Wereldwijd zijn honderden FreePBX-telefooncentrales slachtoffer geworden van een hack, waaronder achttien in Nederland en twee in België. Aanvallers maakten misbruik van een kritieke kwetsbaarheid (CVE-2025-57819) die het mogelijk maakte zonder inloggegevens toegang te krijgen tot de beheeromgeving. Hierdoor konden zij op afstand code uitvoeren en database-aanpassingen doen via SQL-injectie. Het misbruik vond plaats rond 21 augustus, terwijl er pas op 26 augustus een tijdelijke oplossing beschikbaar kwam en op 28 augustus een officiële beveiligingsupdate werd uitgebracht. Volgens The Shadowserver Foundation zijn nog duizenden systemen onbeschermd, waaronder 144 in Nederland en 15 in België, met het zwaartepunt in de Verenigde Staten. In totaal werden zo’n vierhonderd gecompromitteerde centrales vastgesteld. Beheerders wordt dringend geadviseerd de update te installeren, toegang tot beheeraccounts te beperken en systemen te controleren op sporen van inbraak. Dit incident benadrukt de risico’s van onbeveiligde VoIP-infrastructuur die direct aan het internet blootstaat.

Bron 1, gehackt in BE en NL, kwetsbaar in BE en NL

Orange Belgium voert aanvullende maatregelen in na een groot datalek waarbij gegevens van 850.000 klanten (20 aug), waaronder simkaartnummers en pukcodes, zijn buitgemaakt. Volgens toezichthouder BIPT vergroot dit de kans op sim-swapping, waarbij criminelen telefoonnummers overzetten naar eigen simkaarten om toegang te krijgen tot e-mail, sociale media en betaalaccounts. Als reactie zal Orange klanten bij een overdrachtsaanvraag per sms waarschuwen, zodat zij binnen acht uur de aanvraag kunnen annuleren door met “STOP” te antwoorden. Critici wijzen erop dat dit slechts een passieve melding is die de verantwoordelijkheid bij de gebruiker legt en geen technische blokkade biedt. Beveiligingsexpert Inti De Ceukelaire heeft bovendien een klacht ingediend tegen Orange, omdat het bedrijf volgens hem de risico’s bagatelliseert en tegenstrijdige communicatie over het misbruik van de gestolen gegevens verspreidde. BIPT benadrukt dat gebruikers zelf extra alert moeten blijven en aanvullende beveiligingsmaatregelen zoals tweefactorauthenticatie moeten inzetten.

Bron 1

In de Nederlandse gemeenten Teylingen, Lisse en Hillegom zijn persoonsgegevens van 278 inwoners onbedoeld gedeeld door een fout bij het verzenden van brieven over verlopen identiteitsdocumenten. Door dubbelzijdig afdrukken kwamen naam, adres en documentgegevens terecht bij de verkeerde ontvangers. Slachtoffers kregen het advies hun paspoort of identiteitskaart te vervangen en ontvangen daarvoor twintig procent korting. De gemeenten hebben inmiddels maatregelen genomen, zoals extra controles en het weglaten van documentnummers in brieven. Voor Nederlandse lezers is dit incident direct relevant omdat het laat zien hoe een eenvoudige procedurefout kan leiden tot een datalek met persoonlijke gevolgen. Voor Belgische lezers is het een waarschuwend voorbeeld dat ook lokale overheden kwetsbaar zijn voor menselijke fouten en dat zorgvuldige processen noodzakelijk zijn.

Bron 1, 2, 3, 4, 5

De Nederlandse bloemenexporteur D. Visser & Zonen BV zou slachtoffer zijn geworden van een datalek. Volgens berichten op het darkweb biedt een dreigingsactor 28 gigabyte aan gevoelige bedrijfsinformatie te koop aan. Het gaat onder meer om persoonsgegevens van medewerkers, financiële rapportages en klantgegevens. De omvang van de aangeboden data wijst op een aanzienlijke inbreuk die gevolgen kan hebben voor zowel de organisatie als haar relaties. Voor bedrijven in de exportsector, die vaak afhankelijk zijn van internationale handelspartners, kan zo’n incident leiden tot reputatieschade en financiële risico’s. Hoewel nog niet duidelijk is hoe de aanval heeft plaatsgevonden of of de gegevens daadwerkelijk zijn buitgemaakt, onderstreept dit geval de voortdurende dreiging van cybercriminaliteit in Nederland. Het benadrukt de noodzaak voor bedrijven in alle sectoren om hun digitale beveiliging en incidentrespons serieus te nemen.

Screenshot

Het Belgische bedrijf Identic.be, gespecialiseerd in digitaal drukwerk en signage, is recent getroffen door een ransomwareaanval. Het incident werd op 2 september 2025 ontdekt en wordt toegeschreven aan de Qilin-groep, een bekende criminele organisatie die bedrijven wereldwijd viseert. Identic.be is een van de grootste spelers in België binnen de sector en beschikt over een moderne productiefaciliteit van 2.000 m² waar ongeveer twintig medewerkers werkzaam zijn. Het bedrijf levert uiteenlopende diensten, van digitale printoplossingen tot kopieer- en signageservices, en bedient daarmee een breed klantenbestand. De aanval heeft naar verwachting geleid tot ernstige verstoring van de bedrijfsprocessen en mogelijk ook tot dataverlies. Ransomwareaanvallen als deze benadrukken opnieuw de noodzaak voor organisaties om hun beveiligingsmaatregelen voortdurend te evalueren en te versterken.

Screenshot

De Nationale ombudsman heeft kritiek op de manier waarop demissionair minister Tieman van Volksgezondheid de slachtoffers van het datalek bij Bevolkingsonderzoek Nederland informeert. Onlangs werd bekend dat de gegevens van 715.000 deelnemers aan een baarmoederhalskankeronderzoek zijn gelekt. De ombudsman ontving veel klachten van slachtoffers die zich onzeker, bang en boos voelen door de gebrekkige communicatie. Ze weten niet welke gegevens precies zijn gelekt en wat de gevolgen zijn. Er wordt gevraagd om meer duidelijke en volledige informatie over hoe zij risico's kunnen vermijden. De ombudsman benadrukt dat de minister verantwoordelijk is voor de goede informatievoorziening en vraagt om verbetering. Van Zutphen vindt dat de overheid moet zorgen voor transparante communicatie en concrete acties om de getroffen personen te beschermen. Tevens pleit hij voor maatregelen die herhaling van zulke incidenten voorkomen.

Bron 1, 2

Het Openbaar Ministerie (OM) is getroffen door een ernstige inbraak in zijn Citrix-systemen, waardoor de organisatie besloot de systemen offline te halen. Het herstel verloopt nog steeds gefaseerd, met de verwachting dat het Justitiële Documentatie Systeem binnenkort weer wordt aangesloten. De impact is groot binnen de strafrechtketen: rechtspraak, reclassering, advocatuur en andere betrokken partijen ondervinden aanzienlijke vertragingen en moeten extra inspanningen leveren om hun werkzaamheden voort te zetten.

Demissionair minister Van Weel kondigde daarom de oprichting aan van een onafhankelijke commissie met deskundigen op het gebied van cybersecurity, IT en informatievoorziening. Deze commissie onderzoekt hoe de aanval kon plaatsvinden, welke stappen het OM heeft gezet, of de genomen maatregelen toereikend waren en waarom de gevolgen zo verstrekkend zijn. Daarnaast wordt gekeken naar structurele verbeteringen om de digitale weerbaarheid van het OM te versterken en toekomstige incidenten te voorkomen of sneller te beperken.

Bron 1

Van der Valk hotel Amsterdam Zuidas heeft de gegevens van honderden klanten gelekt, waaronder reserveringsinformatie, telefoonnummers en adressen. Deze gegevens werden vervolgens door criminelen gebruikt voor phishingaanvallen. Begin augustus kregen aanvallers toegang tot het reserveringssysteem van het hotel, maar de inbraak werd pas recent ontdekt toen klanten melding maakten van verdachte activiteiten. De aanvallers stuurden berichten naar gasten waarin stond dat hun boeking was geannuleerd en dat ze opnieuw hun creditcardgegevens moesten invoeren. Van der Valk heeft inmiddels een gespecialiseerd bedrijf ingeschakeld en een e-mail naar de slachtoffers gestuurd. De oorzaak van de inbraak in het systeem is nog niet bekendgemaakt.

Bron 1

Het datalek bij Van der Valk blijkt omvangrijker dan eerder werd gedacht. Waar aanvankelijk alleen een incident in Amsterdam werd gemeld, is nu duidelijk geworden dat gegevens van hotels in zowel Amsterdam als Almere zijn gestolen. Het datalek, dat plaatsvond begin augustus, werd veroorzaakt door een valse inlogpagina die toegang gaf tot de interne systemen van de keten. Gegevens zoals reserveringsinformatie, telefoonnummers en adressen zijn gelekt. In sommige gevallen zijn klanten opgelicht door misbruik van hun gegevens, bijvoorbeeld door een phishingscam waarbij klanten dachten dat hun reservering was geannuleerd en vervolgens hun creditcardgegevens invoerden. Van der Valk heeft bevestigd dat ze de schade volledig willen vergoeden. Het incident werd pas enkele dagen geleden ontdekt nadat klanten melding maakten van verdachte activiteiten.

Bron 1

Na een cyberaanval in juli heeft het Openbaar Ministerie (OM) zijn systemen losgekoppeld van het internet, wat leidde tot een tijdelijke stopzetting van het digitaal delen van documenten met advocaten. Vanaf dinsdag kunnen advocaten weer digitale dossierstukken ontvangen en versturen naar gerechtelijke instanties via het zogenoemde 'advocatenportaal'. De systemen van het OM worden sinds augustus gecontroleerd weer online gebracht, hoewel het nog enige tijd kan duren voordat alle documenten volledig beschikbaar zijn. Het OM heeft inmiddels enkele belangrijke functies hersteld, zoals de mogelijkheid om met de politie en slachtoffers van misdrijven digitaal informatie uit te wisselen. Het Landelijk Parket onderzoekt nog altijd de hack, die vermoedelijk misbruik maakte van kwetsbaarheden in de interne systemen van het OM. Het is nog onduidelijk hoe lang het zal duren voordat alle systemen volledig operationeel zijn.

Bron 1

Menten Truck Service N.V., een Belgisch bedrijf in de transport- en logistieke sector, werd op 11 september 2025 slachtoffer van een ransomwareaanval. De aanval werd toegeschreven aan de Radar ransomwaregroep, die bekendstaat om zijn gerichte cyberaanvallen op bedrijven in verschillende sectoren. Het bedrijf, gevestigd in Hoeselt, België, biedt diensten aan binnen de transportsector, met name gericht op vrachtwagens en gerelateerde diensten. De ontdekking van de aanval op 11 september 2025 bevestigde dat de systemen van Menten Truck Service waren getroffen, waardoor bedrijfsprocessen tijdelijk werden verstoord. De details van de aanval worden verder onderzocht door de relevante autoriteiten.

Screenshot

Bevolkingsonderzoek Nederland zal tussen 12 en 17 september 941.000 betrokkenen informeren over een datalek bij het laboratorium Clinical Diagnostics. Het datalek, dat begon in juli, bleek omvangrijker dan aanvankelijk gedacht. Gegevens van 621.000 personen zijn daadwerkelijk uitgelekt, en mogelijk zijn nog 320.000 anderen getroffen. De slachtoffers worden verdeeld in vier groepen, afhankelijk van welke dataset hun gegevens betroffen. Groep 1 ontvangt een tweede brief, Groep 2 is geïnformeerd over de tweede dataset, Groep 3 betreft deelnemers wiens gegevens niet bevestigd kunnen worden als veilig, en Groep 4 betreft oudere deelnemers uit 2017. Bevolkingsonderzoek Nederland waarschuwt de getroffen personen, die mogelijk het slachtoffer zijn van dit lek.

Bron 1

Volumex Lease, een Belgisch bedrijf dat gespecialiseerd is in het leasen van vans, trucks, tractors en trailers, is het slachtoffer geworden van een ransomwareaanval. De aanval werd ontdekt op 15 september 2025 en werd geclaimd door de Radar ransomwaregroep. Volumex Lease heeft vestigingen in Hoeselt, Fléron en Beringen, en biedt lease-oplossingen voor industriële voertuigen in België. De aanval heeft waarschijnlijk impact gehad op de bedrijfsvoering, aangezien ransomware vaak gevoelige gegevens en systemen vergrendelt. Het bedrijf is gevestigd in België en biedt zijn diensten aan via meerdere vestigingen in het land.

Screenshot

Venlogistics, een Europees vrachtvervoernetwerk, is op 15 september 2025 getroffen door een ransomwareaanval. Het bedrijf, actief in de logistieke sector, biedt diverse diensten aan, waaronder groepsvervoer, transportbegeleiding en opslag. Ze richten zich voornamelijk op het efficiënt vervoeren van gevaarlijke stoffen en dringende leveringen binnen Europa. Venlogistics beschikt over op maat gemaakte opslagmogelijkheden voor zowel korte als lange termijn. De aanval werd toegeschreven aan de Incransom ransomwaregroep, die verantwoordelijk wordt gehouden voor het verstoren van de bedrijfsvoering. Venlogistics is gevestigd in Nederland, waar het een breed scala aan transportoplossingen biedt voor klanten die behoefte hebben aan betrouwbare vervoerders en onderaannemers.

Screenshot

CAS EXhibition Partners, een bedrijf actief in de eventorganisatie en beurssector, is het slachtoffer geworden van een ransomwareaanval door de Lynx ransomwaregroep. De aanval werd ontdekt op 15 september 2025. Het bedrijf, dat zijn diensten wereldwijd aanbiedt, is gevestigd in Duitsland. De cyberaanval heeft de bedrijfsvoering verstoord en er wordt gewerkt aan het herstel van de systemen. Het incident is gemeld op de ransomware live-platform, dat de aanval heeft geïdentificeerd en geclassificeerd.

Screenshot

Shipyard Ferus Smit, een gerenommeerd scheepsbouwbedrijf gevestigd in Westerbroek, Groningen, is op 16 september 2025 het slachtoffer geworden van een ransomware-aanval door de Warlock ransomwaregroep. Het bedrijf, dat al meer dan 100 jaar actief is in de scheepsbouw, richt zich op de productie van algemene vracht- en bulk schepen, tankers en speciaal ontworpen schepen. Met twee bouwlocaties in Westerbroek (Nederland) en Leer (Duitsland) en een medewerkersbestand van 200 personen, bouwt het jaarlijks tussen de 6 en 8 schepen. Ferus Smit heeft altijd geprioriteerd in-house ontwerp en engineering om de kwaliteit van hun producten te waarborgen. De aanval heeft geleid tot een volledige gegevensinbreuk en het bedrijf is momenteel bezig met het herstellen van de schade en versterken van hun digitale beveiliging.

Screenshot

Jansen Furniture, opgericht in 1981 en gevestigd in Gaanderen, Gelderland, is een producent van luxe meubels en accessoires voor een verfijnde levensstijl. Het bedrijf staat bekend om zijn vakmanschap, met hooggekwalificeerde ontwerpers en ambachtslieden die hoogwaardige meubels vervaardigen, waaronder stoelen, banken en tafels van mahonie, essen en wit eikenhout. Het gebruik van exotische houtfineer, elegante marmer, brons hardware en kunstzinnige details zoals handbeschildering, houtsnijwerk en marqueterie zijn kenmerkend voor de ontwerpen van Jansen Furniture. Op 16 september 2025 werd ontdekt dat Jansenfurniture.com het slachtoffer is geworden van een ransomware-aanval, uitgevoerd door de Imncrew ransomwaregroep. Het bedrijf heeft tussen de 501 en 1.000 medewerkers en richt zich op het aanbieden van luxe op maat gemaakte meubels.

Screenshot

Er is melding gemaakt van een mogelijk datalek bij het bedrijf Vurbis. De informatie die is gelekt, zou betrekking hebben op 86.000 gebruikers, waarbij gevoelige gegevens zoals e-mailadressen, telefoonnummers, bedrijfsinformatie en mogelijk andere persoonlijke gegevens zijn blootgesteld. De gegevens zouden in handen zijn van een persoon die toegang heeft tot de informatie en deze aanbiedt voor een prijs. Daarnaast wordt er gesuggereerd dat Vurbis' klantenservice en beveiligingsmaatregelen mogelijk niet adequaat zijn, aangezien meerdere pogingen om contact op te nemen zonder succes zijn gebleven. De gegevens zijn gepromoot op een forum, waarbij de prijzen voor toegang tot deze gegevens zijn vastgesteld op $100. De informatie bevat ook aanwijzingen van een MD5-hash voor wachtwoorden, wat wijst op een beveiligingslek.

Vurbis is een IT-dienstverlener en consultancybedrijf gevestigd in Den Bosch, Nederland, opgericht in 2015. Het bedrijf biedt cloudgebaseerde B2B-integratieoplossingen, met een focus op e-procurement en PunchOut-technologieën zoals cXML en OCI. Vurbis levert maatwerkoplossingen voor online applicaties zoals eCommerce, CMS en procurement-systemen. Door meer dan 20 jaar ervaring in de industrie is het in staat om zowel oude als nieuwe systemen te integreren. Het bedrijf werkt met de SCRUM-methode binnen een agile ontwikkelingsomgeving om snel en flexibel oplossingen te bieden. Vurbis heeft 11-50 medewerkers en staat bekend om zijn flexibele werkplekken, waardoor medewerkers vanuit verschillende landen kunnen werken. De specialismen van Vurbis omvatten onder andere Magento PunchOut, WooCommerce PunchOut, en SAP SRM PunchOut.

Screenshot

Op 20 september 2025 werden Brussels Airport, Berlijn Airport en Heathrow Airport getroffen door een cyberaanval, die de check-in- en boardingprocessen verstoorde. Hackers richtten zich op Collins Aerospace, de leverancier van het systeem voor de luchthavenoperaties, waaronder het Multi-User System Environment (MUSE), dat door meerdere luchtvaartmaatschappijen wordt gebruikt. Als gevolg hiervan moesten de luchthavens overstappen op handmatige procedures, wat leidde tot vertragingen en annuleringen van vluchten. Op Brussels Airport werden negen vluchten geschrapt en vijftien vertraagd, terwijl de luchthaven 35.000 vertrekkende passagiers verwachtte. Luchtvaartmaatschappijen adviseerden passagiers om de vluchtstatus vooraf te controleren. De getroffen dienstverlener werkt aan een oplossing, maar de verstoringen blijven merkbaar. Ondanks de problemen op Brussels Airport, zijn er op andere luchthavens zoals Schiphol geen storingen gemeld.

De recente cyberaanval op Collins Aerospace, waardoor het MUSE-systeem op onder meer Brussels Airport uitviel, is nog niet toegeschreven aan een specifieke ransomwaregroep. Collins Aerospace en moederbedrijf RTX spreken slechts van een “cyber-related disruption” zonder verdere details over de herkomst van de aanval. Ook betrokken luchthavens hebben geen aanwijzingen gedeeld over mogelijke daders. In de media wordt verwezen naar een incident in 2023 waarbij de groep BianLian gegevens van Collins Aerospace wist te lekken, maar er is geen bewijs dat dit verband houdt met de huidige verstoring. Daarmee blijft vooralsnog onduidelijk welke actoren verantwoordelijk zijn. Experts benadrukken dat officiële attributie doorgaans pas later volgt, na verder forensisch onderzoek of eventuele claims van criminele groeperingen. Tot die tijd blijft de aanval geclassificeerd als een ernstige, maar nog niet toegeschreven cyberaanval.

In juli 2025 werd Bevolkingsonderzoek Nederland getroffen door een cyberaanval waarbij ransomwaregroep Nova toegang kreeg tot gevoelige patiëntgegevens. Het datalek, pas in september openbaar gemaakt, betreft informatie zoals namen, geboortedata, BSN-nummers, medische rapporten en vertrouwelijke testresultaten. Deze gegevens worden op het darkweb verhandeld, wat leidt tot risico’s op identiteitsdiefstal, medische fraude en phishing-aanvallen. Slachtoffers moeten snel hun wachtwoorden aanpassen, verdachte communicatie vermijden en hun bankrekeningen monitoren. Daarnaast wordt aangeraden om contact op te nemen met de Autoriteit Persoonsgegevens en zorgverzekeraars. Bevolkingsonderzoek Nederland heeft getroffen personen geïnformeerd en werkt samen met autoriteiten om de daders te achterhalen.

Luister discussiepodcast

Op 19 september 2025 werd een cyberaanval gericht op Collins Aerospace, een leverancier van inchecksoftware voor Europese luchthavens. De aanval veroorzaakte verstoringen op luchthavens zoals Brussels Airport, Berlin Airport en Heathrow, wat resulteerde in vluchtannuleringen en vertragingen. Brussels Airport vroeg luchtvaartmaatschappijen om de helft van de geplande vluchten te annuleren. Collins Aerospace werkt samen met de getroffen luchthavens om de software te herstellen, en heeft aangegeven dat de laatste updates bijna gereed zijn. De aard van de cyberaanval is niet openbaar gemaakt, maar het Britse National Cyber Security Centre (NCSC) is betrokken bij het onderzoek en herstel. De situatie blijft zorgen voor verstoringen op de luchthavens.

Bron 1, 2

Cadorim, een bedrijf dat gemakkelijke en veilige geldtransfers verzorgt tussen Europa en Mauritanië, is op 22 september 2025 getroffen door een ransomware-aanval uitgevoerd door de Killsec-groep. Cadorim biedt diensten aan zoals snelle overboekingen zonder extra kosten en met de beste wisselkoersen, en is actief in België en Mauritanië. Het bedrijf heeft kantoren in Brussel en Nouakchott en biedt klantenservice via WhatsApp en sociale media. De aanval leidde tot tijdelijke verstoringen op hun platform, maar had geen invloed op de kernfunctionaliteiten. Cadorim werkt nauw samen met beveiligingsexperts om de situatie te herstellen en verdere aanvallen te voorkomen. Het bedrijf heeft bevestigd dat de beveiliging van betalingen en klantgegevens niet is aangetast.

Screenshot

Minister Foort van Oosten van Justitie en Veiligheid heeft bevestigd dat Citrix-systemen van enkele rijksorganisaties recentelijk zijn gehackt. De exacte organisaties en gebruikte kwetsbaarheden zijn niet bekendgemaakt. Eerder meldde het Nationaal Cyber Security Centrum (NCSC) al dat Citrix-systemen van vitale Nederlandse organisaties waren gecompromitteerd. Hoewel de kwetsbaarheid in Microsoft SharePoint beperkte impact had, werden er bij Citrix-kwetsbaarheden sporen van compromittatie gevonden bij enkele rijksorganisaties. Er zijn mitigatiemaatregelen getroffen en nader onderzoek loopt. Tot nu toe zijn er geen aanwijzingen dat andere overheidsorganisaties getroffen zijn. Het Openbaar Ministerie was eerder al het slachtoffer van een Citrix-hack, waarvan de gevolgen nog steeds niet volledig hersteld zijn. De minister gaf aan dat de impact van de compromittatie van het OM onderwerp van lopend onderzoek is.

Bron 1

Op Brussels Airport zijn opnieuw vluchten geannuleerd als gevolg van een ransomware-aanval op Collins Aerospace, leverancier van de inchecksoftware die door meerdere Europese luchthavens wordt gebruikt. De luchthaven meldt dat circa tien procent van de vluchten vandaag niet doorgaat. Hoewel alternatieve check-inmogelijkheden worden ingezet en partners zich inspannen om zoveel mogelijk vluchten te laten vertrekken, blijft de impact merkbaar. Passagiers wordt aangeraden hun vluchtstatus vooraf te controleren. Ook andere luchthavens in Europa ervaren hinder door de aanval. Zo meldt Heathrow dat er herstelwerkzaamheden gaande zijn, terwijl Berlin Airport nog problemen ondervindt met bagageafhandeling en vertragingen, maar geen annuleringen meldt. Het Europese cyberagentschap ENISA bevestigt dat ransomware verantwoordelijk is voor de verstoringen, maar verstrekt geen nadere details. De aanval benadrukt de kwetsbaarheid van essentiële digitale systemen die cruciaal zijn voor de luchtvaartsector en internationale reizigersstromen.

Bron 1, 2

De verstoring van de check-inoperaties op Brussels Airport als gevolg van een cyberaanval op een externe dienstverlener, Collins Aerospace, is nog niet voorbij. Sinds vrijdagavond kampt de luchthaven met problemen die andere Europese luchthavens ook treffen. De cyberaanval, vermoedelijk uitgevoerd met ransomware, heeft de systemen van de check-in en de boardingsystemen vergrendeld. Als gevolg hiervan worden op dinsdag en woensdag nog steeds vluchten geannuleerd, waarbij ongeveer 10% van het totale aantal vluchten op Brussels Airport wordt getroffen. Reizigers kunnen bij luchtvaartmaatschappijen informeren naar alternatieve vluchten of terugbetalingen. Bovendien hebben gedupeerden recht op eten, drinken en eventueel een hotelovernachting. De cyberaanval heeft aanzienlijke impact op de operationele processen van de luchthaven, maar de luchtvaartmaatschappijen werken aan oplossingen voor de getroffen reizigers.

Bron 1

RTX, onderdeel van Collins Aerospace, heeft bevestigd dat de verstoringen op verschillende Europese luchthavens van afgelopen wekend het gevolg zijn van een ransomware-aanval. Het bedrijf levert software voor inchecken en bagageafhandeling die door diverse luchthavens en luchtvaartmaatschappijen wordt gebruikt. Door de aanval waren luchthavens tijdelijk niet in staat deze software te gebruiken, waardoor zij moesten terugvallen op handmatige processen, zoals papierwerk. Deze verstoringen leidden tot vluchten die werden geschrapt of vertraging opliepen. RTX ontdekte de aanval op 19 september en bevestigde dat het de Multi-User System Environment (MUSE) betrof, een systeem dat buiten hun zakelijke netwerk draait. Luchthavens en luchtvaartmaatschappijen maakten gebruik van back-ups en handmatige processen om de operatie voort te zetten. RTX verwacht geen significante financiële schade door het incident.

Bron 1

Na een inbraak op de Citrix-systemen van het Openbaar Ministerie (OM) in juli 2025, zijn de primaire systemen inmiddels hersteld. De inbraak, die werd veroorzaakt door een kwetsbaarheid in het Citrix-systeem, leidde ertoe dat het OM uit voorzorg zijn systemen offline haalde. Het OM bevestigde op 4 augustus de inbraak, waarna men werkte aan het herstel van de systemen. Inmiddels zijn alle applicaties die het strafrechtproces ondersteunen weer operationeel en kunnen gegevens weer digitaal worden uitgewisseld met ketenpartners. Desondanks zijn er nog achterstanden door de tijdelijke offline-stand van de systemen. Ook kunnen medewerkers nog niet volledig thuiswerken en zijn sommige applicaties nog niet optimaal functionerend. Het OM werkt momenteel aan het oplossen van deze problemen.

Bron 1

Op 28 september 2025 werd FysioRoadmap, een softwareleverancier voor fysiotherapiepraktijken, getroffen door een ransomware-aanval door de Nova groep. De aanval resulteerde in de diefstal van 10 GB aan gegevens, waaronder 20.000 documenten met gevoelige patiëntinformatie, zoals BSN-nummers, medische gegevens en foto’s. Dit incident heeft ernstige gevolgen voor de getroffen praktijken en hun patiënten, waaronder een verhoogd risico op identiteitsdiefstal. FysioRoadmap heeft nog niet publiekelijk aangegeven hoe ze de situatie gaan herstellen, maar het is essentieel dat ze snel reageren om verdere schade te beperken en getroffen patiënten te informeren. Dit incident benadrukt de kwetsbaarheid van de gezondheidszorgsector voor cyberdreigingen en de noodzaak voor strikte maatregelen om patiëntgegevens te beschermen.

Lees artikel

FysioRoadmap reageert op recente berichtgeving over een mogelijk datalek, waarbij de naam van het bedrijf werd genoemd. Het onderzoek heeft uitgewezen dat er geen sprake is van een hack of datalek binnen de systemen van FysioRoadmap. De servers en data van het bedrijf zijn niet gecompromitteerd. Het incident betreft waarschijnlijk een archief-omgeving van een individuele gebruiker, waar data lokaal werd opgeslagen en beheerd. FysioRoadmap biedt drie manieren van gebruik van de software, waarvan alleen de lokale archiefversie mogelijk betrokken is bij het incident. De centrale FysioRoadmap-omgevingen blijven veilig, en het bedrijf beschikt over back-ups. FysioRoadmap volgt de situatie nauwgezet op in samenwerking met experts en zal, indien nodig, verdere maatregelen treffen en communiceren. Aldus FysioRoadmap.

Bron 1

Reactie ccinfo: Ik sta aan jullie kant, maar we hebben te maken met een cyberoorlog en met professionele cybercriminele groepen die steun krijgen van statelijke actoren!

Laten we geen kritiek of mening hebben, maar samen optrekken tegen onze gezamenlijke vijand. 👊

Uit een update van FysioRoadmap blijkt dat er geen sprake is van een hack of datalek binnen hun eigen systemen. Eerder was er onduidelijkheid ontstaan over een mogelijke ransomware-aanval waarbij de naam van het platform werd genoemd. Na nader onderzoek is vastgesteld dat het incident beperkt is tot één afzonderlijke praktijk. Daar hebben derden via ongeoorloofde toegang tot inloggegevens van de RDP-archiefomgeving van die praktijk binnengedrongen. Andere klanten en gebruikers van FysioRoadmap zijn niet getroffen en er zijn geen signalen dat de centrale systemen in gevaar zijn. Het bedrijf werkt nauw samen met de getroffen praktijk en ondersteunt bij het herstel en de afhandeling van het incident. Alle data in de centrale FysioRoadmap-omgevingen is veiliggesteld. In samenwerking met Z-CERT blijft men de situatie monitoren en zullen indien nodig nieuwe updates worden gedeeld.

Bron 1

De provincie Utrecht heeft per ongeluk persoonsgegevens gelekt van tientallen mensen die betrokken zijn bij het zogenoemde wolvendossier. Het gaat om namen, e-mailadressen en in sommige gevallen telefoonnummers van circa zeventig contactpersonen, waaronder beleidsmedewerkers van gemeenten, communicatieadviseurs, juristen en boswachters. De gegevens kwamen onbedoeld terecht in een Excel-bestand dat was opgenomen bij documenten die zijn verstrekt na een verzoek op basis van de Wet open overheid (Woo). De provincie heeft de link naar het bestand inmiddels offline gehaald en de ontvanger verzocht het te verwijderen. Het is nog onduidelijk hoeveel personen het bestand hebben gedownload en hoe het precies tussen de documenten terecht is gekomen. Utrecht heeft aangekondigd melding te doen bij de Autoriteit Persoonsgegevens en onderzoekt de oorzaak. Het incident benadrukt de risico’s die gepaard gaan met het verwerken en publiceren van Woo-verzoeken.

Bron 1

In augustus 2025 zijn de gegevens van ruim een miljoen unieke gebruikers buitgemaakt bij het Italiaanse modehuis Giglio. De gestolen informatie bevat e-mailadressen, namen, telefoonnummers en fysieke adressen en is opgedoken in een bekende database voor datalekken. Omdat Giglio via zijn internationale webshop ook klanten in België en Nederland bedient, is het aannemelijk dat ook gebruikers uit onze regio getroffen kunnen zijn. Wat het incident extra zorgwekkend maakt, is dat Giglio niet reageerde op herhaaldelijke pogingen om hen hierover te informeren, waardoor onduidelijk blijft of er adequate maatregelen zijn genomen. Voor betrokken klanten kan dit leiden tot misbruik van persoonlijke gegevens, bijvoorbeeld via phishing of identiteitsfraude. Deskundigen adviseren daarom alert te blijven op verdachte communicatie, sterke wachtwoorden te gebruiken en waar mogelijk tweestapsverificatie in te schakelen. Het incident onderstreept het belang van transparantie en snelle respons bij datalekken.

Bron 1

De Fraudehelpdesk waarschuwt voor een nieuwe golf aan malafide e-mails die zogenaamd van ABN Amro afkomstig zijn. Waar phishingmails doorgaans proberen om inloggegevens of persoonlijke informatie te stelen, is deze campagne anders: slachtoffers die op de meegestuurde link klikken, installeren direct malware op hun computer of telefoon. Deze schadelijke software kan derden toegang geven tot gevoelige gegevens, waaronder bankinformatie. De Fraudehelpdesk adviseert ontvangers uitdrukkelijk om niet op de link te klikken en de berichten onmiddellijk te verwijderen. Mensen die dit toch hebben gedaan, wordt aangeraden de internetverbinding te verbreken en hun apparaat door een expert te laten controleren. Totdat het apparaat veilig is verklaard, mogen er geen bankzaken worden uitgevoerd. Daarna is het essentieel om alle wachtwoorden te wijzigen. Hoewel verdere details over de malware ontbreken, benadrukt de waarschuwing de groeiende dreiging van phishingcampagnes die direct op infectie zijn gericht.

Bron 1

Eind augustus 2025 is een nieuwe phishingcampagne ontdekt die zich richt op hoteliers en verhuurders van vakantieaccommodaties. Criminelen kochten gesponsorde advertenties in zoekmachines zoals Google en gebruikten typosquatting op namen van bekende platforms, waaronder SiteMinder en het Nederlandse bedrijf RoomRaccoon uit Breda. Hierdoor verschenen valse websites vaak boven de echte zoekresultaten, waardoor de kans op slachtoffers sterk toenam.

Hotels, B&B’s en verhuurders in Nederland en België lopen hierdoor direct risico, omdat RoomRaccoon en soortgelijke platforms hier veel worden gebruikt. Slachtoffers die op de nep-advertenties klikten, kwamen terecht op nagemaakte inlogpagina’s die nauwelijks te onderscheiden waren van de originele diensten. Daarbij werden niet alleen inloggegevens buitgemaakt, maar ook eenmalige codes voor multi-factor authenticatie, waardoor volledige accounts konden worden overgenomen.

Onderzoekers vonden sporen die wijzen op Russische betrokkenheid. De campagne is bijzonder gevaarlijk door de combinatie van malvertising, real-time monitoring en geavanceerde data-exfiltratie.

Bron 1

Cybercriminelen maken steeds vaker misbruik van legitieme e-mailmarketingplatformen om geavanceerde phishingaanvallen uit te voeren. Dit vormt ook een risico voor Belgische en Nederlandse bedrijven en hun klanten, aangezien veel organisaties in deze landen gebruikmaken van diensten zoals Klaviyo en Drip.

Door betrouwbare klik-trackingdomeinen en omleidingsservices van deze platforms te gebruiken, weten aanvallers hun schadelijke links te verbergen achter een vertrouwd uiterlijk. Hierdoor kunnen phishingmails makkelijker detectiesystemen omzeilen en wekken ze meer vertrouwen bij slachtoffers.

De aanvallen maken gebruik van overtuigende lokmiddelen, zoals neppe voicemailmeldingen, DocuSign-documenten of betalingsverzoeken. Daarbij combineren de criminelen klassieke phishingtechnieken met moderne ontwijkingsmethoden, zoals CAPTCHA-controles, gecodeerde omleidingen en misbruik van cloudservices van Amazon en Cloudflare. Ook worden persoonlijke phishingpagina’s dynamisch opgebouwd met bedrijfslogo’s en gegevens om slachtoffers extra te misleiden.

Omdat de infrastructuur afkomstig is van legitieme diensten, zijn traditionele blokkademethoden minder effectief. Experts benadrukken daarom de noodzaak van gedragsanalyse en machine learning om deze steeds verfijndere dreigingen tijdig te detecteren.

Bron 1

Onderzoekers signaleren een sterke toename van verdachte domeinregistraties die inspelen op de komende FIFA Wereldbeker 2026. Cybercriminelen zetten websites op die lijken op officiële ticketverkopers, merchandiseplatforms of livestreamdiensten, met als doel gebruikersgegevens, betaalinformatie en inloggegevens te stelen. Al meer dan 498 nep-domeinen zijn ontdekt, vaak geregistreerd bij bekende aanbieders of via goedkope extensies als .online en .shop. Sommige domeinen worden hergebruikt van eerdere sportevenementen, wat opsporing bemoeilijkt.

Voor Belgische en Nederlandse fans is dit direct relevant: wie online zoekt naar tickets of reispakketten voor het WK kan gemakkelijk op zulke frauduleuze websites belanden. Bezoekers lopen dan risico op phishing, financiële fraude en infecties met geavanceerde malware. Deze schadelijke software wordt slim verborgen in het geheugen en communiceert via reguliere internetkanalen, waardoor detectie lastig is.

