• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

• Overzicht maand november 2025

NATO overweegt een meer proactieve benadering in reactie op de steeds intensievere hybride aanvallen van Rusland. Deze aanvallen omvatten onder andere cyberaanvallen, sabotage-operaties en schendingen van het luchtruim. NATO-functionarissen hebben zelfs de mogelijkheid van een zogenaamde "preventieve aanval" op Russische doelwitten in overweging genomen.

Admiral Giuseppe Cavo Dragone, voorzitter van de militaire commissie van NATO, verklaarde in een interview met de Financial Times dat de alliantie haar traditionele reactieve houding heroverweegt, nu Europa wordt geconfronteerd met een toename van hybride incidenten die aan Rusland worden toegeschreven. Recente gevallen omvatten het doorsnijden van onderzeese kabels in de Baltische Zee, grootschalige cyberinbreuken over het continent en drone-activiteit nabij de grenzen van bondgenoten.

Dragone benadrukte dat hoewel een offensieve cyberreactie de eenvoudigste optie zou zijn, gezien veel lidstaten over dergelijke capaciteiten beschikken, het reageren op fysieke sabotage of drone-inbraken complexer zou zijn. Hij stelde dat een "preventieve aanval" onder bepaalde omstandigheden als een defensieve actie kan worden beschouwd, hoewel dit verder gaat dan de gebruikelijke manier van denken en handelen binnen NATO.

De zorgen over een te passieve benadering worden gedeeld door diplomaten, vooral uit Oost-Europa, die pleiten voor maatregelen die Rusland kosten zouden opleggen. Zij stellen dat als NATO alleen reactief blijft, Rusland wordt uitgenodigd om door te gaan met aanvallen. Tegelijkertijd wijst NATO op het succes van de operatie Baltic Sentry, die werd opgezet om vitale onderwaterinfrastructuur te beschermen. Deze gezamenlijke maritieme en luchtaanvallen hebben herhaling van de kabeldoorsnijdingsincidenten die in 2023 en 2024 plaatsvonden, voorkomen.

Bron 1, 2

De hacker-groep APT36, die wordt geassocieerd met Pakistan en ook wel bekend is onder de naam Transparent Tribe, heeft een geavanceerde cyberespionagecampagne opgezet gericht op Indiase overheidsinstanties. Deze campagne maakt gebruik van nieuwe, Python-gebaseerde ELF-malware, wat een significante stap vooruit betekent in de capaciteiten van de groep. De groep heeft een verfijnde aanvalsmethode ontwikkeld die specifiek is aangepast voor Linux-besturingssystemen, waarmee ze hun aanvallen kunnen uitbreiden naar een nieuw platform dat veel wordt gebruikt door de Indiase overheid.

De aanval werd uitgevoerd via spear-phishing e-mails, die wapens bevatten in de vorm van schadelijke Linux-snelkoppelingbestanden. Deze bestanden werden zodanig ontworpen dat, wanneer ze werden geopend, de malware in de achtergrond werd gedownload en uitgevoerd zonder dat de gebruiker zich bewust was van de infectie. De malware werd vervolgens geïnstalleerd via een complexe, meerlagige aanvalsmethode die de aanvallers in staat stelde hun aanwezigheid geheim te houden en tegelijkertijd permanente toegang te verkrijgen tot kritieke infrastructuur.

De keuze van APT36 om over te schakelen van Windows naar Linux markeert een strategische wijziging in hun werkwijze. Hoewel de groep eerder vooral gericht was op Windows-systemen, toont deze nieuwe campagne aan dat ze zich nu ook richten op het BOSS-besturingssysteem, dat veelvuldig wordt ingezet binnen Indiase overheidsorganisaties. Dit wijst op een evolutie van hun operationele doctrines, waarbij meerdere platformen worden benut om de effectiviteit van hun aanvallen te vergroten.

