Na een datalek bij Clinical Diagnostics in Rijswijk, waarbij gegevens van 850.000 patiënten werden gestolen en gedeeltelijk gepubliceerd, heeft Bevolkingsonderzoek Nederland besloten om alle laboratoria waarmee het samenwerkt, te laten monitoren. Het Computer Emergency Response Team voor de Nederlandse zorg (Z-CERT) voert nu continu technische monitoring uit op systemen die via internet bereikbaar zijn. Deze maatregel is genomen om verdere risico’s te voorkomen. Bevolkingsonderzoek Nederland heeft tevens een quick scan uitgevoerd op de twee laboratoria die de taken van het gehackte lab hebben overgenomen, waarbij bleek dat de systemen daar voldoende veilig zijn. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens (AP) onderzoeken de oorzaak en omvang van het datalek. De resultaten van dit onderzoek kunnen mogelijk ook van belang zijn voor andere laboratoria in de zorgsector.

Bron 1

Op 3 oktober 2025 werd Teeuwissen.com het slachtoffer van een ransomwareaanval, geclaimd door de Devman ransomwaregroep. De aanvallers eisten een losgeld van 370.000 dollar in ruil voor het ontsleutelen van 80 GB aan gestolen gegevens. Deze aanval heeft de bedrijfsvoering van Teeuwissen verstoord en benadrukt de kwetsbaarheid van bedrijven in de infrastructuursector voor cyberdreigingen.

Bedrijfsnaam: Teeuwissen Rioolreiniging

Naam van de ransomwaregroep: Devman

Ontdekkingsdatum van de aanval: 3 oktober 2025

Sector van het bedrijf: Rioolreiniging en infrastructuur

Land waarin het bedrijf actief is: Nederland

Teeuwissen Rioolreiniging, opgericht in 1968 en gevestigd in Huizen en Barneveld, is een familiebedrijf dat zich richt op het reinigen, aanleggen, onderhouden en inspecteren van rioleringen en rioolgemalen. Met meer dan 210 medewerkers bedient het bedrijf zowel particuliere als zakelijke klanten, waaronder waterschappen en woningcorporaties, door heel Nederland. Daarnaast is Teeuwissen gespecialiseerd in het ledigen en inspecteren van olie- en vetafscheiders, waarbij vrijgekomen afvalstoffen milieuvriendelijk worden verwerkt in eigen beheer.

Screenshot

Discord heeft gemeld dat er een datalek heeft plaatsgevonden waarbij identiteitsbewijzen van gebruikers zijn buitgemaakt. Dit gebeurde nadat een aanvaller toegang kreeg tot de systemen van een extern bedrijf dat door Discord werd ingeschakeld voor klantenservice. De gestolen gegevens omvatten onder andere gebruikersnamen, e-mailadressen, laatste vier cijfers van creditcards, IP-adressen en berichten aan supportmedewerkers. Daarnaast werden kopieën van identiteitsbewijzen gestolen van gebruikers die bezwaar hadden gemaakt tegen de leeftijdsschatting op het platform. Discord voert in sommige landen experimenten uit waarbij gebruikers hun leeftijd kunnen verifiëren door middel van een gezichtsscan. Gebruikers die het niet eens waren met de geschatte leeftijd moesten hun paspoort of rijbewijs indienen. Discord heeft aangegeven dat het aantal gestolen identiteitsbewijzen beperkt is en getroffen gebruikers worden geïnformeerd.

Bron 1

Renault UK heeft bevestigd dat enkele klantgegevens zijn gestolen tijdens een cyberaanval op een van zijn externe databronnen. De Franse autobouwer gaf aan dat er geen toegang was tot financiële informatie zoals bankgegevens of wachtwoorden van klanten. Wel werden gegevens zoals namen, adressen, geboortedata, geslacht, telefoonnummers, voertuigidentificatienummers en kentekeninformatie gestolen. Het aantal getroffen klanten werd niet gespecificeerd, maar het bedrijf waarschuwde dat dit mogelijk een breder publiek betreft, inclusief mensen die bijvoorbeeld wedstrijden hebben deelgenomen of gegevens hebben gedeeld zonder een aankoop te doen. Renault stelde dat het incident volledig is geïsoleerd en onder controle is, en werkt samen met de betrokken derde partij om de situatie op te lossen. Klanten die getroffen zijn door de inbreuk worden geïnformeerd en geadviseerd waakzaam te blijven voor verdachte verzoeken om persoonlijke informatie.

Bron 1, 2

Sunweb heeft bevestigd dat de persoonlijke gegevens van klanten zijn gelekt, wat heeft geleid tot phishingaanvallen. Gegevens zoals namen, e-mailadressen, telefoonnummers en boekingsinformatie werden gestolen. De aanvallers gebruikten een gecompromitteerde mailserver van een onbekend bedrijf om phishingmails te versturen, waarin klanten werd gevraagd om hun gegevens te bevestigen en betalingen te doen, met dreigementen van annuleringen van vakanties. De reisorganisatie heeft alle getroffen klanten geïnformeerd en maatregelen getroffen om het systeem af te sluiten. Ook is het incident gemeld bij de Autoriteit Persoonsgegevens. Sunweb waarschuwt klanten dat ze nooit om bevestigingen via links in e-mails vragen en alleen e-mails versturen vanuit hun eigen domeinen.

Bron 1, 2

Sunweb heeft aangekondigd dat klanten die het slachtoffer zijn geworden van phishingmails, verstuurd uit naam van de reisorganisatie, geen compensatie hoeven te verwachten. Hackers kregen via een inbraak toegang tot klantgegevens, waaronder e-mailadressen en telefoonnummers. De phishingmails, die klanten dreigden hun reis te annuleren als ze niet betaalden, waren overtuigender door de gestolen gegevens. Ondanks erkenning van het datalek, waarbij de reisorganisatie zegt de beveiliging te hebben verbeterd, blijft Sunweb bij de beslissing geen schadevergoeding te bieden. Advocaten wijzen erop dat de reisorganisatie volgens de Algemene Verordening Gegevensbescherming (AVG) wel degelijk aansprakelijk kan zijn, vooral als klanten kunnen aantonen dat het datalek leidde tot schade. De Autoriteit Persoonsgegevens onderzoekt het incident verder.

Bron 1

De politie onderzoekt momenteel een ransomware-aanval die verschillende bedrijven in Volendam heeft getroffen. Tot nu toe is er één aangifte binnengekomen, maar er wordt rekening gehouden met meer slachtoffers. Het administratiekantoor in Volendam lijkt direct getroffen te zijn, terwijl een drukkerij slechts beperkte internetproblemen ervoer door aanpassingen van de systeembeheerder. De zaak is overgedragen aan de cybercrime-afdeling van de politie, die de oorzaak van de aanval onderzoekt. Volgens het Nationaal Cyber Security Centrum (NCSC) werden vorig jaar 121 bedrijven in Nederland getroffen door ransomware. De exacte schade en het aantal getroffen bedrijven in Volendam zijn op dit moment nog onbekend.

Bron 1

De Willem van Oranje Onderwijsgroep in Gorinchem is slachtoffer geworden van een phishingaanval, waarbij honderden e-mailadressen zijn gelekt. Medewerkers trapten in een phishingmail met een Office 365-link, waardoor aanvallers toegang kregen tot 2FA-beveiligde e-mailaccounts. Na het inloggen met twee-factor-authenticatie kreeg de hacker tijdelijk controle over de accounts, maar het beveiligingssysteem blokkeerde de toegang na een uur. Echter, na de voorjaarsvakantie werden de accounts per ongeluk weer geactiveerd. Een andere organisatie waar de onderwijsgroep mee samenwerkt, werd eveneens getroffen, wat leidde tot een kettingreactie waarbij vijf medewerkers opnieuw op phishinglinks klikten. Uiteindelijk konden 450 e-mailadressen worden buitgemaakt. Na ontdekking werd het incident gerapporteerd bij de Autoriteit Persoonsgegevens en werden wachtwoorden van alle medewerkers gereset.

Bron 1

Een ict-bedrijf uit Volendam werd deze week getroffen door een ransomware-aanval. De aanvallers maakten gebruik van een kwetsbaarheid in de server van het bedrijf, waardoor ze toegang kregen tot klantgegevens. Deze gegevens werden vervolgens versleuteld. Het ict-bedrijf meldde dat de aanval op 7 oktober plaatsvond en dat de herstelwerkzaamheden nog gaande zijn. De getroffen klanten werden geïnformeerd, maar het aantal slachtoffers is nog niet bekend. Het bedrijf heeft geen losgeld betaald en de herstelwerkzaamheden zijn inmiddels gestart, waarbij sommige servers opnieuw werden geïnstalleerd en back-ups werden gecontroleerd. Het ict-bedrijf heeft aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens op de hoogte gesteld van het incident.

Bron 1

Den Hartogh Logistics, een van de toonaangevende logistieke dienstverleners wereldwijd, werd getroffen door een ransomwareaanval uitgevoerd door de Anubis-groep. De aanval werd ontdekt op 10 oktober 2025 en heeft geleid tot een datalek binnen het bedrijf. Den Hartogh Logistics is actief in de transport- en logistieke sector en is gevestigd in Nederland. De aanval heeft aanzienlijke impact op hun systemen en heeft de veiligheid van klantgegevens in gevaar gebracht.

Screenshot

Omrin, een Fries afvalverwerkingsbedrijf, is sinds zondag getroffen door een ransomware-aanval, waardoor zes van de zeven Estafettewinkels gesloten zijn. De winkels in Leeuwarden, Sneek, en andere locaties zijn niet toegankelijk, met uitzondering van de winkel in Burgum, die alleen contante betalingen accepteert. Het bedrijf meldt een technische storing, veroorzaakt door de aanval, maar de afvalverwerking zelf is niet in gevaar. Milieustraten blijven open en het ophalen van grof vuil gaat door, hoewel nieuwe afspraken alleen per e-mail gemaakt kunnen worden. Omrin onderzoekt de aanval, maar wil geen details geven over het geëiste losgeld of de herkomst van de aanval. Eerdere aanvallen op lokale overheden en bedrijven, zoals het Frisius MC ziekenhuis en Wetsus, maken duidelijk dat dergelijke cyberaanvallen steeds vaker voorkomen in de regio.

Bron 1

Criminelen hebben miljoenen gestolen records van Salesforce-klanten openbaar gemaakt, waaronder gegevens van 7,3 miljoen passagiers van Vietnam Airlines en 5,7 miljoen passagiers van Qantas. De aanvallers gebruikten een derde partij platform om klantgegevens te stelen. Qantas bevestigde de diefstal van naam, e-mailadres, geboortedatum, telefoonnummer, en maaltijdvoorkeuren van haar passagiers. Salesforce, een veelgebruikte leverancier van CRM-software, werd recentelijk gecompromitteerd door aanvallers die gebruikmaakten van social engineering en gestolen tokens van Salesloft. Andere getroffen bedrijven omvatten Albertsons, GAP, Fujifilm en Engie Resources. De publicatie van de gestolen gegevens komt na meerdere meldingen van datalekken die Salesforce-omgevingen betreffen. De situatie benadrukt het risico van cloudgebaseerde platformen en de kwetsbaarheid van derde partijen in het beschermen van klantinformatie.

Bron 1, 2, 3

Bun.nl, een retailbedrijf uit Nederland, is recent het slachtoffer geworden van een aanval door de ransomwaregroep ThreeAM. De aanval werd op 13 oktober 2025 gemeld. Er is nog weinig bekend over de specifieke details van de aanval, zoals de omvang van de schade of de eisen van de aanvallers. ThreeAM is een actieve groep die bekend staat om het versleutelen van bedrijfsdata en het eisen van losgeld in ruil voor decryptiesleutels. De aanval heeft mogelijk invloed op de operationele capaciteit van het getroffen bedrijf. Dit incident benadrukt de voortdurende dreiging van ransomware-aanvallen voor bedrijven in Nederland, die steeds vaker het doelwit zijn van dergelijke cyberaanvallen. De autoriteiten en de getroffen organisatie werken waarschijnlijk samen om de situatie te onderzoeken en verdere schade te beperken.

Screenshot

Omrin ondervindt momenteel een technische storing als gevolg van een ransomware-aanval. De organisatie werkt hard aan een oplossing, waarbij de kerntaken zoals de inzameling en verwerking van afval ongewijzigd doorgaan. De klantenservice was tijdelijk niet bereikbaar, maar is sinds 14 oktober weer telefonisch bereikbaar via het nummer 0900-2100215. De Estafette Recyclewinkels in Leeuwarden en Harlingen zijn geleidelijk heropend, waarbij in sommige gevallen alleen contante betalingen mogelijk zijn. In Sneek is de winkel vanaf 14 oktober weer open, inclusief pinbetalingen. Verder worden bestaande afspraken voor het ophalen van grofvuil zoveel mogelijk nagekomen. Het liveblog wordt regelmatig geüpdatet met de laatste informatie over de situatie en de herstelmaatregelen.

Bron 1

Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) heeft zijn website tijdelijk offline gehaald na een hack. Aanvallers maakten gebruik van een kwetsbaarheid in het webformulier van de site om toegang te krijgen tot de systemen van de organisatie. Hierdoor verschenen er verschillende artikelen met desinformatie, zoals informatie over het zogenaamde "dawn phenomenon" en bloedsuikerspiegelstijgingen in de ochtend. Na de ontdekking van de hack door GeenStijl bevestigde het RIVM dat de site werd afgesloten om het probleem te verhelpen en de kwetsbaarheid te dichten. De technische afdeling van het RIVM is bezig met het controleren van de plug-ins en het herstellen van de site. Het is op dit moment niet bekend wanneer de website weer toegankelijk zal zijn.

Bron 1, 2

De website van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) is hersteld nadat deze tijdelijk offline werd gehaald vanwege een kwetsbaarheid in een webformulier. Deze kwetsbaarheid stelde onbevoegden in staat om malafide berichten te plaatsen die naar nepsites verwezen. Het RIVM benadrukte dat er geen toegang tot gevoelige data is geweest en er geen gegevens zijn gelekt. Het probleem is inmiddels opgelost en de malafide berichten zijn verwijderd. De website is weer volledig toegankelijk, al functioneren de webformulieren nog niet optimaal. Het RIVM werkt aan een snelle oplossing voor dit laatste probleem.

Bron 1

De Friese afvalverwerker Omrin ondervindt nog steeds hinder van de ransomware-aanval die het bedrijf op 13 oktober trof. Als gevolg van de aanval werkte de Omrin Afvalapp tijdelijk niet, waardoor afvalkalenders niet beschikbaar waren. De kalender is inmiddels weer op de website geplaatst. De aanval leidde ook tot de tijdelijke sluiting van kringloopwinkels en de onbereikbaarheid van de klantenservice, die recentelijk weer operationeel is. De gemeente Het Hogeland heeft daarnaast een waarschuwing uitgegeven over een datalek bij Omrin, waarbij mogelijk persoonsgegevens onbedoeld toegankelijk zijn geworden voor onbevoegden. Het onderzoek naar de oorzaak van het datalek en de details ervan zijn momenteel nog gaande. De ransomware-aanval heeft geen invloed gehad op de afvalinzameling, die doorgaat op de gebruikelijke dagen.

Bron 1, 2

Criminelen hebben duizenden persoonsgegevens van Albert Heijn-medewerkers gestolen en op internet gepubliceerd. De gegevens werden buitgemaakt bij Bun, de grootste franchisenemer van Albert Heijn, en bevatten onder andere personeelsdossiers, kopieën van paspoorten, salarisgegevens, medische informatie en bankgegevens. Het betreft zowel huidige als voormalige medewerkers. De ransomwaregroep ThreeAM wordt verantwoordelijk gehouden voor de aanval, die op 13 oktober begon. Bun exploiteert meer dan 25 supermarkten van Albert Heijn in Nederland. Ook de persoonlijke gegevens van de eigenaren van Bun, waaronder paspoortkopieën en financiële documenten, zijn gepubliceerd. Bun heeft nog niet gereageerd op het datalek en het is onduidelijk hoe de aanvallers toegang kregen tot de gegevens. Dit incident volgt een eerdere aanval waarbij ook gegevens van Albert Heijn-medewerkers werden gestolen.

Albert Heijn-franchisenemer Bun heeft bevestigd het slachtoffer te zijn van een ransomware-aanval, waarbij een deel van de systemen werd versleuteld. De aanvallers wisten ook gegevens van huidige en voormalige medewerkers te stelen, waaronder persoonlijke informatie zoals paspoorten, salarisgegevens en bankinformatie. Bun exploiteert 29 supermarkten en heeft ongeveer 3500 medewerkers. De aanvallers, die zich hebben geïdentificeerd als de ransomwaregroep ThreeAM, boden een deel van de gestolen data aan via hun website en dreigden met verdere openbaarmaking als er niet betaald werd. Het incident werd op 10 oktober gemeld aan de getroffen medewerkers. Verdere details over de aanval zijn vooralsnog onbekend.

Bron 1

Irias.nl, een Nederlands software- en IT-dienstverleningsbedrijf dat gespecialiseerd is in Geo/GIS-oplossingen, is het slachtoffer geworden van een datalek. Volgens een bericht van een bedreigingsactor op een hackersforum heeft het incident in oktober 2025 plaatsgevonden, waarbij de broncode van het bedrijf werd gestolen. De actor heeft een voorbeeld van de gestolen gegevens gedeeld in de vorm van een directorylijst en beweert dat de volledige set broncode beschikbaar is om te downloaden op het forum. Dit datalek benadrukt de toenemende dreiging van intellectuele eigendomsdiefstal in de technologie- en softwaresector.

Screenshot

Bij de Friese afvalverwerker Omrin zijn persoonlijke gegevens van medewerkers en bedrijfsinformatie gestolen tijdens een ransomware-aanval. De gestolen data, waaronder woonadressen, salarisgegevens, bedrijfsbudgetten en kopieën van identiteitsbewijzen, zijn inmiddels openbaar gemaakt op internet. Het bedrijf heeft aangifte gedaan van een mogelijk datalek bij de Autoriteit Persoonsgegevens en werkt samen met een gespecialiseerd bureau om het volledige verlies van data in kaart te brengen. Omrin meldt dat het al vaker doelwit is geweest van cyberaanvallen, maar dat deze keer de aanvallers succesvol waren. De aanval is opgeëist door de ransomwaregroep Qilin. De schade was groot, met tijdelijke sluitingen van kringloopwinkels en storingen in de klantenservice en de Afvalapp. Hoewel de aanvallers toegang hadden tot de systemen, is nog onduidelijk hoe ze dit precies hebben weten te bereiken.

Bron 1, 2, 3

Spijkermat, een Nederlands bedrijf dat de originele Zweedse Spijkermatten distribueert, is het slachtoffer geworden van een ransomware-aanval door de Radiant-groep. Het bedrijf wordt beheerd door Tisan Internetdiensten BV, gevestigd in Ouddorp, Zuid-Holland. Spijkermat.com verkoopt de Zweedse acupressurematten, ontwikkeld door Susanna Lindelöw, en geproduceerd door Svenska Spikmattan AB in Zweden. De matten voldoen aan strenge kwaliteits- en milieu-eisen en worden sinds 2007 gedistribueerd door Tisan Internetdiensten BV aan consumenten en professionals in de Benelux.

De aanval, die werd ontdekt op 29 oktober 2025, heeft geleid tot een datalek, waarbij gegevens van het bedrijf mogelijk zijn gepubliceerd door de ransomwaregroep. Dit incident benadrukt de kwetsbaarheid van bedrijven, zelfs in sectoren die niet direct geassocieerd worden met technologie.

Screenshot

Bagnoles.nl, opgericht in 2001, is een gespecialiseerde leverancier van nieuwe en gebruikte auto's, inclusief lichte bedrijfsvoertuigen. Het bedrijf heeft meerdere vestigingen in Europa en biedt concurrerende prijzen aan autobedrijven in heel Europa en daarbuiten. In 2022 werd ECAR BV opgericht voor de verkoop van elektrische voertuigen aan zowel particulieren als autobedrijven. Klanten krijgen exclusieve toegang tot actuele voorraadlijsten en prijzen via een persoonlijke account, en het bedrijf biedt volledige logistieke ondersteuning.

Op 30 oktober 2025 werd Bagnoles.nl getroffen door een ransomware-aanval, waarbij de Qilin ransomwaregroep de verantwoordelijkheid voor de aanval heeft opgeëist. Bagnoles.nl maakt gebruik van Microsoft 365 en Proofpoint Essentials, en de aanval heeft vermoedelijk geleid tot de toegang van gevoelige gegevens, hoewel er geen verdere details over de schade zijn verstrekt.

Screenshot

VZW Avalon, een kleinschalige zorgvoorziening in Buggenhout, België, die zorg op maat biedt voor mensen met een beperking, is slachtoffer geworden van een ransomware-aanval door de Incransom ransomwaregroep. De instelling richt zich op persoonlijke begeleiding en een aangepaste omgeving om de bewoners optimaal te ondersteunen. De aanval werd ontdekt op 31 oktober 2025, waarbij 38.554 bestanden werden versleuteld, met een totale bestandsgrootte van meer dan 31 gigabyte. De ransomwaregroep heeft de verantwoordelijkheid voor de aanval opgeëist, en er is aangegeven dat gevoelige gegevens mogelijk zijn blootgesteld.

Screenshot

De Fraudehelpdesk heeft in de eerste negen maanden van 2025 een aanzienlijke toename in meldingen van fraudetelefoontjes en sms-berichten ontvangen. Deze oplichters maken vaak gebruik van gespoofte telefoonnummers, wat hen in staat stelt zich voor te doen als vertrouwde organisaties, zoals banken of cryptobeurzen. In 2024 werden er 40.000 meldingen van dergelijke fraudeurs geregistreerd, met 1.700 financiële slachtoffers en een schade van 19 miljoen euro. Dit jaar is het aantal meldingen gestegen naar 45.000, met 1.600 gedupeerden die samen 13 miljoen euro verloren. Fraudeurs richten zich onder andere op slachtoffers van cryptotransacties, waarbij zij proberen toegang te verkrijgen tot persoonlijke systemen of slachtoffers misleiden om cryptovaluta naar hun eigen portemonnee over te maken. Het gebruik van gespoofte telefoonnummers speelt een grote rol in deze toename van fraude.

Bron 1

De nieuwe MatrixPDF-toolkit stelt aanvallers in staat om reguliere PDF-bestanden om te zetten in interactieve documenten die e-mailbeveiliging omzeilen en slachtoffers naar pagina's voor inloggegevensdiefstal of malwaredownloads leiden. Deze tool werd voor het eerst ontdekt op een cybercrimeforum en biedt functies zoals het toevoegen van vervaagde inhoud, valse meldingen van beveiligde documenten, en klikbare overlays die leiden naar externe kwaadaardige URL's. MatrixPDF bevat ook ingebouwde JavaScript-acties die worden geactiveerd wanneer een slachtoffer het document opent of op een knop klikt. De tool is ontworpen om phishing-simulaties te creëren en wordt verkocht voor prijzen variërend van $400 per maand tot $1.500 per jaar. Een test toont aan dat de gegenereerde PDF’s Gmail-filtering kunnen omzeilen door geen kwaadaardige binaries te bevatten, maar enkel externe links, waardoor ze moeilijk te detecteren zijn.

Bron 1

Een domein is geïdentificeerd dat infrastructuur host die verband houdt met de Lumma informatie-stealer malware. Het domein, "holdonz.pics", is geregistreerd met Let’s Encrypt-certificaten en heeft een actief IP-adres. Het wordt gebruikt als Command-and-Control (C2) voor de Lumma stealer botnet. De toewijzing van dit domein aan de Lumma malware wordt met 100% zekerheid bevestigd. De bijbehorende IP is 164.90.129.126. Het domein is recent geregistreerd en maakt gebruik van goedkope, snel geregistreerde domeinen voor legitiem ogende C2-communicatie. Organisaties worden aangespoord het domein en bijbehorende IP-adres te blokkeren op DNS-, proxy- en eindpuntniveau, en verdachte exfiltratie-activiteiten van Windows-systemen te monitoren. Verder wordt aanbevolen om Lumma-gerelateerde domeinen op detectielijsten te plaatsen en nieuwe registraties via certificaattransparantie logs te volgen.

Op 1 oktober 2025 werd een bericht gepost waarin de vermeende broncode van de ZeroTrace Stealer 13 wordt gedeeld. Deze malware, die vaak wordt geassocieerd met cybercriminaliteit, is ontworpen om gebruikersgegevens te stelen, waaronder wachtwoorden en andere gevoelige informatie. De broncode zou afkomstig zijn van een onbekende bron, maar er is bezorgdheid over de implicaties voor de veiligheid van gebruikers. De publicatie van de broncode maakt het gemakkelijker voor cybercriminelen om de malware verder te ontwikkelen en in te zetten voor schadelijke doeleinden. Er wordt gewaarschuwd dat deze actie mogelijk nieuwe aanvallen kan stimuleren, vooral gericht op kwetsbare systemen. Experts benadrukken het belang van het up-to-date houden van beveiligingsmaatregelen om te voorkomen dat systemen het doelwit worden van dergelijke aanvallen.

Op 1 oktober 2025 werd een dreigingsactor gemeld die beweert een lek te hebben veroorzaakt van een bestand genaamd "Logins.zip." Dit bestand zou een infostealer-builder bevatten, een tool die kan worden gebruikt om inloggegevens te stelen en beveiligingsmaatregelen, zoals endpoint detection and response (EDR)-systemen, te omzeilen. De tool biedt cybercriminelen de mogelijkheid om gegevens te verkrijgen van slachtoffers door inloggegevens van verschillende online platforms te stelen. Dit verhoogt het risico op verdere aanvallen, waarbij gestolen inloggegevens vaak worden ingezet voor bijkomende cybercriminaliteit. Gezien de geavanceerde technieken voor het omzeilen van EDR-systemen, wordt gewaarschuwd voor verhoogde dreiging voor organisaties en gebruikers die mogelijk onbewust kwetsbaar zijn voor dergelijke aanvallen.

Het Oekraïense CERT-UA waarschuwt voor nieuwe cyberaanvallen waarbij een backdoor genaamd CABINETRAT wordt ingezet. Deze aanvallen, die in september 2025 werden ontdekt, worden toegeschreven aan het dreigingscluster UAC-0245. De aanvallen maken gebruik van XLL-bestanden, een type Microsoft Excel add-in, die worden verspreid in ZIP-archieven via de Signal-messagingapp. Deze bestanden lijken een document te bevatten over de detentie van grensoverschrijders, maar bevatten in werkelijkheid kwaadaardige software. Na uitvoering van de XLL worden er verschillende executables op de gecompromitteerde systemen geplaatst, waaronder een backdoor die informatie verzamelt, bestanden uploadt/downloadt en commando's uitvoert via een TCP-verbinding naar een externe server. CABINETRAT bevat anti-VM-technieken en heeft tot doel de detectie te omzeilen. Het incident volgt op eerdere aanvallen die Oekraïense instanties als doelwit hadden.

Bron 1

De Android-banking trojan "Klopatra" heeft wereldwijd meer dan 3.000 apparaten geïnfecteerd, voornamelijk in Spanje en Italië. De malware maakt gebruik van een verborgen VNC (Virtual Network Computing) om op afstand controle te krijgen over de geïnfecteerde apparaten en overlays in te stellen om gebruikersgegevens te stelen. Dit maakt het mogelijk voor aanvallers om frauduleuze transacties uit te voeren. Klopatra is ontwikkeld door een Turks sprekende criminele groep en is ontworpen om detectie te voorkomen door gebruik te maken van geavanceerde codebescherming en native libraries. De trojan verspreidt zich via sociaal engineering, waarbij onschuldige apps, zoals IPTV-streamingdiensten, als lokmiddel worden gebruikt. Eenmaal geïnstalleerd, vraagt de malware om toegang tot de toegankelijkheidsdiensten van Android, waarmee de aanvallers de volledige controle over het apparaat kunnen overnemen en banktransacties kunnen uitvoeren zonder dat de gebruiker dit merkt.

Bron 1, 2

Rhadamanthys is een veelgebruikte, multi-modulaire stealer die sinds 2022 actief is. De nieuwste versie, 0.9.2, bevat belangrijke updates die de detectie door onderzoekers kunnen bemoeilijken en de werking van gebruikte tools verstoren. De malware wordt vaak aangetroffen in cybercrimecampagnes, waaronder de ClickFix-campagnes. De update introduceert wijzigingen in de executables en voegt nieuwe mogelijkheden toe, zoals geavanceerde methoden voor obfuscatie en verbeterde injectietechnieken. De wijziging in de “XS”-bestandsformaten van Rhadamanthys maakt het moeilijker voor onderzoekers om de modules te ontleden. Daarnaast heeft de malware nieuwe technieken voor environment checks, zoals het detecteren van virtuele machines en sandboxes, voordat het contact maakt met de command-and-control (C2)-server. De malware bevat ook verbeterde configuratiebestanden die meerdere C2-adressen kunnen bevatten, evenals een nieuw systeem voor het genereren van bot-ID's en mutexen.

Bron 1

Een geavanceerde aanvalscampagne richt zich op slecht beheerde Microsoft SQL-servers, waarbij het XiebroC2-commando en controlesysteem wordt ingezet om blijvende toegang te verkrijgen tot gecompromitteerde systemen. De aanval maakt gebruik van kwetsbare inloggegevens op publiek toegankelijke database-servers, wat aanvallers in staat stelt zich toegang te verschaffen en hun rechten te escaleren. Het XiebroC2-framework biedt aanvallers uitgebreide controle, zoals informatieverzameling, verdedigingsevasie en systeemmanipulatie. De aanval volgt een patroon van inbraak via inloggegevens en verschuift vervolgens naar cryptomining. De open-source aard van XiebroC2 maakt het aantrekkelijk voor aanvallers, omdat het verschillende platforms ondersteunt, waaronder Windows, Linux en macOS. De campagne maakt gebruik van JuicyPotato om de privileges te escaleren en het framework te implementeren via PowerShell. Dit benadrukt de voortdurende kwetsbaarheid van MS-SQL-servers zonder adequate beveiligingsmaatregelen.