Experts benadrukken dat proactieve monitoring en snelle blokkades cruciaal zijn om fans en organisaties te beschermen tegen deze voorbereide cyberaanvallen.

Bron 1

Securitybedrijf Zscaler is getroffen door een datalek waarbij gegevens van een onbekend aantal klanten zijn buitgemaakt. Het gaat om namen, zakelijke e-mailadressen, telefoonnummers, functietitels, locatiegegevens, licentie-informatie en de inhoud van bepaalde supportcases. De inbreuk ontstond via Salesloft, dat samenwerkt met Salesforce, een veelgebruikt CRM-systeem. Aanvallers wisten tokens te stelen die de koppeling tussen de chatapplicatie Drift en Salesforce mogelijk maken. Met deze tokens konden zij toegang krijgen tot klantomgevingen, waaronder die van Zscaler zelf. Volgens Zscaler zijn de gestolen gegevens mogelijk bruikbaar voor phishing- en social engineering-aanvallen, waarvoor het bedrijf zijn klanten nu waarschuwt. Eerder meldde Google dat dezelfde aanvalsmethode ook toegang gaf tot Workspace-accounts, wat de impact van de aanval verder onderstreept. Het incident benadrukt de kwetsbaarheid van geïntegreerde systemen en de risico’s van supply-chain-aanvallen.

Omdat Zscaler ook klanten in Nederland en België heeft en veel organisaties in onze regio gebruikmaken van Salesforce en vergelijkbare CRM-systemen, is het risico op phishing en misbruik van de gelekte gegevens ook hier aanwezig.

Bron 1

Jaguar Land Rover (JLR) heeft bevestigd dat een cyberaanval de productie en verkoop van nieuwe voertuigen ernstig heeft ontregeld. Het bedrijf spreekt van een “cyber-incident” en besloot uit voorzorg de systemen proactief uit te schakelen om verdere schade te voorkomen. Momenteel werkt JLR aan het gecontroleerd herstarten van de applicaties. Volgens de fabrikant zijn er vooralsnog geen aanwijzingen dat klantgegevens zijn buitgemaakt, maar de impact op de bedrijfsvoering is aanzienlijk.

De aanval begon afgelopen zondag en werd ontdekt terwijl die nog gaande was. Hierdoor werden productielijnen stilgelegd en konden dealers geen nieuwe voertuigen registreren. In de fabriek in Merseyside werd personeel naar huis gestuurd, terwijl anderen via e-mail te horen kregen niet naar het werk te hoeven komen. Het bedrijf verwacht dat de operaties tegen het einde van de week weer grotendeels zullen zijn hersteld, maar erkent dat de verstoring groot is.

Bron 1, 2

Securitybedrijf Palo Alto Networks heeft bekendgemaakt dat klantgegevens zijn buitgemaakt door een datalek in hun Salesforce-omgeving. De gestolen informatie betreft voornamelijk contactgegevens, interne accountdata en basisinformatie over supportcases. Voor een beperkt aantal klanten is mogelijk gevoeligere data betrokken, en deze partijen worden individueel geïnformeerd. Het exacte aantal getroffen klanten is niet bekend.

De aanval vond plaats doordat criminelen bij softwarebedrijf Salesloft toegang kregen tot tokens die gebruikt worden voor de koppeling tussen chatbot Drift en Salesforce. Via deze weg konden zij ook binnendringen in de omgeving van Palo Alto Networks. Google waarschuwde eerder al dat op deze manier grote hoeveelheden data zijn gestolen bij verschillende organisaties. Volgens Palo Alto Networks zijn honderden klanten van Salesloft door deze aanval geraakt. Eerder meldde ook securitybedrijf Zscaler dat klantgegevens via dezelfde methode zijn buitgemaakt.

Palo Alto Networks levert ook in België en Nederland veel beveiligingsoplossingen aan organisaties, waardoor dit incident eveneens relevant is voor bedrijven in de Benelux.

Bron 1

De Consumentenbond uit stevige kritiek op de identiteitscontroles die grote online platforms zoals Airbnb, LinkedIn, Ryanair en Tinder hanteren. Volgens de organisatie zijn veel van deze verificaties onnodig en brengen ze aanzienlijke risico’s mee voor de privacy van consumenten. Bij LinkedIn vindt de bond het zorgelijk dat gebruikers worden aangespoord om biometrische gegevens te delen in ruil voor meer profielbezoeken. Ook Tinder wordt genoemd, omdat biometrische data na verificatie lang bewaard blijven en toegankelijk kunnen zijn voor Amerikaanse autoriteiten via de zogeheten Cloud Act. Ryanair verplicht als enige luchtvaartmaatschappij uitgebreide controles vooraf, terwijl andere maatschappijen zonder dergelijke procedures kunnen werken. Dat roept vragen op over de noodzaak en rechtmatigheid van deze gegevensverwerking. Airbnb krijgt kritiek op de gebrekkige instructies rond de uitvoering van de controles. De Consumentenbond adviseert consumenten terughoudend te zijn met het delen van gevoelige informatie en roept de platforms op veiliger alternatieven te ontwikkelen.

Bron 1

Een nieuwe variant van de ClickFix-aanval doet zich voor als een AnyDesk-installatie om de infostealer MetaStealer te verspreiden. Slachtoffers worden via een valse Cloudflare-controle naar het Windows-protocol search-ms gelokt. In plaats van de klassieke Run-box opent dit File Explorer naar een kwaadaardige SMB-share, waar een LNK-bestand “Readme Anydesk.pdf.lnk” automatisch draait. Het script haalt zowel de echte AnyDesk-installer (voor schijn van legitimiteit) als een “PDF” binnen die feitelijk een MSI is. Die wordt stil geïnstalleerd met msiexec en verwerkt de hostnaam in de download-URL. De MSI pakt ls26.exe uit, die MetaStealer start en sporen opruimt. Dit raakt ook Belgische en Nederlandse gebruikers, omdat het misbruik maakt van universele Windows-functies en een breed gebruikte remote tool. Door legitieme Windows-onderdelen en protocolhandlers te misbruiken, blijft de aanval lang onder de radar. Advies: beperk protocolhandlers (zoals search-ms), log en blokkeer LNK’s vanaf SMB-shares en beoordeel stille MSI-installaties extra kritisch.

Bron 1

TinkyWinkey is een geavanceerde Windows-keylogger die sinds juni 2025 opduikt en zowel organisaties als particulieren treft. Dit is relevant voor Belgische en Nederlandse lezers omdat de aanval niet regio-gebonden is en standaard Windows-omgevingen raakt. De malware combineert een persistente Windows-service (“Tinky”) met een geïnjecteerde DLL om onzichtbaar te blijven. Via de Service Control Manager start de service automatisch en lanceert in de actieve sessie het keyloggingproces met CreateProcessAsUser. De keylogger gebruikt een low-level hook (WH_KEYBOARD_LL) om alle toetsaanslagen te onderscheppen, koppelt die aan het actieve venster en detecteert dynamisch layoutwissels via HKL, zodat meertalige invoer nauwkeurig is te reconstrueren. Voor extra stealth injecteert TinkyWinkey zijn DLL in een vertrouwd proces (vaak explorer.exe) met VirtualAllocEx en CreateRemoteThread/LoadLibraryW, waardoor veel endpointbeveiliging wordt omzeild. Het resultaat is een moeilijk te detecteren tool voor spionage en diefstal van inloggegevens, met directe impact op AVG/GDPR-risico’s. Dit past in de categorie Dreigingen.

Bron 1

StealC v2 is een doorontwikkelde infostealer in een MaaS ecosysteem, met builder en bedieningspaneel, die sinds 2025 sterk is verbeterd in stealth en datadiefstal. Verspreiding verloopt via Facebook en Messenger met dringende berichten over schendingen en verwijdering van accounts, slachtoffers klikken op nep bezwaar links of downloaden bestanden, waarna de malware in stilte draait. De stealer steelt browserwachtwoorden, sessiecookies, VPN gegevens, cryptowallets en maakt schermafbeeldingen, door token diefstal wordt MFA omzeild. Dankzij loader functies kan extra malware of ransomware worden geplaatst, waardoor accounts, advertentietegoeden en merkreputatie worden misbruikt. Bedrijven en consumenten lopen wereldwijd risico, social media vormt een schaalbaar aanvalsoppervlak, verdediging vraagt bewustwording, sterkere accountbeveiliging en snelle respons.

Download pdf

Het Belgisch Centrum voor Cybersecurity waarschuwt voor een lopende campagne waarin nep‑PDF‑editors en “Manual Finder”-apps via opvallende advertenties en misleidende zoekresultaten malware verspreiden. Met één klik wordt een ogenschijnlijk legitieme app geïnstalleerd die inloggegevens steelt en Windows-apparaten als proxy misbruikt. De infectie kan weken onopgemerkt blijven en leidt tot accountovernames, verzwakte beveiliging en vervolgaanvallen. Dit raakt zowel particulieren als organisaties in België en Nederland. Aanbevolen acties zijn het gebruik van up-to-date antivirus of EDR met gedragsanalyse, het afdwingen van application allowlisting en controle op codeondertekening, het toepassen van multifactor­authenticatie en zero trust, en het trainen van gebruikers om alleen via officiële kanalen software te downloaden en afwijkend systeemgedrag direct te melden. Controleer je omgeving op bekende indicatoren van compromittering. Bij bevestigde besmetting moeten alle credentials worden gereset, MFA- en sessietokens worden ingetrokken en het eindpunt schoon worden hersteld of opnieuw geïnstalleerd. Meld vermoedelijke incidenten bij de bevoegde instanties in België of Nederland.

Bron 1

Cyberbeveiligingsonderzoekers hebben een nieuwe, uiterst stealthy backdoor onthuld, genaamd MystRodX. Deze malware, die al sinds januari 2024 actief lijkt te zijn, maakt gebruik van geavanceerde encryptie en DNS/ICMP-pakketten om verbinding te maken met de command-and-control (C2)-server en verdere opdrachten te ontvangen. MystRodX valt op door zijn flexibiliteit en gebruik van verschillende netwerkprotocollen zoals TCP en HTTP voor communicatie, en de keuze tussen plaintext of AES-encryptie voor beveiliging. De backdoor heeft een 'wake-up mode', waardoor het inactief kan blijven totdat het geactiveerd wordt door specifiek geconfigureerde netwerkverkeer. Dit maakt het moeilijker om de aanwezigheid van de malware te detecteren. De malware kan via een dropper worden verspreid en bevat meerdere componenten, waaronder een launcher en een ‘chargen’ backdoor. Onderzoekers waarschuwen voor de geavanceerde technieken die deze backdoor gebruikt om onder de radar van traditionele beveiligingssystemen te blijven.

Bron 1

Cloudflare is slachtoffer geworden van een datalek door een supply-chain aanval die verband houdt met de compromittering van Salesloft Drift. Aanvallers kregen toegang tot een Salesforce-omgeving die Cloudflare gebruikte voor klantondersteuning, waarbij 104 API-tokens werden buitgemaakt. De diefstal vond plaats tussen 12 en 17 augustus, na een verkenningsfase op 9 augustus. Hoewel geen verdachte activiteiten met de tokens zijn gedetecteerd, heeft Cloudflare ze preventief ingetrokken.

De gestolen gegevens betroffen vooral klantcontactinformatie en inhoud van supportcases, waarin soms ook gevoelige data zoals toegangsgegevens waren opgenomen. Het bedrijf waarschuwt klanten om gedeelde credentials direct te vervangen. Dit is ook relevant voor Belgische en Nederlandse organisaties, aangezien veel bedrijven in onze regio gebruikmaken van Cloudflare en Salesforce. Daardoor kunnen ook zij indirect geraakt zijn of verhoogde risico’s lopen.

Cloudflare benadrukt dat de aanval vermoedelijk deel uitmaakt van een bredere campagne waarbij honderden organisaties wereldwijd zijn getroffen. Eerder werden ook bedrijven als Google, Cisco en Allianz slachtoffer van soortgelijke aanvallen, vaak uitgevoerd door de groep ShinyHunters.

Bron 1

Cloudflare heeft onlangs de grootste tot nu toe geregistreerde volumetrische DDoS-aanval geblokkeerd, die een piek bereikte van 11,5 terabit per seconde. Bij dit type aanval proberen cybercriminelen servers en netwerken te overbelasten met enorme hoeveelheden dataverkeer, waardoor legitieme gebruikers geen toegang meer hebben tot diensten. Volgens Cloudflare duurde de aanval ongeveer 35 seconden en kwam het verkeer uit een combinatie van IoT-apparaten en verschillende cloudproviders. Eerder werd ten onrechte gemeld dat vooral Google Cloud de bron was, maar dit werd later gecorrigeerd.

De aanval volgt op eerdere recordpogingen, waaronder een aanval van 7,3 Tbps in juni en een van 3,8 Tbps in oktober 2024. De schaal en frequentie van DDoS-aanvallen nemen sterk toe: sinds begin 2025 is er al een stijging van meer dan 500% in netwerklaagaanvallen. Voor organisaties in Nederland en België, die vaak afhankelijk zijn van Cloudflare en vergelijkbare diensten, toont dit aan hoe essentieel het is om DDoS-bescherming en digitale weerbaarheid op orde te hebben.

Bron 1

Criminelen hebben een kunstmatige intelligentie (AI)-tool genaamd HexStrike AI ingezet om kwetsbaarheden in Citrix-systemen snel te exploiteren. De tool, oorspronkelijk ontwikkeld voor red-teaming en bug bounty-jachten, wordt nu gebruikt door aanvallers om beveiligingslekken in Citrix-software binnen een week na bekendmaking te misbruiken. HexStrike AI ondersteunt tientallen AI-agents en integraties die automatiseren wat vroeger handmatig werd uitgevoerd, waardoor de exploitatie van kwetsbaarheden sneller en op grotere schaal plaatsvindt. Dit verkort de tijd tussen de publicatie van kwetsbaarheden en de massale exploitatie ervan, wat ernstige gevolgen heeft voor de beveiliging van systemen wereldwijd. De aanvalsmethoden maken gebruik van AI-gestuurde automatisering, die niet alleen de inspanningen vergemakkelijkt, maar ook herhaalde pogingen tot exploitatie mogelijk maakt totdat deze succesvol zijn.

Bron 1

TinyLoader is een nieuwe malware die zich verspreidt binnen Windows-omgevingen door netwerkshares en vervalste snelkoppelingen te misbruiken. Deze malware, die voor het eerst werd gedetecteerd eind augustus 2025, installeert verschillende schadelijke payloads zoals RedLine Stealer en DCRat, die geïnfecteerde machines omzetten in platforms voor het stelen van inloggegevens, het verkrijgen van externe toegang en het kapen van cryptocurrency. TinyLoader maakt gebruik van netwerkshares om zich te verspreiden, waarbij het zichzelf als een onschuldige "Update.exe" bestendigt en verborgen blijft door de bestandsdatum te manipuleren. Het infectieproces omvat ook social engineering via vervalste snelkoppelingen en het repliceren van de malware op verwisselbare media. TinyLoader kan zich snel verspreiden binnen zowel lokale als bedrijfsnetwerken, wat het tot een hardnekkige dreiging maakt. Beveiligingsteams wordt geadviseerd om de Windows-registerinstellingen te controleren, verdachte snelkoppelingen te inspecteren en autorun-functies te monitoren om de verspreiding van de malware tegen te gaan.

Bron 1

Geolocatie vormt een onzichtbaar maar krachtig aanvalsmiddel in de huidige cyberdreigingen. Iedere smartphoneping, inlogpoging of applicatiecheck kan een locatieprofiel opleveren dat criminelen benutten voor gerichte aanvallen. Malware kan daarbij lange tijd slapend aanwezig blijven en pas actief worden zodra het de juiste geografische omgeving bereikt, zoals destijds bij de beruchte Stuxnet-aanval. Moderne campagnes, zoals die van de Astaroth-malware, laten zien hoe geofencing wordt ingezet om specifieke landen en sectoren te treffen. Ook geavanceerde groepen als SideWinder gebruiken locatiegegevens om spearphishing en andere aanvallen te verfijnen. Traditionele maatregelen zoals VPN’s en versleuteling bieden onvoldoende bescherming, omdat aanvallers hun infrastructuur slim verdelen en zo detectie ontwijken. Effectieve verdediging vraagt om meervoudige verificatie, detectie van afwijkende locatiepatronen en het inzetten van misleidende systemen. Met de groei van IoT en AI zal het belang van locatie in cyberaanvallen alleen maar toenemen, waardoor organisaties nu hun strategie moeten versterken.

Bron 1

Er is een nieuwe ransomwaregroep geïdentificeerd, genaamd LunaLock, die zich richt op het stelen en versleutelen van gegevens van websites, met als doel losgeld te eisen. De groep heeft recentelijk een website genaamd "Artists&Clients" aangevallen, waarbij ze een losgeldbedrag van 50.000 USD eisen in Bitcoin of Monero. De cybercriminelen dreigen met het openbaar maken van gestolen gegevens, waaronder persoonsgegevens, als het losgeld niet binnen de gestelde termijn wordt betaald. Tevens wordt vermeld dat alle gestolen kunstwerken zullen worden aangeboden aan AI-bedrijven voor trainingsdoeleinden. De ransomwaregroep waarschuwt dat de politie of andere autoriteiten niet kunnen helpen en dat het niet betalen van het losgeld kan leiden tot zware gevolgen, waaronder juridische actie.

De politie waarschuwt voor toenemende gevallen van online ticketfraude, vooral rondom populaire evenementen zoals concerten van Lady Gaga en Andrea Bocelli in de Ziggo Dome. In 2024 werden meer dan 4800 meldingen van ticketfraude ontvangen, met een stijging van 25% ten opzichte van het voorgaande jaar. Het aantal meldingen zal naar verwachting blijven toenemen, gezien de vele grote evenementen die gepland staan voor 2025. Ticketoplichters spelen in op de schaarste van populaire kaarten en bieden vervalste of ongeldige tickets aan. Naast concerten zijn ook evenementen zoals het Amsterdam Dance Event en grote sportwedstrijden vaak doelwit van oplichters. De politie adviseert om tickets alleen te kopen via erkende en betrouwbare kanalen om oplichting te voorkomen.

Bron 1

Onderzoekers hebben een nieuwe Python-gebaseerde malware ontdekt, genaamd Inf0s3c Stealer, die op geavanceerde wijze data steelt van Windows-systemen. Deze stealer maakt gebruik van Discord-kanalen om buitgemaakte gegevens ongemerkt weg te sluizen, waardoor detectie door beveiligingssystemen bemoeilijkt wordt. De malware verzamelt systematisch systeeminformatie, gebruikersgegevens, browserwachtwoorden, cookies, Wi-Fi-sleutels, cryptowallets en zelfs sessies van gamingplatforms als Steam en Epic Games.

Bij uitvoering voert de malware PowerShell-commando’s uit om een gedetailleerd profiel van het slachtoffer te maken. Gegevens worden georganiseerd in tijdelijke mappen en daarna als versleutelde RAR-bestanden via Discord verstuurd. Dankzij compressie, obfuscatie en anti-analysefuncties, waaronder anti-VM-technieken en het blokkeren van antiviruswebsites, weet de malware langdurig onder de radar te blijven. Daarnaast kopieert Inf0s3c Stealer zichzelf naar de Windows Startup-map als vermomde screensaver, wat zorgt voor blijvende aanwezigheid op het systeem.

Bron 1

De recente opkomst van de RapperBot-botnet heeft wereldwijd bezorgdheid gewekt. Het richt zich op kwetsbare netwerkvideo recorders (NVR's) en andere randapparaten, die in een fractie van een seconde worden geïnfecteerd en vervolgens worden gebruikt voor Distributed Denial-of-Service (DDoS)-aanvallen. De aanvallers maken gebruik van verouderde apparatuur en exploiteren een pad-traversal-kwetsbaarheid in de webinterface van de apparaten, waarmee ze toegang krijgen tot de configuratiebestanden en kwetsbare toestellen kunnen infiltreren. Nadat de apparaten zijn geïnfecteerd, sturen ze massale hoeveelheden dataverkeer naar nietsvermoedende doelwitten, wat leidt tot ernstige verstoringen van diensten. De botnet bereikt snel een capaciteit van meer dan 7 terabits per seconde, en de aanvallen richten zich voornamelijk op grote cloudproviders en sociale mediaplatformen. De techniek gebruikt een op NFS gebaseerde malware die zich zonder sporen in het geheugen van het apparaat installeert, wat het moeilijk maakt om het te detecteren.

Bron 1

Cybercriminelen maken gebruik van Grok, de ingebouwde AI-assistent van X (voorheen Twitter), om de beperkingen van linkplaatsingen te omzeilen die het platform heeft ingesteld om kwaadaardige advertenties te verminderen. In plaats van links direct in advertenties te plaatsen, verbergen ze deze in een onopgemerkte metadata-veld, zodat X de links niet blokkeert. Vervolgens stellen ze Grok via een reactie op een advertentie een vraag, zoals "waar komt deze video vandaan?" of "wat is de link naar deze video?". Grok haalt de verborgen link uit de metadata en reageert met een klikbare link, die gebruikers naar een kwaadaardige site leidt. Door de betrouwbaarheid van Grok wordt de link verder gepromoot, wat leidt tot een grotere verspreiding van de schadelijke inhoud. Deze techniek, "Grokking" genoemd, kan in sommige gevallen leiden tot miljoenen vertoningen van schadelijke advertenties.

Bron 1

Hackers maken steeds vaker gebruik van de nieuwe AI-gestuurde offensieve beveiligingsframework, HexStrike-AI, om snel n-day kwetsbaarheden te exploiteren. Dit werd waargenomen door CheckPoint Research, die meldde dat er op het dark web veel gesproken werd over de inzet van HexStrike-AI, met name voor het misbruiken van de recent ontdekte Citrix kwetsbaarheden zoals CVE-2025-7775, CVE-2025-7776 en CVE-2025-8424. Het tool, oorspronkelijk ontwikkeld voor ethisch hacken, biedt geautomatiseerde penetratietests en het ontdekken van kwetsbaarheden. Het heeft echter ook de interesse van cybercriminelen gewekt, die het gebruiken om kwetsbare systemen snel aan te vallen, wat de tijd tussen de ontdekking van een kwetsbaarheid en de exploitatie ervan verkort. CheckPoint waarschuwt dat deze AI-gestuurde aanvallen de noodzaak voor snelle patching benadrukt en dat organisaties hun beveiliging moeten versterken om dit soort dreigingen te weerstaan.

Bron 1

Workiva, een toonaangevende aanbieder van cloud-gebaseerde SaaS-oplossingen, heeft zijn klanten geïnformeerd over een datalek veroorzaakt door een aanval op een derde partij, Salesforce. Cybercriminelen kregen toegang tot het klantenbeheer systeem van Workiva via een gekoppelde applicatie. Het gestolen materiaal omvatte beperkte zakelijke contactgegevens zoals namen, e-mailadressen, telefoonnummers en inhoud van ondersteuningsverzoeken. De gegevens in het Workiva-platform zelf werden echter niet aangetast. Het bedrijf waarschuwde klanten om alert te blijven, aangezien de gestolen informatie kan worden gebruikt voor spear-phishingaanvallen. Deze aanval maakt deel uit van een bredere golf van Salesforce-gerelateerde datalekken, waarbij de ShinyHunters-extortiongroep betrokken is, die eerder ook grote bedrijven zoals Google en Cisco heeft getroffen.

Bron 1

Onderzoekers hebben twee kwaadaardige npm-pakketten ontdekt die Ethereum-smart contracts misbruiken om schadelijke acties uit te voeren op gecompromitteerde systemen. Deze pakketten werden in juli 2025 geüpload naar de npm-registry en gebruiken slimme contracten om kwaadaardige commando’s te verbergen die malware downloaden op doelwitten. De software, die bedoeld is om crypto-ontwikkelaars te treffen, werd verspreid via GitHub-projecten die ogenschijnlijk legitiem waren, maar in werkelijkheid kwetsbare code bevatte. Nadat een van de pakketten werd gebruikt in een project, downloadde het een schadelijke payload van een server die door de aanvallers werd gecontroleerd. Het gebruik van Ethereum-smart contracts voor het verbergen van kwaadaardige payload-urls is een nieuwe techniek die aantoonbaar wordt toegepast door cybercriminelen om detectie te vermijden. Ontwikkelaars worden aangespoord om pakketten en hun makers goed te controleren voordat ze deze in hun projecten opnemen.

Bron 1

Een nieuwe phishingaanval richt zich op PayPal-gebruikers door valse e-mails te versturen waarin wordt beweerd dat het profiel van de gebruiker moet worden ingesteld. De aanvallers maken gebruik van geavanceerde e-mailspoofing en psychologische manipulatie om de slachtoffers te misleiden. De e-mails lijken afkomstig van legitieme PayPal-adressen en bevatten een melding van een verdachte betaling bij Kraken.com. De slachtoffers worden naar een echte PayPal-pagina geleid, waar ze zonder het te weten hun account instellen voor een secundaire gebruiker. Dit proces geeft de aanvallers toegang tot het PayPal-account, inclusief de mogelijkheid om betalingen goed te keuren en geld over te maken. Deze techniek maakt gebruik van de legitieme functies van PayPal, waardoor traditionele phishingdetectie moeilijker wordt. De campagne is al meer dan een maand actief en richt zich op miljoenen PayPal-gebruikers wereldwijd.

Bron 1

De XWorm malware heeft zich sinds zijn opkomst in 2025 verder ontwikkeld en maakt gebruik van een geavanceerde infectieketen die moeilijk te detecteren is. Het begint met .lnk-bestanden die via phishing worden verspreid, die PowerShell-scripts uitvoeren in plaats van verwachte documenten. Deze scripts downloaden de "discord.exe"-bestanden die vervolgens verschillende schadelijke componenten zoals main.exe en system32.exe ontgrendelen. Het systeem voert checks uit om te voorkomen dat het in een sandbox of virtuele machine draait, waardoor het zich enkel op echte systemen richt. Eenmaal geïnstalleerd, past de malware instellingen aan om de verdediging van het systeem te verzwakken, zoals het uitschakelen van de Windows Firewall en het omzeilen van PowerShell-beperkingen. Deze technieken maken XWorm bijzonder moeilijk te detecteren, aangezien het cryptografische technieken gebruikt om zijn payload verborgen te houden en zijn werking te verbergen.

Bron 1

MystRodX is een geavanceerd type malware dat via een dubbele activatiemethode lange tijd onopgemerkt is gebleven. Het maakt gebruik van DNS- en ICMP-pakketten om gevoelige informatie van gehackte systemen te stelen, wat het een moeilijk te detecteren dreiging maakt. Het malware werd oorspronkelijk gemaskeerd als een variant van Mirai, maar blijkt een veel complexere en stealthy C++-backdoor te zijn. MystRodX blijft vaak inactief, zonder dat het verbinding maakt met netwerkpoorten, waardoor het moeilijk te detecteren is met traditionele beveiligingstools. Het maakt gebruik van een drievoudige encryptiestrategie en kan pas actief worden na het ontvangen van een speciaal geconfigureerde DNS-query. Zodra het geactiveerd is, heeft het malware volledige toegang tot het systeem, inclusief bestandbeheer en reverse shell-functionaliteiten. Drie command-and-control-servers zijn geïdentificeerd, wat wijst op een breder gebruik van deze malware.

Bron 1

Een geavanceerde phishingcampagne heeft meer dan drie jaar lang onopgemerkt plaatsgevonden via de infrastructuren van Google Cloud en Cloudflare. De aanvallers maakten gebruik van verlopen domeinen en geavanceerde cloakingtechnieken om websites van Fortune 500-bedrijven, zoals Lockheed Martin, te repliceren. Deze nepwebsites werden gepresenteerd als legitiem, maar boden schadelijke inhoud wanneer gebruikers direct toegang kregen. De aanvallers gebruikten onder andere de HTTrack-website copier om pixel-perfecte kopieën van de sites te maken. Door hun slimme gebruik van geolocatie en gebruikersagenten konden ze zoekmachines omzeilen en zo onopgemerkt blijven. De infrastructuur omvatte meer dan 48.000 actieve virtuele hosts en was voornamelijk gehost op Google Cloud-platforms in Hong Kong en Taiwan. Het onderzoek benadrukt een zorgwekkende tekortkoming in de detectiemogelijkheden van twee van de grootste internetdienstaanbieders ter wereld.

Bron 1

TP-Link heeft gewaarschuwd voor een botnet dat kwetsbaarheden in routers uitbuit om deze te infecteren en te gebruiken voor aanvallen op Microsoft 365-accounts. De kwetsbaarheden bevinden zich in de verouderde routermodellen Archer C7 en TL-WR841N/ND, maar mogelijk zijn andere modellen ook getroffen. Aanvallers maken gebruik van twee specifieke kwetsbaarheden, waardoor ze op afstand toegang krijgen tot de routers. Via deze toegang kunnen ze de routers integreren in een botnet en deze inzetten voor password spraying-aanvallen op M365-accounts. Deze aanvallen maken gebruik van veelgebruikte wachtwoorden om toegang te krijgen tot accounts. TP-Link heeft updates uitgebracht voor de getroffen modellen, maar roept gebruikers op om naar ondersteunde routers over te stappen. Het Amerikaanse cyberagentschap CISA heeft ook gewaarschuwd voor de kwetsbaarheden.

Bron 1, 2

ESET-onderzoekers hebben een nieuwe dreigingsactor geïdentificeerd, genaamd GhostRedirector, die ten minste 65 Windows-servers in landen als Brazilië, Thailand en Vietnam heeft gecompromitteerd. GhostRedirector maakt gebruik van twee nieuwe, op maat gemaakte tools: een passieve C++ backdoor, genaamd Rungan, en een kwaadaardige IIS-module, Gamshen. De backdoor stelt aanvallers in staat om commando’s uit te voeren op de gecompromitteerde servers, terwijl Gamshen wordt ingezet voor SEO-fraude, door de zoekresultaten van Google te manipuleren ten gunste van specifieke websites, zoals goksites. De aanvallers gebruiken ook publieke exploits, zoals EfsPotato en BadPotato, om verhoogde privileges op de servers te verkrijgen. De aanvalsmethoden wijzen op een China-georiënteerde dreigingsactor. Deze aanvallen kunnen de reputatie van getroffen websites beschadigen door hen te associëren met onethische SEO-technieken.

Bron 1

Een nieuwe ransomware genaamd Dire Wolf heeft wereldwijd aanzienlijke schade aangericht bij 16 bedrijven uit verschillende sectoren, waaronder de productie, IT, en financiën. Deze ransomware maakt gebruik van geavanceerde encryptie- en anti-hersteltechnieken, waardoor slachtoffers geen toegang meer hebben tot hun versleutelde gegevens, behalve via onderhandelingen met de aanvallers. Naast het versleutelen van gegevens, verwijdert het malwarecollectief ook belangrijke herstelmechanismen, zoals systeemherstelpunten en eventlogs, wat het voor bedrijven praktisch onmogelijk maakt om het systeem te herstellen zonder de betaling van losgeld. De malware maakt gebruik van complexe versleuteling met Curve25519 en ChaCha20 en richt zich ook op kritieke processen zoals databases en virtuele omgevingen. Dire Wolf maakt gebruik van de Tox-messenger voor communicatie en heeft snel zijn werking in verschillende regio’s wereldwijd voortgezet sinds zijn opkomst in mei 2025.

Bron 1

Stealerium, een malware die in 2022 begon als een open-sourceproject op GitHub, wordt nu massaal ingezet door cybercriminelen, vooral tegen onderwijsinstellingen. De aanvallers hebben de code aangepast en geoptimaliseerd om versies te creëren zoals Phantom en Warp, die voornamelijk gericht zijn op het stelen van gevoelige informatie. De aanvallen beginnen vaak via phishingmails met urgent lijkende onderwerpen, zoals “Inschrijving voor cursus” of “Account opschorting”, die Stealerium payloads bevatten. Het malwareproces verzamelt een breed scala aan gegevens, van inloggegevens tot browsercookies en zelfs webcampshots voor mogelijke sextortion. De exfiltratie gebeurt via diverse platformen zoals Discord, Telegram en GoFile. Onderwijsinstellingen moeten alert zijn op verdachte netwerken en ongebruikelijke communicatie naar deze diensten, aangezien Stealerium geavanceerde technieken gebruikt om detectie te vermijden en persistentie te waarborgen.

Bron 1

Een enorme netwerk van illegale IPTV-diensten is ontdekt, dat draait over meer dan 1.100 domeinen en 10.000 IP-adressen. Dit netwerk heeft zich jaren lang bewezen als een krachtig instrument voor het illegaal streamen van premium content, zoals sportevenementen en abonnementdiensten, zonder de benodigde licenties. De piraten gebruiken snel wisselende domeinen en een groot aantal IP-adressen om hun sporen te verbergen, wat het moeilijk maakt om het netwerk offline te krijgen. De IPTV-bedieningspanelen draaien op aangepaste open-source software zoals Stalker Portal en Xtream UI, waardoor de beheerders honderden duizenden gelijktijdige sessies kunnen faciliteren. De aanvallers gebruiken kwetsbaarheden in controlepanelen, zoals cPanel en Stalker Portal, om backdoors te installeren en domeinen automatisch te registreren. Ondanks herhaalde pogingen om het netwerk stil te leggen, blijft het door zijn veerkrachtige structuur actief.

Bron 1

In 2025 zullen browsergebaseerde aanvallen een belangrijke dreiging vormen voor bedrijven. Aanvallers richten zich steeds meer op de applicaties die via de browser worden benaderd, aangezien het browser als toegangspunt voor bedrijfsapps fungeert. De meest voorkomende technieken zijn phishing-aanvallen die in toenemende mate via meerdere kanalen worden uitgevoerd, zoals sociale media, instant messaging en e-mail. Ook zijn er nieuwe vormen van kwaadwillende code, zoals ClickFix, die gebruikers misleiden om schadelijke opdrachten uit te voeren via browser-interfaces. Een andere zorg zijn kwaadaardige OAuth-integraties, waarbij aanvallers proberen toegang te krijgen tot bedrijfsapps door gebruikers te misleiden toestemming te geven voor schadelijke applicaties. Beveiligingsteams moeten zich richten op het detecteren van deze aanvallen direct in de browser, aangezien traditionele oplossingen vaak te traag of ineffectief zijn. Het waarborgen van veilige browsergebruik en het monitoren van browserextensies zijn cruciaal om de risico's van deze aanvallen te beperken.

Later meer hierover in een artikel op ccinfo

De beruchte LockBit ransomware-groep heeft aangekondigd de nieuwe versie 5.0 van hun software te lanceren ter gelegenheid van hun zesde verjaardag. Deze aankondiging gebeurde op het RAMP-forum, enkele maanden na de operatie "Cronos," die hun infrastructuur ernstig verstoorde. De groep beweert dat de nieuwe versie van de encryptors compleet opnieuw is geschreven, zonder vergelijkbare versies op de markt. Voor het eerst moeten nieuwe leden echter een registratiekosten van 500 dollar in cryptocurrency betalen.

LockBit lijkt zich te richten op hernieuwde invloed door actieve outreach naar de cybercriminelen gemeenschap. Dit omvat een poging om weer op het populaire XSS-forum toegelaten te worden, waar een poll is gestart over hun herintrede. Tevens is er interesse in samenwerking met andere groepen, zoals DragonForce, om gezamenlijke regels te bepalen en de marktomstandigheden te dicteren. Echter, experts blijven sceptisch over de werkelijke aard van deze comeback, aangezien de technische capaciteiten van LockBit 5.0 nog niet zijn geverifieerd.

Screenshot

Een groep hackers die zich "Scattered Lapsus$ Hunters" noemt, heeft Google via een Telegram-bericht gedreigd met het lekken van vermeend gestolen interne data, tenzij twee beveiligingsexperts, Austin Larsen en Charles Carmakal, worden ontslagen. De groep, die elementen van bekende cybercriminelen zoals Lapsu$ en ShinyHunters combineert, eist dat Google stopt met het onderzoeken van specifieke cyberdreigingen en UNC-nummergroepen. Ze richten zich in hun ultimatum op de beveiligingsteams van Google, die momenteel onderzoek doen naar verschillende geavanceerde aanvallen. Hoewel ze geen bewijs hebben geleverd van toegang tot Google's systemen, wordt de dreiging serieus genomen vanwege eerdere incidenten, zoals een inbraak bij Salesforce, waarvoor de groep verantwoordelijk wordt gehouden. Google heeft nog niet gereageerd op de eisen, maar de aanval lijkt meer gericht op het verstoren van het beveiligingsonderzoek dan op daadwerkelijke gegevensdiefstal.