De malware maakt gebruik van .desktop-bestanden om de schadelijke payload te verbergen en zo traditionele beveiligingsmaatregelen te omzeilen. Het bestand wordt gepresenteerd als een legitiem Linux-bestand, maar bevat verborgen commando’s die de malware naar het systeem brengen. De malware zelf is een krachtige tool voor het verkrijgen van op afstand toegang, het uitvoeren van willekeurige commando’s, het maken van schermafbeeldingen en het exfiltreren van data. Door gebruik te maken van systemd-gebruikerservices kan de malware zichzelf persistent maken, zodat deze blijft draaien na herstarts van het systeem.

De malware werd verspreid via phishingcampagnes die gebruik maakten van onlangs geregistreerde domeinen en gecompromitteerde servers in verschillende landen. De specifieke domeinen en IP-adressen die werden gebruikt om de payload te leveren, wijzen op een goed geplande en gecoördineerde aanval. De Indiase overheidsinstanties worden geadviseerd om onmiddellijk beveiligingsmaatregelen te versterken, zoals verbeterde e-mailbeveiliging en strikte endpointbeveiliging, om deze voortdurende dreiging te kunnen afweren.

Bron 1

Rusland heeft door de eeuwen heen herhaaldelijk verdragen geschonden, van het Russische rijk tot de moderne Russische Federatie. Dit gedrag heeft niet alleen geopolitieke instabiliteit veroorzaakt, maar heeft ook invloed op de digitale veiligheid van landen over de hele wereld, inclusief Nederland en België. De recente ontwikkelingen in Oekraïne, waaronder de annexatie van de Krim en de steun voor separatisten in het oosten van Oekraïne, zijn voorbeelden van hoe Rusland zich niet houdt aan internationale verdragen, wat heeft bijgedragen aan verhoogde cyberdreigingen en hybride oorlogsvoering in Europa.

Met het toenemende gebruik van cyberaanvallen, desinformatiecampagnes en andere digitale aanvallen door Rusland, moeten Europese landen, waaronder Nederland en België, waakzaam blijven. De onbetrouwbaarheid van Rusland in het naleven van internationale afspraken heeft geleid tot een grotere dreiging voor kritieke infrastructuur en de veiligheid van digitale systemen, wat een directe invloed heeft op de dagelijkse bedrijfsvoering en persoonlijke veiligheid van Europese burgers.

De gevolgen van deze schendingen zijn duidelijk in de huidige geopolitieke context, waar Russische cyberaanvallen een steeds groter onderdeel vormen van de bredere strategie om landen te destabiliseren. Dit heeft niet alleen directe implicaties voor de nationale veiligheid, maar ook voor de bescherming van de digitale infrastructuur in Nederland en België.

Bron 1

Noord-Korea voert een ongekend inlichtingenoperatie uit waarbij ontwikkelaars worden verleid om hun identiteit te verhuren voor illegale fondsenwervingsdoeleinden. Het beruchte Chollima, een onderdeel van de staatsgesponsorde Lazarus-groep van Noord-Korea, staat bekend om zijn social engineering-campagnes waarmee het Westerse bedrijven infiltreert voor spionage en het genereren van inkomsten voor het regime. Deze groep heeft erin geslaagd recruiters te misleiden en banen te verkrijgen bij Fortune 500-bedrijven door gestolen identiteiten te gebruiken en een breed scala aan AI-technologie, waaronder deepfake-video's, in te zetten. Opmerkelijk is dat de betrokkenen niet fysiek aanwezig waren bij sollicitatiegesprekken, omdat zij gebruikmaakten van technieken die hen onzichtbaar hielden voor de camera's.

Een andere tactiek is om legitieme ingenieurs te rekruteren die als figuurlijke voorhoede optreden in de operaties van de Noord-Koreaanse agenten. Deze ingenieurs krijgen de taak om de interacties met bedrijven tijdens sollicitatiegesprekken te verzorgen, waarbij ze een percentage van het salaris ontvangen – tussen de 20% en 35% – gedurende de duur van het contract. Als de ingenieur bereid is om zijn computer aan de agenten ter beschikking te stellen, kan hij een hoger bedrag verdienen. De Noord-Koreaanse agenten gebruiken de computer en de ingenieur als proxy voor hun kwaadaardige activiteiten, zodat hun locatie en sporen niet traceerbaar zijn.