Bron 1

Er is een zorgwekkende trend in de cyberspace waarbij cybercriminelen gebruik maken van kunstmatige intelligentie (AI) om schadelijke Chrome-extensies te verspreiden die zich voordoen als legitieme tools. Deze extensies richten zich op gebruikers die op zoek zijn naar toegang tot populaire AI-diensten zoals ChatGPT, Claude en Meta Llama. De extensies lijken aanvankelijk goed te functioneren, maar voeren in werkelijkheid schadelijke acties uit op de achtergrond. De aanvallers maken gebruik van de Chrome-settings_overrides-manifestinstelling om de zoekmachine van de browser te wijzigen zonder toestemming van de gebruiker. Dit stelt hen in staat om gegevens van zoekopdrachten, inclusief persoonlijke en vertrouwelijke informatie, te onderscheppen. De dreiging heeft al tienduizenden gebruikers getroffen, en de aanvallers maken gebruik van social engineering om slachtoffers via YouTube te lokken. Deze campagne maakt deel uit van een bredere aanval op de browser-extensie-ecosystemen.

Bron 1

Een nieuwe phishingcampagne richt zich op Gmail-gebruikers door zich voor te doen als Google Careers-recruiters. De aanvallers sturen een professioneel ogende e-mail die ontvangers uitnodigt voor een aantrekkelijke functie bij Google. De e-mail bevat logo's en persoonlijke begroetingen, waardoor het lijkt op een officiële Google-communicatie. Wanneer de ontvanger op de link klikt om de functieomschrijving te bekijken, wordt deze doorgestuurd naar een vervalste phishingpagina die inloggegevens verzamelt. Het phishingplatform maakt gebruik van geavanceerde technieken zoals obfuscated JavaScript en dynamisch gegenereerde domeinen, waardoor het moeilijker wordt om de aanvallen te detecteren. Gegevens die op de nep-inlogpagina worden ingevoerd, worden naar de aanvallers gestuurd, waardoor ze volledige controle krijgen over het Gmail-account. Deze aanval heeft impact op zowel zakelijke als persoonlijke accounts, waarbij gemelde beveiligingsincidenten de afgelopen maand zijn toegenomen. Bron 1

Sinds medio 2025 volgen onderzoekers de opkomst van de Patchwork APT-campagne, die zich richt op overheids- en telecomsectoren in Azië en Oost-Europa. De aanvallen beginnen vaak met spear-phishing-e-mails met malafide Office-documenten, wat leidt tot de uitvoering van een PowerShell-script. Dit script maakt verbinding met een command-and-control-server en stelt de aanvallers in staat om gegevens te stelen en toegang te behouden binnen besmette netwerken. De techniek is onlangs verfijnd om detectie te vermijden, met gebruik van dynamische URL-generatie en het randomiseren van geplande taaknamen. Dit maakt het moeilijker voor beveiligingssystemen om de kwaadaardige activiteiten te detecteren. De aanvallers kunnen de systemen vervolgens infiltreren, credentials stelen, en aanvullende kwaadaardige modules uitvoeren, waarbij de uiteindelijke payload via legitieme Windows-processen wordt geladen.

Bron 1

Cybercriminelen maken gebruik van legitieme Extended Validation (EV) certificaten om schadelijke disk images (DMG-bestanden) te ondertekenen en zo de beveiligingschecks van macOS te omzeilen. Deze methode maakt het mogelijk om malware volledig ondetecteerbaar te maken, zelfs bij gebruik van tools zoals VirusTotal. De aanvallen beginnen vaak met phishing-pogingen, waarbij besmette websites de geïnfecteerde DMG-bestanden aanbieden die zich voordoen als legitieme applicaties. Wanneer de malware wordt uitgevoerd, installeert deze zich via een AppleScript-launcher, wat het mogelijk maakt om een kwaadwillende payload te downloaden en persistentie te behouden op het slachtofferapparaat. Ondanks de hoge kosten en strenge controles die verbonden zijn aan het verkrijgen van een EV-certificaat, investeren aanvallers in deze certificaten, omdat de initiële besmetting vaak al plaatsvindt voordat het certificaat wordt ingetrokken. Dit onderstreept de groeiende trend van het misbruik van legitieme certificaten voor cyberaanvallen.

Bron 1

Een geavanceerde DNS-gebaseerde malwarecampagne is ontdekt, waarbij de Strela Stealer-informatie-extractor wordt verspreid via DNS TXT-records. De campagne, bekend als Detour Dog, maakt gebruik van duizenden gecompromitteerde websites wereldwijd die DNS TXT-records gebruiken als een commando- en controlemechanisme, evenals een leveringskanaal voor malware. De geïnfecteerde websites communiceren met serverinfrastructuren die door de aanvallers worden gecontroleerd, zonder dat websitebezoekers hiervan op de hoogte zijn. Dit stelt de aanvallers in staat om het kwaadaardige verkeer te camoufleren als legitiem webverkeer. Het systeem maakt gebruik van een op DNS gebaseerde infrastructuur die via complexe DNS-aanvragen de malware op het slachtoffer aflevert. De operatie toont een belangrijke evolutie in malwareverspreiding, waarbij DNS-infrastructuur wordt ingezet voor zowel commando's als de daadwerkelijke levering van schadelijke inhoud, wat de detectie bemoeilijkt.

Bron 1

De FlipSwitch rootkit, die zich richt op moderne Linux-kernels, is in september 2025 ontdekt en maakt gebruik van wijzigingen in de syscall-dispatching om onopgemerkte hooks in de kernelcode te implanteren. Dit stelt aanvallers in staat om traditionele detectiemethoden te omzeilen, wat ernstige risico's voor kritieke systemen en cloudomgevingen met zich meebrengt. FlipSwitch profiteert van de veranderingen in Linux kernel 6.9, waarbij een klassieke syscall-table wordt vervangen door een switch-statement. Dit biedt een nieuwe aanvalsvector. Het rootkit gebruikt een geavanceerde techniek waarbij geheugenbeschermingen worden uitgeschakeld en de machinecode van de syscall-dispatcher wordt gewijzigd. FlipSwitch kan zijn aanwezigheid verbergen door na infectie het originele syscall-gedrag te herstellen. Dit onderstreept de noodzaak voor verbeterde geheugengegevensintegriteit en de voortdurende evolutie van beveiligingsmechanismen in de kernel.

Bron 1

Criminelen hebben geclaimd 570 gigabyte aan gegevens te hebben gestolen uit de private GitHub-repositories van Red Hat. De gestolen data omvatten onder andere inloggegevens, vpn-profielen, CI/CD-secrets, configuraties van pipelines en infrastructuurbestanden, evenals Customer Engagement Reports (CERs), die gevoelige klantinformatie zouden bevatten. De aanvallers beweerden dat de gegevens afkomstig waren uit 28.000 repositories en ook betrokken waren bij inbraken bij verschillende klanten van Red Hat, ondersteund door screenshots die werden gedeeld door beveiligingsonderzoeker Kevin Beaumont. Red Hat bevestigde het incident en meldde dat herstelmaatregelen waren getroffen, maar gaf verder geen details. Het bedrijf stelde dat geen andere diensten of producten door het incident waren beïnvloed, en de claims van de aanvallers zijn niet officieel bevestigd.

Bron 1

Phishing en het misbruik van kwetsbaarheden zijn de meest gebruikte aanvalsmethoden, aldus het jaarlijkse Threat Landscape-rapport van ENISA. Het rapport, gebaseerd op bijna vijfduizend incidenten, toont aan dat phishing verantwoordelijk is voor 60% van de aanvalsvectoren, met een focus op phishingmails, telefonische phishing en besmette bijlagen. Ongeveer 21% van de aanvallen werd veroorzaakt door misbruik van kwetsbaarheden. Bij 70% van de aanvallen die via een beveiligingslek plaatsvonden, leidde dit tot een bevestigde inbraak, vaak met malware-instanties, vooral ransomware. Het rapport benadrukt ransomware als de meest impactvolle dreiging in de EU. Het aantal incidenten waarin de gevolgen van phishing onduidelijk waren, was hoog, maar in 27% van de gevallen was er daadwerkelijk een systeeminbraak. Dit benadrukt de gevaren die deze aanvallen met zich meebrengen voor de Europese cybersecurity.

Bron 1

Twee nieuwe spyware-campagnes, genaamd ProSpy en ToSpy, richten zich op Android-gebruikers door hen te verleiden met vervalste upgrades of plugins voor de berichtenapps Signal en ToTok. De kwaadaardige bestanden worden verspreid via websites die de officiële platformen imiteren. Signal is een populaire berichtenapp met versleuteling, terwijl ToTok werd verwijderd uit de appstores van Apple en Google na beschuldigingen van spionage voor de regering van de VAE. De ProSpy-campagne, die al mogelijk sinds 2024 actief is, steelt gegevens zoals contacten, SMS-berichten en bestanden van het apparaat. De ToSpy-campagne, die ook doorgaat, verzamelt documenten, afbeeldingen en video’s en probeert zich onopgemerkt te houden door de officiële ToTok-app te starten wanneer deze op het apparaat aanwezig is. Beide spyware-campagnes gebruiken methoden om zich persistent te maken op geïnfecteerde apparaten.

Bron 1

Sinds eind september 2025 hebben onderzoekers een aanzienlijke toename van internet-brede scans opgemerkt die gericht zijn op de kritieke kwetsbaarheid in de PAN-OS GlobalProtect VPN (CVE-2024-3400). Aanvallers proberen een kwetsbaarheid voor het maken van willekeurige bestanden te misbruiken om commando-injecties uit te voeren en uiteindelijk volledige root-toegang te verkrijgen op kwetsbare firewalls. De aanval kan plaatsvinden zonder authenticatie en heeft een CVSS-score van 10,0, wat het tot een zeer ernstige bedreiging maakt. Palo Alto Networks heeft inmiddels beveiligingspatches uitgebracht voor de versies 10.2.9-h1, 11.0.4-h1 en 11.1.2-h3. Het wordt dringend aanbevolen om systemen onmiddellijk bij te werken om verdere exploitatie te voorkomen. Beheerders kunnen ook handtekeningen voor Threat Prevention inzetten om de initiële exploitatiepogingen tegen te houden.

Bron 1

Er zijn meldingen van de vermeende verkoop van ongeautoriseerde toegang tot Wallet Master, een platform dat wordt gebruikt voor het beheer van digitale portefeuilles. Deze verkoop zou plaatsvinden op het darkweb en omvat toegang tot verschillende gebruikersaccounts. Wallet Master wordt geprezen om zijn beveiligingsfunctionaliteiten, maar de nieuwe dreiging heeft aandacht getrokken vanwege de mogelijkheid voor cybercriminelen om toegang te verkrijgen tot de gevoelige gegevens van gebruikers. De betrokkenheid van een onbekende actor bij deze verkoop benadrukt de groeiende zorgen over het beschermen van digitale activa en de kwetsbaarheid van dergelijke platforms. Er is momenteel geen officiële verklaring van Wallet Master over de zaak, en het is niet bekend of er daadwerkelijk slachtoffers zijn. Experts benadrukken dat gebruikers waakzaam moeten zijn en hun beveiligingsmaatregelen moeten versterken om dergelijke aanvallen te voorkomen.

Op 1 oktober 2025 werd via het darkweb de verkoop geclaimd van ongeautoriseerde toegang tot betaalautomaten en verkoopmachines in Europa. Deze toegang zou de aanvallers in staat stellen om betalingen te manipuleren, transacties te verstoren en mogelijk zelfs geld te stelen. De autoriteiten zijn op de hoogte van de situatie, maar er zijn nog geen meldingen van misbruik in de regio. De verkoop biedt kwaadwillenden de mogelijkheid om controle te verkrijgen over systemen die in een groot aantal Europese landen in gebruik zijn. Het incident benadrukt het groeiende risico van cybercriminaliteit in de Europese betalingsinfrastructuur en de noodzaak voor strengere beveiligingsmaatregelen tegen dergelijke aanvallen.

Onderzoekers van de Georgia Institute of Technology en Purdue University hebben een nieuwe methode ontwikkeld, genaamd WireTap, waarmee de beveiliging van Intel's Software Guard eXtensions (SGX) op DDR4-systemen kan worden omzeild. SGX is bedoeld om veilige uitvoeromgevingen te creëren die data beschermen, zelfs bij een gecompromitteerd besturingssysteem. De WireTap-aanval maakt gebruik van een interposer die tussen de CPU en het geheugenmodule wordt geplaatst om geheugengegevens af te tappen. Deze methode maakt het mogelijk om de geheime SGX-sleutels te extraheren, wat een bedreiging vormt voor de vertrouwelijkheid en integriteit van gegevens. De aanval kan worden uitgevoerd met relatief goedkope apparatuur, maar een opstelling kost ongeveer 1000 dollar. Intel reageerde door aan te geven dat deze aanval buiten het dreigingsmodel valt, aangezien het fysieke toegang tot de hardware vereist.

Bron 1

Google Mandiant onderzoekt een nieuwe reeks cyberaanvallen, mogelijk uitgevoerd door de financieel gemotiveerde dreigingsactor Cl0p. Deze aanvallen richten zich op leidinggevenden in verschillende organisaties en dreigen met de publicatie van gestolen gegevens uit hun Oracle E-Business Suite. Het onderzoek, dat begon op of voor 29 september 2025, bevindt zich nog in de vroege fase en de claims van de aanvallers zijn nog niet bevestigd. De aanvallen worden gekarakteriseerd door een hoog volume aan extortiemails die zijn verzonden vanuit honderden gecompromitteerde accounts. Er zijn aanwijzingen dat de aanvallen verbonden kunnen zijn met het groepje FIN11, dat eerder betrokken was bij ransomware-aanvallen. Mandiant heeft gemeld dat contactgegevens in de e-mails overeenkomen met informatie die ook te vinden is op de Cl0p-dataleksite, wat de mogelijke link versterkt. De aanvalsmethode en het precieze toegangspunt zijn nog niet volledig duidelijk.

Bron 1

Een kwaadaardig pakket genaamd soopsocks is ontdekt op de Python Package Index (PyPI), waarin het beweerde een SOCKS5-proxyservice te bieden, maar tevens fungeerde als een verborgen achterdeur. Dit pakket werd 2.653 keer gedownload voordat het werd verwijderd. Het werd op 26 september 2025 geüpload door een gebruiker genaamd "soodalpie", die dezelfde dag het account aanmaakte. Het pakket installeerde een Go-executable die de installatie van PowerShell-scripts mogelijk maakte, firewallinstellingen wijzigde en gegevens van systemen verzamelde, zoals instellingen van Internet Explorer en de Windows-installatiedatum. Deze informatie werd vervolgens verstuurd naar een Discord-webhook. Het pakket had de mogelijkheid om zichzelf te herstarten met verhoogde rechten en om verbindingen via een SOCKS5-proxy mogelijk te maken. De ontdekking van deze aanval komt op een moment waarop zorgen bestaan over de beveiliging van softwarepakketbeheerplatforms.

Bron 1

Een nieuwe phishingcampagne is ontdekt, gericht op leidinggevenden en gebruikt kwaadaardige Windows-snelkoppelingen binnen ZIP-archieven. De aanvallers versturen valse documenten die lijken op gevoelige bestanden, zoals paspoortscans of betalingsbestanden, om kwaadaardige code in systemen te krijgen. Wanneer een slachtoffer op een van de snelkoppelingen klikt, wordt een verborgen programma geactiveerd, dat via PowerShell een schadelijk bestand downloadt. Dit bestand, dat zich voordoet als een PowerPoint-bestand, bevat malware die via het systeemtool rundll32.exe wordt uitgevoerd. Dit ‘living off the land’-tactiek maakt gebruik van ingebouwde Windows-tools om de malware te verbergen en beveiligingssystemen te omzeilen. De aanvallers voeren tevens een antivirusscan uit om ervoor te zorgen dat hun malware wordt uitgevoerd zonder gedetecteerd te worden. Organisaties wordt aangeraden beleid te implementeren om het uitvoeren van snelkoppelingen te verbieden en verdachte activiteiten in Windows-processen zoals PowerShell en rundll32.exe te monitoren.

Bron 1

In oktober 2025 werd de Leaked.Domains database geüpdatet met meer dan 472 miljoen nieuwe records, die afkomstig zijn van verschillende datalekken. De update bevatte 451.257 nieuwe combinaties van e-mail en wachtwoorden, evenals enorme hoeveelheden gestolen gegevens, waaronder meer dan 1,8 miljoen logbestanden van Stealer v2, 4 miljoen creditcardgegevens en 281 miljoen records in de PeopleDB. Daarnaast werden er meer dan 12 miljoen nieuwe subdomeinen en 160 miljoen certificaatgegevens toegevoegd. De totale omvang van de database is nu meer dan 39 miljard records, met gegevens die variëren van gestolen inloggegevens en creditcardinformatie tot WHOIS-informatie en DNS-gegevens. De Leaked.Domains-database blijft een belangrijke bron voor cyberdreigingen en moet nauwlettend worden gevolgd door beveiligingsprofessionals.

Microsoft heeft besloten om inline SVG-afbeeldingen niet langer weer te geven in Outlook voor Web en de nieuwe versie van Outlook voor Windows. De wijziging is een veiligheidsmaatregel om cross-site scripting (XSS) aanvallen te voorkomen. SVG-afbeeldingen, die geschreven zijn in XML en JavaScript ondersteunen, kunnen misbruikt worden door aanvallers om scripts toe te voegen die naar phishingwebsites leiden. Het afgelopen jaar werden er meerdere phishingaanvallen gedetecteerd waarbij SVG-afbeeldingen werden ingezet. Microsoft heeft aangegeven dat minder dan 0,1% van de afbeeldingen in Outlook SVG-afbeeldingen zijn, zodat de impact op gebruikers minimaal is. Normale bijlagen in SVG-formaat worden echter nog steeds ondersteund en weergegeven.

Criminelen beweren via een nieuwe website dat ze 1 miljard records hebben gestolen uit de databases van Salesforce-klanten, waaronder bedrijven als KLM, Cisco en McDonald's. De aanvallers zouden meer dan honderd Salesforce-installaties van grote bedrijven hebben getroffen. De genoemde bedrijven hebben tot 10 oktober om losgeld te betalen, anders zullen de aanvallers dreigen de gestolen data openbaar te maken. De aanval zou via telefonische phishing en gestolen tokens bij het softwarebedrijf Salesloft zijn uitgevoerd. Hoewel het nog niet zeker is of de website daadwerkelijk van de aanvallers komt, lijken de details te wijzen op een verband met de recente Salesforce-aanvallen. KLM had eerder een datalek gemeld waarbij klantgegevens via een extern platform werden gestolen, maar werd toen niet specifiek aangegeven dat het om Salesforce ging.

Bron 1

De 'CommetJacking'-aanval maakt misbruik van URL-parameters om verborgen instructies door te geven aan de Comet AI-browser van Perplexity, waardoor gevoelige gegevens van verbonden services, zoals e-mail en agenda’s, kunnen worden gestolen. De aanval vereist geen gebruikersinteractie of inloggegevens, waardoor een aanvaller simpelweg een kwaadaardige URL kan versturen naar de beoogde gebruiker. Comet is een browser die autonoom het web kan doorzoeken en gebruikers kan helpen met taken zoals e-mailbeheer en het doen van aankopen. Onderzoekers van LayerX ontdekten dat door de prompt in de URL aan te passen, gegevens zoals Google-agenda-invites en Gmail-berichten konden worden geëxporteerd en naar een externe server gestuurd. De beveiligingsmaatregelen van Perplexity blijken onvoldoende om deze datadiefstal te voorkomen, aangezien de gegevens kunnen worden gecodeerd voordat ze het systeem verlaten. Ondanks waarschuwingen van de onderzoekers, heeft Perplexity de risico’s tot nu toe niet erkend.

Bron 1

Op het darkweb verschijnen steeds meer berichten over cyberdreigingen die gericht zijn op zowel overheden als bedrijven. Deze dreigingen variëren van ransomware-aanvallen tot de verkoop van gestolen gegevens. Er zijn meldingen van nieuwe hackinggroepen die zich richten op kwetsbare infrastructuren, vooral in sectoren zoals de gezondheidszorg en de financiële wereld. Ook worden er op het darkweb tools en scripts gedeeld die door cybercriminelen kunnen worden gebruikt om beveiligingssystemen te omzeilen. De focus ligt hierbij op het benutten van kwetsbaarheden in populaire software en het misbruiken van nieuwe technieken voor identiteitsdiefstal. Deskundigen waarschuwen voor de toenemende gevaren en raden aan om systemen regelmatig te updaten en gebruik te maken van robuuste encryptie om gegevens te beschermen. Deze ontwikkeling onderstreept de noodzaak voor bedrijven om proactief te blijven in het beveiligen van hun digitale infrastructuren.

Er is sprake van een nieuwe ontwikkeling met betrekking tot de hacker groep Scattered Lapsus$ Hunters. Het lijkt erop dat deze groep een nieuw DLS (Data Leak Site) aan het teasen is. Deze aankondiging heeft voor enige opwinding gezorgd, vooral onder cybersecurity-experts en onderzoekers. Hoewel er nog geen gedetailleerde informatie beschikbaar is over het beoogde doelwit of de omvang van de geplande datalekken, blijft de beweging van deze groep nauwlettend gevolgd. Scattered Lapsus$ Hunters staat bekend om hun betrokkenheid bij grootschalige datalekken, waarbij zij vaak gevoelige gegevens op het darkweb publiceren. De verwachting is dat deze nieuwe activiteit de focus zal zijn van een aankomende campagne, die mogelijk grote gevolgen heeft voor de getroffen organisaties. Het blijft afwachten welke specifieke doelen in het vizier staan en of dit een nieuwe fase markeert voor de groep.

Hackers van de groep Crimson Collective hebben via gelekte authenticatietokens toegang gekregen tot klantensystemen, waarbij gevoelige informatie zoals inloggegevens, tokens en netwerkdata werd gestolen. Het incident werd bevestigd door Red Hat, die ontdekte dat privé GitHub-repositories met klantgegevens waren gecompromitteerd. De hackers claimen al toegang te hebben gekregen tot diverse systemen van klanten. Dit incident vormt een groot risico voor Belgische organisaties die gebruikmaakten van Red Hat Consulting-diensten en voor bedrijven die gevoelige gegevens met Red Hat deelden. De gevolgen kunnen variëren van ongeautoriseerde toegang tot systemen tot verstoring van IT-activiteiten en gevolgen voor de toeleveringsketen. Organisaties wordt aangeraden om alle gedeelde tokens en inloggegevens in te trekken en contact op te nemen met Red Hat voor verdere begeleiding.

Bron 1

Onderzoekers hebben gewaarschuwd voor de opkomst van een nieuwe malwarecampagne, SORVEPOTEL, die zich snel verspreidt via WhatsApp, voornamelijk gericht op Braziliaanse gebruikers. De malware verspreidt zich via phishingberichten met schadelijke ZIP-bestanden die lijken op onschuldige bijlagen zoals ontvangstbewijzen of bestanden van gezondheidsapps. Zodra het bestand op een desktop wordt geopend, activeert een PowerShell-script de malware die zichzelf in de opstartmap van Windows plaatst, zodat het automatisch wordt uitgevoerd bij elke herstart van het systeem. Het belangrijkste doel van deze malware is snelle verspreiding via WhatsApp-web, waarbij het infecteerde accounts spam stuurt naar alle contacten en groepen. Dit leidt vaak tot tijdelijke blokkeringen van accounts vanwege de overtreding van WhatsApp's gebruiksvoorwaarden. Tot nu toe zijn er 477 infecties gerapporteerd, waarvan 457 in Brazilië, waarbij vooral overheids- en bedrijfssystemen getroffen zijn.

Bron 1

Cybercriminelen hebben een geavanceerde aanvalscampagne gelanceerd waarbij merkimitaties worden gebruikt om malware via smishing (SMS phishing) te verspreiden. In deze nieuwe golf van aanvallen maken de aanvallers gebruik van URL-manipulatie door vertrouwde merknamen in de URL’s te verwerken, zodat gebruikers minder kritisch worden en de links sneller aanklikken. Deze techniek maakt gebruik van het psychologisch effect waarbij ontvangers meer aandacht schenken aan de bekende merknaam dan aan het volledige URL-adres. De aanvallers registreren domeinen van tevoren, zodat ze een goede domeinreputatie opbouwen, wat helpt om automatische beveiligingsfilters te omzeilen. De aanvallen leiden naar inlogpagina's die bedoeld zijn voor het verzamelen van inloggegevens of die automatisch malware downloaden voor zowel mobiele als desktopplatformen. De gebruikte domeinen, waaronder de .xin-extensie, bieden extra camouflage. De aanvallen zijn een evolutie van de eerdere social engineering-technieken en zijn gericht op het maximaliseren van infecties bij minimale detectie.

Bron 1

Een nieuw phishing kit maakt het mogelijk voor cybercriminelen om gesofisticeerde phishing-aanvallen te creëren zonder diepgaande technische kennis. Dit ‘point-and-click’ gereedschap biedt een gebruiksvriendelijke webinterface waarmee aanvallers pre-geconfigureerde sjablonen kunnen kiezen, merkkenmerken kunnen aanpassen en specifieke doelen kunnen kiezen. Zodra de phishingpagina is opgezet, worden slachtoffers geconfronteerd met onschuldig lijkende downloadverzoeken die in werkelijkheid schadelijke code activeren. Het kit gebruikt vaak gangbare bestandsformaten zoals Microsoft Office-documenten en HTML-toepassingen. Wanneer gebruikers deze documenten openen, worden ze gevraagd om macro’s in te schakelen of scripts uit te voeren, waarmee de schadelijke code wordt geladen. Dit gereedschap maakt gebruik van geavanceerde technieken, zoals het onzichtbaar uitvoeren van code in het geheugen, wat traditionele handtekeninggebaseerde beveiligingssystemen omzeilt.

Bron 1

De SideWinder hacker groep, een staatssponsor die bekend staat om spionagecampagnes in Zuid-Azië, heeft een nieuwe phishingaanval opgezet. De groep maakt gebruik van valse webmailportalen die Outlook en Zimbra nabootsen. Deze portalen worden gehost op gratis platformen zoals Netlify en Workers.dev, en zijn gericht op overheids- en militaire doelwitten in landen als Pakistan, Nepal, Sri Lanka, Bangladesh en Myanmar. De slachtoffers worden verleid met documenten die thema’s van defensie en maritieme zaken bevatten, waarna hun inloggegevens via valse inlogpagina’s worden gestolen. De aanvallers gebruiken snelle domeinverandering om de impact van geblokkeerde sites te verminderen. Deze aanpak maakt het moeilijk om de aanvallen te blokkeren en verhoogt het risico op gegevensdiefstal en malwareverspreiding.

Bron 1

GhostSocks, een nieuw Malware-as-a-Service (MaaS) aanbod, stelt cybercriminelen in staat gecompromitteerde apparaten om te zetten in SOCKS5 proxies. Dit gebeurt via een webgebaseerd controlepaneel waarmee gebruikers Windows- en UNIX-systemen kunnen beheren. GhostSocks benut het vertrouwen in residentiële IP-adressen om anti-fraude controles te omzeilen en detectie te vermijden. Het platform elimineert de noodzaak voor externe proxyservers, wat de operationele kosten verlaagt. De malware wordt via een "dropper" geïnstalleerd en verkrijgt vervolgens SOCKS5-credentials via een C2-server. Zodra geïnstalleerd, werkt GhostSocks volledig in het geheugen van het slachtoffer, zonder dat er een persistentie-mechanisme wordt geïmplementeerd. De dienst heeft snel tractie gewonnen, zelfs bij meer geavanceerde cybercriminelen, die het gebruiken in combinatie met andere tools zoals LummaStealer om langdurige toegang tot netwerken te behouden.

Bron 1

De XWorm-malware is terug, met een nieuwe versie (V6.0) die op 4 juni 2025 werd aangekondigd. Na het stoppen van officiële ondersteuning voor versie 5.6 in 2024, werd deze versie gepresenteerd als een verbetering, met een patch voor een kritieke kwetsbaarheid in de uitvoering van externe code. XWorm V6 is een modulaire malware, opgebouwd uit een kernclient en verschillende plugins die diverse kwaadaardige activiteiten uitvoeren, zoals het stelen van inloggegevens en het verspreiden van ransomware. Het infectiemechanisme maakt gebruik van een JavaScript-bestand dat via phishing-e-mails of gecompromitteerde websites wordt verspreid. De malware injecteert code in een legitiem Windows-proces, zoals RegSvcs.exe, en gebruikt een versleuteld communicatiekanaal om met een command-and-control server te verbinden. Dit maakt de malware moeilijker detecteerbaar en vergroot de persistentie op getroffen systemen.

Bron 1

Grafana, een populaire open-source platform voor gegevensanalyse, is opnieuw het doelwit van grootschalige, gecoördineerde cyberaanvallen. Beveiligingsonderzoekers van GreyNoise merkten op dat er op 28 september plotseling een piek was in pogingen om de kwetsbaarheid CVE-2021-43798 uit te buiten. Deze path traversal-kwetsbaarheid maakt het mogelijk om willekeurige bestanden te lezen op niet-gepatchte systemen. Gedurende één dag werden 110 unieke kwaadaardige IP-adressen gedetecteerd die probeerden toegang te krijgen tot gevoelige configuratie- en inlogbestanden. De aanvallen waren geografisch gericht op de VS, Slowakije en Taiwan, waarbij de meeste aanvallen afkomstig waren uit Bangladesh. De aanvallers gebruikten vermoedelijk wegwerpbare infrastructuur en gedeelde tools. Dit incident benadrukt de blijvende dreiging van verouderde kwetsbaarheden en het belang van voortdurende waakzaamheid, zelfs na patching. Het is aanbevolen om alle Grafana-implementaties bij te werken en verdachte IP-adressen te blokkeren.

Bron 1

Op 3 oktober 2025 claimde een bedreigingsactor op het darkweb een tool te verkopen, genaamd de "OneDrive Checker," die beweert in staat te zijn de tweefactorauthenticatie (2FA) van OneDrive te omzeilen. Deze tool zou potentiële aanvallers in staat stellen ongeautoriseerde toegang te krijgen tot OneDrive-accounts, zelfs wanneer 2FA is ingeschakeld, wat een aanzienlijke bedreiging vormt voor de veiligheid van gebruikers. De verkoop van dergelijke tools maakt het voor cybercriminelen gemakkelijker om gevoelige informatie te stelen en kan leiden tot verschillende vormen van digitale fraude. Gebruikers wordt geadviseerd om extra waakzaam te zijn en de beveiligingsmaatregelen van hun accounts te versterken om dergelijke aanvallen te voorkomen.

