voor cybercriminelen eenvoudiger om massale phishingaanvallen uit te voeren, zelfs door minder ervaren aanvallers. BitB maakt het mogelijk om valse browservensters te creëren die eruitzien als inlogpagina’s van legitieme diensten, wat het voor slachtoffers moeilijk maakt om verdachte URLs te identificeren.

BitB werd voor het eerst gedocumenteerd in 2022 door beveiligingsonderzoeker mr.d0x, die aantoonde hoe HTML- en CSS-code gebruikt kunnen worden om een browservenster na te maken dat lijkt op een pop-up inlogformulier. Dit venster toont een legitieme URL, zoals die van Microsoft, waardoor slachtoffers in de veronderstelling verkeren dat ze hun gegevens invoeren op een authentieke inlogpagina, terwijl ze in werkelijkheid op een phishingpagina terechtkomen.

In een recent waargenomen aanval kwamen gebruikers die een verdachte URL bezochten, bijvoorbeeld "previewdoc[.]us", terecht op een Cloudflare Turnstile-check, bedoeld om bot-aanvallen tegen te gaan. Nadat de gebruiker deze controle had doorstaan, werd een valse inlogpagina geladen die leek op een Microsoft-loginformulier. Wanneer het slachtoffer zijn gegevens invoerde, werden deze direct naar de aanvallers verzonden, die hiermee het Microsoft-account konden overnemen.

De aanvallers maken daarnaast gebruik van geavanceerde technieken, zoals het snel wisselen van phishingdomeinen om detectie te vermijden en het toepassen van beveiligingsmaatregelen zoals CAPTCHA en Cloudflare Turnstile. Ze gebruiken ook voorwaardelijke laadtechnieken om ervoor te zorgen dat alleen de bedoelde slachtoffers toegang krijgen tot de phishingpagina’s, terwijl andere gebruikers naar onschuldige websites worden geleid.

De Sneaky 2FA-kit is ook ontworpen om de analyse van de phishingpagina’s te bemoeilijken. Zo worden bijvoorbeeld browserontwikkelaarstools uitgeschakeld en wordt de broncode versleuteld. Dit maakt het voor beveiligingsexperts moeilijker om de pagina’s snel te inspecteren en te blokkeren.

Deze aanvallen maken deel uit van een bredere trend waarbij cybercriminelen hun phishinginfrastructuur steeds verder professionaliseren, wat hen in staat stelt om geavanceerdere en moeilijker te detecteren aanvallen uit te voeren. Gebruikers moeten waakzaam blijven bij het openen van verdachte berichten of het installeren van browserextensies en organisaties kunnen overwegen om strikte toegangscontrolemaatregelen te implementeren om accountovernames te voorkomen.

Bron 1

In het derde kwartaal van 2025 werd een aanzienlijke toename van mobiele dreigingen gerapporteerd. De Kaspersky Security Network (KSN) legde de focus op de preventie van 47 miljoen aanvallen die gebruikmaakten van malware, adware of ongewenste mobiele software. Ondanks een lichte afname in het totale aantal aanvallen ten opzichte van het vorige kwartaal, bleef de dreiging van mobiele malware een belangrijk aandachtspunt.

Trojans bleken de meest voorkomende bedreiging, met 15,78% van de getroffen gebruikers die ermee geconfronteerd werden. De data onthult dat er meer dan 197.000 kwaadaardige installatiepakketten werden gedetecteerd, waarvan er 52.723 werden geassocieerd met mobiele banktrojans en 1564 pakketten met ransomwaretrojans.

Opmerkelijke bevindingen zijn onder andere een nieuwe versie van de BADBOX backdoor, die smartphones infecteerde via een kwaadaardige ingebouwde bibliotheek. Ook werd de Trojan-Downloader.AndroidOS.Agent.no gedetecteerd, die gebruik maakte van gemodificeerde apps om advertenties te manipuleren en de gebruiker onbedoeld in te zetten voor frauduleuze activiteiten.

In termen van regionale dreigingen blijkt dat de meeste aanvallen gericht waren op gebruikers in Turkije, India en Iran, met een opmerkelijke toename van ransomware-aanvallen in Duitsland. Het aantal gedetecteerde ransomware trojans nam meer dan twee keer toe, waarbij de Trojan-Ransom.AndroidOS.Rkor.ii de lijst aanvoerde.

Banking Trojans bleven een prominente dreiging, met de Mamont en Coper varianten die de grootste delen van de aanvallen vertegenwoordigden. De Mamont-varianten waren verantwoordelijk voor 61,85% van de aanvallen, maar Coper trojan varianten stegen in de ranglijst van getroffen gebruikers.

Deze statistieken benadrukken de toenemende dreiging van mobiele malware en ransomware, vooral gericht op banktransacties en gegevensdiefstal via apps. De bevindingen onderstrepen de noodzaak voor verbeterde bescherming tegen deze soorten dreigingen, met name voor gebruikers in risicogebieden.

Bron 1

Een recente update voor Windows 11 heeft een nieuw potentieel gevaar gecreëerd voor de gebruikersbeveiliging door de integratie van een AI-agent op de taakbalk. Deze zogenaamde "Ask Copilot" is ontworpen om gebruikers te helpen door toegang te bieden tot verschillende functies en gegevens. De AI-agent heeft echter persistent toegang tot verschillende systeemcontexten, bestanden en gebruikersacties, wat het voor aanvallers gemakkelijker maakt om misbruik te maken van de verzamelde gegevens. Door deze centralisatie van gegevens wordt de taakbalkagent een aantrekkelijk doelwit voor cybercriminelen, die gebruik kunnen maken van de vertrouwensrelatie tussen de gebruiker en de agent om gevoelige informatie te stelen.

Infostealers, die vroeger voornamelijk bestanden onderschepten, hebben hun werkwijze geëvolueerd naar wat nu bekend staat als "Agent Hijackers." In plaats van eenvoudige malware die wachtwoorden of bestanden steelt, kunnen aanvallers nu een Word-, Excel- of PDF-bestand maken met verborgen instructies voor de agent. Wanneer de gebruiker de agent aanroept om te helpen, bijvoorbeeld door te vragen om een document samen te vatten, kan de agent onbewust vertrouwelijke informatie zoals wachtwoorden, API-sleutels of zelfs cryptosleutels exfiltreren.

Deze nieuwe aanvalsmethoden maken gebruik van zogenaamde 'Cross-Prompt Injection' (XPIA), waarbij kwaadwillende inhoud in documenten of UI-elementen de instructies van de agent kan omzeilen. Dit biedt aanvallers een effectievere manier om toegang te krijgen tot systemen zonder dat de gebruiker zich hiervan bewust is. De mogelijkheid om sessie-informatie, bedrijfsgegevens of zelfs cryptowalletsleutels te stelen, maakt deze aanvallen aanzienlijk krachtiger dan traditionele aanvallen die enkel wachtwoorden stelen.

Het is duidelijk dat deze nieuwe aanvalsvector een risico vormt voor zowel individuele gebruikers als bedrijven, vooral gezien de verhoogde mate van toegang die de agent biedt tot het systeem van de gebruiker. In dit licht is het belangrijk dat zowel consumenten als organisaties zich bewust zijn van deze nieuwe dreiging en de potentieel verwoestende impact ervan.

Bron 1

Een misleidende browsercampagne heeft miljoenen gebruikers blootgesteld aan uitgebreide surveillance via ogenschijnlijk onschuldige VPN-extensies. Chrome-extensies, die werden gepromoot als 'gratis onbeperkte VPN'-diensten, verzamelden meer dan 9 miljoen installaties voordat de malware werd ontdekt, waarbij deze voor bijna zes jaar onopgemerkt bleef.

Deze extensies beloofden eenvoudige privacyoplossingen met een klik op de knop, maar boden precies het tegenovergestelde: volledige zichtbaarheid in het browsegedrag en netwerkverkeer van de gebruiker. De extensies fungeerden als op afstand bediende proxy-systemen in plaats van traditionele VPN's. Ze haalden verborgen configuratiebestanden op van door aanvallers gecontroleerde servers, pasten proxy-instellingen in realtime aan en onderschepten elke browsernavigatie.

Door het verkeer via ongeautoriseerde servers om te leiden, kregen de aanvallers toegang tot gevoelige informatie, zoals inloggegevens, financiële gegevens en persoonlijke browsepatronen. De campagne toont aan hoe eenvoudige machtigingen, in combinatie met minimale controle, legitiem ogende tools kunnen transformeren in surveillance-instrumenten.

Beveiligingsanalisten van LayerX Security identificeerden en documenteerden de campagne, waarbij twee hoofdlijnen van de extensies werden ontdekt die actief waren van 2019 tot mei 2025. Na het verwijderen van deze extensies verscheen er echter al snel een vrijwel identieke versie, wat suggereert dat de operators vastbesloten bleven hun aanvalsinfrastructuur te handhaven.

In de versie van 2025 werden geavanceerde technieken gebruikt om detectie te vermijden, zoals vertragingen van twee seconden voordat de proxy werd geactiveerd, wat bedoeld was om analyses door sandbox-tools te omzeilen. De extensie controleerde op concurrerende proxytools en schakelde deze volledig uit, zodat het volledige verkeer van de gebruiker werd gecontroleerd. Dit maakte het mogelijk voor de aanvallers om de gebruikers naar phishing-pagina's of advertentiefarma's om te leiden zonder dat de gebruiker ingreep.

Deze ontdekking benadrukt kritieke beveiligingslekken in de architectuur van browserextensies, waarbij de uitgebreide machtigingen die aan extensies worden verleend niet voldoende runtime-controle bevatten. Dit stelt aanvallers in staat om op afstand volledige controle over de browsers van slachtoffers over te nemen en gevoelige gegevens te stelen.

Bron 1

Duizenden end-of-life Asus-routers zijn gekaapt door cybercriminelen door gebruik te maken van bekende kwetsbaarheden in de AiCloud-service. Deze service stelt gebruikers in staat om vanaf het internet toegang te krijgen tot lokale bestanden op apparaten die met de Asus-routers zijn verbonden. Onderzoekers van het cybersecuritybedrijf Security Scorecard hebben vastgesteld dat aanvallers gebruikmaken van zes verschillende kwetsbaarheden, waarvan vier al twee jaar oud zijn. De meeste van de gecompromitteerde routers zijn end-of-life en ontvangen geen beveiligingsupdates meer van Asus, wat hen extra kwetsbaar maakt voor dergelijke aanvallen.

De aanvallen richten zich met name op routers in landen zoals Taiwan, Rusland, Europa en de Verenigde Staten, waarbij onderzoekers ongeveer vijftigduizend besmette IP-adressen hebben waargenomen. Er wordt vermoed dat de gecompromitteerde routers worden gebruikt als zogenaamde Operational Relay Boxes (ORB), waarmee aanvallers hun verkeer kunnen omleiden. Dit maakt het moeilijker om hun activiteiten te detecteren en biedt hen bijvoorbeeld de mogelijkheid om lokale IP-adressen te verkrijgen of aanvallen te verbergen.

Asus heeft updates uitgebracht voor de kwetsbaarheden die zijn ontdekt in hun AiCloud-service, maar de meeste getroffen routers ontvangen deze updates niet meer omdat ze niet langer ondersteund worden. Het gebruik van end-of-life routers zonder ondersteuning vormt dus een significant risico voor zowel consumenten als bedrijven die dergelijke apparaten in hun netwerken gebruiken.

Download (pdf)

Een in ontwikkeling zijnde versie van het ransomware-as-a-service platform, genaamd ShinySp1d3r, is onlangs opgedoken en biedt een voorproefje van de aankomende extortiecampagne. Deze ransomware wordt ontwikkeld door de ShinyHunters-groep, bekend van eerdere aanvallen, en richt zich nu op het aanbieden van hun eigen encryptor voor gebruik door hun affiliates. De groep was voorheen afhankelijk van encryptoren van andere ransomwarebendes zoals ALPHV/BlackCat, Qilin, RansomHub en DragonForce, maar is nu bezig met het opzetten van een eigen operatie.

Het ShinySp1d3r platform heeft een encryptor die meerdere geavanceerde technieken gebruikt. Zo wordt de EtwEventWrite functie gemanipuleerd om te voorkomen dat gegevens in de Windows Event Viewer worden gelogd. De encryptor kan processen afsluiten die bestanden in gebruik hebben, en schrijft willekeurige gegevens in tijdelijke bestanden om verwijderde bestanden moeilijker herstelbaar te maken. Daarnaast maakt het gebruik van een aantal anti-analysemethoden, zoals het overschrijven van geheugenbuffers om forensisch onderzoek te bemoeilijken.

De ransomware maakt gebruik van de ChaCha20-encryptie-algoritme met een privé-sleutel die wordt beschermd door RSA-2048. Geëncrypteerde bestanden krijgen een unieke extensie en elke map op het besmette systeem bevat een losgeldbericht met instructies voor de slachtoffers, inclusief een TOX-adres voor communicatie. Het bericht benadrukt dat slachtoffers binnen drie dagen moeten beginnen met onderhandelingen, voordat de aanval openbaar wordt gemaakt via een datalekwebsite op Tor.

Het platform wordt onder de naam "Scattered LAPSUS$ Hunters" gepromoot, wat de samenwerking tussen de ShinyHunters, Lapsus$ en Scattered Spider groepen benadrukt. In tegenstelling tot veel andere ransomware-groepen, claimt ShinyHunters dat bepaalde sectoren, zoals de gezondheidszorg, niet aangevallen zullen worden, hoewel dergelijke beloften in het verleden vaak werden geschonden.

De groep is ook van plan om een geoptimaliseerde "lightning" versie te ontwikkelen, die gericht is op snelheid en eenvoud, en een versnelde versie voor Linux en ESXi te lanceren. De ShinySp1d3r ransomware is nog steeds in de ontwikkelingsfase, maar de gelekte encryptor laat zien dat deze op de korte termijn een serieuze dreiging kan vormen voor organisaties wereldwijd.

Bron 1

De wereldwijde operatie WrtHug heeft duizenden verouderde ASUS WRT-routers gecompromitteerd door zes bekende kwetsbaarheden te exploiteren. De meeste getroffen apparaten bevinden zich in Taiwan, hoewel er ook infecties zijn vastgesteld in Zuidoost-Azië, Rusland, Centraal-Europa en de Verenigde Staten. De aanvallen hebben voornamelijk betrekking op routers die het einde van hun levenscyclus hebben bereikt of die niet meer worden ondersteund door de fabrikant.

De aanvallen maken gebruik van kwetsbaarheden zoals OS-commando-injecties, die door aanvallers worden benut om op afstand toegang te krijgen tot de routers. De kwetsbaarheden zijn onder andere geassocieerd met de AiCloud-service van ASUS, die in veel gevallen wordt misbruikt om een persistentie backdoor te installeren. In de meeste geïnfecteerde routers is een zelfondertekend TLS-certificaat aanwezig, dat in plaats van het standaard certificaat van ASUS is geïnstalleerd. Dit certificaat heeft een ongebruikelijk lange geldigheid van 100 jaar, wat opvalt bij onderzoekers en dient als indicator voor besmetting.

De kwetsbaarheden omvatten onder andere CVE-2023-41345 tot CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 en CVE-2025-2492, waarbij de laatste als de meest kritieke wordt beschouwd vanwege de mogelijkheid om ongeautoriseerde functies uit te voeren. De aanvallers hebben niet geprobeerd om de firmware van de getroffen routers bij te werken, wat betekent dat de apparaten vatbaar blijven voor verdere aanvallen van andere kwaadwillenden. ASUS heeft inmiddels beveiligingsupdates uitgebracht om deze kwetsbaarheden te verhelpen.

Onder de getroffen routermodellen bevinden zich onder andere de ASUS Wireless Router 4G-AC55U en 4G-AC860U, de RT-AC1200HP en de GT-AC5300. Gebruikers van deze apparaten wordt geadviseerd hun firmware bij te werken of, indien hun apparaat niet meer wordt ondersteund, het te vervangen of op zijn minst externe toegang uit te schakelen. Het is bekend dat sommige van de gecompromitteerde routers mogelijk worden gebruikt voor stealth relay nodes in hackoperaties, wat de impact van deze kwetsbaarheden vergroot.

Bron 1

Op de dark web-markt is een zero-day exploit voor Windows en Office aangemeld, die op afstand code-executie mogelijk maakt. De exploit wordt aangeboden voor een prijs van $300.000. Deze kwetsbaarheid is bijzonder gevaarlijk, omdat het aanvallers in staat stelt om systemen op afstand te compromitteren zonder dat de gebruiker enige actie hoeft te ondernemen. De prijs voor deze exploit komt voort uit de kracht en het potentieel van de aanval, die kan worden gebruikt om aanzienlijke schade aan te richten in netwerken en systemen.

De zero-day kwetsbaarheid betreft een ongedocumenteerde zwakte in de Windows- en Office-software die kan worden misbruikt voor het uitvoeren van kwaadaardige code zonder dat er een beveiligingspatch beschikbaar is. Aangezien deze kwetsbaarheid nu wordt aangeboden op het dark web, is het waarschijnlijk dat cybercriminelen deze exploit snel zullen gebruiken voor aanvallen, waaronder ransomwarecampagnes en gegevensdiefstal.

De verkoop van zulke exploits benadrukt het groeiende probleem van cybercriminaliteit op het dark web, waar kwetsbaarheden voor aanzienlijke bedragen verhandeld worden. Het verkrijgen van toegang tot deze informatie wordt steeds eenvoudiger, wat de noodzaak voor strengere beveiligingsmaatregelen vergroot. Gezien de potentie van de exploit om grote schade te veroorzaken, is het belangrijk dat gebruikers en organisaties snel reageren en bescherming zoeken tegen dergelijke kwetsbaarheden zodra een patch beschikbaar komt.

Cyberbeveiligingsonderzoekers hebben details bekendgemaakt over een nieuwe aanvalscampagne die gebruikmaakt van een combinatie van social engineering en WhatsApp-hijacking om de Delphi-gebaseerde banktrojan Eternidade Stealer te verspreiden. Deze aanvallen richten zich specifiek op gebruikers in Brazilië. De campagne maakt gebruik van de Internet Message Access Protocol (IMAP)-technologie om dynamisch commando- en controle-adressen (C2) op te halen, zodat de aanvallers hun C2-server kunnen bijwerken. Dit stelt hen in staat de aanval continu aan te passen en te verbeteren.

De aanval wordt uitgevoerd via een WhatsApp-wormcampagne, waarbij een Python-script wordt ingezet. Dit is een verschuiving van eerdere aanvallen die gebruikmaakten van PowerShell-scripts. Het Python-script maakt gebruik van WPPConnect, een open-source project, om geautomatiseerd berichten te versturen via gehackte WhatsApp-accounts. Bij deze aanpak wordt het volledige contactlijst van het slachtoffer verzameld, waarbij groepsberichten, zakelijke contacten en uitzendlijsten worden uitgesloten. De verzamelde informatie, inclusief telefoonnummer en naam van de contacten, wordt naar een server gestuurd die wordt gecontroleerd door de aanvaller. Vervolgens worden kwaadaardige bijlagen naar alle contacten gestuurd via de verstuurde berichten.

Het tweede deel van de aanval wordt uitgevoerd via een MSI-installatiebestand, dat gebruikmaakt van een AutoIt-script om te controleren of het geïnfecteerde systeem zich in Brazilië bevindt. Als het systeem zich niet in Brazilië bevindt, beëindigt de malware zichzelf. Deze hypergeolokaliseerde aanpak toont aan dat de aanvallers zich specifiek richten op Braziliaanse gebruikers.

Wanneer het slachtoffer een gerelateerd bankportaal of een cryptovaluta-wallet opent, wordt de malware geactiveerd en begint het met het stelen van inloggegevens en andere gevoelige informatie. De malware heeft de capaciteit om het systeem te monitoren, toetsaanslagen vast te leggen, schermafbeeldingen te maken en bestanden te stelen. Alle gegevens worden naar de C2-server gestuurd, waar ze door de aanvallers kunnen worden bekeken en geëxploiteerd.

Deze aanvallen maken gebruik van klassieke technieken die worden toegepast door banktrojanen, waarbij schadelijke componenten slechts worden geactiveerd wanneer de gebruiker zich bevindt in een relevante context, zoals het openen van een bank- of crypto-app. Dit maakt de aanval moeilijker te detecteren voor gebruikers of beveiligingssoftware in testomgevingen.

Het gebruik van Python in deze aanval wijst op een trend waarbij cybercriminelen zich steeds meer richten op het automatiseren van hun aanvallen via populaire communicatiemiddelen zoals WhatsApp. De aanvallers blijven de C2-infrastructuur bijwerken, waarbij zij verschillende methoden gebruiken om verbindingen te omzeilen en geofencing-beperkingen te handhaven, zoals blijkt uit de geanalyseerde communicatiegegevens.

Bron 1, 2, 3

De TamperedChef-malware maakt momenteel deel uit van een wereldwijde malvertisingcampagne die gebruikmaakt van vervalste software-installateurs om gebruikers te misleiden en kwaadwillige JavaScript-backdoors te installeren. Deze malware verspreidt zich via nep-installateurs die worden gepromoot via zoekmachineoptimalisatie (SEO) en malvertisingtechnieken, met als doel gebruikers te verleiden tot het downloaden van software die eigenlijk schadelijke code bevat.

De aanvallers benutten legitiem ogende certificaten die afkomstig zijn van bedrijven in de VS, Panama en Maleisië, om hun valse applicaties te ondertekenen. Dit verhoogt de kans dat de software door gebruikers wordt vertrouwd, waardoor de detectie door beveiligingssystemen wordt omzeild. De malware wordt vaak verspreid door middel van advertenties en zoekresultaten die leiden naar geïnfecteerde websites, waar gebruikers worden verleid om de vervalste software te downloaden.

Na installatie van de software wordt een JavaScript-backdoor geactiveerd, die een verbinding maakt met een externe server. Deze server ontvangt verschillende gegevens van het geïnfecteerde systeem, zoals sessie-ID's en machine-ID's, in een versleuteld formaat. Hoewel het exacte doel van de aanvallen onduidelijk blijft, wordt vermoed dat de aanvallers proberen toegang te verkrijgen voor advertentiefraude of gegevensdiefstal. Sectors zoals de gezondheidszorg, de bouw en de productie worden als bijzonder kwetsbaar beschouwd voor deze aanvallen, aangezien ze vaak technische hulpmiddelen gebruiken waarvoor online handleidingen nodig zijn, een gedragslijn die de aanvallers exploiteren.

De campagne blijkt nog steeds actief, en de aanvallers blijven nieuwe technieken ontwikkelen om hun activiteiten voort te zetten. Er zijn meldingen van infecties in landen zoals de VS, Israël, Spanje, Duitsland, India en Ierland, met een aanzienlijke concentratie van gevallen in de gezondheidszorg en de industrie. De continuïteit van de aanval wordt ondersteund door het gebruik van geautomatiseerde en zakelijke infrastructuren die het mogelijk maken snel nieuwe certificaten te verkrijgen en toe te passen.