Mauro Eldritch, een hacker en specialist in dreigingsanalyse bij BCA LTD, legt uit dat de ingenieurs die hun identiteit verhuren alle risico’s dragen. Zij zullen verantwoordelijk zijn voor de schade die wordt aangericht, aangezien zij de identiteit hebben verhuurd aan de agenten. Eldritch heeft eerder verschillende ontmoetingen gedocumenteerd met Noord-Koreaanse agenten die op zoek waren naar ingenieurs of ontwikkelaars die snel geld wilden verdienen.

Onlangs ontdekte Eldritch meerdere GitHub-accounts die vol stonden met recruteringsberichten van Famous Chollima. Deze berichten nodigden ingenieurs uit om deel te nemen aan technische sollicitatiegesprekken, waarbij de recruiters een valse identiteit aanboden om de ingenieurs te helpen "effectief" te reageren op interviewers. De technici werden niet verplicht om de technische onderwerpen volledig te beheersen, omdat de recruiter hen zou ondersteunen bij het beantwoorden van vragen.

De onderzoekers gebruikten sandboxdiensten van ANY.RUN om een gesimuleerde laptopfarm te creëren waarmee ze de activiteiten in real-time konden opnemen en later analyseren. In dit gecontroleerde onderzoek reageerde García, een van de onderzoekers, als een beginnende ingenieur op het recruteringsaanbod, met als doel de strategieën en gebruikte tools van de Noord-Koreaanse agenten te ontdekken. Ze stelden vast dat de recruiter onder meer gebruikmaakte van AI-gestuurde extensies zoals AIApply en Final Round AI om sollicitaties in te vullen en real-time reacties tijdens interviews te genereren.

Naast deze AI-tools ontdekte men ook de toepassing van Google Remote Desktop en technieken voor systeemverkenning. In sommige gevallen werd er zelfs een VPN-dienst gebruikt, Astrill VPN, die populair blijkt te zijn onder de Noord-Koreaanse IT-werknemers die zich achter valse identiteiten verschuilen.

Het onderzoek biedt waardevolle inzichten in de tactieken en tools die door de Noord-Koreaanse hackers worden gebruikt om bedrijven te infiltreren en legitieme ingenieurs te misleiden. De gegevens die zijn verzameld kunnen bedrijven helpen zich voor te bereiden op mogelijke infiltratiepogingen, hun werkprocessen te verstoren en hun detectiemethoden te verbeteren, verder dan de traditionele methoden voor malwaredetectie.

Bron 1

Hackers die gelinkt worden aan de Iraanse staat hebben opnieuw toeslagen uitgevoerd op Israëlische entiteiten in verschillende sectoren, waaronder onderwijs, techniek, lokale overheden, productie, technologie, transport en nutsvoorzieningen. De aanvallen maken gebruik van een nieuwe backdoor, genaamd MuddyViper, en omvatten geavanceerde loaders en hulpmiddelen voor het stelen van inloggegevens.

Deze cyberaanvallen worden toegeschreven aan de hacker-groep MuddyWater, ook bekend als Mango Sandstorm of TA450. Deze groep wordt verondersteld verbonden te zijn met het Iraanse Ministerie van Inlichting en Veiligheid (MOIS). De aanvallen hebben niet alleen Israëlische doelwitten getroffen, maar ook een technologiebedrijf in Egypte. Volgens gegevens van de Israëlische Nationale Cyber-directoraat (INCD) richtte MuddyWater zich op verschillende kritieke sectoren, waaronder lokale overheden, civiele luchtvaart, toerisme, gezondheidszorg, telecommunicatie, informatietechnologie en kleine en middelgrote bedrijven.

