Opsporing nieuws

Gepubliceerd op 1 juli 2026 om 00:00

Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.

Opsporingsnieuws

Politieacties, arrestaties en rechtszaken rondom cybercriminelen. Nieuws over opsporing in Nederland en België.

Actueel opsporingsnieuws over cybercriminaliteit

5.0 Opsporing:

02 juli 2026 | Verdachte van hackgroep Scattered Spider uitgeleverd aan VS

Een 19-jarige man met de Amerikaanse en Estse nationaliteit is deze week vanuit Finland uitgeleverd aan Chicago, Verenigde Staten. Peter Stokes moet daar strafrechtelijke aanklachten tegemoetzien wegens zijn vermeende deelname aan cyberaanvallen als lid van de cybercrimegroep Scattered Spider. De verdachte verscheen dinsdag voor het eerst voor de federale rechtbank in het Northern District of Illinois, zo maakte het Amerikaanse ministerie van Justitie bekend.

De strafrechtelijke aanklacht van de FBI beschuldigt Stokes van samenzwering, cyberinbraak en fraude. Centraal in de aanklacht staat een datalek bij een ongespecificeerde "luxe juwelier", aangeduid als Bedrijf F, dat plaatsvond rond 12 mei 2025. De FBI stelt dat Stokes en mogelijk andere leden van Scattered Spider data stalen van het bedrijf en vervolgens een losgeld van 8 miljoen dollar in cryptovaluta eisten.

Volgens de aanklacht deden de dreigingsactoren zich voor als werknemers-gebruikers van Bedrijf F en vroegen zij om een reset van hun authenticatiegegevens, waaronder het wachtwoord en het mobiele apparaat voor meervoudige authenticatie. Door deze phishing-techniek te gebruiken, wisten de aanvallers binnen ongeveer twee tot drie uur drie gebruikersaccounts van Bedrijf F te compromitteren. Twee van deze gecompromitteerde accounts behoorden toe aan IT-beheerders met toegang tot accounts met hoge privileges.

Leden van de losjes verbonden, Engelssprekende Scattered groep Spider zijn eerder beschuldigd of veroordeeld voor scam-operaties met SMS-phishing, inbraken bij Amerikaanse casino's en een federaal rechtssysteem, en een grote netwerkverstoring bij het transportbedrijf van Londen. De deze week openbaar gemaakte aanklacht beschuldigt Stokes er ook van dat hij in maart 2023 ongeautoriseerde toegang verkreeg tot het netwerk van een "online communicatieplatform", aangeduid als Bedrijf H.

Stokes, die naar verluidt de aliassen "Bouquet", "Spencer" en "Jordan" gebruikte, werd in april gearresteerd door de Finse autoriteiten na een Interpol Red Notice. De Chicago Tribune rapporteerde zijn arrestatie eerder dit voorjaar. Na zijn zitting van dinsdag blijft Stokes in hechtenis van wetshandhavers.

Bij de inbraak bij de juwelier stelt de FBI dat de verdachten Google Voice-nummers gebruikten om de IT-helpdesk te bellen, de wachtwoordresets aan te vragen en later toegang te krijgen tot de hogere accounts. Als onderdeel van de criminele operatie gebruikten de verdachten vervolgens ngrok, een legitieme tool die app-ontwikkelaars gebruiken voor het beheer van internetverkeer, om "persistente ongeautoriseerde toegang" tot het datacenter van het bedrijf mogelijk te maken.

Het bedrijf betaalde de 8 miljoen dollar losgeld niet, aldus de FBI, maar de "verliezen als gevolg van bedrijfsverstoring, onderzoek en mitigatie bedroegen ongeveer 2 miljoen dollar, en verdere verliezen werden verwacht." De Amerikaanse overheid schat dat Scattered Spider betrokken is geweest bij meer dan 100 netwerkinbraken en meer dan 100 miljoen dollar aan losgeldbetalingen heeft geïnd.

 

Bron: U.S. Department of Justice | Bron 2: chicagotribune.com | Bron 3: recordedfuture.com

02 juli 2026 | Belgische politie richt aparte eenheid op voor bestrijding van phishing

De Belgische Federale Politie heeft een speciale eenheid opgericht, de 'Nationale Cel Phishing', met als doel de bestrijding van phishing-activiteiten te intensiveren. Deze cel bestaat uit gespecialiseerde cyberspeurders, administratieve ondersteuning en misdrijfanalisten, die zich zullen richten op het in kaart brengen van trends, fenomenen en de criminele structuren die achter phishingcampagnes schuilgaan. De focus van de eenheid ligt specifiek op de personen die deze campagnes opzetten, daders met specifieke rollen en het wegsluizen van gestolen geld.