Cybercriminelen gebruiken steeds geavanceerdere methoden om beveiligingssystemen te omzeilen, en het Tycoon phishing-as-a-service kit is een recent voorbeeld van deze evolutie. Dit kwaadaardige platform maakt gebruik van innovatieve technieken die schadelijke links verbergen, waardoor ze moeilijker te detecteren zijn door traditionele beveiligingssystemen. De aanvallers combineren zorgvuldig samengestelde voicemailberichten en valse notificaties van boekhoudkundige diensten om slachtoffers te lokken. Een van de meest zorgwekkende technieken is het gebruik van URL-codering, waarbij onzichtbare spaties worden toegevoegd aan webadressen, zodat deze buiten het bereik van automatische scanners vallen. Ook worden er Unicode-symbolen gebruikt die visueel lijken op gewone leestekens, maar een andere onderliggende code hebben. Bovendien maakt Tycoon gebruik van een "Redundant Protocol Prefix"-techniek, waarbij URLs worden gemanipuleerd om beveiligingsscanners in verwarring te brengen, terwijl browsers de link nog steeds interpreteren als legitiem.

Bron 1

Cybercriminelen maken gebruik van geautomatiseerde malware, genaamd Stealerium, om webcambeelden van slachtoffers te verkrijgen terwijl ze pornografie bekijken. Deze vorm van sextortion, waarbij slachtoffers worden gechanteerd met intieme beelden, is geautomatiseerd om het proces efficiënter te maken. Stealerium zoekt op de apparaten van de slachtoffers naar NSFW-inhoud, zoals pornografische websites, en maakt vervolgens een screenshot van het bureaublad en een foto via de webcam. De beelden worden via e-mail, Telegram of Discord naar de hackers gestuurd. Dit maakt het mogelijk voor criminelen om slachtoffers te chanteren met bewijs van hun seksuele voorkeuren of activiteiten. De malware werd voor het eerst in 2022 op GitHub ontdekt en is sindsdien beschikbaar voor educatieve doeleinden. Dit nieuwe gebruik van infostealer malware biedt een groter risico voor slachtoffers, aangezien het eenvoudiger wordt om te worden gegijzeld door cybercriminelen.

Bron 1

Securitybedrijf SecurityBridge heeft gemeld dat een kritieke kwetsbaarheid in SAP S/4HANA actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2025-42957, maakt het mogelijk voor aanvallers om volledige controle over het systeem te krijgen, zelfs met beperkte toegangsrechten. Deze kwetsbaarheid wordt beschouwd als een backdoor, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar komen. De impact wordt beoordeeld met een score van 9.9 op een schaal van 10. Hoewel er nog geen grootschalige aanvallen zijn waargenomen, wordt gewaarschuwd dat het eenvoudig is om een exploit te ontwikkelen voor deze kwetsbaarheid. Organisaties wordt dringend aangeraden de beveiligingsupdates die op 12 augustus zijn uitgebracht, zo snel mogelijk te installeren om verdere schade te voorkomen.

Bron 1

Op 29 augustus 2025 ontdekten analisten van Huntress een nieuwe ransomwarevariant, genaamd Obscura. Deze variant werd voor het eerst waargenomen op de domeincontroller van een slachtofferbedrijf. Het ransomware-executable werd verspreid via een Netlogon-share en werd automatisch geïnstalleerd op meerdere hosts binnen het netwerk. De ransomware maakt gebruik van geavanceerde cryptografie en steelt gegevens van het netwerk, waaronder vertrouwelijke documenten zoals personeelsgegevens en financiële informatie. Het doel van de aanvallers is om een losgeld te eisen, waarbij ze dreigen om gestolen data openbaar te maken als er geen betaling plaatsvindt. De ransomware bevat een zelfbeschermingsmechanisme en voert meerdere systematische aanvallen uit, zoals het uitschakelen van systeemherstel en het doden van essentiële processen. Obscura is een van de nieuwste varianten in een toenemend aantal ransomware-aanvallen, met vergelijkbare dreigingen zoals Crux en Cephalus. Organisaties wordt aangeraden om hun domeincontrollers goed te monitoren op verdachte activiteiten.

Bron 1

Op 4 september 2025 heeft een dreigingsactor, bekend als Manik123, een dataset van bijna 38.000 forex- en crypto-leads te koop aangeboden op een darkweb-forum. De gegevens zouden afkomstig zijn van platforms zoals Etoro, Bdswiss, Coindopan en Coinmark, en bevatten gevoelige informatie van depositanten, zoals namen, e-mailadressen, telefoonnummers, land, stortingsbedragen en datums. De dataset is gespreid over verschillende landen, waaronder Duitsland, Zweden, Nederland en Oostenrijk. De verkoop bevat informatie van gebruikers die betrokken waren bij forex- en cryptotransacties. De actie heeft de financiële sector getroffen, waarbij gegevens van meerdere brokers en hun klanten zijn gecompromitteerd. Het incident is gemeld als een datalek met een gemiddelde ernst.

Screenshot

De cyberdreigingsgroep TAG-150 heeft de remote access trojan (RAT) CastleRAT ontwikkeld, een uitbreiding van hun CastleLoader-malwareframework. CastleRAT is beschikbaar in zowel Python- als C-varianten en stelt aanvallers in staat om systeeminformatie te verzamelen, aanvullende payloads te downloaden en commando's uit te voeren via CMD en PowerShell. Sinds maart 2025 wordt CastleLoader gebruikt als toegangspoort voor verschillende malware, waaronder informatie-extractoren en andere RAT's. De infecties starten vaak via phishingcampagnes zoals "ClickFix" of frauduleuze GitHub-repositories. CastleRAT maakt gebruik van een multi-tier infrastructuur met verschillende serverlagen, en bevat ook een versie die kan loggen, screenshots maken en crypto-walletadressen kan onderscheppen. Beide versies van CastleRAT zijn geoptimaliseerd voor persistente en stealth-operaties. Deze ontwikkeling benadrukt de toenemende verfijning van de operaties van TAG-150.

Bron 1

VirusTotal heeft onlangs 44 SVG-bestanden geïdentificeerd die worden gebruikt voor phishingaanvallen gericht op de Colombiaanse rechterlijke macht. Deze bestanden bevatten een JavaScript-payload die een Base64-gecodeerde phishingpagina laadt, die zich voordoet als een officieel portaal van de Colombiaanse Openbare Aanklager. De SVG-bestanden, die via e-mail worden verspreid, bevatten technieken zoals obfuscatie en polymorfisme om antivirusscanners te omzeilen. Tot nu toe zijn 523 SVG-bestanden ontdekt, met de eerste voorbeelden die dateren van 14 augustus 2025. De aanvallen evolueren snel, waarbij de bestandsgrootte door de tijd heen afneemt. Deze phishingcampagne maakt gebruik van vervalste overheidsdocumenten en wordt steeds geavanceerder. Bovendien worden cracks voor software en technieken zoals ClickFix ingezet om macOS-systemen aan te vallen, waardoor gevoelige gegevens zoals inloggegevens en cryptocurrency-wallets kunnen worden gestolen. De ontdekte kwetsbaarheid benadrukt het toenemende risico voor macOS-gebruikers.

Bron 1, 2

In het tweede kwartaal van 2025 werden wereldwijd 10,71 miljoen aanvallen geregistreerd die gericht waren op mobiele apparaten, inclusief malware, adware en ongewenste software. Trojaanse virussen bleven de grootste dreiging, goed voor 31,69% van alle gedetecteerde bedreigingen. De meest prominente bedreigingen kwamen van de Mamont-familie van mobiele banking Trojans, die een toenemend aantal slachtoffers bleven maken. In dit kwartaal werd ook een nieuwe mobiele malware, genaamd SparkKitty, ontdekt die beelden uit de galerij steelt, met name gericht op crypto-walletherstelcodes. Daarnaast werd een DDoS-botnet ontdekt, dat via apps voor volwassenen werd opgebouwd. De activiteit van malafide apps was iets gedaald, vooral door de afname van apps die gekoppeld waren aan microkredieten. Ondanks deze daling bleef de dreiging van banking Trojans en spyware hoog. Het rapport benadrukt de noodzaak voor voortdurende waakzaamheid en verbeterde beveiliging van mobiele apparaten.

Bron 1

Een recent ontdekte cryptomining-malware maakt misbruik van de ingebouwde Windows Character Map applicatie om Windows Defender te omzeilen. Het aanvalstraject begint met een PowerShell-script dat een sterk versleutelde AutoIt-loader in het geheugen uitvoert, waardoor het geen sporen achterlaat op de schijf en veel detectiemethoden vermijdt. Het doel van de malware is om cryptocurrency te minen door een miner genaamd NBMiner te injecteren in de vertrouwde Windows-processen. Dit wordt mogelijk gemaakt door de Character Map te gebruiken, waardoor het moeilijker wordt om de kwaadaardige activiteit te detecteren. De malware zorgt voor een verhoogd CPU-gebruik en onverwachte energiekosten, wat de financiële impact benadrukt. Dit innovatieve gebruik van Windows-processen en de complexiteit van de injectie wijzen op een geavanceerde aanpak die de gebruikelijke beveiligingsmechanismen omzeilt. De malware maakt gebruik van diverse obfuscatie- en evasietechnieken om onopgemerkt te blijven.

Bron 1

Een geavanceerde cyberaanval richt zich op macOS-gebruikers door middel van de "Odyssey" informatie-stealer, die wordt verspreid via een vervalste website die lijkt op de officiële Microsoft Teams downloadpagina. Deze aanval maakt gebruik van social engineering, waarbij slachtoffers worden misleid om een kwaadaardig commando uit te voeren dat de malware activeert. De "Odyssey" stealer steelt gevoelige informatie, waaronder wachtwoorden, browserdata en cryptocurrency-walletgegevens, en exfiltreert deze naar een externe server. De malware creëert ook een persistentie-mechanisme door een backdoor in het systeem te installeren, zodat aanvallers langdurig toegang behouden. Experts adviseren gebruikers om voorzichtig te zijn met het uitvoeren van commando's in de terminal en regelmatig hun netwerkverkeer en systeembeveiliging te controleren om deze dreiging te voorkomen.

Bron 1

In september 2025 werd een geavanceerd command-and-control (C2) framework ontdekt dat de Google Calendar API's misbruikt om verborgen communicatiekanalen tussen aanvallers en gecompromitteerde systemen te creëren. Het MeetC2-framework maakt gebruik van vertrouwde cloudservices om traditionele beveiligingsmaatregelen te omzeilen, door schadelijke activiteiten te verbergen in normaal zakelijk verkeer via de goedgekeurde domeinen van Google. Dit systeem maakt gebruik van een pollingmechanisme, waarbij geïnfecteerde agents elke 30 seconden specifieke API-eindpunten van Google Calendar raadplegen. Wanneer aanvallers opdrachten willen geven, voegen ze instructies toe aan kalendergebeurtenissen, die door de geïnfecteerde systemen worden opgehaald en uitgevoerd. Dit framework maakt het moeilijker voor beveiligingsteams om de communicatie te detecteren, aangezien het zich voordoet als reguliere bedrijfsactiviteiten en geen verdachte netwerkverkeer genereert. De implementatie vereist weinig infrastructuur en maakt gebruik van de OAuth2-authenticatie van Google, wat de detectie verder bemoeilijkt.

Bron 1

In augustus 2025 werd een nieuwe botnet, NightshadeC2, ontdekt dat gebruikmaakt van een innovatieve techniek genaamd "UAC Prompt Bombing" om de beveiliging van Windows Defender te omzeilen. Het botnet maakt gebruik van C- en Python-gebaseerde payloads om persistente toegang te verkrijgen op geïnfecteerde systemen. Het infectieproces begint vaak via gemanipuleerde “ClickFix” pagina's die gebruikers verleiden om een commando uit te voeren via het Windows Run-prompt. Zodra het is uitgevoerd, wordt Windows Defender omzeild door het herhaaldelijk vragen van gebruikers om verhoogde rechten (UAC), waardoor malware componenten niet worden gescand. Na het verkrijgen van de nodige machtigingen, schrijft het botnet persistentie-gegevens in het registersysteem, zodat de malware elke keer opnieuw wordt uitgevoerd bij het opstarten van het systeem. Deze techniek maakt het botnet moeilijk detecteerbaar, zelfs door geautomatiseerde malwareanalyses, en stelt aanvallers in staat om verschillende schadelijke acties uit te voeren, zoals het stelen van inloggegevens.

Bron 1

Een nieuwe ransomwaregroep, genaamd Yurei, is op het darkweb actief geworden. Via een bericht op het platform X (voorheen Twitter) heeft onderzoeker Hyuna Lee de naam van de groep en een link naar hun Onion-domein gedeeld. Het domein lijkt deel uit te maken van een nieuwe campagne gericht op ransomware-aanvallen. Yurei is waarschijnlijk een van de nieuwste toevoegingen aan de lange lijst van cybercriminelen die het Onion-netwerk gebruiken om hun activiteiten anoniem te houden. De groep is nog in een vroege fase van bekendheid, en er zijn geen verdere details over de doelen of slachtoffers van de aanvallen op dit moment. Dit bericht biedt een waarschuwing voor potentiële dreigingen van de groep in de nabije toekomst.

Bron 1

Op het darkweb is een nieuw platform verschenen dat gratis wegwerp e-mailadressen aanbiedt. De dienst, toegankelijk via een onion-adres, profileert zich als een anonieme en tijdelijke oplossing voor communicatie. Wegwerp e-mailadressen worden vaak gebruikt om privacy te beschermen of registratie te omzeilen, maar in de praktijk trekken ze ook de aandacht van cybercriminelen. Zulke diensten maken het eenvoudig om accounts aan te maken zonder persoonlijke gegevens te verstrekken, wat ze aantrekkelijk maakt voor frauduleuze activiteiten, phishingcampagnes en de verspreiding van malware. Voor gewone gebruikers kan het nuttig lijken om hun identiteit te beschermen, maar het gebruik ervan brengt aanzienlijke risico’s met zich mee. Het bestaan van dit nieuwe platform onderstreept hoe het darkweb zich blijft ontwikkelen en steeds nieuwe middelen aanbiedt die zowel voor legitieme als malafide doeleinden kunnen worden ingezet.

De relatief onbekende ransomwaregroep Devman heeft een nieuwe aanval opgeëist waarbij maar liefst 12 terabyte aan data zou zijn buitgemaakt. Het doelwit van de aanval is vooralsnog niet bekendgemaakt, maar de groep stelt een losgeld te eisen van 91 miljoen dollar. Het gaat daarmee om een van de hoogste bedragen die de afgelopen tijd door cybercriminelen is gevraagd. Hoewel details over de aard van de gestolen bestanden ontbreken, benadrukt de omvang van de buit dat de aanvallers zich mogelijk hebben gericht op een groot bedrijf of organisatie met gevoelige informatie. Het incident illustreert opnieuw hoe agressief ransomwaregroepen tegenwoordig te werk gaan en hoe groot de financiële druk kan zijn waarmee slachtoffers worden geconfronteerd. De claim van Devman wordt op dit moment nog onderzocht en er is nog geen bevestiging van het daadwerkelijke lek.

Het slachtoffer zou s*i**gr*u.com zijn wie zou dat kunnen zijn? Iemand een idee?

Dit is wat mijn AI denkt 🤔:
Op basis van het domeinpatroon is Sinopec Group (sinopecgroup.com) de best passende grote naam. Maar jouw vuistregel “meestal 0,5% van de omzet” maakt €97 mln juist onlogisch laag voor Sinopec en onlogisch hoog voor SII/SI Group.
Dit wijst op misleiding door de aanvallers (bewust gekozen bedrag/naam) óf een andere organisatie met “…group.com” die niet direct boven water komt.

Erik Westhovens gokte schipholgroup.com, laten we hopen dat het deze niet is! 😬

Dit is wat mijn AI denkt 🤔:
• Ja, Schiphol Group zou in het domeinpatroon passen.
• Het geëiste bedrag van €97 miljoen is aanzienlijk hoger dan de “meestal 0,5%” vuistregel, maar niet onmogelijk — sommige ransomwaregroepen vragen 5–10% van de jaaromzet als ze denken dat een bedrijf een strategische/nationale waarde heeft.

Of de Spiegroup.com

Dit is wat mijn AI denkt 🤔:
Ja, het is zeer waarschijnlijk dat spiegroup.com verwijst naar SPIE Group, en dat dit het bedrijf is dat door de hackers wordt aangeduid. De eerdere ransomware-aanval in 2020 en de huidige eis van €97 miljoen passen binnen het profiel van SPIE Group. Echter, er is geen bevestiging dat deze eis daadwerkelijk is gedaan of dat er een betaling heeft plaatsgevonden.

Update 7-sep-'25
We hebben inmiddels een sterk vermoeden dat het om "Saipem Group" gaat, een Italiaans bedrijf met ook vestigingen in Nederland.

Wie het weet mag het zeggen formulier

John the Ripper Jumbo is een geavanceerde offline wachtwoordkraker die bekendstaat om zijn brede inzetbaarheid en uitgebreide functionaliteiten. De tool ondersteunt honderden verschillende typen hashes en versleutelingsmethoden en is geschikt voor gebruik op uiteenlopende besturingssystemen, processors en grafische kaarten, inclusief sommige FPGA’s. Deze veelzijdigheid maakt de software aantrekkelijk voor zowel beveiligingsonderzoekers als kwaadwillenden, omdat het efficiënt kan worden ingezet bij het testen van wachtwoordsterkte en het blootleggen van zwakke beveiligingen. De tool heeft daarnaast een grafische interface die het gebruik vereenvoudigt en toegankelijk maakt voor een breder publiek. Het bestaan en de verspreiding van dergelijke krachtige software benadrukken opnieuw het belang van sterke, unieke wachtwoorden en het toepassen van aanvullende beveiligingslagen zoals multifactor-authenticatie. Voor organisaties en individuen onderstreept dit de noodzaak om wachtwoordbeleid en beveiligingsstrategieën voortdurend te actualiseren om misbruik te voorkomen.

De "GPUGate"-malwarecampagne maakt gebruik van Google Ads en de structuur van GitHub-repositories om gebruikers te misleiden en kwaadaardige software te verspreiden. De aanval begint met een gesponsorde advertentie in Google-zoekresultaten, die gebruikers naar een gemanipuleerde GitHub-pagina leidt. Deze pagina lijkt authentiek, maar bevat links die wijzen naar een door de aanvallers gecontroleerd domein. Een bijzonder kenmerk van GPUGate is de methode om beveiligingsanalyse te omzeilen door gebruik te maken van de GPU van de computer voor de decryptie van de kwaadaardige payload. Deze tactiek voorkomt dat de malware op virtuele machines wordt gedetecteerd. De campagne richt zich voornamelijk op IT-professionals in West-Europa en heeft als doel netwerktoegang te verkrijgen voor activiteiten zoals het stelen van inloggegevens, data-exfiltratie en het inzetten van ransomware.

Bron 1

Een recent onderzoek heeft onthuld dat Microsoft China-gebaseerde engineers inhuurde voor de ondersteuning en bugfixing van SharePoint, een platform dat onlangs werd gecompromitteerd door Chinese statelijk gesteunde hackers. Deze hackers wisten kwetsbaarheden in SharePoint "OnPrem"-installaties te exploiteren, waardoor ze ongeautoriseerde toegang kregen tot systemen van meerdere belangrijke doelwitten, waaronder de Nationale Beveiligingsadministratie en het Ministerie van Binnenlandse Veiligheid. Ondanks Microsofts eerste beveiligingspatch in juli 2025, bleven de aanvallers toegang behouden door geavanceerde technieken. Het onderzoek bracht ook aan het licht dat de betrokken China-gebaseerde engineers jarenlang verantwoordelijk waren voor de onderhouds- en bugfixwerkzaamheden, wat vragen oproept over mogelijke interne bedreigingen en beveiligingsrisico's. Microsoft heeft inmiddels aangekondigd dat de ondersteuning door Chinese engineers verplaatst zal worden naar andere locaties om deze risico's te verkleinen.

Bron 1

Sinds maart 2025 is er een geavanceerde cybercampagne gaande, waarbij cybercriminelen misbruik maken van trojanized ConnectWise ScreenConnect-installateurs om toegang te krijgen tot netwerken van Amerikaanse organisaties. De aanvallen maken gebruik van legitieme software om persistent toegang te verkrijgen, en verspreiden zich via social engineering-technieken. De aanvallers verbergen kwaadaardige bestendocumenten als legitieme bestanden, zoals “agreement_support-pdf[.]Client[.]exe”, om zo systemen binnen te dringen. Na installatie stellen de aanvallers verbindingen in met hun servers, waardoor de getroffen machines op afstand toegankelijk worden. Wat deze campagne onderscheidt, is het gebruik van ClickOnce-installateurs, die bij de uitvoering de nodige bestanden van gecompromitteerde servers ophalen. Deze techniek bemoeilijkt de detectie, omdat traditionele analysemethoden niet effectief zijn. Door meerdere Remote Access Trojans (RATs) tegelijk te implementeren, maken de aanvallers gebruik van redundantie of gedeelde infrastructuur, wat de dreiging verder versterkt.

Bron 1

VirusTotal heeft een nieuwe phishingcampagne ontdekt die zich verstopt in SVG-bestanden. Deze bestanden creëren nepportalen die zich voordoen als het Colombiaanse rechtssysteem en malware verspreiden. De aanvallers gebruiken SVG-bestanden, een type grafisch bestand, om HTML en JavaScript uit te voeren. VirusTotal ontdekte de campagne nadat het ondersteuning toevoegde voor SVG-bestanden in zijn AI Code Insight-platform, dat verdachte of schadelijke gedragingen in geüploade bestanden detecteert. Het onderzoek toonde een SVG-bestand dat geen antivirussoftware detecteerde, maar dat een vervalst portal weergeeft, met een valse download voortgangsbalk en een verzoek om een wachtwoordbeveiligd zip-bestand te downloaden. Bij het openen van het bestand wordt malware geïnstalleerd op het systeem. Deze ontdekking benadrukt de rol van AI in het sneller identificeren van nieuwe, schadelijke campagnes.

Bron 1, 2

Op 7 september 2025 werd op het darkweb gemeld dat een hacker of groep criminelen de verkoop van 200 miljoen wereldwijd verzamelde leads aanbiedt. Deze data omvat persoonlijke informatie van slachtoffers, mogelijk afkomstig van verschillende datalekken. De gelekte gegevens kunnen e-mailadressen, telefoonnummers en andere identificerende gegevens bevatten. Het lijkt erop dat deze informatie niet alleen wordt verhandeld voor fraude- of spammingdoeleinden, maar ook voor gerichte cyberaanvallen. Cybercriminelen hebben vaak toegang tot dergelijke leads via phishing-aanvallen en datalekken van bedrijven, en de gedetailleerde aard van deze gegevens maakt ze uitermate waardevol voor kwaadwillenden. Dit incident benadrukt de toenemende dreiging van digitale criminaliteit en het belang van zowel bedrijven als individuen om maatregelen te nemen tegen datalekken en identiteitsfraude.

iCloud Kalender wordt misbruikt voor het versturen van phishing-e-mails die zich voordoen als betaalbevestigingen, rechtstreeks verzonden via Apple's eigen e-mailservers. Dit maakt het eenvoudiger voor deze e-mails om spamfilters te omzeilen en in de inbox van slachtoffers terecht te komen. De phishingmails, die valse betalingstransacties claimen, bevatten een telefoonnummer voor "klantenservice". Door dit nummer te bellen, proberen oplichters slachtoffers te misleiden en hen software te laten downloaden waarmee ze toegang krijgen tot de computer van het slachtoffer om geld te stelen of gegevens te verzamelen. Deze aanvallen maken gebruik van iCloud Kalender-uitnodigingen, waarbij de phishingtekst verborgen is in het notitieveld van de uitnodiging, die vanaf Apple's e-mailserver wordt verstuurd. Deze tactiek verhoogt de kans dat de e-mail als legitiem wordt gezien, wat het risico voor slachtoffers vergroot.

Bron 1

Er is een zero-day Remote Code Execution (RCE) kwetsbaarheid ontdekt in WinRAR, een populaire bestandscompressie-tool. Deze kwetsbaarheid wordt mogelijk te koop aangeboden voor $65.000 op een cybercrimeforum. De aanval zou de versies van WinRAR vanaf 7.13 en ouder kunnen treffen. Als de claims van de aanvaller kloppen, zou deze kwetsbaarheid aanvallers in staat stellen om willekeurige code uit te voeren op de systemen van slachtoffers door simpelweg een speciaal gemaakte archiefbestand te openen. Dit vormt een ernstige bedreiging, aangezien een RCE-aanval volledige controle over het systeem kan geven, waardoor gegevens gestolen kunnen worden, malware zoals ransomware geïnstalleerd kan worden, of verder netwerkintrusies uitgevoerd kunnen worden. De transactie wordt, volgens de verkoper, via een forumgarant geregeld om de verkoop te verifiëren.

Screenshot

LunaLock ransomware richt zich sinds begin september 2025 op onafhankelijke illustratoren en digitale artiesten. De aanvallen beginnen met spear-phishingcampagnes, waarin slachtoffers worden misleid om een besmette factuur bijlage te openen. Eenmaal uitgevoerd, verzamelt de malware gegevens van kunstbestanden en klantendatabases, terwijl het zich voorbereidt om bestanden snel te versleutelen. De aanval maakt gebruik van gestolen inloggegevens en social engineering om toegang te krijgen tot platforms zoals Microsoft Teams en Slack, waardoor de ransomware zich verder kan verspreiden. Versleutelde bestanden krijgen de ".lunalock" extensie, en slachtoffers ontvangen een losgeld-eis in Monero. LunaLock heeft een geavanceerde architectuur, waaronder plugins voor netwerkverspreiding en het stelen van inloggegevens. Bovendien is de malware in staat om Windows Defender uit te schakelen door een JavaScript-module in te voegen in het Service Control Manager.

Bron 1

Een nieuwe cyberaanval maakt gebruik van Amazon's Simple Email Service (SES) om dagelijks meer dan 50.000 kwaadaardige e-mails te versturen. Hackers verkrijgen toegang tot de SES-diensten door gestolen AWS-toegangssleutels, die vaak via openbare code-repositories of verkeerd geconfigureerde cloudassets worden bemachtigd. De aanvallers omzeilen de standaardlimieten van SES door hun infrastructuur op meerdere regio’s te verspreiden, waardoor ze de productiecapaciteit van SES kunnen benutten voor grootschalige phishingcampagnes. De e-mails bevatten valse belastinginformatie en sturen slachtoffers naar kwaadaardige websites voor het stelen van inloggegevens. De geavanceerde technieken van de aanvallers tonen aan hoe cloudservices, oorspronkelijk bedoeld voor legitiem gebruik, kunnen worden misbruikt voor grootschalige fraude. Dit incident benadrukt de noodzaak voor striktere controle op de toegang tot cloud-diensten en ongebruikelijke activiteit in API-logs.

Bron 1

In een recente supply chain-aanval hebben hackers malware geïnjecteerd in npm-pakketten met meer dan 2,6 miljard wekelijkse downloads, nadat ze het account van een pakketbeheerder hadden gecompromitteerd via een phishingaanval. De aanvallers gebruikten een phishingmail die afkomstig leek van een legitieme bron, npmjs.com, om toegang te krijgen tot de accounts van onderhouders. Ze injecteerden vervolgens schadelijke code in populaire npm-pakketten zoals 'debug' en 'chalk', die voornamelijk crypto-transacties onderschepten. De malware, die functioneert als een browsergebaseerde interceptor, manipuleerde netwerkverkeer en verplaatste crypto-transacties naar aanvaller-gecontroleerde portemonnees zonder dat gebruikers het doorhadden. De npm-teams hebben inmiddels enkele van de kwaadaardige versies van de pakketten verwijderd, maar de aanval benadrukt de kwetsbaarheid van de webbrowser als aanvalsvector.

Bron 1, 2, 3, 4, 5, 6, 7

Een nieuwe supply chain-aanval op GitHub, genaamd 'GhostAction', heeft 3.325 geheime sleutels gecompromitteerd, waaronder PyPI-, npm-, DockerHub-, GitHub-tokens, Cloudflare-API-sleutels en AWS-toegangssleutels. De aanval werd op 2 september 2025 ontdekt door GitGuardian-onderzoekers, die ontdekten dat aanvallers toegang hadden gekregen via gecompromitteerde beheerdersaccounts. De aanvallers voegden kwaadaardige GitHub Actions-workflows toe aan projecten, die automatisch geheime gegevens verzamelden en naar een externe server stuurden. Een van de getroffen projecten was FastUUID, waarvoor de PyPI-token werd gestolen. De aanval bleek breder dan aanvankelijk gedacht, en betrof ten minste 817 repositories. De gestolen geheimen omvatten onder andere tokens en inloggegevens van meerdere open source-platforms. Ongeveer 3.325 geheimen werden gestolen. GitGuardian waarschuwde snel de betrokken partijen, en na de ontdekking stopte de exfiltratie van gegevens.

Bron 1

Op 8 september 2025 werden 18 veelgebruikte JavaScript-codepakketten tijdelijk gehackt, nadat een ontwikkelaar het slachtoffer werd van phishing. Deze pakketten, die wekelijks meer dan twee miljard keer worden gedownload, bevatten nu kwaadaardige software die cryptocurrency-activiteiten in de browser onderschept. De aanvallers manipuleerden wallet-interacties en wijzigden betaaldoelen, zodat cryptocurrency naar hun eigen accounts werd geleid. Het incident werd snel opgelost, maar experts waarschuwen voor de potentieel gevaarlijkere gevolgen van een soortgelijke aanval met een meer destructieve payload. Het hacken van NPM-pakketten toont aan hoe kwetsbaar supply chains kunnen zijn, en benadrukt het belang van phishingbestendige 2FA-methoden zoals fysieke beveiligingssleutels voor ontwikkelaars. Hoewel de schade in dit geval beperkt bleef tot crypto-diefstal, kan de aanval in de toekomst veel ernstiger zijn.

Bron 1

Onderzoekers van Akamai ontdekten een nieuwe variant van een cryptojacking-aanval die misbruik maakt van de TOR-netwerk en misgeconfigureerde Docker API's. Deze aanvallen richten zich op open Docker-instanties om een cryptocurrency-miner te installeren. Het proces omvat het binnendringen van slecht geconfigureerde Docker API's en het uitvoeren van een container die gebruikmaakt van een Alpine Docker-image. De aanvallers downloaden vervolgens een shell-script van een .onion-domein om persistentie op de getroffen systemen te waarborgen en verdere schadelijke tools te installeren. Dit kan mogelijk leiden tot de opzet van een complexe botnet. Verder werd ontdekt dat de malware ook probeert zich te verspreiden via andere open poorten zoals Telnet en de debugging-poort van Chromium-browsers. De onderzoekers benadrukken dat het essentieel is om netwerken te segmenteren en services goed af te schermen van het internet om dergelijke aanvallen te voorkomen.

Bron 1

Recent zijn twee belangrijke phishingcampagnes onthuld die gebruikmaken van geavanceerde malware. De eerste, MostereRAT, richt zich op Japanse gebruikers en maakt gebruik van een specifiek ontwikkelde programmeertaal (EPL) om malware te verbergen en beveiligingstools te omzeilen. Het doel is om volledige controle over systemen te krijgen en gevoelige data te stelen door middel van stealth-technieken zoals het uitschakelen van netwerkbeveiliging en het installeren van toegangstools zoals AnyDesk en VNC. De tweede campagne, ClickFix, maakt gebruik van misleidende verificatietechnieken om een informatie-diefstalsoftware genaamd MetaStealer te verspreiden. Beide aanvallen benadrukken het groeiende gevaar van phishing, waarbij aanvallers slim gebruik maken van sociale manipulatie om beveiligingssystemen te omzeilen. De nieuwe technieken maken deze aanvallen moeilijker te detecteren en te voorkomen. Het is essentieel voor gebruikers om alert te blijven en beveiligingstools up-to-date te houden.

Bron 1

De opkomst van Shadow AI-agents binnen bedrijven is een groeiend risico voor de digitale veiligheid. Deze niet-geautoriseerde AI-systemen worden vaak onopgemerkt gecreëerd door verschillende platforms, waardoor ze opereren zonder toezicht van beveiligingsteams. Ze kunnen vertrouwde gebruikers imiteren, onterecht toegang krijgen tot systemen en gevoelige data uitlekken. Het probleem groeit snel en is vaak moeilijk te traceren, aangezien de agents in de schaduwen van het bedrijfsnetwerk werken. Aanvallers gebruiken deze agents om bedrijven aan te vallen, en beveiligingsafdelingen moeten zich haasten om de identiteit van deze agents te identificeren en ze op te sporen. Detectie is een uitdaging, maar er zijn methoden beschikbaar, zoals IP-tracering en code-analyse, om deze verborgen bedreigingen te identificeren. Bedrijven worden aangemoedigd om deze bedreigingen proactief aan te pakken voordat ze de controle over hun systemen verliezen.

Bron 1

RatOn is een geavanceerd Android-malware die aanvankelijk eenvoudige NFC-relay-aanvallen uitvoerde, maar zich nu heeft ontwikkeld tot een krachtige remote access trojan (RAT) met geautomatiseerde geldtransfers. Het richt zich op cryptocurrency-wallets zoals MetaMask en Trust Wallet, en kan ook frauduleuze overboekingen uitvoeren via een Tsjechische bankapplicatie. De malware maakt gebruik van overlay-aanvallen en kan ransomware-achtige aanvallen uitvoeren door de gebruiker te dwingen betalingen te doen om toegang te herwinnen. Na installatie vraagt de app toestemming voor het installeren van apps van derden en gebruikt deze toestemming om beveiligingsmaatregelen te omzeilen. RatOn is ontdekt in juli 2025 en is actief in ontwikkeling, met recentere versies die ook met NFC-aanvallen werken. De malware is vooral gericht op Tsjechische en Slowaakse gebruikers en maakt gebruik van valse app-pagina's om de malware te verspreiden.

Bron 1

Een geavanceerde cyberaanval richt zich op organisaties door het misbruiken van de legitieme EarthTime-toepassing van DeskSoft om SectopRAT en ransomware te verspreiden. De aanval begint wanneer gebruikers onbewust een besmette versie van EarthTime downloaden, die de malware activeert en een commandocentrum tot stand brengt. Vervolgens wordt de aanval versterkt door verschillende malwarefamilies, zoals SystemBC voor proxy tunneling en de Betruger backdoor voor extra functionaliteit. De aanvallers creëren lokale beheerdersaccounts en gebruiken tools zoals AdFind en SharpHound voor verkenning en laterale verplaatsing. Het belangrijkste bewegingmechanisme is Remote Desktop Protocol (RDP), dat wordt versterkt door de wmiexec-tool van Impacket. Het gebruik van legitieme software en verfijnde technieken zoals procesinjectie en het manipuleren van bestandsdatums maakt detectie bijzonder moeilijk. Door modificaties aan Windows Defender en metadata-spoofing kunnen de aanvallers hun aanwezigheid maskeren en blijven opereren. De aanval eindigt met datadiefstal via onversleutelde FTP-verbindingen.

Bron 1

Op 9 september 2025 werd bekend dat het npm-account van DuckDB was gecompromitteerd in een voortzetting van een lopende supply chain-aanval, die ook de Qix-aanval beïnvloedde. Het account, verantwoordelijk voor DuckDB-gerelateerde pakketten, werd gehackt en er werden verschillende besmette versies van pakketten gepubliceerd, waaronder duckdb@1.3.3 en @duckdb/duckdb-wasm@1.29.2. De malware die in deze pakketten werd geïnjecteerd is dezelfde wallet-drainer die ook in de eerdere Qix-aanval werd gebruikt. Deze malware richt zich op crypto-wallets en vervangt legitieme transactiegegevens met de adressen van de aanvaller. De aanvaller had toegang verkregen tot het DuckDB-account via phishing, waarbij een nep-website werd gebruikt om 2FA-gegevens te verkrijgen. Ontwikkelaars worden geadviseerd om besmette versies niet te installeren en waakzaam te blijven, aangezien de campagne nog steeds actief is.