De aanvalsketens beginnen vaak met spear-phishing en het misbruik van kwetsbaarheden in VPN-infrastructuur om netwerken binnen te dringen. Traditioneel maakt de groep gebruik van legitieme tools voor remote management, zoals Atera, Level, PDQ en SimpleHelp. Sinds mei 2024 bevatten de phishingcampagnes echter een nieuwe backdoor, genaamd BugSleep (ook wel MuddyRot).

De MuddyViper-backdoor maakt het de aanvallers mogelijk om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en inloggegevens van Windows en browserdata te stelen. Het C/C++-gebaseerde MuddyViper ondersteunt twintig verschillende commando’s om toegang en controle over besmette systemen te verkrijgen. Verschillende versies van de loader, genaamd Fooder, imiteren het klassieke Snake-spel en bevatten een vertraagde uitvoering om detectie te vermijden. Het gebruik van Fooder werd voor het eerst in september 2025 onder de aandacht gebracht door Group-IB.

Daarnaast worden andere tools gebruikt, zoals VAXOne, een backdoor die zich voordoet als Veeam, AnyDesk, Xerox en de OneDrive-updater, evenals CE-Notes, een browserdata-steler die probeert de app-gebonden encryptie van Google Chrome te omzeilen. Ook worden de Blub- en LP-Notes-tools ingezet om gebruikersnaam- en wachtwoordinloggegevens te stelen. MuddyWater’s gebruik van deze nieuwe componenten, zoals de Fooder-loader en de MuddyViper-backdoor, geeft aan dat de groep zijn tactieken heeft verbeterd om stealth, persistentie en het verzamelen van inloggegevens te optimaliseren.

De onthulling van deze aanvallen volgt op eerdere aanvallen van een andere Iraanse groep, APT42, die werd gekoppeld aan een espionagecampagne gericht op individuen en organisaties in Israël. Het blijkt dat de verschillende Iraanse hackinggroepen gebruik maken van dezelfde infrastructuur en doelwitten, wat wijst op een gecoördineerde inspanning door de Iraanse staat.

Bron 1

Aan Oekraïne gelinkte hackers hebben hun cyberaanvallen op de Russische luchtvaartindustrie en de bredere defensiesector geïntensiveerd. Dit gebeurt met behulp van op maat gemaakte malware en gerichte spear-phishing om gevoelige informatie zoals ontwerpen, planningen en interne e-mails te stelen. De campagne richt zich zowel op de belangrijkste aannemers als op kleinere leveranciers binnen de sector. Het primaire doel van de operatie is het in kaart brengen van productieketens en het blootleggen van kwetsbaarheden binnen de Russische oorlogsindustrie. De gestolen data, waaronder informatie van onderzoekslaboratoria, testlocaties en logistieke bedrijven die vliegtuigen, drones en raketsystemen ondersteunen, kan inzicht geven in onderdelentekorten, leveringsvertragingen en softwarefouten. Dit biedt Oekraïense planners een duidelijker beeld van de operationele gereedheid van Rusland.

De kwaadaardige software werd voor het eerst opgemerkt eind 2024 in de vorm van spear-phishing golven. Deze e-mails werden gericht verstuurd naar ingenieurs en projectmanagers die werkzaam zijn in avionica, geleidingssystemen en satellietverbindingen. De lokmiddelen bestonden uit valse vacatures, uitnodigingen voor conferenties of updates over contracten. De bijlagen in deze e-mails exploiteerden vaak verouderde kantoorsoftware op Windows-hosts. Na het openen van het bestand, plaatste het een kleine loader die onopgemerkt de weg vrijmaakte voor de hoofd-payload. Beveiligingsanalisten van Intrinsec identificeerden de malware nadat ze herhaaldelijk uitgaand verkeer hadden waargenomen vanuit een afgelegen kantoor van een defensie-integrator naar zeldzame commandoservers die werden gehost op robuuste infrastructuur. Het technische onderzoek toonde aan dat de aanvallers elke payload zorgvuldig hadden afgestemd op de rol van het slachtoffer, door het toevoegen van op maat gemaakte modules voor het verzamelen van e-mails, het stelen van documenten en het vastleggen van inloggegevens.