Er is een domeinnaam geïdentificeerd die mogelijk de infrastructuur ondersteunt voor de Formbook stealer-malware. Het domein, momenteel geparkeerd op het DNS-systeem van Hostinger, lijkt eerder voor kwaadwillende activiteiten te zijn gebruikt, hoewel het momenteel inactief is. DNS-records en certificaatinformatie suggereren een eerdere betrokkenheid bij schadelijke activiteiten. De waarschijnlijkheid van deze toewijzing wordt geschat op 50%. Het domein in kwestie is www.hawala[.]shop, dat als command-and-control (C2)-infrastructuur fungeert voor de Formbook-malware, welke vaak wordt gebruikt om wachtwoorden en andere gevoelige informatie te stelen. De aanbevolen verdedigingsmaatregelen omvatten het blokkeren van dit domein en bijbehorende IP-adressen, evenals het monitoren op verdachte verkeerspatronen die verband houden met de Formbook-malware.

GreyNoise, een bedrijf dat zich richt op dreigingsanalyse, heeft een opvallende toename van scanning-activiteit op de loginportalen van Palo Alto Networks gemeld. Op 3 oktober 2025 werd een stijging van bijna 500% waargenomen in het aantal IP-adressen dat deze portalen scant, wat de grootste toename in de afgelopen drie maanden vertegenwoordigt. In totaal waren er 1.300 unieke IP-adressen betrokken, tegenover de circa 200 voorheen. Van deze IP-adressen werd 93% als verdacht en 7% als kwaadaardig geclassificeerd. De meeste IP-adressen werden geassocieerd met de VS, gevolgd door kleinere clusters in het VK, Nederland, Canada en Rusland. GreyNoise stelde dat deze toename vergelijkbare kenmerken vertoont met recente scanning-activiteiten die gericht waren op Cisco ASA, en dat er een overlap is in de gebruikte tools. Er wordt opgemerkt dat dergelijke activiteiten vaak voorafgaan aan de ontdekking van kwetsbaarheden binnen zes weken.

Bron 1

Hackers hebben gebruikgemaakt van een kwetsbaarheid in de Zimbra Collaboration Suite (ZCS), aangeduid als CVE-2025-27915, om aanvallen uit te voeren met behulp van iCalendar (ICS)-bestanden. Deze bestanden werden misbruikt om kwaadaardige JavaScript-code in te voeren die zich in de sessie van het slachtoffer nestelde. De kwetsbaarheid ontstond door onvoldoende controle op HTML-inhoud in ICS-bestanden, wat aanvallers in staat stelde om ongeautoriseerde acties uit te voeren, zoals het stelen van inloggegevens en e-mailinvoer. De aanvallen werden in januari gedetecteerd, voordat Zimbra een patch uitbracht. Het doelwit van deze aanvallen was onder andere een Braziliaanse militaire organisatie, met het gebruik van gespoofte e-mails van de Libische marine. Zimbra heeft het probleem opgelost in januari 2025, maar de aanvallen werden al voor de release van de patch uitgevoerd.

Bron 1, 2, 3

Onderzoekers hebben een nieuwe aanval, genaamd CometJacking, ontdekt die de Comet AI-browser van Perplexity misbruikt. Via een gemanipuleerde URL kunnen aanvallers gevoelige data zoals e-mails en agenda-informatie van gebruikers stelen. De aanval wordt uitgevoerd door een onschuldige ogende link die de browser ertoe aanzet om verborgen opdrachten uit te voeren, die data extraheren en naar een externe server sturen. Deze techniek maakt gebruik van eenvoudige Base64-codering om de dataprotecties van de browser te omzeilen. Het belangrijkste risico is dat de browser al toegang heeft tot gegevens van gekoppelde diensten zoals Gmail en Google Calendar. Deze aanval laat zien hoe AI-native tools nieuwe beveiligingsrisico’s met zich meebrengen, waarbij traditionele beveiligingsmaatregelen vaak niet voldoende zijn. Dit benadrukt de noodzaak van veiligheid vanaf het ontwerp voor AI-browsers, met name voor geheugen- en agenttoegang.

Bron 1

Het afgelopen jaar heeft driekwart van de Nederlanders te maken gehad met pogingen tot cybercrime, waarbij slecht beveiligde slimme apparaten een belangrijke rol spelen. Twee derde van de Nederlanders zegt hun apparaten regelmatig te updaten, maar een aanzienlijk deel doet dit niet of slechts sporadisch, wat betekent dat er minimaal 2,5 miljoen apparaten onveilig zijn. De Nederlandse overheid start daarom de campagne 'Doe je Updates' om het belang van updates te benadrukken. Slimme apparaten, zoals thermostaten en babyfoons, zijn kwetsbaar voor hackers, die ze kunnen gebruiken voor onder andere DDoS-aanvallen en datadiefstal. De minister van Economische Zaken, Karremans, opende de campagne door te laten zien hoe eenvoudig het is om deze apparaten te hacken. Cyberaanvallen worden steeds heviger, en zelfs de zwaarste DDoS-aanvallen van het jaar werden via dergelijke apparaten uitgevoerd.

Bron 1

In Nederland zijn er 790 Cisco-firewalls met kwetsbaarheden die momenteel actief worden aangevallen. Deze kwetsbaarheden bevinden zich in de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software, waarvoor beveiligingsupdates al op 25 september zijn uitgebracht door Cisco. De kwetsbaarheden (CVE-2025-20333 en CVE-2025-20362) stellen aanvallers in staat om volledige controle over de apparaten te verkrijgen, zowel met als zonder inloggegevens. Ondanks dat de updates beschikbaar zijn, blijven wereldwijd nog zo'n 45.000 apparaten kwetsbaar, waarvan er 790 in Nederland en 120 in België worden aangetroffen. Het Nationaal Cyber Security Centrum (NCSC) heeft organisaties dringend aangespoord om de updates onmiddellijk te installeren. Deze kwetsbaarheden bieden aanvallers toegang via internet, wat een direct risico vormt voor de beveiliging van organisaties in zowel Nederland als België.

Bron 1, 2

De XWorm-malware is terug met nieuwe versies die verspreid worden via phishingcampagnes. Het oorspronkelijke project, ontwikkeld door XCoder, werd vorig jaar verlaten, maar andere cybercriminelen hebben de malwaresoftware overgenomen. De nieuwe varianten, XWorm 6.0, 6.4 en 6.5, bevatten meer dan 35 plugins, waaronder een ransomware-module. De malware kan worden gebruikt om gegevens te stelen van browsers en apps, op afstand toegang te krijgen tot computers, en bestanden te versleutelen. De ransomware-module is in staat om bestanden te versleutelen, waarbij de originele bestanden worden verwijderd en een losgeld wordt geëist. De malware is op grote schaal verspreid, met 18.459 infecties in verschillende landen, waaronder Rusland, de VS, India, Oekraïne en Turkije. Cyberbeveiligingsonderzoekers adviseren organisaties om meerdere lagen van bescherming te implementeren om de impact van XWorm te verminderen.

Bron 1

Op 5 oktober 2025 werd de opkomst van een nieuwe ransomwaregroep, Kyber Onion, gemeld. De groep is actief op het dark web en heeft een eigen leaksite, waarmee ze hun aanvallen op doelwitten verspreiden. Kyber Onion heeft een Onion-domein geclaimd als onderdeel van hun activiteiten. Dit domein is toegankelijk via het Tor-netwerk, wat een verhoogde anonimiteit biedt voor de aanvallers. De groep heeft potentieel een bredere impact op organisaties door geavanceerde encryptietechnieken en gestructureerde afpersing. De groep wordt als een nieuwe dreiging beschouwd in de ransomware-landschap, met de mogelijkheid om snel schade aan te richten. De politie en beveiligingsexperts houden de ontwikkelingen rondom Kyber Onion nauwlettend in de gaten.

Oplichters versturen frauduleuze e-mails die beweren afkomstig te zijn van gerechtsdeurwaarders of incassobureaus, aldus de Fraudehelpdesk. In de berichten wordt gedreigd met sancties, zoals beslaglegging, als een vermeende openstaande factuur niet binnen twee dagen wordt betaald. Deze e-mails zijn vaak onpersoonlijk, maar kunnen soms ook een persoonlijke aanhef bevatten. De berichten komen zowel van fictieve als bestaande gerechtsdeurwaarderskantoren, en in sommige gevallen wordt het logo van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) onterecht gebruikt. Daarnaast bevatten de mails soms een iDeal-betaallink, maar dit is niet altijd het geval. Ontvangers wordt aangeraden voorzichtig te zijn en bij twijfel contact op te nemen met de betreffende instantie via officiële kanalen.

Een Chinese cybercriminaliteitsgroep, UAT-8099, is verantwoordelijk voor een wereldwijde SEO-fraude-operatie, waarbij ze misbruik maakt van kwetsbare Microsoft Internet Information Services (IIS)-servers. De groep steelt waardevolle inloggegevens, configuratiebestanden en certificaatgegevens. De aanvallen richten zich op landen zoals India, Thailand, Vietnam, Canada en Brazilië, met als doel mobiele gebruikers, zowel Android als iPhone, te benadelen. UAT-8099 gebruikt verschillende technieken zoals webshells, open-source hackingtools en aangepaste malware genaamd BadIIS om zoekmachine-rangschikkingen te manipuleren. Eenmaal toegang verkregen tot een IIS-server, installeert de groep malware, verhoogt hun privileges en gebruikt tools zoals Cobalt Strike en RDP om hun toegang te behouden. Deze SEO-fraude wordt bereikt door middel van het plaatsen van backlinks die de zichtbaarheid van websites verhogen, wat hun zoekresultaten beïnvloedt.

Bron 1

Microsoft heeft aangekondigd dat een ernstige kwetsbaarheid in de Fortra GoAnywhere MFT-oplossing is misbruikt bij ransomware-aanvallen. Het probleem, aangeduid als CVE-2025-10035, werd voor het eerst ontdekt op 11 september 2025, maar er was toen nog geen beveiligingsupdate beschikbaar. Het lek stelt aanvallers in staat om commando's uit te voeren op de server via een "valide gefalsificeerde licentierespons". Microsoft waarschuwt dat de kwetsbaarheid, met een score van 10.0 op de schaal van 10, ernstige gevolgen kan hebben, zoals het verkrijgen van systeem- en gebruikersinformatie, langdurige toegang tot systemen en het uitvoeren van latere aanvallen met malware. De eerste meldingen van misbruik dateren van 10 september, acht dagen voor de uitgave van een patch door Fortra. Organisaties wordt aangeraden om hun systemen te controleren op verdachte activiteiten en aanvullende beveiligingsmaatregelen te treffen.

Bron 1

De FBI heeft een waarschuwing uitgegeven voor organisaties die gebruikmaken van Oracle E-Business Suite (EBS). Een ernstige kwetsbaarheid in het systeem is al misbruikt door criminelen om gevoelige gegevens te stelen en deze af te persen. Het beveiligingslek betreft EBS-software, die gebruikt wordt voor Enterprise Resource Planning (ERP) en vaak gevoelige informatie bevat. Het National Cyber Security Centrum (NCSC) meldt dat er al exploitcode in omloop is, wat betekent dat het risico op aanvallen groter wordt. Organisaties wordt dringend aangeraden om de recent uitgebrachte noodpatch onmiddellijk te installeren om verdere schade te voorkomen. De FBI benadrukt dat systemen die vanaf het internet toegankelijk zijn, in bijzonder gevaar lopen om volledig gecompromitteerd te worden. Daarnaast wordt geadviseerd om netwerklogs te controleren op verdachte activiteiten.

Bron 1, 2, 3

Een domein dat zich voordoet als een loginpagina van de HTX cryptocurrency-exchange, is geïdentificeerd als mogelijk phishing-portaal met het risico op command-and-control (C2)-activiteit. Het domein, htx-user[.]at, wordt vermoed te dienen voor zowel het verzamelen van inloggegevens als voor het coördineren van botnet-communicatie. De dreiging wordt met een vertrouwen van 75% ingeschat. De verdachte infrastructuur heeft een DNS IP-adres van 95[.]129[.]234[.]137. Verdere analyse toont aan dat de site een vervalste loginpagina heeft, die gebruikers kan misleiden. Het wordt aangeraden het domein en bijbehorende IP-adres te blokkeren via DNS, proxy en endpoint-beveiliging. Er wordt ook geadviseerd om verdachte uitgaande verbindingen naar cryptocurrency-gerelateerde domeinen te monitoren, vooral die welke zich voordoen als legitieme cryptoportalen.

Een dreigingsactor heeft via sociale media geclaimd een N-day exploit van Oracle E-Businesses (CVE-2025-61882) te verkopen op het Dark Web. Deze kwetsbaarheid heeft invloed op Oracle E-Business Suite en kan mogelijk worden gebruikt om systemen te compromitteren. Het is niet duidelijk of de exploit al in het wild is aangetroffen of dat het enkel wordt aangeboden voor toekomstige aanvallen. De ontdekking benadrukt de voortdurende dreiging van kwetsbaarheden in populaire bedrijfssoftware en de risico’s die hiermee gepaard gaan voor organisaties wereldwijd. Gebruikers van Oracle E-Businesses wordt geadviseerd waakzaam te blijven en hun systemen te monitoren op mogelijke aanvallen die gebruik maken van deze kwetsbaarheid.

De WARMCOOKIE-backdoor, die in 2024 opdook, wordt verspreid via phishing en malvertising. De malware is ontworpen als een modulaire backdoor, waarmee aanvallers op afstand toegang krijgen tot systemen. Het aanvankelijke doel was eenvoudig, maar de malware is inmiddels geëvolueerd. De afgelopen maanden zijn er nieuwe functies toegevoegd, zoals het vermogen om uitvoerbare bestanden, DLL's en PowerShell-scripts uit te voeren. De malware maakt gebruik van dynamische stringbanken en GUID-stijl mutexen om detectie te vermijden en zorgt voor verbeterde stealthcapaciteiten. In aanvulling op het initiële gebruik in phishingcampagnes, wordt de malware nu ingezet via geavanceerde malvertising- en spamsystemen. Een belangrijk kenmerk van de malware is dat het campagnes bijhoudt door een campagne-ID, die de verspreiding van infecties mogelijk maakt. Deze evolutie benadrukt de persistentie van de dreiging, wat WARMCOOKIE een complexe uitdaging maakt voor incidentrespons en beveiligingsteams.

Bron 1

In de afgelopen maanden hebben onderzoekers zich gericht op de Asgard Protector, een geavanceerde crypter die door cybercriminelen wordt gebruikt om schadelijke payloads te verbergen. Sinds eind 2023 wordt de crypter steeds vaker ingezet door cybercriminelen om infostealers en remote access trojans (RAT's) te verbergen binnen ogenschijnlijk onschuldige installers. Deze techniek omzeilt traditionele antivirussoftware en bemoeilijkt het incidentenbeheer aanzienlijk. De malware maakt gebruik van een self-extracting archive om schadelijke componenten uit te pakken en te verbergen. Bovendien wordt de schadelijke code in het geheugen gedecodeerd en gecomprimeerd, zonder dat een uitvoerbaar bestand op de harde schijf wordt achtergelaten, waardoor het moeilijk is om de infectie te detecteren. Het gebruik van complexe technieken, zoals obfuscatie en het omzeilen van sandbox-omgevingen, zorgt ervoor dat de malware onopgemerkt blijft voor veel detectiesystemen.

Bron 1

Ransomware-groepen hebben hun tactieken veranderd door niet langer alleen op malware te vertrouwen, maar populaire remote access tools zoals AnyDesk en Splashtop te misbruiken om in netwerken in te breken en hun aanwezigheid te behouden. Deze tools worden vaak als legitiem beschouwd en worden daarom niet gedetecteerd door traditionele beveiligingssystemen. De aanvallers verkrijgen toegang via phishing en credential stuffing, en gebruiken de tools om laterale bewegingen binnen netwerken te maken. In plaats van op maat gemaakte malware te gebruiken, verbergen de aanvallers hun activiteiten door bestaande administratietools te misbruiken, waardoor ze moeilijk te detecteren zijn. Deze tactieken hebben geleid tot aanzienlijke schade, waaronder versleutelde bestandsdelen en uitgeschakelde back-ups. Organisaties moeten hun vertrouwde tools heroverwegen en meer gerichte monitoring en gedragsanalyse implementeren om dergelijke aanvallen tijdig te detecteren.

Bron 1

De cybercriminele groep ShinyHunters heeft een nieuw afpersingsplatform gelanceerd, waarop ze bedrijven dreigen te schaden door gestolen data van klanten te publiceren, tenzij ze een losgeld betalen. De groep heeft in 2025 al meer dan een miljard klantgegevens van Salesforce gestolen door middel van voice-phishing-aanvallen. Tot de getroffen bedrijven behoren onder andere Toyota, FedEx, Disney en UPS. ShinyHunters claimt ook verantwoordelijk te zijn voor een recente inbraak bij het softwarebedrijf Red Hat, waarbij duizenden gevoelige klantgegevens werden gestolen. Daarnaast zijn ze betrokken bij de inbreuk op Discord-gegevens. Salesforce heeft bevestigd dat de diefstal van gegevens van derden geen kwetsbaarheid in hun eigen platform betreft, en weigert de eisen van de afpersers in te willigen. De groep heeft aangekondigd data te publiceren als de bedrijven geen losgeld betalen voor 10 oktober 2025.

Bron 1

De Clop ransomware-groep heeft sinds begin augustus misbruik gemaakt van een zero-day kwetsbaarheid in Oracle E-Business Suite (EBS) voor datadiefstal. De kwetsbaarheid, aangeduid als CVE-2025-61882, werd ontdekt in de BI Publisher Integration van de EBS Concurrent Processing component en stelt aanvallers in staat op ongepatchte systemen op afstand code uit te voeren zonder enige gebruikersinteractie. Oracle bracht onlangs een patch uit om deze kwetsbaarheid te verhelpen. Onderzoek door CrowdStrike toont aan dat de aanvallen gericht zijn op het stelen van gevoelige documenten, en de groep heeft ook geëist dat bedrijven losgeld betalen om de gestolen data niet online te lekken. Beveiligingsexperts waarschuwen voor de exploitatie van deze kwetsbaarheid door andere kwaadwillende actoren, gezien het recente openbaar maken van proof-of-concept-exploits en de patchrelease.

Bron 1

Cybercriminelen richten zich op WordPress-websites door schadelijke PHP-code stilletjes in themabestanden te injecteren. Deze malvertisingcampagne maakt gebruik van onopvallende JavaScript-code die bezoekers omleidt en pop-ups weergeeft zonder alarm te slaan bij beveiligingstools. De aanvallen maken gebruik van zwakke bestandstoegangsinstellingen en verouderde thema's, waarbij hackers via een gecompromitteerd inlogaccount of kwetsbare plugins toegang verkrijgen. De geïnjecteerde code werkt achter de schermen en voegt geen zichtbare inhoud toe aan de pagina's. De aanval wordt uitgevoerd via de wp_head-hook, die een verbinding maakt met een server en schadelijke JavaScript-payloads laadt. Dit script is ontworpen om de activiteit te camoufleren als legitieme CDN-operaties, wat detectie voorkomt. Beveiligingsbedrijven zoals Sucuri hebben de campagne geïdentificeerd door ongewone JavaScript-aanroepen naar verdachte domeinen te detecteren. Deze vorm van aanval kan voor langere tijd actief blijven totdat de geïnjecteerde code wordt verwijderd.

Bron 1

De ransomwaregroepen LockBit, Qilin en DragonForce hebben hun krachten gebundeld in een nieuwe strategische alliantie. Dit partnerschap is bedoeld om hun aanvallen effectiever te maken door het delen van technieken, middelen en infrastructuur, wat de operationele capaciteiten van elke groep versterkt. De samenwerking komt kort na de heropleving van LockBit, die zijn reputatie onder zijn partners wil herstellen na de lawine van opsporingsacties in 2024. De alliantie kan mogelijk leiden tot een toename van ransomware-aanvallen op kritieke infrastructuren, met name in sectoren die voorheen als minder risicovol werden beschouwd. Qilin, die zich recent tot de meest actieve ransomware-groep heeft ontwikkeld, zal waarschijnlijk profiteren van deze nieuwe samenwerking. Het partnerschap wordt gezien als een reactie op de recente daling van ransomware-aanvallen wereldwijd, waarbij Qilin, Akira en andere groepen een aanzienlijk aantal aanvallen op zich hebben genomen.

Bron 1, 2

Hackers met vermoedelijke banden met China hebben de legitieme open-source tool Nezha omgevormd tot een wapen voor cyberaanvallen. Deze aanvallen maken gebruik van Gh0st RAT, een bekend type malware, en richten zich op servers via kwetsbaarheden in phpMyAdmin. De aanvallers maakten gebruik van een techniek genaamd "log poisoning" om een webshell op een server te plaatsen. Dit stelde hen in staat de server op afstand te besturen en de Nezha-tool in te zetten om de slachtoffers verder te compromitteren. De aanvallen werden voornamelijk gedetecteerd in Taiwan, Japan, Zuid-Korea en Hong Kong, maar ook andere landen, waaronder de VS en het VK, werden getroffen. Nezha wordt gebruikt om de aanval verder uit te voeren door Gh0st RAT te activeren, wat kan leiden tot ernstige schade zoals gegevensdiefstal en netwerktoegang.

Bron 1

Een geavanceerde Android Remote Access Trojan (RAT) is ontdekt op GitHub, die aanzienlijke beveiligingsrisico's met zich meebrengt voor mobiele gebruikers wereldwijd. De malware, die volledig ondetecteerbare (FUD) capaciteiten biedt, is beschikbaar via een GitHub-repository en kan moderne beveiligingsmaatregelen en antivirusprogramma's omzeilen. Dit type malware is ontworpen om te functioneren via een webinterface, wat het voor cybercriminelen gemakkelijker maakt om het te gebruiken zonder technische expertise. Het maakt gebruik van geavanceerde technieken, zoals AES-128-CBC-encryptie en anti-emulator mechanismen, om detectie te vermijden. De RAT kan wachtwoorden stelen, ransomware uitvoeren en maakt gebruik van sociale-engineeringtechnieken om gebruikers tot het verlenen van onterecht toegang te verleiden. Het kan ook in legitieme apps geïnjecteerd worden, waardoor het moeilijk te detecteren is door traditionele beveiligingssystemen.

Bron 1

De TamperedChef-malware, die zich voordoet als een legitieme PDF-editor, heeft recentelijk geleid tot een toename van malvertising-campagnes die Europese organisaties en individuen aantrekken om een vermeende AppSuite PDF Editor te downloaden. Het programma gedraagt zich in eerste instantie als een normaal PDF-bewerkingsprogramma, maar na twee maanden verandert het in een steelse gegevensdiefstaltool. Zodra de malware actief is, verzamelt het automatisch opgeslagen gebruikersnamen en wachtwoorden uit browsers en stuurt deze naar de aanvallers. Dit wordt gedaan zonder dat de gebruiker zich bewust is van de infectie, doordat de interface van de PDF-editor blijft functioneren. De malware maakt gebruik van een autorun-registry-instelling om bij elke herstart van het systeem opnieuw te starten, zonder administratieve rechten te vereisen. Dit maakt de malware vooral gevaarlijk voor bedrijfsomgevingen met beperkte gebruikersrechten.

Bron 1

Yurei-ransomware, die begin september 2025 opdook, richt zich op Windows-omgevingen met een geavanceerde Go-gebaseerde payload voor versleuteling op grote schaal. Nadat de malware is uitgevoerd, zoekt het naar alle toegankelijke lokale en netwerkstations, voegt het de extensie .Yurei toe aan bestanden en schrijft het unieke losgeldnota's in elke getroffen directory. De ransomware verspreidt zich voornamelijk via gestolen inloggegevens en spear-phishingcampagnes en maakt gebruik van Windows Management Instrumentation (WMI) en op wachtwoorden gebaseerde externe uitvoering om toegang te krijgen tot netwerken. Na infectie schakelt de malware de Volume Shadow Copy Service (VSS) uit en verwijdert het bestaande back-ups. De ransomware verspreidt zichzelf via USB-apparaten en SMB-shares, waarbij het zichzelf als WindowsUpdate.exe of System32Backup.exe kopieert. Dit maakt het moeilijk om het netwerksegmentatiebeleid te doorbreken en detectie te voorkomen.

Bron 1

Er is een verdachte URL geïdentificeerd die via de Microsoft DevTunnel-service een Windows Portable Debug (PDB)-bestand verspreidt, gelinkt aan de XWorm-malwarefamilie. Deze tactiek maakt gebruik van ontwikkel- en cloudomgevingen voor malwaredistributie, waarmee vertrouwen gebaseerde verdedigingsmechanismen worden omzeild. Het verdachte bestand heeft een hoge betrouwbaarheidsscore van 100%. Het URL-adres is https://05q0h4x0-5500.euw.devtunnels.ms/1.pdb. De waarschuwing betreft een payload levering, en het wordt aanbevolen om toegang tot het genoemde domein te blokkeren op DNS- en proxylagen. Daarnaast moeten pogingen om .pdb-bestanden van onbekende of verdachte domeinen te downloaden worden gemonitord. XWorm-artikelen, inclusief persistentie-mechanismen en registerwijzigingen, dienen te worden opgespoord. Het gebruik van ontwikkel-tunnels in bedrijfsomgevingen wordt alleen aanbevolen wanneer strikt noodzakelijk.

SonicWall heeft bevestigd dat aanvallers de firewall-configuratie van alle klanten die gebruikmaken van de cloudback-updienst hebben gestolen. De gestolen bestanden bevatten versleutelde inloggegevens en configuratie-informatie die cybercriminelen kunnen helpen bij gerichte aanvallen. Eerder werd gemeld dat minder dan vijf procent van de klanten getroffen was, maar recentere informatie toont aan dat alle klanten met cloudback-up kwetsbaar zijn geworden. SonicWall heeft het incident omschreven als een "cloud backup security incident" en heeft de vorige verwijzingen naar bruteforce-aanvallen verwijderd. Klanten worden aangemoedigd om in te loggen op de MySonicWall portal om te controleren of hun systemen risico lopen. SonicWall heeft ook aanvullende beveiligingsmaatregelen doorgevoerd, maar de details hierover blijven onbekend.

Bron 1, 2

De dreigingsgroep Crimson Collective heeft de afgelopen weken Amazon Web Services (AWS)-cloudomgevingen aangevallen, waarbij ze toegang kregen tot gevoelige data en bedrijven afpersen. Ze hebben onlangs de verantwoordelijkheid opgeëist voor de aanval op Red Hat, waarbij 570 GB aan gegevens uit duizenden privé GitLab-repositories werden gestolen. Om toegang te krijgen tot AWS, gebruiken de aanvallers onder andere het open-source hulpmiddel TruffleHog om blootgestelde AWS-referenties te vinden. Nadat ze toegang hebben verkregen, creëren ze nieuwe gebruikers en verhogen hun bevoegdheden, waardoor ze volledige controle over de cloudomgevingen krijgen. De aanvallers verzamelen gegevens, modificeren wachtwoorden van databases en exfiltreren deze naar andere opslagdiensten zoals S3. Crimson Collective verstuurt vervolgens afpersingsberichten via e-mail. AWS raadt klanten aan kortdurende, minimaal bevoorrechte referenties te gebruiken en IAM-beperkingen te implementeren om dergelijke aanvallen te voorkomen.

Bron 1, 2

Een nieuwe variant van de FileFix-aanval maakt gebruik van cache-smuggling om op een slachtoffercomputer een kwaadaardige ZIP-bestand te downloaden en beveiligingssoftware te omzeilen. De aanval lijkt afkomstig van een "Fortinet VPN Compliance Checker" en werd ontdekt door cybersecurityonderzoeker P4nd3m1cb0y. In deze phishing-aanval wordt een nepdialog weergegeven die gebruikers aanzet om een ogenschijnlijk legitiem pad naar een Fortinet-programma in de Windows Verkenner in te voeren. Dit pad bevat echter verborgen PowerShell-opdrachten die schadelijke code activeren. De kwaadaardige bestanden worden verstopt in de cache van Google Chrome en kunnen worden uitgevoerd zonder dat het beveiligingssoftware detecteert. Het gebruik van cache-smuggling zorgt ervoor dat de malware voorbij veel beveiligingsproducten komt. Dit soort aanvallen is snel overgenomen door ransomwaregroepen en andere cybercriminelen.

Bron 1, 2, 3

De Watergroep in Belgie waarschuwt klanten voor phishing-aanvallen die gebruikmaken van hun aankomende samenwerking met waterleverancier Farys, die op 1 januari 2026 officieel van start gaat onder de naam WaterUnie. Cybercriminelen spelen in op deze verandering door valse e-mails en sms'jes te versturen die lijken te komen van WaterUnie. De Watergroep benadrukt dat klanten niet gevraagd worden om hun gegevens opnieuw door te geven, en dat zij dit zelfstandig kunnen aanpassen via hun klantenzone. Klanten wordt geadviseerd om betalingen via domiciliëring te regelen en verdachte e-mails door te sturen naar De Watergroep, die probeert de afzenders te blokkeren. De samenwerking tussen De Watergroep en Farys heeft als doel een duurzamere waterproductie, maar voor klanten verandert er niets in de dienstverlening.

Bron 1

De cyberdreigingsactor Mustang Panda heeft recent een nieuwe aanpak geïntroduceerd om malware te verspreiden, door middel van DLL side-loading. De aanval maakt gebruik van phishingmails waarin slachtoffers een ZIP-bestand ontvangen met een bedrieglijk uitvoerbaar bestand, "Voice for the Voiceless Photos.exe", samen met een verborgen DLL-bestand, libjyy.dll. Dit bestand is gemarkeerd met system- en verborgen-attributen, waardoor het moeilijker te detecteren is. Wanneer het bedrieglijke bestand wordt uitgevoerd, laadt het de DLL via LoadLibraryW, wat de malware routine activeert. De techniek maakt het gebruik van dynamische API-resolutie en versleuteling om het gedrag te verbergen en traditionele detectie methoden te omzeilen. Het einddoel is het verkrijgen van persistente toegang tot het systeem en het exfiltreren van gegevens naar een command-and-control server, waarbij verschillende technieken zoals register sleutels en geplande taken worden gebruikt om de malware actief te houden.

Bron 1

De cybercriminelen van Scattered Lapsus$ Hunters hebben hun afpersingscampagne vergroot door een nieuwe lek-site te lanceren waarop gestolen Salesforce-gegevens worden gedreigd openbaar te maken. Dit collectief, dat bestaat uit de bekende dreigingsactoren ShinyHunters, Scattered Spider en Lapsus$, richt zich op Salesforce, een wereldwijd veelgebruikte CRM-plaatform, door bedrijven met gestolen klantgegevens te bedreigen. De aanvallers gebruikten onder andere social engineering technieken, zoals vishing, om toegang te krijgen tot Salesforce-systemen en exfiltratie van gevoelige data mogelijk te maken. Daarnaast exploitereerden ze OAuth-integratietokens voor blijvende toegang. De nieuwe lek-site bevat claims over de hoeveelheid gestolen data en dreigt met openbaarmaking, tenzij de gevraagde betalingen worden voldaan. De deadline voor betaling is vastgesteld op 10 oktober 2025.