Bron 1

Een nieuwe vorm van .NET-gebaseerde malware is opgedoken, die gebruik maakt van een geavanceerde methode om de beruchte Lokibot-trojaan te verbergen binnen afbeeldingsbestanden, zoals PNG- en BMP-bestanden. Deze malware maakt gebruik van steganografie, een techniek waarmee verborgen gegevens in ogenschijnlijk onschuldige bestanden worden ingevoegd. Hierdoor wordt het voor beveiligingssoftware veel moeilijker om de bedreiging te detecteren. Het systeem werkt als een loader die het Lokibot-payload uit de afbeeldingbestanden kan extraheren en uitvoeren.

De malware wordt vaak verspreid via phishing-e-mails of via websites die het initiële laadmechanisme hosten. Aangezien antivirussoftware en e-mailgateways vaak afbeeldingsbestanden als veilig beschouwen, worden deze bestanden vaak niet als een bedreiging gezien, wat ze kwetsbaar maakt voor misbruik door aanvallers. Zodra de malware wordt uitgevoerd, haalt deze de verborgen Lokibot-payloads op van externe servers.

De steganografische techniek maakt gebruik van de kleurkanalen van de afbeelding (RGB) om uitvoerbare code te coderen, terwijl de afbeelding zelf ogenschijnlijk ongewijzigd blijft. Dit maakt het lastig voor traditionele detectiemethoden, die normaal gesproken afhankelijk zijn van het identificeren van verdachte bestandskenmerken of gedragsindicatoren. De malware bevat bovendien een eigen decryptieroutine die de Lokibot-payload extra verbergt en de analyse vertraagt, wat het voor onderzoekers nog uitdagender maakt om de dreiging tijdig te ontdekken.

Zodra Lokibot succesvol is geïnstalleerd, fungeert het als een informatie-diefstalprogramma dat gevoelige gegevens steelt, zoals opgeslagen wachtwoorden, browsergeschiedenis en andere authenticatietokens. Dit maakt de malware bijzonder gevaarlijk voor bedrijfsomgevingen, waar werknemers toegang hebben tot meerdere cloudservices.

Deze geavanceerde aanvalsmethode benadrukt de toenemende complexiteit van cyberdreigingen en de voortdurende evolutie van aanvalstechnieken die gericht zijn op het omzeilen van traditionele beveiligingsmaatregelen. De voortdurende ontwikkeling van dergelijke malware vraagt om voortdurende aanpassingen in de detectie- en preventiemethoden van beveiligingssystemen om effectief te kunnen reageren op nieuwe vormen van cyberaanvallen.

Bron 1

Een nieuwe malwarecampagne heeft macOS-gebruikers in het vizier, met een specifiek doel: het stelen van gegevens van cryptocurrency-portemonnees. De malware, Nova Stealer genoemd, maakt gebruik van een slimme techniek waarbij legitieme cryptocurrency-applicaties worden vervangen door vervalste versies die bedoeld zijn om herstelzinnen van portemonnees te stelen.

Nova Stealer richt zich op populaire cryptocurrency-portemonnee-applicaties zoals Ledger Live, Trezor Suite en Exodus. Het aanvallende proces begint wanneer een onbekende dropper een script, genaamd mdriversinstall.sh, downloadt en uitvoert vanaf een command-and-controlserver. Dit script creëert een verborgen directory op het systeem en installeert verschillende componenten, waaronder een scriptmanager en launcher.

Een van de meest opvallende technieken van Nova Stealer is het vervangen van de legitieme applicaties door vervalste versies. Het malwarecomponent mdriversswaps.sh detecteert de aanwezigheid van toepassingen zoals Ledger Live en Trezor Suite op het systeem en verwijdert deze vervolgens. De vervalste applicaties worden gedownload van specifieke domeinen en geïnstalleerd op het systeem. Deze vervangingen gebruiken malafide Swift- en WebKit-code om phishingspagina's weer te geven die de slachtoffers ertoe aanzetten hun herstelzinnen in te voeren.

Wanneer de slachtoffers hun herstelwoorden invoeren, worden de gegevens onmiddellijk naar de command-and-controlserver gestuurd, waarmee de aanvallers de gegevens in realtime kunnen onderscheppen. De malware verzamelt daarnaast andere gevoelige gegevens zoals de configuratiebestanden van de portemonnee en systeeminformatie, die naar de server worden geüpload.

Nova Stealer maakt gebruik van een modulaire opzet, wat betekent dat het malware in verschillende delen kan downloaden om de aanval verder te optimaliseren en het moeilijker te detecteren te maken. Door gebruik te maken van geavanceerde technieken zoals het draaien van scripts in gescheiden schermsessies, blijft de malware vaak onopgemerkt en blijft actief zelfs nadat de gebruiker zich afmeldt.

Deze aanval benadrukt de voortdurende dreiging voor cryptocurrency-gebruikers, vooral op platforms waar de bescherming van herstelzinnen en privésleutels van cruciaal belang is voor de veiligheid van digitale activa.

Bron 1

Op 19 november 2025 werd een wereldwijde opslag- en infrastructuurorganisatie getroffen door een verwoestende ransomware-aanval, uitgevoerd door de hacker-groep Howling Scorpius. De aanval begon met een ogenschijnlijk eenvoudige actie: een medewerker van het getroffen bedrijf klikte op een zogenaamde CAPTCHA-beveiliging op een geïnfecteerde autodealerwebsite, wat leidde tot een 42 dagen durende inbreuk op de netwerkbeveiliging.

De aanvallers maakten gebruik van de ClickFix-techniek, een geavanceerde vorm van sociale manipulatie waarbij malware zich voordoet als een legitieme beveiligingscontrole. Door deze interactie met de nep-CAPTCHA werd SectopRAT-malware gedownload, een .NET-gebaseerde Remote Access Trojan (RAT) die de aanvallers toegang gaf tot het netwerk van het bedrijf. Eenmaal binnen konden de aanvallers de systemen op afstand besturen, gebruikersactiviteiten volgen, gevoelige gegevens stelen en opdrachten uitvoeren zonder dat dit werd gedetecteerd.

Gedurende de volgende 42 dagen veroverden de aanvallers meerdere bevoorrechte accounts, waaronder die van domeinbeheerders. Ze gebruikten verschillende protocollen zoals Remote Desktop Protocol (RDP), Secure Shell (SSH) en Server Message Block (SMB) om zich door het netwerk te verplaatsen. Het doel was uiteindelijk om Akira-ransomware te installeren, wat resulteerde in een volledige stillegging van de operatie van de organisatie.

De aanvallers verwijderden ook de back-upopslag en exfiltreerden bijna een terabyte aan gegevens. Nadat de ransomware was verspreid, eisten ze een losgeldbetaling, terwijl de aanval de kwetsbaarheden in de netwerkbeveiliging blootlegde. Ondanks het gebruik van twee endpoint detection en response (EDR)-oplossingen, werd de aanval gemist door de beveiligingssoftware, aangezien er onvoldoende waarschuwingen werden gegenereerd. Dit incident benadrukt de groeiende dreiging van sociaal gemanipuleerde aanvallen en de noodzaak van beter afgestelde monitoringtools voor het detecteren van geavanceerde aanvallen.

De beveiligingsspecialisten van Palo Alto Networks, die de aanval onderzochten, slaagden erin de aanvalspaden te reconstrueren en het losgeldbedrag met ongeveer 68% te verminderen. Dit voorval toont aan hoe zelfs geavanceerde bedrijfssystemen kwetsbaar kunnen zijn voor de meest eenvoudige aanvallen, zoals een enkele klik op een nepbeveiliging.

Bron 1

Een nieuwe ransomwaredreiging genaamd "The Gentlemen" heeft zich sinds juli 2025 gepresenteerd en heeft zich snel als een ernstige bedreiging gepositioneerd. Tussen september en oktober 2025 heeft de groep 48 slachtoffers gepubliceerd op hun dark web-lekwebsite. De ransomware werkt als een Ransomware-as-a-Service (RaaS) platform, wat betekent dat geaffilieerde hackers aanvallen kunnen uitvoeren, terwijl de kernoperators de controle behouden over de infrastructuur en de onderhandelingen.

"The Gentlemen" maakt gebruik van een dual-extortionstrategie, waarbij naast het versleutelen van bestanden, gestolen gegevens ook worden geëxfiltreerd. Dit creëert extra druk op de slachtoffers, die niet alleen worden geconfronteerd met vergrendelde systemen, maar ook met de dreiging dat gestolen informatie openbaar wordt gemaakt op dark web-lekwebsites, tenzij het losgeld wordt betaald.

De ransomware richt zich op Windows-, Linux- en ESXi-platforms en maakt gebruik van geavanceerde encryptie-algoritmes, zoals XChaCha20 en Curve25519, om bestanden te beveiligen, waardoor het herstellen zonder de decryptiesleutel uiterst moeilijk is. Recente updates van de malware bevatten functionaliteiten zoals automatische herstart en het uitvoeren bij het opstarten van het systeem, wat de persistentie op geïnfecteerde systemen verhoogt.

Wat betreft verspreiding gebruikt de ransomware technieken zoals Windows Management Instrumentation (WMI) en PowerShell-remoting om zich over netwerken te verspreiden. Zodra de malware wordt uitgevoerd, heeft het een wachtwoordargument nodig om de encryptieroutine te starten. Daarnaast ondersteunt de malware verschillende operationele modi, waaronder systeemversleuteling onder SYSTEM-rechten en versleuteling van netwerkshares via gemapte schijven en UNC-paden. De ransomware schakelt Windows Defender uit door PowerShell-opdrachten uit te voeren die de realtime bescherming uitschakelen en mappen en processen aan de uitsluitingslijsten toevoegen.

De groep richt zich ook op kritieke services en processen, zoals database-engines (bijvoorbeeld MSSQL en MySQL), back-upsoftware (zoals Veeam) en virtualisatieservices (zoals VMware). Om detectie te vermijden en forensisch onderzoek te bemoeilijken, verwijdert de malware Windows-eventlogs, RDP-verbindinglogs, ondersteuningsbestanden van Windows Defender en Prefetch-gegevens.

Deze anti-forensische benadering bemoeilijkt aanzienlijk de inspanningen van beveiligingsteams om de aanval te onderzoeken en een tijdslijn op te stellen.

Bron 1

Fraude aangedreven door kunstmatige intelligentie (AI) groeit in een alarmtempo, waarbij de impact van deepfake-technologie nu een van de grootste dreigingen vormt. Een recent rapport wijst erop dat fraudepogingen met deepfakes een aanzienlijk percentage van de biometrische fraude uitmaken, waarbij deepfake-selfies in 2025 een stijging van 58% vertonen. Dit markeert de geavanceerde mogelijkheden van fraudsters om legitieme gebruikers te imiteren door middel van synthetische media, waardoor traditionele beveiligingsmaatregelen steeds minder effectief blijken.

De zogenaamde ‘deepfake-apps’ kunnen tegenwoordig verbluffend nauwkeurige gezichtsbewegingen genereren, zelfs vanuit een enkele stilstaande afbeelding, wat het voor criminelen mogelijk maakt om overtuigende valse video’s in real-time te produceren zonder ooit daadwerkelijk videomateriaal van het slachtoffer te hebben. Het gebruik van deze technologie is niet beperkt tot persoonlijke fraude; het wordt ook steeds vaker ingezet in de financiële sector, waar fraudeurs profiteren van de toename van online onboarding. Sectors die zich richten op het aanbieden van aanmeldbonussen, zoals de cryptomarkt, ervaren een stijging van 67% in fraudepogingen tijdens de aanmeldingsfase.

Naast deepfakes worden ook digitale vervalsingen van documenten steeds gebruikelijker. In 2025 waren deze vervalsingen goed voor 35% van de gevallen van documentfraude, een stijging ten opzichte van de 30% in voorgaande jaren. Frauduleuze documenten worden steeds vaker gemaakt via ‘fraud-as-a-service’-platforms op het dark web, waar eenvoudig te gebruiken sjablonen en tools beschikbaar zijn. Dit maakt het voor een breed scala aan kwaadwillende actoren mogelijk om documenten te vervalsen, wat de toegang tot gevoelige informatie vergemakkelijkt.

De geavanceerde technologieën hebben de fraude-industrie geprofessionaliseerd, waarbij niet alleen individuele hackers maar ook goed georganiseerde, wereldwijde criminele netwerken opereren. Deze netwerken delen tactieken, automatiseren processen en specialiseren zich in specifieke fraudestrategieën. Het rapport benadrukt dat hoewel technologie een grote rol speelt, de beste verdediging tegen deze vormen van fraude blijft dat mensen zich bewust zijn van de gevaren en kritisch blijven in hun interacties, vooral wanneer er sprake is van ongevraagde communicatie of urgentie.

Bron 1

Onderzoekers hebben recent nieuwe malware ontdekt die in staat is om berichten van populaire chatdiensten zoals WhatsApp, Signal en Telegram te lezen op besmette Android-telefoons. De malware, genaamd Sturnus, heeft zijn oorsprong als banking trojan, wat betekent dat het oorspronkelijk werd ontworpen voor bankfraude. Echter, de malware heeft verdergaande capaciteiten, waaronder het monitoren van communicatie op genoemde platformen.

Sturnus maakt gebruik van de Android Accessibility Service om real-time berichten op het scherm van de telefoon te lezen, inclusief inkomende en uitgaande berichten, en zelfs de volledige inhoud van gesprekken. De malware kan ook de identiteit van de gebruiker stelen door nep-inlogschermen te tonen boven bank-apps, waarmee het gevoelige gegevens zoals bankgegevens verzamelt. Daarnaast is Sturnus in staat om op afstand toegang te verkrijgen tot de besmette telefoon en deze te manipuleren. Zo kan het bijvoorbeeld een zwart scherm tonen terwijl malafide activiteiten op de achtergrond plaatsvinden, zoals frauduleuze banktransacties.

De malware heeft extra beveiligingsmaatregelen ingebouwd om te voorkomen dat het verwijderd wordt. Het kan de telefoon op afstand vergrendelen en blokkeren dat gebruikers de administrator-rechten van de malware in de instellingen kunnen intrekken. Hierdoor wordt het voor slachtoffers bijzonder lastig om de malware te verwijderen, zelfs met tools zoals ADB. Sturnus richt zich momenteel vooral op doelen in Centraal en Zuid-Europa, maar gezien de veelzijdigheid van de malware is het mogelijk dat het zich verder zal verspreiden.

Bron 1, 2

Onderzoekers van de Universiteit van Wenen hebben ontdekt dat ze door een kwetsbaarheid in WhatsApp in staat waren om informatie van 3,5 miljard accounts te verzamelen. De kwetsbaarheid werd veroorzaakt door het mechanisme waarmee WhatsApp gebruikers toestaat andere gebruikers te zoeken op basis van telefoonnummers. Met deze techniek konden de onderzoekers een systeem ontwikkelen waarmee ze tot 100 miljoen telefoonnummers per uur konden controleren, waardoor ze toegang kregen tot publieke gegevens van WhatsApp-gebruikers wereldwijd.

De informatie die werd verzameld omvatte onder andere telefoonnummers, openbare sleutels, tijdstempels, en indien openbaar, ook profielfoto’s en tekstberichten. Met deze gegevens konden de onderzoekers aanvullende informatie verkrijgen, zoals het besturingssysteem van de gebruiker, de leeftijd van het account, en het aantal gekoppelde apparaten. Dit stelde hen in staat gedetailleerde profielen te bouwen van WhatsApp-gebruikers wereldwijd.

Uit het onderzoek blijkt dat zelfs met beperkte gegevens van gebruikers waardevolle informatie kan worden afgeleid. Zo konden de onderzoekers miljoenen actieve WhatsApp-accounts identificeren in landen waar WhatsApp officieel verboden is, zoals China, Iran en Myanmar. Verder bleek dat 81 procent van de WhatsApp-gebruikers Android gebruikt, tegenover 19 procent op iOS.

Meta, het moederbedrijf van WhatsApp, heeft de kwetsbaarheid inmiddels verholpen en gaf aan dat er geen aanwijzingen zijn dat kwaadwillenden van deze fout misbruik hebben gemaakt. Hoewel er geen toegang werd verkregen tot privéberichten, onderstreept dit incident de risico’s van datalekken en de gevaren van het openbaar maken van telefoonnummers. De onderzoekers hebben hun verzamelde gegevens inmiddels verwijderd.

Bron 1, 2, 3

In augustus 2025 werd ontdekt dat meer dan duizend websites besmet waren met malafide code die afkomstig was van een gehackt digitaal marketingbedrijf. Het bedrijf, gevestigd in Taiwan, werd meerdere keren gecompromitteerd door een geavanceerde aanvallergroep die door Google wordt aangeduid als APT24. Deze groep wordt vermoedelijk gelinkt aan China en heeft in de afgelopen jaren herhaaldelijk websites overgenomen om kwaadaardige code te injecteren.

De aanvallers gebruikten een digitale marketingstrategie waarbij zij een JavaScript library aan de klantwebsites aanboden. Wanneer bezoekers op deze websites kwamen, werden zij gefingerprint en, indien aan bepaalde voorwaarden voldaan werd, kregen zij een pop-up te zien die hen verleidde om een "update" voor Google Chrome te downloaden. In werkelijkheid leidde deze update tot de infectie van de systemen met malware.

Het marketingbedrijf werd in juni 2025 opnieuw getroffen, waarbij de aanvallers hun aanvallen beperkten tot één domein. In augustus werd echter voor een periode van tien dagen deze beperking opgeheven, waardoor de malafide code zich op meer dan duizend domeinen verspreidde. Naast het compromitteren van websites verstuurde APT24 ook phishingmails die werden gepersonaliseerd om de slachtoffers verder te misleiden en aan te vallen.

Google wijst erop dat de voortdurende aanvallen van APT24 wijzen op de evolutie van de groep, die gebruikmaakt van steeds geavanceerdere technieken zoals supply chain compromissen, meerlaagse social engineering en het misbruik van legitieme clouddiensten. De aanvallen vormen een toenemende bedreiging voor zowel bedrijven als consumenten, waarbij de aanvallers steeds adaptiever en volhardender worden in hun pogingen tot spionage.

Bron 1

Op 14 november 2025 werd een opmerkelijke toename van kwaadaardige scanningactiviteit gedetecteerd die gericht was op de loginportalen van Palo Alto Networks GlobalProtect VPN. Volgens GreyNoise, een bedrijf dat gespecialiseerd is in real-time dreigingsinformatie, steeg de activiteit met maar liefst 40 keer binnen 24 uur. Deze intensivering markeert een piek in de scanningactiviteit die in de afgelopen 90 dagen niet meer werd waargenomen. Gedurende de periode van 14 tot 19 november werden maar liefst 2,3 miljoen sessies geregistreerd die het loginpunt /global-protect/login.esp van de VPN-systemen aanvielen.

De aanvallen richten zich voornamelijk op de Verenigde Staten, Mexico en Pakistan. GreyNoise heeft eerder gewaarschuwd dat deze type scans vaak voorafgaan aan de ontdekking van nieuwe kwetsbaarheden. Het gebruik van bepaalde autonome systeemnummers (ASNs) en herhaalde TCP/JA4-tak-afdrukken suggereert dat deze aanvallen verband houden met eerdere gerelateerde campagnes. Vooral de ASN's AS200373 (3xK Tech GmbH) en AS208885 (Noyobzoda Faridduni Saidilhom) worden in verband gebracht met deze activiteit.

De toename van dergelijke kwaadaardige probes benadrukt de noodzaak om dergelijke aanvallen niet te onderschatten, omdat ze vaak gepaard gaan met de ontdekking van nieuwe kwetsbaarheden. De afgelopen maanden heeft Palo Alto Networks al meerdere beveiligingsproblemen aangepakt, waaronder de exploitatie van CVE-2025-0108, die later werd gekoppeld aan andere kwetsbaarheden zoals CVE-2025-0111 en CVE-2024-9474. Deze nieuwe toename van scanningpogingen roept opnieuw de vraag op naar de kwetsbaarheid van VPN-systemen, die mogelijk het doelwit kunnen worden van toekomstige aanvallen.

Bron 1

Op 20 november 2025 ontving de Fraudehelpdesk meldingen van een nieuwe phishing-aanval waarbij criminelen zich voordoen als medewerkers van de Fraudehelpdesk. In deze poging werd de belofte gedaan om gedupeerden van beleggingsfraude te helpen hun verloren geld terug te krijgen. De bellers gaven zich voor als vertegenwoordigers van een Brits bedrijf dat gecontracteerd was door de Fraudehelpdesk om telefonisch contact op te nemen. Ze beweerden dat het kapitaal van de melder bevroren was en boden hun hulp aan om het geld terug te krijgen.

De melder, die in het verleden slachtoffer was geworden van beleggingsfraude, was echter sceptisch en vroeg om verdere informatie per e-mail. Kort daarna ontving de melder een e-mail die zogenaamd afkomstig was van de ‘Fraudehelpdesks van Nederland en België’. De e-mail was gepersonaliseerd en meldde dat er een speciale taskforce was opgericht om gedupeerden van fraudeurs, die inmiddels strafrechtelijk vervolgd werden, te ondersteunen.

In de e-mail werd de melder gevraagd verschillende documenten te verstrekken, waaronder een geldig identiteitsbewijs met foto, een recent bewijs van adres, en documenten die de geleden schade konden aantonen, zoals bankafschriften of correspondentie met de fraudeur. De melder werd ook gevraagd om de ontvangst van de e-mail te bevestigen.

De Fraudehelpdesk heeft bevestigd dat zowel het telefoontje als de e-mail vals zijn. Ze waarschuwt dat de organisatie nooit telefonisch contact opneemt met slachtoffers van fraude voor het terughalen van verloren geld, en nooit e-mails verstuurt over het begeleiden van gedupeerden. Personen die een dergelijk telefoontje ontvangen of een soortgelijke e-mail krijgen, wordt geadviseerd het contact direct te verbreken en geen documenten met persoonlijke gegevens te verstrekken.

Als je twijfelt of een bericht echt is, neem dan contact op met de Fraudehelpdesk voor verder advies. Het is belangrijk om je bewust te zijn van dergelijke phishing-aanvallen en om nooit persoonlijke informatie via ongewenste communicatiekanalen te delen.

Bron 1

Er is een uitbreiding van het Tsundere botnet geconstateerd, een steeds grotere bedreiging voor Windows-gebruikers. Het botnet, dat sinds midden 2025 actief is, maakt gebruik van geavanceerde infectiemethoden door MSI- en PowerShell-bestanden die game-thema’s, zoals Valorant, Rainbow Six Siege X, en Counter-Strike 2, als lokkertjes inzetten. Dit duidt erop dat aanvallers specifiek gericht zijn op gebruikers die op zoek zijn naar gekraakte versies van deze games.