De infectieketen, hoewel eenvoudig, wordt als intelligent beschouwd. De eerste loader, vaak een kleine DLL, wordt alleen in het geheugen uitgevoerd en haalt een tweede-fase script op via een vooraf gedefinieerde URL. Dit script injecteert vervolgens de uiteindelijke payload in een vertrouwd proces, zoals explorer.exe, waardoor het moeilijker te onderscheiden is van normale gebruikersactiviteit. De payload maakt gebruik van een compacte commandolus om flexibel te blijven. Deze logica stelt de operator in staat om te schakelen tussen stille data-diefstal en handmatige controle. Ondanks het duidelijke ontwerp, vermijdt de malware opzichtige persistentietrucs. In plaats daarvan vertrouwt het op geplande taken en gekaapte updatetools om na herstarts terug te keren, terwijl het moeilijk te detecteren blijft. De gebruikte tools zijn fundamenteel eenvoudig, maar worden ingezet met precisie en planning.

Rapport downloaden

De Britse regering heeft nieuwe sancties opgelegd aan de Russische militaire inlichtingendienst GRU nadat een officieel onderzoek concludeerde dat de zenuwgasaanval in Salisbury in 2018 alleen kon zijn goedgekeurd door president Vladimir Poetin. De autoriteiten riepen de Russische ambassadeur op het matje en stelden dat de GRU verantwoordelijk werd gehouden voor meerdere risicovolle operaties, waaronder de poging om Sergej Skripal te doden.

Skripal en zijn dochter Yulia werden in maart 2018 ernstig ziek na blootstelling aan het zenuwgas Novichok. De stof was op de deurklink van de woning van Skripal aangebracht. Een politieman liep eveneens een vergiftiging op. Alle drie overleefden de aanval. Enkele maanden later werden Dawn Sturgess en Charlie Rowley blootgesteld aan Novichok nadat zij een weggegooide parfumfles hadden gevonden. Sturgess overleed, terwijl Rowley het incident overleefde.

Het onderzoek naar het overlijden van Sturgess werd geleid door voormalig opperrechter Anthony Hughes. Hij concludeerde dat de operatie moest zijn goedgekeurd op het hoogste niveau binnen de Russische staat. De familie van Sturgess stelde dat zij slachtoffer werd van een poging tot een gerichte moordoperatie en bekritiseerde de Britse autoriteiten voor onvoldoende risicobeoordeling rondom Skripal.

Het Verenigd Koninkrijk heeft drie vermeende GRU-agenten aangeklaagd, maar door het ontbreken van een uitleveringsverdrag met Rusland is vervolging onwaarschijnlijk. Novichok werd ontwikkeld door de Sovjet-Unie aan het einde van de Koude Oorlog. Westerse deskundigen gaan ervan uit dat de stof alleen in Rusland is geproduceerd, terwijl Moskou die conclusie ontkent.

De sancties richten zich ook op acht personen die volgens de Britse regering als cyberofficieren voor de GRU werkten. Zij zouden Yulia Skripal al jaren voor de aanval hebben proberen te infecteren met malware. De Britse premier Keir Starmer stelde dat de bevindingen van het onderzoek aantonen dat Rusland vijandige activiteiten uitvoert op Brits grondgebied en dat constante alertheid noodzakelijk is.

Bron 1

Rusland heeft beperkingen opgelegd aan FaceTime, de videobelservice van Apple, als onderdeel van een bredere strategie om de controle over internetgebruik en online communicatie te versterken. De Russische autoriteiten beschuldigen de dienst ervan te worden gebruikt voor "terroristische activiteiten" en andere criminele praktijken binnen het land. Dit besluit volgt op eerdere maatregelen die door Rusland zijn genomen om internetverkeer te controleren en te manipuleren.