Bron 1

Van juni tot augustus 2025 steeg het misbruik van de HTTP-client Axios met maar liefst 241%, wat leidde tot een toename in phishingcampagnes die Microsoft 365-targeten. Dit misbruik wordt gecombineerd met de 'Direct Send'-functie van Microsoft, wat aanvallers in staat stelt om legitieme gebruikers te imiteren en e-mails te versturen die beveiligingspoorten omzeilen. De aanvallen hebben een succespercentage van 70%, wat een ongekende efficiëntie toont. Axios wordt gebruikt om HTTP-aanvragen te manipuleren, waardoor aanvallers in real-time sessietokens of MFA-codes kunnen onderscheppen. Phishingmailtjes bevatten vaak valse inlogpagina’s die slachtoffers lokken via QR-codes, waarbij sommige phishingpagina’s zelfs gebruik maken van Google Firebase om de herkenbaarheid te vergroten. Organisaties wordt aangeraden om de 'Direct Send'-functie te beveiligen, anti-spoofingbeleid in te stellen en medewerkers bewust te maken van phishingdreigingen om deze aanvallen te voorkomen.

Bron 1, 2, 3

Er is een nieuwe ransomwaregroep ontdekt die de naam "The Gentlemen" heeft gekregen. Deze groep heeft zich gepositioneerd op het darkweb, waar ze slachtoffers bedreigen met de encryptie van gegevens. Ze maken gebruik van een Onion-domein voor hun activiteiten, wat hun anonimiteit versterkt en het moeilijker maakt voor opsporingsinstanties om hun acties te traceren. De groep richt zich op bedrijven en instellingen en vraagt losgeld in ruil voor de decryptiesleutels. De toenemende dreiging van dergelijke groepen wijst op een evolutie in de methoden van cybercriminelen, die steeds meer gebruikmaken van geavanceerde technologieën en netwerken om hun doelen te bereiken. Het wordt belangrijker dan ooit voor organisaties om waakzaam te blijven tegen dit type dreigingen en robuuste beveiligingsmaatregelen te treffen.

Proton ontving een waarschuwing van een CERT (Computer Emergency Response Team) over een cluster accounts die vermoedelijk door hackers werden misbruikt, wat in strijd was met de gebruiksvoorwaarden van het platform. Als gevolg hiervan werden deze accounts gedeactiveerd om verdere schade te voorkomen en de veiligheid van de gebruikers te waarborgen. Proton heeft snel gereageerd op de melding om de integriteit van hun dienst te behouden en het misbruik te stoppen. Het incident benadrukt de voortdurende dreigingen waarmee online platforms geconfronteerd worden, en het belang van proactief reageren op cybersecuritywaarschuwingen.

De LunaLock ransomware groep heeft onlangs gedreigd de gestolen gegevens te gebruiken om kunstmatige intelligentiesystemen te trainen. De groep beweert ook dat het gestolen kunstwerken zal overdragen aan AI-bedrijven voor modeltraining. Deze dreiging heeft de bezorgdheid gewekt over de ethische implicaties van het gebruiken van gestolen data voor technologische vooruitgang, en kan de discussie over de verantwoordelijkheid van AI-bedrijven in de cybersecurity wereld verder aansteken. De handelingen van de groep benadrukken de groeiende bezorgdheid over cybercriminaliteit die verband houdt met opkomende technologieën zoals AI.

Microsoft heeft een waarschuwing uitgegeven voor een ernstige kwetsbaarheid in Active Directory Domain Services, gemarkeerd als CVE-2025-21293. Deze kwetsbaarheid maakt het mogelijk voor aanvallers die al toegang hebben gekregen tot een systeem, hun privileges te escaleren naar het systeemniveau. Hierdoor kunnen ze volledige controle over de domeincontroller krijgen en de netwerkbeveiliging ondermijnen. De kwetsbaarheid is een “Elevation of Privilege”-probleem door onjuiste toegangscontrole. Aanvallers met SYSTEM-rechten kunnen schadelijke software installeren, kritieke gegevens aanpassen of verwijderen, en nieuwe beheerdersaccounts aanmaken. Hoewel de kwetsbaarheid vereist dat de aanvaller eerst toegang krijgt via phishing of een andere aanvalsmethode, wordt aanbevolen om beveiligingsupdates onmiddellijk toe te passen om de kans op misbruik te minimaliseren. IT-beheerders moeten alert blijven op verdachte activiteiten en regelmatig patches installeren.

Bron 1

Onderzoekers hebben twee nieuwe malwarefamilies ontdekt: de modulaire macOS-backdoor CHILLYHELL en de Go-gebaseerde remote access trojan (RAT) ZynorRAT, die zowel Windows- als Linux-systemen kunnen aanvallen. CHILLYHELL, ontwikkeld door het dreigingscluster UNC4487, maakt gebruik van verschillende technieken om de geïnfecteerde systemen te profileren, persistentie te creëren en communicatie tot stand te brengen met command-and-control (C2)-servers. De malware maakt gebruik van timestomping om verdachte bestandsdata te verbergen en installeert zichzelf via LaunchAgents of LaunchDaemons op macOS. ZynorRAT, dat via een Telegram-bot opereert, is een veelzijdige RAT die vooral gebruikt wordt voor gegevensdiefstal, systeemenumeratie, screenshots en persistente toegang. De ZynorRAT-versie voor Linux ondersteunt deze functies, terwijl de Windows-versie nog in ontwikkeling lijkt te zijn. Beide malwaretypes benadrukken de geavanceerde technieken van moderne dreigingen.

Bron 1

Een malwarecampagne die sinds mei 2025 actief is, richt zich op Chinese sprekende gebruikers met het doel verschillende Remote Access Trojans (RATs) te verspreiden. De campagne maakt gebruik van phishing-pagina's die populaire software imiteren om de malware te verspreiden. De nieuw geïdentificeerde RAT, genaamd kkRAT, vertoont overeenkomsten met Ghost RAT en Big Bad Wolf, met een netwerkcommunicatieprotocol dat een extra versleuteling na compressie toevoegt. kkRAT beschikt over functies zoals het manipuleren van het klembord om cryptocurrency-adressen te vervangen, het installeren van monitoringtools, en het omzeilen van antivirus- en endpoint-detectiesystemen. Deze malware maakt gebruik van bekende kwetsbare stuurprogramma’s om beveiligingstools te uitschakelen, en heeft meerdere plug-ins die het mogelijk maken om het systeem op afstand te controleren. De campagne heeft als doel niet alleen informatie te stelen, maar ook om volledige controle over besmette systemen te verkrijgen.

Bron 1

Op Facebook is een geavanceerde malvertisingcampagne opgestart die gebruikers misleidt om een nep "Meta Verified" browserextensie te installeren. Deze advertenties, die via schijnbaar legitieme videotutorials worden gepromoot, beloven gebruikers toegang te geven tot de felbegeerde blauwe verificatietick zonder de kosten van Meta's abonnementsdienst. In werkelijkheid is de extensie ontworpen om gevoelige gegevens van gebruikers te stelen, zoals sessiecookies, toegangstokens en IP-adressen. De kwaadaardige extensie maakt gebruik van vertrouwde platforms zoals Box.com om de veiligheid van de aanval te verhogen en detectie te omzeilen. Het verzamelt cookies van facebook.com en stuurt deze naar een Telegram-bot die door de aanvallers wordt gecontroleerd. Deze gegevens kunnen vervolgens worden gebruikt om de gestolen accounts verder te personaliseren en verhandelen op ondergrondse fora. Beveiligingsteams moeten zich bewust zijn van ongebruikelijke cookie-exportactiviteiten en strengere controlemechanismen voor extensies implementeren.

Bron 1

Een dreigingsactor heeft per ongeluk zijn gehele werkproces blootgelegd door een endpoint detection and response (EDR)-agent te installeren op zijn eigen aanvallende infrastructuur. Het incident begon toen de hacker, die verschillende beveiligingsplatformen testte, per ongeluk meldingen veroorzaakte die Huntress-analisten ertoe brachten om de ongebruikelijke gegevens te onderzoeken. Wat bleek, was dat de EDR-agent gedetailleerde informatie verzamelde over de gebruikte tools en technieken van de aanvaller. De aanvaller bleek op een geavanceerde manier te werk te gaan, waaronder het automatiseren van phishingcampagnes en het verkrijgen van toegang tot slachtoffers via gestolen sessie-cookies. Door de per ongeluk verzamelde gegevens kregen onderzoekers ongekende inzage in de methoden van de aanvaller, wat waardevolle informatie opleverde voor toekomstige verdediging tegen dergelijke aanvallen. Dit incident onderstreept het belang van EDR-systemen voor het ontdekken van geavanceerde cyberaanvallen.

Bron 1

Een nieuwe phishing-aanval richt zich op organisaties die gebruikmaken van Google Workspace door valse e-mails te sturen die de AppSheet-platforms van Google nabootsen. Deze aanval maakt gebruik van de vertrouwde infrastructuur van Google om traditionele beveiligingsmaatregelen te omzeilen en gebruikers inloggegevens te stelen. De aanvallers profiteren van de integratie van AppSheet met de Google Workspace-infrastructuur en sturen e-mails die juridische nalevingswaarschuwingen bevatten, wat de slachtoffers ertoe aanzet om actie te ondernemen. Door het gebruik van legitieme Google-infrastructuur en verdachte verkorte URL's lijkt de e-mail geloofwaardig, waardoor traditionele phishing-beveiligingssystemen moeite hebben met het detecteren van de dreiging. De campagne is een evolutie van eerdere aanvallen die de AppSheet-service gebruikten om andere bedrijven zoals Meta en PayPal na te maken. Dit toont aan hoe cloudservices als aanvalsvectoren kunnen worden misbruikt, waardoor organisaties hun veronderstellingen over betrouwbare communicatie moeten herzien.

Bron 1

Een nieuwe malwarefamilie genaamd GONEPOSTAL is ontdekt die Microsoft Outlook misbruikt om command-and-control (C2) communicatie te faciliteren. Deze malware verspreidt zich via spear-phishing-campagnes gericht op bedrijven, waarbij een besmet document wordt verzonden. Wanneer een slachtoffer het bestand opent, activeert het een payload die via de COM API's van Outlook versleutelde C2-commando’s verstuurt en ontvangt. De malware gebruikt een obfuscated VBA-macro om een launcher-executable in de tijdelijke map van de gebruiker te plaatsen, die vervolgens extra modules downloadt. Deze modules kunnen gegevens uit het adresboek van de gebruiker halen, e-mail sturen met versleutelde commando's en zelfs Outlook aanpassen om het malware-component op te starten bij elk nieuw Outlook-gebruik. De malware is moeilijk te detecteren doordat het zich verbergt in reguliere e-mailstromen, wat de effectiviteit van traditionele beveiligingssystemen ondermijnt.

Bron 1

De DarkSamural APT-groep heeft een geavanceerde cyberaanval uitgevoerd tegen overheidsinstellingen en kritieke infrastructuur in Zuid-Azië. Het aanvalstraject maakt gebruik van misleidende LNK- en PDF-bestanden om netwerken te infiltreren, toegang te verkrijgen en gevoelige gegevens te stelen. De aanval begint met een spear-phishingmail die een gecomprimeerd archief bevat, waarin een bestand verstopt zit dat eruitziet als een PDF, maar in werkelijkheid een MSC-bestand is dat een kwaadwillig script uitvoert. Dit script downloadt verdere schadelijke payloads, die uiteindelijk leiden tot bestandsdiefstal, browserinloggegevens en toegang tot op afstand tot getroffen systemen. De gebruikte technieken maken gebruik van obfuscatie om detectie te omzeilen en faciliteren laterale bewegingen in het netwerk van het slachtoffer. De groep maakt gebruik van open-source RAT’s, waaronder Mythic en QuasarRat, om controle te krijgen over gecompromitteerde machines.

Bron 1

De Noord-Koreaanse APT-groep Kimsuky heeft haar cyberaanvallen verfijnd door gebruik te maken van GitHub-repositories voor de levering van malware en dataverzameling. De aanval begint met een kwaadaardig ZIP-bestand dat een LNK-bestand bevat, vermomd als een elektronische belastingfactuur. Wanneer dit bestand wordt uitgevoerd, roept het een PowerShell-opdracht op die aanvullende schadelijke scripts downloadt van door de aanvallers beheerde GitHub-repositories. Dit stelt de aanvallers in staat om gegevens te verzamelen en een blijvende toegang te behouden tot de geïnfecteerde systemen. De kwaadaardige scripts gebruiken hardcoded GitHub Private Tokens om toegang te krijgen tot privérepositories en het systematisch verzamelen van systeemmetadata. De verzamelde gegevens worden geüpload naar de GitHub-repositories van de aanvallers, waardoor ze een goed georganiseerde database van verzamelde informatie opbouwen, die kan worden gebruikt voor verdere aanvallen.

Bron 1

Een nieuwe ransomwaregroep, bekend als The Gentlemen, heeft recentelijk zijn activiteiten sterk uitgebreid. Deze groep maakt gebruik van legitieme Windows-drivers en manipuleert Group Policy Objects (GPO's) om traditionele beveiligingen te omzeilen en bedrijven binnen te dringen. Door deze technieken te combineren, kunnen de aanvallers beveiligingsprocessen uitschakelen en uitgebreide versleuteling uitvoeren op netwerkapparaten. Ze benutten onder andere All.exe en ThrottleBlood.sys, waarvan ThrottleBlood.sys een legitieme, ondertekende driver is, om antivirus- en back-upsoftware uit te schakelen zonder alarmen te veroorzaken. De aanvallers benutten ook internet-facing services en gecompromitteerde inloggegevens om hun aanvallen te starten. Vervolgens worden hun encryptiepayloads via NETLOGON gedeployed, wat leidt tot gegevensverlies en ontvreemding van gevoelige informatie. Bedrijven in de sectoren productie, gezondheidszorg en bouw hebben zware verstoringen ervaren door deze aanvallen, die ook een dubbele extortiestrategie toepassen.

Bron 1

De Lazarus Group heeft een nieuwe phishingcampagne opgezet die zich richt op ontwikkelaars en crypto-professionals door middel van een Git symlink-kwetsbaarheid. In plaats van traditionele malware verspreiding, maken de aanvallers gebruik van de manier waarop Git repository-paden verwerkt. Ze hebben kwaadaardige hooks ingebed in symbolische links, die worden uitgevoerd tijdens routinematige Git-operaties. Het aanvallersschema begint met persoonlijke uitnodigingen voor een nep-interview via professionele netwerken, waarbij slachtoffers een Git clone-opdracht uitvoeren. Deze actie activeert een kwaadaardige post-checkout script die verbinding maakt met een externe server, waarbij inloggegevens, systeeminformatie en portemonnee-data worden gestolen. De aanval maakt gebruik van de 'post-checkout' mechanismen van Git, waardoor de aanvallers code kunnen uitvoeren zonder de hoofdcodebase te wijzigen en zo beveiligingssystemen omzeilen. De geavanceerde techniek van de Lazarus Group toont aan hoe zelfs vertrouwde ontwikkeltools kunnen worden gebruikt voor cyberaanvallen.

Bron 1

Een recente supply-chain aanval in het NPM-ecosysteem, de grootste in zijn geschiedenis, heeft ongeveer 10% van alle cloudomgevingen getroffen. De aanvallers kregen toegang tot de accounts van populaire NPM-pakketbeheerders, zoals Josh Junon, en injecteerden kwaadaardige updates in veelgebruikte pakketten zoals Chalk en Debug-js, die wekelijks meer dan 2,6 miljard downloads hadden. De aanvallers gebruikten de pakketten om cryptocurrency te stelen door transacties om te leiden naar hun eigen portemonnee. Ondanks de enorme verspreiding van de besmette pakketten, werden de kwaadaardige versies binnen twee uur verwijderd. Het aanvalspatroon toont aan hoe snel kwaadwillende code zich kan verspreiden in supply-chain aanvallen. De aanvallers haalden echter slechts een minimale winst, met een totaal van ongeveer 600 dollar aan cryptocurrency. De schade was aanzienlijk voor de getroffen bedrijven, maar de beveiligingsimplicaties bleven beperkt, doordat de aanval geen destructieve malware of verdere toegangsmogelijkheden bood.

Bron 1, 2

Op 10 september 2025 werd een Europese DDoS-mitigatiedienst doelwit van een enorme aanval met een snelheid van 1,5 miljard pakketten per seconde (Bpps). Deze aanval, een van de grootste in zijn soort, werd uitgevoerd via duizenden IoT-apparaten en MikroTik-routers verspreid over meer dan 11.000 netwerken wereldwijd. De aanval, die een UDP-flood betrof, werd effectief gemitigeerd door FastNetMon, een bedrijf dat bescherming biedt tegen DDoS-aanvallen. De getroffen dienst, een zogenaamde DDoS-scrubbingprovider, was in staat om de aanval in real-time te detecteren en te neutraliseren door gebruik te maken van access control lists (ACL’s) op randrouters. Deze gebeurtenis onderstreept de groeiende dreiging van grootschalige DDoS-aanvallen die gebruikmaken van kwetsbare consumenteneindapparaten. Experts roepen op tot meer actie op ISP-niveau om dergelijke aanvallen te voorkomen voordat ze een massale impact hebben.

Bron 1

Een nieuwe ransomwaregroep, genaamd RADAR, is onlangs op het dark web geïdentificeerd. Deze groep is actief op verschillende platforms, waar ze zich richten op het versleutelen van belangrijke gegevens en vervolgens losgeld eisen van de slachtoffers. De groep maakt gebruik van geavanceerde technieken en biedt via het dark web een .onion-site aan waar ze hun activiteiten kunnen coördineren. De ransomware, die zich snel verspreidt, heeft al enkele organisaties in zowel de publieke als de private sector getroffen. De groep maakt gebruik van een unieke manier van versleuteling en biedt aan slachtoffers slechts een beperkte tijd om losgeld te betalen voordat hun gegevens permanent onbruikbaar worden. Het is nog onduidelijk wie er achter deze dreigingsactor zit, maar experts waarschuwen voor de groeiende impact van dergelijke groepen op digitale beveiliging.

In een recente update heeft de gebruiker Dark Web Informer aangegeven dat er plannen zijn om de ransomware-sectie verder uit te breiden zodra de API beschikbaar komt. De ontwikkeling van deze API is nog in de beginfase, maar er wordt al nagedacht over het ontwerp van de sectie. Deze uitbreiding zal gericht zijn op het verbeteren van de inhoud en structuur met betrekking tot ransomware, waarmee het doel is om deze belangrijke dreiging beter te belichten en te analyseren.

Cybersecurityonderzoekers hebben een nieuwe campagne onthuld waarbij ConnectWise ScreenConnect, een legitieme software voor remote monitoring, wordt misbruikt om AsyncRAT, een remote access trojan (RAT), te verspreiden. De malware wordt via een fileless loader geïnstalleerd, wat betekent dat deze niet op de schijf wordt opgeslagen en daardoor moeilijker te detecteren is. De aanvallers gebruiken een geavanceerde techniek waarbij ze eerst een Visual Basic Script en PowerShell script uitvoeren om malafide componenten van externe servers te downloaden. Deze componenten bevatten een .NET assembly die AsyncRAT uitvoert, een trojaans paard dat systeeminformatie steelt, zoals inloggegevens, browserspecifieke data en informatie over crypto wallets. De gestolen gegevens worden naar een command-and-control server gestuurd. De malware blijft persistent door zich als een ‘Skype Updater’ voor te doen via een geplande taak, wat ervoor zorgt dat de malware na elke herstart opnieuw wordt uitgevoerd.

Bron 1

Een ernstige kwetsbaarheid in de SonicWall SSL VPN's (CVE-2024-40766) wordt momenteel actief misbruikt door de Akira-ransomware. Het beveiligingslek stelt aanvallers in staat om ongeautoriseerde toegang te verkrijgen tot firewalls, met als gevolg dat deze mogelijk zelfs kunnen crashen. De kwetsbaarheid treft SonicWall apparaten van de Gen 5, Gen 6 en Gen 7 serie, die draaien op SonicOS 7.0.1-5035 of oudere versies. SonicWall heeft inmiddels een update beschikbaar gesteld en waarschuwt gebruikers dringend om deze te installeren. Bovendien is het essentieel dat na het updaten de wachtwoorden worden gewijzigd om volledige bescherming te garanderen. Organisaties die dit niet doen, blijven kwetsbaar, ondanks de patch. Het Australian Cyber Security Centre heeft de situatie gemeld en waarschuwt voor de voortdurende dreiging.

Bron 1, 2

De gemeente Den Haag waarschuwt voor valse QR-codes die op parkeerautomaten en oplaadpalen voor elektrische voertuigen zijn aangetroffen. Kwetsbare parkeerders kunnen via deze valse QR-codes op een frauduleuze website terechtkomen, waar hun bankgegevens worden gevraagd. De gemeente benadrukt dat QR-codes niet gebruikt worden voor betalingen op parkeerautomaten in Den Haag, die uitsluitend via een betaalpas of de officiële app te gebruiken zijn. De valse codes zijn te herkennen aan de losse stickers en verdachte websiteverwijzingen. De gemeente controleert de automaten regelmatig en adviseert bewoners om verdachte stickers te melden via het telefoonnummer 14070 of sociale media. De waarschuwing benadrukt het belang van waakzaamheid bij het scannen van QR-codes op openbare apparaten.

Bron 1

Cybercriminelen hebben twee malvertisingcampagnes onthuld die nep-browsere extensies verspreiden via schadelijke advertenties en vervalste websites. Deze extensies, die zich voordoen als tools voor het verkrijgen van een blauw vinkje op Facebook en Instagram, blijken in werkelijkheid de sessiecookies van gebruikers te stelen. De aanvallers sturen deze gegevens naar een Telegram-bot en gebruiken ze om toegang te krijgen tot Meta Business-accounts. Een andere campagne, die zich richt op adverteerders, verspreidt een valse Chrome-extensie genaamd Madgicx Plus, die, in plaats van het verbeteren van de advertentieprestaties, de sessies van gebruikers overneemt, inloggegevens steelt en toegang verschaft tot Meta Business-accounts. Het uiteindelijke doel van deze aanvallen is het verkopen van gestolen accounts op ondergrondse marktplaatsen of het gebruiken van deze accounts voor verdere malvertisingcampagnes.

Bron 1

In de afgelopen maanden heeft de e-crimegroep PoisonSeed zich gericht op het registreren van kwaadwillige domeinen om bedrijfsreferenties te stelen. Sinds april 2025 imiteert deze groep legitieme cloudgebaseerde e-mailplatformen, zoals SendGrid, door vervalste CAPTCHA-pagina's en andere misleidende elementen te gebruiken om gebruikers in te lichten en inloggegevens te verkrijgen. Tussen juni en september 2025 heeft PoisonSeed meer dan twintig domeinen geregistreerd die nauw verwant zijn aan de loginpagina's van SendGrid, vaak met subtiele spellingsfouten en gewijzigde URL-structuren. Deze techniek zorgt ervoor dat de aanvallen moeilijk te detecteren zijn, doordat ze gebruik maken van legitieme hostingomgevingen en dynamische Ray ID's. De groep richt zich niet alleen op het stelen van inloggegevens, maar maakt ook gebruik van deze gegevens om laterale bewegingen binnen netwerken uit te voeren, wat kan leiden tot datalekken en ransomware-aanvallen.

Bron 1

ZynorRAT is een geavanceerde remote access trojan (RAT) die zowel Windows- als Linux-systemen aanvalt en gebruik maakt van Telegram-bots voor commando- en controlecommunicatie. Dit Go-gecompileerde malware vormt een nieuwe generatie van RAT's door moderne communicatiemethoden te combineren met traditionele infectiemethoden, wat het moeilijker maakt voor systemen om de dreiging te detecteren. ZynorRAT maakt gebruik van Telegram als versleutelde communicatiekanalen tussen geïnfecteerde machines en aanvallers, waardoor netwerkmonitoring vaak niet in staat is verdachte communicatie te identificeren. Dit maakt de malware bijzonder effectief in het langdurig behouden van toegang tot gecompromitteerde systemen. De trojan wordt ontwikkeld door Turkssprekende actoren, en onderzoekers hebben aangetoond dat ZynorRAT verschillende geavanceerde persistente technieken gebruikt, zoals het integreren van systeemdiensten op Linux voor verborgen uitvoering. De malware wordt steeds verfijnder, met verbeterde ontwijkingsmechanismen die detectie door beveiligingssoftware verminderen.

Bron 1

Een nieuwe aanval, genaamd VMScape, kan een kwaadaardige virtuele machine (VM) cryptografische sleutels lekken van een ongewijzigd QEMU-hypervisorproces op moderne AMD- en Intel-CPU's. Deze aanval doorbreekt de isolatie tussen virtuele machines en cloud-hypervisors, waardoor bestaande Spectre-mitigaties worden omzeild. Het stelt aanvallers in staat om gevoelige data te lekken door gebruik te maken van speculatieve uitvoering. VMScape werkt zonder de host te compromitteren en vereist geen wijziging van de virtualisatiesoftware, zelfs niet wanneer de standaardmitigaties op hardware zijn ingeschakeld. De onderzoekers van ETH Zürich ontdekten dat de aanval AMD-processors van Zen 1 tot Zen 5 en Intel’s “Coffee Lake”-CPU's beïnvloedt, maar niet de nieuwere modellen zoals “Raptor Cove” en “Gracemont”. Patches zijn uitgebracht voor Linux-kernel om VMScape te mitigeren door indirecte voorspellingen van vertakkingen te blokkeren.

Bron 1

In mei 2025 begonnen beveiligingsteams een toename van post-exploitatie activiteiten te zien waarbij het open-source command-and-control (C2) framework AdaptixC2 werd misbruikt. Oorspronkelijk ontwikkeld voor penetratietests, werd het framework snel overgenomen door aanvallers vanwege de modulaire opzet en de mogelijkheid om zich aan te passen aan verschillende omgevingen. Het biedt functies zoals bestandssysteemmanipulatie, procesenumeratie en covert channel tunneling, waardoor het ideaal is voor kwaadwillenden die traditionele beveiligingsmaatregelen willen omzeilen. Een van de meest zorgwekkende aspecten van AdaptixC2 is de fileless infectiemethode, waarbij aanvallers bestanden vermijden en direct in het geheugen van de slachtoffers werken. Aanvallers gebruiken vaak social engineering, zoals valse remote support verzoeken, om gebruikers te misleiden en de infectie te starten. De aanvallers passen de tool aan voor verschillende doeleinden, zoals datadiefstal en ransomware-aanvallen, wat zorgt voor aanzienlijke schade in getroffen sectoren.

Bron 1

In maart 2025 werd een L7 DDoS-botnet ontdekt dat snel groeide van 1,33 miljoen naar 5,76 miljoen gecompromitteerde apparaten. Het botnet richtte zich op webapplicaties in verschillende sectoren en gebruikte HTTP GET-vloedaanvallen om serverbronnen uit te putten en traditionele beveiligingsmaatregelen te omzeilen. Tegen september was de aanval op een overheidsorganisatie bijzonder krachtig, met tientallen miljoenen verzoeken per seconde. De botnet-aanvallen werden uitgevoerd in twee golven, waarbij apparaten uit Brazilië, Vietnam en de Verenigde Staten de meeste kwaadaardige traffic genereerden. Het gebruikte een versleutelde, gedecentraliseerde command-and-control-infrastructuur en paste zijn controlemechanismen snel aan om detectie te voorkomen. De infectie verspreidde zich via brute-forceaanvallen op IoT-apparaten en onbeschermde eindpunten, met een rootkit die het herstel bemoeilijkte door firmware-updates te onderscheppen en kwaadaardige modules te herladen na een herstart.

Bron 1

Het Franse CERT-FR heeft gebruikers gewaarschuwd om meldingen van Apple over spyware serieus te nemen. Wanneer een gebruiker een melding ontvangt via iMessage of e-mail van Apple, betekent dit dat ten minste één apparaat dat gekoppeld is aan hun iCloud-account is gecompromitteerd. CERT-FR adviseert in dat geval onmiddellijk actie te ondernemen en contact op te nemen met het team voor technische ondersteuning. Apple heeft dit jaar al verschillende waarschuwingscampagnes uitgevoerd voor geavanceerde spyware, zoals Pegasus, Predator en Graphite. De malware maakt vaak gebruik van zero-day-kwetsbaarheden en kan zonder de interactie van de gebruiker worden geïnstalleerd. CERT-FR deelt best practices voor het beschermen van apparaten, waaronder het installeren van de nieuwste updates, het inschakelen van automatische updates en het vermijden van verdachte links. Verder wordt aanbevolen regelmatig apparaten te herstarten en bij zakelijk gebruik beheerde apparaten te gebruiken.

Bron 1

Op 11 september 2025 werd een domein ontdekt dat werd gebruikt om een frauduleus platform te hosten voor een "WhatsApp AI" investering, dat deel uitmaakt van de AuraStealer malware-infrastructuur. Het platform lokte gebruikers met valse beloftes van hoge financiële opbrengsten en was tegelijkertijd onderdeel van een botnet-commando en controle-infrastructuur voor het verzamelen van inloggegevens. Het domein, balancedassetline[.]xyz, is verbonden met AuraStealer-aanvallen en werd gemarkeerd met een gematigd vertrouwen van 50%. De waarschuwing benadrukt de noodzaak om dit domein te blokkeren en verdachte verbindingen naar cryptocurrency-scamwebsites en valse AI-investeringssites te monitoren. Organisaties wordt geadviseerd om op zoek te gaan naar indicatoren van compromittering op hun systemen en netwerk.

Cybersecurityonderzoekers hebben een nieuwe ransomware-stam ontdekt, HybridPetya, die elementen van de beruchte Petya/NotPetya-malware combineert. HybridPetya kan de Secure Boot-mechanisme op UEFI-systemen omzeilen door gebruik te maken van een kwetsbaarheid die eerder dit jaar werd gepatcht. De ransomware versleutelt de Master File Table (MFT) op NTFS-geformatteerde schijven en vraagt losgeld in bitcoin om de versleutelde gegevens te ontgrendelen. De variant maakt gebruik van CVE-2024-7344, een kwetsbaarheid in de Howyar Reloader UEFI-toepassing, en is in staat om systematische wijzigingen aan de opstartlader aan te brengen, wat leidt tot een Blue Screen of Death (BSoD) en het starten van de ransomware-exploit. Het losgeld bedraagt 1.000 dollar in bitcoin, en hoewel de wallet geen betalingen heeft ontvangen, is er bewijs van eerdere transacties. Er wordt nog geen wijdverspreid gebruik van de malware waargenomen.

Bron 1

In de huidige cybersecurity wordt steeds vaker gebruik gemaakt van gestolen inloggegevens om systemen binnen te dringen zonder alarmsystemen te activeren. Het verkrijgen van toegang via gestolen inloggegevens, inclusief wachtwoorden, MFA-codes en sessie‑cookies, is een veelvoorkomende tactiek geworden voor cybercriminelen. Verizon meldt dat 32% van de datalekken in 2024 het gevolg waren van gestolen inloggegevens. Methoden zoals phishing, vishing, infostealers en brute‑force aanvallen zijn de voornaamste manieren waarop deze gegevens worden verkregen. Zodra toegang is verkregen, kunnen aanvallers hun privileges uitbreiden, netwerken verkennen, malware installeren en data exfiltreren. Het is essentieel voor organisaties om meerdere beveiligingslagen in te stellen, zoals sterkere MFA en een Zero Trust-benadering, gecombineerd met continue monitoring en training voor medewerkers. Daarnaast kan het inschakelen van een externe Managed Detection and Response (MDR)-dienst helpen bij het detecteren en snel reageren op bedreigingen.

Download rapport

Nieuwe rapporten van Cofense wijzen op een toenemende dreiging waarbij cybercriminelen phishing combineren met malware, zoals Muck Stealer, Info Stealer, ConnectWise RAT en SimpleHelp RAT. Deze gecombineerde aanvallen maken het moeilijker voor bedrijven om zich te verdedigen tegen enkelvoudige dreigingen. In verschillende campagnes werd Muck Stealer bijvoorbeeld in eerste instantie gedownload via een kwaadaardige downloader, waarna het een valse inlogpagina opende om extra informatie te verzamelen. Andere aanvallen gebruikten phishingpagina's om inloggegevens te stelen, waarna verschillende malwarevarianten werden geïnstalleerd, zoals een op maat gemaakte info stealer die specifiek gericht was op Microsoft Office-gegevens. Het rapport benadrukt dat aanvallers steeds flexibeler te werk gaan door verschillende aanvalsmethoden te combineren, waardoor ze beter in staat zijn om beveiligingsmaatregelen te omzeilen.

Bron 1

De ToneShell backdoor, die eerder dit jaar opdook, heeft zijn functionaliteiten uitgebreid en wordt nu gebruikt door de Mustang Panda-groep om langetermijntoegang te behouden op doelomgevingen. De nieuwste variant, ontdekt begin september, wordt verborgen in sideloaded DLL-bestanden die samen met legitieme uitvoerbare bestanden worden geleverd. Het malwarebestand wordt meestal via gecomprimeerde archieven verspreid, die zich voordoen als onschuldige documenten. Na de activatie van de schadelijke DLL wordt een infectieroutine gestart, die inspectie vermijdt. De backdoor vestigt zich op de computer door gebruik te maken van de Task Scheduler COM-service van Windows en registreert een geplande taak die het malwarebestand elke minuut opnieuw uitvoert. Dit zorgt ervoor dat de backdoor continu actief blijft, zelfs als de oorspronkelijke malware wordt beëindigd. Deze nieuwe aanpak maakt gebruik van bestaande systeembibliotheken, waardoor het moeilijker te detecteren is voor traditionele beveiligingstools.

Bron 1

Op 12 september 2025 waarschuwde de Rust Security Response WG voor een phishingcampagne gericht op gebruikers van crates.io. De aanvallers doen zich voor als de Rust Foundation, en de emails komen van het rustfoundation.dev domein. De berichten beweren dat de infrastructuur van crates.io is gecompromitteerd en verzoeken ontvangers om in te loggen om hun pakketten te beschermen. De Rust Foundation benadrukt dat er geen bewijs is van een beveiligingsinbreuk en dat deze emails kwaadaardig zijn. Gebruikers worden aangespoord geen links in de emails te volgen en de berichten als phishing te markeren. Het team werkt aan het laten verwijderen van het phishingdomein en houdt crates.io in de gaten voor verdachte activiteiten. Crates.io gebruikers worden geadviseerd om hun e-mailbronnen te verifiëren en phishingpogingen te melden bij het Rust-team.

Bron 1

Een cybercriminele groep, genaamd WhiteCobra, heeft 24 kwaadaardige extensies geplaatst in de Visual Studio Marketplace en het Open VSX-register, waarmee ze gebruikers van VSCode, Cursor en Windsurf doelwit maken. Deze extensies lijken op legitieme software, maar bevatten code die cryptocurrency wallets steelt. Het risico werd voor het eerst opgemerkt toen een Ethereum-ontwikkelaar zijn wallet zag leeglopen na het gebruik van een ogenschijnlijk betrouwbare extensie. De groep, die eerder ook verantwoordelijk was voor een crypto-diefstal van $500.000 in juli, blijft actief nieuwe schadelijke extensies te uploaden, zelfs nadat oudere versies zijn verwijderd. Onderzoekers waarschuwen voor het gevaar van gemanipuleerde beoordelingen en downloadaantallen, die gebruikers kunnen misleiden. Er wordt aanbevolen om voorzichtig te zijn bij het downloaden van extensies van onbekende projecten met een plotselinge stijging van positieve recensies.

Bron 1

Een hacker beweert 1,76TB aan gevoelige gegevens te verkopen die afkomstig zouden zijn van IntelX. De ongecomprimeerde versie zou zelfs 19TB bedragen. De data zou afkomstig zijn uit de datasets van het bedrijf en is mogelijk een verzameling van oude lekken. De verkoop van deze gegevens heeft al voor discussie gezorgd, waarbij sommige experts twijfelen aan de echtheid van de claim, aangezien het mogelijk gaat om eerder gecompromitteerde informatie. De data wordt aangeboden op het darkweb en roept bezorgdheid op over de potentie van de informatie, vooral als het daadwerkelijk om actuele en onbenutte gegevens gaat.

oidProxy is een nieuwe Phishing-as-a-Service (PhaaS)-platform dat is blootgelegd door Okta Threat Intelligence. Dit platform maakt gebruik van de techniek "Adversary-in-the-Middle" (AitM) om veelgebruikte methoden voor multi-factor authenticatie (MFA) te omzeilen en toegang te krijgen tot Microsoft- en Google-accounts. Het proces begint met een misleidende e-mail, vaak afkomstig van een gecompromitteerd account van een legitieme e-mailprovider. Wanneer een gebruiker zijn inloggegevens en MFA-codes invoert, onderschept het systeem deze gegevens, waardoor de aanvallers toegang krijgen tot de sessie van de gebruiker. Het platform is moeilijk te traceren door beveiligingsteams vanwege zijn geavanceerde infrastructuur en meerdere lagen van anti-analysemethoden. Okta adviseert het gebruik van phishing-bestendige authenticators, zoals Okta FastPass, om gebruikers beter te beschermen tegen dergelijke aanvallen.