Bron 1

Een nieuwe vorm van ransomware-aanvallen maakt gebruik van legitieme databasecommando's om systemen wereldwijd te compromitteren. In plaats van traditionele malware te gebruiken, misbruiken aanvallers blootgestelde databases door standaard databasefunctionaliteit te manipuleren, zoals het stelen, wissen en losgeld eisen van kritieke gegevens. Deze aanvallen richten zich op internet-verbonden databaseservers met zwakke wachtwoorden of geen authenticatie. De aanvallers gebruiken legitieme SQL-commando's om gegevens te extraheren en destructieve bewerkingen uit te voeren, zoals het verwijderen van databases. Deze methode is moeilijk te detecteren omdat er geen schadelijke binaries op het systeem worden geplaatst. De aanvallen maken gebruik van geautomatiseerde bots die constant internet scannen naar misconfiguraties, waardoor organisaties kwetsbaar zijn. Sinds de eerste waarnemingen in 2017 is het aantal gevallen sterk gestegen, waarbij aanvallers snel nieuwe doelen kunnen compromitteren zodra ze online zijn.

Bron 1

Een ernstige SQL-injectiekwetsbaarheid in FreePBX, een veelgebruikte PBX-systeem voor VoIP-infrastructuur, stelt aanvallers in staat om database-inhoud te manipuleren en willekeurige code uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2025-57819, maakt misbruik van onbeveiligde webtoepassingsparameters, specifiek gericht op de databasebeheersystemen van FreePBX. Door middel van SQL-injecties via de ajax.php-endpoint kunnen aanvallers kwaadaardige verzoeken versturen die onwettige gegevensinvoegingen in de cron_jobs-databasetabel veroorzaken. Dit creëert persistentie en zorgt voor ongeautoriseerde toegang. Analyse van actieve exploitatiecampagnes toont aan dat de aanvallers geavanceerde technieken gebruiken die verder gaan dan eenvoudige database-aanpassingen, waaronder stealth en zelfvernietigende mechanismen om forensisch onderzoek te bemoeilijken.

Bron 1

Hackers maken gebruik van een nieuwe techniek, bekend als hidden text salting, om kwaadaardige codes in e-mailberichten te injecteren. Deze techniek maakt gebruik van de eigenschappen van cascading style sheets (CSS) om inhoud onzichtbaar te maken voor de ontvanger, maar wel aanwezig in de HTML-code. Door manipulatie van CSS-eigenschappen zoals font-grootte, zichtbaarheid en containerafmetingen kunnen aanvallers verborgen inhoud toevoegen die traditionele detectiesystemen misleiden. De aanvallen komen steeds vaker voor in phishingcampagnes, scams en geavanceerde bedreigingen die gericht zijn op waardevolle organisaties. De methode is bijzonder effectief tegen zowel handtekeninggebaseerde oplossingen als geavanceerde machine learning-modellen die tekstanalyses gebruiken. Onderzoekers hebben geconstateerd dat deze techniek veel vaker voorkomt in kwaadaardige e-mails dan in legitieme communicatie. Dit vereist dat organisaties verbeterde detectie- en filtratiesystemen implementeren die rekening houden met CSS-gebaseerde inhoudsverberging.

Bron 1

Shuyal Stealer is een geavanceerd malwareprogramma dat in snel tempo als een veelzijdige tool voor het stelen van inloggegevens is opgekomen. Het werd voor het eerst gedetecteerd in augustus 2025 en heeft sindsdien honderden systemen in verschillende sectoren gecompromitteerd, waaronder financiën, gezondheidszorg en productie. De malware maakt gebruik van social engineering, bijvoorbeeld via phishing-e-mails of kwaadaardige advertenties. Het wordt gedistribueerd als een software-update of hulpprogramma, waarbij een DLL-loader wordt gebruikt om de malafide code te injecteren in de browserprocessen. Shuyal Stealer kan inloggegevens, cookies en opgeslagen wachtwoorden stelen uit 19 verschillende browsers, waaronder Chrome, Firefox en Edge. Gegevens worden vervolgens versleuteld en via HTTPS verzonden naar een dynamisch gegenereerd subdomein. Het gebruik van een DLL-side-loading techniek helpt de malware detectie te omzeilen door geen verdachte bestanden op de schijf te plaatsen.

Bron 1

Cisco heeft bevestigd dat de open-source DFIR-tool Velociraptor wordt misbruikt bij ransomware-aanvallen. Deze tool, ontwikkeld door Rapid7, wordt normaal ingezet voor digital forensics en incident response, maar wordt nu door aanvallers gebruikt om toegang te verkrijgen tot systemen. Velociraptor stelt aanvallers in staat om stealthy toegang te behouden en de LockBit- en Babuk-ransomware te verspreiden. De aanvallers installeren een verouderde versie van Velociraptor, die kwetsbaarheden bevat (CVE-2025-6264). Deze kwetsbaarheid kan door aanvallers worden gebruikt om hun rechten op het systeem te verhogen, willekeurige commando's uit te voeren en volledige controle over het endpoint te verkrijgen. Onderzoekers adviseren organisaties om het ongeautoriseerd gebruik van Velociraptor nauwlettend te monitoren en te onderzoeken.

Bron 1, 2

Sinds augustus wordt een kritieke kwetsbaarheid in Oracle E-Business Suite (EBS) misbruikt door criminelen voor een grootschalige afpersingscampagne. Het lek, CVE-2025-61882, stelt aanvallers in staat om op afstand code uit te voeren op getroffen servers zonder enige authenticatie. Criminelen hebben gegevens van EBS-servers gestolen en dreigen deze openbaar te maken tenzij er losgeld wordt betaald. Google en The Shadowserver Foundation bevestigen dat honderden EBS-servers wereldwijd nog steeds kwetsbaar zijn, ondanks een patch die Oracle op 4 oktober uitbracht. De FBI heeft organisaties opgeroepen het lek onmiddellijk te patchen. Momenteel zijn veel getroffen servers te vinden in de VS, China, India en Duitsland.

Bron 1, 2

Een nieuwe ransomwaregroep genaamd "Brotherhood" is geïdentificeerd op het Dark Web. Deze groep heeft een nieuwe locatie opgezet voor hun activiteiten, bereikbaar via een .onion-domein. De groep lijkt zich te richten op het verspreiden van ransomware-aanvallen met als doel het verkrijgen van losgeld van slachtoffers. Er zijn geen specifieke gegevens vrijgegeven over de slachtoffers of de gebruikte methoden, maar de groep heeft een aantal berichten gepost met informatie over hun aanvallen. Dit komt kort na een periode van verhoogde ransomware-activiteit op het Dark Web, waar verschillende groepen met soortgelijke tactieken opereren.

Microsoft Threat Intelligence heeft een financieel gemotiveerde dreigingsactor, Storm-2657, geïdentificeerd die zich richt op universiteiten in de VS. Deze aanvallen, bekend als “payroll pirate”, gebruiken social engineering om toegang te krijgen tot werknemersprofielen en salarissen om te leiden naar gecontroleerde bankrekeningen van de aanvaller. Het doelwit zijn voornamelijk werknemers van instellingen in het hoger onderwijs die via platforms voor personeelsbeheer zoals Workday worden aangevallen. De aanvallen maken gebruik van phishing-e-mails die ontworpen zijn om MFA-codes te stelen. Zodra de aanvaller toegang heeft tot de accounts, worden inboxregels aangemaakt om waarschuwingen van systemen zoals Workday te verwijderen. Microsoft raadt het gebruik van phishing-resistente MFA aan om deze aanvallen te voorkomen. Affected klanten kunnen door Microsoft ondersteund worden in hun mitigatie-inspanningen.

Bron 1

Een nieuwe vorm van Android-spyware, ClayRat, richt zich momenteel op gebruikers in Rusland. De malware wordt verspreid via Telegram-kanalen en valse phishing-websites die populaire apps zoals WhatsApp, Google Foto’s, TikTok en YouTube imiteren. Zodra geïnstalleerd, kan de spyware SMS-berichten, oproepgeschiedenissen en apparaat-informatie stelen, foto's maken met de frontcamera en zelfs berichten versturen of oproepen plaatsen vanaf het slachtofferapparaat. Daarnaast verspreidt de malware zichzelf door schadelijke links naar alle contacten in de telefoonlijst van het slachtoffer te sturen. ClayRat heeft binnen 90 dagen meer dan 600 monsters en 50 droppers gedetecteerd, waarbij elke versie nieuwe technieken gebruikt om detectie te omzeilen. De malware maakt gebruik van valse updates om gebruikers te misleiden, en de infectie wordt via beveiligingslekken verder verspreid naar andere apparaten.

Bron 1

Het hackercollectief Trinity of Chaos heeft een dataleksite opgezet op het TOR-netwerk, waar het gevoelige informatie van 39 grote bedrijven is gepubliceerd. De groep, die wordt verondersteld leden van de bekende cybercriminelen zoals Lapsus$, Scattered Spider en ShinyHunters te omvatten, heeft ransomware-tactieken gecombineerd met datadiefstal om financiële druk uit te oefenen op hun slachtoffers. Onder de gecompromitteerde bedrijven bevinden zich grote namen zoals Google, Cisco, Toyota en FedEx. De groep heeft de slachtoffers een ultimatum gesteld, met als dreiging de publicatie van nog meer data als ze niet voldoen aan de eisen. De meeste gelekte gegevens bevatten persoonlijke informatie, maar bevatten geen wachtwoorden. Trinity of Chaos richt zich op bedrijven in sectoren zoals technologie, financiën en telecommunicatie wereldwijd, en gebruikt geavanceerde social engineering technieken om toegang te verkrijgen.

In de afgelopen weken is er een geavanceerde malwarecampagne ontdekt waarbij conversatie-AI-chatbots werden misbruikt als verborgen toegangspunten tot bedrijfssystemen. De aanvallers richtten zich op organisaties die chatapplicaties op basis van grote taalmodellen gebruikten. Door zwakheden in de natuurlijke taalverwerking en indirecte gegevensinvoer te exploiteren, konden de aanvallers onterecht toegang krijgen tot systemen. In eerste gevallen werden financiële instellingen aangevallen, waar een publieke chatbot per ongeluk schadelijke inhoud van externe beoordelingssites inslikte, wat leidde tot een keten van privilege-escalaties. De aanvallers gebruikten foutmeldingen van de chatbot om informatie te verkrijgen over de onderliggende systemen en een verborgen injectie van code uit te voeren, waarmee ze toegang kregen tot interne API’s en gevoelige klantgegevens. Detectie van deze tactieken vereist constante monitoring en integriteitscontrole van scripts en geplande taken binnen de IT-infrastructuur.

Bron 1

Een nieuwe ransomwarevariant heeft in de afgelopen weken wereldwijd voor veel problemen gezorgd. Deze ransomware, die eind september 2025 voor het eerst werd opgemerkt, versleutelt binnen enkele seconden na uitvoering gegevens, waardoor er weinig tijd is voor tegenmaatregelen. Sectoren zoals de gezondheidszorg, financiën en productie melden grootschalige uitval van systemen door aanvallen via onbeveiligde RDP-sessies en phishing-e-mails. Het malwareprogramma maakt gebruik van een aangepaste loader die zich via kwetsbare RDP-sessies verspreidt en zich verstopt in DLL-modules, wat snelle verspreiding door netwerken mogelijk maakt. Forensisch onderzoek toont aan dat de ransomware snel en efficiënt werkt, met versleuteling in minder dan 30 seconden voor 10 GB data op moderne systemen. De aanvallers vragen losgeld in Monero, met bedragen die op maat zijn gemaakt voor het slachtoffer. De malware is uiterst moeilijk te detecteren door traditionele antivirussoftware, vanwege zijn geoptimaliseerde code en polymorfisme.

Bron 1

Criminelen hebben via phishingaanvallen Workday-accounts van personeel bij Amerikaanse universiteiten gekaapt en hun salaris gestolen. De aanvallers stuurden phishingmails naar universiteitsmedewerkers, waarbij links naar man-in-the-middle phishingpagina's werden gestuurd. Deze pagina's verzamelden zowel inloggegevens als MFA-codes. Zodra de aanvallers toegang hadden, logden ze in op het Exchange Online-account van de slachtoffers en verwierven ze toegang tot Workday, waar ze bankrekeningnummers wijzigden naar hun eigen rekening. De aanvallers voegden soms ook hun eigen apparaat toe voor blijvende MFA-toegang. Ze creëerden regels in Exchange Online om e-mails van Workday te verwijderen, waardoor slachtoffers niets bemerkten. Microsoft adviseert het gebruik van phishingbestendige MFA-methoden om deze aanvallen te voorkomen, aangezien de gebruikte techniek ook op andere HR- en salarisplatforms van toepassing kan zijn.

Bron 1

In de afgelopen maand is een nieuwe cybercampagne gestart die gericht is op klanten van grote telecomproviders, waaronder Telenet, Vodafone, Proximus en Orange. Deze aanval gaat verder dan de gebruikelijke phishingaanvallen. Slachtoffers die malafide websites bezoeken, downloaden per ongeluk een trojan van de AntiDot-malwarefamilie, die volledige controle over hun apparaat kan overnemen. De malware kan bank- en crypto-applicaties bespioneren, oproepen blokkeren en monitoren, berichten lezen en zelfs elke toetsaanslag registreren. JustGuard heeft reeds de actieve malafide domeinen verwijderd en malwaremonsters gedeeld met de bredere beveiligingsgemeenschap. Ze monitoren tevens nieuwe infrastructuur die met dezelfde groep in verband staat. Een gedetailleerd blogbericht met belangrijke indicatoren van compromittering en technische analyse wordt binnenkort verwacht.

Bron 1

Het RondoDox-botnet is sinds juni 2025 actief en richt zich op 56 kwetsbaarheden in meer dan 30 verschillende apparaten, waaronder DVR’s, NVR’s, CCTV-systemen en webservers. Deze kwetsbaarheden, waarvan sommige eerder werden onthuld tijdens de Pwn2Own-hackcompetities, zijn vooral n-day flaws die door het botnet worden uitgebuit. Het botnet gebruikt een zogenaamde “exploit shotgun”-strategie, waarbij meerdere kwetsbaarheden tegelijk worden aangevallen, zelfs als de activiteit opvallend luidruchtig is. Onder de kwetsbaarheden die het botnet exploiteert, bevinden zich CVE-2023-1389 (TP-Link Archer AX21 router) en CVE-2024-3721 (TBK). De botnetontwikkelaars maken snel gebruik van exploits die tijdens Pwn2Own-evenementen zijn gepresenteerd. Om zich te beschermen tegen RondoDox en andere botnetaanvallen, wordt aangeraden de nieuwste firmware-updates toe te passen en verouderde apparatuur te vervangen.

Bron 1

Een verdachte URL is geïdentificeerd die een valse CAPTCHA-verificatiepagina via Cloudflare serveert. Deze site lijkt te worden gebruikt als tussenstation voor de levering van kwaadaardige payloads, waarbij gebruikers worden misleid om schadelijke content te downloaden of uit te voeren. De kans op kwaadaardigheid wordt ingeschat op 50%. De URL in kwestie is https://guard-google[.]com/, welke wordt gemeld als een indicator voor payloadlevering. Het wordt aangeraden om toegang tot deze URL te blokkeren via DNS, proxy en endpointbeveiliging. Verder moeten bedrijven waakzaam zijn voor gebruikersactiviteit met valse CAPTCHA-uitdagingen die vaak worden gebruikt in drive-by malwarecampagnes. Gebruikers moeten worden geïnformeerd over de gevaren van dergelijke CAPTCHA-tactieken die meestal verborgen payload-omleidingen verbergen.

Een nieuwe ransomwaregroep, genaamd TENGU Onion, is recentelijk geïdentificeerd op het dark web. De groep is actief op een onion-site, toegankelijk via het Tor-netwerk, met het doel gegevens van slachtoffers te versleutelen en losgeld te eisen. De identificatie van TENGU Onion werd gedeeld door een bekende bron, Dark Web Informer. De website van de groep is te vinden op een specifieke onion-url die momenteel wordt gemonitord door cybersecurity-experts. Deze nieuwe dreiging komt op het moment dat ransomware-aanvallen wereldwijd blijven toenemen. De betrokkenheid van deze groep vormt een potentieel risico voor organisaties en bedrijven die kwetsbaar zijn voor dergelijke aanvallen. Experts adviseren bedrijven om waakzaam te blijven en noodzakelijke beveiligingsmaatregelen te treffen om aanvallen van dergelijke groepen te voorkomen.

De hackinggroep Lapsus$ Shiny Hunters (SLSH) heeft een PGP-bericht ondertekend waarin ze dreigen vertrouwelijke gegevens van bedrijven openbaar te maken als deze niet betalen. De groep heeft aangegeven dat op 10 oktober 2025, om 23:59 uur New York-tijd, alle bedrijven die hun losgeld niet hebben betaald, worden blootgesteld. Het bericht werd gepost door de Dark Web Informer en bevat links naar een verwijderbare tekst die vermoedelijk meer details bevat over de dreiging. De groep gebruikt doorgaans PGP-signaturen om hun communicatie te authenticeren en heeft eerder meerdere datalekken geëist van bedrijven. Het bericht benadrukt de voortdurende dreiging van ransomware-aanvallen door SLSH en andere cybercriminelen, waarbij bedrijven worden gedwongen om hoge bedragen te betalen om te voorkomen dat gevoelige informatie op het dark web wordt gelekt.

De Chinese dreigingsactor UTA0388 is verantwoordelijk voor een reeks gerichte phishingcampagnes in Noord-Amerika, Azië en Europa. Deze campagnes, die gebruikmaken van volledig gefabriceerde identiteiten en organisaties, zijn ontworpen om de malware GOVERSHELL te verspreiden. Oorspronkelijk werden de phishingmails gestuurd met links naar schadelijke archieven die de malware bevatten. De aanvallen evolueerden naar meer verfijnde technieken, waaronder phishing met rapportopbouw om vertrouwen op te bouwen bij de slachtoffers voordat de kwaadaardige link werd verstuurd. GOVERSHELL, een backdoor die via DLL-side loading wordt geïnstalleerd, heeft verschillende versies die functies uitvoeren via PowerShell, zoals systeeminformatie ophalen en externe servers raadplegen. De aanvaller maakte gebruik van OpenAI’s ChatGPT om de inhoud van de phishingmails te genereren, wat aantoont hoe geavanceerd de operaties van UTA0388 zijn. Deze campagne is sterk gericht op Aziatische geopolitieke kwesties, met een bijzondere focus op Taiwan.

Bron 1

Onderzoekers hebben 175 kwaadaardige npm-pakketten ontdekt die gebruikt werden voor een phishingcampagne, Beamglea, die zich richt op 135 bedrijven wereldwijd, voornamelijk in de industrie, technologie en energie. De pakketten werden 26.000 keer gedownload en bevatten scripts die slachtoffers omleiden naar inlogpagina’s voor het verzamelen van referenties. Deze aanvallen maakten gebruik van npm's publieke registry en unpkg.com’s CDN om verdachte JavaScript-bestanden te hosten. Wanneer slachtoffers een speciaal gemaakte HTML-bestand openen, wordt hun e-mailadres doorgegeven aan een phishingpagina, die hen een voorkeursformulier toont met hun eigen gegevens al ingevuld. Dit verhoogt de kans op succes voor de aanvallers. Het misbruik van legitieme infrastructuren zoals npm en unpkg.com illustreert de steeds veranderende technieken van cybercriminelen.

Bron 1, 2

Het ransomware-landschap onderging een ingrijpende verandering in het derde kwartaal van 2025, met de opkomst van het ShinySp1d3r RaaS van Scattered Spider. Dit vertegenwoordigt de eerste grote Engelstalige ransomware-operatie die de Russische dominantie uitdaagt. Tegelijkertijd maakte LockBit zijn comeback met versie 5.0, waarbij kritieke infrastructuren als legitieme doelen werden aangemerkt, wat de traditionele grenzen van ransomware-aanvallen verlegde. Het aantal actieve data-leak sites bereikte een record van 81 in het derde kwartaal, waarbij kleinere, opkomende groepen nu het vacuüm vulden dat door de grotere ransomware-operaties was achtergelaten. Deze verschuiving vergrootte de dreiging en breidde ransomware-aanvallen uit naar nieuwe regio's en sectoren. De integratie van social engineering en geavanceerde encryptie door ShinySp1d3r verhoogde de druk op slachtoffers, die zowel operationeel als financieel werden benadeeld.

Bron 1

Een recent ontdekte Python-gebaseerde remote access trojan (RAT), genaamd nirorat.py, vertoont ongekende polymorfe eigenschappen door zijn code elke keer dat hij wordt uitgevoerd te muteren. Het malware-sample werd eerst op VirusTotal ontdekt en kreeg een lage detectiescore van slechts 26/100, ondanks dat het een volledige suite van RAT-functionaliteiten bevat. De malware maakt gebruik van Python's introspectie- en code-modificatietechnieken om signature-gebaseerde detectie te omzeilen. De mutatie wordt gedreven door functies zoals selfmodifyingwrapper, die de code in geheugen decoderen en reconstrueren zonder een bestandspad achter te laten. De malware wordt voornamelijk verspreid via phishing-e-mails met een ogenschijnlijk onschadelijk Python-script en via gecompromitteerde netwerkschijven. Door zichzelf volledig in geheugen uit te pakken, vermijdt de malware schijfartefacten. Traditionele signatuurtools kunnen dit type dreiging niet effectief detecteren, wat gedragsanalyse en realtime monitoring noodzakelijk maakt.

Bron 1

Een geavanceerde phishingcampagne richt zich op werkzoekenden door gebruik te maken van legitieme Zoom documentdelingsfuncties. De cybercriminelen doen zich voor als HR-afdelingen en sturen uitnodigingen voor Zoom-documenten, waarmee ze Gmail-inloggegevens proberen te verkrijgen. De aanvallen omzeilen traditionele beveiligingsmaatregelen, zoals SPF, DKIM en DMARC, door e-mails te versturen die van een betrouwbare bron lijken te komen. Slachtoffers ontvangen e-mails die uitnodigen om documenten te bekijken, waarna ze via een reeks kwaadaardige websites naar een vervalste inlogpagina voor Gmail worden geleid. Deze valse pagina ziet er identiek uit aan de officiële Google-loginpagina en wordt gebruikt om inloggegevens in real-time te stelen via WebSocket-verbindingen. Deze techniek maakt het mogelijk om gestolen inloggegevens direct te valideren en accounts snel over te nemen.

Bron 1

SnakeKeylogger is een geavanceerd infostealer dat gebruik maakt van PowerShell en sociale manipulatie om data te exfiltreren. De malware verspreidt zich via phishing-e-mails die zich voordoen als betaalverzoeken van vertrouwde bedrijven. De bijgevoegde bestanden bevatten een onschuldig lijkende BAT-script die bij uitvoering een PowerShell-payload laadt. Deze payload is ontworpen om toetsaanslagen en systeemgegevens te stelen en te verzenden naar een externe server. De malware maakt gebruik van legitieme Windows-functies en aangepaste scripts om detectie te vermijden. Het malwareprogramma zorgt voor persistentie door geplande taken en registervermeldingen te creëren, zodat het blijft draaien na herstarts van het systeem. De verkregen informatie wordt in batches verzonden naar een command-and-control server. Geadviseerd wordt om endpointbeveiliging bij te werken en verdachte activiteiten te monitoren.

Bron 1

De Stealit-malware maakt gebruik van een nieuwe functie van Node.js, de Single Executable Application (SEA), om kwaadaardige payloads te verspreiden via vervalste installateurs van games en VPN-applicaties. Deze malware wordt gedistribueerd via bestandsdelingswebsites zoals Mediafire en Discord. SEA stelt Node.js-applicaties in staat om als op zichzelf staande uitvoerbare bestanden te draaien, zonder dat Node.js vooraf geïnstalleerd hoeft te zijn. De malware bevat een remote access trojan (RAT) en ondersteunt onder andere bestandsextractie, webcamcontrole en ransomware. De malware is ontworpen om te draaien zonder detectie, door onder andere anti-analysetechnieken toe te passen en de Microsoft Defender Antivirus uit te schakelen voor specifieke mappen. De malware heeft tot doel gebruikers te infecteren via populaire apps en wordt gecommercialiseerd met prijzen die variëren van $29,99 voor een wekelijkse licentie tot $1.999,99 voor een levenslange licentie.

Bron 1

Criminele actoren maken gebruik van kwetsbaarheden in SonicWall SSL VPN-apparaten om Akira-ransomware te verspreiden. Sinds juli 2025 zijn er meerdere incidenten gemeld in Noord-Amerika en EMEA, waarbij aanvallers gebruikmaken van de kwetsbaarheid CVE-2024-40766 in SonicOS-versies tot 7.0.1-5035, wat hen in staat stelt om op afstand code uit te voeren zonder authenticatie. Na toegang tot het netwerk voeren de aanvallers verkenning uit, verzamelen ze inloggegevens en bewegen ze lateraal door het netwerk voordat de ransomware wordt geactiveerd. In de getroffen sectoren, waaronder de maakindustrie, onderwijs en gezondheidszorg, werd vaak eerst data geëxfiltreerd voordat de versleuteling begon. De aanvallers gebruiken ook technieken om hun aanwezigheid in het netwerk te behouden, zoals het hergebruiken van gestolen inloggegevens en het misbruiken van misconfiguraties. Organisaties wordt aangeraden om de patches van augustus 2024 toe te passen en verdachte externe SSH-verkeer te monitoren.

Bron 1

ChaosBot, een geavanceerde Rust-gebaseerde backdoor die eind september 2025 opdook, maakt gebruik van gestolen CiscoVPN- en overbevoegde Active Directory-wachtwoorden om toegang te krijgen tot netwerkcomponenten. De aanvallers verspreiden de malware via een techniek genaamd "side-loading" met behulp van het legitieme Microsoft Edge-component identity_helper.exe. Het gebruik van Discord voor commando- en controle (C2)-operaties maakt het moeilijker om de communicatie te traceren. Na de eerste infectie stelt ChaosBot een omgekeerde proxy in om persistent toegang te behouden, en verplaatst zich lateraal binnen het netwerk. De infectie gebeurt via twee hoofdroutes: het misbruik van VPN-gegevens en phishing-e-mails met kwaadaardige snelkoppelingen. ChaosBot gebruikt de Discord-bot van de aanvallers voor communicatie en voert opdrachten uit die via de platformen worden doorgegeven.

Bron 1

Onderzoekers van Socket hebben ontdekt hoe cybercriminelen Discord gebruiken voor commando- en controlemechanismen in de npm-, PyPI- en RubyGems-ecosystemen. Door Discord-webhooks in kwaadaardige pakketten te integreren, kunnen aanvallers gevoelige gegevens zoals configuratiebestanden en gebruikersinformatie uitlekken naar servers die door de aanvallers worden beheerd. Dit vervangt de traditionele, gecontroleerde C2-servers. Voorbeelden van deze technieken zijn onder andere het gebruik van Discord-webhooks in npm-pakketten zoals mysql-dumpdiscord, die vertrouwelijke bestandsgegevens naar een Discord-kanaal sturen. De onderzoekers waarschuwen dat dit nieuwe aanvalsmethoden zijn die de beveiliging van supply chains in gevaar kunnen brengen, omdat Discord-webhooks vaak worden toegestaan door firewallinstellingen en moeilijk te detecteren zijn door traditionele methoden. Het is belangrijk om dependency-pakketten te controleren en risicovolle verbindingen zoals webhooks te blokkeren.

Bron 1

De Astaroth banking trojan maakt gebruik van GitHub om zijn operaties voort te zetten nadat zijn infrastructuur is uitgeschakeld. In plaats van traditionele command-and-control (C2)-servers, gebruiken de aanvallers GitHub-repositories om malwareconfiguraties te hosten, waardoor de trojan blijft functioneren zelfs na het neerhalen van C2-servers. De aanval richt zich voornamelijk op Brazilië, maar ook andere Latijns-Amerikaanse landen worden getroffen. De trojan wordt verspreid via phishing-e-mails die zich voordoen als documenten van DocuSign, waarna de malware wordt geïnstalleerd en de activiteiten van de slachtoffers monitort. Astaroth verzamelt inloggegevens van bank- en cryptowebsites door middel van keylogging. De malware is ook uitgerust met technieken om analyse te vermijden, zoals het afsluiten bij detectie van emulatoren of analysetools. De trojan maakt gebruik van GitHub om zijn configuratiebestanden te updaten, wat zorgt voor een robuuste back-upinfrastructuur voor het geval de primaire servers ontoegankelijk worden.

Bron 1

Na een recente inbreuk op de cloudservice van SonicWall, die gevoelige gegevens van klanten, inclusief gecodeerde configuratie-back-ups, blootstelde, zijn er gerichte aanvallen op de SSLVPN-apparaten van het bedrijf. De aanvallen, die begin oktober 2025 begonnen, maakten gebruik van gestolen geldige inloggegevens in plaats van brute force-methoden. De aanvallers, die waarschijnlijk over insiderkennis beschikten, probeerden toegang te krijgen tot netwerken en systemen. SonicWall heeft bevestigd dat de inbreuk alle klanten met de MySonicWall-back-updienst heeft getroffen, hoewel de schade beperkt was tot enkele procenten van de firewalls. Bedrijven worden aangemoedigd om hun inloggegevens onmiddellijk opnieuw in te stellen en hun beveiliging te verbeteren door multi-factor authenticatie en het toepassen van het principe van minimale rechten. SonicWall heeft ook waarschuwingen gedeeld om organisaties te helpen bij het identificeren van verdachte activiteiten.

Bron 1

Microsoft heeft de Internet Explorer (IE) modus in de Edge-browser aangepast na meldingen in augustus 2025 dat onbekende hackers deze legacy-functie misbruikten om ongeautoriseerde toegang te verkrijgen tot gebruikersapparaten. De aanvallers maakten gebruik van verouderde kwetsbaarheden in de Chakra-engine van Internet Explorer en pasten sociale-engineeringtechnieken toe om slachtoffers naar gemanipuleerde websites te leiden. Na het herladen van de pagina in IE-modus, konden de aanvallers op afstand code uitvoeren en hun privileges verhogen om volledige controle over het apparaat van het slachtoffer te verkrijgen. Microsoft heeft als reactie de IE-modus verder beperkt. Gebruikers moeten nu handmatig websites toevoegen aan een lijst om de IE-modus te kunnen activeren, waarmee de toegang voor aanvallers wordt bemoeilijkt. Dit besluit heeft tot doel de beveiliging te verbeteren, terwijl de compatibiliteit met legacy-webinhoud behouden blijft.