Daarnaast werd ook de berichtenapp Snapchat geblokkeerd. De Russische internetregulator Roskomnadzor gaf aan dat de applicatie, net als FaceTime, wordt gebruikt voor criminele activiteiten. Hoewel de blokkering van Snapchat al op 10 oktober werd uitgevoerd, werd dit pas onlangs openbaar gemaakt. Deze maatregelen komen op het moment dat Rusland onder leiding van president Vladimir Putin strengere wetgeving heeft aangenomen om internetplatforms die niet voldoen aan de eisen van de overheid, te blokkeren.

De impact van dergelijke maatregelen is wereldwijd voelbaar. Hoewel FaceTime en Snapchat specifiek in Rusland worden beperkt, kunnen deze ontwikkelingen gevolgen hebben voor de manier waarop Europese landen, waaronder Nederland en België, omgaan met de controle en regulering van digitale communicatie. Het benadrukt de noodzaak voor een zorgvuldige afweging tussen nationale veiligheid en de bescherming van de privacy en communicatievrijheden van burgers. Experts wijzen erop dat, ondanks de mogelijkheid om beperkingen te omzeilen via VPN's, de trend van digitale censuur wereldwijd toeneemt, wat een belangrijke discussie oproept over de toekomst van internetvrijheid in Europa.

Bron 1

Roskomnadzor, de Russische telecomwaakhond, heeft besloten om de toegang tot het online gamingplatform Roblox te blokkeren. De reden voor deze blokkade is dat het platform volgens de Russische autoriteiten niet in staat is gebleken om de verspreiding van wat zij beschrijven als LGBT "propaganda" en extremistischer materiaal tegen te gaan. In een verklaring die op woensdag werd gepubliceerd, stelde Roskomnadzor dat Roblox verantwoordelijk is voor de massale en herhaalde verspreiding van materialen die extremistischer en terroristische activiteiten rechtvaardigen, oproepen tot gewelddadige illegale handelingen en de promotie van LGBT-onderwerpen.

De Russische autoriteiten wijzen op specifieke gevallen op het platform, waar gebruikers kunnen deelnemen aan terroristische acties, zoals schoolaanvallen, of deelnemen aan gokken. De opmerkingen van Roskomnadzor benadrukken de bezorgdheid over de schade die dergelijke activiteiten kunnen veroorzaken, met name voor kinderen die gebruikmaken van het platform.

Deze blokkade volgt op eerdere zorgen die in november naar voren kwamen. Roskomnadzor stelde destijds dat het Roblox-moderatieteam herhaaldelijk had aangegeven dat het platform niet in staat was om schadelijke materialen effectief te blokkeren. Roblox, dat wereldwijd door miljoenen gebruikers wordt gespeeld, heeft wereldwijd 1 miljard downloads op Android en meer dan 16 miljoen beoordelingen op iOS.

In reactie op de blokkade verklaarde een woordvoerder van Roblox dat het bedrijf de lokale wetten en regels respecteert en zich inzet voor het creëren van een veilige ruimte voor leren, creatie en betekenisvolle verbindingen. Roblox benadrukte ook zijn inspanningen om schadelijke inhoud op het platform te identificeren en te voorkomen.

De blokkade van Roblox is onderdeel van een bredere trend van Rusland om westerse platforms en apps te reguleren en te censureren. Roskomnadzor heeft eerder apps zoals WhatsApp, Viber en Signal geblokkeerd en de toegang tot buitenlandse private berichtendiensten in overheidsinstellingen verboden. Deze maatregelen komen voort uit de strijd van Rusland tegen wat het beschouwt als bedreigingen voor nationale veiligheid en anti-extremisme.

Bron 1

Op 4 december 2025 werd de website van de Staatsarchieven van België (arch.be) getroffen door een DDoS-aanval, uitgevoerd door de groep "BD Anonymous". Bij deze vorm van cyberaanval wordt de server van de doelwitwebsite overspoeld met verkeer, wat resulteert in een tijdelijke onbeschikbaarheid van de site. De groep "BD Anonymous" heeft de verantwoordelijkheid voor deze aanval opgeëist.