Volgens Eric Snoeck, commissaris-generaal van de Federale Politie, is de oprichting van deze cel een belangrijke en noodzakelijke stap in de strijd tegen phishing. Door phishingfeiten te clusteren en verbanden te leggen, verwacht de politie criminele netwerken doelgerichter te kunnen aanpakken. De eenheid zal ook de coördinatie van de aanpak van phishing verbeteren door versnipperde informatie uit dossiers van diverse politieregio's en federale diensten te bundelen. Dit stelt hen in staat om bepaalde werkwijzen te detecteren, daderprofielen te vergelijken en verbanden tussen de verschillende dossiers te leggen die anders onopgemerkt zouden blijven.

Voor de analyses maakt de Nationale Cel Phishing gebruik van Phishnet, een platform dat phishingmeldingen omzet in visuele weergaven. Dit systeem helpt bij het koppelen van gelijkaardige feiten en het herkennen van patronen. De eenheid werkt ook nauw samen met verschillende partners. Zo wisselt Phishnet informatie uit met het Centre for Cybersecurity Belgium (CCB). Daarnaast wordt Phishline ingezet, een tool die ervoor zorgt dat specifieke informatie uit phishingaangiften automatisch wordt doorgestuurd naar de juiste partners, zoals de bank van het slachtoffer, het CCB en het meldpunt van het Belgische ministerie van Economie.

Commissaris-generaal Snoeck benadrukt het belang van snel schakelen in een continu veranderende samenleving waarin criminele praktijken voortdurend evolueren. Door technologie, data-analyse en samenwerking slim te combineren, wordt niet alleen de slagkracht van de politie zelf versterkt, maar ook die van alle partners. Hij stelt dat geen enkele organisatie phishing alleen kan bestrijden. De nieuwe eenheid start deze zomer en zal in de komende periode verder worden uitgebouwd.

 

Bron: Federale Politie

03 juli 2026 | FBI ontmantelt NetNut proxyplatform en Popa botnet in internationale operatie

De Amerikaanse Federal Bureau of Investigation (FBI) heeft in samenwerking met diverse industriële partners honderden domeinen in beslag genomen die gekoppeld zijn aan NetNut. Dit is een uitgebreide proxyservice voor woonwijken, beheerd door het beursgenoteerde Israëlische bedrijf Alarum Technologies [NASDAQ: ALAR]. De actie volgt ongeveer twee weken nadat KrebsOnSecurity bevindingen van meerdere beveiligingsbedrijven publiceerde die NetNut in verband brachten met het Popa botnet. Dit botnet bestaat uit minstens twee miljoen gecompromitteerde apparaten, veelal zonder of met zeer beperkte toestemming van de slachtoffers.

De homepage van NetNut toonde vandaag een beslagleggingsbanner van de FBI. Op 19 juni publiceerden drie verschillende beveiligingsbedrijven vergelijkbare bevindingen: NetNut is een residentieel proxynetwerk dat het Popa botnet voedt en software verspreidt voor apparaten die vaak in huizen te vinden zijn, zoals smart-tv's en streamingboxen. De software van NetNut transformeert deze systemen in proxydoorvoerpunten die vervolgens worden verhuurd aan derden. Deze derden gebruiken de proxydoorvoerpunten voornamelijk voor het relayeren van misbruikmakend en indringend internetverkeer, waaronder massale content scraping, advertentiefraude en account-overnameactiviteiten.

De beslagleggingskennisgeving van de FBI en de Internal Revenue Service Criminal Investigation (IRS-CI) bedankte Google, Lumen, Shadowserver en andere industriële partners voor hun hulp bij de ontmanteling van de honderden domeinen die aan het Popa botnet zijn gekoppeld. Experts stellen dat dit botnet al lange tijd synoniem is met de residentiële proxy-infrastructuur van NetNut.

In een vandaag gepubliceerde blogpost meldde de Google Threat Intelligence Group (GTIG) dat het proxynetwerk van NetNut veelvuldig wordt doorverkocht en white-labeled door diverse externe proxyaanbieders. De diensten van NetNut zijn zeer gewild bij cybercriminelen die de bron van hun malafide verkeer willen verhullen. De GTIG observeerde in één week in juni 2026 maar liefst 316 afzonderlijke clusters van dreigingsactoren die vermoedelijke NetNut exit-nodes gebruikten, waaronder cybercriminele en spionagegroepen. Volgens GTIG kunnen deze kwaadwillende actoren NetNut gebruiken om hun bron-IP-adres te maskeren bij het benaderen van slachtofferomgevingen, het benaderen van hun eigen infrastructuur en het uitvoeren van wachtwoordspray aanvallen. Bovendien, wanneer een consumentenapparaat een exit-node wordt, passeert onbevoegd netwerkverkeer erdoorheen, wat betekent dat kwaadwillende actoren toegang kunnen krijgen tot andere privéapparaten op hetzelfde thuisnetwerk, waardoor deze worden blootgesteld aan internetdreigingen.