Bron 1

Een nieuwe SEO poisoning-campagne richt zich op Chinese sprekende Windows-gebruikers, waarbij nepwebsites bovenaan zoekresultaten worden gemanipuleerd. De aanvallers creëren valse websites die eruitzien als legitieme software-aanbieders en gebruiken plugins om deze sites kunstmatig hoger te rangschikken. Wanneer een gebruiker de website bezoekt en denkt dat het een betrouwbare bron is, downloadt hij een bestand dat zowel de legitieme applicatie als malware bevat. De malware, Hiddengh0st en Winos, wordt automatisch geïnstalleerd op de computer van het slachtoffer. Hiddengh0st stelt de aanvallers in staat om de computer op afstand te besturen, terwijl Winos persoonlijke informatie steelt, waaronder gegevens uit cryptocurrency-portefeuilles. Het malwareprogramma is ontworpen om zich te verbergen in een labomgeving en blijft alleen actief op echte systemen. De aanval kan leiden tot ernstige beveiligingsrisico's voor de slachtoffers.

Bron 1

Een nieuwe malwarecampagne maakt gebruik van SVG-bestanden en e-mailbijlagen om de XWorm en Remcos Remote Access Trojans (RAT) te verspreiden. Deze aanvallen maken gebruik van niet-traditionele bestandformaten, waardoor ze klassieke beveiligingsmechanismen kunnen omzeilen. De aanvallers gebruiken ZIP-archieven die obfuscerende BAT-scripts bevatten als eerste infectiestap. Deze scripts starten een bestandloze uitvoering, waarbij de malware volledig in het geheugen draait, wat detectie bemoeilijkt. Verder worden PowerShell-scripts ingezet om beveiligingsmechanismen zoals AMSI en ETW te omzeilen en te zorgen voor persistentie. De aanvallen maken ook gebruik van SVG-bestanden die, eenmaal geopend, schadelijke payloads downloaden. Dit toont een verfijning van de technieken die door cybercriminelen worden gebruikt om systemen binnen te dringen zonder dat traditionele endpointbescherming ze detecteert.

Bron 1

Een geavanceerde backdoor-malware, bekend als Backdoor.WIN32.Buterat, heeft zich ontwikkeld tot een aanzienlijke dreiging voor bedrijfsnetwerken. Deze malware maakt gebruik van verfijnde technieken om langdurige ongeautoriseerde toegang te behouden en verborgen operaties uit te voeren. Buterat richt zich vooral op overheids- en bedrijfsomgevingen via gerichte phishingcampagnes, kwaadwillige e-mailbijlagen en besmette softwaredownloads. In plaats van onmiddellijke schade te veroorzaken of gegevens te stelen, is de focus van deze malware gericht op het verkrijgen van persistentie en het uitvoeren van verborgen operaties. De malware creëert versleutelde communicatielijnen met externe command-and-controlservers, waarmee aanvallers op afstand opdrachten kunnen uitvoeren, aanvullende payloads kunnen inzetten en lateraal door netwerken kunnen bewegen. Detectiesystemen voor gedragsanalyse hebben moeite met het identificeren van deze aanvallen, aangezien Buterat geavanceerde technieken toepast om zijn aanwezigheid te verbergen.

Bron 1

Een geavanceerde malvertisingcampagne maakt gebruik van GitHub-repository's met zogenaamde "dangling commits" om malware te verspreiden via vervalste GitHub Desktop-installateurs. Deze campagne benut het vertrouwen van gebruikers in GitHub om hen te misleiden en kwaadaardige software te downloaden. Wanneer gebruikers zoeken naar GitHub Desktop via besmette advertenties, worden ze omgeleid naar de malafide repositories die legitiem lijken, maar verborgen malware bevatten. De aanvallen gebruiken een meerfasig infectiemechanisme, waarbij de malware systeeminformatie verzamelt en exfiltreert voordat verdere schadelijke payloads worden uitgevoerd. Dit kan leiden tot blijvende toegang tot geïnfecteerde systemen, waarbij de malware communicatiekanalen met de command and control-servers onderhoudt. De gebruikte technieken, zoals het inzetten van PowerShell en het afschermen van Windows Defender, maken detectie moeilijk en verhogen de effectiviteit van de aanval.

Bron 1

De EvilAI-malwarecampagne maakt gebruik van kunstmatige intelligentie om legitiem ogende applicaties te creëren die vervolgens gevoelige browserdata exfiltreren en detectie ontwijken. Het malwarepakket maakt gebruik van AI gegenereerde code en traditionele trojan-technieken om wereldwijd systemen te infiltreren. De malware vermomt zich als productiviteits- en AI-tools, zoals "Recipe Lister" en "PDF Editor", die zowel nuttige functies bieden als kwaadaardige payloads uitvoeren op de achtergrond. Het gebruik van een dual-purpose benadering vermindert de verdenkingen bij gebruikers en maakt het moeilijker om de malware te detecteren. Het verspreidt zich snel, met de meeste gevallen in Europa, en richt zich op kritieke sectoren zoals de overheid, gezondheidszorg en productie. De malware gebruikt geavanceerde social engineering en anti-analysetechnieken om statische detectie te vermijden en blijft persistent door meerdere mechanisme van infectie en herstarten.

4 september 2025 werd een IP-adres ontdekt dat een Supershell v2.0.0-paneel hostte, een framework voor het beheren van botnets en het op afstand aansteken van geïnfecteerde systemen. Dit paneel is toegankelijk via een niet-standaard poort en lijkt te worden gebruikt voor command-and-control (C2) operaties. Het wordt gehost op DigitalOcean, een cloudprovider. De communicatie met de geïnfecteerde systemen gebeurt via een HTTP-interface. De dreiging is ernstig, gezien de geavanceerde C2-capaciteiten die Supershell biedt. Er wordt aangeraden om onmiddellijk het IP-adres te blokkeren, het verkeer naar de specifieke URL te monitoren en verdacht gedrag in de netwerken te onderzoeken. Bovendien moet men contact opnemen met DigitalOcean om de infrastructuur offline te halen.

WhatsApp-gebruikers worden momenteel doelwit van een phishingaanval waarbij aanvallers proberen toegang te krijgen tot accounts via gekoppelde apparaten. De aanval begint met een link naar een website die lijkt op een stemactie tussen twee atleten. Wanneer gebruikers op de link klikken, wordt hen gevraagd hun telefoonnummer in te voeren. Dit nummer wordt gebruikt om een verificatiecode aan te vragen bij de webinterface van WhatsApp, die vervolgens aan het slachtoffer wordt getoond. Het slachtoffer krijgt de instructies om deze code in te voeren bij gekoppelde apparaten. Zodra dit gebeurt, krijgt de aanvaller via WhatsApp Web toegang tot het account en de chatgesprekken. WhatsApp adviseert gebruikers om regelmatig te controleren welke apparaten gekoppeld zijn aan hun account en nooit verificatiecodes te delen. Kaspersky waarschuwt dat aanvallers misbruik maken van het vertrouwen dat gebruikers hebben in onschuldig lijkende activiteiten zoals online stemacties.

Bron 1

Het Model Context Protocol (MCP), een open standaard voor AI-integratie, blijkt kwetsbaar voor misbruik door kwaadwillenden. Het protocol maakt het mogelijk om verschillende tools en services te verbinden via natuurlijke taal, maar biedt een aanvalsvector voor hackers. Door gebruik te maken van valse servernamen en toolvervuiling kunnen aanvallers vertrouwelijke gegevens stelen zonder dat er sprake is van complexe malware. Bovendien kunnen supply chain-aanvallen plaatsvinden wanneer kwaadwillige MCP-servers zich als legitieme tools voordoen. Een voorbeeld van zo'n aanval werd getest door Kaspersky, waarbij een MCP-server via een populaire repository werd verspreid. Nadat deze werd geïnstalleerd, begon de server data van de ontwikkelomgeving en persoonlijke gegevens te exfiltreren. Kaspersky adviseert strikte controleprocedures voor serverinstallaties en het gebruik van virtuele omgevingen om risico's te minimaliseren.

Bron 1

Onderzoek van Red Canary en Zscaler heeft aangetoond dat hackers steeds geavanceerdere phishingmethoden gebruiken om Remote Monitoring and Management (RMM)-tools te installeren. In plaats van traditionele malware worden nu programma's zoals ITarian en Atera ingezet om administratortoegang te verkrijgen. Deze tools stellen aanvallers in staat om ransomware te verspreiden en andere schadelijke payloads uit te voeren. De aanvallen worden vaak gepresenteerd als nep Chrome-updates, Teams- of Zoom-uitnodigingen, en zelfs belastingformulieren. Deze lures zijn zo goed uitgewerkt dat ze nauwelijks te onderscheiden zijn van legitieme berichten, waardoor het voor gebruikers steeds moeilijker wordt om deze aanvallen te herkennen. Bedrijven wordt geadviseerd om werknemers te trainen in het herkennen van verdachte e-mails en links, en om strikte controles in te voeren op toegestane RMM-tools.

Bron 1

De Yurei ransomware, die begin september 2025 opdook, heeft snel aandacht getrokken door het gebruik van Go voor uitvoering en ChaCha20 voor encryptie. De eerste aanval werd gedocumenteerd op 5 september, waarbij een voedselbedrijf in Sri Lanka het slachtoffer werd. De aanvallers, die gebruikmaken van het double-extortion model, encrypten niet alleen bestanden, maar exfiltreren ook gevoelige gegevens. Binnen enkele dagen werden twee andere slachtoffers in India en Nigeria bekend. Yurei is gebaseerd op de open-source Prince-Ransomware en maakt gebruik van de mogelijkheden van Go voor gelijktijdige encryptie van meerdere drives. Het encryptieproces gebruikt een unieke ChaCha20-sleutel voor elk bestand, die vervolgens wordt beschermd met ECIES encryptie. Yurei’s gebrek aan verwijdering van Volume Shadow Copies biedt een kans voor herstel van bestanden zonder losgeld te betalen. Het gebruik van PowerShell voor het instellen van een aangepaste achtergrond werd ook opgemerkt, hoewel de bijbehorende URL niet valide was.

Bron 1

DarkCloud Stealer heeft zich recent gepositioneerd als een ernstige dreiging voor financiële organisaties, door middel van overtuigende phishingcampagnes. Aanvallers maken gebruik van gewapende RAR-bijlagen die zich voordoen als legitieme documenten, om een meervoudige JavaScript-gebaseerde payload te leveren. Wanneer de slachtoffer de RAR-archief opent, wordt een VBE-script uitgevoerd dat via Windows Script Host een PowerShell-downloader activeert, verborgen in ogenschijnlijk onschuldige afbeeldingsbestanden. Dit toegangspunt benut het vertrouwen van gebruikers in routineuze financiële correspondentie, wat een geautomatiseerd proces van decodering en decryptie in gang zet, ontworpen om traditionele beveiligingsmaatregelen te omzeilen. DarkCloud Stealer creëert daarna persistentie door een JavaScript-payload in het Windows-register te kopiëren en gebruikt procesinvoegtechnieken om opgeslagen inloggegevens uit browsers te stelen. De gestolen gegevens worden via FTP en HTTP naar dynamische domeinen geëxfiltreerd, waardoor netwerkdetectie moeilijk wordt.

Bron 1

Onderzoekers hebben een geavanceerde malwarecampagne ontdekt die zich over zeven jaar uitstrekt, waarbij de actoren achter de applicaties AppSuite-PDF en PDF Editor op systematische wijze gebruikmaakten van 26 misbruikte code-signing certificaten om hun kwaadaardige software legitiem te laten lijken. De actoren, die onder de naam BaoLoader worden gevolgd, verkregen deze certificaten via frauduleuze bedrijfsregistraties, met als doel gebruikers van PDF-bewerkingssoftware en productiviteitstoepassingen aan te vallen. De certificaten werden verkregen van gerenommeerde certificeringsinstanties, waaronder SSL.com, GlobalSign, DigiCert en Sectigo. De malware werd verspreid onder verschillende namen, zoals AppSuite-PDF, PDF Editor en PDFTools, en bood vaak achterdeurtjes voor verdere toegang. De campagne heeft zich door de jaren heen ontwikkeld van eenvoudige adware-distributie naar het inzetten van backdoor malware, wat aantoont hoe certificaatmisbruik de operationele continuïteit van een kwaadwillende campagne kan verlengen.

Bron 1

In juli 2025 introduceerde de door China georiënteerde dreigingsgroep Mustang Panda, ook wel bekend als Hive0154, geavanceerde malware waarmee ze lucht-gap systemen in Oost-Azië trachtte te infiltreren. De groep gebruikte de SnakeDisk USB-worm in combinatie met de Toneshell9 backdoor, wat hun cyberespionage capaciteiten verder ontwikkelde. Deze malware is in staat fysieke beveiligingsmaatregelen te omzeilen door gebruik te maken van USB-apparaten en wordt uitsluitend geactiveerd op systemen met een Thais IP-adres, wat duidt op gerichte operaties. De aanval komt op het moment van oplopende grensconflicten tussen Thailand en Cambodja, wat suggereert dat de campagne mogelijk een staatsondersteunde motivatie heeft. De malware gebruikt meerdere besmettingsmethoden, waaronder het verbergen van de kwaadaardige bestanden op USB-apparaten en het uitvoeren van complexe encryptie-algoritmes om de infectie te verbergen.

Bron 1

Sinds november 2024 heeft de BlackNevas ransomware zich gepositioneerd als een grote dreiging voor bedrijven en kritieke infrastructuren in Azië, Europa en Noord-Amerika. Deze geavanceerde malware combineert bestandscodering met gegevensdiefstal en eist losgeld, met de dreiging de gestolen informatie openbaar te maken indien de betaling niet binnen zeven dagen wordt voldaan. De groep richt zich met name op de regio Azië-Pacific, maar heeft ook aanzienlijke aanvallen uitgevoerd in West-Europa, de Baltische staten en Noord-Amerika. BlackNevas gebruikt een dubbele versleutelingstechniek, waarbij AES-sleutels worden beveiligd met RSA-versleuteling, en slaat systeem- en kritieke bestanden buiten de aanval om stabiliteit te waarborgen. De ransomware voegt een “.-encrypted” extensie toe aan getroffen bestanden en is ontworpen om de herstelmogelijkheden van slachtoffers te minimaliseren.

Bron 1

In juli 2025 begon een nieuwe aanvalscampagne waarbij cybercriminelen generative AI, zoals ChatGPT, inzetten om deepfake afbeeldingen van overheids-ID's te maken. Deze afbeeldingen werden ingebed in spear-phishing e-mails die antivirussoftware omzeilden. De e-mails, die zich voordeden als communicatie van militaire en veiligheidsinstellingen, bevatten links naar zogenaamde 'concept-ID-kaarten', die slachtoffers ertoe aanzetten kwaadaardige bestanden te downloaden. Deze bestanden voerden geavanceerde scripts uit die de infectie in verschillende fasen mogelijk maakten. De aanvallen maakten gebruik van technieken zoals environment-variable slicing en obfuscatie om de detectie door antivirussoftware te ontwijken. De campagne is een voorbeeld van hoe AI kan worden gecombineerd met traditionele aanvalsmethoden om netwerken te infiltreren. Bedrijven wordt aangeraden hun verdedigingen uit te breiden met gedragsanalyse en endpoint-detectie om dergelijke geavanceerde bedreigingen te identificeren.

Bron 1

Op 15 september 2025 werd een vermeende verkoop van een Google 0-day kwetsbaarheid op het darkweb gemeld. De kwetsbaarheid betreft een redirectieprobleem in de zoekmachine van Google, wat kan worden misbruikt door aanvallers om gebruikers naar malafide websites te leiden. De kwetsbaarheid wordt aangeboden voor een prijs van 75.000 dollar. Deze ontdekking benadrukt de groeiende dreiging van zero-day kwetsbaarheden op het darkweb en de lucratieve markt die zich heeft gevormd rondom de verkoop van dergelijke kwetsbaarheden. Het incident roept zorgen op over de beveiliging van de platformen van Google en de snelheid waarmee cybercriminelen toegang kunnen krijgen tot kritieke kwetsbaarheden.

SmokeLoader, een bekende malwareloader die sinds 2011 actief is, heeft twee nieuwe versies geïntroduceerd: versie 2025 alpha en versie 2025. Deze updates bevatten belangrijke bugfixes die de prestaties van het geïnfecteerde systeem verbeteren. SmokeLoader is een modulaire malware die tweede-golf payloads zoals trojans, ransomware en datadieven kan downloaden. De nieuwe versies verbeteren de manier waarop de malware zich verbergt tegen detectie door statische en gedragsgebaseerde systemen. De belangrijkste wijziging is de toevoeging van een mutexcontrole die voorkomt dat de malware herhaaldelijk hetzelfde proces injecteert. Ook zijn er verbeteringen in het netwerkprotocol en de bestendigheid tegen analyseprogramma’s. SmokeLoader blijft in gebruik door verschillende dreigingsactoren, ondanks de inspanningen van Operation Endgame om eerdere versies te stoppen. De nieuwste versies hebben al uitgebreide updates ondergaan en zijn voorzien van een geoptimaliseerde code en netwerkbeveiliging.

Bron 1

Google heeft bevestigd dat hackers een frauduleus account hebben aangemaakt in hun Law Enforcement Request System (LERS). Dit platform wordt gebruikt door wetshandhavingsinstanties om officiële gegevensaanvragen in te dienen. Google meldde dat het frauduleuze account inmiddels is uitgeschakeld, en dat er geen verzoeken zijn gedaan of gegevens zijn geraadpleegd via dit account. De hackers, een groep die zichzelf "Scattered Lapsus$ Hunters" noemt, beweerde toegang te hebben gekregen tot zowel het LERS-systeem van Google als het eCheck-systeem van de FBI. Ze deelden screenshots van de vermeende toegang. De aanval zorgde voor bezorgdheid, aangezien beide systemen essentieel zijn voor het aanvragen van gerechtelijke bevelen en noodsituatie-informatie van overheidsinstanties wereldwijd. De hackers, die eerder bekend werden door grootschalige datadiefstal, lieten weten tijdelijk "inactief" te zijn, maar cybersecurity-onderzoekers vermoeden dat ze hun aanvallen in stilte zullen voortzetten.

Bron 1

Onderzoekers hebben een nieuwe variant van de Rowhammer-aanvallen ontwikkeld, genaamd de Phoenix-aanval, die de nieuwste bescherming tegen Rowhammer-aanvallen op DDR5-geheugen van SK Hynix omzeilt. Rowhammer-aanvallen maken gebruik van snel herhaalde lees- en schrijfoperaties op specifieke geheugencellen om bitflips te veroorzaken, wat kan leiden tot gegevenscorruptie of verhoogde systeemprivileges. De onderzoekers ontdekten dat de Target Row Refresh (TRR) bescherming, die bedoeld is om dergelijke aanvallen te voorkomen, niet effectief was bij bepaalde geheugenrefresh-intervallen. Ze ontwikkelden een methode waarmee de Phoenix-aanval de bescherming kan omzeilen en in minder dan twee minuten root-toegang kan verkrijgen op een standaard DDR5-systeem. De aanval kan niet alleen de systeembeveiliging ondermijnen, maar ook gevoeligheden in encryptiesleutels en gebruikersrechten blootleggen. De kwetsbaarheid is geregistreerd als CVE-2025-6202 en heeft een hoge ernst. Dit probleem kan alleen worden verholpen door de refresh-intervallen te verhogen, wat echter kan leiden tot systeeminstabiliteit.

Download pdf document

Op 16 september 2025 werd de opkomst van een nieuwe dreigingsactor aangekondigd, de Coinbase Cartel. Deze groep heeft zich bekendgemaakt door een reeks datalekken in verschillende sectoren en regio’s op zich te nemen. De groep heeft inmiddels tien vermeende slachtoffers geïdentificeerd, verspreid over de logistieke, financiële, juridische, IT, productie- en telecomsectoren. De slachtoffers omvatten grote bedrijven, zoals NTT Data uit Japan, SK Telecom uit Zuid-Korea, en CEVA Logistics uit Nederland. Daarnaast werden ook bedrijven in de VS, India en Canada genoemd. De groep lijkt zich te richten op diverse industrieën, wat wijst op een bredere dreiging. De betrokkenen van de groep zijn nog niet volledig geïdentificeerd, maar de ontdekking markeert een nieuwe fase in de voortdurende strijd tegen cyberdreigingen wereldwijd.

Een schadelijke update van de populaire npm-package @ctrl/tinycolor is ontdekt als onderdeel van een bredere supply chain-aanval, waarbij meer dan 40 pakketten van verschillende maintainers zijn getroffen. De gecompromitteerde versie bevatte een functie die automatisch een pakket aanpaste, een lokaal script injecteerde en dit opnieuw publiceerde, wat leidde tot de verspreiding van een trojaans paard. Het kwaadwillige script, gedetecteerd door Socket Research, zoekt op systemen naar tokens en cloudreferenties, en kan deze gebruiken om toegang te verkrijgen tot ontwikkelaarsaccounts en repositories. De impact van de aanval is breed, aangezien de getroffen packages een groot aantal wekelijkse downloads hebben, waaronder @ctrl/tinycolor, dat 2,2 miljoen keer per week wordt gedownload. De aanval stelt kwaadwillenden in staat om gevoelige gegevens van ontwikkelaars en CI-systemen te stelen. Gebruikers wordt geadviseerd kwetsbare versies te verwijderen en hun omgevingen te controleren op ongeautoriseerde publicaties.

Bron 1

Een recent ontdekte FileFix-aanval maakt gebruik van steganografie om de StealC-malware te installeren via een sociale-engineering-aanval. Deze aanval, die zich voordoet als een waarschuwing voor een Meta-accountbeëindiging, misleidt gebruikers om een PowerShell-opdracht in de Windows Verkenner te plakken, waarmee schadelijke code op hun apparaten wordt uitgevoerd. De aanval maakt gebruik van een afbeelding die in werkelijkheid een verborgen PowerShell-script bevat, waarmee de malware wordt gedownload en uitgevoerd. Het doel van de StealC-malware is het stelen van gevoelige gegevens, zoals browsergegevens, wachtwoorden voor cryptowallets en cloud-inloggegevens. De aanval is geobserveerd in verschillende varianten, waarbij verschillende payloads en afleidingen worden gebruikt om detectie te omzeilen. Organisaties wordt aangeraden hun medewerkers te waarschuwen voor deze nieuwe phishingtechnieken en het gevaar van het kopiëren van gegevens naar onschuldige systeemdialoogvensters.

Bron 1

RevengeHotels, een cyberdreigingsgroep die sinds 2015 actief is, richt zich opnieuw op hotels in Latijns-Amerika. Deze campagne maakt gebruik van phishing-e-mails met factuuraanvragen, die slachtoffers naar websites leiden die vervolgens kwaadaardige scripts downloaden. Deze scripts installeren VenomRAT, een krachtige remote access Trojan (RAT), op de getroffen systemen. Wat deze aanval nieuw maakt, is het gebruik van AI-gegenereerde code, wat de aanvalstechnieken verfijnt en het moeilijker maakt om deze te detecteren. VenomRAT kan onder andere gegevens stelen, processen saboteren en zich via USB verspreiden. De aanvallen richten zich voornamelijk op hotels in Brazilië, maar ook op andere Spaanse- en Portugeestalige markten. De groep maakt gebruik van legitieme hostingservices om de malware te verspreiden en past continu hun tactieken aan om detectie te vermijden.

Bron 1

Het AISURU-botnet, bestaande uit 300.000 gekaapte routers, heeft een recordbrekende DDoS-aanval van 11,5 Tbps gelanceerd. Dit botnet maakte gebruik van een kwetsbaarheid in Totolink-routerfirmware om apparaten wereldwijd te infecteren, waardoor het verkeer naar doelwitten werd overspoeld. De aanval veroorzaakte wereldwijd storingen bij belangrijke infrastructuurleveranciers. De methode omvatte het gebruik van GRE-tunneling voor het verdelen van het verkeer over meerdere servers en innovatieve technieken om traditionele mitigatietools te omzeilen. AISURU is bijzonder geavanceerd, met een modulaire structuur die snelle updates van protocollen en aanvalsinstructies mogelijk maakt zonder de malware volledig te herschrijven. Het botnet blijft zich snel uitbreiden, wat aangeeft dat het potentieel voor nog krachtigere aanvallen toeneemt.

Bron 1

Sinds mei 2025 is de malware "Maranhão Stealer" opgedoken, die zich verspreidt via piraten-gamingsoftware. Deze malware wordt geleverd via valse websites die gekraakte game-launchers en cheats aanbieden. Het steelt inloggegevens door trojaanse installers te gebruiken die onschuldig lijken maar verborgen kwaadaardige code bevatten. Wanneer de malware wordt uitgevoerd, pakt deze een geïnfecteerde Node.js-binaire op die in een Inno Setup-bestand is verpakt. Het infectieproces is onopgemerkt, zodat gevoelige gegevens in de achtergrond kunnen worden verzameld. De malware richt zich vooral op inloggegevens van browsers zoals Chrome, Edge en Brave, en cryptocurrency-wallets zoals Electrum en Exodus. Verder voert de malware uitgebreide systeem- en netwerkonderzoeken uit om meer informatie over het slachtoffer te verzamelen. Maranhão Stealer maakt gebruik van geavanceerde injectie-technieken en cloudgebaseerde distributie om detectie te ontwijken, waardoor het een complexe bedreiging vormt voor gebruikers van piratensoftware.

Bron 1

Een lopende supply chain-aanval heeft verschillende npm-pakketten van CrowdStrike gecompromitteerd. Deze aanval lijkt een voortzetting te zijn van de "Shai-Halud" campagne, die eerder al de tinycolor-pakketten en meer dan veertig andere pakketten aantastte. Het kwaadaardige script dat in de getroffen pakketten werd aangetroffen, bevat een bundle.js-bestand dat de tool TruffleHog downloadt en uitvoert. Deze tool zoekt naar tokens en cloud-credentials op systemen en valideert deze. Vervolgens maakt het ongeautoriseerde GitHub Actions-workflows aan in repositories en exfiltreert gevoelige gegevens naar een hardcoded webhook. De getroffen pakketten zijn inmiddels uit de npm-registry verwijderd. Het wordt aanbevolen om getroffen versies van de pakketten onmiddellijk te verwijderen of terug te zetten naar een veilige versie en om omgevingen te auditen op ongeautoriseerde activiteiten.

Bron 1

De KillSec ransomware heeft zich gepositioneerd als een ernstige bedreiging voor de IT-infrastructuren van zorginstellingen in Latijns-Amerika en daarbuiten. De aanvallers maken gebruik van kwetsbaarheden in de softwareleveringsketen om hun ransomware op grote schaal te verspreiden. De eerste tekenen van compromittering werden opgemerkt toen Braziliaanse zorgverleners ongebruikelijke netwerkverkeer vanuit cloudopslag meldden. KillSec maakt gebruik van eenvoudige exfiltratiemethoden, zoals open AWS S3-buckets, gecombineerd met geavanceerde encryptie-algoritmes, wat zorgt voor grote impact terwijl de aanvallen moeilijk te detecteren zijn. De aanvallers gebruiken ongeteste webapplicaties en verkeerd geconfigureerde cloudopslag om toegang te krijgen tot netwerken. Het malwareprogramma verspreidt zich via interne netwerken en verzamelt gevoelige medische gegevens. De ransomware-eisen worden gevolgd door het openbaar maken van gestolen gegevens via het dark web, wat leidt tot publieke shaming van de slachtoffers. Tot nu toe heeft KillSec meer dan 34 GB aan gegevens gestolen.

Bron 1

Onderzoekers hebben een nieuwe bedreiging geïdentificeerd waarbij kwaadwillende actoren code-assistenten, zoals AI-gestuurde tools, kunnen misbruiken om verborgen backdoors in software in te voegen. Dit gebeurt door externe, besmette gegevensbronnen, zoals publieke repositories of documenten, in de workflow van de code-assistent te injecteren. Deze malafide gegevens worden door de assistent verwerkt als legitieme invoer, waardoor ontwikkelaars onbedoeld schadelijke code in hun projecten opnemen. De geïntroduceerde backdoors kunnen onopgemerkt blijven tijdens de code-reviews en de automatisering van de ontwikkelomgevingen, waardoor de aanval het systeem kwetsbaar maakt voor aanvallers. De geïnfecteerde code kan bijvoorbeeld een verbinding maken met een extern command-and-control (C2) server en ongeautoriseerde toegang verschaffen. Deze kwetsbaarheid wordt als ernstig beschouwd, vooral gezien de toenemende autonomie van AI-tools in ontwikkelomgevingen.

Bron 1

Het overzicht van misbruikte kwetsbaarheden in Nederland en België toont de meest actuele beveiligingsdreigingen die wereldwijd worden aangevallen. De lijst bevat kwetsbaarheden in verschillende producten, variërend van routers tot bedrijfssoftware, en biedt gedetailleerde informatie over het aantal aanvallen, de impact op IoT-apparaten, en de aanwezigheid van ransomware. Vooral kwetsbaarheden in populaire software zoals Microsoft .NET Framework, Cisco routers en QNAP NAS-apparaten vallen op, die regelmatig worden doelwit van cyberaanvallen. De informatie wordt verzameld via honeypot-sensoren die helpen bij het identificeren van de meest urgente risico’s, zodat organisaties prioriteit kunnen geven aan het patchen van systemen. Aandacht wordt gevraagd voor de kwetsbaarheid CVE-2024-29059 in het Microsoft .NET Framework, die door veel bedrijven wordt gebruikt. Het rapport benadrukt het belang van regelmatige updates en beveiligingsmaatregelen om cyberdreigingen te mitigeren.

Naar overzicht

Er is een Indicator of Compromise (IOC) gedetecteerd die een URL bevat die mogelijk wordt gebruikt voor de Command-and-Control (C2)-infrastructuur van de Lumma Stealer-malware. De betreffende URL, mikhail-bulgakov[.]su/login, lijkt een inlogpaneel te hosten dat typisch is voor botnet-beheerportalen, met ondersteuning voor twee-factor-authenticatie. De vertrouwensgraad voor deze IOC is vastgesteld op 50%, wat betekent dat er een mogelijke link is naar Lumma Stealer, maar deze nog niet volledig is bevestigd. Dit wijst op een mogelijke uitbreiding van de botnet-infrastructuur en vraagt om nader onderzoek. Aanbevolen wordt om het domein mikhail-bulgakov[.]su te blokkeren op DNS-, proxy- en endpointlagen. Verder wordt geadviseerd om endpointlogs en geheugenartefacten te monitoren op tekenen van Lumma Stealer-infecties.

Er is een nieuwe ransomwaregroep geïdentificeerd met de naam BlackShrantac. Deze groep richt zich op zowel kleine als grote bedrijven en gebruikt geavanceerde encryptietechnieken om gegevens te gijzelen. BlackShrantac maakt gebruik van een mix van bekende kwetsbaarheden en op maat gemaakte malware om toegang te krijgen tot doelwitten. De groep heeft zichzelf gepresenteerd als een ernstige dreiging, met potentieel destructieve gevolgen voor bedrijven die niet adequaat zijn voorbereid. Cyberbeveiligingsdeskundigen waarschuwen voor een toename van aanvallen van deze groep, gezien hun geavanceerde aanpak en het gebruik van meerdere aanvalsmethoden. Organisaties wordt geadviseerd hun systemen te patchen en regelmatig back-ups te maken om zich te beschermen tegen dit type dreiging.

Op 16 september 2025 gaf Arcusmedia Ransomware een aankondiging via hun Onion-portaal. Ze kondigden aan dat hun project een herbranding heeft ondergaan, met nieuwe namen en aliassen, maar de structuur is in wezen hetzelfde gebleven. De affiliatiepolitiek is veranderd: men accepteert geen betalingen om lid te worden. In plaats daarvan is er een eenvoudige uitdaging (CTF) gestart voor BlackHats. De regels zijn simpel: deelnemers moeten doelwitten vinden die betrekking hebben op netwerken of producten van bedrijven, met prijzen voor de juiste ontdekkingen. Targets worden pas gepubliceerd zodra het evenement begint, en de pagina voor affiliates is geopend.

Op 17 september 2025 werd bekend dat meerdere npm-pakketten van CrowdStrike zijn gecompromitteerd in het kader van een lopende supply chain-aanval, aangeduid als de Shai-Halud-aanval. De aanvallers hebben toegang gekregen tot pakketten via het crowdstrike-publisher account. De malware, verborgen in het bestand bundle.js, voert de tool TruffleHog uit om API-tokens en cloud-gegevens te stelen. Vervolgens maakt de malware gebruik van GitHub Actions voor persistentie, waarna de gestolen gegevens naar een webhook van de aanvaller worden verstuurd. Deze aanval benadrukt de kwetsbaarheden in de supply chain van populaire softwareplatforms zoals npm, waar aanvallers gevoelige gegevens kunnen verzamelen en misbruiken.

Een nieuwe malware-aanval richt zich op de npm-package manager, die wordt gebruikt in de JavaScript-omgeving Node.js. Onderzoekers waarschuwen dat de malware al vijfhonderd npm-packages heeft geïnfecteerd, waaronder packages van cybersecuritybedrijf CrowdStrike. De malware is via de populaire tinycolor npm-package verspreid, die meer dan 2,2 miljoen wekelijkse downloads heeft. Na installatie zoekt de malware op het systeem van ontwikkelaars naar toegangstokens en voegt zichzelf toe aan andere npm-packages. Daarnaast verzamelt de malware inloggegevens en andere geheime data, die vervolgens naar een publieke GitHub repository worden geüpload. Dit heeft geleid tot een compromis van verschillende softwareontwikkelaars. CrowdStrike heeft inmiddels de geïnfecteerde packages verwijderd en alle sleutels in publieke registraties aangepast. Het bedrijf heeft verklaard dat de gecompromitteerde packages geen deel uitmaken van hun Falcon-beveiligingssoftware.

De cybercriminaliteitsgroep Scattered Spider, die eerder beweerde zich terug te trekken, heeft zich opnieuw gemanifesteerd met een reeks gerichte aanvallen op de Amerikaanse financiële sector. De groep, die bekend staat om zijn gebruik van sociale manipulatie via Azure AD en clouddata-exfiltratie, heeft toegang verkregen tot gevoelige IT- en beveiligingsdocumenten van een niet nader genoemde bankorganisatie. De aanvallers gebruikten aanvallen op Citrix-omgevingen en VPN's, en compromitteerden VMware ESXi-infrastructuur om toegang te verkrijgen tot netwerken en virtuele machines te verplaatsen om detectie te vermijden. Desondanks wordt aangenomen dat de groep niet echt is gestopt, maar zich strategisch terugtrekt om de druk van wetshandhavingsinstanties te verlichten. Er is twijfel over de waarheidsgetrouwheid van hun claim om te stoppen, aangezien cybercriminelen vaak een nieuwe identiteit aannemen of tijdelijk inactief worden om uiteindelijk weer actief te worden.

Bron 1

In de eerste helft van 2025 werd een alarmerende stijging van cyberaanvallen op API-omgevingen geregistreerd, met meer dan 40.000 incidenten in 4.000 gecontroleerde omgevingen. Cybercriminelen hebben API's geïdentificeerd als kwetsbare toegangspunten in moderne digitale infrastructuren, wat hen in staat stelt volledig geautomatiseerde aanvallen uit te voeren zonder menselijke tussenkomst. Deze aanvallen zijn complexer geworden en omvatten nu geavanceerde manipulatie van zakelijke logica, waarbij legitieme API-functionaliteit wordt misbruikt om ongeautoriseerde doelen te bereiken. Vooral financiële systemen worden zwaar getroffen, met 26% van de incidenten gericht op betalingsverwerkers en gegevensaccesspunten. Het gebruik van geautomatiseerde frameworks en proxy-netwerken maakt deze aanvallen moeilijker te detecteren, terwijl technieken zoals parametermanipulatie en sessie-token manipulatie de effectiviteit vergroten. De campagnes kunnen weken of maanden actief blijven door gespreide aanvallen en het modulerend uitvoeren van verzoekfrequenties.

Bron 1

XillenStealer is een nieuwe Python-gebaseerde stealer die zich richt op Windows-gebruikers. Het werd eind september 2025 op GitHub ontdekt en is snel door cybercriminelen omarmd. Deze malware biedt een gebruiksvriendelijke GUI waarmee aanvallers gegevens kunnen extraheren van webbrowsers, cryptocurrency-portefeuilles, gaming-applicaties en communicatiemiddelen zoals Telegram. Na installatie verzamelt XillenStealer gevoelige informatie, zoals wachtwoorden en systeemprofielen, en verstuurt deze via een Telegram-bot. Het maakt gebruik van bekende Python-bibliotheken zoals psutil en pyTelegramBotAPI om data te verzamelen. Daarnaast is de malware ontworpen om persistent te blijven door automatische taken in te stellen, waardoor het ook na een herstart van het systeem blijft draaien. De stealer wordt als een commodity-tool aangeboden op illegale marktplaatsen en toont de voortdurende professionalisering van cybercriminaliteit.