Hoewel DDoS-aanvallen in de cyberdreigingswereld relatief vaak voorkomen, is het opmerkelijk dat de Staatsarchieven van België als doelwit werden gekozen. De Staatsarchieven beheren belangrijke historische en administratieve gegevens, waardoor een verstoring van hun online diensten mogelijk impact kan hebben op toegang tot belangrijke documenten voor zowel burgers als overheidsinstanties.

Op dit moment zijn er geen meldingen van datalekken of schade aan de gegevens van de website. Er wordt verwacht dat de Belgische autoriteiten de aanval onderzoeken en passende maatregelen nemen om de veiligheid van de betrokken systemen te waarborgen.

Dergelijke aanvallen benadrukken de voortdurende dreiging van cybercriminaliteit gericht op overheidsinstellingen in België en andere Europese landen. Ze illustreren ook de kwetsbaarheid van belangrijke digitale infrastructuren voor verstoringen die kunnen leiden tot bredere maatschappelijke gevolgen.

Op 6 december 2025 heeft de Oekraïense militaire inlichtingendienst (HUR) een grootschalige cyberaanval uitgevoerd op het Russische logistieke bedrijf Eltrans+. De aanval, die werd uitgevoerd in samenwerking met de hackergroep BO Team, heeft de digitale infrastructuur van het bedrijf volledig verstoord. Deze operatie, die zorgvuldig werd getimed om samen te vallen met de Oekraïense Dag van de Strijdkrachten, illustreert het groeiende gebruik van cyberspace in geopolitieke conflicten.

Het bedrijf Eltrans+, een belangrijke speler in de Russische logistiek, had zijn systemen ernstig verstoord door de aanval, waarbij meer dan 700 computers en servers werden uitgeschakeld en meer dan 1.000 gebruikersaccounts werden gewist. Ongeveer 165 terabyte aan gegevens werd vernietigd of versleuteld, wat leidde tot een volledige onderbreking van hun bedrijfsvoering. Bovendien werden de toegangssystemen, videobewaking en netwerkinfrastructuur van het bedrijf uitgeschakeld, wat de schade vergrootte.

Deze cyberaanval benadrukt niet alleen de kwetsbaarheid van de Russische logistieke sector, maar ook de potentiële dreiging voor andere landen, waaronder Nederland en België. Gezien de internationale aard van de supply chains kunnen dergelijke aanvallen indirecte gevolgen hebben voor bedrijven in de Benelux, die mogelijk afhankelijk zijn van vergelijkbare infrastructuren of die zich blootstellen aan nieuwe technieken die in deze cyberoperatie zijn gebruikt.

Het is belangrijk op te merken dat deze cyberaanvallen deel uitmaken van een bredere campagne van de Oekraïense militaire inlichtingendienst. Eerder werd bijvoorbeeld de Russische internetinfrastructuur, zoals de telecomprovider Orion Telecom, getroffen, wat aantoonde hoe cyberoperaties steeds vaker worden ingezet om strategische doelen te bereiken in een conflict.

De impact van dergelijke aanvallen benadrukt de noodzaak voor bedrijven in Nederland en België om alert te blijven op de snel evoluerende dreigingen in cyberspace, aangezien de grens tussen traditionele oorlogvoering en digitale aanvallen steeds vager wordt.

Bron 1

Synergy University, de grootste privé-universiteit van Rusland, blijkt betrokken te zijn bij een wereldwijd opererend netwerk van essay mills dat naar schatting $25 miljoen heeft opgebracht. Dit netwerk, dat studenten in staat stelt academische werkstukken te kopen, blijkt meer te zijn dan een louter academische fraudeoperatie. Er is een verontrustende link met de ontwikkeling van drones die gebruikt worden in de Russische oorlog tegen Oekraïne.

Het essay mill netwerk, onder de naam Nerdify, biedt studenten de mogelijkheid om via sms opdrachten te laten maken door freelance schrijvers. Ondanks claims van ethisch gedrag blijkt Nerdify op grote schaal plagiaatvrije werkstukken aan te bieden die studenten direct kunnen inleveren als hun eigen werk. Dit netwerk heeft wereldwijd terrein gewonnen, met advertenties die ondanks de verboden van Google, goed zichtbaar zijn in zoekresultaten.