Google heeft Google accounts en -diensten die door NetNut werden gebruikt voor malware command-and-control uitgeschakeld. Het bedrijf deelde technische informatie over de software development kits (SDK's) en backendinfrastructuur van NetNut met platformaanbieders, wetshandhavingsinstanties en onderzoeksbureaus. Ook heeft Google apps uitgeschakeld waarvan bekend is dat ze de verschillende SDK's van NetNut bundelen.

Omer Weiss, juridisch adviseur voor NetNut-moederbedrijf Alarum Technologies, bevestigde dat het bedrijf op de hoogte was van de beslaglegging door de FBI en samenwerkt met de onderzoekers. Alarum neemt de zaak serieus en zal volledig meewerken met de wetshandhaving om ervoor te zorgen dat elk misbruik van zijn infrastructuur grondig wordt onderzocht en de verantwoordelijken ter verantwoording worden geroepen, aldus Weiss in een schriftelijke verklaring.

Benjamin Brundage, oprichter van de proxymonitoringsdienst Synthient, een van de bedrijven die vorige maand bewijs publiceerde over de koppeling tussen het Popa botnet en NetNut/Alarum Technologies, stelde dat de domeinbeslagleggingen zowel het Popa botnet als het NetNut proxynetwerk daarbovenop lijken te hebben verstoord. Brundage voegde eraan toe dat de ondergang van NetNut waarschijnlijk een groot nadeel zal zijn voor de cybercriminele gemeenschap, die al herstellende was van juridische acties van Google eerder dit jaar, waarbij de infrastructuur van NetNut's grootste concurrent, IPIDEA, in beslag werd genomen. Hij verwacht dat deze ontmanteling een grote impact zal hebben, aangezien NetNut aanzienlijke populariteit won na de IPIDEA-ontmanteling en qua dagelijks verkeer, kwaliteit, omvang en prijs per gigabyte op gelijke hoogte stond met IPIDEA.

De ontmanteling van NetNut en het Popa botnet kan nog een ander voordeel hebben, aldus Brundage, namelijk het verminderen van de impact van grote distributed denial-of-service (DDoS) botnets die zijn gebouwd op slecht geconfigureerde residentiële proxyservices. In januari onthulde Synthient hoe cybercriminelen 's werelds grootste DDoS botnet (Kimwolf) hadden gebouwd door via IPIDEA-proxyverbindingen in de lokale netwerken van eigenaren van tv-boxen te tunnelen en andere Android-gebaseerde apparaten achter de firewall van het slachtoffer te infecteren. Hoewel veel van de grotere proxyaanbieders stappen ondernamen om deze activiteit te blokkeren, waren resellers van de grote proxynetwerken veel trager in hun reactie op de dreiging. Brundage verwacht dat de compromittering van al deze tv-boxapparaten vanuit het proxynetwerk een impact zal hebben op de bestaande DDoS-botnets. Google schat dat de acties van vandaag hebben geleid tot een "significante degradatie van het proxynetwerk van NetNut en zijn bedrijfsactiviteiten, waardoor de beschikbare pool van apparaten voor de proxy-operator met miljoenen is verminderd". Het bedrijf waarschuwt echter dat proxynetwerken zichzelf kunnen heropbouwen door andere proxyservices door te verkopen, zoals IPIDEA de afgelopen maanden heeft gedaan.

 

Bron: FBI | Bron 2: synthient.com | Bron 3: spur.us

03 juli 2026 | Google verstoort grootschalig residentieel proxynetwerk NetNut

Google heeft, in samenwerking met de FBI, Lumen en andere partners, een aanzienlijke verstoring teweeggebracht in NetNut, een van de grootste netwerken die wereldwijd thuisapparaten omzet in gehuurde relays voor internetverkeer van derden. Google's Threat Intelligence Group (GTIG) meldde deze week dat het de bruikbare pool van deze apparaten met miljoenen heeft gereduceerd.

NetNut, ook bekend als Popa, omvat minstens twee miljoen thuisapparaten, waaronder smart-tv's en streamingboxen. Dit netwerk verkoopt toegang tot echte thuisinternetadressen, waardoor aanvallers hun verkeer via de verbinding van een consument kunnen leiden. Dit maskeert hun activiteiten als gewoon thuisgebruik, om zo beveiligingstools te omzeilen. Voor eigenaren betekent dit dat hun IP-adres de schuld kan krijgen van malafide acties van derden.

De software die apparaten tot 'exit nodes' maakt, wordt soms vooraf geïnstalleerd op goedkope, onbekende hardware of via gratis apps verspreid. Google waarschuwt dat een exit node extern verkeer binnen het thuisnetwerk kan brengen, wat aanvallers een voet aan de grond geeft voor verdere infiltratie. Sommige van deze apparaten zijn ook ingezet in botnets zoals Mirai en Badbox 2.0. In juni telde GTIG 316 dreigingsclusters die NetNut-exit nodes gebruikten, waaronder cybercriminele en spionagegroepen voor onder meer aanvallen met wachtwoordraden.