Bron 1

De PureHVNC RAT, onderdeel van de Pure malwarefamilie, is een geavanceerd hulpmiddel voor cybercriminelen dat wordt verkocht door PureCoder. Het wordt steeds vaker ingezet in gerichte aanvalscampagnes. Het malwarepakket bevat verschillende tools, zoals PureCrypter en PureMiner, en maakt gebruik van phishing-aanvallen via de ClickFix-methode. Slachtoffers worden misleid met valse vacatures om schadelijke scripts uit te voeren. De aanvallers gebruiken GitHub om ondersteunende modules te hosten, waaronder browserdrivers en plug-inbestanden die essentieel zijn voor functionaliteiten zoals TwitchBot en YouTubeBot. Het malwareplatform is ontworpen om onopgemerkt te blijven, met technieken zoals geplande taken die zich voordoen als legitieme Google-services en UAC-elevatie via PowerShell. Het stelt aanvallers in staat om volledige systeemcontrole uit te voeren en gegevens te stelen zonder gedetecteerd te worden door real-time beveiliging.

Bron 1

Cybercriminelen maken steeds vaker gebruik van digitale advertentietechnologie om malware te verspreiden. In plaats van alleen bestaande platformen te misbruiken, opereren ze nu als de platformen zelf, wat leidt tot een complexe en misleidende structuur die de verantwoordelijkheid vermijdt. Een onderzoek onthulde een grootschalige operatie van de dreigingsactor Vane Viper, die actief was in honderdduizenden websites en ongeveer één biljoen DNS-verzoeken per jaar genereerde. Deze malvertisingcampagne bereikt wereldwijd duizenden getroffen websites, waarbij advertenties worden geplaatst op gaming-, shopping- en blogsites. De aanval maakt gebruik van een netwerk van 60.000 domeinen en implementeert browserpushmeldingen om voortdurende toegang tot de systemen van slachtoffers te behouden. Door de inzet van geavanceerde technieken, zoals het manipuleren van browsergedrag via JavaScript, wordt een persistent netwerk van kwaadaardige advertenties opgebouwd. De campagne heeft bewezen moeilijk te stoppen door de dynamische domeinnaamstrategie.

Bron 1

Aanvallers hebben toegang gekregen tot firewall-configuratiebestanden van klanten van SonicWall via de cloudback-updienst van het bedrijf. Deze configuratiebestanden bevatten gevoelige informatie over de firewalls en kunnen worden misbruikt voor verdere aanvallen. SonicWall meldt dat de aanvallers via bruteforce-aanvallen toegang kregen tot de back-ups van minder dan vijf procent van de klanten. Hoewel de inloggegevens in de configuratiebestanden versleuteld zijn, maakt de gestolen informatie het mogelijk om de kwetsbare firewalls aan te vallen. SonicWall raadt klanten aan om hun cloudback-upinstellingen te controleren en inloggegevens onmiddellijk te resetten. Verdere details over de aanval zijn vooralsnog niet verstrekt.

Bron 1, 2

De cybercriminaliteitsgroep ShinyHunters beweert meer dan 1,5 miljard Salesforce-gegevens te hebben gestolen van 760 bedrijven door gebruik te maken van gecompromitteerde Salesloft Drift OAuth-tokens. De aanvallers richtten zich het afgelopen jaar op Salesforce-klanten via sociale-engineeringtechnieken en kwaadaardige OAuth-applicaties. De gestolen gegevens omvatten informatie uit Salesforce-tabellen zoals “Account”, “Contact”, “Case”, “Opportunity” en “User”. De aanvallers hebben de gegevens gebruikt om bedrijven te chanteren met de dreiging van openbare lekken. Dit incident heeft grote gevolgen gehad voor bedrijven zoals Google, Cloudflare en Zscaler, die getroffen werden door de aanvallen. De FBI waarschuwde voor de dreiging van de UNC6040- en UNC6395-groepen, die actief blijven ondanks de recente claims van de aanvallers om hun activiteiten te stoppen.

Bron 1

In augustus 2025 ontdekte Zscaler ThreatLabz twee kwaadaardige Python-pakketten, sisaws en secmeasure, die een Remote Access Trojan (RAT) genaamd SilentSync verspreiden. Deze RAT stelt aanvallers in staat om op afstand commando’s uit te voeren, bestanden te stelen, schermen vast te leggen en browserdata te verkrijgen, zoals wachtwoorden en cookies. De pakketten werden geïntroduceerd via typosquatting van legitieme Python-pakketten en richten zich specifiek op Windows-systemen. SilentSync maakt verbinding met een command-and-control-server via HTTP en ondersteunt verschillende opdrachten, waaronder het extraheren van browsergegevens en het exfiltreren van bestanden. Dit incident benadrukt de risico's van supply chain-aanvallen binnen openbare softwarerepositories, waar kwaadaardige actoren misbruik maken van vertrouwde bronnen om gevoelige informatie te verzamelen.

Bron 1

Een nieuwe Magecart-stijl aanval is ontdekt, waarbij kwaadaardige JavaScript-code wordt geïnjecteerd in e-commerce websites om gevoelige betaalgegevens te stelen. De aanval, die begon in september 2025, maakt gebruik van obfuscated (verduisterde) JavaScript om onopgemerkt gegevens zoals creditcardnummers en factuuradressen te verzamelen via geïnfecteerde afrekenpagina's. De geïnjecteerde code is ontworpen om te ontsnappen aan detectie door beveiligingssystemen. Het kwaadwillende script wordt gehost op door aanvallers gecontroleerde domeinen, zoals cc-analytics.com. De verkregen gegevens worden via een backend-server naar een externe locatie verzonden. De aanvallers maken gebruik van geavanceerde technieken zoals DNS-passieve en infrastructuur-fingerprinting om de aanval verder te verspreiden, en het malwaregebruik is gekoppeld aan verschillende domeinnamen. Deze aanval vormt een ernstige bedreiging voor webwinkelbeveiliging wereldwijd.

Bron 1

Sinds begin 2025 zijn er aanwijzingen voor een opkomst van de activiteiten van MuddyWater, een door de Iraanse staat gesponsorde APT-groep. De aanvallers, die aanvankelijk exploits voor remote monitoring and management (RMM) gebruikten, zijn overgestapt op gerichte campagnes met behulp van op maat gemaakte malware en multi-stage payloads om detectie te omzeilen. De groep maakt gebruik van specifieke backdoors zoals BugSleep, StealthCache en Phoenix. Aanvallen beginnen met spear-phishing-e-mails die kwaadaardige Microsoft Office-documenten bevatten. Deze documenten leveren een initiële payload die vervolgens andere payloads van Cloudflare-beschermde domeinen downloadt. De malware maakt gebruik van Cloudflare om de ware herkomst van de infrastructuur te maskeren, waardoor het moeilijker wordt om de C2-servers te traceren. Dit geavanceerde infectiemodel versterkt de persistentie van de malware en maakt het moeilijk om netwerkverkeer te analyseren.

Bron 1

Raven Stealer is een malware die voornamelijk gebruikers van Chromium-gebaseerde browsers, zoals Google Chrome, aanvalt om gevoelige gegevens te stelen. Deze malware, die voor het eerst werd waargenomen in het midden van 2025, heeft een modulaire opzet die het in staat stelt om gegevens onopgemerkt te verzamelen. Het wordt meestal verspreid via gekraakte software en ondergrondse forums, waarbij social engineering technieken worden gebruikt om gebruikers te overtuigen de schadelijke software te installeren. Zodra het actief is, zoekt Raven Stealer naar versleutelde gegevens in browserbestanden, zoals wachtwoorden en betalingsgegevens, en haalt deze informatie uit de opslag van de browser. De malware werkt volledig in het geheugen en vermijdt detectie door geen gegevens op de harde schijf op te slaan. Geëxfiltreerde gegevens worden via de Telegram Bot API naar de aanvallers verzonden.

Bron 1

De Pixie Dust-aanval maakt misbruik van kwetsbaarheden in het Wi-Fi Protected Setup (WPS)-protocol, waardoor aanvallers de WPS-PIN van een router offline kunnen achterhalen en vervolgens het draadloze netwerk kunnen betreden. De aanval richt zich op zwakke willekeurige getallen in het proces van WPS, waardoor de veiligheid van het protocol kan worden omzeild zonder nabijheid of complexe hardware. Aanvallers kunnen de PIN in enkele minuten achterhalen door de niet-cryptografische waarden, zogenaamde nonces, te herhalen of voorspellen. Dit stelt hen in staat de netwerkbeveiliging te omzeilen, zelfs als WPA2 intact blijft. De enige betrouwbare manier om deze aanval te voorkomen is het uitschakelen van WPS of het toepassen van firmware-updates die de willekeurigheid van de nonces verbeteren. Gebruikers wordt dringend geadviseerd hun routers te controleren en de WPS-functie uit te schakelen om onbedoelde toegang te voorkomen.

Download rapport

De Python Software Foundation heeft alle PyPI-tokens ingetrokken die zijn gestolen tijdens de GhostAction-aanval begin september. Hoewel de aanvallers enkele tokens hebben buitgemaakt, werd geen bewijs gevonden dat ze werden misbruikt om malware te publiceren op PyPI. De aanval werd ontdekt door GitGuardian, die meldde dat kwaadaardige GitHub Actions workflows, zoals FastUUID, probeerden PyPI-tokens te exfiltreren. Na het ontdekken van de aanval werkte GitGuardian samen met GitHub en PyPI om de getroffen repositories te waarschuwen en de tokens te roteren. Ondanks dat geen accounts op PyPI werden gecompromitteerd, werd besloten om alle getroffen tokens in te trekken en projectbeheerders te adviseren om hun beveiligingsinstellingen te herzien en Trusted Publishers-tokens te gebruiken ter bescherming tegen toekomstige aanvallen.

Bron 1

Microsoft 365 is een essentieel platform voor veel bedrijven, maar zijn dominantie maakt het een aantrekkelijk doelwit voor cybercriminelen. Met meer dan 400 miljoen betalende gebruikers wereldwijd, biedt het een enorm doelwit voor aanvallers die hun campagnes willen richten op een enkel platform met een groot bereik. De integratie van verschillende applicaties zoals Outlook, SharePoint, Teams en OneDrive vergroot het aanvalsvlak, doordat aanvallers via één kwetsbaarheid toegang kunnen krijgen tot meerdere diensten. Vooral de zwaktes in de back-upsystemen van Microsoft 365 worden vaak over het hoofd gezien. Deze systemen kunnen schadelijke content bewaren, wat later hersteld kan worden en de aanvallen vergroot. Het beveiligen van Microsoft 365 vereist geavanceerde strategieën, zoals zero-trust architectuur en uitgebreidere beveiligingsmaatregelen voor alle toepassingen. Bedrijven moeten hun beveiliging aanpassen aan de risicospecifieke kenmerken van cloud-gebaseerde platforms zoals Microsoft 365 om een effectieve bescherming te waarborgen.

Bron 1

De beheerders van de SystemBC proxy botnet zijn op zoek naar kwetsbare commerciële virtuele private servers (VPS) en onderhouden dagelijks gemiddeld 1.500 bots die dienen als een "snelweg" voor kwaadaardig verkeer. De geïnfecteerde servers zijn wereldwijd verspreid en vertonen verschillende beveiligingsproblemen, met ten minste één onopgeloste kritieke kwetsbaarheid per server. SystemBC is sinds 2019 actief en is gebruikt door diverse bedreigingsactoren, waaronder ransomwaregroepen, om payloads af te leveren. Het malware-netwerk stelt aanvallers in staat om kwaadaardig verkeer te routeren via geïnfecteerde hosts, wat het moeilijker maakt om command-and-control-activiteiten te detecteren. Het netwerk heeft meer dan 80 command-and-control-servers en wordt gebruikt door andere criminele netwerken, waaronder een Russische webscrapingservice. Bijna 80% van de bots bestaat uit besmette VPS-systemen van grote commerciële aanbieders, wat zorgt voor een langere infectieduur en stabieler verkeer.

Bron 1

Onderzoekers hebben de opkomst van een nieuwe malwareloader ontdekt, genaamd CountLoader, die door Russische ransomwaregroepen wordt ingezet. Deze loader maakt het mogelijk om post-exploitatie tools zoals Cobalt Strike, AdaptixC2, en de PureHVNC RAT (remote access trojan) te leveren. De malware is in drie versies gedetecteerd: .NET, PowerShell, en JavaScript, en werd via phishingcampagnes in Oekraïne verspreid, waarbij gebruik werd gemaakt van PDF-bestanden die zich voordeden als berichten van de Nationale Politie van Oekraïne. CountLoader is onderdeel van de gereedschapsset van Initial Access Brokers (IAB’s) of wordt gebruikt door ransomware-affiliates verbonden aan groepen zoals LockBit, Black Basta, en Qilin. De loader maakt gebruik van meerdere methoden voor het downloaden van bestanden en het uitvoeren van malware, waaronder curl en PowerShell, en kan systeeminformatie verzamelen en zich zelf persistent maken op geïnfecteerde systemen.

Bron 1

SonicWall heeft zijn klanten aangespoord om hun wachtwoorden opnieuw in te stellen nadat een beveiligingsinbreuk de configuratie-back-ups van firewalls blootlegde. Het bedrijf ontdekte verdachte activiteiten gericht op de cloud-back-upservice voor firewalls, waarbij onbekende aanvallers toegang kregen tot de back-upbestanden van minder dan 5% van de klanten. Hoewel de in de bestanden opgeslagen gegevens waren versleuteld, bevatten de bestanden informatie die aanvallers mogelijk zouden kunnen helpen bij het misbruiken van de betreffende firewalls. SonicWall benadrukt dat de bestanden niet openbaar zijn gedeeld en dat het geen ransomware-aanval betrof. De aanval werd uitgevoerd via brute-force-aanvallen om toegang te krijgen tot de back-upbestanden. SonicWall heeft klanten aanbevolen om hun wachtwoorden en configuratiebestanden te controleren, toegang te beperken en bepaalde beveiligingsinstellingen bij te werken.

Bron 1

De 'shinysp1d3r' ransomware-as-a-service (RaaS) is een nieuwe dreiging die zich richt op VMware ESXi hypervisors. In ontwikkeling sinds midden 2025, infecteert deze ransomware ESXi clusters door gestolen SSO- of SSH-sleutels te gebruiken om toegang te krijgen. Zodra de ransomware actief is, wordt het systeem gemonteerd, worden virtuele machines gepauzeerd en begint de encryptie van VMDK-bestanden met AES-256. Het systeem schakelt bovendien de snapshot-functie uit om herstel te bemoeilijken. De ransomware is ontworpen om lateraal te verspreiden binnen clusters en biedt affiliates de mogelijkheid om de encryptieprocessen aan te passen, waaronder het selecteren van doelbestanden en het instellen van netwerkbeperkingen. De controlepaneel biedt ook een chatfunctie voor onderhandelingen met slachtoffers. Deze ransomware heeft al veel belangstelling gewekt in ondergrondse forums door zijn gebruiksvriendelijke interface en fouttolerantie.

Bron 1

GOLD SALEM, een cyberdreigingsgroep ook bekend als de Warlock Group, heeft sinds maart 2025 meer dan 60 bedrijven in Noord-Amerika, Europa en Zuid-Amerika getroffen met hun op maat gemaakte Warlock ransomware. Deze groep maakt gebruik van een dubbel-extortie-model, waarbij gestolen gegevens openbaar worden gemaakt via een Tor-gebaseerde lekwebsite als het losgeld niet wordt betaald. GOLD SALEM heeft een geavanceerde benadering van netwerkcompromissen, waarbij kwetsbaarheden in systemen zoals SharePoint worden misbruikt. Microsoft heeft de groep als Storm-2603 geïdentificeerd en suggereert met enige zekerheid dat de groep afkomstig is uit China. De groep heeft haar operatie versterkt door gebruik te maken van complexe vervormingstechnieken en heeft bovendien initial access brokers geworven. Hoewel de groep vooral commerciële doelen aanvalt, heeft ze ook overheidsdoelen buiten traditionele ransomwareveilige landen, zoals Rusland, in haar vizier.

Bron 1

Een geavanceerde phishingcampagne richt zich momenteel op Facebook-gebruikers door middel van zorgvuldig opgestelde e-mails die ontworpen zijn om inloggegevens te stelen. De aanvallers maken gebruik van Facebooks eigen waarschuwing voor externe URL's om schadelijke links te verbergen, zodat ze legitiem lijken, maar de slachtoffers naar valse inlogpagina's van Facebook leiden. De aanvallen beginnen met een e-mail die waarschuwt voor 'ongeautoriseerde toegangspogingen' of vraagt om accountactiviteit te verifiëren. De e-mail lijkt sterk op die van Facebook, met sociale media-iconen en disclaimer-teksten, wat gebruikers aanspoort om zonder argwaan door te klikken. De slachtoffers worden vervolgens naar een valse loginpagina geleid waar hun gegevens direct naar de aanvallers worden gestuurd. De campagne is meertalig en bereikt gebruikers wereldwijd. Dit type phishingcampagne maakt gebruik van Facebook's redirect-dienst om de link te verbergen, wat het voor beveiligingssystemen moeilijker maakt om de aanval te detecteren.

Bron 1

De wereldwijde spywaremarkt heeft zich tussen 1992 en 2024 verder uitgebreid, met 130 nieuwe entiteiten in 46 landen, wat het aantal geregistreerde organisaties op 561 brengt. Dit groeiende netwerk van surveillancebedrijven heeft ingrijpende gevolgen voor nationale veiligheid en mensenrechten. De markt wordt gedreven door een complexe structuur van investeerders, leveranciers, tussenpersonen en dochterondernemingen die samen een miljardenindustrie vormen. De VS is nu de grootste investeerder in deze industrie, waarbij Amerikaanse entiteiten aanzienlijke middelen naar controversiële spywareleveranciers sturen, waaronder die al gesanctioneerd door de Amerikaanse overheid. Onderzoek wijst uit dat spyware steeds geavanceerder wordt, met technieken zoals rootkits, keyloggers en versleutelde communicatiekanalen die gericht zijn op het verkrijgen van toegang tot gevoelige gegevens. Ondanks internationale inspanningen om deze markten in te perken, blijft de proliferatie van surveillance-technologieën zich versnellen.

Bron 1

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties aangespoord om hun mobile device management (MDM) systemen als "high-value assets" te behandelen en extra te beveiligen. De waarschuwing volgt op nieuwe informatie over malware die werd aangetroffen op systemen van Ivanti Endpoint Manager Mobile (Ivanti EPMM), een softwaretool die bedrijven helpt mobiele apparaten van medewerkers te beheren. Via een gecompromitteerd MDM-systeem kunnen aanvallers toegang krijgen tot beheerde apparaten. Eerder dit jaar werden kwetsbaarheden ontdekt in Ivanti EPMM die aanvallers in staat stelden willekeurige code uit te voeren. CISA deelt nu technische details over de gebruikte malware en benadrukt het belang van sterke beveiliging voor MDM-systemen, waaronder phishingbestendige multifactorauthenticatie en extra monitoring.

Bron 1

In augustus 2025 beweerde de Qilin ransomwaregroep verantwoordelijk te zijn voor 104 aanvallen wereldwijd, waarbij voornamelijk Remote Desktop Protocol (RDP) en VPN-exploits werden gebruikt. De aanvallen richtten zich op verschillende sectoren, van productie tot professionele diensten. De aanvallers gebruikten een dubbele afpersingstechniek, waarbij gegevens werden gestolen en geëxploiteerd voor betaling. Qilin’s aanvallen werden gekarakteriseerd door geavanceerde encryptieprocessen waarbij bestanden werden versleuteld met AES-CTR en daarna ransomnotes werden achtergelaten. Bij slachtoffers die weigerden te betalen, werd de gestolen data binnen 48 uur openbaar gedeeld. Het gebruik van slecht beveiligde inloggegevens en onbeschermde kwetsbaarheden stelde de aanvallers in staat om gemakkelijk toegang te krijgen en later bestanden op netwerkservers te versleutelen. Qilin's snelle stijging in activiteit maakt hen momenteel een van de meest invloedrijke ransomwaregroepen.

Bron 1

De nieuwe malware-loader 'CountLoader' maakt gebruik van gewapende PDF-bestanden om ransomware te verspreiden. Deze loader werd voor het eerst gedetecteerd in augustus 2025 en wordt geassocieerd met verschillende Russischtalige cybercriminelen, waaronder groeperingen zoals LockBit, BlackBasta en Qilin. CountLoader maakt gebruik van social engineering, vaak door zich voor te doen als een Oekraïense wetshandhavingsinstantie, om toegang te krijgen tot doelomgevingen. Het bevat verschillende varianten, waaronder JScript, .NET en PowerShell-versies, die elk unieke eigenschappen vertonen. Na infectie maakt de malware contact met een Command-and-Control (C2)-server, waarmee het aanvullende kwaadaardige payloads zoals Cobalt Strike en backdoors downloadt. Deze aanval richt zich voornamelijk op organisaties in Oost-Europa, met name op systemen die aan domeinen zijn gekoppeld. De infectie wordt vaak verspreid via phishing-pdf’s die zich voordoen als berichten van de Oekraïense politie.

Bron 1

In het tweede kwartaal van 2025 is het percentage ICS-computers waarop schadelijke objecten werden geblokkeerd, met 1,4 procentpunt gedaald naar 20,5%. Vergeleken met Q2 2024 is deze daling 3 procentpunt. Regionaal varieerde het percentage van geblokkeerde bedreigingen van 11,2% in Noord-Europa tot 27,8% in Afrika. De biometriële sector vertoonde het hoogste percentage geblokkeerde bedreigingen, maar er was een daling in alle onderzochte industrieën. Schadelijke objecten werden vaak gedetecteerd via internetbronnen, e-mailclients en verwijderbare opslagmedia. Er was een toename van de blokkering van verdachte internetbronnen en schadelijke documenten. Naast traditionele malware zoals spyware en ransomware, werden er ook wormen en virussen gedetecteerd die zichzelf verspreiden via verouderde software en netwerkfolders. De ontwikkeling van AutoCAD-malware blijft een zorg, hoewel het aantal gedetecteerde aanvallen in Q2 2025 afnam.

Bron 1

Ransomware blijft een van de meest destructieve dreigingen voor organisaties wereldwijd, ondanks aanzienlijke investeringen in preventie en detectie. Picus Security’s Blue Report 2025 toont aan dat de effectiviteit van preventie is afgenomen van 69% in 2024 naar 62% in 2025, met een verontrustende daling van 9% naar slechts 3% in de effectiviteit van data-exfiltratiepreventie. Dit maakt organisaties kwetsbaar voor aanvallen waarbij gegevens worden gestolen zonder encryptie. Het rapport toont ook aan dat zowel gevestigde als opkomende ransomware-families steeds effectiever worden in het omzeilen van verdedigingssystemen. Ransomwaregroepen maken gebruik van een breed scala aan technieken om hun aanvallen door te voeren, van loader-aanvallen tot datadiefstal, waarbij de verdediging vaak faalt op kritieke punten. De oplossing ligt in doorlopende validatie van verdedigingssystemen, zoals met Breach and Attack Simulation (BAS), om kwetsbaarheden vroegtijdig te identificeren en aan te pakken.

Bron 1

De phishing-as-a-service (PhaaS)-diensten Lighthouse en Lucid zijn verantwoordelijk voor een wereldwijde stijging van 25% in emailgebaseerde diefstal van inloggegevens. Deze diensten bieden phishing-software met vooraf geïnstalleerde sjablonen die zich voordoen als merken uit 74 landen. In totaal zijn er meer dan 17.500 phishing-domeinen geïdentificeerd, gericht op 316 merken wereldwijd. De platforms stellen klanten in staat om grootschalige phishing-aanvallen uit te voeren, met gerichte campagnes tegen onder andere overheidsinstellingen, financiële bedrijven en transportbedrijven. Phishing-campagnes maken gebruik van gedetailleerde technieken, zoals het vereisen van specifieke mobiele gebruikersagenten of proxy-landen om alleen de beoogde slachtoffers te treffen. Phishing-aanvallen verschuiven van platforms zoals Telegram naar e-mail, wat het moeilijker maakt om aanvallen te blokkeren. Ook zijn er nieuwe aanvallen die gebruik maken van homoglyph-aanvallen, waarbij valse domeinen bijna identiek zijn aan legitieme, wat de kans op slachtoffers vergroot.

Bron 1

Onderzoekers hebben een mogelijke link ontdekt tussen twee cybercriminaliteitsgroepen uit Jemen, de Belsen-groep en ZeroSeven-groep, na een uitgebreide analyse van hun aanvallen en werkwijzen. De Belsen-groep, actief sinds januari 2025, werd bekend door de publicatie van 1,6 GB aan gegevens van kwetsbare Fortinet FortiGate-apparaten. ZeroSeven-groep, die sinds juli 2024 opereert, is gespecialiseerd in datamonetisatie en heeft onder andere gegevens gestolen van Toyota in de VS. De link tussen de twee groepen werd gevonden door overeenkomsten in de aanvalspatronen, gebruikte formats voor aankondigingen, en hun communicatiekanalen. Beide groepen tonen sterke operationele overeenkomsten en hebben dezelfde beveiligingspraktijken, wat wijst op een mogelijke samenwerking of gedeelde middelen. Deze ontdekking benadrukt de groeiende dreiging van goed gecoördineerde cybercriminaliteit die zich richt op kritieke infrastructuren wereldwijd.

Bron 1

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over geavanceerde malware-aanvallen die gebruik maken van kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) systemen. De kwetsbaarheden, CVE-2025-4427 en CVE-2025-4428, stellen aanvallers in staat om volledige systeemcompromis en willekeurige code-uitvoering te bereiken. Cybercriminelen maken gebruik van een authenticatie-bypass en een code-injectie om ongeautoriseerde toegang te krijgen tot de EPMM-installaties, wat leidt tot het uploaden van malware. CISA heeft geavanceerde evasiemethoden geïdentificeerd waarbij de malware in verschillende delen wordt verzonden om beveiligingssystemen te omzeilen. Organisaties wordt dringend aangeraden om hun Ivanti EPMM-installaties bij te werken naar de nieuwste versies en extra beveiligingsmaatregelen in te stellen voor hun mobiele apparaatbeheersystemen.

Bron 1

Phishing-campagnes hebben een nieuwe dimensie gekregen door het gebruik van AI-gestuurde platformen. Aanvallers maken gebruik van geavanceerde technologieën om gepersonaliseerde e-mails en webpagina's te genereren, waarbij ze sociale media, bedrijfsberichten en gebruikersactiviteiten analyseren. Deze platformen creëren berichten die de communicatiestijl van het slachtoffer nabootsen, waardoor de kans op interactie groter wordt. Deze e-mails ontwijken veelvoorkomende filters door dynamische inhoud en vermijden bekende schadelijke trefwoorden. Ook worden authentieke SSL-certificaten en regionale IP-adressen gebruikt om de geloofwaardigheid van phishing-websites te vergroten. Daarnaast wordt real-time taalmodellen ingezet om phishing-sjablonen voortdurend aan te passen, zodat ze zich aanpassen aan de evoluerende verdedigingsmechanismen van e-mailbeveiliging. Onderzoekers van Trend Micro hebben verschillende clusters van deze AI-verbeterde phishing-aanvallen geïdentificeerd, die verschillende industrieën, zoals financiële diensten en gezondheidszorg, treffen.

Bron 1

Een nieuwe cyberaanval maakt gebruik van het legitieme remote monitoring en managementsoftware, ConnectWise ScreenConnect, nu bekend als ConnectWise Control. De aanvallers verspreiden gemanipuleerde installateurs van deze software die twee schadelijke payloads leveren: AsyncRAT en een aangepaste PowerShell RAT. Deze tactiek maakt gebruik van vertrouwde software, waardoor traditionele beveiligingsmaatregelen omzeild kunnen worden. De besmetting begint met een ogenschijnlijk onschuldige installatie van ScreenConnect, die via een VBS-script andere kwaadaardige componenten downloadt. De malware maakt gebruik van PowerShell en een native injector DLL om de geïnfecteerde systemen verder te compromitteren en persistentie te garanderen door periodieke taken in te stellen. Het gebruik van open mappen voor initiële staging maakt het moeilijker om de aanval snel te detecteren, wat wijst op een geavanceerd, meerfasig afleversysteem.

Bron 1

In juli 2025 werd Bevolkingsonderzoek Nederland getroffen door een cyberaanval, waarbij een ransomwaregroep genaamd Nova toegang kreeg tot gevoelige patiëntgegevens. Het datalek werd pas in september 2025 openbaar gemaakt, waardoor getroffen personen maandenlang in onzekerheid verkeerden. Gestolen gegevens omvatten persoonlijke informatie zoals namen, BSN-nummers, medische rapporten en communicatiegegevens, die nu op het darkweb circuleren. Dit verhoogt de risico’s van identiteitsdiefstal, medische oplichting en gerichte phishingaanvallen. Het is belangrijk om verdachte communicatie te vermijden, wachtwoorden te veranderen en je bankrekeningen te monitoren. Ook wordt geadviseerd om het datalek te melden bij de Autoriteit Persoonsgegevens en een identiteitsbeveiligingsdienst te overwegen. Bevolkingsonderzoek Nederland heeft getroffen personen geïnformeerd en werkt samen met autoriteiten om de daders te identificeren.

Lees uitgebreid artikel

Het FBI waarschuwt voor cybercriminelen die de website van het Internet Crime Complaint Center (IC3) vervalsen. Deze valse websites kunnen worden gebruikt om persoonlijke gegevens van slachtoffers te stelen, zoals namen, adressen, telefoonnummers, e-mailadressen en bankinformatie. De criminelen maken gebruik van subtiele aanpassingen in domeinnamen om hun sites geloofwaardig te laten lijken. Het FBI heeft enkele van deze nepwebsites geïdentificeerd, maar heeft geen specifieke aanvallen of domeinen genoemd. De autoriteiten adviseren internetgebruikers altijd direct www.ic3.gov in de adresbalk van hun browser in te voeren om het risico van phishing-aanvallen te vermijden. Het FBI benadrukt ook dat medewerkers nooit persoonlijk contact opnemen met slachtoffers om gestolen geld te herstellen of betalingen te vragen voor hulp bij terugvorderingen.

Bron 1

Een vermeende zero-day kwetsbaarheid in de systemen van E*TRADE en Google wordt momenteel aangeboden op het dark web. De prijs voor de exploit wordt aangeboden vanaf $10.000, wat aangeeft dat het een serieus risico vormt voor de betrokken platforms. Zero-day kwetsbaarheden, die nog niet bekend zijn bij de betrokken bedrijven, stellen aanvallers in staat om toegang te krijgen tot systemen zonder dat er beveiligingsmaatregelen kunnen worden genomen. De kwetsbaarheid kan leiden tot datalekken of het nemen van controle over accounts en systemen. Het is onbekend of deze kwetsbaarheid daadwerkelijk in de systemen van de genoemde bedrijven aanwezig is of dat het een valse aanbieding betreft. Het incident benadrukt het voortdurende gevaar van dark web-marktplaatsen waar dergelijke kwetsbaarheden verhandeld worden.

Onderzoekers hebben een zero-click kwetsbaarheid ontdekt in de Deep Research-agent van OpenAI's ChatGPT, die het mogelijk maakt voor aanvallers om Gmail-gegevens van slachtoffers te lekken met slechts één e-mail, zonder dat de gebruiker actie hoeft te ondernemen. Deze aanval, genaamd ShadowLeak, maakt gebruik van verborgen HTML-promptinstructies in e-mails die onopgemerkt blijven, terwijl de agent de opdrachten leest en uitvoert. De gegevens worden uit de Gmail-inbox gehaald en naar een externe server verzonden. Deze aanval verschilt van eerdere zero-click kwetsbaarheden doordat de gegevensdirect uit de cloudinfrastructuur van OpenAI worden gehaald, wat lokale beveiligingsmaatregelen omzeilt. De kwetsbaarheid werd in augustus 2025 opgelost door OpenAI, na verantwoordelijke melding van de onderzoekers in juni 2025. De aanval kan ook worden uitgebreid naar andere platformen die ChatGPT ondersteunt, zoals Box, Dropbox en Google Drive.

Bron 1

Cyberbeveiligingsonderzoekers hebben de vroegste bekende vorm van malware ontdekt die gebruikmaakt van een Large Language Model (LLM), genaamd MalTerminal. Dit malware-exemplaar werd ontwikkeld vóór november 2023 en maakt gebruik van de OpenAI GPT-4 API om dynamisch ransomwarecode of een reverse shell te genereren. MalTerminal werd geïdentificeerd door het SentinelOne SentinelLABS-team en gepresenteerd op de LABScon 2025 beveiligingsconferentie. Hoewel er geen bewijs is dat de malware daadwerkelijk in het wild is ingezet, wordt het gezien als mogelijk een proof-of-concept of een red team-tool. Het onderzoek benadrukt de opkomst van LLM-embedded malware, die door dreigingsactoren wordt gebruikt om malafide logica en commando's in real-time te genereren, wat nieuwe uitdagingen creëert voor verdedigers. Deze ontdekking markeert een verschuiving in cyberaanvalstechnieken met de inzet van AI-modellen.

Bron 1

LastPass heeft gewaarschuwd voor een campagne die gericht is op macOS-gebruikers, waarbij nep-GitHub-repositories worden gebruikt om de Atomic Infostealer-malware te verspreiden. De aanvallen maken gebruik van SEO-poisoning om kwaadaardige links bovenaan zoekresultaten op zoekmachines zoals Google en Bing te plaatsen. Deze links leiden gebruikers naar repositories die zich voordoen als vertrouwde programma's zoals LastPass, Dropbox en andere populaire tools. Eenmaal gedownload, leidt de malafide software gebruikers naar een GitHub-pagina die hen instructies geeft om een schadelijke code uit te voeren in de Terminal-app. Dit resulteert in de installatie van de infostealer, die persoonlijke gegevens kan stelen. De fraudeurs proberen de detectie te omzeilen door meerdere GitHub-gebruikersnamen te gebruiken en repositories te creëren die moeilijk te verwijderen zijn.

Bron 1

Tussen 14 en 18 september 2025 ontdekten onderzoekers de zelf-replicerende "Shai-Hulud" worm in de npm open-source registry. De worm verspreidde zich snel door het overnemen van maintainer-accounts en injecteerde schadelijke code in zowel openbare als private npm-pakketten. Meer dan 200 pakketten, waaronder populaire zoals ngx-bootstrap en ng2-file-upload, werden besmet. De worm richtte zich op gevoelige gegevens, zoals tokens en API-sleutels, en gebruikte TruffleHog om deze te stelen. Door de verbondenheid van npm-pakketten is het moeilijk de impact volledig in te schatten. Aanbevelingen voor bescherming omvatten het gebruiken van privé-register proxies, het toepassen van de minste privilegeprincipes voor tokens, en het monitoren van verdachte publicatiegebeurtenissen. Organisaties wordt geadviseerd snel te reageren door blootgestelde inloggegevens in te trekken en hun supply chain-beveiliging te versterken.

Bron 1

en dreigingsactor heeft een nieuwe Remote Access Trojan (RAT) gepromoot op ondergrondse fora, waarbij het malwarepakket wordt gepresenteerd als een volledig ondetecteerbaar alternatief voor het legitieme programma ScreenConnect. De RAT beschikt over geavanceerde functies die beveiligingsmaatregelen kunnen omzeilen, wat wijst op een toenemende trend in de verkoop van verfijnde cybercrime-tools. De verkoper claimt dat het hulpmiddel nul detecties behaalt bij zowel statische als runtime-analyse. Het malwarepakket maakt gebruik van een geldig Extended Validation (EV)-certificaat en bevat antibotmechanismen en gecamoufleerde landingspagina’s, die de schadelijke payload verbergen voor beveiligingsscanners. Deze technieken maken het mogelijk de malware te laten lijken op onschuldige software, zoals een Adobe Acrobat Reader-downloadpagina. De RAT biedt aanvallers volledige visuele controle over een geïnfecteerde machine, waarmee ze gegevens kunnen uitlezen en het systeem manipuleren.