De besmetting begint wanneer een geïnfecteerd bestand via een legitiem Remote Monitoring and Management (RMM)-tool wordt gedownload, dat vervolgens een MSI-bestand van een gecompromitteerde website haalt. Het installatiebestand zet Node.js in gang en voert een loader-script uit dat de hoofdpayload van het botnet decrypteert. Het botnet maakt gebruik van de pm2-bibliotheek om persistente toegang tot het systeem te verkrijgen en zorgt ervoor dat de malware bij elke opstart opnieuw wordt uitgevoerd.

Het Tsundere botnet gebruikt Ethereum-blockchain-technologie om informatie over de C2-server te verkrijgen, wat zorgt voor dynamische serverrotatie. Dit maakt de aanvalsinfrastructuur moeilijker te traceren en te stoppen, aangezien de serveradressen via slimme contracten op de blockchain kunnen worden aangepast. Dit gebruik van blockchain-technologie vergroot de robuustheid en flexibiliteit van de botnet-operaties.

De verspreiding van dit botnet via game-thema’s en de integratie van blockchain-technologie maakt het een geavanceerde dreiging, die moeilijk te detecteren en te blokkeren is voor traditionele beveiligingsmaatregelen. Het Tsundere botnet benadrukt de evolutie van malware en de complexiteit van hedendaagse cyberaanvallen, die steeds meer gebruik maken van gedistribueerde netwerken en innovatieve technologieën om onopgemerkt te blijven.

Bron 1

De Rhadamanthys-malware, die sinds 2022 actief is, heeft zich gepositioneerd als een van de gevaarlijkste stealer-malwares wereldwijd. Het wordt gebruikt in gerichte aanvallen om gevoelige gegevens van slachtoffers te stelen, waaronder inloggegevens en financiële informatie. Het onderscheidt zich door zijn vermogen om traditionele beveiligingstools te omzeilen, wat het bijzonder problematisch maakt voor beveiligingsteams.

Wat de malware bijzonder uitdagend maakt, is de complexiteit van de loader, die fungeert als het primaire mechanisme voor het afleveren van de kwaadaardige lading. In tegenstelling tot de stealer zelf, is de loader bedoeld om de infectie voor te bereiden en bevat meerdere lagen van bescherming om analyse en detectie te voorkomen. Deze bescherming omvat op maat gemaakte obfuscatietechnieken die de code moeilijk te begrijpen maken voor zowel geautomatiseerde tools als menselijke analisten.

Een van de belangrijkste anti-sandboxingtechnieken die de Rhadamanthys-loader gebruikt, is gebaseerd op een tijdgebaseerde analyse van het gebruikersgedrag. Het malwareprogramma verzamelt gegevens zoals de positie van de cursor en de actieve vensters gedurende een bepaalde periode. Als de malware detecteert dat de gegevens niet voldoen aan de kenmerken van een realistische gebruikersomgeving, wordt de payload niet uitgevoerd. Dit systeem is ontworpen om traditionele sandboxes, die vaak geen realistisch menselijk gedrag simuleren, te misleiden. Echter, sommige geavanceerde sandboxes hebben zich aangepast en kunnen de payload alsnog activeren.

De lading die door de loader wordt gedragen, is verder beveiligd met een op maat gemaakte coderingsalgoritme genaamd Flutter en een extra versleuteling met de Chinese SM4-codering. Deze lagen van bescherming maken het uiterst moeilijk voor beveiligingssoftware om de ware aard van de payload te ontdekken.

De complexiteit van de Rhadamanthys-malware benadrukt de steeds geavanceerdere methoden die cybercriminelen gebruiken om hun activiteiten te verbergen en beveiligingstools te omzeilen. Het blijft een belangrijke uitdaging voor zowel analisten als organisaties die proberen zich te beschermen tegen deze dreiging.

Bron 1

Een nieuwe aanvalsgolf richt zich op cloud-opslagdiensten, met name Amazon Simple Storage Service (S3)-emmanden, door misbruik te maken van configuratiefouten en zwakke toegangsbeheersystemen. Dit soort aanvallen verschilt van traditionele ransomware-aanvallen doordat de aanvallers niet via schadelijke software bestanden versleutelen, maar door toegang te verkrijgen via gestolen inloggegevens, gelekte toegangssleutels of gecompromitteerde AWS-accounts met overmatige machtigingen.

Na toegang te hebben gekregen tot de cloudomgeving, identificeren de aanvallers kwetsbare S3-buckets door te zoeken naar zwakheden zoals uitgeschakelde versiebeheeropties en onjuiste schrijfbevoegdheden. Ze versleutelen vervolgens de data met verschillende technieken, verwijderen bestanden of exfiltreren gevoelige informatie, waarna ze losgeld eisen. Wat deze aanvallen bijzonder riskant maakt, is het gebruik van cloudfunctionaliteiten, waardoor ze moeilijk te detecteren zijn door traditionele beveiligingssystemen.

Trend Micro heeft vijf ransomware-varianten geïdentificeerd die specifiek gericht zijn op S3-opslagomgevingen. Een van de meest gevaarlijke methoden is het gebruik van klantbeheerde versleuteling, waarbij de aanvallers de encryptiesleutel beheren, waardoor de versleutelde data permanent onherstelbaar is, tenzij het losgeld wordt betaald of er een beveiligde back-up beschikbaar is.

Organisaties kunnen zich beschermen tegen deze dreiging door beleidsmaatregelen in te stellen die versleuteling via klantbeheerde sleutels blokkeren en door de CloudTrail-logbestanden op verdachte activiteiten te monitoren.

Bron 1

De demissionaire minister van Justitie en Veiligheid, Van Oosten, heeft bekendgemaakt dat de achterstanden bij het Openbaar Ministerie (OM) als gevolg van de Citrix-hack nog niet zijn weggewerkt. Het incident, dat in juli 2025 plaatsvond, leidde ertoe dat het OM uit voorzorg de interne systemen van het internet loskoppelde. Dit besluit werd genomen nadat het Nationaal Cyber Security Centrum (NCSC) waarschuwde voor mogelijk misbruik van een kwetsbaarheid in Citrix, het platform dat gebruikt werd voor thuiswerken.

De offlinegang van systemen en de langzame herstart zorgden voor vertragingen in de uitvoering van taken bij het OM. Het onvermogen van medewerkers om thuis te werken, verergerde de situatie en had invloed op de werkdruk. Sinds oktober kunnen de meeste medewerkers weer thuiswerken, maar in de tussentijd werkten ze in shifts.

Van Oosten bevestigde dat er sprake was van een verhoogde werkdruk door het incident, wat niet te vermijden was. Er wordt volop gewerkt aan het inhalen van de achterstanden, maar het is nog niet bekend wanneer dit volledig is afgerond. De minister liet ook weten dat een commissie van deskundigen zal onderzoeken hoe het OM heeft gereageerd op de aanval, welke stappen er zijn genomen, welke risico’s zijn geïdentificeerd en hoe het herstelproces verloopt.

Bron 1

In de wereld van verzekeringen neemt de invloed van kunstmatige intelligentie (AI) in zowel frauduleuze als opsporingsprocessen steeds verder toe. Oplichters maken steeds vaker gebruik van AI-technologieën om valse schadeclaims in te dienen, waarbij ze kunstmatig gegenereerde schadefoto’s en vervalste facturen presenteren. Deze tactieken maken het voor verzekeraars steeds moeilijker om fraude tijdig te detecteren. Het Verbond van Verzekeraars ontdekte in 2024 ruim 9.000 gevallen van fraude, wat neerkomt op ongeveer 25 incidenten per dag. Dit aantal is gestegen ten opzichte van het vorige jaar, waarbij fraudeurs voor een totale schade van 95,6 miljoen euro probeerden te ontfutselen.

Naast de vervalste documenten, zoals facturen voor dure producten, is ook de inzet van AI voor het genereren van deepfake-video's of spraakberichten zorgwekkend. Dit soort oplichting probeert medewerkers van verzekeringsmaatschappijen te misleiden door hen te laten denken dat ze communiceren met hogere leidinggevenden. Een voorbeeld hiervan was een AI-gegenereerd spraakbericht dat het leek alsof het van een directielid afkomstig was, bedoeld om vertrouwelijke informatie te verkrijgen.

Verzekeraars proberen hierop in te spelen door AI ook zelf in te zetten voor het opsporen van frauduleuze activiteiten. Dit gebeurt bijvoorbeeld door ongebruikelijke patronen te detecteren, zoals het indienen van meerdere claims in korte tijd, of door deepfakes te herkennen. De detectie van dergelijke frauduleuze claims wordt verder ondersteund door het gezamenlijke waarschuwingssysteem, waarin verzekeraars informatie delen over bewezen fraudeurs. Bovendien wordt er steeds meer op het ‘niet-pluis-gevoel’ van medewerkers vertrouwd om verdachte gevallen vroegtijdig te signaleren.

De groei van AI-gebruik in fraude en opsporing benadrukt zowel de risico's als de mogelijkheden die deze technologie met zich meebrengt voor de verzekeringssector.

Bron 1

Malafide actoren maken gebruik van browsermeldingen als aanvalsmiddel voor phishingaanvallen via een nieuwe command-and-control (C2) platform genaamd Matrix Push C2. Dit browser-native, fileless framework benut web push meldingen, valse waarschuwingen en linkomleidingen om slachtoffers op verschillende besturingssystemen te targeten. Onderzoekers van Blackfog, die dit platform ontdekten, rapporteren dat aanvallers slachtoffers misleiden om browsermeldingen toe te staan op schadelijke of gecompromitteerde websites.

Wanneer een slachtoffer akkoord gaat met het ontvangen van meldingen, gebruiken de aanvallers het ingebouwde web push-mechanisme in de browser om valse meldingen te versturen die lijken te komen van het besturingssysteem of de browser zelf. Deze meldingen kunnen bijvoorbeeld waarschuwingen over verdachte inlogpogingen of browserupdates bevatten, met knoppen zoals "Verifiëren" of "Bijwerken". Wanneer het slachtoffer op zo'n knop klikt, wordt het doorgestuurd naar een valse website die bedoeld is om persoonlijke gegevens of inloggegevens te stelen.

Wat deze techniek bijzonder gevaarlijk maakt, is dat het hele proces via de browser verloopt, zonder dat de aanvaller eerst toegang hoeft te krijgen tot het systeem via traditionele infectiemethoden. Dit maakt de aanval een cross-platform dreiging, omdat elke browser die de schadelijke meldingen ontvangt, deel kan gaan uitmaken van het netwerk van gecompromitteerde systemen. Bovendien kunnen aanvallers deze techniek gebruiken om langzaam het niveau van de aanval te escaleren door andere phishingberichten te sturen, meer persistente malware te installeren of zelfs gebruik te maken van browserkwetsbaarheden voor diepere controle over het systeem.

Matrix Push C2 wordt verkocht als een malware-as-a-service (MaaS) kit via criminele kanalen, zoals Telegram en cybercrimeforums, met abonnementskosten die variëren van $150 voor een maand tot $1.500 voor een jaar. Het platform biedt een webgebaseerd dashboard waarmee aanvallers meldingen kunnen versturen, het gedrag van slachtoffers in realtime kunnen volgen, en aangepaste phishingsjablonen kunnen gebruiken om de geloofwaardigheid van hun berichten te vergroten.

De onderzoekers benadrukken dat het gebruik van webpush-meldingen in deze aanvallen een nieuwe benadering is van hoe aanvallers toegang krijgen tot systemen, met als uiteindelijke doel gegevensdiefstal of het geldelijk uitbuiten van toegang tot systemen, bijvoorbeeld door het leegroven van cryptocurrency-portefeuilles. Deze aanvallen onderstrepen een verschuiving in de manier waarop aanvallers sociale manipulatie gebruiken om gebruikers te misleiden tot het uitvoeren van acties die hun systemen compromitteren.

Bron 1, 2, 3

De ToddyCat APT-groep blijft zich ontwikkelen in haar aanvallen op bedrijfsnetwerken, met een focus op het stelen van e-mailgegevens van werknemers binnen doelorganisaties. Het recente onderzoek naar deze aanvallen, uitgevoerd door Kaspersky, heeft nieuwe technieken en tools aan het licht gebracht die door de groep worden ingezet. De aanvallen richten zich specifiek op de beveiliging van e-mailinfrastructuren en het verkrijgen van toegang tot gevoelige bedrijfscommunicatie, zowel via lokale servers als cloudgebaseerde e-maildiensten zoals Microsoft 365.

Een van de gebruikte tools is de nieuwe versie van TomBerBil, die nu ook via PowerShell kan draaien en gericht is op het extraheren van inloggegevens, cookies en wachtwoorden van browsers, inclusief Chrome, Edge en Firefox. Deze tools werden ingezet op domeincontrollers en via het SMB-protocol toegang verkregen tot browserbestanden op gedeelde netwerken. Door de uitvoering op machtige machines in het netwerk kan de ToddyCat-groep toegang krijgen tot een breed scala aan gevoelige gegevens, waaronder opgeslagen wachtwoorden en sessies.

Daarnaast heeft ToddyCat een nieuwe aanvalsmethode geïntroduceerd om toegang te verkrijgen tot offline Outlook-gegevensbestanden, die doorgaans moeilijk te benaderen zijn vanwege de toepassing van encryptie en toegangslimieten in het Outlook-platform. Het aangepaste hulpmiddel TCSectorCopy maakt gebruik van laag-niveau bestandskopieën, waarmee zelfs vergrendelde bestanden van actieve processen kunnen worden gekopieerd. Zodra de OST-bestanden van Outlook zijn gekopieerd, worden ze geëxporteerd met behulp van het XstReader-hulpmiddel, waarmee de aanvallers toegang krijgen tot e-mailcorrespondentie en bijlagen.

Een andere opvallende techniek die door de ToddyCat-groep wordt ingezet, is het verkrijgen van OAuth 2.0-toegangstokens uit de Outlook- en Microsoft 365-processen. Deze tokens worden rechtstreeks uit het geheugen van de betrokken applicaties gehaald, waardoor de aanvallers in staat zijn om e-mailgegevens op te vragen zonder dat ze rechtstreeks toegang hoeven te krijgen tot de onderliggende infrastructuur. Dit proces wordt uitgevoerd met behulp van het SharpTokenFinder-hulpmiddel, waarmee toegangstokens snel kunnen worden gedumpt en gedeeld via een SMB-verbinding.

Deze geavanceerde aanvalstechnieken vereisen zorgvuldige monitoring en detectie. Aanbevolen wordt om netwerkanalyses en bestandsaccesscontrole uit te voeren, evenals specifiek toezicht te houden op toegangspogingen tot gevoelige e-mailbestanden en encryptiesleutels. De ToddyCat-groep blijft een ernstige bedreiging voor organisaties die afhankelijk zijn van e-mail en cloudgebaseerde diensten voor hun bedrijfsvoering, en het is essentieel dat deze methoden nauwlettend worden gevolgd om potentiële schade te minimaliseren.

Bron 1

Retailers worden momenteel geconfronteerd met een sterke stijging van ransomware-aanvallen nu het winkelseizoen op zijn hoogtepunt is. Deze aanvallen zijn zorgvuldig getimed om samen te vallen met de piek in de verkoop, wanneer de druk om betalingen te doen en de gevolgen van uitvaltijd het grootst zijn. De aanvallers richten zich vooral op netwerken van verkooplocaties, e-commerce backends en ondersteunende IT-systemen die bestellingen, loyaliteitsgegevens en betalingsverwerkingen beheren.

De cybercriminelen maken gebruik van een mix van phishing-e-mails, nep-verzendbevestigingen en schadelijke advertenties die gebruikers naar exploitkits leiden. Zodra een slachtoffer op een link klikt, verplaatst de aanval zich snel van de eerste toegang tot een volledige domeincompromittering. Het uiteindelijke doel is het inzetten van versleutelde bestandspayloads en tools voor gegevensdiefstal in een gecoördineerde aanval, vaak binnen enkele uren na de eerste toegang.

De malware die wordt ingezet, maakt gebruik van een lichtgewicht loader die via een schadelijke bijlage of script wordt gedownload. Deze loader injecteert zich in vertrouwde processen zoals explorer.exe of powershell.exe om eenvoudige detectieregels te omzeilen. Vervolgens haalt de malware de hoofdpayload op van een server die door de aanvaller wordt beheerd, via HTTPS-verkeer dat wordt gemaskeerd als legitieme cloud- en CDN-domeinen. De malware verzamelt vervolgens inloggegevens van het LSASS-proces en gecachte browsersessies, waarna deze zich via bestaande netwerkroutes verspreidt over de systemen van de winkel en de point-of-sale (POS)-systemen.

Deze aanvallen veroorzaken aanzienlijke schade, doordat voorraadbeheersystemen worden versleuteld, betaalterminals worden geblokkeerd en online bestelplatforms onbereikbaar worden, wat zowel fysieke als digitale verkopen stillegt. Naast de versleuteling van gegevens loopt de retailer ook het risico op gegevensdiefstal, waaronder klantgegevens en interne prijs- of promotieplannen, wat de dreiging van dubbele afpersing en mogelijke boetes door toezichthouders vergroot.

Deze gerichte aanvallen benadrukken het belang van robuuste beveiligingsmaatregelen, vooral tijdens het drukke verkoopseizoen, om de continuïteit van de bedrijfsvoering te waarborgen en de risico's voor klantgegevens te minimaliseren.

Bron 1

In augustus 2025 werd een geavanceerde cyberaanval uitgevoerd op een Aziatische vestiging van een grote Europese fabrikant. Deze aanval, geïdentificeerd als "Operation DreamJob", maakt gebruik van verfijnde social engineering-technieken om werknemers binnen de maakindustrie te misleiden en toegang te verkrijgen tot bedrijfsnetwerken. De aanvallers gebruikten WhatsApp Web-berichten die zich voordeden als jobgerelateerde documenten om malware te verspreiden.

Het aanvallen begon met een projectingenieur die een bericht ontving via WhatsApp Web, waarin een ogenschijnlijk legitiem werkgerelateerd bestand werd aangeboden. Het bestand was een ZIP-archief, waarin een kwaadaardige PDF, een legitieme open-source applicatie genaamd SumatraPDF.exe, en een kwaadaardige DLL-bestand met de naam libmupdf.dll waren verpakt. Door een techniek genaamd DLL-sideloading werd de onschuldige SumatraPDF.exe gebruikt om de kwaadaardige DLL te laden, wat leidde tot de uitvoering van de malware op het systeem van het slachtoffer.

Onderzoek door Orange Cyberdefense onthulde dat de aanval waarschijnlijk werd uitgevoerd door de Noord-Koreaanse dreigingsgroep UNC2970. De aanvallers maakten gebruik van malwarevarianten zoals BURNBOOK en MISTPEN, en maakten gebruik van kwetsbare SharePoint- en WordPress-infrastructuren voor hun command-and-control-operaties. Na de initiële toegang via de kwaadaardige PDF, werden er verdere technieken ingezet om door het netwerk te bewegen, waaronder het uitvoeren van LDAP-query's op de Active Directory om gebruikers en computers te enumereren en vervolgens administratieve accounts over te nemen met behulp van pass-the-hash-aanvallen.

De dreiging breidde zich verder uit met het gebruik van een extra payload genaamd TSVIPsrv.dll, een variant van de MISTPEN-backdoor. Deze backdoor stelde de aanvallers in staat om verbindingen te maken met gecompromitteerde SharePoint-servers voor verdere communicatie en gegevensdiefstal. De laatste fase van de aanval was het implementeren van Release_PvPlugin_x64.dll, een informatie-stelende module die bedoeld was om gevoelige gegevens van de geïnfecteerde systemen te exfiltreren.

De Operation DreamJob-aanval benadrukt de toenemende verfijning van sociale-engineering-aanvallen gericht op de maakindustrie en de kracht van WhatsApp Web als vector voor het verspreiden van malware. Het incident onderstreept de voortdurende noodzaak voor bedrijven om waakzaam te blijven voor geavanceerde aanvalstechnieken en om het bewustzijn van cyberdreigingen onder hun personeel te vergroten.

Bron 1

Xillen Stealer, een geavanceerd Python-gebaseerd informatie-steler, heeft zich gepositioneerd als een belangrijke dreiging in het landschap van cybercriminaliteit. Oorspronkelijk geïdentificeerd door Cyfirma in september 2025, is deze malware geëvolueerd naar versies 4 en 5, die een arsenaal aan gevaarlijke functies introduceert om gevoelige gegevens, zoals inloggegevens, cryptocurrency-wallets en systeeminformatie, te stelen. De nieuwste versies van de malware richten zich op meer dan 100 browsers en meer dan 70 cryptocurrency-wallets, waarmee het een uitgebreide tool voor het verzamelen van inloggegevens vormt.

Xillen Stealer wordt gepromoot via Telegram-kanalen en heeft een professionele interface waarmee aanvallers de verzamelde data kunnen beheren, infecties kunnen volgen en instellingen kunnen inzien. De malware richt zich niet alleen op browsergegevens, zoals geschiedenis, cookies en opgeslagen wachtwoorden, maar ook op wachtwoordmanagers zoals OnePass, LastPass, BitWarden en Dashlane. Daarnaast steelt het ontwikkelaarsgegevens, cloudconfiguraties van platforms zoals AWS, GCP en Azure, evenals SSH-sleutels en databaseverbindingsinformatie.

Een zorgwekkend aspect van Xillen Stealer is de geavanceerde mogelijkheid om detectie door moderne beveiligingssystemen te omzeilen. De malware maakt gebruik van een module genaamd AIEvasionEngine, die verschillende technieken toepast, zoals gedragsmimicry, ruisinjectie, willekeurige vertragingen en het verbergen van bronnen om gedragsclassificatoren te verwarren. Daarnaast verandert de Polymorphic Engine de code door instructies te vervangen, controle-stromen te obfuscaten en dode code in te voegen, waardoor elke sample uniek lijkt en handtekeninggebaseerde detectie voorkomt.

Xillen Stealer maakt gebruik van een peer-to-peer command-and-control-structuur die blockchain-transacties inzet, netwerken zoals Tor en I2P anoniem houdt, en gedistribueerde bestandssystemen gebruikt voor dataverkeer. Het verzamelt gestolen gegevens in HTML- en TXT-rapporten en stuurt deze naar de Telegram-accounts van de aanvallers. De combinatie van diefstal van inloggegevens, het omzeilen van detectie en adaptieve targeting maakt deze malware tot een aanzienlijke bedreiging voor zowel individuele gebruikers als zakelijke omgevingen.