Bron 1

Een cybersecurityonderzoeker ontdekte dat bijna 180.000 bestanden, waaronder persoonlijke gegevens (PII) en bankinformatie, onbeschermd waren opgeslagen in een database die gekoppeld is aan het platform Invoicely. Deze database bevatte facturen, belastingformulieren, cheque-afbeeldingen en persoonlijke gegevens zoals namen, adressen, telefoonnummers en belastingnummers. De blootstelling van dergelijke gegevens vormt een ernstig risico voor identiteitsdiefstal en financiële fraude. Cybercriminelen kunnen de gegevens gebruiken voor gerichte aanvallen, zoals spear-phishing of valse facturatiefraude. De database werd snel offline gehaald na ontdekking, maar het is nog onduidelijk hoe lang de informatie publiekelijk toegankelijk was of of onbevoegden toegang hebben gehad. Gebruikers wordt geadviseerd om multi-factor authenticatie te gebruiken en wachtwoorden niet opnieuw te gebruiken om verdere schade te voorkomen.

Bron 1

Er is een ernstige kwetsbaarheid ontdekt in AMD's Secure Encrypted Virtualization met Secure Nested Paging (SEV-SNP), een technologie die wordt gebruikt door grote cloudproviders zoals AWS, Azure en Google Cloud. De aanval, genaamd RMPocalypse, maakt misbruik van een fout in de initialisatie van de Reverse Map Table (RMP), die bedoeld is om de geheugenintegriteit te waarborgen en te voorkomen dat hypervisors versleutelde virtuele machines (VM's) manipuleren. Hackers kunnen door deze kwetsbaarheid de RMP-entries vervalsen, waardoor de geheimhouding en integriteit van de gegevens wordt geschonden. De exploitatie van deze kwetsbaarheid kan leiden tot het uitlekken van gevoelige gegevens zoals AI-modellen en bedrijfsworkloads. AMD is op de hoogte van het probleem en werkt aan een oplossing, maar er zijn nog geen patches beschikbaar voor de getroffen hardware.

Bron 1

Een domein dat geassocieerd wordt met de ClearFake malwarecampagne is geïdentificeerd. Het domein toont momenteel een Cloudflare-phishingwaarschuwing en is gemeld voor kwaadaardige activiteiten. ClearFake-campagnes zijn bekend om het verspreiden van schadelijke scripts die payloads afleveren of gebruikers doorsturen naar phishingpagina’s. Het domein in kwestie is e1mx.fkur8[.]ru, en het wordt beschouwd als een betrouwbare indicator van schadelijke activiteit met een vertrouwensniveau van 100%. Verdere onderzoeken tonen aan dat het domein gebruikt wordt voor het leveren van JavaScript-payloads die zich voordoen als beveiligings- of software-updatewaarschuwingen. Verdere actie wordt aanbevolen, waaronder het blokkeren van dit domein en de bijbehorende IP-adressen, evenals het monitoren van sessies die gebruikers naar valse browser-updatepagina’s leiden.

Cyberbeveiligingsonderzoekers hebben een nieuwe dreigingsactor, TA585, geïdentificeerd, die de MonsterV2-malware verspreidt via phishingcampagnes. De malware, een remote access trojan (RAT) en stealer, werd in februari 2025 voor het eerst op criminelenforums geadverteerd. TA585 heeft zijn eigen infrastructuur en malware-installatietechnieken ontwikkeld, wat het onderscheiden maakt van andere cybercriminelen. De malware wordt voornamelijk verspreid via phishingberichten die zich voordoen als berichten van de Amerikaanse belastingdienst (IRS), die gebruikers naar schadelijke websites leiden. Na de infectie kan MonsterV2 gegevens stelen, cryptocurrency-adressen vervangen, en op afstand systemen besturen. De malware is geprijsd op $800 per maand voor de standaardversie, en $2.000 voor de Enterprise-versie. Verder maakt het gebruik van geavanceerde technieken zoals anti-debugging en privilege-escalatie om detectie te vermijden.

Bron 1

Cybercriminelen maken misbruik van AI-chatbots, zoals Grok van X (voorheen Twitter), om phishing-scamlinks te verspreiden. Deze techniek, genaamd "Grokking," houdt in dat kwaadwillenden een video met clickbait plaatsen en de AI-chatbot vragen naar de herkomst van de video. De chatbot, die vaak als vertrouwde bron wordt gezien, versterkt de schadelijke link door deze in zijn antwoord op te nemen. Deze video's bereiken miljoenen gebruikers, wat de verspreiding van malware en diefstal van inloggegevens vergemakkelijkt. Het probleem van dergelijke aanvallen wordt verergerd door het gebruik van "prompt injectie," waarbij aanvallers schadelijke instructies aan de AI geven. Dit onderstreept de risico's van blind vertrouwen op AI-uitvoer, vooral bij openbare bots die gegevens verwerken die mogelijk "geïnfecteerd" zijn met kwaadaardige inhoud.

Bron 1

Een geavanceerde aanval richt zich op macOS-gebruikers via vervalste Homebrew-installatiewebsites die schadelijke payloads leveren naast legitieme pakketbeheer-installaties. De aanvallers maken pixel-perfecte replicaties van de officiële Homebrew-installatiepagina's en gebruiken geavanceerde technieken om de klembord van de gebruiker te manipuleren. De frauduleuze websites, zoals homebrewfaq[.]org en homebrewclubs[.]org, dwingen gebruikers om de kopieerknop te gebruiken, waarmee schadelijke commando's in hun klembord worden ingevoegd. Deze commando's worden uitgevoerd samen met de legitieme installatiecommando's, waardoor malware onopgemerkt kan worden geïnstalleerd. Dit vormt een nieuwe benadering van supply chain-aanvallen, waarbij de aanvallers niet de pakketrepositories zelf compromitteren, maar het installatieproces aanvallen. De aanvallers gebruiken JavaScript om hun payloads in te voegen, wat de kans op detectie verkleint.

Bron 1

Cybercriminelen maken steeds vaker misbruik van de software ConnectWise ScreenConnect, een remote monitoring en management (RMM) tool, om ongemerkt toegang te krijgen tot systemen. Dit gebeurt via geavanceerde phishingcampagnes die slachtoffers misleiden met valse IT-waarschuwingen. De aanvallers gebruiken aangepaste installerbestanden om ScreenConnect te implementeren, waardoor traditionele beveiligingssystemen moeilijkheden ondervinden bij het detecteren van de aanval. Na installatie creëert de malware een verborgen Windows-service die aanvallers volledige toegang geeft tot bestandssystemen en netwerken. De aanvallers maken gebruik van op maat gemaakte configuraties en encryptie om hun sporen te verbergen, wat het voor beveiligingsteams moeilijk maakt om de activiteit te traceren en te stoppen. Door deze techniek blijft de aanval moeilijk detecteerbaar, wat de ernst van het gevaar vergroot.

Bron 1

Autonome AI-agents zijn niet langer slechts hulpmiddelen die taken uitvoeren, maar nemen zelf acties zoals het openen van tickets, analyseren van logboeken en het oplossen van incidenten. Deze AI-agents maken beslissingen sneller dan mensen kunnen volgen, wat nieuwe beveiligingsrisico's introduceert. Ze kunnen zelfstandig werken zonder menselijke tussenkomst, wat hen krachtig maakt, maar ook gevaarlijk. Bedrijven implementeren steeds vaker deze agents, maar zonder voldoende zichtbaarheid of controles, wat leidt tot "shadow AI". Dit maakt het moeilijk om acties terug te traceren naar de oorspronkelijke gebruiker. Het is belangrijk dat bedrijven nieuwe regels invoeren voor het beheren van AI-agents, zoals het bijhouden van hun levenscyclus en het toepassen van context op hun acties. Het doel is niet om AI-agents te stoppen, maar om effectieve beveiligingsmaatregelen en governance te implementeren om ongecontroleerde processen te voorkomen.

Bron 1

Een phishingcampagne richt zich de laatste weken op bedrijfs- en consumentenaccounts door zich voor te doen als de inlogportalen van OpenAI en Sora. De aanvallers versturen e-mails die als legitieme meldingen lijken, waarin ze ontvangers waarschuwen voor een accountschorsing of verdachte activiteiten. De berichten bevatten links naar vervalste inlogpagina’s die sterk lijken op de originele sites, inclusief SSL-certificaten. Onderzoekers van Unit 42 ontdekten dat de aanvallers gebruikmaken van een meerfasenloader, geschreven in obfuscating JavaScript, die na het invullen van de inloggegevens kwaadaardige payloads in de browser injecteert. De ingediende gegevens worden vervolgens naar een command-and-controlserver gestuurd, terwijl de gebruikers doorgestuurd worden naar de legitieme site, waardoor de inbraak moeilijker te detecteren is. Deze aanvalsmethode stelt de aanvallers in staat om inloggegevens te verzamelen voor zowel persoonlijke als zakelijke accounts zonder opgemerkt te worden.

Bron 1

Een cyberaanvaller, genaamd TigerJack, blijft ontwikkelaars doelwit maken met kwaadaardige extensies die via de Visual Code (VSCode) marketplace en OpenVSX registry worden verspreid. Deze extensies worden gebruikt om cryptocurrency te stelen en achterdeurtjes in systemen te plaatsen. Twee extensies die al 17.000 keer gedownload waren op VSCode zijn na verwijdering daar nog steeds beschikbaar op OpenVSX. TigerJack publiceert dezelfde kwaadaardige code onder nieuwe namen, waardoor de dreiging aanhoudt. Naast het stelen van broncode, bevat een van de extensies een cryptominer die de rekenkracht van het systeem gebruikt zonder restricties. Andere extensies kunnen op afstand kwaadaardige code uitvoeren, waardoor aanvallers toegang krijgen tot systemen, bijvoorbeeld voor het stelen van inloggegevens, het installeren van ransomware, of het injecteren van backdoors. Het advies voor ontwikkelaars is om alleen extensies van betrouwbare bronnen te downloaden.

Bron 1

Er is een toename van SEO-poisoning-aanvallen die gericht zijn op gebruikers van Ivanti Pulse Secure VPN. Aanvallers maken gebruik van vervalste downloadsites die lijken op de legitieme Ivanti-website, en deze sites worden hoog gerankt in de zoekresultaten van Bing. Gebruikers die klikken op de vervalste links downloaden een trojanized Ivanti Pulse Secure VPN-client die een credential-stealing DLL bevat. Deze malware steelt VPN-inloggegevens door het bestand "connectionstore.dat" te doorzoeken en stuurt de gestolen gegevens naar een server op Microsoft Azure. De aanvallen hebben verband met eerdere incidenten waarbij gestolen VPN-gegevens werden gebruikt voor laterale bewegingen binnen netwerken en het inzetten van ransomware, zoals Akira ransomware. Organisaties wordt aangeraden om Multi-Factor Authenticatie (MFA) in te schakelen en verdachte apparaten direct van het netwerk te isoleren om schade te beperken.

Bron 1

Hackers hebben een geavanceerde phishingcampagne opgezet die gericht is op gebruikers in Colombia. Ze maken gebruik van valse gerechtelijke meldingen om een complexe, multi-stage malware-levering te realiseren, wat uiteindelijk resulteert in de infectie met AsyncRAT. De aanvallers sturen zorgvuldig samengestelde e-mails die zich voordoen als officiële communicatie van een Colombiaanse rechtbank. De e-mails bevatten SVG-bestanden die, wanneer geopend, de slachtoffers doorsturen naar een vervalste website van het Openbaar Ministerie. Deze site lijkt een legitieme consultatieportaal, maar is bedoeld om malware te installeren. De malware maakt gebruik van verschillende technieken om de slachtoffers te infecteren, waarbij een obfuscated PowerShell-script en Visual Basic-scripts worden uitgevoerd om de malware te injecteren. Het eindresultaat is de installatie van AsyncRAT, waarmee de aanvallers volledige controle krijgen over de geïnfecteerde systemen. De campagne toont een zorgwekkende evolutie in sociale-engineeringtechnieken, waardoor traditionele beveiligingsmaatregelen kunnen worden omzeild.

Bron 1

In oktober 2025 ontdekten onderzoekers een geavanceerde phishingcampagne die gebruikmaakt van het NPM-ecosysteem. Deze aanval maakt gebruik van het vertrouwde unpkg.com CDN om schadelijke scripts rechtstreeks via browsers te verspreiden, gericht op werknemers van meer dan 135 bedrijven, voornamelijk in de industriële, technologische en energiesectoren in Europa. In plaats van traditionele schadelijke pakketinstallaties, worden de aanvallen uitgevoerd door goed ogende HTML-bestanden te verspreiden, die lijken op zakelijke documenten, facturen of projectbestanden. Wanneer slachtoffers deze openen, worden ze automatisch naar phishingwebsites geleid. De aanvallers maakten meer dan 175 tijdelijke NPM-pakketten aan, elk met JavaScript-code die de slachtoffers naar de kwaadaardige sites leidde. Het gebruik van open-source hostinginfrastructuur voor phishing vertegenwoordigt een gevaarlijke evolutie van supply chain-aanvallen, waarbij traditionele beveiligingsmaatregelen worden omzeild.

Bron 1

Gesynchroniseerde passkeys verhogen de gebruiksvriendelijkheid maar brengen aanzienlijke beveiligingsrisico's met zich mee, vooral voor bedrijven. Deze passkeys worden gesynchroniseerd via cloudservices zoals iCloud of Google Cloud, wat de kwetsbaarheid vergroot. Aanvallers kunnen misbruik maken van cloud-accountovernames, manipuleren met browserextensies of zwakke herstelmechanismen gebruiken om toegang te krijgen tot accounts. Bovendien kunnen zogenaamde "adversary-in-the-middle" (AiTM) aanvallen authenticatie terugslaan naar zwakkere methoden zoals SMS of OTP, waardoor sterke beveiligingsmaatregelen worden omzeild. In plaats van gesynchroniseerde passkeys, worden apparaatgebonden passkeys, die hardwarebeveiligingssleutels gebruiken, aanbevolen voor enterprise-toepassingen. Deze bieden een veel sterkere bescherming omdat ze specifiek aan een apparaat zijn gebonden, wat een hogere mate van controle en beveiliging biedt. Bedrijven moeten daarom investeren in apparaatgebonden authenticators en zwakkere methoden uitsluiten om de beveiliging te verbeteren. Daarnaast kan MindYourPass een veilig alternatief zijn voor traditionele wachtwoordbeheeroplossingen. Dit systeem slaat geen wachtwoorden op, maar berekent ze telkens opnieuw, waardoor het risico op inbraak wordt geminimaliseerd.

Onderzoekers hebben ontdekt dat meer dan 100 Visual Studio Code (VS Code)-extensies toegangstokens hebben gelekt, die door kwaadwillenden kunnen worden misbruikt om schadelijke updates naar extensies te verspreiden. Dit vormt een groot risico voor de software supply chain. De getroffen extensies waren verbonden aan een cumulatieve install base van 150.000 gebruikers. In totaal werden meer dan 550 gelekte geheimen aangetroffen in 500 extensies van verschillende uitgevers. Deze geheimen omvatten onder andere API-sleutels van cloud- en AI-providers, evenals database-inloggegevens. De VS Code-extensies, die .vsix-bestanden gebruiken, kunnen onterecht toegang geven tot systeembronnen of zelfs kwaadaardige code uitvoeren. Microsoft heeft inmiddels de gelekte tokens ingetrokken en toegevoegd secret scanning-functionaliteit in de VS Code Marketplace geïntroduceerd om dergelijke risico’s te beperken. Ontwikkelaars wordt geadviseerd voorzichtig te zijn bij het installeren van extensies en automatische updates uit te schakelen.

Bron 1

Een nieuwe malwarecampagne is ontdekt in Brazilië, waarbij een kwaadaardig LNK-bestand via WhatsApp wordt verspreid. Dit bestand bevat de "Maverick" banking trojan, die sterke overeenkomsten vertoont met de Coyote-malware. De infectieketen is volledig fileless, wat betekent dat er geen bestanden op de schijf worden achtergelaten. Nadat het bestand is geopend, installeert de trojan zich en controleert of de machine zich in Brazilië bevindt. De trojan kan onder andere screenshots maken, toetsaanslagen loggen en websites monitoren, met als doel bankgegevens van slachtoffers te stelen. De trojan is ontworpen om de toegang tot 26 Braziliaanse bankwebsites en cryptocurrency-exchange platforms te monitoren. De communicatie met de command-and-control server wordt beveiligd via SSL, en de trojan maakt gebruik van geavanceerde technieken zoals encryptie en obfuscatie om detectie te vermijden. Kaspersky detecteerde in de eerste 10 dagen van oktober al 62.000 pogingen tot infectie in Brazilië.

Bron 1

GhostBat RAT is een nieuwe malwarecampagne die gericht is op Android-gebruikers in India. De malware wordt verspreid via valse apps die zich voordoen als de officiële "mParivahan"-app, gebruikt voor regionale transportdiensten. Gebruikers ontvangen smishing-berichten via SMS en WhatsApp met verkorte URL's die hen naar GitHub-hosted payloads leiden. Zodra de kwaadaardige app geïnstalleerd is, vraagt deze om SMS-gerelateerde machtigingen, waardoor de malware toegang krijgt tot bankgerelateerde gegevens. De app toont een phishing-interface die lijkt op de legitieme mParivahan-app, waarbij slachtoffers worden gevraagd voertuig- en mobiele gegevens in te voeren en een nep-betaling van ₹1 te doen ter "verificatie". Gegevens zoals bankgerelateerde SMS-berichten worden vervolgens verzameld en naar aanvallers gestuurd. De malware maakt gebruik van meerdere anti-analysetechnieken om detectie te voorkomen, wat het een aanzienlijke bedreiging maakt voor gebruikers van mobiele banken in India.

Bron 1

Hackers hebben in 2025 meer dan 13.000 unieke domeinen geregistreerd voor een nieuwe browsergebaseerde malwarecampagne, genaamd "ClickFix." Deze campagne maakt gebruik van goedkope of gecompromitteerde hostinginfrastructuur, waaronder Cloudflare, om kwaadaardige payloads te verspreiden via valse webpagina's. Gebruikers worden via een CAPTCHA-uitdaging verleid om een commando uit hun klembord te plakken, wat resulteert in het ongewild uitvoeren van schadelijke scripts of uitvoerbare bestanden. De aanval maakt gebruik van eenvoudige social engineeringtechnieken en vereist weinig technische kennis van de aanvallers. De malware is ontworpen om zowel op Windows- als Mac-systemen te werken, en de spreiding van de domeinen toont een geautomatiseerde aanpak van de aanvallers. Dit incident benadrukt hoe hackers door massale domeinnregistratie en het misbruiken van bestaande infrastructuur grote schaal kunnen bereiken.

Bron 1

Er is een lopende phishingcampagne die zich richt op gebruikers van LastPass en Bitwarden. De aanvallers versturen valse e-mails waarin wordt beweerd dat de bedrijven gehackt zijn en dat gebruikers een veiliger desktopversie van hun wachtwoordmanager moeten downloaden. De e-mails bevatten links naar een schadelijke binary die het Syncro-platform installeert, een tool voor remote monitoring en management. Dit platform wordt gebruikt om ScreenConnect, software voor externe ondersteuning, te deployen, waardoor de aanvallers volledige toegang krijgen tot de pc van het slachtoffer. Zowel LastPass als Bitwarden hebben bevestigd dat er geen beveiligingsincidenten hebben plaatsgevonden en waarschuwen voor de valse meldingen. De nepberichten proberen urgentie te creëren en gebruikers over te halen een onveilige versie van de software te installeren. Beide bedrijven adviseren gebruikers altijd via officiële kanalen in te loggen om de veiligheid te verifiëren.

Bron 1, 2, 3

Aanvallers richten zich steeds vaker op niet-webprotocollen zoals DNS, RDP en SMB om netwerken te infiltreren. Traditionele beveiligingssystemen kunnen deze aanvallen moeilijk detecteren, aangezien de aanvallers gebruikmaken van tunneling en andere verborgen communicatietechnieken via deze protocollen. Recent onderzoek van Zscaler onthult dat DNS misbruik de grootste dreiging vormt, goed voor 83,8% van de niet-webbedreigingen. Daarnaast nemen brute force-aanvallen tegen RDP en SMB sterk toe, vooral gericht op verouderde systemen. De detailhandel is de meest getroffen sector, gevolgd door kritieke infrastructuren zoals energie en productie, waar SSH-aanvallen rampzalige gevolgen kunnen hebben. Anonimiseringshulpmiddelen zoals Tor verergeren de dreiging door aanvallers te helpen hun activiteiten te verbergen. Het rapport benadrukt dat de toename van gerichte aanvallen, specifiek aangepast aan sectoren, cybercriminelen in staat stelt om hun winstgevendheid te vergroten. Het gebruik van een Zero Trust-aanpak kan helpen om deze nieuwe aanvalsvectoren effectief te neutraliseren.

Bron 1

Een geavanceerde, multi-stage malwarecampagne maakt gebruik van de PhantomVAI Loader om verschillende informatie-diefstalmalsware zoals AsyncRAT, XWorm, FormBook en DCRat te verspreiden. Deze aanvallen beginnen met zorgvuldig samengestelde phishing-e-mails, die gericht zijn op bedrijven in sectoren zoals productie, gezondheidszorg, technologie en overheidsinstellingen. De malware, voorheen bekend als de Katz Stealer Loader, maakt gebruik van geavanceerde technieken om e-mailbeveiligingsfilters te omzeilen, inclusief homograafaanvallen, waarbij visueel vergelijkbare tekens worden gebruikt. De aanval is bijzonder gevaarlijk doordat de malwarescripts sterk geobfuseerd zijn, en Base64-gecodeerde PowerShell-commando’s bevatten die automatisch worden uitgevoerd zodra de verdachte bijlagen worden geopend. Zodra de aanval succesvol is, wordt de malware gedownload van een aanvallersserver en ingebed in legitieme systeembestanden, waardoor de malware verborgen blijft terwijl het gevoelige informatie steelt.

Bron 1

Microsoft heeft in zijn jaarlijkse Digital Defense Report gemeld dat de meeste cyberaanvallen in 2024 plaatsvonden door het gebruik van exploits voor kwetsbaarheden en gestolen wachtwoorden. Ongeveer 37 procent van de incidenten was gericht op datadiefstal, gevolgd door afpersing (33 procent) en ransomware (19 procent). In 11 procent van de gevallen was exploitatie van kwetsbare software de initiële toegangsmethode, terwijl hetzelfde percentage werd veroorzaakt door gestolen inloggegevens. Social engineering speelde een rol in 10 procent van de incidenten. Microsoft merkt op dat toegangsmakelaars, die systemen binnendringen en de toegang doorverkopen aan andere criminelen, vaak een sleutelrol spelen in ransomware-aanvallen. De meerderheid van deze aanvallen maakt gebruik van gestolen inloggegevens, voornamelijk afkomstig van datalekken of infostealer-malware. Microsoft benadrukt het belang van phishingbestendige multifactorauthenticatie als maatregel tegen dergelijke aanvallen.

Bron 1

Een onderzoek naar een gecompromitteerde infrastructuur op Amazon Web Services (AWS) heeft de ontdekking van een nieuw Linux-rootkit, genaamd LinkPro, onthuld. Het rootkit maakt gebruik van eBPF-modules (extended Berkeley Packet Filter) om zichzelf te verbergen en wordt geactiveerd wanneer een specifiek TCP-pakket wordt ontvangen. Het kwaadwillige pakket heeft een "magische" waarde in het venster van het TCP-pakket (54321), wat de communicatie met het command-and-control (C2) systeem mogelijk maakt. LinkPro kan in twee modi werken: passief, waarbij het wacht op een specifiek TCP-pakket, en actief, waarbij het zelf verbinding maakt met het C2-systeem. Het rootkit maakt gebruik van verschillende technieken om zijn aanwezigheid te verbergen, waaronder het manipuleren van systeemaanroepen en het aanpassen van netwerkverkeer. De aanval begon via een kwetsbare Jenkins-server en gebruikte een kwaadaardige Docker-afbeelding.

Bron 1

Een financieel gemotiveerde dreigingsactor, UNC5142, maakt gebruik van blockchain smart contracts om informatie steler-malwaresoftware zoals Atomic, Lumma en Vidar te verspreiden via geïnfecteerde WordPress-websites. Het proces, genaamd "EtherHiding", verbergt kwaadaardige code op publieke blockchains, zoals de BNB Smart Chain. UNC5142 richt zich op zowel Windows- als macOS-systemen en maakt gebruik van een meerfasige JavaScript-downloader, genaamd CLEARSHORT, die malware in twee stadia verspreidt via geïnfecteerde websites. Dit proces omvat het ophalen van een landingpagina van een smart contract op de blockchain en het misleiden van slachtoffers om schadelijke commando's uit te voeren. De techniek biedt bescherming tegen detectie en verwijdering door zijn interactie met de blockchain. Ondanks een pauze in activiteiten in juli 2025, blijven de campagnes geavanceerd en weerbaar tegen beëindiging.

Bron 1

De Qilin ransomware-groep heeft zich gepositioneerd als een van de meest gevaarlijke cyberdreigingen, die gebruikmaakt van geavanceerde bulletproof hosting-infrastructuur om wereldwijde organisaties aan te vallen. Oorspronkelijk begonnen in 2022 onder de naam Agenda, richt de groep zich op een breed scala aan sectoren, waaronder gezondheidszorg, overheden, kritieke infrastructuren en vermogensbeheer. Onlangs was de groep verantwoordelijk voor de aanval op Asahi Group, Japan's grootste drankproducent, die productie onderbrak in de meeste van haar fabrieken. Qilin maakt gebruik van zowel de programmeertalen Golang als Rust voor zijn ransomware-aanvallen, wat zorgt voor veelzijdigheid en cross-platform aanvalsmogelijkheden. De groep past de tactiek van dubbele extortie toe, waarbij gegevens worden versleuteld en tegelijkertijd worden gestolen om druk uit te oefenen op de slachtoffers. De ransomware-operatie werkt samen met ondergrondse bulletproof hostingproviders, die een veilige haven bieden voor deze activiteiten.

Bron 1

Begin oktober 2025 werd een oude phishingtechniek opnieuw gebruikt, waarbij Basic Authentication-URL's werden ingezet om gebruikers te misleiden en hun inloggegevens te stelen. De aanvallers maakten links in de vorm van https://gebruikersnaam:wachtwoord@domein.com, waarbij het domein van een vertrouwde instelling in het gebruikersnaamveld werd verborgen. Wanneer gebruikers op deze links klikten, werden hun browsers geauthenticeerd op het kwaadwillende domein, waarna hun inloggegevens werden verzameld. Deze techniek is vooral effectief in mobiele apps en e-mailclients, die lange URL's inkorten. De eerste aanvallen richtten zich op klanten van GMO Aozora Bank in Japan, maar ook andere grote merken zoals Amazon, Google en Netflix werden geïmiteerd. De aanvallers gebruikten een CAPTCHA-pagina om de slachtoffers verder te misleiden en de legitimiteit van de pagina te verhogen. De gebruikte Basic Auth-URL's ontsnapten aan reguliere URL-filters, wat deze aanvalslijn moeilijk te detecteren maakt.

Bron 1

Operation Silk Lure is een gerichte campagne die de Windows Taakplanner misbruikt om een nieuwe variant van de ValleyRAT-malware te verspreiden. De aanval, die zich richt op de HR-afdelingen van Chinese fintech- en handelsbedrijven, begint met spear-phishing-e-mails die schadelijke LNK-bestanden bevatten die zich voordoen als sollicitatiebrieven. Wanneer deze bestanden worden geopend, wordt een verborgen PowerShell-commando uitgevoerd, dat een loader (keytool.exe) en een DLL (jli.dll) downloadt. Na de initiële infectie registreert een VBScript een dagelijks geplande taak die de loader uitvoert en persistente toegang creëert. De malware maakt vervolgens verbinding met een command-and-control-server en verzamelt gegevens, terwijl beveiligingsmaatregelen van antivirussoftware worden omzeild. Het gebruik van DLL-side-loading en het maskeren van de activiteiten maakt deze operatie bijzonder moeilijk te detecteren.

Bron 1

Cybercriminelen hebben een nieuwe phishing-aanvalstechniek ontwikkeld waarbij ze Microsoft-urls gebruiken om slachtoffers te misleiden. De aanval vindt plaats via een link die lijkt te verwijzen naar forms.office.com, maar uiteindelijk leidt naar een kwaadaardige website. Daar wordt het slachtoffer gevraagd in te loggen met hun M365-account, waarna de criminelen toegang kunnen krijgen tot de gegevens. Wat deze techniek gevaarlijk maakt, is dat de URL eindigt op windows.net, wat het lijkt alsof de link legitiem is, hoewel het dit niet is. Het is belangrijk voor gebruikers om altijd te controleren of de inlogpagina de juiste URL bevat (login.microsoftonline.com) en alert te zijn op verdachte links.

Bron 1

De politie heeft een waarschuwing uitgegeven voor fraudeurs die gebruikmaken van telefoonnummers die lijken op het officiële politienummer 0900-8844. Deze fraudepogingen worden uitgevoerd met nummers als 900-8844 of +31900-8844. Wanneer mensen dit nummer in hun display zien, denken ze wellicht dat ze door de politie worden gebeld, maar dit is niet het geval. De criminelen proberen slachtoffers op te lichten door zich voor te doen als politieagenten. Slachtoffers krijgen te maken met fraudeurs die hen in sommige gevallen vragen om een kleine betaling voor een pakketje, terwijl in andere gevallen de oplichters zich als nepagenten voordoen en persoonlijke informatie proberen te verkrijgen, zoals pincodes. De politie raadt aan de verbinding direct te verbreken en geen informatie te verstrekken.

Bron 1

Hackers maken gebruik van psychologische technieken, zoals FOMO (fear of missing out), om gebruikers te misleiden. Ze sturen een Teams-uitnodiging met een PDF-bestand en een QR-code. Wanneer gebruikers de uitnodiging openen, denken ze een belangrijke compensatie of bonus te missen. De PDF bevat een link naar een website waar gebruikers hun accountgegevens moeten invoeren, wat hen blootstelt aan accountdiefstal. De aanvallers gebruiken vervolgens het gestolen account om e-mails te sturen naar de contacten van het slachtoffer. Dit type phishing is bijzonder effectief omdat de e-mail niet fysiek aanwezig is, wat de nieuwsgierigheid van de gebruiker opwekt. Dit zorgt ervoor dat de gebruiker de link alsnog volgt, wat de kans op succesvolle infecties vergroot.