Bron 1

In 2025 is er een ongekende toename van zero-day kwetsbaarheden die actief worden misbruikt door cybercriminelen. In de eerste helft van 2025 werden meer dan 23.600 kwetsbaarheden gepubliceerd, een stijging van 16% ten opzichte van 2024. Geavanceerde dreigingsactoren, waaronder nationale groepen en ransomware-operaties, maken sneller dan ooit gebruik van onbekende kwetsbaarheden. Ongeveer 30% van de geëxploiteerde kwetsbaarheden werd binnen 24 uur na openbaarmaking misbruikt. Belangrijke kwetsbaarheden die in 2025 worden uitgebuit, zijn onder andere kwetsbaarheden in Google Chrome, Citrix NetScaler, Microsoft SharePoint, SAP NetWeaver, en het Android-ecosysteem. De intensiteit van deze aanvallen en de snelheid van exploitatie laten zien hoe kwetsbaarheden in zowel consumentensoftware als bedrijfssystemen een constante bedreiging vormen. Organisaties moeten een proactieve verdediging hanteren en zich voorbereiden op voortdurende aanvallen van deze aard.

Een kritieke kwetsbaarheid in Microsoft Entra ID, het cloudgebaseerde identity- en access management-systeem van Microsoft, heeft het mogelijk gemaakt voor aanvallers om de Entra ID-tenant van elk bedrijf wereldwijd over te nemen. Het probleem werd veroorzaakt door een combinatie van verouderde componenten, waaronder ongedocumenteerde "actor tokens" en een kwetsbaarheid in de Azure AD Graph API (CVE-2025-55241). Deze actor tokens, die niet zijn ondertekend, gaven kwaadwillenden de mogelijkheid om elke gebruiker in de tenant na te doen en te handelen als een globale beheerder zonder dat acties in de logs werden geregistreerd. Dit stelde aanvallers in staat volledige toegang te krijgen tot gevoelige gegevens en de instellingen van het bedrijf te wijzigen. Microsoft heeft inmiddels de kwetsbaarheid gepatcht en is bezig met het uitfaseren van de Azure AD Graph API.

Bron 1, 2

Op 21 september 2025 werd een nieuwe command-and-control (C2) infrastructuur ontdekt die de Unam Web Panel gebruikt. Deze infrastructuur wordt veelvuldig ingezet door botnets en malware voor afstandsbeheer en het stelen van inloggegevens. Het domein "outsystem.online" wordt gehost door Namecheap en is gekoppeld aan activiteiten zoals credential theft en remote administration. De dreiging heeft een hoge vertrouwensgraad van 100%. Het is aanbevolen om het domein te blokkeren op DNS, proxy- en endpointniveaus, en het verkeer te monitoren voor pogingen om in te loggen via de Unam Web Panel-paden. Tevens wordt aangeraden om naar gerelateerde botnet-sporen te zoeken en gegevens van potentiële credential theft te verzamelen. Contact opnemen met Namecheap voor het coördineren van een verwijdering wordt ook aanbevolen.

De Shai-Hulud malwarecampagne heeft de kwetsbaarheid van de moderne software supply chain blootgelegd. Via besmette npm-packages verspreidt deze worm zich snel, waarbij ontwikkelaars- en cloudtokens worden buitgemaakt, waardoor nieuwe pakketten worden geïnfecteerd. Wat begon als een incident bij enkele open-source componenten, groeide snel uit tot een bedreiging die honderden projecten raakt. Het threat intelligence-rapport beschrijft hoe de aanval plaatsvond, de risico’s voor verschillende sectoren en de maatregelen die organisaties moeten nemen om schade te beperken. Het rapport benadrukt de noodzaak van structurele oplossingen, zoals streng credentialbeheer, private mirrors en artifact signing. Shai-Hulud is een indicatie van de opkomst van een nieuwe generatie supply-chainwormen die autonoom door ecosystemen bewegen. Dit onderstreept de urgentie om de softwareketen beter te beschermen.

Bron 1

Een gamer die financiële steun zocht voor zijn kankerbehandeling, verloor $32.000 na het downloaden van een geverifieerd spel op Steam, genaamd Block Blasters, dat zijn cryptocurrency-portemonnee leegmaakte. Het spel, een retro-stijl platformer, was beschikbaar op Steam tussen 30 juli en 21 september. Het was aanvankelijk veilig, maar op 30 augustus werd er een cryptodrainer toegevoegd. Het kwaadwillige component werd ontdekt tijdens een live fundraising door de streamer, RastalandTV, die vecht tegen kanker. De aanval resulteerde in een verlies van $150.000 voor minstens 261 Steam-accounts. De aanvallers lijken slachtoffers te hebben geselecteerd die via Twitter werden geïdentificeerd vanwege hun grote cryptocurrency-bezit. Er is een waarschuwing voor spelers om hun wachtwoorden te resetten en digitale activa naar veilige wallets te verplaatsen.

Bron 1, 2, 3

Er circuleren valse e-mails die zich voordoen als berichten van ABN AMRO Zakelijk, gericht op ondernemers. Deze berichten waarschuwen voor een onbekend apparaat dat aan hun bankaccount zou zijn gekoppeld. In de mail wordt de ontvanger gevraagd een vals noodnummer te bellen als zij de inlogpoging niet herkennen. De oplichters beweren dat het apparaat geautoriseerd is om bankopdrachten uit te voeren. Als de ontvanger niet snel reageert, zou dit gevolgen hebben voor een mogelijke schadevergoeding. Dit is een poging om druk uit te oefenen en de ontvanger te laten bellen, waarna ze in contact komen met een nep-bankmedewerker. De Fraudehelpdesk adviseert om dergelijke berichten direct te verwijderen en een melding te maken. Als er al contact is opgenomen, wordt aangeraden de verbinding te verbreken en contact op te nemen met de bank.

Een recente cyberaanval in Latijns-Amerika toont hoe cybercriminelen Scalable Vector Graphics (SVG)-bestanden gebruiken om malware te verspreiden. Deze bestanden, die normaal gebruikt worden voor grafische ontwerpen, worden nu ingezet als leveringsmechanismen voor malware zoals de AsyncRAT, een remote access trojan die aanvallers in staat stelt om de apparaten van slachtoffers op afstand te besturen. Het aanvalspatroon begint met phishingmails die lijken te komen van vertrouwde instellingen, waarbij slachtoffers worden aangespoord om op een SVG-bestand bijlage te klikken. In plaats van een afbeelding te openen, activeert het bestand een nep-portal die eruitziet als een gerechtelijke procedure, waarna malware wordt gedownload. De techniek van SVG-smuggling, waarbij de payload in het bestand zelf is ingebed, maakt het moeilijker voor beveiligingssoftware om de aanval te detecteren. Het gebruik van AI-gegenereerde bestanden maakt de aanval nog geavanceerder. Het incident benadrukt het belang van waakzaamheid bij het openen van onverwachte bijlagen.

Bron 1

De Kawa4096 ransomware, die voor het eerst werd gedetecteerd in juni 2025, richt zich op multinationale organisaties in sectoren zoals financiën, onderwijs en dienstverlening, met een bijzondere focus op Japan en de Verenigde Staten. Deze ransomware maakt gebruik van geavanceerde technieken, waaronder dubbele afpersing, waarbij zowel gegevens worden versleuteld als gestolen om de druk op slachtoffers te verhogen. De aanvallers gebruiken een Tor-gebaseerd platform voor datadiefstal, waar ze gestolen gegevens openbaar maken om de betaling van het losgeld af te dwingen. De ransomware maakt gebruik van geavanceerde encryptiemethoden en tactieken om systemen effectief te verstoren, zonder belangrijke systeembestanden te beschadigen. Dit maakt Kawa4096 tot een krachtig instrument voor cybercriminelen, met mogelijk verwoestende gevolgen voor getroffen bedrijven wereldwijd.

Bron 1

Het AiTM Dreigingsrapport voor 2024-2025 analyseert de praktijken van aanvallen gericht op organisaties. In totaal werden 1592 AiTM-bezoeken geregistreerd, waarvan 498 resulteerden in daadwerkelijke klikken. De meeste aanvallen vonden plaats tijdens de risicoperiodes tussen 12:00 en 15:00 uur, vaak op dinsdag. Bijna 27% van de aanvallen gebruikte eerder toegepaste URL's, en 26% van de aanvallen trof meerdere organisaties. Ondanks scans van Microsoft blijven aanvallers proberen binnen te komen via klikken na de scan. De interventie tijdens het inloggen blijkt essentieel voor het voorkomen van verdere schade. Het rapport benadrukt de continue dreiging van AiTM-aanvallen en het belang van gerichte interventies in de beginfase van de aanval.

Bron 1

Een nieuwe proof-of-concept tool genaamd EDR-Freeze laat zien dat het mogelijk is beveiligingssoftware te omzeilen vanuit de gebruikersmodus met behulp van het Windows Error Reporting (WER) systeem van Microsoft. In plaats van een kwetsbare driver te gebruiken, zoals bij andere aanvallen, maakt deze techniek gebruik van legitieme Windows-componenten om beveiligingssoftware zoals EDR-tools in slaapstand te zetten. De tool maakt gebruik van de MiniDumpWriteDump API, die normaal gesproken procesinformatie verzamelt voor foutopsporing, maar nu wordt gebruikt om de werking van een proces tijdelijk te onderbreken en het daarna in een "coma" te houden. EDR-Freeze is een gerichte aanval op het ontwerp van Windows, in plaats van een echte kwetsbaarheid. Microsoft zou maatregelen kunnen nemen om dit soort aanvallen te voorkomen door de componenten beter te beschermen.

Bron 1, 2, 3

Een bekende dreigingsactor is begonnen met het promoten van de MonsterV2 HVNC-malware. Deze malware is ontworpen om ongeautoriseerde toegang te verkrijgen tot doelwitcomputers door gebruik te maken van een HVNC (Hidden Virtual Network Computing) methode. Dit maakt het mogelijk voor de aanvaller om de controle over het slachtoffer's systeem op afstand over te nemen zonder dat de gebruiker het merkt. De malware wordt actief verspreid op het dark web en wordt vaak gebruikt in cyberaanvallen die gericht zijn op bedrijven en particulieren. Aangezien de malware verborgen blijft, is het voor slachtoffers moeilijk om de infectie te detecteren, wat de effectiviteit ervan vergroot. Gebruikers worden geadviseerd om voorzorgsmaatregelen te nemen, zoals het updaten van software en het implementeren van netwerkbeveiligingsmaatregelen, om deze bedreiging af te wenden.

Een nieuw forum, BittenForums, is recent geïdentificeerd op het darkweb. Het forum is bereikbaar via een Onion-adres, dat gebruikers in staat stelt anoniem toegang te krijgen. Deze ontwikkeling kan invloed hebben op de cyberdreigingen, aangezien forums op het darkweb vaak worden gebruikt voor het delen van illegale activiteiten, waaronder de handel in gestolen data, ransomware-aanvallen en andere cybercriminaliteit. Het is belangrijk om de activiteiten van dergelijke fora nauwlettend te volgen om de opkomst van nieuwe dreigingen te kunnen identificeren en in te grijpen waar nodig.

In recente weken is er een toename van aanvallen die de External Jobs-functie van de Oracle Database Scheduler misbruiken om toegang te krijgen tot bedrijfssystemen. Deze techniek maakt gebruik van de mogelijkheid van de scheduler om willekeurige commando's uit te voeren op Windows-gebaseerde databaseservers, waarmee aanvallers perimeterbeveiliging kunnen omzeilen. De aanvallen beginnen vaak met het verkennen van openbare Oracle listener-poorten en het misbruiken van verkeerd geconfigureerde wachtwoorden of standaard beheerdersaccounts. Nadat aanvallers toegang hebben gekregen, kunnen ze de extjobo.exe-component gebruiken om commando's uit te voeren met dezelfde rechten als de OracleJobScheduler-service. In sommige gevallen wordt ransomware onder de naam van standaard database-operaties verspreid. Deze aanvallen gebruiken living-off-the-land technieken, waarbij geen aangepaste uitvoerbare bestanden op schijf worden geplaatst, wat het moeilijker maakt om ze te detecteren. Deze techniek benadrukt de noodzaak van strengere toegangscontrole en voortdurende monitoring van de activiteiten van de scheduler.

Bron 1

Een ogenschijnlijk onschuldige update voor het populaire Steam-spel BlockBlasters heeft zich ontwikkeld tot een geavanceerde malwarecampagne, die honderden Steam-gebruikers blootstelt aan gegevensdiefstal en systeemcompromittering. De kwaadaardige update, die op 30 augustus 2025 werd gedistribueerd, maakt gebruik van de gamingomgeving om malware te verspreiden die informatie steelt, waaronder cryptocurrency-wallets, browsergegevens en inloggegevens voor Steam. De aanvallers slaagden erin om de eerste beveiligingsscreening van Steam te omzeilen, waardoor schadelijke updates werden verspreid. Het malwarepakket bevat een drie-staps infectiemechanisme en maakt gebruik van wachtwoord-beveiligde ZIP-archieven om de payload te verbergen. Het doel van de aanval is om waardevolle gegevens, zoals inloggegevens en crypto-informatie, te stelen, waarbij de malware ook browsers en walletdata aanvalt. Het incident toont een zorgwekkende trend van malwarecampagnes die steeds vaker via legitieme software-distributiekanalen plaatsvinden.

Bron 1

SonicWall heeft een update uitgebracht voor de SMA 100-gateway om malware, een zogenaamde rootkit, te verwijderen van gecompromitteerde apparaten. Deze rootkit werd ontdekt tijdens een aanvalscampagne waar de aanvallers probeerden inloggegevens, session tokens en OTP seeds te stelen. De doelwitten waren organisaties die de SMA 100 gebruiken voor toegang tot netwerken en cloudomgevingen. De aanvallers gebruikten de malware om data van deze organisaties te stelen en mogelijk ransomware te verspreiden. De update van SonicWall biedt een nieuwe "file checking" functionaliteit die helpt de rootkits van de apparaten te verwijderen. Daarnaast werd ook een ander incident gemeld waarbij firewall-bestanden van SonicWall-klanten werden gestolen via een brute-force aanval op hun cloudback-updienst MySonicWall.com. SonicWall stelt dat minder dan vijf procent van de klanten werd getroffen door deze aanvallen.

Bron 1

Een recent ontdekt npm-pakket, 'fezbox', maakt gebruik van QR-codes om malware van een server van een dreigingsactor op te halen. Het pakket, dat zich voordoet als een nuttige bibliotheek, maakt gebruik van een innovatieve steganografische techniek om gevoelige gegevens, zoals gebruikersreferenties, van een gecompromitteerde machine te stelen. Het kwaadaardige pakket bevat instructies om een JPG-afbeelding op te halen die een QR-code bevat, die op zijn beurt een tweede payload uitvoert. De kwaadaardige link in het pakket is omgekeerd opgeslagen, een techniek die wordt gebruikt om detectie te vermijden door statische analysetools. Na het lezen van de cookie-gegevens zoals gebruikersnaam en wachtwoord, stuurt de malware de gestolen informatie naar een externe server. Het pakket werd meer dan 300 keer gedownload voordat het uit de npm-registry werd verwijderd.

Bron 1, 2, 3

Cyberbeveiligingsonderzoekers waarschuwen voor een SEO-poisoning-campagne die wordt uitgevoerd door een Chinese-sprekende dreigingsactor. Deze acteur gebruikt malware genaamd BadIIS, die voornamelijk gericht is op Oost- en Zuidoost-Azië, met een nadruk op Vietnam. Het doel van de aanval is om zoekmachineresultaten te manipuleren, zodat gebruikers naar ongewilde websites worden omgeleid. BadIIS verandert inkomend webverkeer via geïnfecteerde servers om schadelijke inhoud te serveren. Aanvallers injecteren specifieke zoekwoorden in legitieme websites om zoekmachines te misleiden, zodat de site als relevant wordt geïndexeerd voor die termen. Wanneer gebruikers op de gemanipuleerde zoekresultaten klikken, worden ze doorverwezen naar scamwebsites. In sommige gevallen verkrijgen de aanvallers toegang tot systemen om persistentie in te stellen en kwaadwillende webshells te plaatsen voor verdere controle.

Bron 1

De ShadowV2 botnet richt zich op slecht geconfigureerde Docker-containers op Amazon Web Services (AWS) om een DDoS-for-hire service op te zetten. Het botnet maakt gebruik van een Python-gebaseerd command-and-control systeem dat op GitHub wordt gehost en infecteert systemen met een Go-gebaseerde remote access trojan (RAT). Dit stelt de aanvallers in staat om besmette systemen in te zetten voor DDoS-aanvallen. De aanvallers maken gebruik van geavanceerde technieken zoals HTTP/2 Rapid Reset en Cloudflare’s Under Attack Mode bypass, waarmee ze enorme HTTP-vloedaanvallen kunnen uitvoeren. Het botnet maakt gebruik van een Ubuntu-image en installeert vervolgens verschillende tools om de infectie verder te verspreiden. De campagne is opgezet als een DDoS-for-hire service, met een gebruikersinterface en een API waarmee klanten de aanvallen kunnen configureren.

Bron 1, 2

In de afgelopen weken hebben onderzoekers een geavanceerde phishingcampagne ontdekt waarbij legitieme GitHub-meldingen werden misbruikt om schadelijke inhoud te verspreiden. De slachtoffers ontvingen meldingen die authentiek leken, compleet met realistische commitberichten en samenwerkingsupdates. Bij nader inzien bleken de afzenderadressen te zijn aangepast en waren de links verborgen. Door deze verfijnde techniek wisten de aanvallen veel e-mailgateways te omzeilen, wat leidde tot het compromis van ontwikkelaars- en IT-accounts. De aanvallen maakten gebruik van misconfiguraties in GitHub Apps, waarbij webhooks met te brede rechten werden misbruikt. De kwaadwillenden registreerden een kwaadaardige app, verkregen toegang tot GitHub-webhooks en injecteerden phishingformulieren in de meldingen. Ontvangers die op de links klikten, werden doorgestuurd naar een pagina die ontworpen was om inloggegevens te stelen. Deze vorm van phishing verschilt van traditionele aanvallen doordat de e-mails geldige DKIM- en SPF-records bevatten.

Bron 1

YiBackdoor is een nieuwe malwarefamilie die voor het eerst werd waargenomen in juni 2025 en sterk verwant is aan IcedID en Latrodectus. Het deelt aanzienlijke code-overlap met deze malwarefamilies en kan mogelijk worden ingezet voor het faciliteren van aanvallen met ransomware. YiBackdoor kan systeeminformatie verzamelen, screenshots maken, willekeurige commando’s uitvoeren en plugins implementeren die de functionaliteit uitbreiden. De malware gebruikt anti-analysetechnieken om detectie door sandboxes te omzeilen, zoals het controleren van virtuele omgevingen. De code bevat ook methoden voor injectie in andere processen en voor het instellen van persistente aanwezigheid via Windows-registersleutels. De configuratie en plugins van YiBackdoor zijn versleuteld en de malware maakt gebruik van een dynamische encryptiesleutel voor communicatie met command-and-control (C2) servers. Het gebruik van YiBackdoor is tot nu toe beperkt, wat erop wijst dat het zich mogelijk nog in een ontwikkelingsfase bevindt.

Bron 1

Oplichters hebben een nieuwe manier van afpersen gevonden door bedrijven te bestoken met tientallen neprecensies op hun Google-profiel. Bedrijven variëren van bouwbedrijven tot verhuurbedrijven en dakdekkers, en krijgen via WhatsApp een bericht waarin hen wordt verteld dat ze moeten betalen om de slechte recensies te laten verwijderen. Vaak wordt een bedrag van honderden euro's geëist. De bedrijven hebben moeite om de neprecensies snel te laten verwijderen, aangezien dit proces via Google kan weken duren. De schade aan de online reputatie van bedrijven is aanzienlijk, wat leidt tot verlies van klanten en omzet. Ondernemers geven aan dat de invloed van neprecensies op hun Google-score de zichtbaarheid vermindert en potentiële klanten afschrikt. Ondanks meldingen aan Google blijven veel neprecensies zichtbaar, wat bijdraagt aan frustratie onder de slachtoffers.

Bron 1

Een nieuwe malwarestrategie maakt gebruik van valse online snelheidstestapplicaties die obfuscerende JavaScript-payloads naar Windows-systemen brengen. Deze kwaadaardige applicaties, die zich voordoen als legitieme netwerktools zoals snelheidstestprogramma’s, PDF-lezers of zoektools, misleiden gebruikers om schadelijke software te installeren. Na de installatie lijkt de applicatie normaal te functioneren, terwijl op de achtergrond een verborgen Node.js-runtimeomgeving en obfuscerende JavaScript-bestanden worden geladen. Het malwarepakket blijft onopgemerkt door het primaire programma, maar legt de basis voor verdere aanvallen door systematisch geëncrypteerde communicatie met command-and-control-servers te onderhouden. Bovendien kan de malware op afstand willekeurige code uitvoeren via PowerShell-commando’s en kan het de identiteit van het systeem verzamelen voor verdere aanvallen. Onderzoekers hebben de complexiteit van de obfuscatie van de JavaScript-payload geïdentificeerd, die moeilijk te analyseren is, wat de stealth-werking van de aanval versterkt.

Bron 1

Zloader, een geavanceerde Zeus-gebaseerde trojan die oorspronkelijk gericht was op financiële fraude, is geëvolueerd en wordt nu gebruikt als toegangspunt voor ransomware-aanvallen in bedrijfsomgevingen. Dit malwaretype is na een pauze van bijna twee jaar in september 2023 teruggekeerd met verbeterde kenmerken, zoals geavanceerde obfuscatie, verbeterde anti-analysetechnieken en efficiëntere netwerkcommunicatieprotocollen. Zloader maakt nu gebruik van een gerichte aanpak waarbij specifieke bedrijfsdoelen worden geselecteerd voor maximale impact. De malware is modulair en maakt het mogelijk om aanvullende payloads te implementeren, wat het ideaal maakt voor ransomware-operaties. De nieuwste versies van Zloader bevatten verfijnde mechanismen die het moeilijk maken om het te detecteren, zoals bestandnaamverificatie en verhoogde stealthmogelijkheden, waardoor het zich onopgemerkt kan blijven verspreiden binnen netwerken.

Bron 1

Cybersecurityprofessionals worden geconfronteerd met een ongekende versnelling in de capaciteiten van dreigingsactoren, aangezien de gemiddelde tijd van toegang tot het doorbreken van netwerkbeveiliging is gedaald tot slechts 18 minuten in de periode juni-augustus 2025. Dit vertegenwoordigt een dramatische vermindering van eerdere tijdsintervallen, waarbij het snelste incident in slechts zes minuten plaatsvond. Dadergroepen zoals de Akira-ransomware opereren door gebruik te maken van geautomatiseerde technieken en legitieme systeemtools die traditionele beveiligingsmaatregelen omzeilen. Dit maakt het steeds moeilijker voor verdedigers om aanvallen te detecteren en daarop te reageren. Bovendien zijn nieuwe malware-aanvallen zoals Oyster een prominente bedreiging geworden, waarbij gebruik wordt gemaakt van malvertising en geavanceerde technieken om beveiligingssystemen te omzeilen. De opkomst van geavanceerde tactieken maakt het essentieel voor organisaties om verbeterde monitoring- en detectiemethoden in te voeren.

Bron 1

Hackers maken gebruik van een kwetsbaarheid in de Linux-tool Pandoc, aangeduid als CVE-2025-51591, om het AWS Instance Metadata Service (IMDS) te misbruiken en EC2 IAM-gegevens te stelen. De kwetsbaarheid betreft een Server-Side Request Forgery (SSRF) waarmee aanvallers een speciaal crafted HTML-iframe kunnen injecteren om gegevens van het IMDS op te halen. Het IMDS biedt cruciale informatie over draaiende instanties en tijdelijke inloggegevens voor toegang tot andere AWS-diensten. Aanvallers kunnen deze gegevens gebruiken om andere diensten binnen AWS te benaderen. De exploitatie van deze kwetsbaarheid wordt bemoeilijkt door de implementatie van IMDSv2, wat de aanval zou kunnen voorkomen door gebruikers te dwingen een token te verkrijgen. Ondanks dit mitigatieprotocol zijn er meldingen van succesvolle pogingen om deze kwetsbaarheid in de praktijk te benutten, vooral via applicaties zoals Pandoc.

Bron 1

In de afgelopen weken is een toename van kwaadaardige GitHub-repositories waargenomen die zich voordoen als legitieme software van bedrijven zoals Malwarebytes, LastPass, Citibank en SentinelOne. Deze repositories bevatten trojanized installateurs en scripts die malware payloads verspreiden. De aanvallers gebruiken open source-platforms om het vertrouwen van ontwikkelaars te misbruiken en slachtoffers naar hun kwaadaardige code te lokken. De campagne, die eind augustus 2025 begon, verspreidde zich snel via de trending- en zoekfuncties van GitHub. Het infectiemechanisme maakt gebruik van PowerShell-scripts om malware te downloaden en in het geheugen uit te voeren, zonder zichtbare waarschuwingen voor de gebruiker. De malware kan systeemgegevens en inloggegevens stelen, wat leidt tot potentiële gegevensdiefstal en inbraak in accounts. Dit incident benadrukt de noodzaak voor strengere verificatie en scanning van code op open source-platforms om dergelijke aanvallen te voorkomen.

Bron 1

De Python Package Index (PyPI) heeft ontwikkelaars gewaarschuwd voor een nieuwe phishingaanval die gericht is op het stelen van inloggegevens. Deze aanval kan leiden tot het toevoegen van malware aan Python-pakketten. De phishingmails, die lijken te komen van PyPI, vragen ontvangers om hun e-mailadres te verifiëren vanwege "accountbeheer en veiligheidsprocedures". Als dit niet binnen 72 uur gebeurt, verliezen ze toegang tot hun account. PyPI benadrukt dat tweefactorauthenticatie (2FA) essentieel is om zich te beschermen tegen dergelijke aanvallen, en raadt het gebruik van phishingbestendige 2FA-methoden, zoals hardware sleutels, aan. Daarnaast wordt het gebruik van een wachtwoordmanager en automatische invulopties aanbevolen om inloggegevens veilig te bewaren. De organisatie neemt verschillende maatregelen, waaronder het rapporteren van phishingdomeinen, maar benadrukt dat er geen gemakkelijke oplossing is om deze aanvallen volledig te stoppen.

Bron 1

Een grote phishingcampagne heeft GitHub-gebruikers doelwit gemaakt met cryptocurrency-drainers, door middel van valse uitnodigingen voor het Y Combinator (YC) W2026-programma. De aanvaller misbruikte het meldingssysteem van GitHub door problemen te creëren in meerdere repositories en gebruikers te taggen, wat automatische meldingen naar de inboxen van de slachtoffers stuurde. De valse uitnodiging beloofde toegang tot YC’s winterronde voor financiering, waarbij $15 miljoen zou worden verstrekt. De link in de e-mail leidde naar een nepwebsite die gebruikers vroeg hun crypto-wallets te verifiëren, maar in werkelijkheid werden hierdoor kwaadaardige transacties uitgevoerd en werd de crypto gestolen. GitHub, IC3 en Google Safe Browsing hebben inmiddels de frauduleuze repositories verwijderd, maar het is onduidelijk of er slachtoffers zijn die crypto hebben verloren.

Bron 1

Microsoft Threat Intelligence heeft een phishingcampagne ontdekt die waarschijnlijk gebruikmaakte van AI gegenereerde code om de payload te verbergen en traditionele verdedigingen te omzeilen. De aanvallers gebruikten een SVG-bestand, dat op het eerste gezicht onschuldig leek, maar in werkelijkheid JavaScript bevatte voor het uitvoeren van een phishing-aanval. Het bestand was ontworpen om de gebruiker naar een nep-inlogpagina te leiden via een CAPTCHA-verificatie. Deze geavanceerde techniek maakt gebruik van zakelijke termen als camouflage voor de schadelijke code. Ondanks de complexiteit van de obfuscatie, werd de campagne succesvol gedetecteerd en geblokkeerd door Microsoft Defender for Office 365, die gebruik maakt van AI om infrastructuur, gedrag en context te analyseren. Dit incident benadrukt de noodzaak voor organisaties om AI-gedreven dreigingen te begrijpen en zich voor te bereiden op toekomstige aanvallen.

Bron 1

RedNovember, een groep die wordt ondersteund door de Chinese staat, heeft wereldwijd overheids- en privésectororganisaties aangevallen met behulp van de backdoors Pantegana en Cobalt Strike. Deze aanvallen richten zich op beveiligingsapparatuur van organisaties in Afrika, Azië, Noord-Amerika, Zuid-Amerika en Oceanië. De groep, voorheen bekend als TAG-100, heeft diverse internetgebaseerde kwetsbaarheden geëxploiteerd, waaronder die van Check Point, Cisco en Palo Alto Networks, om toegang te krijgen. RedNovember richt zich vooral op overheden en defensieorganisaties, maar ook op commerciële bedrijven in de lucht- en ruimtevaartsector en juridische instellingen. De aanvallen maken gebruik van legitieme tools en VPN-services om de schade te verbergen en lange periodes van persistentie te behouden binnen de getroffen netwerken. De doelwitten bevinden zich onder andere in de VS, Panama, Zuid-Korea en Zuid-Amerika.

Bron 1

In september 2025 ontdekte Zscaler ThreatLabz een nieuwe multi-stage ClickFix-campagne die waarschijnlijk werd uitgevoerd door de met Rusland geassocieerde APT-groep COLDRIVER. Deze groep, die voornamelijk gericht is op dissidenten en hun aanhangers, gebruikte de ClickFix-techniek om twee nieuwe malwarefamilies te implementeren: BAITSWITCH, een downloader, en SIMPLEFIX, een PowerShell-gebaseerde backdoor. De campagne maakt gebruik van social engineering via een valse Cloudflare Turnstile-checkbox die slachtoffers ertoe aanzet een kwaadaardig commando uit te voeren. BAITSWITCH stelt vervolgens de SIMPLEFIX-backdoor in staat om via PowerShell informatie te verzamelen en op afstand commando's uit te voeren. COLDRIVER blijft actief in het doelwit van leden van de Russische civiele samenleving, waarbij ze kwetsbare doelwitten zoals mensenrechtenactivisten en journalisten aanvallen. Ondanks dat de techniek niet nieuw is, blijkt het nog steeds een effectieve methode te zijn.

Bron 1

De malwarefamilies RainyDay, Turian en Naikon vormen een gecoördineerde dreiging voor de telecommunicatie- en productiesectoren in Centraal- en Zuid-Azië. Deze aanvallen, die sinds 2022 plaatsvinden, maken gebruik van een techniek waarbij ze de DLL-zoekvolgorde in Windows misbruiken om schadelijke loaders uit te voeren. Deze techniek stelt de malware in staat zich te verbergen achter legitieme toepassingen, zoals de Mobile Popup Application, en zo te functioneren met minimale detectie. De malwarefamilies delen niet alleen dezelfde technische methoden, maar ook de gebruikte encryptiestrategieën, wat duidt op een gedeelde ontwikkelingsbron of samenwerking tussen de aanvallers. De campagne richt zich specifiek op organisaties die kritieke infrastructuren beheren, waarbij de aanvallen zowel langdurige toegang als geavanceerde ontsnappingstechnieken gebruiken om onopgemerkt te blijven.

Bron 1

Op 25 september 2025 is een nieuwe ransomwaregroep, Miga, ontdekt die gebruik maakt van geavanceerde malware om gegevens van slachtoffers te versleutelen en losgeld te eisen. De groep richt zich voornamelijk op bedrijven en grotere netwerken, wat de dreiging vergroot voor organisaties die kwetsbaar zijn voor dit soort aanvallen. Miga maakt gebruik van versleutelingstechnieken die de gegevens van slachtoffers vrijwel onbereikbaar maken, waardoor bedrijven gedwongen worden om een hoog bedrag te betalen om toegang tot hun gegevens te herstellen

Cybersecurity-onderzoekers hebben twee kwaadaardige Rust-pakketten ontdekt die zich voordoen als een legitieme bibliotheek, genaamd fast_log, om private sleutels van Solana- en Ethereum-wallets te stelen uit broncode. De kwaadaardige crates, genaamd faster_log en async_println, werden gepubliceerd door een bedreigingsactor onder de aliassen rustguruman en dumbnbased op 25 mei 2025, en zijn in totaal 8.424 keer gedownload. De crates bevatten werkende loggingcode voor camouflage, maar voegen routines toe die zoeken naar private sleutels van Solana en Ethereum, en deze via een HTTP POST-aanroep naar een hardcoded command-and-control (C2) endpoint exfiltreren. Na verantwoordelijke openbaarmaking zijn de crates verwijderd en de accounts van de bedreigingsactoren uitgeschakeld. Deze aanval benadrukt de risico’s van supply chain-aanvallen door misbruik van bestaande code en eenvoudiger misleiding.

Bron 1, 2

De groep DeceptiveDevelopment, die gelinkt is aan Noord-Korea, maakt gebruik van diverse social engineering-technieken om softwareontwikkelaars te targeten. Ze doen zich voor als recruiters, waarbij ze valse vacatures aanbieden die malware verspreiden. De groep gebruikt verschillende malwaretools, waaronder BeaverTail en InvisibleFerret, die gegevens stelen van cryptocurrency-wallets en browsers. De malware wordt meestal verspreid via trojaanse code in sollicitatietaken of valse interviewsites. De actoren achter DeceptiveDevelopment werken samen met Noord-Koreaanse IT-werknemers, die zichzelf voordoen als werkzoekenden om toegang te krijgen tot systemen. Deze hybride dreiging combineert traditionele criminaliteit, zoals identiteitsdiefstal, met digitale fraude en cybercriminaliteit. De operatie illustreert hoe cybercriminelen social engineering en geavanceerde technologie combineren om slachtoffers wereldwijd te misleiden.

Bron 1

Het Model Context Protocol (MCP), oorspronkelijk ontworpen om AI-assistenten eenvoudig te verbinden met externe tools, blijkt kwetsbaar voor misbruik in supply chain-aanvallen. MCP stelt AI-modellen in staat om via één protocol toegang te krijgen tot verschillende tools, maar dit opent ook de deur voor aanvallers. Zij kunnen MCP-servers manipuleren, bijvoorbeeld door een kwaadaardige server onder een legitieme naam te registreren, of tools te besmetten om gevoelige gegevens te stelen. In een gecontroleerd experiment werd een zogenaamd nuttige MCP-server geïnstalleerd, die data zoals API-sleutels, SSH-sleutels en andere gevoelige informatie van ontwikkelaars verzamelde en naar de aanvallers verzond. Deze aanvallen benutten de snelheid waarmee ontwikkelaars AI-tools integreren zonder grondige codecontrole. Beveiligingsmaatregelen zoals strikte installatieprocedures, containerisatie en voortdurende monitoring zijn essentieel om dit risico te beperken.

Bron 1

De Python Software Foundation (PSF) waarschuwt ontwikkelaars voor een phishingcampagne die gebruikers van de Python Package Index (PyPI) doelwit maakt. De campagne verspreidt valse e-mails die ontvangers aansporen hun accountgegevens te verifiëren voor zogenaamd onderhoud en beveiligingsprocedures. Gebruikers die niet op de instructies reageren, worden bedreigd met opschorting van hun account. De e-mail bevat een link naar een vervalste inlogpagina op pypi-mirror.org, die de inloggegevens steelt. PSF adviseert gebruikers om hun wachtwoord onmiddellijk te wijzigen als ze hun gegevens hebben ingevoerd en verdachte e-mails te melden bij security@pypi.org. De aanvallen kunnen ook gevolgen hebben voor de veiligheid van vertrouwde pakketten op PyPI. Eerder dit jaar werd een vergelijkbare poging gedaan met een ander domein. PyPI werkt samen met registrar- en netwerkpartners om de malafide domeinen te blokkeren en verbeteringen aan te brengen in hun twee-factor-authenticatie.

Bron 1

Een geavanceerde cyberaanval richt zich op Android-gebruikers in Indonesië en Vietnam, waarbij banking trojans zich voordoen als legitieme overheidsapplicaties en betalingsservices. De operatie is sinds augustus 2024 actief en maakt gebruik van geavanceerde technieken om de BankBot-trojan te verspreiden. De aanvallers creëren valse Google Play Store-pagina's en imiteren overheidsdiensten zoals belastingbetalingen en digitale identiteitssystemen. Dit leidt slachtoffers naar verdachte downloadlinks voor kwaadaardige APK-bestanden, die hun financiële gegevens stelen. Het gebruik van WebSocket-technologie maakt het mogelijk om malware te verspreiden zonder detectie door traditionele beveiligingssystemen. De trojans gebruiken fragmentatie om het downloadproces te verbergen en scannen voor APK-bestanden te omzeilen, waardoor ze onzichtbaar blijven voor de meeste beveiligingsscanners.