Bron 1

Een nieuwe golf van kwaadaardige Android-applicaties, die zich voordoen als een populaire Koreaanse bezorgservice, heeft de aandacht getrokken van beveiligingsexperts. Deze apps maken gebruik van geavanceerde technieken voor obfuscatie die door kunstmatige intelligentie worden aangedreven. Het doel van deze apps is om traditionele antivirussoftware te omzeilen, terwijl ze tegelijkertijd gevoelige gebruikersinformatie stelen.

De aanvallers achter deze campagne maken gebruik van een slim afleveringsmechanisme waarbij de kwaadaardige apps zich vermommen als legitieme pakketvolg-applicaties. Wanneer gebruikers de benodigde machtigingen verlenen, toont de app een interface die lijkt op die van de echte bezorgservice door verbinding te maken met echte trackingwebsites via willekeurig gegenereerde trackingnummers. Deze sociale-engineeringaanpak wekt vertrouwen bij de gebruikers, terwijl de app op de achtergrond schadelijke activiteiten uitvoert.

Beveiligingsonderzoekers ontdekten dat de kwaadaardige apps AI-gestuurde obfuscatie gebruiken om de functionaliteit te verbergen, waardoor het reverse-engineeren van de code veel moeilijker wordt. De applicatie maakt gebruik van ProGuard-obfuscatie, waarbij alle class-namen, functienaam- en variabelen geïdentificeerd door willekeurige Koreaanse tekststrings worden vervangen. Deze aanpak maakt patroonherkenning voor geautomatiseerde beveiligingstools aanzienlijk lastiger, wat de detectie van de malware bemoeilijkt.

Daarnaast blijken de kwaadaardige apps gegevens van besmette apparaten uit te voeren via gecompromitteerde legitieme websites die dienstdoen als command-and-control (C2)-servers. De servers zijn moeilijk te detecteren, omdat ze zich voordoen als onschuldige webverkeer, waardoor het gegevensdiefstalproces buiten het zicht van netwerkmonitoringsystemen blijft. Het onderzoek identificeerde vijf bevestigde MD5-hashes en gerelateerde URL's die verwijzen naar gecompromitteerde Koreaanse domeinen die voor data-exfiltratie worden gebruikt.

Deze geavanceerde aanvallen benadrukken het groeiende gebruik van AI voor zowel het maskeren van schadelijke activiteiten als het verbeteren van de effectiviteit van cyberaanvallen. De beveiligingsgemeenschap moet deze dreigingen serieus nemen en proactief maatregelen nemen om deze aanvallen te detecteren en tegen te gaan.

Bron 1

Een nieuwe vorm van malware voor Android-apparaten, genaamd RadzaRat, heeft de aandacht getrokken van beveiligingsexperts vanwege zijn geavanceerde functionaliteiten en het vermogen om apparaten op afstand te monitoren en te beheren. RadzaRat is een zogenoemde remote access trojan (RAT) die zich voordoet als een legitieme bestandsbeheerder, maar in werkelijkheid cybercriminelen volledige toegang geeft tot het slachtofferapparaat. Dit malwareprogramma stelt aanvallers in staat om niet alleen bestanden te beheren, maar ook toetsaanslagen vast te leggen (keylogging), bestanden tot 10 gigabyte te downloaden, en continue surveillance uit te voeren.

Wat RadzaRat bijzonder gevaarlijk maakt, is het feit dat het geen detectie heeft in beveiligingssystemen. Op VirusTotal, een bekende virusscanner, wordt de malware nog niet herkend door geen enkele van de 66 gebruikte beveiligingsoplossingen. Dit is te wijten aan het feit dat RadzaRat pas recent is opgedoken, op 8 november 2025. Dit betekent dat er een periode is waarin aanvallers het malwareprogramma kunnen inzetten voordat de beveiligingssoftware zich aanpast.

De malware wordt gepromoot via ondergrondse cybercrime-forums en is bijzonder aantrekkelijk voor aanvallers vanwege de relatief lage technische vereisten en het gebruik van gratis infrastructuurdiensten, zoals servers die worden gehost op Render.com en communicatie via Telegram-bots. De ontwikkelaar van RadzaRat, opererend onder het alias "Heron44", biedt de software aan als een eenvoudige oplossing voor het verkrijgen van toegang op afstand tot Android-apparaten, zonder dat diepgaande technische kennis vereist is.

Een ander zorgwekkend aspect van RadzaRat is de manier waarop het gebruik maakt van het Android Accessibility Service Framework. Dit systeem, oorspronkelijk ontworpen om mensen met een beperking te helpen, wordt door de malware misbruikt om toegang te krijgen tot persoonlijke informatie zonder dat root-toegang nodig is. De malware kan ook systeemrechten verkrijgen via een MyDeviceAdminReceiver-component, waardoor het zich moeilijker kan laten verwijderen door de gebruiker.

Experts waarschuwen dat de risico’s niet alleen bestaan voor mensen die applicaties installeren van onbekende bronnen, maar dat zelfs apps die afkomstig zijn van de officiële Google Play Store gevaarlijk kunnen zijn als ze onterecht uitgebreide machtigingen vragen. Het is belangrijk om voorzichtig te zijn bij het verlenen van toestemming voor toegang tot de toegankelijkheidsservice of administratorrechten, zelfs voor apps die ogenschijnlijk legitiem zijn.

Hoewel RadzaRat momenteel nog in ontwikkeling is en versies van het programma mogelijk blijven verbeteren, is het duidelijk dat het een aanzienlijke bedreiging vormt voor Android-gebruikers. De combinatie van publieke beschikbaarheid en de mogelijkheid om detectie te vermijden maakt deze malware bijzonder schadelijk. Het is dan ook van cruciaal belang voor gebruikers om alert te blijven en voorzichtig te zijn met het installeren van apps, zelfs als ze afkomstig zijn van betrouwbare platformen.

Bron 1

De Verenigde Staten hebben gemeld dat er actief misbruik wordt gemaakt van een ernstige kwetsbaarheid in Oracle Identity Manager, een systeem voor gebruikersbeheer. Het beveiligingslek, aangeduid als CVE-2025-61757, stelt aanvallers in staat om op afstand willekeurige code uit te voeren (Remote Code Execution, RCE) op kwetsbare systemen. De impact van deze kwetsbaarheid wordt beoordeeld met een score van 9.8 op een schaal van 10, wat aangeeft hoe ernstig de risico’s zijn.

Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is het lek al mogelijk misbruikt, hoewel de details van de aanvallen niet openbaar zijn gemaakt. Dit wordt bevestigd door een waarschuwing van het Nationaal Cyber Security Centrum (NCSC), die aangeeft dat er steeds meer scanverkeer wordt waargenomen. Dit wijst erop dat aanvallers actief zoeken naar systemen die kwetsbaar zijn voor deze kwetsbaarheid. De kans op een toename van misbruik is groot, vooral nu er Proof-of-Concept (PoC)-code beschikbaar is.

Het NCSC adviseert organisaties om de beveiligingsupdate, die op 21 oktober werd vrijgegeven, zo snel mogelijk te implementeren om schade te voorkomen. Aangezien de kwetsbaarheid al geruime tijd bekend is, wordt verwacht dat de aanvallen zich zullen intensiveren nu het lek verder verspreid wordt. De Amerikaanse overheid heeft organisaties bovendien opgedragen de noodzakelijke updates voor 12 december te installeren.

Bron 1, 2

Op 8 oktober 2025 werd een endpoint binnen een organisatie getroffen door een Qilin ransomware-aanval, die later werd onderzocht door analisten. Dit incident bood beperkte zichtbaarheid, aangezien de antivirussoftware pas na de aanval werd geïnstalleerd en slechts op één endpoint actief was. Hierdoor waren er maar weinig gegevensbronnen beschikbaar voor het onderzoek.

Het onderzoek begon met de meldingen van het beheerde antivirus (MAV), die pas na de installatie van de nieuwe software enkele verdachte activiteiten detecteerden. Door de Windows Event Logs te analyseren, werd ontdekt dat de aanvaller op 8 oktober 2025 toegang had gekregen tot het systeem en een ongeautoriseerde versie van de software voor externe toegang installeerde. Deze installatie leidde naar een extern IP-adres, dat verder werd onderzocht. Ook werd opgemerkt dat eerdere software-installaties, zoals LogMeIn, een rol speelden bij de aanvalspogingen.

Verdere analyse van de aangeleverde gegevens onthulde dat drie bestanden, r.ps1, s.exe en ss.exe, via de kwaadaardige software naar het systeem werden overgebracht. Van deze bestanden bleef r.ps1 op het systeem aanwezig, maar de pogingen om s.exe en ss.exe uit te voeren faalden, wat werd bevestigd door de logbestanden van de Windows Program Compatibility Assistant (PCA).

Tijdens het onderzoek werd tevens vastgesteld dat de aanvaller Windows Defender had uitgeschakeld, waardoor de ransomware kon worden uitgevoerd. Desondanks werd de ransomware uiteindelijk door Windows Defender gedetecteerd, wat suggereert dat de ransomware van een ander systeem in het netwerk werd uitgevoerd en zich via netwerkschijven verspreidde.

Deze analyse van de Qilin-aanval benadrukt het belang van het combineren van verschillende gegevensbronnen om het aanvalspad volledig te begrijpen. Ondanks de beperkte beschikbare gegevens was het mogelijk om het verloop van de aanval te reconstrueren, wat aantoont hoe cruciaal het is om meerdere bronnen te valideren bij het onderzoeken van cyberaanvallen.

Een nieuwe phishingcampagne richt zich op techmedewerkers door hackers die zich voordoen als journalisten van TechCrunch. De aanvallers proberen via e-mail toegang te krijgen tot bedrijfsnetwerken en vertrouwelijke gegevens. Ze maken gebruik van vervalste domeinen, imiteren de schrijfstijl van TechCrunch-rapporters en stellen gerichte vragen die legitiem lijken om hun doelwitten te misleiden. In sommige gevallen gebruiken de hackers zelfs de identiteit van echte TechCrunch-medewerkers, waarbij ze e-mailextensies gebruiken die lijken op de officiële adressen van de site.

TechCrunch waarschuwt dat deze aanvallen een verband vertonen met een "persistent threat actor," die eerder vergelijkbare methoden gebruikte om gegevens te stelen, vooral van bedrijven in de tech-, crypto- en cloudsector. De aanvallers proberen niet alleen toegang te krijgen tot systemen maar ook vertrouwelijke informatie door bijvoorbeeld kwaadwillende planningslinks te versturen.

TechCrunch adviseert bedrijven om voorzichtig te zijn met media-invorderingen, en e-mailverzoeken altijd via officiële kanalen te verifiëren. Dit helpt niet alleen de eigen organisatie te beschermen, maar ook het vertrouwen in de journalistiek te behouden. Het bedrijf roept bedrijven op om alert te blijven en phishingaanvallen actief te melden.

Bron 1

Met de naderende feestdagen en de Black Friday-uitverkoop richten veel consumenten zich op online winkelen, maar dit brengt ook verhoogde digitale risico’s met zich mee. Cybercriminelen maken gebruik van de drukte rondom populaire winkeldagen zoals Black Friday en Cyber Monday om online fraude en phishing-aanvallen te verspreiden. Het is belangrijk om waakzaam te zijn voor valse webshops, diefstal van betalingsgegevens en andere vormen van cybercriminaliteit die zich voordoen in de feestdagenperiode.

Aangezien consumentenbestedingen een aanzienlijk deel van de economie vormen, is het van groot belang om te letten op de potentiële cyberdreigingen die hiermee gepaard gaan. Cybercriminelen kunnen profiteren van verhoogde koopactiviteit door zich voor te doen als betrouwbare verkopers. Het is essentieel dat consumenten alert blijven en beveiligingsmaatregelen nemen bij online aankopen.

De afgelopen weken is er een opvallende stijging geweest in het aantal aanvallen gericht op kwetsbaarheden in verschillende software- en hardwareproducten, zowel in Nederland als België, maar ook wereldwijd. Dit overzicht geeft inzicht in de meest geëxploiteerde kwetsbaarheden, met een focus op de urgentie van de patches en beveiligingsmaatregelen die genomen moeten worden.

In Nederland staat Metabase op nummer één met de CVE-2023-38646, een kwetsbaarheid die voorkomt in de open-source business intelligence tool. Deze kwetsbaarheid wordt actief misbruikt, met een opvallend hoog aantal aanvallen in de afgelopen dagen en weken. Andere veelgebruikte kwetsbaarheden zijn te vinden in Cisco RV320/RV325 routers, die sinds 2019 bekend zijn, en in de populaire Apache Hadoop YARN ResourceManager, die bedrijven helpen bij het verwerken van grote hoeveelheden data. De kwetsbaarheden in deze systemen variëren van misconfiguraties die eenvoudig te exploiteren zijn, tot ernstige beveiligingslacunes die complexere aanvallen mogelijk maken.

In België zien we soortgelijke trends, met kwetsbaarheden in de Dahua DVR/NVR/IPC-apparaten die in beveiligingssystemen worden gebruikt. Deze apparaten zijn in toenemende mate doelwit van aanvallen door de slechte beveiliging van standaardinstellingen. Daarnaast zijn er kwetsbaarheden gedetecteerd in CrushFTP, die een aanzienlijke impact hebben op de veiligheid van bedrijven die afhankelijk zijn van veilige bestandsoverdracht.

De risico's die voortvloeien uit deze kwetsbaarheden kunnen ernstig zijn, variërend van datalekken tot ransomware-aanvallen die gevoelige bedrijfsinformatie compromitteren. Deze kwetsbaarheden kunnen bovendien de deur openen voor langdurige toegang van aanvallers, wat het herstel en de schadebeperkingen bemoeilijkt. Het is van groot belang dat bedrijven en organisaties in Nederland, België en wereldwijd de nodige beveiligingspatches toepassen en ervoor zorgen dat hun systemen up-to-date blijven om dit soort aanvallen te voorkomen.

Dit overzicht toont de noodzaak van continue waakzaamheid in het beheer van netwerk- en softwarebeveiliging. Kwetsbaarheden die lange tijd onopgemerkt blijven, kunnen een aanzienlijk gevaar vormen voor de digitale infrastructuur van bedrijven en overheidsinstellingen wereldwijd.

Overzicht

In de afgelopen 24 uur zijn er verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media, wat aangeeft dat deze kwetsbaarheden de aandacht van beveiligingsexperts en cybercriminelen hebben getrokken. Deze zogenaamde 'hype score', variërend van 0 tot 100, reflecteert hoe vaak en op welke wijze de kwetsbaarheden worden besproken, wat de urgentie en potentiële dreiging van elk probleem benadrukt.

CVE-2025-65018 is een heap buffer overflow-kwetsbaarheid in de populaire bibliotheek libpng, die wordt geactiveerd wanneer 16-bit interlaced PNG-afbeeldingen worden verwerkt. Het misbruiken van deze kwetsbaarheid kan leiden tot verlies van gegevens, denial of service, of zelfs de uitvoering van willekeurige code op getroffen systemen. De hype score van 37 geeft de significante zorg aan die dit probleem teweegbrengt, vooral gezien het brede gebruik van libpng in tal van softwareapplicaties.

Een andere veelbesproken kwetsbaarheid is CVE-2025-4123, een cross-site scripting (XSS) kwetsbaarheid in Grafana. Ondanks dat aanvallers deze kwetsbaarheid kunnen uitbuiten zonder specifieke rechten, kan dit leiden tot ongewenste doorverwijzingen naar kwaadaardige websites en mogelijk verder escaleren tot server-side request forgery (SSRF). De hype score van 20 wijst op een opkomende dreiging, vooral gezien het gebruik van Grafana in veel kritieke infrastructuren.

Daarnaast zijn er verschillende andere kwetsbaarheden die de aandacht trekken, zoals CVE-2025-59287, die een remote code-executie in de Windows Server Update Service (WSUS) mogelijk maakt, en CVE-2025-58034, een OS command injection-kwetsbaarheid in Fortinet FortiWeb, die geauthenticeerde aanvallers in staat stelt ongeautoriseerde code uit te voeren.

Kwetsbaarheden zoals CVE-2025-41115, die gebruikersimpersonatie in Grafana Enterprise en Grafana Cloud mogelijk maakt, en CVE-2025-61757, die het mogelijk maakt voor aanvallers om de Oracle Fusion Middleware Identity Manager te compromitteren, voegen zich bij de lijst van bedreigingen die de komende dagen nauwlettend in de gaten gehouden moeten worden.

Ook zijn er kwetsbaarheden die minder bekend zijn, zoals CVE-2025-64755, die een bypass van het sed-commando in de Claude Code-tool betreft, en CVE-2025-64446, die unauthenticeerde aanvallers toegang geeft tot administratieve functies van Fortinet FortiWeb.

Beveiligingsteams moeten zich bewust zijn van deze kwetsbaarheden en de nodige stappen ondernemen om hun systemen te beschermen tegen mogelijke uitbuiting. Het monitoren van deze trending CVE's biedt een cruciaal inzicht in de potentiële risico's die organisaties kunnen bedreigen.

Overzicht

Cybercriminelen richten zich steeds vaker op cryptobezitters met een nieuwe vorm van fraude. Gebruikers worden via e-mail benaderd met een valse belastingaangifte, waarin ze niet alleen hun cryptovaluta moeten opgeven, maar ook persoonlijke gegevens zoals adres en telefoonnummer. Deze gegevens kunnen later worden misbruikt voor verdere aanvallen, zoals telefonische benaderingen of zelfs fysieke overvallen.

De nep-belastingaangifte, die qua uitstraling sterk lijkt op een officiële belastingdienstpagina, vraagt cryptobezitters naar de platforms waarop zij hun cryptovaluta bewaren, zoals Bitvavo of Coinbase, evenals naar hardware wallets, waarmee crypto’s offline worden bewaard. De criminelen achter deze scam maken gebruik van zeer realistische valse formulieren die via e-mail worden verspreid.

Het gevaar schuilt niet alleen in de diefstal van digitale munten, maar ook in de fysieke dreigingen die kunnen ontstaan. Er zijn al gevallen bekend waarbij slachtoffers gedwongen werden hun cryptovaluta over te maken onder bedreiging van geweld. Zo werden in Nederland recent nog vijf verdachten aangehouden in een zaak waarbij een slachtoffer werd ontvoerd om crypto's over te maken.

Deze ontwikkeling benadrukt de gevaren van crypto-gerelateerde cybercriminaliteit, waarbij criminelen steeds geavanceerdere technieken gebruiken om niet alleen digitale gegevens, maar ook persoonlijke informatie van hun slachtoffers te bemachtigen. Het is belangrijk voor cryptobezitters om alert te zijn op dergelijke scams, aangezien de belastingdienst nooit per e-mail om persoonlijke gegevens vraagt en cryptomunten altijd via de reguliere belastingaangifte moeten worden opgegeven.

Het lijkt erop dat cybercriminelen ook doelgericht gebruikers van hardware wallets aanvallen, mogelijk door gebruik te maken van gegevens die in het verleden werden gestolen bij hacks, zoals die van het bedrijf Ledger in 2020.

Dit nieuws weerspiegelt de toenemende complexiteit van digitale en fysieke dreigingen die cryptobezitters kunnen treffen. Het onderstreept de noodzaak voor extra waakzaamheid in een steeds onveiliger wordende digitale wereld.

Bron 1

In de npm Registry zijn honderden packages ontdekt die besmet zijn met malware die gevoelige gegevens steelt van systemen waarop ze worden uitgevoerd. Het gaat hierbij om een aanval die lijkt op een eerder incident, waarbij meer dan vijfhonderd packages werden geïnfecteerd. De recente aanval betreft meer dan driehonderd besmette npm-packages, die ontwikkeld werden voor het beheren van JavaScript-pakketten.

De malware maakt gebruik van de software TruffleHog, die op de systemen zoekt naar gevoelige informatie zoals NPM-tokens, cloudplatform-credentials van Amazon Web Services (AWS), Google Cloud Platform (GCP) en Azure, evenals omgevingsvariabelen. Wanneer de malware gevoelige gegevens heeft verzameld, stuurt het deze informatie naar de aanvallers via een GitHub Action runner, genaamd "SHA1HULUD", een naam die verwijst naar een eerdere aanval van september. Met de gestolen NPM-tokens kan de malware weer andere npm-packages infecteren en zich verder verspreiden.

Dit incident benadrukt de risico's van open-source software die via de npm Registry wordt verspreid en de noodzaak voor ontwikkelaars om waakzaam te blijven bij het gebruik van externe packages. De infecties kunnen verstrekkende gevolgen hebben voor bedrijven en ontwikkelaars die afhankelijk zijn van npm voor hun softwareontwikkeling.

Bron 1, 2

Cybercriminelen maken steeds vaker gebruik van nieuwe tactieken om slachtoffers te misleiden en malware op systemen te installeren. In dit geval wordt een valse Windows Update gepresenteerd als een legitieme updatepagina van Microsoft. Slachtoffers zien een schermvullende pagina die lijkt op het gebruikelijke Windows Update-scherm. Na enige tijd verschijnt de mededeling dat de update niet volledig kan worden afgerond zonder het uitvoeren van bepaalde handelingen.

Om de installatie van de update te voltooien, wordt het slachtoffer gevraagd een aantal toetsencombinaties in te voeren, waaronder het openen van het "Uitvoeren"-venster en het uitvoeren van een commando. Dit commando is echter al op het klembord van het slachtoffer geplaatst door de malafide pagina, en wanneer het slachtoffer het commando uitvoert, wordt malware op het systeem geïnstalleerd. De malware, in de vorm van een infostealer, verzamelt gevoelige gegevens zoals wachtwoorden en inloggegevens en stuurt deze naar de aanvallers.

Deze aanval maakt gebruik van een techniek die "ClickFix" wordt genoemd. Eerder werd deze techniek gebruikt waarbij slachtoffers werd verteld dat het uitvoeren van het commando nodig was om een captcha op te lossen. Deze nieuwe variant is een uitbreiding van die tactiek, waarbij het doel is om systemen te infecteren en gegevens van gebruikers te stelen. Het is echter onbekend waar gebruikers de malafide updatepagina precies kunnen tegenkomen.

Deze vorm van misleiding is bijzonder zorgwekkend, aangezien het slachtoffers direct vraagt om acties uit te voeren die normaal gesproken geassocieerd worden met legitieme systeemupdates. Dit benadrukt opnieuw het belang van alertheid bij het uitvoeren van systeemupdates en het vermijden van verdachte activiteiten op het internet.

Bron 1, 2

Een geavanceerde wervingsfraude die verband houdt met Noord-Korea heeft onlangs zijn weg gevonden naar Amerikaanse ontwikkelaars in kunstmatige intelligentie (AI), software-ingenieurs en professionals uit de cryptowereld. Deze frauduleuze campagne maakt gebruik van een op maat gemaakte, nep-vacaturewebsite om zich voor te doen als een legitiem sollicitatieplatform. De website, die wordt gehost op lenvny[.]com, lijkt op een professioneel recruitmentplatform en is ontworpen met behulp van technologie zoals React en Next.js, waarmee het een indrukwekkende en geloofwaardige uitstraling krijgt.