Bron 1

Een nieuw gevaar werd ontdekt binnen de npm-ecosysteem, waarbij een kwaadwillig pakket met de naam "https-proxy-utils" werd gebruikt om de AdaptixC2-agent te verspreiden. Deze agent, een alternatief voor het bekende Cobalt Strike, werd in de lente van 2025 voor het eerst kwaadaardig aangetroffen. Het npm-pakket, dat zich voordeed als een nuttige tool voor proxygebruik, bevatte een post-installatiescript dat het malware-framework op de apparaten van slachtoffers installeerde. Dit pakket was bedoeld voor Windows, macOS en Linux, waarbij het systeemafhankelijke methoden gebruikte om de agent te laden. De aanval maakt het voor aanvallers mogelijk om op afstand toegang te krijgen, opdrachten uit te voeren, processen te beheren en persistentie te bereiken. Dit incident benadrukt de groeiende dreiging van supply chain-aanvallen binnen open-source softwareomgevingen zoals npm.

Bron 1

Cybercriminelen maken misbruik van een gebrek aan authenticatie in Zendesk, een platform voor klantenservice, om e-mailinboxen te overspoelen met bedreigende berichten. Deze berichten komen van verschillende Zendesk-klanten zoals CapCom, Discord en Tinder. Zendesk, dat bedrijven helpt bij klantenservice, heeft een systeem waarin e-mails worden verstuurd zonder verificatie van de afzender. Dit maakt het mogelijk om anonieme tickets aan te maken, wat misbruikt kan worden door spammers om ongewenste berichten te sturen. Zendesk erkent het probleem en heeft klanten aangeraden om hun instellingen te verbeteren door geverifieerde e-mailadressen voor tickets te vereisen. Hoewel Zendesk beweert dat er maatregelen zijn tegen massale aanvragen, konden aanvallers duizenden e-mails versturen binnen enkele uren door de zwakke configuratie. Dit incident benadrukt het belang van sterke beveiligingsinstellingen voor klantenserviceplatforms.

Bron 1

Cybercriminelen maken gebruik van TikTok om malwarecampagnes te verspreiden die zogenaamd gratis softwareactiveringen aanbieden, maar in plaats daarvan schadelijke payloads afleveren. Het aanvallende script maakt gebruik van social engineering-tactieken en trapt gebruikers, die op zoek zijn naar gratis software zoals Photoshop, in om PowerShell-opdrachten uit te voeren. De gebruikers worden aangemoedigd een schijnbaar onschuldige opdracht te geven, die op afstand kwaadaardige code laadt. Dit leidt tot de installatie van AuroStealer-malware, die gevoelige informatie steelt. De aanval maakt gebruik van zelfcompilerende technieken waarbij C#-code tijdens de uitvoering wordt gecompileerd, wat traditionele detectiemechanismen omzeilt. Het gebruik van een dynamisch geïnjecteerde shellcode binnen het geheugen zorgt ervoor dat er geen bestanden op de schijf worden geschreven, waardoor de malware moeilijker te detecteren is. Deze campagne is gericht op gebruikers die naar gebroken versies van software zoeken, wat de risico’s van het downloaden van programma’s uit onbetrouwbare bronnen benadrukt.

Bron 1

Het cybercriminele groep Silver Fox heeft zijn aanvallen met de Winos 4.0-malware, ook bekend als ValleyRAT, uitgebreid naar Japan en Maleisië. Deze aanvallen maken gebruik van de HoldingHands RAT, ook wel Gh0stBins genoemd. De aanvallen worden uitgevoerd via phishingmails met kwaadaardige PDF-bestanden die valse links bevatten. Winos 4.0 wordt vaak verspreid via phishing en SEO-vergiftiging, waarbij slachtoffers worden verleid naar nepwebsites die populaire software nabootsen. Silver Fox, een Chinese hacker groep, heeft eerder al bekende kwetsbaarheden uitgebuit om deze malware te verspreiden. De aanvallen gebruiken de HoldingHands RAT om op afstand toegang te verkrijgen tot geïnfecteerde systemen, waarbij gevoelige informatie kan worden verzameld en verdere schadelijke payloads kunnen worden gedownload. Dit is onderdeel van een bredere campagne die gericht is op bedrijven in Azië, met name in de financiële en technologie sectoren.

Bron 1

In de afgelopen maanden is er een grote malwarecampagne gericht op macOS-ontwikkelaars, waarbij valse downloadwebsites zich voordoen als vertrouwde platforms zoals Homebrew en LogMeIn. De aanvallers gebruiken social engineering-technieken, zoals het manipuleren van de clipboard en het obfusceren van commando’s, om slachtoffers te misleiden. De gedownloade malware, Odyssey Stealer en AMOS, is in staat om systeeminformatie, browsergegevens en cryptovaluta-inloggegevens te stelen. De campagne maakt gebruik van meer dan 85 phishingdomeinen, die via gedeelde SSL-certificaten en servers met elkaar zijn verbonden. De malware wordt geïnstalleerd door gebruikers naar een kwaadaardige terminalopdracht te sturen die automatisch een secundaire payload downloadt. De campagne maakt gebruik van langlopende infrastructuur en voortdurend gewijzigde technieken om detectie te vermijden. De gebruikte infrastructuur vertoont tekenen van langdurige activiteit, wat wijst op een goed georganiseerde en aanhoudende dreiging.

Bron 1

De lijst van meest aangevallen kwetsbaarheden in Nederland toont een variëteit aan kwetsbaarheden die momenteel actief worden benut door aanvallers. De top drie wordt aangevoerd door CVE-2023-38646 in Metabase, gevolgd door CVE-2023-42793 in JetBrains TeamCity, en CVE-2023-22515 in Atlassian Confluence. Deze kwetsbaarheden worden voornamelijk geassocieerd met bekende aanvallen, zoals ransomware en exploitatie van gestolen toegang. Verder in de lijst bevinden zich oudere kwetsbaarheden, waaronder CVE-2019-1653 in Cisco's RV320/RV325, die nog steeds doelwit zijn van aanvallen. Andere kwetsbaarheden, zoals die in Apache Log4j en SolarWinds Serv-U, blijven ook actief ondanks dat ze al enkele jaren bekend zijn. Het is opvallend dat sommige kwetsbaarheden, zoals CVE-2024-28995 in SolarWinds, relatief recent zijn, maar snel op de radar van aanvallers staan.

Bron 1

In België worden verschillende kwetsbaarheden in uiteenlopende systemen momenteel actief aangevallen. De top drie kwetsbaarheden wordt geleid door CVE-2023-22515 in Atlassian Confluence, gevolgd door CVE-2023-42793 in JetBrains TeamCity. Beide kwetsbaarheden zijn bekend bij aanvallers en kunnen leiden tot bekende aanvallen. Andere kwetsbaarheden in apparaten zoals de Zyxel P660HN-T1A v1 en v2 (CVE-2017-18368) en Huawei’s Home Gateway HG532 (CVE-2017-17215) blijven risico’s vormen. Ook kwetsbaarheden in softwareproducten zoals ThinkPHP5 (CNVD-2018-24942) en Draytek’s Vigor series (CVE-2020-15415) zorgen voor beveiligingsproblemen. Verder verschijnen er nieuwe kwetsbaarheden, zoals CVE-2025-3248 in Langflow, die in de nabije toekomst steeds meer op de radar van aanvallers komen. Ondanks dat sommige kwetsbaarheden weinig recente meldingen hebben, blijven ze een potentieel risico voor de digitale veiligheid in België.

Bron 1

Wereldwijd worden diverse kwetsbaarheden in netwerksystemen en IoT-apparaten actief aangevallen. De top drie bestaat uit CVE-2023-42793 in JetBrains TeamCity, CVE-2023-22515 in Atlassian Confluence, en CVE-2017-17215 in Huawei’s Home Gateway HG532. Deze kwetsbaarheden worden vaak misbruikt voor aanvallen en vormen grote risico's voor de digitale veiligheid. Andere kwetsbaarheden, zoals CVE-2023-20198 in Cisco IOS XE en CVE-2019-12780 in Belkin Wemo, blijven eveneens frequent doelwit van aanvallers. Vooral apparaten zoals de Dasan GPON Home Router (CVE-2018-10562) en de Realtek SDK (CVE-2014-8361) worden massaal aangevallen, met implicaties voor de gebruikersbeveiliging. De lijst wordt verder aangevuld door kwetsbaarheden in oudere producten van Zyxel en Netgear, die ondanks hun leeftijd nog steeds actief worden misbruikt. Deze kwetsbaarheden vormen een voortdurende bedreiging voor zowel bedrijven als consumenten wereldwijd.

Bron 1

Er zijn verschillende kritieke kwetsbaarheden trending op sociale media. CVE-2025-25257 is een SQL-injectie in Fortinet's FortiWeb, die aanvallers toegang geeft tot gevoelige data. CVE-2025-59230, een zero-day in Windows RasMan, maakt privilege-escalatie mogelijk, waardoor aanvallers SYSTEM-rechten kunnen verkrijgen. Andere opmerkelijke kwetsbaarheden zijn onder meer CVE-2025-49144 in Notepad++ en CVE-2024-4701 in Genie, die beide privilege-escalatie mogelijk maken. Er zijn ook kwetsbaarheden in Google Chrome (CVE-2021-38003) en IIS (CVE-2025-59282), die aanvallers in staat stellen om code uit te voeren met verhoogde rechten. Het is belangrijk dat beveiligingsteams de trending kwetsbaarheden in de gaten houden en snel reageren om de risico's te minimaliseren.

Bron 1

De officiële website van Xubuntu, een op Ubuntu gebaseerde Linux-distributie, heeft tijdelijk cryptostelende malware verspreid. De downloadknop voor het torrent-bestand verwees naar een zip-bestand genaamd "Xubuntu-Safe-Download.zip", dat een .exe-bestand bevatte. Dit bestand installeerde clipper-malware, die speciaal is ontworpen om cryptovaluta te stelen van besmette systemen. De schadelijke link stond twaalf uur lang op de website, voordat deze werd verwijderd. Het is nog onbekend hoe de link op de website is geplaatst. Xubuntu's team verklaarde dat het incident te maken had met een "slip-up" in de hostingomgeving. Om toekomstige incidenten te voorkomen, wordt de website gemigreerd naar een statische omgeving. Gebruikers van cryptovaluta lopen risico op verlies van fondsen doordat de malware het gekopieerde walletadres vervangt met dat van de aanvaller.

Bron 1, 2

Cybercriminelen maken gebruik van TikTok-video's die zich voordoen als gratis activatiegidsen voor populaire software zoals Windows, Spotify en Netflix om informatie-roof malware te verspreiden. Deze video's bevatten zogenaamde "fixes" die gebruikers misleiden om kwaadaardige PowerShell-commando's of andere scripts uit te voeren. Wanneer het commando wordt uitgevoerd, verbindt PowerShell zich met een externe website om een script te downloaden, wat resulteert in de installatie van de Aura Stealer-malware. Deze malware verzamelt opgeslagen inloggegevens van browsers, crypto-portemonnees en andere applicaties. Een extra payload kan worden gedownload die zelfcode compilet met behulp van .NET’s ingebouwde Visual C# Compiler. Gebruikers die deze stappen uitvoeren, moeten hun wachtwoorden onmiddellijk resetten. ClickFix-aanvallen worden steeds vaker gebruikt om verschillende malwarestammen te verspreiden, zoals ransomware en diefstal van cryptocurrency.

Bron 1, 2

Een nieuwe supply-chain aanval richt zich op ontwikkelaars op de OpenVSX- en Microsoft Visual Studio-marktplaatsen met de zelfverspreidende malware genaamd GlassWorm. De malware is naar schatting 35.800 keer geïnstalleerd. GlassWorm verbergt zijn kwaadaardige code door gebruik te maken van onzichtbare tekens en verspreidt zich via gestolen accountgegevens om meer extensies te infecteren. De aanvallers gebruiken de Solana-blockchain voor command-and-control, wat het moeilijk maakt om de aanval te stoppen, met Google Calendar als back-upmethode. Nadat de malware is geïnstalleerd, probeert deze inloggegevens voor GitHub, npm en OpenVSX te stelen, evenals gegevens van cryptocurrency-wallets uit 49 extensies. Het eindstadium van de malware, genaamd ZOMBI, maakt geïnfecteerde systemen onderdeel van een crimineel netwerk. Ondanks pogingen om de extensies te verwijderen, blijven sommige van de geïnfecteerde versies beschikbaar voor download.

Bron 1

Het Amerikaanse CISA heeft bevestigd dat aanvallers actief misbruik maken van een kwetsbaarheid in Oracle E-Business Suite (EBS) om vertrouwelijke informatie te stelen. De kwetsbaarheid, aangeduid als CVE-2025-61884, werd op 11 oktober door Oracle gepatcht, maar de noodzaak van een update werd pas later duidelijk. Het gaat om een server-side request forgery (SSRF) die ongeautoriseerde toegang tot gevoelige gegevens mogelijk maakt. Meer dan honderd organisaties zouden getroffen zijn, en aanvallers dreigen de gestolen data openbaar te maken tenzij er losgeld wordt betaald. Het CISA heeft Amerikaanse overheidsinstanties opgedragen de patch voor 11 november te installeren. Oracle heeft geen verdere details verstrekt over het misbruik, maar het incident benadrukt de ernst van de kwetsbaarheid voor bedrijven die EBS gebruiken.

Bron 1

Tijdens de jaarlijkse Pwn2Own-hackwedstrijd hebben onderzoekers succesvol kwetsbaarheden aangetoond in apparaten van QNAP en Synology. De QNAP Qhora-322-router en TS-453E-NAS werden gecompromitteerd, waarbij aanvallers toegang kregen via onbekende kwetsbaarheden. Bij de Synology BeeStation Plus konden onderzoekers met behulp van een beveiligingslek code met rootrechten uitvoeren op het NAS-systeem. De aanvallen werden beloond met bedragen variërend van 20.000 dollar tot 100.000 dollar, afhankelijk van de complexiteit van de hacks. Pwn2Own biedt onderzoekers beloningen voor het vinden van kwetsbaarheden in populaire software en hardware, en dit jaar werden ook andere apparaten zoals printers van HP en Canon succesvol aangevallen. De ontdekte kwetsbaarheden zijn inmiddels gedeeld met de leveranciers, maar er zijn nog geen beveiligingsupdates beschikbaar voor de getroffen apparaten.

Bron 1

De PassiveNeuron-cyberespionagecampagne richt zich op servers van overheids-, financiële en industriële organisaties wereldwijd, met name in Azië, Afrika en Latijns-Amerika. Het aanvallende groep maakt gebruik van APT-implantaten zoals Neursite en NeuralExecutor, evenals de Cobalt Strike-tool. De aanvallen worden vaak uitgevoerd via Microsoft SQL-servers, waarbij aanvallers kwetsbaarheden uitbuiten of toegang verkrijgen via brute-forcing van databaseaccounts. Na toegang te hebben verkregen, installeren ze webshells en andere kwaadaardige software om controle over de systemen te krijgen. De campagne maakt gebruik van complexe laadtechnieken, waarbij de aanvallers DLL-bestanden gebruiken die via een reeks stadia uiteindelijk de schadelijke payloads laden. Deze implantaten stellen aanvallers in staat om gegevens te verzamelen, processen te beheren en netwerkverkeer te proxyen. Het gebruik van de Dead Drop Resolver-techniek voor communicatie met de command & control-servers suggereert mogelijk een Chinese oorsprong voor de aanvallen, hoewel de toeschrijving nog onduidelijk is.

Bron 1

In 2025 passen cybercriminelen verfijnde technieken toe om phishingaanvallen te maskeren en beveiligingsmaatregelen te omzeilen. PDF-bestanden worden steeds vaker gebruikt als bijlagen, met QR-codes die de links naar kwaadaardige websites verbergen. Daarnaast worden sommige PDF-bestanden versleuteld en met wachtwoorden beveiligd, wat het moeilijker maakt voor automatische scanners om ze te detecteren. Oude methoden, zoals phishing via agenda-afspraken, maken een comeback. De aanvallers sturen e-mails met lege kalenderuitnodigingen, waarin een verborgen link is opgenomen die na acceptatie via een herinnering kan leiden naar een phishingpagina. Ook wordt er geëxperimenteerd met CAPTCHA-verificatie om bots te omzeilen. Aangezien steeds meer gebruikers hun accounts beschermen met multi-factor authenticatie (MFA), proberen aanvallers methoden te ontwikkelen om MFA te omzeilen, zoals phishing-sites die zowel wachtwoorden als eenmalige wachtwoorden (OTP’s) proberen te stelen. Gebruikers moeten waakzaam blijven bij verdachte e-mailbijlagen en altijd de URL controleren voordat ze inloggegevens invoeren.

Bron 1

Een nieuwe phishingcampagne maakt gebruik van valse vacatureaanbiedingen van bekende merken zoals KFC en Red Bull om inloggegevens voor Facebook te stelen. De aanvallers gebruiken deze valse aanbiedingen, voornamelijk voor de functie van Social Media Manager, om slachtoffers te misleiden. De e-mails bevatten een link naar een nep-website die lijkt op Glassdoor, waar slachtoffers zich moeten aanmelden via hun Facebook- of e-mailaccount. Na het invoeren van hun gegevens krijgen de slachtoffers een nep-inlogscherm voor Facebook te zien, waarna hun inloggegevens worden gestolen. De e-mails maken gebruik van merkimpersonatie en lijken afkomstig van vertrouwde diensten zoals Google Workspace en Microsoft 365. De scam maakt gebruik van slimme tekstgeneratoren om meerdere varianten van berichten te versturen, wat de kans op succes vergroot. Gevaarlijke tekens zijn onder andere verdachte URL's en mismatched afzenderadressen.

Bron 1

Een nieuwe versie van Vidar-malware maakt gebruik van multi-threading om sneller wachtwoorden en andere inloggegevens van besmette systemen te stelen. Door meerdere threads tegelijk te gebruiken, kan de malware inloggegevens uit verschillende applicaties tegelijkertijd verzamelen, wat de snelheid van de aanval vergroot. Vidar past zich aan de prestaties van het slachtoffer aan: op snellere systemen worden meer threads gebruikt, terwijl op langzamere systemen minder threads worden ingezet. Deze malware richt zich op verschillende browsers, zoals Google Chrome, Firefox en Edge, en steelt ook gegevens uit cryptowallets en programma's zoals Discord en Steam. Vidar wordt aangeboden als malware-as-a-service voor $300 per levenslang abonnement. Het wordt verspreid door cybercriminelen, die de gestolen gegevens naar hun servers sturen, waarna de malware de sporen van de aanval verwijdert om het forensisch onderzoek te bemoeilijken.

Bron 1

Hackers die vermoedelijk verband houden met China hebben de ToolShell-kwetsbaarheid (CVE-2025-53770) in Microsoft SharePoint misbruikt om aanvallen uit te voeren op overheidsinstanties, universiteiten, telecomproviders en financiële instellingen. De kwetsbaarheid, die on-premise SharePoint-servers aantast, werd op 20 juli als actief uitgebuit gemeld, en Microsoft bracht een spoedupdate uit. De aanvallen maken gebruik van remote code execution zonder authenticatie. Drie Chinese dreigingsgroepen – Budworm, Sheathminer en Storm-2603 – hebben de kwetsbaarheid benut voor toegang tot systemen. De aanvallers gebruikten een reeks tools, waaronder Zingdoor en ShadowPad, om systemen verder te compromitteren. De aanvallen richtten zich op organisaties in het Midden-Oosten, Zuid-Amerika, de VS, Afrika en Europa, waarbij zij diverse malware-instrumenten inzetten voor het verkrijgen van persistente toegang en het verzamelen van informatie.

Bron 1

Onderzoekers hebben een nieuwe supply chain-aanval ontdekt waarbij een vals Nethereum NuGet-pakket werd gebruikt om crypto wallet sleutels te stelen. Het kwaadwillige pakket, genaamd Netherеum.All, maakte gebruik van een homoglyph-truc waarbij de letter "e" werd vervangen door een Cyrillisch symbool om ontwikkelaars te misleiden. Het pakket bevatte een functie die gevoelige gegevens zoals privésleutels en mnemonische zinnen naar de aanvaller stuurde via een Command-and-Control server. Het pakket werd geüpload op 16 oktober 2025 door een gebruiker met de naam "nethereumgroup" en werd vier dagen later verwijderd door NuGet voor schending van hun gebruiksvoorwaarden. Dit incident volgt op eerdere gevallen waarbij soortgelijke homoglyph-trucs werden gebruikt in andere NuGet-pakketten, wat het belang van zorgvuldige verificatie van softwarepakketten benadrukt.

Bron 1, 2

SnakeStealer is een malware die in 2025 de top van de infostealer-detecties heeft bereikt, bekend om zijn vermogen om waardevolle persoonlijke gegevens te stelen, zoals inloggegevens, financiële informatie en cryptocurrency-gegevens. Het werd voor het eerst gedetecteerd in 2019 en maakt gebruik van verschillende verspreidingsmethoden, waaronder phishing, malafide e-mailbijlagen, en zelfs piraterijsoftware. Het volgt het "malware-as-a-service" model, waardoor het gemakkelijk toegankelijk is voor aanvallers van verschillende vaardigheidsniveaus. De malware is modulair, wat betekent dat aanvallers functies kunnen in- of uitschakelen, zoals het stelen van wachtwoorden, het vastleggen van toetsaanslagen en het nemen van schermafbeeldingen. Om zich te beschermen tegen deze bedreiging, wordt aangeraden om ongevraagde berichten te vermijden, systeem- en app-updates uit te voeren, en multi-factor authenticatie in te schakelen. Dit benadrukt de snelle adaptatie van de cybercriminelen en de industrialisatie van cybercriminaliteit.

Bron 1

Lumma Infostealer is een malware die sinds augustus 2022 actief is en snel populair werd door malware-as-a-service platforms. De malware wordt voornamelijk via phishing-sites verspreid die zich voordoen als software-installateurs. De schadelijke code wordt verpakt in een NSIS-installatiepakket, ontworpen om detectie via handtekeningen te vermijden. Bij uitvoering worden AutoIt-modules in het geheugen samengevoegd, waarna obfuscatie wordt toegepast om de kwaadaardige activiteit te verbergen. Lumma steelt browsercookies, accounttokens en cryptowallet-bestanden, en maakt gebruik van gestolen gegevens voor sessieovername, wat multi-factor authenticatie kan omzeilen. Het doelwit is zowel consumenten als bedrijven, waarbij de gestolen gegevens vaak leiden tot ongeautoriseerde toegang tot digitale middelen en netwerken. Verdere aanvallen, zoals ransomware, kunnen volgen. Beveiligingsmaatregelen zoals endpointdetectie, gedrag gebaseerde analyse en blokkades voor bekende C2-domeinen worden aanbevolen om deze dreiging te mitigeren.

Bron 1

Europese defensiebedrijven, met name die betrokken bij de ontwikkeling van drone-onderdelen, zijn het doelwit geworden van aanvallen waarbij malafide vacatures worden gebruikt. De aanvallers, vermoedelijk gelieerd aan de Noord-Koreaanse groep Lazarus, sturen zogenaamde topfunctie-vacatures naar medewerkers van de bedrijven. De vacatures bevatten een trojaanse versie van de MuPDF reader, die bij openen malware op het systeem installeert. Het doel van de aanvallen lijkt te zijn het stelen van informatie over de betrokken defensie- en luchtvaarttechnologieën. ESET, dat de aanval analyseerde, waarschuwt dat de Lazarus-groep vaker betrokken is bij aanvallen op de defensiesector. De groep heeft een geschiedenis van het uitvoeren van cyberaanvallen gericht op strategisch belangrijke bedrijven.

Bron 1

Onderzoekers van SquareX hebben een kwetsbaarheid ontdekt in de Atlas- en Comet-browsers van OpenAI en Perplexity. Deze browsers zijn gevoelig voor AI Sidebar Spoofing-aanvallen, waarbij een kwaadaardige extensie een nep-AI-zijkant creëert die lijkt op de echte interface. Door deze valse zijkant kunnen gebruikers misleid worden en risicovolle acties uitvoeren, zoals het downloaden van schadelijke software of het verstrekken van gevoelige gegevens. De onderzoekers demonstreren drie scenario's waarin gebruikers cryptocurrency-gegevens kunnen verliezen, hun Google-account kunnen laten kapen of een apparaat kunnen laten overnemen. De aanval kan worden uitgevoerd door JavaScript in te voegen via een extensie die weinig machtigingen vereist. Ondanks dat OpenAI en Perplexity zijn benaderd, hebben zij nog niet gereageerd. Gebruikers van deze browsers worden geadviseerd om deze tools alleen voor niet-gevoelige activiteiten te gebruiken, gezien de huidige beveiligingsrisico’s.

Bron 1

Microsoft heeft aangekondigd dat de previewfunctie van de Windows Verkenner automatisch wordt uitgeschakeld voor bestanden die gedownload zijn van internet. Deze wijziging is bedoeld om aanvallen te blokkeren waarbij kwaadwillenden NTLM-hashes kunnen stelen via malafide documenten. De wijziging geldt voor bestanden met het 'Mark of the Web' (MotW), wat aangeeft dat het bestand via internet is gedownload, bijvoorbeeld via een e-mailbijlage. Na het installeren van de beveiligingsupdates van oktober 2025 op Windows 11 en Windows Server, zal het proberen te openen van deze bestanden via de previewfunctie een waarschuwing tonen. Gebruikers kunnen de functie uitschakelen door bestanden handmatig te ontgrendelen, maar het is belangrijk om op te merken dat dit mogelijk niet onmiddellijk effect heeft. Deze verandering voorkomt dat aanvallers kwetsbaarheden kunnen misbruiken zonder dat de gebruiker het bestand daadwerkelijk opent.

Bron 1

Een cybercriminaliteitengroep genaamd Jingle Thief richt zich op cloudomgevingen van organisaties in de detailhandel en consumentenservice om cadeaubonfraude te plegen. De aanvallers gebruiken phishing en smishing om inloggegevens te stelen en verkrijgen toegang tot systemen die cadeaubonnen uitgeven. Zodra toegang is verkregen, gebruiken ze deze toegang om ongeautoriseerde cadeaubonnen uit te geven en deze waarschijnlijk door te verkopen op grijze markten. Het gebruik van cadeaubonnen is lucratief, omdat ze eenvoudig te verzilveren zijn met weinig persoonlijke informatie en moeilijk te traceren zijn. Jingle Thief, die al actief is sinds eind 2021, heeft het vermogen om langdurig toegang te behouden tot de cloudomgevingen van de doelwitten en zich onopgemerkt door deze systemen te bewegen. De groep voert gerichte phishing-aanvallen uit om toegang te krijgen tot Microsoft 365-omgevingen, waarna ze uitgebreide verkenning doen naar systemen die cadeaubonnen uitgeven.

Bron 1

Check Point Research heeft het YouTube Ghost Network ontdekt, een geavanceerd netwerk van kwaadwillende accounts dat gebruik maakt van YouTube-functies om malware te verspreiden. Dit netwerk is sinds 2021 actief en heeft meer dan 3.000 schadelijke video's geüpload, vooral gericht op de categorieën "Game Hacks/Cheats" en "Software Cracks/Piracy". In 2025 is het aantal video's significant toegenomen. De video's bevatten links naar kwaadaardige software die vaak wordt gepromoot met positieve reacties en likes, wat een valse indruk van betrouwbaarheid wekt. Malware zoals infostealers, waaronder Rhadamanthys, werd veelvuldig verspreid. Het netwerk maakt gebruik van verschillende YouTube-accounts met specifieke rollen, zoals video's uploaden, berichten posten en interactie met kijkers. Deze aanpak maakt detectie moeilijker en vergroot de verspreiding van malware. Google heeft al meer dan 3.000 video's verwijderd, maar de voortdurende groei van dit netwerk benadrukt de noodzaak van voortdurende waakzaamheid.

Bron 1

Cybercriminelen maken gebruik van kwetsbaarheden in OAuth-applicaties om blijvende toegang te krijgen tot cloudomgevingen, zelfs na een wachtwoordreset. Deze aanvallen richten zich specifiek op Microsoft Entra ID-omgevingen, waarbij aanvallers gebruikersaccounts overnemen, gevoelige gegevens exfiltreren en vervolgaanvallen lanceren. Het gevaar van deze aanvallen ligt in het feit dat aanvallers interne applicaties kunnen registreren die toegang hebben tot essentiële bedrijfsbronnen zoals e-mail, documenten en Teams-berichten. Traditionele beveiligingsmaatregelen zoals wachtwoordherstel en multifactor-authenticatie bieden geen bescherming tegen deze aanvallen, aangezien de kwaadwillende applicaties hun toegang behouden, ongeacht wijzigingen in gebruikersreferenties. Beveiligingsonderzoekers hebben geconstateerd dat deze aanvallen vaak beginnen met phishingaanvallen, waarna de aanvallers interne applicaties creëren die moeilijk te detecteren zijn. Dit vergroot de kans op langdurige en onopgemerkte aanvallen.

Bron 1

Antivirusbedrijf Trend Micro heeft gemeld dat Windowscomputers recentelijk zijn aangevallen met Linux-ransomware door de Qilin-ransomwaregroep. De groep heeft wereldwijd al 700 organisaties in 62 landen getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De aanvallers maken gebruik van verschillende technieken zoals spear phishing, gestolen inloggegevens en malafide captcha’s om toegang tot systemen te verkrijgen. Na het verkrijgen van toegang wordt malware geïnstalleerd en worden de rechten op het systeem verhoogd. Vervolgens wordt data gestolen en ransomware uitgerold. De aanvallers gebruiken Linux-ransomware die via de remote managementsoftware Splashtop op Windowssystemen wordt uitgevoerd, waardoor endpoint-detectiesystemen kunnen worden omzeild. Na afloop van de aanval eisen de aanvallers losgeld voor het niet openbaar maken van gestolen data.