Onderzoekers van Qurium, Synthient, Nokia Deepfield en Spur hebben Popa gekoppeld aan NetNut, een proxyprovider die eigendom is van het beursgenoteerde Israëlische bedrijf Alarum Technologies (NASDAQ: ALAR). Synthient's tests toonden aan dat verkeer via NetNut's commerciële gateway uitkwam via een apparaat dat in Popa was ingeschreven. Hoewel Alarum de term 'botnet' verwerpt en spreekt van het delen van bandbreedte met toestemming, toonden de tests van Synthient aan dat geen van de onderzochte apps gebruikers een duidelijke toestemmingsprompt toonde. Google's eigen inlichtingen bevestigen de overlap tussen NetNut en Popa.

De verstoring van NetNut is een 'degradatie' en geen definitieve uitschakeling, deels vanwege NetNut's resellerprogramma. Veel ogenschijnlijk afzonderlijke proxymereken verkopen in werkelijkheid dezelfde NetNut-pool door. Eerdere acties tegen vergelijkbare netwerken, zoals IPIDEA in januari en de rechtszaak tegen de operators van Badbox 2.0 in juli 2025, toonden de veerkracht van dergelijke netwerken aan. Blijvende schade vereist een gelijktijdige aanpak van meerdere verbonden providers.

Consumenten wordt geadviseerd voorzichtig te zijn met apps die betalen voor 'ongebruikte bandbreedte' of 'internet delen'. Gebruik alleen officiële app stores, controleer app-machtigingen en houd ingebouwde beveiligingen zoals Google Play Protect ingeschakeld. Koop streamingboxen en smart-tv-hardware van bekende fabrikanten. De vraag naar residentiële IP-adressen blijft bestaan; beveiligingsexperts zullen moeten monitoren of verkeer gekoppeld aan NetNut onder andere merknamen weer opduikt.

 

Bron: synthient.com

03 juli 2026 | Antwerpse tiener opgepakt voor leidende rol in phishingbende, buit half miljoen euro

De federale gerechtelijke politie (FGP) Oost-Vlaanderen heeft een 19-jarige man uit Antwerpen gearresteerd die wordt verdacht van een leidende rol in een phishingbende. De man werd gevat na zijn terugkeer uit Dubai en zou deel uitmaken van een criminele organisatie die op grote schaal digitale oplichting en witwassen organiseerde. De federale politie meldt dat de bende talrijke slachtoffers heeft gemaakt in Europa, met tientallen feiten die Belgische slachtoffers betreffen. De vermoedelijke buit bedraagt meer dan een half miljoen euro.

Het onderzoek naar de phishingfeiten startte in maart 2026, op initiatief van het parket Oost-Vlaanderen. Uit het doorgedreven speurwerk kwam naar voren dat de criminele organisatie deels vanuit België opereerde en vermoedelijk vanuit Nederland werd aangestuurd. De werkwijze van de bende omvatte het versturen van valse e-mails die afkomstig leken van overheidsinstanties. Na deze initiële contacten werden slachtoffers telefonisch benaderd door een valse bankmedewerker. Deze overtuigde hen om overnamesoftware op hun computer te installeren.

Door de installatie van deze software kregen de verdachten toegang tot de bankrekeningen van de slachtoffers. Vervolgens sluisden de fraudeurs het geld weg. De buitgemaakte bedragen werden overgezet naar buitenlandse rekeningen en daarna witgewassen, onder andere met behulp van geldezels, cashers en cryptomunten. Uit het onderzoek bleek ook dat de 19-jarige verdachte meermaals vliegtickets naar Dubai heeft betaald met bankkaarten die toebehoorden aan slachtoffers.

Op 29 juni konden de speciale eenheden van de federale politie de verdachte arresteren in een Airbnb in Antwerpen. De onderzoeksrechter heeft hem daarna aangehouden. Tijdens de arrestatie werd ook een tweede verdachte aangetroffen, maar deze persoon werd niet aangehouden.

 

Bron: Federale Politie

Opsporing nieuws

Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.

Lees meer »

Opsporing 2026 juni

Deze pagina biedt een overzicht van het opsporingsnieuws, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen in juni 2026, met een focus op Nederland, België en relevante internationale zaken.

Lees meer »

Opsporing 2026 mei

Deze pagina biedt een overzicht van het opsporingsnieuws, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen in mei 2026, met een focus op Nederland, België en relevante internationale zaken.

Lees meer »

Opsporing 2026 april

▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025

Lees meer »

Opsporing 2026 maart

▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025

Lees meer »

Opsporing 2026 februari

▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025

Lees meer »