De frauduleuze website presenteert zichzelf als een “AI-gestuurd interviewtool” voor wervingsdoeleinden. Het biedt een reeks vacatures die specifiek gericht zijn op hooggewaardeerde doelwitten in de AI- en cryptosectoren. De opzet van de website is verrassend gepolijst en authentiek, met een marketinginterface en een ontwerp dat past bij de verwachtingen van de tech-industrie in 2025. Het bevat dynamisch gegenereerde vacatures en een volledig sollicitatieproces, inclusief video-interviews en technische assessments die slachtoffers vragen om code uit te voeren of scripts op hun systemen uit te voeren.

De aanval volgt een specifiek patroon dat bekend staat als de “Contagious Interview”-operatie. Kandidaten worden benaderd via LinkedIn en doorgestuurd naar de nepsite, waar ze worden gevraagd om video-antwoorden op interviewvragen in te dienen. Vervolgens worden ze gevraagd om hun webcam “te repareren” met behulp van een tool, een zogenaamd technische oplossing die in werkelijkheid malware installeert. Deze zogenaamde “ClickFix”-techniek is een sociaal-engineeringaanpak die slachtoffers misleidt om schadelijke software te downloaden.

Deze campagne is gericht op specifieke doelgroepen die toegang hebben tot waardevolle digitale activa of expertise, zoals AI-onderzoekers en cryptoprofessionals. AI-ontwikkelaars hebben vaak toegang tot vertrouwelijke onderzoeksgegevens, modelgewichten en infrastructuren voor inferentie, terwijl crypto-experts vaak werken in omgevingen die digitale activa beheren, wat hen tot aantrekkelijke doelwitten maakt voor aanvallers. De aanvallers richten zich specifiek op deze beroepsgroepen omdat zij werken met systemen die verhoogde systeemprivileges hebben, wat de kans vergroot dat de malware succesvol wordt uitgevoerd.

Beveiligingsexperts raden werkzoekenden aan om sollicitatiesites altijd te controleren op officiële domeinen en geen persoonlijke documenten te uploaden naar onbekende platforms. Kandidaten die gevraagd worden om code uit te voeren tijdens sollicitatiegesprekken moeten altijd scripts zorgvuldig controleren en bij voorkeur in virtuele machines of sandboxomgevingen uitvoeren, om te voorkomen dat schadelijke software hun werkstations compromitteert.

Bron 1

Beveiligingsonderzoekers hebben een geavanceerde Python-gebaseerde malware ontdekt die gebruik maakt van procesinjectie om zich te verbergen in legitieme Windows-binaries. Deze dreiging is een nieuwe evolutie in bestandsloze aanvalstechnieken, waarbij een combinatie van geavanceerde obfuscatie en vertrouwde systeemhulpprogramma's wordt gebruikt om detectie te vermijden.

De malware maakt gebruik van een 65 MB groot bestand dat voornamelijk bestaat uit vullende gegevens, met aan het einde een klein, geldig fragment van een .pyc-bestand dat de daadwerkelijke kwaadaardige code bevat. Dit fragment is ontworpen om processen in legitieme Windows-uitvoerbare bestanden te injecteren. Het gebruik van een Python-runtime-omgeving die samen met een ondertekend uitvoerbaar bestand wordt gebundeld, maakt het moeilijker voor traditionele beveiligingssystemen om de dreiging te identificeren.

Tijdens de analyse werd ontdekt dat de malware verschillende geavanceerde kenmerken vertoont, zoals multi-laag codering, het verbergen van archieftypen en het verpakken van een Python-runtime met een naam die legitiem lijkt. De malware maakt gebruik van een PE-dumper die tijdens de uitvoering een batchscript reconstrueert via runtime decryptie met behulp van SIMD-operaties. Dit script downloadt vervolgens een bestand dat is vermomd als een PNG-afbeelding vanuit cloudopslag, maar in werkelijkheid is het een RAR-archief.

De aanval verloopt in meerdere fasen: nadat het batchscript is uitgevoerd, wordt het archief uitgepakt, waarbij drie componenten worden onthuld, waaronder een gemaskeerde systeembestuurder en een Python-runtime. Vervolgens voert de malware een de-obfuscatieprocedure uit door middel van Base64-decoding, BZ2-decompressie en Zlib-decompressie, voordat de Python-bytecode in het geheugen wordt geladen. Deze code richt zich onmiddellijk op het legitieme cvtres.exe, een Microsoft-hulpprogramma voor het converteren van resources, om het proces te injecteren.

De malware kan communiceren met command-and-control-servers (C2) en blijft actief, zelfs nadat de oorspronkelijke loader is beëindigd. Door zich te verbergen binnen legitieme Microsoft-processen en versleutelde communicatiekanalen te onderhouden, vormt deze malware een bijzonder gevaar voor enterprise-omgevingen, waar traditionele detectiesystemen mogelijk niet in staat zijn de dreiging tijdig te identificeren.

Bron 1

Een nieuwe dreiging, bekend als EtherHiding, maakt gebruik van blockchaintechnologie om malware te verspreiden. Dit maakt het voor beveiligingsteams veel moeilijker om aanvallers te traceren en tegen te houden, omdat de schadelijke payloads kunnen worden gewijzigd zonder de websites waar de aanval begint aan te passen. EtherHiding gebruikt slimme contracten op de blockchain om malware te laden en bij te werken. Dit zorgt voor een dynamischere en moeilijker te detecteren manier van aanvallen.

Het proces begint wanneer een aanvaller kwaadaardige code injecteert in een legitieme website. De geïnjecteerde code toont een nep-CAPTCHA-pagina, die lijkt op een echte beveiligingscontrole en bezoekers vraagt om te bewijzen dat ze menselijk zijn. In plaats van simpelweg een vinkje aan te vinken, worden slachtoffers misleid om code in hun terminal of opdrachtprompt in te voeren. Wanneer zij deze instructies opvolgen, wordt de malware geïnstalleerd zonder dat de beveiligingstools die automatisch gedrag van malware monitoren het detecteren.

Deze aanval maakt gebruik van een gedecentraliseerde infrastructuur, waarbij de payload wordt opgeslagen en opgehaald via blockchaincontracten, met behulp van de Binance Smart Chain. De aanval is specifiek voor zowel Windows- als macOS-systemen, waarbij elk systeem zijn eigen specifieke contracten heeft die een gepersonaliseerde payload leveren. Zodra het slachtoffer via een uniek identificatienummer door een controlecontract wordt geverifieerd, wordt een nep-CAPTCHA weergegeven met instructies die specifiek zijn voor het besturingssysteem van het slachtoffer. Dit zorgt ervoor dat het slachtoffer de schadelijke code zelf uitvoert, waardoor het voor beveiligingssystemen moeilijker wordt om de aanval te detecteren.

Op macOS maakt de malware gebruik van AppleScript en curl-opdrachten om een volledig agent te downloaden en uit te voeren. Deze agent creëert persistentie op het systeem en verzamelt gevoelige gegevens, zoals wachtwoorden, die vervolgens naar de server van de aanvaller worden verzonden. Op Windows-systemen wordt een vergelijkbare aanpak gevolgd, waarbij de malware op een soortgelijke manier wordt gedownload en uitgevoerd.

De combinatie van blockchaintechnologie, social engineering via nep-CAPTCHA’s, en handmatige uitvoering van de schadelijke code maakt EtherHiding tot een uiterst flexibele en moeilijk te traceren aanval. Beveiligingsspecialisten raden aan om websites die nep-CAPTCHA-pagina's vertonen te monitoren en alert te zijn op verdachte clipboardactiviteiten die naar terminalcommando’s verwijzen. Dit kan helpen om de aanval te stoppen voordat de installatie plaatsvindt.

Bron 1

Er is een nieuwe malwarecampagne ontdekt die zich richt op cryptocurrencygebruikers via een misleidend Python-pakket, gehost op de PyPI-repository. De aanvallers verstopten hun schadelijke code in een nep-spelfoutcontroletool, die zich voordeed als het legitieme pyspellchecker-pakket, dat meer dan 18 miljoen downloads heeft. Deze supply chain-aanval maakt gebruik van een vertrouwd softwareplatform om kwaadaardige tools zoals remote access trojans (RAT's) en inloggegevensstelen te verspreiden onder onwetende ontwikkelaars wereldwijd.

De malware is geoptimaliseerd met geavanceerde obfuscatie- en encryptietechnieken om detectie te vermijden. HelixGuard, een beveiligingsbedrijf, heeft ontdekt dat de command-and-control-infrastructuur die aan deze operatie verbonden is, overeenkomt met servers die eerder gebruikt werden in geavanceerde social engineering-campagnes. Dit wijst op een gecoördineerde strategie waarbij aanvallers zijn overgestapt van directe social engineering naar geautomatiseerde verspreiding via open-sourceplatforms, wat hun bereik en effectiviteit aanzienlijk vergroot.

Het kwaadaardige pakket is inmiddels meer dan 950 keer gedownload sinds de uitrol. De malware maakt gebruik van een gefaseerd bezorgmechanisme, waarbij elke fase is ontworpen om de stealth te behouden terwijl de controle over de gecompromitteerde systemen steeds dieper wordt. Het doel van de aanval is voornamelijk het stelen van cryptocurrency-informatie, wat duidt op de financiële motivatie die moderne malware-aanvallen aandrijft. Deze trend van aanvallen op digitale activa-houders blijft toenemen, ongeacht de technische expertise van de slachtoffers.

De infectie begint wanneer gebruikers het kwaadaardige pakket installeren. Het eerste kwaadaardige payload wordt geactiveerd via een Base64-gecodeerd bestand, dat wordt gedecodeerd en uitgevoerd via de Python-functie exec(). Deze techniek zorgt ervoor dat verdachte code niet naar de schijf wordt geschreven, waardoor het moeilijker te detecteren is. Vervolgens maakt de malware verbinding met een server die door de aanvallers wordt gecontroleerd, waar het tweede schadelijke payload wordt gedownload, een volledige remote access trojan. Deze trojan stelt de aanvallers in staat om op afstand commando’s uit te voeren via Python en maakt gebruik van XOR-encryptie om de netwerkcommunicatie te verbergen voor monitoringtools.

Eenmaal geactiveerd, biedt de backdoor volledige controle over het slachtoffer’s computer, waardoor de aanvallers in staat zijn cryptocurrency-portemonnees, inloggegevens en andere gevoelige informatie te stelen. Gebruikers wordt aangeraden hun geïnstalleerde Python-pakketten te controleren, hun afhankelijkheden bij te werken en verdachte pakketten te verwijderen. Organisaties zouden strikte afhankelijkheidsscanning in hun ontwikkelingspijplijnen moeten implementeren en verbindingen met de geïdentificeerde command-and-control-adressen moeten monitoren.

Bron 1

Een nieuwe golf van de Shai-Hulud-campagne heeft onlangs npm-pakketten getroffen, waarbij meer dan 500 pakketten en 700 versies werden gecompromitteerd. De aanval richtte zich op populaire ontwikkeltools van bedrijven zoals @zapier, @asyncapi, @postman, @posthog en @ensdomains. Deze aanvallen gebeurden via accountovernames en compromitteren van ontwikkelaars, waarbij schadelijke wijzigingen werden aangebracht in de betreffende pakketten.

Een van de meest opvallende technieken die door de aanvallers werd gebruikt, was de toevoeging van een preinstall script in de package.json-bestanden. Dit script, genaamd setup_bun.js, fungeerde als een stealthy loader die onopgemerkt de Bun-runtime installeerde en een obfuscated 10MB malwarescript genaamd bun_environment.js uitvoerde. Het uitvoerende script werd zo ontworpen dat alle uitvoer werd onderdrukt om detectie te vermijden.

De getroffen pakketten bevatten belangrijke componenten van bekende tools zoals de @zapier/ai-actions en @postman/mcp-ui-client, en zelfs enkele kritieke libraries voor @asyncapi en @ensdomains. Indien deze pakketten werden geïnstalleerd in omgevingen met toegang tot gevoelige gegevens, kunnen er belangrijke API-sleutels, tokens en wachtwoorden zijn gestolen. Als gevolg van deze aanval wordt gebruikers aangeraden onmiddellijk hun beveiligingssleutels te roteren en de CI/CD-pijplijnen goed te monitoren.

Het onderzoek naar de omvang van deze aanval is nog in volle gang, met verdere updates die regelmatig worden gepubliceerd. Het is van cruciaal belang om kwetsbare en geïnfecteerde versies van npm-pakketten snel te identificeren en de getroffen systemen te beveiligen om verdere schade te voorkomen.

Bron 1

De India-gerelateerde hacker groep Dropping Elephant heeft een geavanceerde cyberaanval uitgevoerd op de defensiesector van Pakistan. Deze aanval maakt gebruik van een Python-gebaseerde remote access trojan (RAT), die verstopt zat in een MSBuild dropper. Het doelwit was onder meer de militaire onderzoeks- en ontwikkelingsafdelingen, evenals inkoopfaciliteiten die gelinkt zijn aan de National Radio and Telecommunication Corporation van Pakistan.

Het aanvalscenario begon met een phishing-e-mail die een schadelijke ZIP-archief bevatte. Wanneer het bestand werd gedownload, bleek het een MSBuild-projectbestand te bevatten, dat als de eerste dropper diende. Het bestand werd gecombineerd met een vervalst PDF-bestand dat legitiem leek. Bij uitvoering van de dropper werden verschillende componenten gedownload naar de Windows-taakmap, waarbij het systeem via geplande taken persistente toegang kreeg. De geplande taken hadden onschuldige namen zoals KeyboardDrivers en MsEdgeDrivers, wat de detectie bemoeilijkte.

Tijdens het onderzoek naar deze aanval ontdekte onderzoeker Idan Tarab dat de groep gebruik maakte van geavanceerde technieken om de aanval te verbergen, waaronder het gebruik van UTF-reverse encryptie om strings te reconstrueren en dynamische API-oplossingen om de detectie door beveiligingstools te vermijden. De manier waarop Dropping Elephant legitieme Windows-hulpprogramma's heeft gemanipuleerd, toont de technische volwassenheid van de groep.

Het hart van de operatie was een volledig ingebedde Python-runtime die naar de AppData-directory werd gedownload. Het bestand, python2_pycache_.dll, was geen echte DLL, maar bevatte gemarshalleerde Python-bytecode. Deze bytecode werd uitgevoerd via pythonw.exe, wat de operatie stealthy maakte door zonder venster te draaien. De malware bevatte verschillende modules die het systeem volledig konden overnemen, inclusief functionaliteiten voor het verzamelen van informatie en het uitvoeren van commando's op het geïnfecteerde systeem.

De malware communiceerde met de command-and-control-infrastructuur via verschillende domeinen, zoals nexnxky.info, upxvion.info en soptr.info. Deze domeinen maakten het moeilijker om de communicatie te blokkeren, aangezien de malware gebruik maakte van gecodeerde variabelen en base64-gecodeerde commando's, wat de handmatige analyse bemoeilijkte.

Deze aanval benadrukt de voortdurende dreiging van geavanceerde, persistent aanvallende groepen die zich richten op kritieke infrastructuur in Zuid-Azië. Het laat ook de noodzaak zien van versterkte monitoring van verdachte MSBuild-uitvoeringen en ongebruikelijke Python-runtime-implementaties in systeembestanden. Organisaties in de defensiesector zouden hun phishing-afweermechanismen moeten aanscherpen en extra waakzaamheid moeten betrachten bij het uitvoeren van systemen die Python bevatten of met MSBuild werken.

Bron 1

Een nieuwe malwarecampagne richt zich op gebruikers in Brazilië en maakt gebruik van WhatsApp als het belangrijkste kanaal voor het verspreiden van banktrojans en het verzamelen van gevoelige informatie. Deze geavanceerde aanval maakt gebruik van sociale engineering door de vertrouwensrelatie die slachtoffers hebben met hun bestaande contacten, waardoor de kwaadaardige bestanden als legitiem worden gepresenteerd.

De campagne begint met phishing-e-mails die gecomprimeerde VBS-scripts bevatten, welke geavanceerde obfuscatietechnieken gebruiken om detectie door beveiligingssoftware te vermijden. Zodra de eerste payload wordt uitgevoerd, wordt Python en de Selenium WebDriver gedownload en geïnstalleerd, waarmee geautomatiseerde interactie met WhatsApp Web mogelijk wordt gemaakt. De malware injecteert vervolgens kwaadaardige JavaScript-code in de browsersessie van het slachtoffer en maakt gebruik van de interne WhatsApp-API’s om contacten op te sommen en verdere payloads te verspreiden.

Deze benadering stelt aanvallers in staat om de infectie te verspreiden zonder dat QR-code-authenticatie nodig is, door bestaande ingelogde sessies te kapen door browsercookies en lokale opslagdata te kopiëren. Onderzoekers van K7 Security Labs hebben deze variant geïdentificeerd als onderdeel van de bredere Water-Saci-campagne, die actief financiële instellingen in Brazilië aanvalt.

De aanval voert zowel een op Python gebaseerde distributiescript uit als een banktrojan die specifiek let op actieve Windows-gerelateerde processen van Braziliaanse banken en cryptocurrency wallets. Door de combinatie van geautomatiseerde berichten en geheugen-only payload-executie blijft de malware onopgemerkt, vooral wanneer de systemen van de slachtoffers en hun contactnetwerken worden gecompromitteerd.

De campagne levert ook een MSI-installatiebestand af dat een AutoIt-script en versleutelde payloadbestanden installeert. Dit secundaire component zorgt voor persistentie via registerwijzigingen en bewaakt continu actieve vensters van het slachtoffer op zoek naar specifieke bankgerelateerde trefwoorden. Wanneer bepaalde financiële instellingen of crypto-wallettoepassingen worden gedetecteerd, wordt de banktrojan geladen in het geheugen, waarbij schijfopslag wordt vermeden, waardoor traditionele op bestand gebaseerde detectiemethoden niet effectief zijn.

Het infectiemechanisme begint wanneer slachtoffers phishing-e-mails ontvangen die ZIP-gecomprimeerde VBS-scriptbestanden bevatten. Deze bestanden maken gebruik van karaktercodering en XOR-encryptie om handtekening-gebaseerde detectie te omzeilen. Het script gebruikt een multi-layered obfuscatiestrategie, waarbij strings karakter voor karakter worden opgebouwd en XOR-operaties worden toegepast om de werkelijke kwaadaardige commando’s te decoderen.

Na de obfuscatiestrategie wordt een MSI-bestand en een ander VBS-bestand gedownload. Het VBS-bestand bevat dezelfde obfuscatiepaden en laat een batchscript vallen dat Python, ChromeDriver en Selenium installeert. Deze geautomatiseerde setup maakt de infrastructuur mogelijk die nodig is voor WhatsApp-automatisering zonder handmatige tussenkomst van de gebruiker.

De Python-script, genaamd whats.py, neemt de controle over de WhatsApp Web-sessie van het slachtoffer door browserprofielgegevens, waaronder cookies, lokale opslag en IndexedDB-bestanden, naar een tijdelijke map te kopiëren. Vervolgens wordt Chrome opgestart met deze gekopieerde gegevens, waardoor de QR-code-authenticatie wordt omzeild. Nadat de malware is geauthenticeerd, injecteert het JavaScript vanuit GitHub in de WhatsApp Web-pagina, waardoor toegang wordt verkregen tot interne API-functies zoals WPP.contact.list en WPP.chat.sendTextMessage.

Het script haalt vervolgens de contactlijst van het slachtoffer op, waarbij groeps- en zakelijke accounts, evenals contacten met specifieke nummerpatronen, worden gefilterd. Deze verzamelde contacten worden vervolgens in batches verstuurd met kwaadaardige ZIP-bestanden die de volgende fase van de infectie bevatten, waardoor de campagne zich verspreidt over netwerken van slachtoffers en gedetailleerde logbestanden naar de server van de aanvaller worden gestuurd.

Bron 1

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gebruikers van de populaire chatapplicaties WhatsApp en Signal gewaarschuwd voor recente aanvallen met commerciële spyware. Deze aanvallen richten zich voornamelijk op hooggeplaatste individuen, zoals overheidsfunctionarissen, militairen en politici, maar ook op maatschappelijke organisaties en individuen in Europa, de Verenigde Staten en het Midden-Oosten. De aanvallers maken gebruik van geavanceerde technieken, waaronder phishing, malafide QR-codes en zeroclick-exploits, die geen enkele interactie van het slachtoffer vereisen om toegang te verkrijgen tot de chatapplicaties en de telefoons van de doelwitten.

Signal-gebruikers waren eerder dit jaar al doelwit van dergelijke aanvallen, waarbij apps werden gepromoot die zich voordeden als de originele chatapplicaties. Daarnaast wordt er melding gemaakt van aanvallers die proberen toegang te krijgen via gespoofte applicaties of misbruik maken van kwetsbaarheden in de software van de apps.

Het CISA adviseert gebruikers om veiligheidsmaatregelen te treffen, zoals het inschakelen van specifieke beveiligingsinstellingen op zowel iPhone- als Android-apparaten, en het beperken van de permissies van apps. Ook wordt gebruikers afgeraden om SMS-berichten te gebruiken voor gevoelige communicatie, gezien de kwetsbaarheid van dit kanaal. De CISA benadrukt verder het belang van het volgen van best practices voor mobiele communicatie om het risico op spyware-aanvallen te verminderen.

Bron 1, 2

Een nieuwe campagne verspreidt de StealC V2 infostealer malware via malafide Blender-bestanden, die zijn geüpload naar 3D-model marktplaatsen zoals CGTrader. Deze aanval wordt toegeschreven aan Russische dreigingsactoren en maakt gebruik van Blender’s mogelijkheid om Python-scripts uit te voeren voor automatisering van workflows en het laden van aangepaste interfacepanelen. Door de Auto Run-functie in Blender te gebruiken, kunnen kwaadaardige scripts automatisch geladen worden wanneer gebruikers een 3D-model openen.

Onderzoekers van Morphisec hebben bevestigd dat de malafide Blender-bestanden een malware-loader ophalen van een Cloudflare Workers-domein. Dit script laadt vervolgens een PowerShell-script dat twee ZIP-bestanden met de namen ZalypaGyliveraV1 en BLENDERX ophaalt. Deze bestanden worden uitgepakt in de tijdelijke map van de computer en plaatsen opstartbestanden om de malware persistent te maken. De gedropte malware omvat de StealC V2 infostealer, die in staat is om gegevens te stelen van meer dan 23 verschillende browsers, meer dan 100 cryptocurrency wallet-extensies, en berichten- en e-mailclients zoals Telegram en Discord.