Bron 1

Klanten van de Belgische bank KBC die een Androidtelefoon gebruiken, worden momenteel getroffen door een social engineering-aanval. Oplichters doen zich voor als medewerkers van telecomprovider Proximus en bellen slachtoffers met de mededeling dat hun simkaart moet worden vernieuwd. Ze sturen een malafide app via WhatsApp, die slachtoffers moeten installeren. Deze app, een kwaadaardig .apk-bestand, vereist dat de instelling voor het installeren van apps uit onbekende bronnen wordt ingeschakeld. Na installatie krijgen de oplichters controle over de telefoon en kunnen ze fraude uitvoeren met de mobiele bankdiensten van het slachtoffer, inclusief het doen van overschrijvingen. In sommige gevallen wordt het scherm van de telefoon zwart, waardoor deze onbruikbaar wordt. De Belgische overheid waarschuwt om nooit apps te installeren die via onbekende kanalen worden aangeboden en adviseert slachtoffers om contact op te nemen met hun bank.

Bron 1

De stealer-malware-industrie heeft zich ontwikkeld tot een geavanceerd crimineel netwerk dat dagelijks honderden miljoenen inloggegevens verwerkt. Criminalen hebben gespecialiseerde malware-families ontwikkeld en platforms gecreëerd voor de verspreiding van gestolen gegevens. Onlangs ontdekte onderzoeken hebben aangetoond dat een enkel Telegram-account dagelijks tot 50 miljoen inloggegevens kan ontvangen. Deze gegevens worden op diverse marktplaatsen, vooral op Telegram, gekocht, verkocht en gedeeld. De operationele structuur van deze criminele netwerken is hiërarchisch, met hoofdverkopers die privékanalen aanbieden voor betalende klanten. Aggregators verzamelen gegevens uit verschillende bronnen en verspreiden deze verder. De technische infrastructuur maakt gebruik van verschillende formaten voor de gestolen gegevens, wat uitdagingen oplevert voor onderzoekers en aggregators bij het verwerken van de informatie. De handel in gestolen inloggegevens wordt steeds meer gecommercialiseerd, met abonnementen die variëren van wekelijkse tot levenslange toegang.

Bron 1

Cybercriminelen maken misbruik van de Direct Send-functie van Microsoft 365 Exchange Online, een functie die oorspronkelijk was ontworpen voor legacy-apparaten en applicaties om e-mail te versturen zonder authenticatie. Deze functionaliteit wordt nu gebruikt om phishing- en bedrijfs-e-mailcompromis-aanvallen uit te voeren. Direct Send omzeilt de gebruikelijke beveiligingsmechanismen zoals DomainKeys-Identified Mail (DKIM), Sender Policy Framework (SPF) en Domain-based Message Authentication, Reporting and Conformance (DMARC). Aanvallers sturen valse berichten die afkomstig lijken van interne, vertrouwde bronnen, zoals leidinggevenden of IT-helpdesks. Deze berichten bevatten vaak sociale-engineeringtactieken, zoals goedkeuringen van taken of betalingsverzoeken, om slachtoffers te manipuleren en hun inloggegevens of andere gevoelige informatie te verkrijgen. Microsoft heeft gereageerd door een optie te introduceren om Direct Send te blokkeren en andere beveiligingsmaatregelen te verbeteren.

Bron 1

SharkStealer, een geavanceerde infostealer-malware geschreven in Golang, maakt gebruik van blockchaintechnologie om beveiligde communicatiekanalen op te zetten met command-and-control (C2)-infrastructuren. Deze malware gebruikt de BNB Smart Chain Testnet als een veerkrachtige "dead-drop" oplosser voor C2-kanalen, waarbij traditionele detectiemethoden worden omzeild. SharkStealer past de EtherHiding-techniek toe, waarbij cruciale componenten van de infectieketen op openbare blockchains worden opgeslagen in plaats van op conventionele webservers. Dit maakt gebruik van de transparantie en beschikbaarheid van blockchainnetwerken en zorgt ervoor dat de communicatie moeilijk te verstoren of te monitoren is. De malware maakt slimme contracten op de blockchain voor het ophalen van versleutelde gegevens en het verkrijgen van C2-gegevens, wat de effectiviteit van de aanval vergroot.

Bron 1

Cybersecurity-onderzoekers hebben een nieuwe aanvalscampagne ontdekt waarbij cybercriminelen misbruik maken van gecompromitteerde inloggegevens om toegang te krijgen tot Azure Blob Storage-containers. Dit stelt hen in staat om de kritieke code en gevoelige gegevens van organisaties te stelen. De aanvallen richten zich specifiek op slecht geconfigureerde toegangsbeveiligingen, waarbij de aanvallers voortdurend containers scannen op waardevolle data. Microsoft waarschuwde dat de aanvallen vaak beginnen met phishingcampagnes en malware, zoals de SharkStealer, die geavanceerde technieken gebruikt om detectie te ontwijken. SharkStealer maakt gebruik van blockchain-technologie via de BNB Smart Chain als communicatiekanaal, wat het voor traditionele beveiligingsmaatregelen moeilijk maakt om schadelijk verkeer te detecteren. Het uiteindelijke doel van de aanvallers is het stelen van toegangscodes en andere vertrouwelijke gegevens. Organisaties worden geadviseerd om strengere authenticatiepolicies en gedragsmonitoring te implementeren om dergelijke aanvallen te voorkomen.

Bron 1

De Remcos-malware, een commercieel remote access tool dat zich voordoet als legitieme surveillancesoftware, is in het derde kwartaal van 2025 de leidende infostealer geworden, goed voor 11% van de gedetecteerde gevallen. Dit type malware maakt gebruik van fileless-aanvallen, wat betekent dat het geen bestand op de schijf achterlaat en dus traditionele endpoint detection and response (EDR) systemen ontwijkt. De aanvallen beginnen met e-mails die onschuldige bijlagen bevatten, waarna een PowerShell-script wordt uitgevoerd dat een continu downloadmechanisme instelt om schadelijke payloads van een command-and-control server te verkrijgen. Het script injecteert vervolgens de Remcos-malware in het legitieme bestand RmClient.exe, dat digitaal ondertekend is, waardoor het moeilijker te detecteren is. Deze malware richt zich vooral op het stelen van inloggegevens uit browsers. Organisaties wordt aangeraden om hun detectiemethoden te verbeteren door patronen van procesinjectie te monitoren en ongebruikelijke toegang tot inloggegevens te identificeren.

Bron 1

LastPass waarschuwt voor een gerichte phishingcampagne waarbij aanvallers zich voordoen als familieleden die toegang vragen tot wachtwoordkluizen via een zogenaamd nalatenschapsverzoek. De e-mails beweren dat een familielid een overlijdensakte heeft ingediend om toegang te krijgen tot de kluis. Slachtoffers worden aangespoord om op een link te klikken om het verzoek te annuleren. Deze link leidt echter naar een valse inlogpagina op lastpassrecovery[.]com, waar gebruikers hun hoofdwachtwoord kunnen invoeren. De campagne wordt toegeschreven aan de groep CryptoChameleon, bekend van eerdere aanvallen op cryptoplatforms zoals Binance en Coinbase. Nieuw aan deze aanval is dat ook passkeys worden misbruikt via domeinen als mypasskey[.]info en passkeysetup[.]com. De actie toont een toenemende verschuiving van cybercriminelen naar phishingcampagnes die zich richten op wachtwoordloze authenticatie.

Bron 1

Een smishing-operatie, gelinkt aan een groep genaamd de Smishing Triad, maakt gebruik van meer dan 194.000 kwaadaardige domeinen om wereldwijd gebruikers te targeten. De aanval richt zich op verschillende diensten en is financieel zeer winstgevend, met opbrengsten van meer dan $1 miljard in de afgelopen drie jaar. De infrastructuur van de aanval is voornamelijk gehost op populaire Amerikaanse clouddiensten, ondanks dat de domeinen zijn geregistreerd via een Hong Kongse registrar. De campagne heeft zich uitgebreid naar het vervalsen van diensten zoals tolheffingen, pakketleveringen en bankdiensten, en heeft inmiddels de brokeraccounts van gebruikers als doelwit. De dreiging is groot door de snelheid waarmee domeinen worden geregistreerd en vervangen, wat helpt om detectie te ontwijken. De Smishing Triad maakt gebruik van een gefragmenteerd phishing-ecosysteem waarbij meerdere actoren betrokken zijn, waaronder phishing-kit ontwikkelaars en datamakelaars.

Bron 1, 2

en nieuwe Python-gebaseerde remote access trojan (RAT) heeft zijn weg gevonden naar de gamegemeenschap, vermomd als een legitieme Minecraft-client. Het malwareprogramma, genaamd Nursultan Client, maakt gebruik van de Telegram Bot API voor commando- en controle-infrastructuur, waardoor aanvallers gegevens van geïnfecteerde machines kunnen stelen en deze op afstand kunnen bedienen. Het programma wordt verpakt met PyInstaller, wat het bestand uitzonderlijk groot maakt (68,5 MB), een techniek die kan helpen om beveiligingssoftware te omzeilen. Na installatie verbergt de malware zijn aanwezigheid door het consolevenster te verbergen en toont een valse installatievoortgangsbalk. Het programma richt zich niet alleen op Discord-authenticatietokens, maar kan ook screenshots maken, de webcam inschakelen en gedetailleerde systeeminformatie verzamelen. De malware lijkt via een Malware-as-a-Service-model te worden verspreid, wat suggereert dat meerdere aanvallers toegang kunnen krijgen tot gepersonaliseerde versies.

Bron 1

In juli 2025 begon de Warlock ransomwaregroep de kritieke zero-day kwetsbaarheid in Microsoft SharePoint, bekend als CVE-2025-53770, te exploiteren. Deze kwetsbaarheid, ontdekt op 19 juli 2025, werd een belangrijke vector voor de verspreiding van Warlock ransomware wereldwijd. Het gebruik van deze zero-day markeerde een escalatie in de dreigingsomgeving, waarbij bekende exploitatiemethoden werden gecombineerd met nieuwe malwaretactieken. Warlock bleek in juni 2025 voor het eerst te verschijnen, maar de aanvallen begonnen pas echt op te vallen na de exploitatie van de SharePoint kwetsbaarheid. De ransomwaregroep is bekend om zijn Chinese operationele basis, wat een afwijking is van de traditionele Russische ransomwaregroepen. De aanvallen richtten zich op organisaties uit verschillende sectoren wereldwijd, van ingenieursbedrijven in het Midden-Oosten tot financiële instellingen in de VS. Warlock maakt gebruik van DLL-sideloading en een aangepaste command-and-controlstructuur om persistentie en communicatie te waarborgen.

Bron 1

Een wereldwijd netwerk van oplichters, bekend als "Vulnerability Vultures", richt zich op kwetsbare groepen, voornamelijk ouderen, door middel van misleidende financiële hulpaanbiedingen. Deze oplichters maken gebruik van vervalste persona's en impersoneren vertrouwde figuren, zoals de FBI en bekende nieuwsorganisaties, om slachtoffers te lokken. In 2024 werden er door mensen boven de 60 jaar de meeste klachten ingediend bij de FBI, goed voor een verlies van 4,8 miljard dollar. De oplichters benaderen slachtoffers via sociale media en leiden hen vervolgens naar frauduleuze websites waar ze persoonlijke en financiële gegevens verzamelen. De fraudeurs gebruiken kunstmatige intelligentie en vervalste media om een geloofwaardige indruk te maken en de slachtoffers te misleiden. De operaties zijn geografisch divers, met aanwijzingen dat de daders zich bevinden in Nigeria, Zuid-Azië en de VS.

Bron 1

Een nieuwe geavanceerde malwarecampagne richt zich op WordPress-websites en maakt gebruik van PHP-variabele functies en cookie-gebaseerde obfuscatie om traditionele beveiligingsmechanismen te omzeilen. Deze aanval maakt gebruik van een evolutie in obfuscatie-technieken, waarbij kwaadaardige code wordt verspreid over meerdere HTTP-cookies en dynamisch wordt gereconstrueerd tijdens de uitvoering. Dit maakt statische analyse bijzonder uitdagend, omdat de kwaadaardige intentie verborgen blijft totdat alle cookie-componenten zijn samengevoegd en uitgevoerd. De aanval is in september 2025 meer dan 30.000 keer gedetecteerd, wat wijst op de brede inzet en effectiviteit ervan tegen kwetsbare websites. Het malwareprogramma richt zich voornamelijk op PHP-gebaseerde webapplicaties, vooral WordPress-installaties, en injecteert backdoor-scripts die opdrachten via speciaal opgezette cookies accepteren. De techniek maakt gebruik van een multi-stage uitvoering om detectie te voorkomen en biedt volledige controle over de getroffen systemen.

Bron 1

Een geavanceerde malware-operatie uit Brazilië maakt gebruik van steganografische technieken om kwaadaardige payloads te verbergen in ogenschijnlijk onschuldige afbeeldingsbestanden. De Caminho-loader, die sinds maart 2025 actief is, vormt een groeiende dreiging voor organisaties in Zuid-Amerika, Afrika en Oost-Europa. De campagne begint met zorgvuldig samengestelde spear-phishing e-mails, die gecomprimeerde archieven bevatten met JavaScript of VBScript-bestanden. Deze scripts maken gebruik van sociale-engineering technieken, zoals valse facturen en offertes, om ontvangers te misleiden. Na uitvoering haalt het script een obfuscerende PowerShell-payload op van Pastebin-achtige diensten, die vervolgens steganografische afbeeldingen van archive.org downloadt. De malware maakt gebruik van Least Significant Bit (LSB) steganografie om verborgen .NET-bestanden uit afbeeldingsbestanden te extraheren. Deze aanpak voorkomt traditionele beveiligingsmaatregelen die afhankelijk zijn van domeinnaamreputatie en blocklists. De campagne maakt gebruik van vertrouwde platforms om de detectie te omzeilen en levert verschillende soorten malware, zoals REMCOS RAT, XWorm en Katz Stealer.

Bron 1

Onderzoekers van Datadog Security Labs hebben een nieuwe phishingtechniek ontdekt, genaamd CoPhish, die misbruik maakt van Microsoft Copilot Studio agents om frauduleuze OAuth-toestemmingsverzoeken te versturen via legitieme Microsoft-domeinen. Aanvallers kunnen kwaadaardige chatagents creëren die gebruikers via een valse aanmeldknop naar schadelijke applicaties leiden, waardoor hun sessietokens worden onderschept. De aanval is bijzonder overtuigend omdat de webpagina’s worden gehost op officiële Microsoft-adressen, waardoor gebruikers minder snel argwaan krijgen. Microsoft erkent het probleem en werkt aan beveiligingsmaatregelen in toekomstige updates. Tot die tijd adviseert het bedrijf organisaties om beheerdersrechten te beperken, het aanmaken van gebruikersapplicaties uit te schakelen en toestemmingsverzoeken nauwlettend te controleren via Entra ID. De aanval richt zich vooral op beheerdersaccounts, waardoor toegang tot bedrijfsdata en cloudomgevingen kan worden verkregen.

Bron 1

In 2025 blijven ransomware-aanvallen tegen de publieke sector toenemen, ondanks verbeterde bewustwording en verdedigingsmaatregelen. Wereldwijd werden 196 publieke instellingen getroffen door ransomware-campagnes, wat resulteerde in ernstige verstoringen van vitale overheidsdiensten en een verlies van vertrouwen. Deze aanvallen, waarbij de methodes steeds geavanceerder worden, hebben geleid tot een operationele uitvaltijd die tussen 2018 en 2024 wereldwijd 1,09 miljard dollar kostte voor overheidsinstanties. De aanvallers maken vaak gebruik van dubbele afpersingstechnieken, waarbij naast versleuteling van bestanden ook gevoelige data wordt gestolen en gedreigd met publieke onthulling. De VS heeft het hoogste aantal slachtoffers, met 69 getroffen instanties in 2025. Het groeiende aantal aanvallen benadrukt de kwetsbaarheid van overheidsdiensten, die vaak niet de middelen of technische capaciteiten hebben om zich voldoende te beschermen tegen deze bedreigingen.

Bron 1

Een nieuwe, geavanceerde phishingaanval maakt gebruik van willekeurig gegenereerde Universal Unique Identifiers (UUID's) om beveiligingssystemen, zoals Secure Email Gateways (SEGs), te omzeilen. De aanval maakt gebruik van een JavaScript-gebaseerd script dat dynamisch UUID's genereert, samen met een willekeurige domeinkeuze en servergestuurde pagina-vervanging, wat leidt tot succesvolle pogingen om inloggegevens te stelen. In plaats van statische redirects te gebruiken, past de techniek browsergebaseerde manipulaties toe via DOM-modificatie, waardoor phishingpagina's worden weergegeven zonder URL-veranderingen. De kwaadwillende code wordt meestal ingebed in HTML-bijlagen of vervalste platforms zoals Microsoft OneDrive en Adobe Acrobat Sign. De aanval is bijzonder effectief door de personalisatie van de phishingpagina’s, die wordt aangepast op basis van de context van het slachtoffer, wat het vertrouwen vergroot en de kans op succesvolle gegevensdiefstal verhoogt.

Bron 1

Hackers hebben een geavanceerde aanval uitgevoerd op Microsoft IIS-servers, waarbij gebruik werd gemaakt van verouderde kwetsbaarheden in de beveiliging van ASP .NET-machine sleutels. Deze sleutels, die al sinds 2003 openbaar beschikbaar zijn, werden gebruikt om kwaadaardige modules in servers te injecteren, waardoor aanvallers op afstand commando’s konden uitvoeren en frauduleuze zoekmachineoptimalisatie konden bedrijven. De aanval richtte zich op ongeveer 240 server-IP-adressen en 280 domeinnamen in verschillende sectoren, waaronder overheidsinstanties, kleine bedrijven en e-commerceplatforms. Na het verkrijgen van toegang tot deze servers, installeerden de aanvallers een rootkit om hun aanwezigheid te verbergen en voerden ze verschillende technieken uit om verhoogde machtigingen te verkrijgen. Deze aanvallen blijken naast de financiële fraude ook ernstigere veiligheidsrisico’s te veroorzaken, aangezien ze kunnen leiden tot spionage of andere kwaadwillende activiteiten door derden.

Bron 1

Criminele netwerken in Zuidoost-Azië maken gebruik van de bloeiende illegale gokmarkt om kwaadaardige software te verspreiden. Een recent ontdekte campagne richt zich op het Universe Browser-programma, een op Chromium gebaseerde browser die wordt gepromoot als privacytool. De browser wordt via gokwebsites gedistribueerd, die door criminele netwerken worden beheerd. Het doel van de browser is om alle gebruikersverbindingen via servers in China te leiden en tegelijkertijd meerdere kwaadaardige programma's op de achtergrond te installeren. De malware heeft kenmerken van remote access trojans, zoals keylogging en verborgen netwerkverbindingen. De criminele actoren, gelinkt aan de Baoying Group, beheren gokplatforms in Cambodja en de Filippijnen en bedienen zowel legitieme als frauduleuze netwerken. De software bevat geavanceerde anti-analysetechnieken, wat het onderzoek bemoeilijkt.

Bron 1

Een geavanceerde backdoor genaamd Android.Backdoor.Baohuo.1.origin is ontdekt in gemanipuleerde versies van de Telegram X-messenger, waarmee aanvallers volledige controle over de accounts van slachtoffers krijgen zonder opgemerkt te worden. De malware verspreidt zich via misleidende advertenties in apps en derde partijen, die zich voordoen als legitieme dating- en communicatiesites. Met meer dan 58.000 besmette apparaten, verspreid over ongeveer 3.000 smartphone-modellen en andere Android-apparaten, vormt dit een serieuze bedreiging voor mobiele malware. De malware steelt vertrouwelijke informatie zoals inloggegevens, wachtwoorden en chatgeschiedenissen en verstopt accountindicatoren. Het maakt gebruik van de Redis-database voor command-and-control-operaties, een techniek die nog niet eerder werd gedocumenteerd in Android-malware. De backdoor maakt het mogelijk om gegevens zoals sms-berichten en contacten te verzamelen, wat de situatie verergert voor slachtoffers die gevoelige informatie verliezen.

Bron 1

LockBit, een bekende ransomware-operatie, is teruggekeerd met de release van versie 5.0, codenaam "ChuongDong". Na maanden van inactiviteit, veroorzaakt door law enforcement-acties in 2024, heeft de groep zijn infrastructuur hersteld en zijn aanvallen hervat. De nieuwe variant richt zich op organisaties over meerdere platforms, met een verbeterde technische aanpak. In september 2025 zijn tientallen organisaties in West-Europa, Amerika en Azië getroffen, waarvan de helft door de LockBit 5.0 variant. Het merendeel van de aanvallen richtte zich op Windows-systemen, terwijl de rest Linux- en ESXi-omgevingen betroffen. LockBit 5.0 maakt gebruik van versleuteling die het detecteren bemoeilijkt en versnelt de versleuteling van bestanden. De aanvallen zijn uitgevoerd door het heropgerichte netwerk van LockBit’s Ransomware-as-a-Service-model. LockBitSupp, de beheerder van de groep, heeft nieuwe partners geworven, die toegang krijgen tot encryptietools voor een storting van $500 in Bitcoin.

Bron 1

Cybercriminelen gebruiken de open-source RedTiger tool om een infostealer te bouwen die Discord-accountgegevens en betaalinformatie verzamelt. Deze malware kan ook inloggegevens in browsers, gegevens van cryptocurrency-wallets en game-accounts stelen. RedTiger is oorspronkelijk een penetratietesttool die verschillende modules bevat voor het scannen van netwerken en het kraken van wachtwoorden. De infostealer-component heeft de mogelijkheid om systeeminfo, browsercookies, wachtwoorden en crypto-bestanden te stelen, evenals gegevens van platforms zoals Roblox en Discord. De malware kan ook screenshots maken van het bureaublad van het slachtoffer. Na het verzamelen van de gegevens worden deze geüpload naar een cloudopslagservice en ontvangen de aanvallers een downloadlink via een Discord-webhook. De tool kan worden verspreid via Discord-kanalen, malwaresites en sociale netwerken. Gebruikers wordt aangeraden Discord-tokens in te trekken, wachtwoorden te wijzigen en multi-factor authenticatie in te schakelen om zichzelf te beschermen.

Bron 1

Cybercriminelen hebben hun aanvallen verder verfijnd door de ClickFix-techniek in te zetten voor het verspreiden van NetSupport Manager, een legitiem beheertools dat nu wordt misbruikt voor ongeautoriseerde toegang tot systemen. In 2025 is deze techniek steeds gebruikelijker geworden. Het proces begint met social engineering waarbij slachtoffers op valse ClickFix-pagina's terechtkomen die hen misleiden om schadelijke opdrachten via het Windows Run Prompt uit te voeren. Hierdoor wordt een infectieketen opgestart die uiteindelijk resulteert in de installatie van NetSupport. Deze geavanceerde aanvalsmethode maakt gebruik van PowerShell-gebaseerde loaders en obfuscatie om detectie te omzeilen. De aanvallers werken in groepen samen en optimaliseren hun leveringsinfrastructuur om het succespercentage te verhogen. Organisaties moeten verdachte ClickFix-pagina's en ongewone NetSupport-installaties snel isoleren en grondig analyseren.

Bron 1

Hackers maken actief gebruik van een ernstige kwetsbaarheid in de Windows Server Update Services (WSUS) van Microsoft. De kwetsbaarheid, aangeduid als CVE-2025-59287, maakt het mogelijk om op niet-gepatchte WSUS-servers op afstand code uit te voeren, wat aanvallers volledige controle kan geven over bedrijfsnetwerken. Beveiligingsonderzoekers hebben ontdekt dat er minstens 2.800 blootgestelde WSUS-instanties online zijn, waarvan de meeste in Noord-Amerika en Europa. Deze kwetsbaarheid werd als kritiek geclassificeerd met een CVSS 3.1-score van 9,8, vanwege de eenvoud waarmee ze zonder authenticatie kan worden geëxploiteerd. Hackers gebruiken deze kwetsbaarheid om kwaadaardige updates te implementeren, gevoelige gegevens te stelen of achterdeuren te installeren. Microsoft heeft patches beschikbaar gesteld, maar slechts 40% van de blootgestelde systemen heeft deze toegepast, waardoor de risico’s blijven toenemen. Het wordt aanbevolen om WSUS-servers goed te beveiligen en regelmatig te controleren op kwetsbaarheden.

Een nieuwe Android-malwarefamilie, Herodotus, maakt gebruik van willekeurige vertragingen in zijn invoerroutines om menselijk gedrag na te bootsen en zo detectie door beveiligingssoftware te vermijden. De malware wordt aangeboden als een malware-as-a-service (MaaS) voor financieel gemotiveerde cybercriminelen, waarschijnlijk dezelfde groep achter Brokewell. Herodotus wordt momenteel verspreid via smishing-aanvallen (SMS-phishing) gericht op gebruikers in Italië en Brazilië. De malware probeert de beperkingen van de toegankelijkheidsmachtigingen in Android 13 en latere versies te omzeilen door valse laadschermen weer te geven en gebruikerstoegang toe te staan. Nadat het toegang heeft verkregen, kan de malware tekst invoeren met willekeurige vertragingen tussen 0,3 en 3 seconden, waardoor het lijkt op menselijke typgedrag. Daarnaast biedt het een controlepaneel voor aangepaste SMS-berichten, overlays voor banken en crypto-apps, en het onderscheppen van twee-factor-authenticatiecodes.

Bron 1

Atroposia is een nieuw malware-as-a-service (MaaS)-platform dat cybercriminelen een remote access trojan (RAT) biedt met functies voor toegang op afstand, gegevensdiefstal en lokale kwetsbaarheidsscanning. Voor een maandabonnement van $200 kunnen aanvallers profiteren van modules zoals verborgen bureaubladtoegang, bestandssysteemcontrole, gegevensuitvoer, clipboard-diefstal en het stelen van inloggegevens en cryptocurrency-wallets. De malware kan communiceren met de command-and-control-infrastructuur via versleutelde kanalen en kan de User Account Control (UAC) van Windows omzeilen. Atroposia beschikt ook over een ingebouwde lokale kwetsbaarheidsscanner die onveilige instellingen en verouderde software detecteert, waarmee aanvallers prioriteit kunnen geven aan exploitatie van kwetsbaarheden. Dit maakt de RAT bijzonder gevaarlijk in bedrijfsomgevingen, waar verouderde VPN-clients of privilege-escalatiefouten kunnen worden misbruikt voor dieper systeemtoegang. Het platform verlaagt de technische drempel voor cybercriminelen, waardoor het een breed scala aan aanvallers aanspreekt.

Bron 1

BlueNoroff, een bekende APT-groep, heeft zijn aanvallen verder verfijnd met twee nieuwe campagnes: GhostCall en GhostHire. GhostCall richt zich op macOS-apparaten van topfunctionarissen binnen technologiebedrijven en de durfkapitaalsector, waarbij slachtoffers via Telegram worden benaderd en verleid om een vals Zoom-vergadering te betreden. De aanvallers gebruiken echte video-opnames van eerdere slachtoffers, wat de illusie wekt van een live gesprek. Zodra de slachtoffers hun Zoom-klant bijwerken, worden schadelijke scripts gedownload die malware installeren. GhostHire richt zich op Web3-ontwikkelaars en gebruikt Telegram en GitHub om kwaadaardige bestanden te verspreiden, vermomd als beoordelingsprojecten. Beide campagnes maken gebruik van geavanceerde technieken zoals AI om hun aanvallen te verbeteren en om malware-modules te verbergen.

Bron 1

De populaire wens van gamers om competitief voordeel te behalen heeft cybercriminelen de kans geboden om kwaadaardige software te verspreiden via gratis aangeboden game cheats. Cybercriminelen verpakken informatie-steler malware in zogenaamde cheats, waardoor gebruikers onbewust kwaadaardige bestanden downloaden. Deze malware is vaak gekoppeld aan populaire games zoals Fortnite, Apex Legends, Counter-Strike 2 en Roblox. Georganiseerde groepen, zoals de Traffer Teams, spelen een belangrijke rol in de verspreiding van deze malware, door gebruik te maken van platforms als YouTube en TikTok. De malware kan gevoelige gegevens zoals browserwachtwoorden, cookies en cryptowalletinformatie stelen. Spelers worden geadviseerd om verdachte bestanden te scannen en voorzorgsmaatregelen te nemen door antivirussoftware te gebruiken en verdachte bestanden in een virtuele machine te openen.

Bron 1

Een nieuwe phishingaanval van de Gamaredon-groep richt zich op overheidsinstanties en maakt gebruik van de kwetsbaarheid in WinRAR. Deze aanvallen worden uitgevoerd door middel van infostealer malware die zich verstopt in ogenschijnlijk onschuldige videospel cheats en mod tools. Dergelijke toepassingen worden gepromoot als prestatieverhogers of hulpmiddelen voor het verbeteren van de game-ervaring, maar bevatten kwaadaardige software die inloggegevens steelt. Dit toont een kwetsbaarheid in het bewustzijn van gebruikers over veilige softwareverificatie en de gevaren van het downloaden van dergelijke programma’s van onbetrouwbare bronnen. De malware richt zich specifiek op opgeslagen inloggegevens, cryptocurrency wallets, browser cookies en andere gevoelige authenticatietokens. Deze gegevens worden vervolgens geëxfiltreerd naar servers die door de aanvallers worden gecontroleerd. Onderzoekers adviseren gebruikers om cheats en mods alleen van officiële bronnen te downloaden en extra beveiligingsmaatregelen, zoals multi-factor authenticatie, te implementeren.

Bron 1

Een geavanceerde malwarecampagne die gericht is op Braziliaanse gebruikers maakt gebruik van WhatsApp voor het verspreiden van de SORVEPOTEL malware. Deze campagne, die begon in september 2025, heeft zich in oktober verder ontwikkeld met nieuwe aanvalsmethoden, waaronder een script-gebaseerde aanval. De malware maakt gebruik van meerdere persistentie-mechanismen en een geavanceerde command-and-control (C2) infrastructuur, waarmee aanvallers real-time controle over gecompromitteerde systemen kunnen behouden. Via WhatsApp worden kwaadaardige ZIP-bestanden verspreid naar alle contacten en groepen van geïnfecteerde accounts, wat de verspreiding vergemakkelijkt. De malware gebruikt Visual Basic Script en PowerShell voor fileless executie, wat traditionele detectiemethoden omzeilt. De C2-infrastructuur is gebaseerd op e-mail en HTTP, wat de aanvallers in staat stelt de campagne te monitoren en aan te passen. Deze malware biedt uitgebreide toegang tot besmette systemen, waardoor het een grote bedreiging vormt voor financiële instellingen en bedrijven in Brazilië.