Bron 1

De lijst van misbruikte kwetsbaarheden toont de meest gedetecteerde beveiligingsproblemen in Nederland, België en wereldwijd. Kwetsbaarheden worden vaak gedetecteerd via honeypot-sensoren en omvatten onder andere software van populaire leveranciers zoals Metabase, Cisco, Apache, Ivanti en Microsoft. Specifieke producten, zoals de Cisco RV320 en RV325 routers, het Apache Hadoop YARN-systeem, en de Ivanti Endpoint Manager Mobile, worden actief aangevallen door cybercriminelen, vaak gerelateerd aan ransomware of bekende kwetsbaarheden. De gegevens worden gepresenteerd met gedetailleerde informatie over het aantal aanvallen in verschillende tijdsintervallen, wat helpt bij het prioriteren van beveiligingsmaatregelen. Het is van cruciaal belang voor organisaties om kwetsbare systemen bij te werken en proactief maatregelen te treffen tegen bekende dreigingen om hun netwerken te beschermen tegen verdere exploits.

Overzicht week 39-2025

De laatste 24 uur zijn er verschillende kwetsbaarheden (CVE's) trending op sociale media. De CVE's variëren in ernst en hebben een impact op verschillende systemen, waaronder populaire applicaties en hardware. Enkele opvallende kwetsbaarheden zijn CVE-2025-51591, een SSRF-kwetsbaarheid in JGM Pandoc, en CVE-2025-10184, een permissie-bypass in OnePlus OxygenOS. Er zijn ook kwetsbaarheden in Supermicro BMC firmware (CVE-2025-6198, CVE-2025-7937) die kunnen leiden tot onterecht firmware-updates en zelfs volledige controle over servers. Ook de V8 JavaScript-engine in Google Chrome wordt getroffen door een kwetsbaarheid (CVE-2025-10585), die actief misbruikt wordt voor willekeurige code-executie. Beveiligingsteams wordt geadviseerd om snel actie te ondernemen, afhankelijk van de urgentie van de kwetsbaarheid, die wordt gemeten via de hype-score.

Overzicht week 39-2025

r wordt gemeld dat er een datalek heeft plaatsgevonden waarbij Telegram-databases van de jaren 2019 tot 2023 zijn blootgesteld. Het betreft mogelijk gevoelige informatie van gebruikers en kan grote gevolgen hebben voor de privacy en veiligheid van Telegram-leden. Er zijn momenteel geen details over de exacte omvang van het lek of welke gegevens precies zijn gecompromitteerd. Het incident roept vragen op over de beveiliging van Telegram en hoe deze platforms omgaan met de bescherming van gebruikersdata. Het is nog niet duidelijk hoe de gegevens zijn vrijgegeven en wie verantwoordelijk is voor het lek. Deskundigen adviseren gebruikers om extra voorzichtig te zijn bij het delen van persoonlijke informatie via Telegram totdat er meer duidelijkheid komt over de situatie.

Microsoft Threat Intelligence heeft een nieuwe variant van de XCSSET-malware ontdekt, die zich richt op Xcode-projecten van softwareontwikkelaars. Deze versie introduceert nieuwe modules, waaronder mechanismen voor browsertargeting, het stelen van gegevens uit klemborden, en verbeterde persistentie. De malware maakt gebruik van geavanceerde encryptie- en obfuscatie-technieken om detectie te voorkomen en breidt zijn mogelijkheden uit om gegevens van Firefox-browsergebruikers te stelen. Een opmerkelijke wijziging is het gebruik van clipboard-hijacking, waarbij de malware gegevens in digitale portemonnees kan vervangen met vooraf ingestelde adressen. Microsoft heeft samengewerkt met Apple en GitHub om getroffen repositories te verwijderen en biedt aanbevelingen voor bescherming. Organisaties worden aangespoord om Xcode-projecten zorgvuldig te inspecteren en de laatste beveiligingsupdates te implementeren om deze dreiging te mitigeren.

Bron 1

Een malafide versie van de Postmark MCP Server, aangeboden via npm, heeft een onbekend aantal e-mails van gebruikers gestolen. Postmark is een platform voor het versturen van e-mail, en de MCP-server maakt het mogelijk om e-mails via AI-tools te versturen. De aanvaller had de originele code van GitHub gekopieerd en deze onder dezelfde naam op npm gepubliceerd. De aanvallige versie bevatte kwaadaardige code die ervoor zorgde dat elke uitgaande e-mail via een BCC naar een server van de aanvallers werd doorgestuurd. Dit leidde tot de diefstal van gevoelige gegevens zoals wachtwoordresets, facturen en interne memo's. De kwaadaardige versie heeft 1500 wekelijkse downloads gehad voordat deze werd verwijderd van npm. Gebruikers wordt geadviseerd hun maillogs te controleren, de serverinstellingen na te kijken en hun inloggegevens te resetten.

Bron 1, 2

De dreigingsactor Vane Viper heeft zich gepositioneerd als een belangrijke speler in malvertising en advertentiefraude door gebruik te maken van 60.000 domeinen om wereldwijd 1 triljoen DNS-query's per jaar te genereren. Dit netwerk verspreidt malware, waaronder risicosoftware en adware, en is verantwoordelijk voor een breed scala aan cyberdreigingen, waaronder phishing en valse apps. Vane Viper maakt gebruik van een netwerk van kwetsbare WordPress-sites om duizenden nieuwe domeinen te registreren, waarvan sommige meer dan 1.200 dagen actief blijven. Het netwerk maakt gebruik van pushmeldingen om advertenties weer te geven, zelfs nadat gebruikers een pagina hebben verlaten. Het netwerk heeft ook banden met andere malvertising-platforms zoals PropellerAds, en hoewel PropellerAds ontkent enige betrokkenheid bij schadelijke advertenties, blijft Vane Viper een significant gevaar voor internetgebruikers wereldwijd. Het wordt nu gezien als een platform voor malvertising, dat zijn eigen bedreigingen verspreidt.

Bron 1

Cisco heeft recentelijke kwetsbaarheden in zijn ASA-firewalls ontdekt, die zijn geëxploiteerd in zero-day aanvallen. De aanvallers gebruikten de RayInitiator bootkit en LINE VIPER malware om verouderde apparaten binnen te dringen. Deze malware maakt gebruik van geavanceerde technieken om detectie te vermijden en wordt geladen via een opstartproces dat persistent blijft, zelfs na herstarten of firmware-upgrades. De aanvallen richtten zich op kwetsbare ASA 5500-X Series-apparaten die geen Secure Boot en Trust Anchor-technologieën ondersteunen. De aanvallers, vermoedelijk gelinkt aan de China-geassocieerde groep UAT4356, wisten via exploits als CVE-2025-20333 en CVE-2025-20362 toegang te krijgen tot de systemen. Cisco heeft inmiddels beveiligingsupdates uitgebracht en adviseert gebruikers om snel te upgraden. De aanvalstechnieken, zoals het uitschakelen van logbestanden en het manipuleren van diagnostische processen, benadrukken de toegenomen sophisticatedheid van de dreiging.

Bron 1

Veel jonge mensen gebruiken dagelijks Roblox om te bouwen, verbinden en spelen. Echter, de populariteit van het platform trekt ook cybercriminelen aan, die malware verbergen in zogenaamde "cheat tools" die voordelen beloven tijdens het spel. Deze tools, bekend als script executors, zoals Synapse X en Solara, kunnen malware bevatten die wachtwoorden, persoonlijke gegevens en cryptomunten steelt. Daarnaast kunnen ze de prestaties van apparaten degraderen of het apparaat volledig overnemen. Roblox's anti-cheat systeem kan spelers die deze tools gebruiken detecteren en hun accounts verbannen. Het gebruik van dergelijke tools kan bovendien leiden tot ernstige beveiligingsrisico's, aangezien ze vaak worden verspreid via onbetrouwbare kanalen en social media. Het is essentieel om alleen officiële tools te gebruiken en nooit beveiligingssoftware uit te schakelen. Ouders wordt geadviseerd om kinderen bewust te maken van deze risico’s.

Bron 1

Een nieuwe aanvalsgolf maakt gebruik van schadelijke Windows-snelkoppelingbestanden (.LNK), die Microsoft-binaries misbruiken om beveiligingstools te omzeilen en malware uit te voeren zonder waarschuwingen te geven. De aanvallen, die eind augustus 2025 begonnen, worden voornamelijk via spear-phishing-e-mails en gecompromitteerde websites verspreid. De snelkoppelingen lijken onschuldig, maar bevatten verborgen commando's die legitieme Windows-hulpprogramma's aansteken om extra malware te downloaden en uit te voeren. Het gebruik van ingebouwde Windows-tools zoals mshta.exe en rundll32.exe helpt de aanvaller om antivirussoftware en gedragsdetectie te ontwijken. Het infectiemechanisme maakt gebruik van Base64-gecodeerde PowerShell-opdrachten om een verborgen payload op te halen. Zodra de malware is uitgevoerd, blijft deze persistent door registry-aanpassingen, waardoor deze bij elke gebruikerslogin opnieuw wordt geladen, zelfs als beveiligingstools de malware proberen te isoleren.

Bron 1

Hackers hebben een geavanceerde malwarecampagne ontdekt die gericht is op WordPress-websites. Deze malware maakt gebruik van steganografie en backdoor-mechanismen om onopgemerkt toegang te krijgen tot beheerdersaccounts. De aanval begint met het verspreiden van kwaadaardige bestanden die zich voordoen als legitieme WordPress-componenten. Deze bestanden maken gebruik van versleuteling en obfuscatie om detectie te vermijden, en creëren beheerdersaccounts met hardcoded wachtwoorden. Zodra de malware is geïnstalleerd, kan deze communiceren met externe servers, waarmee gegevens zoals gecompromitteerde inloggegevens worden verzonden. Het malware-systeem maakt gebruik van verschillende technieken om zijn aanwezigheid te verbergen, zoals het verbergen van beheerdersaccounts en het verwijderen van zichzelf uit de pluginlijst. Deze campagne is bijzonder gevaarlijk doordat de website-eigenaren vaak onwetend blijven over de inbraak, terwijl de aanvallers stille toegang behouden.

Bron 1

Een geavanceerde malwarecampagne, geleid door de Vietnamese groep Lone None, maakt gebruik van valse auteursrechtklachten om informatie-steelsoftware te verspreiden. De aanval begon in november 2024 en maakt gebruik van gespoofte e-mailberichten die zogenaamd afkomstig zijn van juridische bedrijven. Deze e-mails beweren dat de ontvangers auteursrechten schenden op Facebook of hun websites. De berichten bevatten links die naar kwaadaardige bestendelen leiden, vaak verpakt in legitieme software zoals Haihaisoft PDF Reader, maar met verborgen malware. De campagne gebruikt bovendien URL-verkortingsdiensten en bestandsdelingplatformen zoals Dropbox om de schadelijke bestanden te verspreiden. Zodra de slachtoffers op de link klikken, wordt malware gedownload die verbinding maakt met Telegram-bots, die dienen als command-and-control-infrastructuur. De malware zorgt voor persistentie op geïnfecteerde systemen door wijzigingen aan te brengen in het Windows-register. De techniek is opmerkelijk door het gebruik van Telegram voor zowel de verspreiding als de communicatie van de malware.

Bron 1

Een nieuw command-and-control (C2)-domein is ontdekt dat wordt gebruikt door het XWorm malware-botnet. Het domein, SHADOWii0000-45869.portmap.host, maakt gebruik van de gratis tunnelingdienst van Portmap.io om remote port forwarding mogelijk te maken. Dit biedt aanvallers de mogelijkheid om botnetverkeer te maskeren door gebruik te maken van legitieme infrastructuur. Dit type misbruik van tunnelingdiensten wordt vaak toegepast door cybercriminelen om hun communicatie in de schaduw te houden. De waakzaamheid rond dit domein wordt geclassificeerd met een vertrouwen van 100%. Aanbevolen verdedigingsmaatregelen omvatten het blokkeren van het betreffende domein en gerelateerde IP-adressen op DNS-, proxy- en eindpuntniveaus, evenals het monitoren van uitgaand verkeer voor Portmap-gerelateerde tunnelingdiensten. Dit incident benadrukt hoe kwaadwillende actoren legitieme diensten misbruiken voor hun eigen voordeel.

De LAMEHUG-malware, ontdekt door CERT-UA in juli 2025, vertegenwoordigt een zorgwekkende vooruitgang in cyberaanvallen door kunstmatige intelligentie (AI) te integreren in zijn werking. In tegenstelling tot traditionele malware, die gebruikmaakt van statische instructies, genereert LAMEHUG dynamisch commando’s voor verkenning, datadiefstal en systeemmanipulatie door middel van grote taalmodellen (LLM) van Hugging Face. Deze malware past zich aan de omgeving aan en evolueert om detectiemechanismen te vermijden. LAMEHUG wordt verspreid via spear-phishing-campagnes en vermomt zich als legitieme toepassingen, zoals AI-afbeeldingsgeneratoren. Na installatie verzamelt de malware gevoelige informatie, zoals inloggegevens en documenten, en exfiltreert deze via diverse kanalen. De dynamische commando’s worden gegenereerd door LLM-query’s die specifiek gericht zijn op Windows-systemen en netwerkconfiguraties, waardoor de malware uiterst flexibel en moeilijk te detecteren is.

Bron 1

LummaStealer is een van de meest actieve informatie-stealing malwarefamilies van de afgelopen jaren. Deze malware richt zich op meerdere sectoren, waaronder telecommunicatie, gezondheidszorg, banken en marketing. In 2025 werd LummaStealer wereldwijd ingezet in gecoördineerde aanvallen, hoewel tijdelijke verstoringen door wetshandhavingsinstanties in mei 2025 het gebruik tijdelijk verminderden. Nieuwe varianten duiken echter weer op, wat de persistentie van deze dreiging aantoont. Traditionele handtekening-gebaseerde detectiesystemen zijn vaak niet in staat om deze varianten te identificeren. Daarom worden innovatieve benaderingen, zoals machine learning (ML)-gebaseerde detectie, steeds belangrijker. Onderzoekers van Netskope hebben een LummaStealer-campagne geanalyseerd en gedetailleerde technische informatie verzameld over de complexe technieken die de malware gebruikt om zich te verbergen en zijn voetafdruk te behouden op geïnfecteerde systemen. Het onderzoek benadrukt de effectiviteit van ML-gedreven detectie in het opsporen van geavanceerde malware.

Bron 1

Onderzoekers hebben sterke aanwijzingen gevonden dat de hacker groepen LAPSUS$, Scattered Spider en ShinyHunters sinds 2023 nauw met elkaar samenwerken. Deze samenwerking heeft geleid tot een efficiënt cybercrime-ecosysteem dat wereldwijd bedrijven bedreigt. De groepen delen tactieken, waaronder sociale manipulatie, en coördineren aanvallen op hoogprofieldoelen. Hun aanvallen zijn niet bijzonder technisch complex, maar benutten menselijke zwakheden en misconfiguraties in technologie. De belangrijkste aanvalsmethode blijft sociale manipulatie, waarbij aanvallers zich voordoen als werknemers om toegang te krijgen tot netwerken. Ondanks een "pensioen" in september 2025, blijven de groepen opereren, mede door hun reputatie en ervaring in succesvolle aanvallen. Het gebruik van technieken zoals SIM-swapping en MFA-bypassing wordt steeds verfijnder. Dit toont de evolutie van sociale engineering aan, waarbij aanvallen steeds meer psychologische manipulatie omvatten. De samenwerking werd verder duidelijk in augustus 2025, toen een Telegramkanaal de groepen verenigde.

Bron 1

Een nieuwe botnet-operatie maakt gebruik van het loader-as-a-service-model om wereldwijd internetverbonden apparaten te infecteren. De campagne richt zich op SOHO-routers, IoT-apparaten en bedrijfsapplicaties via kwetsbaarheden in de webinterfaces van netwerken, zoals command-injectieproblemen in configuratievelden voor NTP, syslog en hostnamen. Aanvallers injecteren shell-commando's in deze velden, wat leidt tot op afstand uitgevoerde aanvallen via minimale dropper-scripts. De botnet-infrastructuur gebruikt verschillende protocollen om misbruik te maken van kwetsbare apparaten, zoals TFTP en FTP als fallback-opties. Deze botnet-campagne is in staat om meerdere payloads, waaronder RondoDoX, Mirai en Morte, te downloaden van gedistribueerde command-and-control-servers. De operatie maakt gebruik van bekende CVE-kwetsbaarheden, waaronder CVE-2019-17574 en CVE-2019-16759. Deze botnetcampagne heeft bewezen opmerkelijke veerkracht te vertonen door zijn gedistribueerde netwerk en multi-architectuurondersteuning.

Bron 1

De Akira ransomware-aanvallen blijven zich ontwikkelen en hebben nu MFA-beveiliging van SonicWall SSL VPN-apparaten weten te omzeilen. Ondanks de actieve multi-factor authenticatie (MFA) via eenmalige wachtwoorden (OTP), zijn de aanvallers erin geslaagd om in te loggen. Deze aanvallen werden oorspronkelijk gelinkt aan een kwetsbaarheid (CVE-2024-40766) die in 2024 werd geïdentificeerd en gepatcht, maar de aanvallers blijven gebruik maken van gestolen inloggegevens, zelfs na de beveiligingsupdates. Cybersecurity-onderzoekers vermoeden dat de aanvallers gestolen OTP-zaadjes gebruiken of een alternatieve methode hebben ontdekt om geldige tokens te genereren. De aanvallers hebben zich gefocust op interne netwerken, gebruikmakend van technieken zoals SMB-aanvallen en RDP-logins. SonicWall raadt beheerders aan om alle VPN-inloggegevens te resetten en te zorgen voor de laatste versie van het beveiligingsfirmware.

Bron 1

Op 27 september 2025 werd een nieuwe indicator voor de Mirai botnet-command-and-control (C2)-infrastructuur ontdekt. Het betrof een domein dat wijst naar een IP-adres dat een standaard Apache2 Ubuntu-lopende pagina host, wat wijst op een mogelijk verkeerd geconfigureerde of net uitgerolde C2-server. De botnet maakt gebruik van de ELF.Mirai-malware, en de kans dat dit verband houdt met Mirai botnetactiviteiten wordt als 100% betrouwbaar ingeschat. Het domein animefastflux[.]com werd geïdentificeerd als een C2-server, en het bijbehorende IP-adres is 195[.]177[.]94[.]50. Voor verdedigende maatregelen wordt geadviseerd het domein en IP-adres te blokkeren op DNS-, proxy- en endpointlagen, en uitgaand verkeer te monitoren voor tekenen van Mirai-communicatie. Het incident benadrukt de voortdurende activiteit van de Mirai botnet-infrastructuur.

Er is een nieuwe indicator van bedreiging geïdentificeerd die mogelijk verband houdt met botnet-commando- en controle-infrastructuur. Deze infrastructuur gebruikt een overtuigend crypto-handelsplatform als camouflage, waarbij de website de interface van DODOEX, een gedecentraliseerde exchange, nabootst. Het domein app.dodloxex.com werd als verdacht gemeld en de operatie heeft een zeer hoge mate van vertrouwen van 100%. Verdachte activiteiten kunnen gebruikers aanmoedigen om met deze valse interface te interacteren, terwijl de achterliggende communicatie wordt gebruikt voor kwaadaardige doeleinden. Organisaties worden aangeraden dit domein en de bijbehorende IP-adressen te blokkeren op DNS-, proxy- en endpoint-niveaus. Het is belangrijk om verdachte crypto-swapinterfaces te monitoren en waakzaam te zijn voor domeinen die cryptocurrency-diensten nabootsen. Dit type bedreiging maakt gebruik van vertrouwde crypto-interfaces om slachtoffers te lokken.

Onderzoekers op het gebied van cyberbeveiliging hebben de eerste kwaadaardige Model Context Protocol (MCP)-server ontdekt die via een gemanipuleerd npm-pakket e-mails steelt. De kwetsbaarheid werd geïntroduceerd in versie 1.0.16 van het "postmark-mcp" pakket, dat op 17 september 2025 werd uitgebracht. Het pakket, dat een kopie was van een legitieme Postmark-bibliotheek, bevatte een kwaadaardige code die alle verzonden e-mails via de MCP-server naar de e-mail "phan@giftshop[.]club" stuurde. De aanvaller heeft 1.643 downloads van het pakket weten te verkrijgen, alvorens het pakket werd verwijderd van npm. Gebruikers van dit pakket wordt geadviseerd het onmiddellijk uit hun werkomgevingen te verwijderen en verdere beveiligingsmaatregelen te nemen, zoals het wijzigen van inloggegevens die mogelijk zijn blootgesteld door de gestolen e-mails. Deze ontdekking benadrukt de risico's van supply chain-aanvallen in de open-source softwareomgeving.

Bron 1

Cybersecurity-experts maken zich zorgen over het toenemende gebruik van Dynamic DNS-providers door dreigingsactoren om robuuste command-and-control (C2) infrastructuur op te zetten. Deze diensten, oorspronkelijk bedoeld voor legitieme hosting, worden steeds vaker misbruikt om beveiligingsmaatregelen te omzeilen en bedrijfsnetwerken te targeten. Dankzij de lage registratie-eisen en beperkte handhaving van deze providers kunnen cybercriminelen snel en anoniem subdomeinen registreren en kwaadaardige content hosten. Dit vergemakkelijkt de oprichting van stabiele communicatiekanalen met gecompromitteerde systemen, wat het moeilijk maakt voor beveiligingsteams om de infrastructuur te monitoren of blokkeren. Groepen zoals APT28 (Fancy Bear) en APT29 hebben deze diensten al gebruikt voor langlopende cyberaanvallen. Het gebrek aan regulering van deze providers maakt het voor aanvallers mogelijk om snel back-upinfrastructuur op te zetten en langdurige persistentie te behouden.

Bron 1

ModStealer is een geavanceerde informatie-stealer die zich richt op macOS-gebruikers en in staat is om de ingebouwde beveiligingsmechanismen van Apple te omzeilen. De malware maakt gebruik van geavanceerde technieken om persistentie te verkrijgen, wat betekent dat het moeilijk te detecteren is door zowel automatische als handmatige beveiligingssystemen. Het richt zich vooral op ontwikkelaars en cryptocurrency-bezitters, waarbij social engineering-campagnes worden ingezet, zoals valse vacatures en wervingsmogelijkheden. ModStealer heeft de mogelijkheid om gegevens van meer dan 50 browserextensies te stelen, waaronder cryptocurrency-wallets, en kan informatie zoals seed phrases en privé-sleutels verzamelen. Het malware maakt gebruik van Apple's eigen tools om zich als legitieme systeemprocessen voor te doen, waardoor het langdurig ongemerkt op geïnfecteerde systemen kan blijven. Deze cross-platform malware kan zowel macOS, Windows als Linux-systemen aanvallen.

Bron 1

Bitdefender-onderzoekers volgen een aanhoudende malvertisingcampagne die begon met Facebook-advertenties, waarin gratis toegang tot TradingView Premium werd beloofd. Deze campagne heeft zich inmiddels uitgebreid naar Google Ads en YouTube, waarbij gebruikers worden blootgesteld aan verhoogde risico’s. De advertenties leiden naar schadelijke downloads die zijn ontworpen om inloggegevens te stelen en accounts te compromitteren. Cybercriminelen hebben Google- en YouTube-accounts overgenomen om de TradingView-merknaam te imiteren, waarbij ze gebruik maakten van geverifieerde status en visuele elementen die lijken op het echte merk. De advertenties promoten ongevraagde, onlisted video's die malware bevatten en gebruikers naar phishingpagina's leiden. Bitdefender waarschuwt gebruikers om verdachte advertenties te melden en beveelt aan alleen software van officiële websites te downloaden.

Bron 1

De Malware-as-a-Service (MaaS) Olymp Loader wint snel aan populariteit door zijn geavanceerde ontwerp en mogelijkheden om moderne antivirussoftware te omzeilen. OLYMPO, de ontwikkelaar van de service, biedt het aan als volledig ondetecteerbaar (FUD), met de belofte dat het de beveiliging van Windows Defender kan ontwijken. De software bestaat uit een modulaire set van tools, waaronder credential stealers, crypters en methoden voor privilege escalation. Olymp Loader heeft geavanceerde functies zoals automatische certificaatondertekening, wat de legitimiteit van de malware-verzending vergroot en detectie door reputatiesystemen bemoeilijkt. Het wordt vaak verspreid als nep-installateurs voor populaire software zoals OpenSSL en Zoom. Het gebruik van encryptie en privilege escalation maakt het tot een krachtig hulpmiddel voor cybercriminelen, waardoor de drempel voor aanvallen lager wordt en de impact op bedrijven groter.

Bron 1

en nieuwe geavanceerde malwarecampagne genaamd TamperedChef maakt gebruik van ogenschijnlijk legitieme productiviteitstools om systemen binnen te dringen en gevoelige informatie te stelen. De malware is verpakt in trojaanse applicaties die zich voordoen als kalendertools en afbeeldingsweergaven. Deze tools, Calendaromatic.exe en ImageLooker.exe, worden via zelfuitpakkende 7-Zip-archieven verspreid en maken gebruik van een beveiligingslek in Windows om traditionele beschermingssystemen te omzeilen. De malware maakt gebruik van digitaal ondertekende software om het vertrouwen van de gebruiker te misbruiken en onopgemerkt toegang te krijgen tot systemen. Het wordt voornamelijk gedistribueerd via misleidende advertenties en zoekmachineoptimalisatie, gericht op gebruikers die op zoek zijn naar gratis productiviteitshulpmiddelen. Zodra de malware is geïnstalleerd, verzamelt en exfiltreert het browsergegevens en inloggegevens, en biedt het een blijvende achterdeur voor verdere aanvallen. De campagne maakt gebruik van geavanceerde technieken zoals Unicode-codering om detectie te vermijden.

Bron 1

Een recent waargenomen spear-phishingcampagne maakt gebruik van verfijnde social engineering-technieken om de DarkCloud-malware te verspreiden. Deze malware is ontworpen om toetsaanslagen vast te leggen, FTP-inloggegevens te stelen en systeeminformatie te verzamelen. Gedurende de afgelopen maand ontvingen slachtoffers e-mails die zich voordeden als legitieme software-updates of facturen. Deze e-mails bevatten een gemanipuleerd Word-document, dat een VBA-script uitvoert zodra het bestand wordt geopend, en zo de malware activeert. DarkCloud is modulair en kan verschillende soorten gegevens verzamelen, waaronder inloggegevens en systeeminstellingen. Het verzamelde materiaal wordt versleuteld en naar de command-and-control-infrastructuur gestuurd. De malware is zo geavanceerd dat het detectie door analysetools kan vermijden door alleen in het geheugen van de machine actief te zijn, wat forensische analyses bemoeilijkt. Beveiligingsteams moeten abnormale HTTPS-verbindingen en gedragsanalyse van verdachte API-injecties monitoren.

Bron 1

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat een ernstige kwetsbaarheid in Sudo, aangeduid als CVE-2025-32463, actief wordt misbruikt. Sudo is een veelgebruikte tool binnen Unix-achtige systemen die het mogelijk maakt beheerderstaken uit te voeren zonder het rootwachtwoord te delen. Door een fout in de manier waarop Sudo omgaat met het bestand nsswitch.conf kan een lokale gebruiker de applicatie misleiden en willekeurige code met rootrechten uitvoeren. De kwetsbaarheid heeft een CVSS-score van 9,3 en wordt beschouwd als kritiek. Hoewel er in juni al beveiligingsupdates beschikbaar kwamen, blijkt nu dat aanvallen daadwerkelijk plaatsvinden. Amerikaanse overheidsinstanties zijn verplicht de updates uiterlijk 20 oktober te installeren. Details over de aard of omvang van de aanvallen zijn niet vrijgegeven. CISA heeft de kwetsbaarheid toegevoegd aan zijn catalogus met bekende en actief aangevallen beveiligingslekken.

Bron 1

Bijna 49.000 Cisco-firewalls die via het internet toegankelijk zijn, bevatten momenteel twee ernstige beveiligingslekken die actief worden aangevallen. Het gaat om de kwetsbaarheden CVE-2025-20333 en CVE-2025-20362 in de Cisco Adaptive Security Appliance (ASA) en Secure Firewall Threat Defense (FTD) software. In Nederland zijn 817 apparaten getroffen en in België 143, aldus cijfers van The Shadowserver Foundation. De kwetsbaarheden maken het mogelijk dat aanvallers volledige controle krijgen over de apparaten, waarbij één lek misbruik van VPN-inloggegevens mogelijk maakt en het andere ongeauthenticeerde toegang tot VPN-gerelateerde endpoints biedt. Door beide lekken te combineren kan een aanvaller het apparaat volledig overnemen. Cisco bracht op 25 september beveiligingsupdates uit, terwijl het Amerikaanse cyberagentschap CISA overheidsinstanties verplichtte deze binnen één dag te installeren. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde eerder al voor de directe risico’s en riep organisaties op snel te patchen om misbruik te voorkomen.

Bron 1, 2

Een actor op het darkweb beweert 400.000 nieuwe gegevensregels afkomstig van CoinMarketCap te koop aan te bieden. Volgens de aanbieder gaat het om een ander datalek dan een eerdere inbreuk die in verband werd gebracht met hetzelfde platform. Over de aard van de data is nog weinig bekend, maar doorgaans bevatten dergelijke datasets e-mailadressen, gebruikersnamen en mogelijk aanvullende accountinformatie die misbruikt kan worden voor phishing of verdere aanvallen. CoinMarketCap, een bekend platform voor cryptomarktgegevens, is in het verleden vaker doelwit geweest van datadiefstal. De huidige claim moet nog worden geverifieerd en het is onduidelijk of de aangeboden gegevens authentiek zijn of gedeeltelijk overlappen met eerdere lekken. Dergelijke handelspraktijken benadrukken opnieuw de risico’s voor gebruikers van cryptodiensten, waar persoonlijke informatie aantrekkelijk blijft voor cybercriminelen. Het incident illustreert de voortdurende dreiging van datadiefstal in de cryptosector en de uitdagingen bij verificatie van claims op het darkweb.

Op een darkwebforum is een mogelijk 0-day remote code execution (RCE) exploit aangeboden dat zich richt op VPN-software. Het gaat om een niet-geverifieerde verkoop, waardoor nog onduidelijk is of het aangeboden middel daadwerkelijk functioneel is of dat het om een frauduleus aanbod gaat. Exploits voor VPN-diensten zijn zeer gewild omdat deze vaak toegang verschaffen tot interne netwerken van organisaties, waarmee een aanvaller beveiligingslagen kan omzeilen. Het gebruik van onbekende kwetsbaarheden vergroot de impact aanzienlijk, omdat er nog geen patches of mitigaties beschikbaar zijn. Hoewel er nog geen concrete aanwijzingen zijn dat dit specifieke exploit al in het wild wordt toegepast, vormt de situatie een potentieel risico voor bedrijven die sterk afhankelijk zijn van VPN-technologie voor externe toegang en beveiligde verbindingen. Experts raden aan om verhoogde waakzaamheid te betrachten en monitoringmaatregelen te intensiveren.

Op een darkwebforum wordt melding gemaakt van een mogelijke verkoop van een kwetsbaarheid in Veeam Backup. Volgens de informatie gaat het om een zogenoemde one-day kwetsbaarheid, wat betekent dat er al een patch beschikbaar is, maar dat niet alle systemen deze hebben toegepast. Dit soort kwetsbaarheden vormt een aantrekkelijk doelwit voor cybercriminelen, omdat veel organisaties achterlopen met updates en beveiligingspatches. Veeam Backup is wereldwijd een veelgebruikte oplossing voor het beheren en herstellen van data, waardoor een exploit in deze software een breed scala aan bedrijven kan raken. Het is onduidelijk of het daadwerkelijk om een legitiem aanbod gaat, maar de publicatie benadrukt het risico van handel in kwetsbaarheden op ondergrondse marktplaatsen. Voor organisaties onderstreept dit het belang van tijdig patchen en het monitoren van systemen om misbruik te voorkomen.

Een verdachte website, paste.c-net[.]org, is geïdentificeerd als infrastructuur voor het verspreiden van schadelijke payloads. De site presenteert zich als een paste-service, maar wordt volgens onderzoekers actief gebruikt binnen kwaadaardige campagnes. Het betrokken domein en het gekoppelde IP-adres 20[.]100[.]184[.]134 zijn door securitybronnen bevestigd als indicatoren met hoge betrouwbaarheid. Hoewel de specifieke malware die via deze infrastructuur wordt gedistribueerd onbekend is, benadrukken experts dat het misbruik van pastebin-achtige diensten een veelvoorkomende tactiek blijft om detectie te vermijden en malware op een laagdrempelige manier te verspreiden. Defensieve aanbevelingen zijn onder meer het blokkeren van dit domein en IP-adres op DNS-, proxy- en endpointniveau, evenals het monitoren van netwerkverkeer op verdachte verzoeken naar paste-diensten. Daarnaast wordt aangeraden om vergelijkbare domeinen actief te volgen via certificate transparency logs om nieuw opgezette infrastructuur tijdig te herkennen.

Onderzoekers van ThreatFabric hebben een nieuw trojaans paard ontdekt dat zich wereldwijd verspreidt onder de naam Datzbro. De malware richt zich specifiek op ouderen, die via Facebookgroepen met AI-gegenereerde inhoud worden benaderd. Daarin worden zogenaamd activiteiten en reizen voor senioren aangeboden. Slachtoffers krijgen via Messenger en WhatsApp links toegestuurd naar apps die schijnbaar iOS- of Android-functionaliteit bieden, maar in werkelijkheid leiden tot phishingpagina’s of de installatie van schadelijke software. Datzbro kan audio- en video-opnames maken, bestanden uitlezen en apparaten op afstand besturen. Dit stelt aanvallers in staat bankgegevens te misbruiken en financiële fraude te plegen. Het netwerk is al actief in Australië, Singapore, Maleisië, Canada, Zuid-Afrika en het Verenigd Koninkrijk. ThreatFabric waarschuwt dat Nederland eveneens risico loopt, aangezien de verspreiding vaak via het Verenigd Koninkrijk verloopt. De oorsprong lijkt Chineestalig, waarbij de malwarevariant ook publiekelijk beschikbaar is geraakt. Bron 1

Sekoia.io beschrijft hoe aanvallers sms-phishing op schaal uitvoeren door api-functies van milesight industriële 4g/5g-routers te misbruiken. Via ongeauthenticeerde endpoints kunnen sms-berichten worden verzonden en inbox/outbox worden uitgelezen. Honeypots registreerden sinds eind juni 2025 gerichte requests naar /cgi, met berichten die zich voordoen als csam en ebox en +32-nummers gebruiken. Shodan toont ruim 19.000 publiek toegankelijke routers; in een steekproef van 6.643 stonden 572 apparaten open voor sms-functies. Campagnes lopen minstens sinds februari 2022 en raken meerdere landen; belgië wordt herhaaldelijk getroffen, frankrijk periodiek. De infrastructuur gebruikt consequent namesilo-domeinen en vps-hosting bij podaon (AS210895). Phishingsites controleren op mobiel gebruik via detect_device.js en tonen alleen dan de pagina om detectie te omzeilen. Meerdere actoren lijken actief; naast csam/ebox worden in andere landen thema’s als betaalproblemen en pakketbezorging misbruikt. Het rapport bevat IOC’s voor blokkade en detectie. Bron 1

Onderzoekers hebben een nieuwe malwarevariant, Lunar Spider, ontdekt die Windows-systemen in één klik kan compromitteren. De aanval wordt meestal gestart via phishinglinks in e-mails of chatberichten. Na activering downloadt de malware onopvallend zijn componenten met behulp van legitieme Windows-processen zoals BITS en mshta.exe. Vervolgens wordt een versleutelde PowerShell-loader uitgevoerd die de schadelijke code rechtstreeks in het geheugen injecteert, waardoor nauwelijks sporen op de harde schijf achterblijven. Binnen enkele minuten verzamelt Lunar Spider inloggegevens uit de Windows Credential Manager, waaronder wachtwoorden voor RDP, VPN en databases. Gestolen gegevens worden gebruikt voor laterale beweging in netwerken en verdere phishingaanvallen vanuit gecompromitteerde accounts. Het gebruik van vertrouwde systeemprocessen maakt detectie bijzonder lastig en bemoeilijkt incidentrespons. Experts adviseren strengere monitoring van afwijkende processen, het beperken van toegangsrechten en extra controle op ongebruikelijke datatransfers om deze dreiging tijdig te signaleren. Bron 1