Ondanks dat de StealC malware al sinds 2023 bekend is, is het moeilijk te detecteren voor antivirussoftware. Dit benadrukt de noodzaak voor 3D-modellisten en gebruikers van dergelijke marktplaatsen om extra voorzichtig te zijn bij het downloaden van bestanden van onbekende of onbetrouwbare bronnen. Het wordt sterk aangeraden om de Auto Run-functie in Blender uit te schakelen en om alleen bestanden van vertrouwde uitgevers te gebruiken.

Bron 1

Onderzoekers hebben vastgesteld dat via de online codeformatters JSONFormatter en CodeBeautify duizenden gevoelige gegevens van organisaties wereldwijd tijdelijk openbaar toegankelijk waren. Het gaat om wachtwoorden, authenticatiesleutels, configuratiebestanden en persoonsgegevens die afkomstig zijn uit sectoren zoals overheid, bankwezen, kritieke infrastructuur, gezondheidszorg, verzekeringen, telecommunicatie, technologie en cybersecurity. Deze gegevens waren toegankelijk via de recente links functie van de platforms, waar gebruikers opgeslagen JSON bestanden konden delen via directe links.

Bij het opslaan van codefragmenten bieden de platforms een link waarmee de inhoud kan worden geraadpleegd. Deze links bleken zonder enige vorm van beveiliging publiek beschikbaar en volgens de onderzoekers ook gemakkelijk vindbaar via geautomatiseerd zoeken. In totaal werden meer dan 80.000 JSON bestanden verzameld, goed voor ruim 5 gigabyte aan informatie, die in sommige gevallen jaren online beschikbaar was. De inhoud bevatte onder meer inloggegevens voor Active Directory, cloudomgevingen, databases, API tokens, privésleutels en configuratiebestanden van gevoelige systemen. In bepaalde gevallen betrof het bestanden die interne hostnamen, netwerkadressen, scripts voor systeemconfiguratie en registrysleutels bevatten.

Ook bleek dat kwaadwillende scanners actief op dergelijke gegevens jagen. Onderzoekers plaatsten testgegevens op de platforms, die ondanks verwijdering na 24 uur nog steeds werden opgehaald en getest door onbekende partijen. Een deel van de organisaties die werden geïnformeerd over het lek nam maatregelen, maar veel bestanden bleven toegankelijk via de onbeveiligde Recent Links omgeving.

Bron 1, 2

Cybersecurity-experts hebben onlangs een kwaadaardige campagne ontdekt die gebruik maakt van nep Windows-update pop-ups op volwassen websites, waaronder kloons van xHamster en PornHub, om gebruikers te misleiden. Deze aanvallen maken gebruik van ClickFix-technieken, waarbij de aanvallers een valse "kritieke beveiligingsupdate" presenteren. Wanneer gebruikers hierop klikken, wordt schadelijke code uitgevoerd, die de systemen van slachtoffers infecteert met verschillende soorten malware.

De aanval wordt vermoedelijk verspreid via malvertising en sociale-engineeringtechnieken. Slachtoffers worden naar nep-websites geleid, die lijken op populaire volwassen platforms, en worden vervolgens misleid om een zogenaamd Windows-updateproces te starten. Dit leidt tot de uitvoering van een PowerShell-script, dat kwaadaardige software op het systeem installeert. De malware kan variëren van informatie-steelers zoals Rhadamanthys Stealer en Vidar Stealer tot meer geavanceerde remote access trojans (RATs).

Wat deze aanvallen bijzonder zorgwekkend maakt, is de moeilijkheid om de kwaadaardige code te detecteren. De aanvallers passen verschillende lagen van obfuscatie toe om te voorkomen dat de malware wordt geanalyseerd. Daarnaast wordt er steganografie gebruikt om schadelijke code in afbeeldingen te verbergen, wat het voor onderzoekers uitdagend maakt om de volledige aanval te doorgronden.

Deze aanvalstechnieken benadrukken het groeiende risico van ClickFix-aanvallen, waarbij de gebruiker onbewust zijn eigen systeem infecteert door een vals commando uit te voeren. Het gebruik van een nep Windows-update en de psychologische druk die hiermee gepaard gaat, maakt deze aanvallen bijzonder effectief.

In Nederland en België worden gebruikers steeds vaker het slachtoffer van dit soort social engineering-aanvallen, waarbij malvertising en obfuscatie steeds vaker worden toegepast om beveiligingsmaatregelen te omzeilen. Bedrijven en particulieren moeten zich bewust zijn van deze dreiging en zorgvuldig omgaan met pop-ups die hen aansporen tot het uitvoeren van onbekende of verdachte commando's.

Bron 1

De Superbox-streamingapparaten, die te koop zijn bij grote detailhandelaren zoals BestBuy en Walmart, bieden voor een eenmalige betaling van ongeveer $400 toegang tot duizenden betaalde streamingdiensten zoals Netflix en ESPN. Deze producten lijken op het eerste gezicht een goede deal voor consumenten die op zoek zijn naar betaalbare toegang tot televisie- en filmcontent. Echter, experts wijzen op de risico's die verbonden zijn aan deze apparaten, die vaak beveiligingskwetsbaarheden bevatten die ze vatbaar maken voor misbruik in cybercriminaliteit.

In tegenstelling tot de officiële Android TV-apparaten, gebruiken deze Superbox-apparaten onofficiële software die het mogelijk maakt om content te streamen zonder de vereiste licenties, maar dit brengt ook beveiligingsrisico's met zich mee. De benodigde apps voor het streamen van onbeperkte content leiden de internetverbinding van gebruikers naar een gedistribueerd proxy-netwerk, wat vaak wordt misbruikt voor frauduleuze activiteiten zoals advertentiefraude en accountovername.

Beveiligingsexperts zoals Ashley van Censys hebben vastgesteld dat de Superbox-apparaten verbinding maken met servers van Tencent QQ en de proxyservice Grass IO. Dit soort onveilige verbindingen maken de apparaten kwetsbaar voor het worden opgenomen in botnets, die gebruikt kunnen worden voor allerlei vormen van cybercriminaliteit, van gegevensdiefstal tot het uitvoeren van grootschalige fraude.

Hoewel de verkoop van dergelijke apparaten legaal is, moeten gebruikers zich bewust zijn van de risico's die gepaard gaan met het installeren van onofficiële apps. In Nederland en België kan het gebruik van dergelijke software zelfs leiden tot juridische problemen, aangezien het mogelijk in strijd is met auteursrechtwetten en de digitale veiligheidsregels.

Daarnaast kan het gebruik van deze streamingboxen leiden tot compromittering van thuisnetwerken, waarbij gebruikers onbewust hun internetverbinding delen voor criminele doeleinden. Dit heeft implicaties voor de veiligheid van de gebruiker, die mogelijk hun persoonlijke gegevens en netwerk blootstelt aan externe bedreigingen.

Voor Nederlandse en Belgische consumenten is het belangrijk om te begrijpen dat het aanschaffen van dergelijke apparaten niet zonder risico is. Naast de mogelijke juridische gevolgen kunnen de beveiligingsrisico's groot zijn, wat de integriteit van persoonlijke netwerken in gevaar kan brengen. Het gebruik van deze producten kan leiden tot deelname aan grotere netwerken van kwaadaardige bots, met gevolgen die verder gaan dan alleen het verlies van persoonlijke gegevens.

Bron 1

Cybercriminelen zijn al vroeg begonnen met hun Black Friday phishingcampagnes, waarbij ze zich richten op zowel vroege koopjesjagers als de merken die zij vertrouwd vinden. Dit gebeurt niet alleen in de VS, maar ook in Nederland en België, waar vergelijkbare phishing-aanvallen zijn waargenomen. De eerste pogingen werden al begin november gedetecteerd, maanden voordat de gebruikelijke kortingen van Black Friday van start gingen. Volgens een analyse van KnowBe4 Threat Labs, een platform voor beveiligingsbewustzijnstraining, steeg het aantal Black Friday-gerelateerde phishingmails al op 1 november tot 8% van alle waargenomen e-mails.

Deze vroege start van de phishingcampagnes helpt aanvallers om hun technieken te testen, filteringssystemen te omzeilen en consumenten die op zoek zijn naar vroege kortingen te misleiden. Door valse webwinkels op te zetten en frauduleuze aanbiedingen te verspreiden, kunnen criminelen profiteren van de hoge vraag naar kortingen tijdens de periode voor Black Friday.

De phishingpogingen richten zich op de bekende merken Amazon, Lidl, Costco en IKEA, die ook in Nederland en België veel consumenten aanspreken. Deze merken worden vaak geïmiteerd in phishingmails en frauduleuze websites. Deal Watchdogs, een populaire website voor het volgen van aanbiedingen, wordt vaak nagebootst in 84% van de phishingmails. De aanvallers gebruiken deze lokkertjes om consumenten te verleiden hun persoonlijke gegevens of betaalinformatie in te vullen.

Hoewel de piek in aanvallen na 1 november afneemt, blijven de phishingpogingen door de maand november heen consistent aanwezig. De meeste aanvallen richten zich op vroege bargain hunters en gebruiken thema's zoals kortingen op Amazon-apparaten of exclusieve aanbiedingen van populaire merken. In Nederland en België zijn veel van deze scams gericht op bekende supermarkten zoals Lidl, evenals op internationale ketens zoals IKEA en Costco, waarbij frauduleuze cadeaubonaanbiedingen vaak worden verspreid.

Cybercriminelen maken gebruik van generatieve AI om frauduleuze websites steeds realistischer te maken. Deze websites bootsten aanbiedingen en banners van grote retailers na, en zetten countdown timers en schaarsteberichten in om consumenten te dwingen tot impulsieve aankopen. Ze maken ook gebruik van betaalde advertenties op Google en Meta om slachtoffers te lokken.

De waarschuwing is duidelijk: wees uiterst voorzichtig met aanbiedingen, vooral als ze te goed lijken om waar te zijn. Het is van belang om altijd te controleren of de website veilig is en de aangeboden deal te verifiëren om te voorkomen dat je slachtoffer wordt van een fraude.

Bron 1

Onderzoekers hebben een nieuwe aanval ontdekt waarbij Mac-gebruikers verleid worden om een valse update voor de populaire software FFmpeg te downloaden. Deze zogenaamde update blijkt in werkelijkheid een backdoor te installeren, waarmee aanvallers toegang krijgen tot het slachtoffer's systeem. De aanval begint vaak via een LinkedIn-bericht, waarin slachtoffers worden benaderd door een zogenaamde recruiter. Zij worden gevraagd om te solliciteren naar een functie en hiervoor een video-introductie in te sturen.

Wanneer slachtoffers de link naar de opgegeven website volgen, worden zij eerst gevraagd om een "job assessment" in te vullen. Daarna krijgen zij de opdracht om een video-introductie op te nemen. Als ze proberen toegang te krijgen tot de camera, krijgen ze de melding dat de toegang is geblokkeerd. De aanvallers laten hen vervolgens een "update" voor FFmpeg downloaden om het probleem op te lossen. Om deze update te verkrijgen, moeten slachtoffers een commando in de Terminal uitvoeren. Dit commando downloadt een script dat uiteindelijk de backdoor installeert.

Naast de backdoor wordt er ook een 'decoy' applicatie gedownload die zich voordoet als een waarschuwing van de Chrome-browser, met een verzoek om toegang tot de camera. Vervolgens verschijnt er een venster waarin om het wachtwoord van de gebruiker wordt gevraagd. Wat het slachtoffer invoert, wordt direct naar een Dropbox-account van de aanvallers gestuurd.

Deze aanval benadrukt de risico's van ongevraagde sollicitaties en de gevaren van het uitvoeren van onbekende commando's in de Terminal. Organisaties worden aangemoedigd hun medewerkers bewust te maken van dergelijke dreigingen en waakzaam te blijven voor verdachte sollicitatie-aanvragen.

Bron 1

Firewalls, routers en vpn's van Nederlandse bedrijven blijven een belangrijk doelwit voor zowel statelijke als criminele actoren. Dit blijkt uit het recent gepubliceerde Cybersecuritybeeld Nederland 2025 (CSBN), waarin de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) aangeeft dat vooral edge devices, zoals firewalls en vpn's aan de rand van netwerken, vaak het doelwit zijn van aanvallen. De NCTV benadrukt dat deze apparaten, die vaak als toegangspoort fungeren tot grotere netwerken, steeds vaker worden aangevallen om toegang te verkrijgen tot andere systemen binnen de organisatie.

Een voorbeeld van deze aanvallen is het incident bij het Openbaar Ministerie (OM), waar aanvallers erin slaagden om Citrix-systemen te compromitteren. Dit incident benadrukt de voortdurende dreiging van aanvallen op edge devices. De NCTV meldt dat vooral Chinese actoren, die vaak gebruik maken van gesofisticeerde aanvalsinfrastructuren en malware, verantwoordelijk zijn voor veel van deze aanvallen. Deze aanvallers zijn volgens de NCTV succesvol in het infiltreren van westerse overheden en bedrijven.

Bovendien wijst het CSBN 2025 op de snelle exploitatie van kwetsbaarheden in edge devices. Zodra kwetsbaarheden bekend worden, kunnen aanvallers binnen enkele uren of dagen misbruik maken van deze zwakheden. Dit geeft organisaties maar weinig tijd om beveiligingsupdates of patches te installeren, waardoor het risico op een succesvolle aanval aanzienlijk toeneemt.

Het rapport van de NCTV legt ook de nadruk op het belang van goede digitale basishygiëne. Het niet tijdig installeren van beveiligingsupdates blijft een van de belangrijkste oorzaken van digitale incidenten. Aangezien de dreigingen steeds diverser en complexer worden, blijft het essentieel dat organisaties hun digitale basisbeveiliging op orde houden om zich te wapenen tegen dergelijke aanvallen.

Bron 1

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in het Cybersecuritybeeld Nederland 2025 ernstige zorgen geuit over de huidige staat van cybersecurity binnen de Rijksoverheid. Volgens de NCTV biedt de bestaande beveiliging onvoldoende bescherming en creëert het een vals gevoel van veiligheid. Dit wordt versterkt door het feit dat overheidsorganisaties vaak niet in staat zijn om cyberaanvallen zelfstandig te detecteren of te mitigeren, ondanks diverse projecten en initiatieven die zijn opgezet om de beveiliging te verbeteren.

Het rapport benadrukt dat het onmogelijk is om met zekerheid te stellen dat er momenteel geen incidenten zijn waarbij overheidsinstanties zijn gecompromitteerd. Er wordt aangegeven dat veel overheidsorganisaties niet voldoen aan de informatiebeveiligingsrichtlijnen die de Rijksoverheid zelf heeft vastgesteld. De mate van digitale weerbaarheid verschilt sterk tussen organisaties en sectoren, maar het is duidelijk dat er nog aanzienlijke stappen moeten worden gezet.

Daarnaast wordt gewezen op de risico's die ontstaan door de afhankelijkheid van externe digitale dienstverleners, waarbij de afwegingen rondom deze risico's onvoldoende zijn. Het is dan ook noodzakelijk dat de Rijksoverheid niet alleen de bescherming van digitale infrastructuren verbetert, maar ook zorg draagt voor effectieve terugvalopties in geval van storingen of uitval van digitale processen.

De NCTV concludeert dat er aanzienlijke verbeteringen nodig zijn om de digitale veiligheid van de Rijksoverheid te waarborgen en om de risico’s van cyberdreigingen effectief te beheren.

Download rapport (pdf)

De dreigingsactoren achter de malwarefamilie RomCom hebben onlangs een Amerikaanse ingenieursfirma aangevallen via een JavaScript-loader, SocGholish, waarmee ze de Mythic Agent-malware verspreidden. Dit markeert de eerste keer dat een RomCom-payload via SocGholish werd gedistribueerd, volgens een rapport van Arctic Wolf Labs. De aanval werd toegeschreven aan een Russische militaire eenheid, Unit 29155 van de GRU, die eerder al betrokken was bij cyberaanvallen tegen Oekraïense en NAVO-gerelateerde organisaties.

De aanval werd uitgevoerd via een nep-updatemelding voor webbrowserupdates van Google Chrome of Mozilla Firefox, die op legitieme maar gecompromitteerde websites werd getoond. Gebruikers werden verleid om schadelijke JavaScript-bestanden te downloaden, die vervolgens een malwareloader installeerden. Deze loader haalt aanvullende malware binnen, waaronder de Mythic Agent, een krachtige tool die wordt gebruikt voor afstandsbediening van geïnfecteerde systemen.

De RomCom-groep maakt gebruik van verschillende aanvalsmethoden, waaronder spear-phishing en zero-day exploits, om systemen te infiltreren en de remote access trojan (RAT) op doelwitsystemen te installeren. In dit specifieke geval wisten de aanvallers na infectie de controle over het systeem te krijgen door middel van een reverse shell, waarmee ze commando’s konden uitvoeren en verdere backdoors konden installeren, waaronder een Python-backdoor genaamd VIPERTUNNEL.

Hoewel de aanval werd gestopt voordat verdere schade kon worden aangericht, benadrukt deze gebeurtenis de voortdurende dreiging van RomCom, vooral gericht op Oekraïne en gerelateerde entiteiten. De snelheid waarmee de aanval van toegang tot infectie verloopt, maakt SocGholish tot een bijzonder gevaarlijke techniek die wereldwijd organisaties blootstelt aan risico’s. De aanval werd gedetecteerd en gestopt binnen minder dan dertig minuten, nadat het doelwit was bevestigd via Active Directory.

Bron 1

NTLM (New Technology LAN Manager) is een verouderd authenticatieprotocol dat nog steeds veelvuldig wordt gebruikt in Windows-omgevingen, ondanks de goed gedocumenteerde kwetsbaarheden en Microsofts plannen om het protocol uit te faseren. In 2025 wordt NTLM actief misbruikt in cyberaanvallen, met name door middel van technieken zoals NTLM-relay, credential forwarding en man-in-the-middle-aanvallen. Ondanks de bekendheid van deze kwetsbaarheden blijft NTLM in veel bedrijfsnetwerken aanwezig, vaak door compatibiliteitseisen of verouderde applicaties die nog afhankelijk zijn van dit protocol.

In de afgelopen jaren zijn er steeds nieuwe kwetsbaarheden ontdekt die aanvallers de mogelijkheid geven om NTLM op verschillende manieren te misbruiken. Een belangrijke techniek is hash-lekage, waarbij NTLM-hashes per ongeluk worden blootgesteld via phishing-aanvallen of slecht geconfigureerde netwerkinstellingen. Deze hashes kunnen vervolgens worden gebruikt in pass-the-hash-aanvallen, waarbij aanvallers zich kunnen voordoen als een geverifieerde gebruiker zonder het wachtwoord daadwerkelijk te kennen.

Daarnaast zijn er aanvallen waarbij de aanvaller een slachtoffer dwingt om zich aan te melden bij een server die door de aanvaller wordt beheerd, een techniek die bekend staat als coercion-based attacks. Dit maakt het mogelijk om NTLM-hashes af te vangen en later te gebruiken om toegang te krijgen tot andere systemen binnen het netwerk. In veel gevallen wordt dit gecombineerd met man-in-the-middle-aanvallen, waarbij de aanvaller de communicatie tussen de client en de server onderschept en manipuleert om toegang te verkrijgen tot gevoelige systemen.

In 2025 zijn er meerdere kwetsbaarheden gerapporteerd die direct verband houden met NTLM, waaronder CVE-2024-43451 en CVE-2025-24054. Deze kwetsbaarheden stellen aanvallers in staat om NTLM-hashes te lekken zonder dat er veel interactie van de gebruiker vereist is. In sommige gevallen wordt de kwetsbaarheid actief misbruikt in aanvallen die gericht zijn op specifieke regio’s, zoals Latijns-Amerika en Rusland, waar cybercriminelen gebruikmaken van sociale engineering en andere technieken om hun malware te verspreiden.

De afhankelijkheid van NTLM blijft een belangrijke zorg voor cybersecurity-experts, omdat het protocol nog steeds wijdverspreid wordt gebruikt in veel bedrijfsomgevingen. De afwezigheid van moderne beveiligingsmechanismen zoals kanaalbinding en wederzijdse authenticatie maakt NTLM bijzonder kwetsbaar voor misbruik. De recente incidenten laten zien dat cybercriminelen nieuwe manieren blijven vinden om dit verouderde protocol te exploiteren, waardoor de veiligheid van netwerken in gevaar komt.

Microsoft heeft plannen om NTLM in de komende jaren uit te faseren, maar tot dat moment blijven organisaties kwetsbaar voor aanvallen die gebruikmaken van dit protocol. Het wordt sterk aanbevolen om NTLM te deactiveren of ten minste te beperken tot de meest kritieke systemen, en om te investeren in modernere en veiligere authenticatieprotocollen, zoals Kerberos.

Bron 1

Zscaler Threat Hunting heeft recent een complexe meerfasige aanval van de Water Gamayun APT-groep (Advanced Persistent Threat) geanalyseerd, die gebruikmaakte van een exploit in de Microsoft Management Console (MMC). Deze aanval werd uitgevoerd met behulp van een opzet die ogenschijnlijk onschadelijke zoekopdrachten en documenten gebruikte, maar uiteindelijk verborgen PowerShell-aanvallen en malware-virussen bracht. Water Gamayun, die vaak in verband wordt gebracht met Russische operaties, richt zich op bedrijven en overheidsnetwerken, waarbij ze steelt en inlichtingen verzamelt via langdurige en stealth-aanvallen.

De aanval begon met een ogenschijnlijk normale zoekopdracht via Bing naar een legitieme website. Dit leidde naar een vervalste domeinnaam die de gebruiker omleidde naar een kwaadaardige RAR-archief met een dubbele bestandsextensie. Dit archief werd gepresenteerd als een PDF-document, maar het bevatte een bestand dat uiteindelijk een exploit uitvoerde op de MSC EvilTwin-vulnerabiliteit (CVE-2025-26633) binnen de MMC. Het kwaadwillige bestand injecteerde code in het legitieme proces van mmc.exe en zette een reeks PowerShell-scripts in werking om de aanval voort te zetten.

In de eerste fase van de aanval werd een geïnfecteerd bestand gedownload dat een code injecteerde via de taskpad-functionaliteit in MMC. Dit leidde tot de uitvoering van PowerShell-scripts die verder verborgen bestanden binnenhaalden, waaronder een RAR-bestand dat een wachtwoord beschermde. Deze scripts zorgden ervoor dat de malware werd uitgevoerd zonder detectie door de gebruiker. Het tweede stadium van de aanval bracht een script dat C# gebruikte om consolevensters te verbergen, terwijl een schijnbaar onschuldige PDF werd getoond om de gebruiker te misleiden.