Bron 1

De BiDi Swap-techniek maakt misbruik van een browserfout in de manier waarop tekstrichtingen worden verwerkt, wat het mogelijk maakt om valse URL's te creëren die echte websites nabootsen. Deze aanval, die gebruik maakt van de bidirectionele tekstfunctie, zorgt ervoor dat een URL die visueel betrouwbaar lijkt, naar een andere locatie leidt. Door het combineren van van rechts naar links (RTL) en van links naar rechts (LTR) tekstrends, kunnen aanvallers valse subdomeinen of URL-paden maken die het moeilijk maken voor gebruikers om kwaadaardige links te herkennen. Dit soort aanvallen is niet nieuw, maar het wordt steeds vaker gebruikt in phishingaanvallen. Browserleveranciers zoals Chrome, Firefox en Edge hebben al enige bescherming ingebouwd, maar deze blijft vaak onvoldoende. Het wordt aanbevolen om altijd verdachte URL's te verifiëren en bewustzijn te creëren over de gevaren van dergelijke aanvallen.

Bron 1

Een cybercrimineel, opererend onder het alias C3FaRiR, heeft vermoedelijk RDP-toegang aangeboden tot verschillende “houses en workgroup” systemen in meerdere landen. De toegang zou via brute-force methoden zijn verkregen en wordt gepromoot als tijdelijk beschikbaar, met een garantieperiode van slechts twee uur. De startprijs voor deze toegang bedraagt $10. De aanbieding wordt zowel op het clearnet als op het darkweb gepresenteerd. Er wordt gewaarschuwd voor de volatiliteit van de toegang en het tijdelijke karakter ervan, wat de veiligheid en betrouwbaarheid van deze aanbieding beïnvloedt.

Een dreigingsactor met de naam iLeakSupp heeft de Wasp-macOS-infostealer gepresenteerd, aangeboden als een Malware-as-a-Service (MaaS) model. Het programma, dat geen bestandselementen bevat en cross-platform werkt, is ontwikkeld met Apple's Open Scripting Architecture (OSA). Het kan draaien op zowel x86-64 als ARM64 architecturen en is compatibel met recente versies van macOS. Wasp heeft een detectiegraad van 0/62 op VirusTotal en biedt verschillende functies, zoals een controlepaneel op basis van React, phishingmogelijkheden voor Ledger Live, en ondersteuning voor het stelen van cryptowallets. Het richt zich vooral op browsers zoals Chrome, Edge, Brave en Firefox. De infostealer is te huur voor $3000 voor een periode van 30 dagen.

De 'PhantomRaven'-campagne richt zich op softwareontwikkelaars door middel van kwaadaardige npm-pakketten die inlogtokens, CI/CD-geheimen en GitHub-gegevens stelen. Deze aanval, die begon in augustus 2025, heeft al 126 npm-pakketten geïntroduceerd die meer dan 86.000 keer zijn gedownload. De kwaadaardige pakketten lijken op legitieme projecten en maken gebruik van 'slopsquatting', een techniek waarbij niet-bestaande pakketnamen door AI-aanbevelingen worden gesuggereerd. De pakketten bevatten een mechanisme dat bij installatie automatisch externe payloads ophaalt, zonder dat de gebruiker actie hoeft te ondernemen. De malware verzamelt gegevens van de geïnfecteerde systemen, zoals omgevingsvariabelen en e-mailadressen, en steelt belangrijke tokens van platforms als NPM, GitHub, GitLab en Jenkins. Dit kan leiden tot supply chain-aanvallen. Ontwikkelaars worden geadviseerd om alleen legitieme pakketten van betrouwbare leveranciers te gebruiken en zorgvuldig te controleren of pakketten authentiek zijn.

Bron 1

De Play-ransomwaregroep heeft een opmerkelijke verklaring uitgebracht waarin ze stelt dat het welzijn van medewerkers van cruciaal belang is. De groep suggereert dat medewerkers mogelijk toegang tot bedrijfsnetwerken kunnen verkopen aan hackgroepen in ruil voor wederzijdse voordelen. Dit zou bedrijven kwetsbaar kunnen maken voor cyberaanvallen. De opmerking werd gepost als een aankondiging, waarbij de Play-groep hun motief deelde voor het verkrijgen van bedrijfsdata. Dit werpt een licht op de groeiende dreiging van interne bedreigingen, waarbij medewerkers niet alleen doelwit zijn van cybercriminelen, maar ook zelf toegang verkopen voor persoonlijke winst. Deze vorm van samenwerking tussen interne werknemers en externe hackers kan bedrijven in gevaar brengen, en benadrukt de noodzaak van strikte beveiligingsmaatregelen binnen organisaties.

Onderzoekers hebben een nieuwe phishingtechniek ontdekt die gebruik maakt van onzichtbare Unicode-tekens in de onderwerpregel van e-mails, met behulp van MIME-codering. Deze methode blijft grotendeels onbekend bij e-mailbeveiligingsexperts. De aanvallers maken gebruik van "soft hyphen" tekens die in de onderwerpregel van e-mails worden verborgen. Deze tekens zijn onzichtbaar voor de ontvanger, maar wel aanwezig in de e-mailstructuur, waardoor ze de automatische filtermechanismen van e-mailbeveiligingssystemen kunnen omzeilen. Deze techniek breekt bepaalde woorden in de tekst op, zodat ze voor het beveiligingssysteem niet herkenbaar zijn als phishing-indicatoren. De e-mail bevat links naar een malafide webpagina die bedoeld is om inloggegevens van gebruikers te verzamelen. Organisaties worden geadviseerd om hun e-mailfilters te controleren en meer geavanceerde systemen in te zetten om dergelijke obfuscaties te detecteren.

Bron 1

Experts melden een aanzienlijke stijging van geautomatiseerde botnetaanvallen, gericht op PHP-servers, IoT-apparaten en cloudgateways. Botnets zoals Mirai, Gafgyt en Mozi maken gebruik van bekende kwetsbaarheden in PHP en misconfiguraties in cloudomgevingen om toegang te verkrijgen tot onveilige systemen. Vooral PHP-servers, die veelvuldig gebruikt worden door platforms zoals WordPress en Craft CMS, zijn een belangrijk doelwit vanwege de kwetsbaarheden in verouderde plugins en misconfiguraties. Er worden ook IoT-apparaten en cloudinfrastructuren misbruikt, waaronder systemen van Amazon Web Services en Google Cloud. Aanvallers gebruiken deze kwetsbaarheden om de botnetnetwerken uit te breiden, wachtwoorden te raden en andere schadelijke activiteiten te ontplooien. Beveiligingsexperts adviseren om systemen up-to-date te houden, ontwikkeltools uit productieomgevingen te verwijderen en toegang tot cloudinfrastructuur te beperken om de risico's te verkleinen.

Logins.zip is een nieuwe infostealer die gebruik maakt van kwetsbaarheden in de Chromium-browser. Deze browsergebaseerde tool is in staat tot het stelen van tot 99% van opgeslagen inloggegevens, cookies en autofills in slechts 12 seconden na infectie. Het kan logins, cookies, autofills en creditcardinformatie verzamelen van verschillende browsers zoals Chrome, Firefox en Edge. Logins.zip maakt gebruik van geavanceerde technieken, zoals polymorfe auto-obfuscatie en runtime-injecties, om detectie door beveiligingssoftware te vermijden. De tool wordt gepromoot op ondergrondse forums en biedt een efficiënte methode voor cybercriminelen om gegevens te stelen zonder administratieve rechten, wat het een aanzienlijke dreiging maakt voor gebruikers wereldwijd.

Een geavanceerde Android banking trojan, genaamd GhostGrab, richt zich wereldwijd op financiële instellingen door in stilte bankgegevens te stelen en eenmalige wachtwoorden (OTP's) via SMS-berichten te onderscheppen. De malware wordt verspreid via geïnfecteerde app stores en schadelijke advertenties, waarbij gebruik wordt gemaakt van sociale engineering-technieken. GhostGrab vraagt uitgebreide machtigingen aan onder het mom van standaardapplicaties, zoals toegang tot SMS en overlaymachtigingen, om bankinloggegevens en OTP's te stelen zonder dat de gebruiker het merkt. Het virus heeft geavanceerde methoden ontwikkeld om detectie door banken te vermijden, zoals emulatordetectie en debuggercontroles. Zodra gegevens zijn gestolen, worden ze versleuteld en naar externe servers gestuurd. Deze malware heeft geleid tot een toename van gevallen van accountovernames en frauduleuze betalingen, wat financiële instellingen ertoe heeft aangezet extra beveiligingsmaatregelen te nemen.

Bron 1

Cybersecurity-onderzoekers hebben een geavanceerde phishingcampagne ontdekt waarbij twee opkomende aanvalstechnieken worden gecombineerd om traditionele beveiligingsmaatregelen te omzeilen. Deze hybride benadering combineert FileFix social engineering met cache smuggling om malware payloads te leveren zonder netwerkdetectiesystemen te activeren. De aanval begint met een valse FortiClient Compliance Checker-pagina, die slachtoffers misleidt om schadelijke opdrachten uit te voeren via het plakken van inhoud in de adresbalk van Windows Explorer. Vervolgens wordt de cache smuggling techniek gebruikt om kwaadaardige bestanden als legitieme afbeeldingsbestanden op het slachtoffer's systeem te verbergen, waardoor de malware direct vanuit de browsercache kan worden uitgevoerd zonder netwerkverkeer te genereren. De onderzoekers ontdekten ook een verfijnde Exif smuggling techniek die gebruikmaakt van metadata in JPG-afbeeldingen om schadelijke payloads verborgen te houden, wat de detectie door traditionele methoden verder bemoeilijkt.

Bron 1

Anivia Stealer, een geavanceerde informatie-roofmalware, wordt momenteel aangeboden op ondergrondse forums. De malware, ontwikkeld door de dreigingsactor ZeroTrace, richt zich op Windows-systemen, van verouderde XP-installaties tot de nieuwste Windows 11-omgevingen. Het programma maakt gebruik van geavanceerde technieken om de User Account Control (UAC) te omzeilen, waardoor het zonder waarschuwing van het systeem kan opereren. Het steelt gevoelige gegevens zoals browserwachtwoorden, cryptowallets en authenticatiecookies. Anivia Stealer wordt aangeboden via een abonnementsmodel, variërend van €120 voor één maand tot €680 voor levenslange toegang. Onderzoekers hebben de promotiematerialen van de dreigingsactor op cybercriminaliteitsmarkten geïdentificeerd, waarbij de malware wordt gepromoot met als voordeel de automatische privilegeverhoging en het omzeilen van systeembeveiligingsmechanismen. De malware maakt gebruik van versleutelde communicatiekanalen om detectie te vermijden.

Bron 1

Beast ransomware is een belangrijke dreiging in cyberspace en werd in februari 2025 gelanceerd. Het is een evolutie van de Monster ransomware en heeft zich snel gepositioneerd als een grote Ransomware-as-a-Service (RaaS)-operatie. De groep heeft in juli 2025 een Tor-gebaseerde dataleksite geïntroduceerd en heeft sinds augustus 2025 wereldwijd 16 slachtoffers gemeld, waaronder organisaties in de VS, Europa, Azië en Latijns-Amerika. Beast verspreidt zich via een netwerkpropagatie-aanpak waarbij het SMB-poorten van gecompromitteerde systemen scant. Dit stelt het in staat om zich door netwerkinfrastructuren te verplaatsen en toegang te krijgen tot gedeelde netwerkmappen. De aanvallers gebruiken phishing als een belangrijke toegangsmethode, vaak samen met de Vidar Infostealer voor gegevensdiefstal voorafgaand aan het inzetten van ransomware. Deze verspreidingsmethode maakt het moeilijk om de dreiging te stoppen zonder adequate netwerkbeveiliging en monitoring.

Bron 1

Gunra ransomware, actief sinds april 2025, richt zich wereldwijd op zowel Windows- als Linux-systemen. Deze ransomware-campagne gebruikt twee versleutelingstechnieken: een voor Windows (EXE-bestanden) en een voor Linux (ELF-binaries), wat de aanvalscapaciteit vergroot. Organisaties in verschillende sectoren, waaronder de regio Azië-Pacifisch, hebben melding gemaakt van infecties. Gunra volgt een bekend ransomware-model: het versleutelen van kritieke bestanden, het stelen van gevoelige data en het eisen van losgeld, met dreigingen van openbaarmaking bij niet-betaling. Een opvallende technische zwakte werd gevonden in de Linux-versie van de malware, die gebruik maakt van een cryptografisch onveilige methode voor het genereren van versleuteling sleutels, waardoor brute-force aanvallen mogelijk zijn. Dit staat in contrast met de Windows-versie, die een veiligere cryptografische aanpak hanteert, waardoor decryptie vrijwel onmogelijk is.

Bron 1

Tien kwaadaardige npm-pakketten zijn ontdekt die automatisch worden uitgevoerd tijdens de installatie en een geavanceerde operatie voor het stelen van inloggegevens inzetten. Deze aanval maakt gebruik van typosquatting, waarbij populaire JavaScript-bibliotheken worden gemimicd, wat de detectie bemoeilijkt. De pakketten gebruiken de postinstall lifecycle hook van npm om direct na installatie uit te voeren, wat zorgt voor onopgemerkte werking. Het malwarepakket detecteert automatisch het besturingssysteem van de geïnfecteerde computer en voert de aanval uit via Windows, Linux of macOS. Het bevat verschillende lagen van obfuscatie om analyse te bemoeilijken. Na installatie toont het malwarepakket een valse CAPTCHA om de legitimiteit te verbergen en te zorgen dat het niet wordt gedetecteerd door automatische beveiligingsscans. De malware verzamelt gegevens zoals browserwachtwoorden, SSH-sleutels en OAuth-tokens. De gestolen gegevens worden naar een externe server gestuurd, waardoor de aanvaller toegang krijgt tot gevoelige systemen.

Bron 1

Er is een grote toename van frauduleuze investeringsplatformen die zich voordoen als cryptocurrency- en forexbeurzen. Deze platformen worden gebruikt door cybercriminelen om slachtoffers wereldwijd te misleiden en geld te stelen. Ze maken gebruik van geavanceerde sociale engineering om het vertrouwen van slachtoffers te winnen en hen te manipuleren om geld over te maken naar de aanvallers. De fraudeoperaties zijn geëvolueerd van geïsoleerde aanvallen naar goed georganiseerde, grensoverschrijdende netwerken met gestructureerde rollen en langdurige campagnes. Slachtoffers worden vaak benaderd via sociale mediakanalen zoals Facebook en TikTok, waar de criminelen zich voordoen als succesvolle investeerders. De technische infrastructuur van deze platforms is geavanceerd, met hergebruikte API’s en SSL-certificaten, en de platformen maken gebruik van chatbots om betalingen te verwerken. Recente acties van de autoriteiten, zoals de arrestatie van 20 mensen in Vietnam, benadrukken de enorme schaal van deze fraude-operaties.

Bron 1

Een nieuwe ransomware-as-a-service (RaaS) genaamd Gentlemen’s RaaS is ontdekt op ondergrondse hackersforums. Deze platform biedt cybercriminelen de mogelijkheid om ransomware-aanvallen uit te voeren op Windows-, Linux- en ESXi-systemen, met de belofte van hoge winst. De operator, bekend als zeta88, biedt een aantrekkelijk verdienmodel waarbij 90% van de losgelden naar de afnemers gaat, terwijl de operator 10% behoudt. Dit systeem maakt gebruik van geavanceerde cryptografische methoden zoals XChaCha20 en Curve25519 en biedt specifieke lockers voor verschillende besturingssystemen, zoals Windows, Linux en BSD, evenals een aparte locker voor ESXi-systemen. Het platform beschikt over geautomatiseerde self-propagation via WMI, PowerShell en andere commando's, wat het mogelijk maakt snel door netwerken te bewegen en meerdere systemen te versleutelen. De introductie van Gentlemen’s RaaS geeft aan dat ransomware-aanvallen steeds meer toegankelijk worden voor een breder publiek van cybercriminelen wereldwijd.

Bron 1

Tussen augustus en oktober 2025 heeft een geavanceerde phishingcampagne slachtoffers gemaakt onder Spaanstalige gebruikers, met name in Colombia, door vervalste e-mails te versturen die lijken op officiële communicatie van het Openbaar Ministerie van Colombia. De e-mails bevatten een sociale engineering-aanval waarbij ontvangers worden verleid met valse meldingen over rechtszaken. Het kwaadaardige bestand wordt via een SVG-bijlage gedistribueerd, die een automatisch gedownloade ZIP-archief bevat. Dit archief bevat een hernoemde javaw.exe-bestand dat gebruikt wordt voor DLL-side-loading en de installatie van PureHVNC-malware, een geavanceerde remote access trojan (RAT). Deze malware is bekend om zijn sterke vermijdingscapaciteiten en wordt vaak op darkweb-forums verhandeld. De campagne markeert de eerste keer dat PureHVNC zich richt op Spaanstalige doelwitten met deze methoden. De infectie maakt gebruik van meerdere stadia om detectie te vermijden en biedt aanvallers volledige controle over de geïnfecteerde systemen.

Bron 1

Hackers maken gebruik van LinkedIn om financiële executives te targeten met phishing-aanvallen via directe berichten. De berichten doen zich voor als uitnodigingen om lid te worden van een fictief bestuursorgaan van een nieuw opgericht investeringsfonds, genaamd Common Wealth. De ontvangers worden gevraagd op een link te klikken voor meer informatie, waarna ze worden omgeleid via verschillende redirects naar een malafide website die zich voordoet als een "LinkedIn Cloud Share" platform. Hier wordt hen gevraagd in te loggen via een vervalste Microsoft-loginpagina. Het doel is om de inloggegevens van de slachtoffers te stelen. De aanvallers maken gebruik van CAPTCHA-technologieën om bots te blokkeren, waardoor de pagina's moeilijker automatisch te analyseren zijn. Dit is de tweede LinkedIn phishingcampagne gericht op executives die Push Security heeft gedetecteerd in de afgelopen weken.

Bron 1

De "Brash" kwetsbaarheid in de Blink rendering engine van Chromium stelt aanvallers in staat om browsers binnen enkele seconden te laten crashen. Deze kwetsbaarheid ontstaat door een gebrek aan snelheidsbeperkingen op het "document.title" API, wat betekent dat een aanvaller miljoenen wijzigingen in het documentobjectmodel (DOM) per seconde kan sturen. Dit resulteert in een browser die niet meer reageert en het systeem vertraagt door overmatig gebruik van de CPU. De aanval verloopt in drie fasen: de voorbereiding van de gegevens, het injecteren van snelle bursts van updates, en het verzadigen van de UI-thread van de browser. Brash kan ook worden geprogrammeerd om op specifieke momenten te worden uitgevoerd, wat het tot een krachtig hulpmiddel maakt voor aanvallers. De kwetsbaarheid treft alle browsers op Chromium, zoals Google Chrome, Microsoft Edge en Opera, maar Mozilla Firefox en Apple Safari zijn immuun.

Bron 1, 2

Het PolarEdge botnet heeft meer dan 25.000 IoT-apparaten in 40 landen geïnfecteerd en 140 command-and-control (C2)-servers opgezet om cybercriminaliteit te ondersteunen. Het botnet, dat sinds februari 2025 bekend is, maakt misbruik van kwetsbare IoT- en edge-apparaten en creëert een netwerk van Relay Box-infrastructuur voor geavanceerde dreigingsactoren. De malware werkt via een client-server architectuur, waarbij besmette apparaten de RPX_Client-component installeren, die communicatie met de C2-servers faciliteert. Geografische analyses tonen een concentratie van infecties in Zuidoost-Azië en Noord-Amerika, met Zuid-Korea als het belangrijkste doelwit. Het botnet richt zich vooral op apparaten van merken zoals KT, Shenzhen TVT, Cyberoam en verschillende routermodellen van Asus, DrayTek, Cisco en D-Link. De malware maakt gebruik van een complexe multi-hop proxyarchitectuur om herkomst van aanvallen te verbergen.

Bron 1

Onlangs is een geavanceerde supply chain-aanval ontdekt die gericht was op ontwikkelaars wereldwijd via de officiële VSCode Marketplace. Twaalf kwaadaardige extensies werden geïdentificeerd, waarvan vier nog actief waren op het moment van rapportage. Deze extensies, die zich voordeden als legitieme productiviteitstools, infiltreerden ontwikkelomgevingen en stelden cybercriminelen in staat om projectcode, gevoelige gegevens en zelfs het klembord te stelen. De aanvallers gebruikten verschillende technieken, waaronder HTTP-verzoeken en persistente socketverbindingen, om de gestolen gegevens naar externe servers te sturen. Het incident benadrukt de kwetsbaarheid van de software-supply chain, waarbij dergelijke extensies toegang kregen tot vertrouwelijke informatie zonder gedetecteerd te worden door standaard beveiligingsscans. Dit voorval onderstreept de noodzaak voor strengere controle en monitoring van extensies op ontwikkelaarsmarktplaatsen.

Bron 1

Een geavanceerde malwarecampagne richt zich op WooCommerce-websites, waarbij kwaadwillige plugins worden gebruikt om betaalgegevens van klanten te stelen. De malware maakt gebruik van versleuteling, vervalste afbeeldingsbestanden en verborgen achterdeurtjes, wat de detectie bemoeilijkt. Het systeem is ontworpen om de beveiliging te omzeilen door administratoren toegang te verschaffen via gestolen inloggegevens of onveilige plugins. Na installatie blijft de malware verborgen in de WordPress-plugin directory en verzamelt het creditcardgegevens via een Javascript-skimmer die actief is op de afrekenpagina’s van WooCommerce. De gestolen gegevens worden via verschillende mechanismen geëxfiltreerd naar aanvallers. De malware is gekoppeld aan de Magecart Group 12, een bekende dreigingsactor. Deze aanval benadrukt het risico voor online webwinkels en hun klanten, evenals het belang van up-to-date beveiligingsinfrastructuur.

Bron 1

Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft bevestigd dat aanvallers actief misbruik maken van een kwetsbaarheid in VMware Aria Operations en VMware Tools. Deze kwetsbaarheid, bekend als CVE-2025-41244, werd ontdekt in mei 2025 door het securitybedrijf Nviso, dat meldde dat de kwetsbaarheid al sinds oktober 2024 werd gebruikt door de aanvallersgroep UNC5174. Deze groep, die vermoedelijk banden heeft met China, kan via de kwetsbaarheid code als root uitvoeren op een virtual machine. VMware bracht eind september een beveiligingsupdate uit, maar pas na de bevestiging van actief misbruik door CISA werd de dreiging breder erkend. Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft federale overheidsinstanties opgedragen de update vóór 20 november 2025 te installeren.

Bron 1

NFC-relay malware, die contactloze creditcardinformatie steelt, is de afgelopen maanden snel populair geworden in Oost-Europa. Onderzoekers ontdekten meer dan 760 kwaadaardige Android-apps die deze techniek gebruiken. In tegenstelling tot traditionele banktrojans, maakt NFC-malware gebruik van de Host Card Emulation (HCE) van Android om betaalgegevens te stelen. De malware kan EMV-velden vastleggen, reageren op commando's van betaalterminals en zelfs gegevens naar externe servers sturen om betalingen te doen zonder dat de fysieke kaarthouder aanwezig is. Deze aanvallen zijn voor het eerst opgemerkt in Polen in 2023 en zijn sindsdien verder verspreid naar landen zoals de Tsjechische Republiek, Rusland en Slowakije. Gebruikers wordt aangeraden geen APK’s van buiten de Google Play Store te installeren en regelmatig hun apparaten te scannen met Play Protect.

Bron 1, 2

De Cybersecurity and Infrastructure Security Agency (CISA) heeft bevestigd dat een kritieke privilege-escalatiekwetsbaarheid in de Linux-kernel wordt misbruikt in ransomware-aanvallen. De kwetsbaarheid, aangeduid als CVE-2024-1086, werd in januari 2024 openbaar gemaakt en betreft een use-after-free-fout in de netfilter:nf_tables-kernelcomponent. Hoewel de kwetsbaarheid al in januari 2024 werd gepatcht, wordt deze nu actief gebruikt door ransomwaregroepen. Aanvallers met lokale toegang kunnen hierdoor hun privileges verhogen en mogelijk root-toegang verkrijgen, wat leidt tot systeemovername, gegevensdiefstal en netwerkbewegingen. CISA heeft federale agentschappen opgedragen de systemen te beveiligen, met mitigaties zoals het blokkeren van nf_tables of het beperken van de toegang tot gebruikersnamespaces. Deze kwetsbaarheid heeft invloed op verschillende Linux-distributies, waaronder Debian, Ubuntu en Red Hat.

Bron 1, 2, 3

Op 30 oktober 2025 werd een nieuw domein, p2t.lo9q.online, gelinkt aan de ClearFake JavaScript-payload leveringscampagne. Dit domein werd gebruikt om een schadelijke JavaScript-payload te verspreiden via een browser-gebaseerd social engineering hulpmiddel, dat gebruikers misleidt door zich voor te doen als een legitieme beveiligingsupdate van populaire browsers zoals Chrome, Edge en Firefox. Het domein heeft momenteel een 404-respons, wat aangeeft dat de kwaadaardige bestanden mogelijk zijn verwijderd of verplaatst. De malware is gericht op het installeren van kwaadaardige executables. Ter verdediging wordt aangeraden alle verkeer naar dit domein te blokkeren en browsergebaseerde bescherming te implementeren om valse update-oproepen te detecteren. Ook wordt aanbevolen recente webverkeer- en endpoint-telemetrie te controleren op verdachte gedownloade bestanden.

De Tick groep, een door China gelinkte cyberespionagegroep, maakt misbruik van een recent onthulde kwetsbaarheid in Lanscope Endpoint Manager (CVE-2025-61932) om toegang te krijgen tot bedrijfsnetwerken. Deze kwetsbaarheid, met een CVSS-score van 9.3, maakt het mogelijk voor aanvallers om met systeemrechten willekeurige commando’s uit te voeren op kwetsbare systemen. Het gebruik van deze zero-day kwetsbaarheid heeft geleid tot de installatie van een backdoor op getroffen machines, waarmee de aanvallers op afstand kwaadwillige commando’s kunnen uitvoeren. De malware die in de aanval wordt gebruikt, genaamd Gokcpdoor, zorgt voor een verborgen communicatiekanaal tussen het geïnfecteerde systeem en een externe server. Naast Gokcpdoor werden ook andere technieken ingezet, zoals het zijladen van DLL-bestanden en het gebruik van het Havoc post-exploitatie-framework om laterale bewegingen en data-exfiltratie te vergemakkelijken. Organisaties worden geadviseerd om kwetsbare Lanscope-servers bij te werken en te controleren of ze onterecht aan het internet zijn blootgesteld.

Bron 1, 2, 3, 4

Een nieuwe malwarefamilie voor Windows, Airstalk, heeft geavanceerde technieken ontwikkeld om gevoelige gegevens van browsers te stelen via een innovatieve, geheime command-and-control (C2)-communicatie. Deze malware, beschikbaar in PowerShell- en .NET-varianten, maakt misbruik van bestaande infrastructuur voor mobiele apparaatbeheer (MDM) door de AirWatch API, nu bekend als Workspace ONE Unified Endpoint Management, te kapen. Het gebruikt een versleuteld 'dead drop'-mechanisme om gegevens uit te wisselen zonder directe verbinding tussen aanvaller en slachtoffer. De malware richt zich op browsergegevens zoals cookies en bladwijzers. Airstalk onderscheidt zich van andere informatie-stelende malware door zijn vermogen om te functioneren binnen vertrouwde systeembeheertools, wat het moeilijker maakt om op te sporen. De .NET-variant maakt gebruik van een multi-threaded C2-architectuur, wat het mogelijk maakt meerdere taken parallel uit te voeren.

Bron 1

Een nieuwe campagne maakt gebruik van de Lampion banking trojan, die sinds 2019 actief is, maar nu gericht is op Portugese financiële instellingen. De dreigingsactoren achter deze aanvallen hebben hun tactieken verfijnd door gebruik te maken van ClickFix-lures, een misleidende techniek waarbij gebruikers worden verleid om technische problemen op te lossen voordat ze schadelijke payloads uitvoeren. De aanval begint met zorgvuldig opgestelde phishingmails die legitieme bankoverboekingsmeldingen nabootsen. De berichten bevatten ZIP-bestandbijlagen in plaats van directe links, wat een wijziging is in de tactiek van de groep. Het gebruik van geavanceerde sociale-engineeringtechnieken maakt het steeds moeilijker om deze aanvallen op te sporen. De malware wordt via een complexe infectieketen verspreid, die gebruik maakt van obfuscerende scripts en DLL-bestanden om toegang tot systemen te krijgen. De campagne is actief en op grote schaal, met honderden besmette systemen die onder controle van de aanvallers staan.

Bron 1

Een geavanceerde phishingcampagne richt zich op financiële en overheidsorganisaties in Oost- en Zuidoost-Azië. De campagne maakt gebruik van meertalige ZIP-bestanden als lokmiddel, gecombineerd met regionale malware-sjablonen om gebruikers te misleiden. Er worden drie clusters geïdentificeerd in traditionele Chinese, Engelse en Japanse varianten, die specifiek gericht zijn op geografische en sectorale doelen. Dit toont een verschuiving naar een schaalbare en geautomatiseerde infrastructuur die meerdere regio's tegelijkertijd kan aanvallen. De aanvallers hebben hun methode verfijnd door gebruik te maken van op maat gemaakte domeinen en regionale identificatoren, zoals “tw” voor Taiwan. De infectiemechanismen zijn ontworpen om traditionele e-mail- en webfilters te omzeilen, waarbij JavaScript wordt gebruikt om IP-adressen en gebruikersinformatie te registreren. Het achterliggende netwerk is gehost op Kaopu Cloud HK, met servers in Tokio, Singapore en Hong Kong, wat de attributie en blokkering bemoeilijkt.

Bron 1

De Noord-Koreaanse hacker groepen Kimsuky en Lazarus hebben geavanceerde malware tools geïntroduceerd waarmee ze persistent toegang kunnen krijgen tot besmette systemen. Kimsuky gebruikt de HttpTroy malware, terwijl Lazarus een verbeterde versie van BLINDINGCAN inzet. De campagnes van deze groepen omvatten geavanceerde social engineering technieken en gebruik van geëncrypteerde communicatienetwerken om detectie te ontwijken. Kimsuky richtte zich op een Zuid-Koreaanse organisatie, waarbij ze een ZIP-bestand gebruikten dat zich voordeed als een VPN-factuur. Lazarus aanvallen waren gericht op twee Canadese bedrijven, waarbij ze nieuwe methoden toepasten voor het verbergen van de malware en het verkrijgen van langdurige toegang. Beide aanvallen tonen de voortdurende evolutie van staatssponserde cyberoperaties.

Bron 1