In de laatste fase van de aanval werd een backdoor geïnstalleerd, vermoedelijk gerelateerd aan bekende Water Gamayun-malware zoals EncryptHub of SilentPrism. Het exacte type malware kon niet worden bevestigd, omdat de communicatie met de command-and-control-infrastructuur werd verstoord. De Zscaler Threat Hunting-team voerde een grondige reconstructie van de aanval uit en koppelde het gebruik van specifieke PowerShell-obfuscatie, het ongewone gebruik van MSC EvilTwin en de infrastructuurpatronen aan de Water Gamayun-groep.

Water Gamayun is een APT-groep die bekend staat om hun verfijnde technieken, waaronder het misbruiken van zero-day kwetsbaarheden, het uitvoeren van proxy-executies via vertrouwde binaries, en het toepassen van geavanceerde obfuscatie om beveiligingsmaatregelen te omzeilen. Hun operaties zijn vaak gericht op strategische inlichtingenverzameling en het verkrijgen van gevoelige gegevens, waarbij ze lange tijd verborgen blijven in systemen.

Deze campagne illustreert opnieuw de geavanceerde tactieken van Water Gamayun, waarbij ze zowel nieuwe als gevestigde kwetsbaarheden exploiteren om door te dringen in netwerken en hun aanwezigheid te verbergen. De Zscaler Threat Hunting heeft hun analyses gebruikt om nieuwe detectiemethoden te ontwikkelen die organisaties kunnen helpen deze geavanceerde dreigingen te identificeren en tegen te gaan.

Bron 1

Een recente aanval via de Visual Studio Code Marketplace heeft duizenden ontwikkelaars wereldwijd getroffen, waaronder in Nederland en België. De kwaadaardige extensie, "prettier-vscode-plus," werd ontdekt op 21 november 2025 en was ontworpen om ontwikkelaars te misleiden door zich voor te doen als de legitieme Prettier-codeformatter. Deze vervalsing, een vorm van merkbedrog, maakte gebruik van de populariteit van Prettier om gebruikers te lokken die op zoek waren naar opmaaktools voor hun code.

De kwaadaardige extensie werd snel geïdentificeerd door de beveiligingsonderzoekers van Checkmarx en binnen vier uur na publicatie van de Marketplace verwijderd. Toch had de extensie al zes keer gedownload en drie keer geïnstalleerd voordat deze actie werd ondernomen.

De malware die werd verspreid via de vervalste extensie, de Anivia Stealer, richtte zich specifiek op het stelen van inloggegevens en andere gevoelige informatie van Windows-gebruikers. De malware was gericht op het verkrijgen van login-gegevens en privécommunicatie, waaronder WhatsApp-berichten. Het is een voorbeeld van hoe cybercriminelen steeds meer gebruik maken van social engineering en merkbedrog om ontwikkelaars te targeten en waardevolle data te stelen.

Beveiligingsonderzoekers onthulden dat de malware een multi-stage-aanval uitvoerde, waarbij de eerste fase een geavanceerde techniek gebruikte om de payload te verbergen. Deze techniek maakte gebruik van PowerShell-opdrachten om de kwaadaardige code zonder sporen op de computer van het slachtoffer uit te voeren. Dit soort aanvallen maakt gebruik van geavanceerde technieken om beveiligingssystemen te omzeilen en minimaliseert de kans op detectie.

Deze aanval benadrukt de noodzaak voor ontwikkelaars en cybersecurityprofessionals in Nederland en België om alert te blijven op dergelijke bedreigingen, aangezien de aanvallers steeds geavanceerder en doelgerichter te werk gaan. De dreiging van malware zoals de Anivia Stealer is een duidelijk signaal dat iedereen in de techgemeenschap waakzaam moet blijven bij het installeren van extensies en tools, zelfs als ze lijken te komen van vertrouwde bronnen.

Bron 1

Microsoft heeft de beveiligingsrisico’s gepresenteerd van een nieuwe agentic AI-functie, die momenteel wordt getest binnen Copilot Labs. Deze geavanceerde technologie maakt het mogelijk om alledaagse taken, zoals het organiseren van bestanden, het plannen van afspraken en interactie met applicaties, automatisch te laten uitvoeren door digitale agenten. Deze ontwikkeling biedt aanzienlijke productiviteitsvoordelen, maar roept ook belangrijke zorgen op op het gebied van gegevensbeveiliging.

De agentic AI-functie werkt met op de achtergrond actieve digitale agenten die toegang hebben tot gebruikersbestanden en mappen, zoals documenten, downloads en bureaubladbestanden. Microsoft stelt dat deze agenten in een geïsoleerde werkomgeving opereren, wat aanvankelijk een veiligheidsverbetering lijkt. Echter, de betrokkenheid van deze agenten bij meerdere taken vergroot de aanvalsvectoren voor kwaadwillende actoren. Hackers zouden bijvoorbeeld via kwaadaardige documenten of app-interfaces cross-prompt injectie kunnen toepassen. Dit houdt in dat ze schadelijke opdrachten kunnen versteken aan de agenten, zoals het onbedoeld stelen van gegevens of installeren van malware, zonder dat de gebruiker hier direct van op de hoogte is.

De methode van cross-prompt injectie zorgt ervoor dat malafide inhoud in documenten of app-interfaces kan worden verwerkt als legitieme opdrachten door de agenten. Dit zou kunnen resulteren in ongewilde acties, zoals het wissen van belangrijke bestanden. Microsoft benadrukt dat deze vorm van aanval afwijkt van traditionele malware-aanvallen, aangezien de agenten taken automatisch uitvoeren op basis van ingevoerde instructies. De nadruk ligt dan ook op het verbeteren van toezicht en het strikt beperken van de bevoegdheden van deze digitale agenten om dergelijke aanvallen te voorkomen.

Ondanks de beveiligingsmaatregelen die Microsoft heeft genomen, zoals een manipulatieweerstandige auditlog en gedetailleerde gebruikersautorisatie, blijft waakzaamheid noodzakelijk. Het testprogramma van deze technologie is nog in de beginfase, maar bedrijven die deze technologie in de toekomst willen implementeren, moeten zich bewust zijn van de risico's en ervoor zorgen dat de juiste controlemechanismen aanwezig zijn om de veiligheid te waarborgen.

Bron 1

Albert Heijn heeft klanten gewaarschuwd voor een nieuwe phishingcampagne waarbij oplichters zich voordoen als het bedrijf. De nepmails bieden ontvangers een "gratis foodbox" aan in ruil voor het invullen van een korte enquête. Bij het klikken op de links in de e-mail worden slachtoffers echter gevraagd om hun creditcardgegevens in te vullen, waarmee de oplichters proberen toegang te krijgen tot vertrouwelijke financiële informatie.

Het Nederlandse supermarktbedrijf heeft inmiddels een speciale pagina op haar website geplaatst waarop klanten kunnen leren hoe ze dergelijke phishingpogingen kunnen herkennen. Deze waarschuwing komt te midden van een stijgende trend van online oplichting, waarbij fraudeurs steeds creatiever worden in het misleiden van consumenten. Albert Heijn roept klanten op om verdachte e-mails direct te melden en waarschuwt hen niet in te gaan op dergelijke aanbiedingen. De supermarktketen benadrukt dat zij nooit persoonlijke gegevens via e-mail vraagt en adviseert klanten om altijd zorgvuldig te controleren of e-mails daadwerkelijk van hen afkomstig zijn.

Dit incident benadrukt de voortdurende dreiging van online oplichting in Nederland en de noodzaak voor consumenten om alert te blijven op digitale bedreigingen. Het is belangrijk dat iedereen zich bewust is van de gevaren van phishing en andere vormen van online fraude.

Bron 1

Een nieuw botnet, ShadowV2, gebaseerd op de bekende Mirai-malware, heeft zich onlangs gericht op IoT-apparaten van verschillende leveranciers, waaronder D-Link, TP-Link en DigiEver. Dit botnet maakt gebruik van meerdere kwetsbaarheden, waaronder bekende zwaktes in router- en NAS-apparaten. Het werd opgemerkt tijdens de grote AWS-uitval in oktober 2025. Hoewel er geen direct verband is tussen de uitval en de botnet-aanvallen, was de activiteit van ShadowV2 uitsluitend waargenomen tijdens de duur van de storing, wat erop wijst dat het mogelijk om een test ging.

ShadowV2 maakt gebruik van acht kwetsbaarheden in IoT-apparaten om zich te verspreiden. Onder andere zijn er kwetsbaarheden in DD-WRT, D-Link, TP-Link, DigiEver en TBK-apparaten gebruikt. Het meest opvallende voorbeeld is een kwetsbaarheid in D-Link-apparaten, die al sinds 2020 bekend is maar niet gepatcht werd door de fabrikant. ShadowV2 maakt misbruik van deze zwaktes door apparaten over de hele wereld te infecteren.

De aanval is waargenomen in meerdere regio’s wereldwijd, waaronder Noord- en Zuid-Amerika, Europa, Afrika, Azië en Australië. Dit geeft de omvang van de dreiging aan, waarbij routers, NAS-apparaten en DVR's in sectoren zoals overheid, technologie, productie, telecommunicatie en onderwijs werden getroffen.

De malware zelf, ShadowV2, is vergelijkbaar met eerdere Mirai-varianten en is ontworpen om gedistribueerde denial-of-service (DDoS) aanvallen uit te voeren op UDP, TCP en HTTP-protocollen. Dit maakt het tot een krachtig middel voor cybercriminelen die via botnets aanvallen kunnen uitvoeren. De botnet-infrastructuur stuurt commando’s naar de geïnfecteerde apparaten om aanvallen te initiëren.

Momenteel is nog niet bekend wie verantwoordelijk is voor ShadowV2, noch wat hun verdienmodel is, aangezien de botnet mogelijk niet gericht is op financieel gewin, zoals vaak het geval is bij DDoS-aanvallen. Experts waarschuwen gebruikers om de firmware van hun apparaten regelmatig bij te werken om dergelijke aanvallen te voorkomen.

Bron 1, 2, 3

Een nieuwe Malware-as-a-Service (MaaS)-dreiging genaamd "Olymp Loader" is sinds juni 2025 actief en wordt actief gepromoot op ondergrondse hackerforums zoals XSS en HackForums. De malware, gepromoot door een operator genaamd "OLYMPO", is een geavanceerd hulpmiddel dat volledig in Assembly-taal is geschreven. Het doel van deze marketingstrategie is om cybercriminelen aan te trekken door hoge prestaties en weerstand tegen reverse engineering te claimen. De tool fungeert als een veelzijdige suite die werkt als een loader, crypter en stealer, wat de drempel voor aanvallers verlaagt die gebruik willen maken van ontwijkingstechnieken en complexe infectieroutines.

Olymp Loader heeft snel de reputatie opgebouwd "Volledig Ondetecteerbaar" (FUD) te zijn, met een zeer lage detectiegraad op VirusTotal. Het verspreidt zich via social engineering-campagnes, waarbij het zich vaak voordoet als legitieme software-downloads zoals PuTTY, Zoom of Node.js-executables die worden gehost op platforms zoals GitHub. Deze misleidende vectoren overtuigen gebruikers om de kwaadaardige code uit te voeren, waardoor de infectieketen op de machine van het slachtoffer wordt geactiveerd. Het gebruik van gerenommeerde platforms zoals GitHub voor het hosten van de kwaadaardige bestanden maakt detectie complexer, omdat netwerkverkeer naar deze sites vaak legitiem lijkt voor beveiligingsapparaten.

Beveiligingsanalisten van Picus Security hebben geconstateerd dat Olymp Loader vaak gevaarlijke payloads levert, zoals LummaC2 en Raccoon Stealer. De malware is snel geëvolueerd, met een strategische verschuiving in augustus 2025 van een botnet-architectuur naar een gestroomlijnd dropper-model. Deze verschuiving toont de snelle aanpassingsvermogen van de ontwikkelaar om technische uitdagingen en marktvraag vanuit de cybercriminelen te beantwoorden.

Een belangrijk onderdeel van de ontwijkingsstrategie van Olymp Loader is de inzet van geavanceerde anti-analysemechanismen om een succesvolle infectie te garanderen. De malware is in staat om Windows Defender uit te schakelen door specifieke PowerShell-opdrachten uit te voeren om de realtime bewaking uit te schakelen en paduitzonderingen voor scanning toe te passen. Dit proces zorgt ervoor dat de kwaadaardige code ongestoord kan draaien, ongehinderd door endpoint-beveiligingsoplossingen die op de host zijn geïnstalleerd. De verschuiving naar uitgebreidere uitsluitingslijsten in latere versies toont het vermogen van Olymp Loader om zich effectief te verbergen voor standaardbeveiligingscontroles.

Bron 1

Sinds de release van Battlefield 6 in oktober 2025 is het spel uitgegroeid tot een van de meest verwachte game-lanceringen van het jaar. Cybercriminelen hebben echter snel gebruikgemaakt van de populariteit van het spel om kwaadaardige software te verspreiden. Ze hebben nep-gecrackte versies van het spel en frauduleuze game trainers gecreëerd en verspreid via torrentwebsites en underground forums. Deze campagnes richten zich op nietsvermoedende spelers die op zoek zijn naar spelmodificaties.

De aanvallers gebruiken bekende game-crackgroepen zoals InsaneRamZes en RUNE om de nepbestanden geloofwaardigheid te geven en zo het vertrouwen van gebruikers te winnen. Dit is een veelgebruikte tactiek die ook in andere sectoren voorkomt, waarbij merken worden geïmiteerd om slachtoffers te misleiden.

De criminelen hebben drie verschillende soorten malware ontwikkeld, die elk verschillende doelen dienen. Deze malware varieert van informatie-stealers die browserdata en cryptocurrency-walletgegevens stelen, tot malware die op afstand controle kan uitoefenen over geïnfecteerde systemen.

Volgens onderzoekers van Bitdefender Labs werden deze kwaadaardige campagnes geïdentificeerd door meerdere monsterbestanden te analyseren. Ze ontdekten dat geen van de kwaadaardige bestanden daadwerkelijk de functionaliteit van Battlefield 6 bevatte, en dat ze waarschijnlijk afkomstig waren van verschillende dreigingsgroepen, gezien hun verschillende technische benaderingen.

De eerste malwarevariant opereert als een simpele maar agressieve informatie-stealer die zich vermomt als een "Battlefield 6 Trainer Installer." Het is eenvoudig te vinden op de tweede zoekpagina van Google, wat het zeer toegankelijk maakt voor potentiële slachtoffers. Zodra het wordt uitgevoerd, scant de malware lokale mappen en browserprofielen om gevoelige gegevens te stelen, zoals crypto-walletinformatie, sessies van browsers zoals Chrome, Edge en Firefox, en tokens van platforms zoals Discord.

De tweede variant, verspreid als “Battlefield 6.GOG-InsaneRamZes,” is geavanceerder en maakt gebruik van technieken om detectie te vermijden. Het blokkeert de uitvoering van de malware in landen als Rusland of de landen van de GOS en gebruikt Windows API-hashing om zijn activiteiten te verbergen. Deze malware voert ook anti-sandbox detecties uit, die controleren of het zich op een veilige omgeving bevindt.

De derde variant wordt verspreid als een ISO-afbeelding van Battlefield 6 en levert een persistente command-and-control agent. Dit bestand, met een grootte van 25 MB, bevat gecomprimeerde data die wordt uitgepakt en een bestand genaamd “2GreenYellow.dat” maakt. Het bestand wordt stilletjes uitgevoerd en probeert voortdurend verbinding te maken met een server, die lijkt te communiceren via de infrastructuur van Google. Dit wijst erop dat de malware in staat is om op afstand commando's uit te voeren of in de toekomst gegevens te stelen.

De campagne toont aan hoe cybercriminelen gebruikmaken van populaire spellen en andere digitale trends om malware te verspreiden en toegang te krijgen tot gevoelige gegevens. Deze aanvallen benadrukken het belang van voorzichtigheid bij het downloaden van software van onbetrouwbare bronnen.

Bron 1

Hackers hebben hun aanvallen op de telecom- en media-industrie de laatste maanden opgevoerd, waarbij ze steeds geavanceerdere technieken gebruiken om kwaadaardige payloads te verspreiden. Het doel van deze aanvallen is om kritieke infrastructuur van de sector te compromitteren en toegang te krijgen tot gevoelige systemen. Dergelijke campagnes worden steeds vaker geconstateerd, waarbij een groeiend aantal netwerkoperators, mediaplatforms en uitzenddiensten doelwit zijn. Deze aanvallen worden gekarakteriseerd door een gestructureerde en gecoördineerde aanpak van geavanceerde, aanhoudende bedreigingsactoren die zich richten op het overnemen van systemen om langetermijncontrole te verkrijgen.

De aanvallen beginnen meestal met verkenning van kwetsbaarheden binnen de netwerkinfrastructuur, gevolgd door het strategisch inzetten van kwaadaardige payloads. Deze payloads worden vervolgens ontworpen om de aanvallers langdurige toegang te bieden, vaak via versleutelde communicatielijnen die de traditionele detectie-instrumenten kunnen omzeilen. Dit maakt het moeilijk voor organisaties om de indringers tijdig op te sporen.

In de afgelopen 90 dagen werden telecom- en mediabedrijven het meest getroffen, wat blijkt uit het feit dat 56 procent van alle geregistreerde aanvallen gericht was op deze sector. Met name ransomware-aanvallen, die gebruikmaken van kwetsbaarheden in webapplicaties en netwerkconfiguraties, zijn op grote schaal uitgevoerd. In veel gevallen wordt geheugengebaseerde uitvoering van malware gebruikt om de detectie te ontwijken en het systeem te compromitteren. Zodra de aanvallers toegang hebben, worden verschillende tactieken ingezet om de besmetting te bestendigen, zoals het aanpassen van registers, het opzetten van geplande taken en het injecteren van kwaadaardige code in legitieme processen.

De recente statistieken wijzen erop dat binnen de telecom- en media-industrie 65 bedrijven het slachtoffer zijn geworden van ransomware-aanvallen, waarvan 62 procent in de Verenigde Staten plaatsvond. Vooral de Qilin-groep blijkt bijzonder actief te zijn, maar ook andere opkomende groepen zoals Nightspire en Beast richten zich steeds meer op dit type infrastructuur. De systematische benadering van meerdere dreigingsactoren om een specifieke sector te destabiliseren wijst op een gecoördineerde poging om kritieke communicatie-infrastructuur te verstoren.

Deze aanvallen benadrukken de noodzaak voor organisaties binnen deze sectoren om geavanceerde detectiesystemen in te voeren en continue monitoring van netwerkinfrastructuren te handhaven, zodat aanvallen snel kunnen worden gedetecteerd en ingegrepen kan worden voordat de aanvallers langdurige toegang verkrijgen.

Bron 1

De cybercrimineel ByteToBreach is op dit moment een aanzienlijke bedreiging in de ondergrondse marktplaatsen, waar hij wereldwijd gevoelige gegevens van luchtvaartmaatschappijen, banken, universiteiten en overheden verhandelt. Het is duidelijk dat deze acteur al actief is sinds ten minste juni 2025, waarbij hij zijn technische vaardigheden combineert met agressieve zelfpromotie op verschillende DarkWeb-forums, Dread, Telegram en zelfs een publieke WordPress-website.

De doelwitten van ByteToBreach bevinden zich in diverse landen, waaronder Oekraïne, Kazachstan, Cyprus, Polen, Chili, Oezbekistan en de Verenigde Staten. De gelekte datasets bevatten onder meer passagierslijsten van luchtvaartmaatschappijen, gegevens van bankmedewerkers, databases van de gezondheidszorg en overheidsbestanden. Verschillende getroffen organisaties hebben deze inbreuken bevestigd of technische sporen geverifieerd, waarmee de authenticiteit van de claims wordt bevestigd.

Onderzoek door de beveiligingsonderzoekers van KELA heeft geleid tot de identificatie van ByteToBreach, die gebruik maakt van verschillende technische benaderingen, waaronder het misbruiken van bekende kwetsbaarheden in cloud- en bedrijfsinfrastructuren, het hergebruiken van gestolen inloggegevens van infostealers en phishingcampagnes, en het benutten van brute-force-aanvallen of misconfiguraties om toegang te krijgen.

Na toegang tot systemen, richt de aanvaller zich op het exfiltreren van gegevens, met de nadruk op personeelsbestanden, databases, back-ups en andere gevoelige documenten. In augustus 2025 werd een website opgericht onder de naam “Pentesting Ltd”, die eruitzag als een professionele dienstverlener en beweringen bevatte van gehackte bedrijven die als “klanten” werden gepresenteerd. De website bevatte banners met uitdagende uitspraken zoals “Laat me je gegevens beschadigen” en “Industrie leidende bedreigingsactor”.

Deze zaak benadrukt hoe moderne cybercriminelen legitieme technische capaciteiten combineren met criminele bedoelingen, waarbij ze marketingtechnieken gebruiken om gestolen gegevens te monetariseren op wereldwijde markten.

Bron 1

Een nieuwe dreiging heeft zich gemanifesteerd binnen de Solana-handelgemeenschap. Beveiligingsonderzoekers hebben een kwaadaardige Chrome-extensie ontdekt, genaamd Crypto Copilot, die zich voordoet als een handige handelstool voor Solana-handelaren, maar in werkelijkheid stilletjes cryptocurrency steelt van gebruikers tijdens transacties. De extensie werd op 18 juni 2024 gepubliceerd op de Chrome Web Store en is sindsdien beschikbaar gebleven, terwijl het honderden handelaren heeft opgelicht die dachten een legitiem hulpmiddel te gebruiken.

De extensie stelt zich voor als een oplossing voor Solana-handelaren die snel swaps willen uitvoeren via het sociale mediaplatform X. Het is ontworpen om verbinding te maken met populaire wallets zoals Phantom en Solflare, en toont realtime tokeninformatie van DexScreener. Transacties worden via Raydium geleid, een van de grootste gedecentraliseerde beurzen op Solana. De marketingmaterialen beloven snelheid, gemak en één-klik-handel zonder enige vermelding van verborgen kosten of extra transacties.

Beveiligingsanalisten van Socket.dev ontdekten het kwaadaardige gedrag in de code van de extensie. Achter de aantrekkelijke interface bevindt zich een geavanceerd mechanisme om transactiekosten te stelen zonder dat de gebruiker het merkt. Elke keer dat een gebruiker een swap uitvoert, voegt de extensie een verborgen overdracht in die minimaal 0,0013 SOL of 0,05% van het totale transactiebedrag naar een door de aanvaller gecontroleerd wallet-adres stuurt.

De aanval werkt door de transactieconstructie op het blockchain-niveau te manipuleren. Wanneer gebruikers een swap starten, bouwt de extensie eerst de legitieme Raydium-swapinstructie op. Vervolgens voegt de extensie stilletjes een tweede instructie toe die een SystemProgram.transfer-commando bevat, waarmee SOL van de wallet van de gebruiker naar het adres van de aanvaller wordt overgemaakt. De gebruikersinterface toont alleen de swapgegevens, waardoor een valse indruk van legitimiteit wordt gecreëerd. Meeste wallet-bevestigingsschermen tonen een samenvatting van de transactie zonder de afzonderlijke instructies te markeren, zodat gebruikers een transactie ondertekenen die beide instructies uitvoert op de blockchain.

De onderzoekers ontdekten ook andere kwaadaardige functies in de extensie. De extensie exfiltreert de publieke sleutels van de aangesloten wallets naar een backend-server, waardoor er privacyproblemen ontstaan. Bovendien worden gevoelige infrastructuurgegevens blootgesteld door de embedded Helius RPC API-credentials, wat de beveiligingsrisico's verder vergroot.

Ondanks deze ontdekkingen is de Chrome Web Store-vermelding van de extensie onveranderd gebleven, zonder waarschuwingen voor potentiële gebruikers over de verborgen kosten of de gegevensverzameling die op de achtergrond plaatsvindt.

Bron 1

De opkomst van ongecontroleerde grote taalmodellen (LLM’s) zoals WormGPT 4 en KawaiiGPT heeft het voor onervaren hackers mogelijk gemaakt om geavanceerde aanvallen uit te voeren, waarbij deze tools helpen bij het genereren van kwaadaardige code en het automatiseren van aanvallen. Deze modellen worden steeds vaker gebruikt door cybercriminelen, die toegang krijgen via betaalde abonnementen of gratis lokale versies van de modellen. Het WormGPT-model, dat oorspronkelijk in 2023 werd geïntroduceerd, heeft zijn weg gevonden naar de cybercrimegemeenschap, en de nieuwste versie, WormGPT 4, biedt nog geavanceerdere functionaliteit, zoals ransomware-encryptie en laterale bewegingen binnen netwerken.

Onderzoekers van Palo Alto Networks Unit 42 hebben de mogelijkheden van WormGPT 4 getest en ontdekten dat het model in staat is om werkende scripts te genereren voor ransomware die alle PDF-bestanden op een Windows-host kan versleutelen. Het gegenereerde script maakt gebruik van het AES-256-algoritme en kan zelfs gegevens via Tor exfiltreren. Het model produceerde ook een overtuigende losgeldbrief die “militair-geclassificeerde encryptie” claimt en een 72-uursdeadline stelt voor de betaling, wat het voor aanvallers gemakkelijker maakt om geloofwaardige phishing- en zakelijke e-mailcompromis (BEC)-aanvallen uit te voeren.

KawaiiGPT, een ander kwaadaardig LLM dat dit jaar is gesignaleerd, kan worden gebruikt om goedgeconfigureerde phishingberichten te genereren en scripts te maken die laterale bewegingen binnen netwerken automatiseren. Dit model maakt het ook mogelijk om bestanden op Windows-systemen te doorzoeken en gecompromitteerde gegevens via e-mail naar de aanvaller te sturen. Hoewel KawaiiGPT geen volledige ransomware-payloads kan genereren zoals WormGPT 4, kan het wel gebruikt worden om aanvallers te helpen bij het verhogen van hun machtigingen en het uitvoeren van aanvullende kwaadaardige handelingen.

Beide modellen worden gedeeld en besproken op gespecialiseerde Telegram-kanalen, waar leden tips en adviezen uitwisselen. Deze ontwikkeling toont aan dat kwaadaardige LLM's niet langer een theoretische dreiging vormen, maar daadwerkelijk actief worden ingezet door cybercriminelen, die zo aanvallen op grotere schaal kunnen uitvoeren en geavanceerdere technieken kunnen gebruiken zonder diepgaande technische kennis. De potentie van deze tools om de dreiging in cyberspace te versterken, maakt het voor zelfs de minst ervaren hackers mogelijk om zeer geavanceerde cyberaanvallen uit te voeren.

Bron 1

De cyberaanvalscampagne van de dreigingsactor bekend als Bloody Wolf, die vanaf juni 2025 actief is, heeft zich recentelijk uitgebreid naar Oezbekistan en Kirgizië. Deze groep maakt gebruik van spear-phishing-aanvallen om NetSupport RAT (Remote Access Trojan) te verspreiden, vooral gericht op de overheids-, financiële en IT-sectoren. Dit soort aanvallen kunnen ook relevant zijn voor organisaties in Nederland en België, aangezien de gebruikte technieken wereldwijd kunnen worden toegepast.

De aanvallers maken gebruik van schadelijke e-mailbijlagen, die de ontvanger misleiden door officiële documenten van overheidsinstanties te imiteren. Het doel is om een Java Archive (JAR)-bestand te laten uitvoeren, waarmee de NetSupport RAT wordt gedownload. Deze malware stelt de aanvallers in staat om op afstand toegang te krijgen tot geïnfecteerde systemen, met behulp van verschillende methoden om zichzelf in stand te houden, zoals het aanpassen van systeemtaken en het toevoegen van opstartscripts.

De aanvallen maken ook gebruik van geofencing, waarbij verzoeken van buiten Oezbekistan worden omgeleid naar legitieme overheidswebsites, terwijl gebruikers binnen Oezbekistan daadwerkelijk de schadelijke bestanden downloaden. Dit soort geavanceerde aanvallen benadrukt het groeiende risico voor landen in Europa, waaronder Nederland en België, waar soortgelijke tactieken in de toekomst kunnen worden ingezet.

Het gebruik van eenvoudig verkrijgbare tools en social engineering maakt deze aanvallen relatief goedkoop, maar zeer effectief, en benadrukt de noodzaak voor organisaties wereldwijd om alert te blijven op deze steeds geavanceerdere dreigingen.

Bron 1

De Tomiris APT-groep heeft in 2025 nieuwe tools en technieken ontwikkeld voor cyberaanvallen. Deze groep richt zich op buitenlandse ministeries, intergouvernementele organisaties en overheidsinstanties, met als doel toegang te krijgen tot diplomatieke en politieke infrastructuren. De groep maakt gebruik van verschillende kwaadaardige hulpmiddelen, waaronder reverse shells in verschillende programmeertalen, zoals Go, Rust, C/C#, C++, Python en PowerShell. Deze tools communiceren vaak via openbare diensten zoals Discord en Telegram, wat hen helpt om kwaadaardig verkeer te verbergen en zo detectie door beveiligingstools te vermijden.

De aanvallen beginnen vaak met phishing-e-mails die een kwaadaardig archief bevatten, meestal met een wachtwoord in de e-mailtekst. Na het uitvoeren van de kwaadaardige bestand worden systemen geïnfecteerd met verschillende soorten backdoors en implantaten. Een opvallend kenmerk van de Tomiris-aanvallen is het gebruik van open-source C2-frameworks zoals Havoc en AdaptixC2, die de aanvallers in staat stellen om lange tijd toegang tot de systemen te behouden en verdere schade aan te richten.

In sommige gevallen wordt de infectie gevolgd door het downloaden van extra payloads, zoals het AdaptixC2-framework, via methoden zoals bitsadmin, curl, PowerShell en certutil. Deze frameworks kunnen op hun beurt zorgen voor verdere exploitatie en het verkrijgen van systeembeheerdersrechten.

De slachtoffers van deze aanvallen zijn voornamelijk Russische entiteiten en sprekers van andere talen uit Centraal-Azië, zoals Turkmenistan, Kirgizië, Tadzjikistan en Oezbekistan. De gebruikte technieken zijn geavanceerd en zijn gericht op het verkrijgen van langdurige toegang zonder gedetecteerd te worden. De evolutie in de tactieken van Tomiris benadrukt de nadruk die de groep legt op stealth en volharding.

Dit recente onderzoek onderstreept de noodzaak voor geavanceerde detectiestrategieën, zoals gedragsanalyse en netwerkverkeersinspectie, om dergelijke dreigingen effectief te kunnen identificeren en mitigeren.

Bron 1

Digitale agenda's zijn tegenwoordig onmisbare hulpmiddelen voor het beheren van persoonlijke en professionele schema’s. Veel gebruikers abonneren zich op externe kalenders voor openbare feestdagen, sportevenementen of gemeenschapsactiviteiten om hun agenda’s up-to-date te houden. Hoewel deze abonnementen gemak bieden, creëren ze een blijvende verbinding tussen het apparaat van de gebruiker en een extern serverdomein.

Wanneer het domein dat de kalender host verloopt of wordt verlaten, ontstaat er een aanzienlijke kwetsbaarheid. Cybercriminelen kunnen deze verlopen domeinen opnieuw registreren en daarmee het vertrouwen dat oorspronkelijk door het abonnement was opgebouwd misbruiken. Deze aanvalsmethode is bijzonder gevaarlijk, omdat het geen nieuwe actie van het slachtoffer vereist. Het apparaat van de gebruiker blijft namelijk automatisch synchronisatieverzoeken sturen naar het nu kwaadwillige domein.

Aanvallers kunnen op deze manier verschillende bedreigingen rechtstreeks in de kalenderinterface van de gebruiker injecteren, variërend van scareware die zich voordoet als systeemwaarschuwingen tot phishing-links die zich voordoen als exclusieve aanbiedingen. Dit type aanval is moeilijk te detecteren, omdat het traditionele e-mailfilters omzeilt door gebruik te maken van het impliciete vertrouwen dat gebruikers hebben in hun persoonlijke planningstools.

Een recent onderzoek door Bitsight beveiligingsanalisten onthulde meer dan 390 verlaten domeinen die nog steeds actief synchronisatieverzoeken ontvangen. De analyse wees uit dat deze domeinen dagelijks communiceren met ongeveer vier miljoen unieke IP-adressen, voornamelijk van iOS- en macOS-apparaten. Dit wijst op de enorme schaal waarop een eenvoudig verlopen domein miljoenen gebruikers kan blootstellen aan potentiële aanvallen zonder hun medeweten.

Het onderzoek identificeerde specifieke technische patronen die deze exploitatie mogelijk maken. De HTTP-verzoeken vertonen een duidelijke “User-Agent”-string die het iOS-kalendersysteem identificeert, wat bevestigt dat het verzoek een achtergrondproces betreft en geen door de gebruiker geïnitieerde browserbezoek is. Deze techniek maakt het mogelijk om geavanceerde malware of phishing-aanvallen via kalenders te distribueren, zonder dat de gebruiker hier ooit bewust van is.

Bron 1

In de Python-gemeenschap is recentelijk een kwetsbaarheid ontdekt die developers in gevaar kan brengen. Het betreft verouderde bootstrap-scripts die in legacy-pakketten van Python zijn achtergelaten. Deze scripts bevatten harde verwijzingen naar externe domeinen die niet langer onder controle staan van de oorspronkelijke beheerders, wat ze vatbaar maakt voor overname door kwaadwillende actoren. Het probleem ontstond door het gebruik van een verouderd domein, python-distribute[.]org, dat sinds 2014 niet meer in gebruik is en inmiddels te koop staat.

Als een aanvaller het domein zou kunnen bemachtigen, kunnen ze kwaadaardige payloads hosten die automatisch gedownload en uitgevoerd worden bij het gebruik van de besmette scripts. Dit biedt een directe route voor supply chain-aanvallen, waarbij de normale beveiligingscontrolemechanismen worden omzeild. De scripts zijn vooral gevaarlijk omdat ze zonder enige validatie of controle code van deze externe bronnen ophalen, waardoor het mogelijk is voor aanvallers om code uit te voeren met volledige privileges van de ontwikkelaar.

De kwetsbaarheid wordt niet geactiveerd tijdens een standaard pip-installatie, maar kan wel tot een probleem leiden als de scripts handmatig worden uitgevoerd of tijdens een build-proces. Onderzoekers hebben de kwetsbaarheid aangetoond door een proof-of-concept-exploit te ontwikkelen die de kwetsbaarheid in verschillende populaire pakketten, zoals slapos.core, aanstak.

De impact van deze kwetsbaarheid ligt vooral in de verwaarlozing van legacy-code die nog steeds in veel repositories aanwezig is, hoewel veel ontwikkelaars inmiddels zijn overgestapt op nieuwere verpakkingsstandaarden. Het probleem wordt versterkt door de manier waarop de scripts afhankelijkheden resolven zonder enige controle op de integriteit van de gedownloade code. De ontdekking van deze kwetsbaarheid benadrukt het belang van het onderhouden en updaten van oude softwarecomponenten in de open-source gemeenschap.

Bron 1

Een nieuwe, geavanceerde cyberaanval is geïdentificeerd die wordt uitgevoerd door de groep "Scattered Lapsus$ Hunters". Deze aanvallers hebben hun focus verlegd naar het misbruiken van kwetsbaarheden in de toeleveringsketen. De aanval richt zich op Zendesk, een essentieel platform voor klantenservice, en maakt gebruik van deze vertrouwde zakelijke tool om bedrijfsinformatie te verzamelen en gevoelige gegevens te stelen.

De aanvallers hebben meer dan veertig domeinen geregistreerd die op het eerste gezicht legitiem lijken, maar die in werkelijkheid zijn ontworpen om te profiteren van typfouten in domeinnamen, zoals znedesk[.]com en vpn-zendesk[.]com. Deze domeinen bevatten valse Single Sign-On (SSO) portals die in staat zijn om de inloggegevens van nietsvermoedende gebruikers te onderscheppen.

De infrastructuur van de aanval toont een gecoördineerde poging om detectie te vermijden. De aanvallers maakten gebruik van diensten zoals NiceNic voor domeinregistratie en Cloudflare voor het maskeren van de werkelijke naamservers, wat hun poging om de phishingpagina's langer actief te houden vergemakkelijkte. Dit stelde hen in staat om aanzienlijke hoeveelheden high-privilege inloggegevens te verzamelen voordat tegenmaatregelen werden genomen.

De impact van deze aanval reikt verder dan alleen het stelen van inloggegevens. Beveiligingsanalisten van Reliaquest hebben malware geïdentificeerd die deze campagne verbindt met eerdere aanvallen op Salesforce in augustus 2025. Nadat de aanvallers de initiële authenticatielaag hebben omzeild, kunnen ze verder bewegen binnen de netwerken van bedrijven, wat hen toegang geeft tot gevoelige klantgegevens, zoals facturatie-informatie en overheids-ID's. Dit lijkt sterk op de gegevensdiefstal die plaatsvond bij een aanval op Discord in september 2025.

Een van de gevaarlijkste tactieken van de groep is het gebruik van legitieme ondersteuningsverzoeken om de traditionele beveiligingsmaatregelen van bedrijven te omzeilen. In plaats van phishing-e-mails te gebruiken, dienen de aanvallers valse tickets in via het Zendesk-systeem. Deze tickets, die vaak doen alsof ze dringend systeembeheerverzoeken of wachtwoordresets zijn, bevatten links naar de gevaarlijke domeinen of bevatten schadelijke payloads. Wanneer helpdeskmedewerkers de tickets openen, activeren ze per ongeluk Remote Access Trojans (RAT's), waarmee de aanvallers op afstand toegang krijgen tot de systemen en verdere aanvallen kunnen uitvoeren.

De Scattered Lapsus$ Hunters hebben aangegeven dat zij van plan zijn om deze operaties voort te zetten, met een focus op het verzamelen van klantdatabases tijdens het vakantieseizoen van 2026. Deze campagne illustreert een aanzienlijke evolutie in hun capaciteiten en toont aan hoe vergevorderde cybercriminelen in staat zijn om onopgemerkt ernstige schade toe te brengen via bekende en vertrouwde platformen.

Bron 1

In de aanloop naar de feestdagen van 2025 hebben cybercriminelen een massale aanval opgezet door duizenden domeinnamen te registreren die inspelen op populaire zoekwoorden zoals “Kerstmis”, “Black Friday” en “Flash Sale”. Dit is onderdeel van een bredere strategie waarbij valse webshops worden opgezet om onoplettende consumenten in Nederland en België te misleiden en hun persoonlijke gegevens te stelen.

In de afgelopen drie maanden zijn er wereldwijd maar liefst 18.000 vakantiegerelateerde domeinen geregistreerd, die zijn ontworpen om legitieme webwinkels na te doen. Veel van deze sites hebben slechts kleine variaties in hun URL, waardoor ze moeilijk te onderscheiden zijn voor consumenten die snel online winkelen. De sites worden gebruikt voor phishingcampagnes en fraude, waarbij vooral cadeaubonfraude en betaalpagina's worden ingezet om gegevens van consumenten te stelen.

Hoewel veel van de domeinen nog inactief zijn om detectie te vermijden, zijn er al duizenden van deze websites actief, met als doel de consumenten in de feestdagenperiode te misleiden. Cybersecurity-experts wijzen op de rol van geautomatiseerde tools die de schaal van de campagne vergroten en de frauduleuze websites hoog in zoekresultaten plaatsen, waardoor ze naast legitieme sites verschijnen wanneer consumenten op zoek zijn naar aanbiedingen.

De gevolgen van deze aanval worden verder vergroot door een toename van gestolen inloggegevens. Er circuleren momenteel meer dan 1,5 miljoen gestolen accounts van populaire e-commercewebsites op ondergrondse markten, die door cybercriminelen kunnen worden gebruikt om snel toegang te krijgen tot accounts en betalingen te doen.

Daarnaast wordt er specifiek ingegaan op kwetsbaarheden in e-commerceplatforms, zoals de CVE-2025-54236 in Adobe Magento. Deze kwetsbaarheid kan door aanvallers worden gebruikt om zonder authenticatie toegang te krijgen tot beheerdersaccounts en schadelijke code in te voeren, wat leidt tot diefstal van persoonlijke gegevens en verdere systeemcompromittaties.

Dit bericht is niet alleen relevant voor consumenten in Nederland en België, maar benadrukt ook de noodzaak voor webshops en consumenten om extra waakzaam te zijn in deze drukke winkelperiode.

Bron 1

Het afgelopen kwartaal heeft een aantal ernstige kwetsbaarheden blootgelegd die door hackers wereldwijd worden misbruikt, zowel in Nederland als België. Deze kwetsbaarheden zijn vooral gerelateerd aan veelgebruikte software en netwerkapparaten, waaronder routers, servers en verschillende populaire applicaties. De lijst van misbruikte kwetsbaarheden bevat een aantal die specifiek gericht zijn op IoT-apparaten, maar ook op belangrijke softwarecomponenten die in verschillende sectoren worden ingezet, van overheidsinstellingen tot grote bedrijven en consumenten.

Een van de meest voorkomende kwetsbaarheden betreft Metabase (CVE-2023-38646), een open-source business intelligence tool die wordt gebruikt door organisaties van verschillende groottes, van startups tot universiteiten. Deze kwetsbaarheid is in de afgelopen 30 dagen wereldwijd gezien bij 52 unieke IP-adressen in Nederland, wat aangeeft dat deze kwetsbaarheid vaak wordt aangewend door aanvallers. Daarnaast wordt de Cisco RV320/RV325 router (CVE-2019-1653), veelgebruikt door KMO's en thuisgebruikers, vaak aangevallen, ondanks het feit dat er sinds de ontdekking al een patch beschikbaar is. Ook Huawei's Home Gateway (CVE-2017-17215), een veelgebruikte router voor internetverbindingen in huishoudens en kleine bedrijven, wordt nog steeds actief aangevallen.

De lijst bevat ook kwetsbaarheden in applicaties zoals Apache HTTP Server (CVE-2021-42013), die wordt gebruikt door zowel grote ondernemingen als kleinere bedrijven om websites en webapplicaties te hosten. De voortdurende exploitatie van deze kwetsbaarheden benadrukt de noodzaak voor regelmatige updates en patches, aangezien aanvallers actief misbruik maken van bekende zwakke plekken om ongeautoriseerde toegang te verkrijgen en gegevens te stelen.

De kwetsbaarheid in SolarWinds Serv-U (CVE-2024-28995), een bestandsoverdrachtsoplossing die door veel organisaties wordt gebruikt voor veilige bestandoverdracht, is ook een belangrijke zorg. Na de bekende supply chain-aanval op SolarWinds in 2020, blijft deze software een aantrekkelijk doelwit voor cybercriminelen, vooral gezien het potentiële risico van datalekken. In de recente meldingen is de exploitatie van deze kwetsbaarheid gesignaleerd, vooral in België, met aanzienlijke dreigingen voor zowel overheidsinstellingen als private organisaties.

Deze kwetsbaarheden illustreren de voortdurende dreiging die gepaard gaat met het niet up-to-date houden van systeemsoftware en apparaten. Het is essentieel voor organisaties in zowel de publieke als de private sector om beveiligingspatches tijdig toe te passen en kwetsbare systemen regelmatig te controleren op tekenen van misbruik.

Overzicht

In de afgelopen 24 uur zijn verschillende kwetsbaarheden in software en hardware trending geworden op sociale media, die aanzienlijke aandacht krijgen van beveiligingsexperts. Deze kwetsbaarheden, die variëren van geheugenbeveiliging tot SQL-injecties, brengen grote risico’s met zich mee voor gebruikers wereldwijd, inclusief bedrijven en overheden. De hoogste prioriteit ligt bij de CVE's die betrekking hebben op kritieke toegangscodezwaktes en mogelijke externe code-executie.

Een van de opvallendste kwetsbaarheden is CVE-2025-21479, die betrekking heeft op de Graphics component van Qualcomm’s Adreno GPU-driver. Deze kwetsbaarheid kan leiden tot geheugencorruptie door ongeautoriseerde uitvoering van commando's in de GPU-microcode, wat aanzienlijke gevolgen kan hebben voor systemen die deze component gebruiken. De 'hype score' van deze CVE is 8.6, wat wijst op een grote bezorgdheid in de beveiligingsgemeenschap.

Andere belangrijke kwetsbaarheden die veel aandacht trekken zijn CVE-2025-13315 en CVE-2025-12421, die respectievelijk toegangscode-inbreuken in Twonky Server en Mattermost vertegenwoordigen. Beide kwetsbaarheden kunnen leiden tot het uitlekken van gevoelige gegevens of zelfs volledige accountovername. De hoge scores van deze CVE's geven aan dat ze als bijzonder gevaarlijk worden beschouwd.

Verder is er de SQL-injectiekwetsbaarheid in de Slider & Popup Builder plugin voor WordPress, die wordt aangeduid als CVE-2025-2011, welke aanvallers in staat stelt om gevoelige informatie uit databases te extraheren. Dit type kwetsbaarheid komt vaak voor in populaire plugins, wat het risico voor gebruikers verhoogt.

De lijst wordt verder aangevuld met een aantal andere kwetsbaarheden, waaronder een XXE-kwetsbaarheid in GeoServer (CVE-2025-58360) en een ernstige kwetsbaarheid in FreePBX (CVE-2025-57819), die aanvallers in staat stelt om op afstand willekeurige databasebewerkingen uit te voeren.

Gezien de variëteit aan software en systemen die getroffen kunnen worden door deze kwetsbaarheden, wordt het dringend aanbevolen voor organisaties en gebruikers om de laatste patches en updates van de betrokken softwareleveranciers te implementeren om risico’s te minimaliseren.

Overzicht