De oprichters van dit netwerk, Alexey Pokatilo en Filip Perkon, hebben ook banden met Synergy University. Deze universiteit, die zichzelf de grootste privé-instelling van Rusland noemt, heeft een geschiedenis van misleiding van internationale studenten, met name uit Afrikaanse landen, die hoge studiebetalingen deden, maar nooit de beloofde visa of toegang tot het onderwijs kregen.

Daarnaast is Synergy University niet alleen betrokken bij frauduleuze activiteiten, maar ook bij de ontwikkeling van militaire technologieën. De universiteit zou bijdragen aan de Russische oorlogsinspanningen door drones te ontwikkelen die ingezet worden in de strijd tegen Oekraïne, ondanks de internationale sancties die gericht zijn op het blokkeren van militaire technologie.

Deze zaak benadrukt de gevaren van onethische netwerken die zich mengen in zowel de academische wereld als de geopolitieke arena. Het biedt een alarmerende blik op hoe fraude en militaire technologieën verbonden kunnen zijn, met grote gevolgen voor de veiligheid en stabiliteit in Europa.

Bron 1

De westerse perceptie van de oorlog tussen Rusland en Oekraïne als een strijd over kleine territoriale gebieden is een misverstand. In plaats van te vechten om 30 tot 50 kilometer grond in de Donbas, zoals vaak wordt gesuggereerd, heeft Rusland als doel de politieke onderwerping van Oekraïne. Dit blijkt uit de lange termijnstrategie van het Kremlin, die begon met de uitspraken van president Vladimir Putin in 2007 tijdens de Veiligheidsconferentie van München. Hier maakte hij zijn intentie bekend om de Russische invloedssfeer te herstellen en Europa’s veiligheidsarchitectuur te verwerpen.

De Russische inval in Oekraïne in 2022 was geen impulsieve reactie op territoriale geschillen, maar een voortzetting van een meer dan tien jaar durende campagne om Oekraïne van zijn soevereiniteit te beroven en een pro-Russische regering in Kiev te installeren. Dit heeft zijn wortels in de verstoorde relatie tussen Rusland en Oekraïne, die begon toen Oekraïne zijn weg begon te zoeken naar een onafhankelijkere koers, vooral na de Oranjerevolutie en de Euromaidan-beweging. Het conflict escaleerde toen Rusland zich realiseerde dat Oekraïne zich losmaakte van de Russische invloedssfeer.

De focus van de westerse landen op de territoriale verliezen van Oekraïne leidt tot een beperkte visie op het bredere geopolitieke doel van Rusland. Het Kremlin voert een “salami-slicing” strategie, waarbij het langzaam maar zeker Oekraïne ontmantelt en destabiliseert. Dit gebeurt niet alleen via militaire middelen, maar ook door middel van hybride operaties zoals cyberaanvallen, sabotage en desinformatiecampagnes. De aanval op Oekraïne is in wezen een strijd om de politieke autonomie van Oekraïne te ondermijnen en het terug te brengen onder Russische invloed, iets wat Rusland sinds de val van de Sovjetunie actief probeert te herstellen.

De westerse landen, met name de Verenigde Staten, blijven vasthouden aan de overtuiging dat de oorlog alleen om territorium gaat. Dit leidt tot een misverstand van de werkelijke doelen van Rusland. De Kremlin-leiding heeft duidelijk gemaakt dat het niet alleen om grondgebied gaat, maar om het herstel van de Russische invloedssfeer in Europa, wat ook gepaard gaat met een bredere destabilisatie van de regio.

De westerse strategieën om de Russische agressie te stoppen, zoals het aanbieden van onderhandelingen, zijn tot nu toe niet effectief gebleken. De verschuiving in de Amerikaanse benadering van Rusland en de misverstanden over de werkelijke doelen van het Kremlin maken de situatie nog complexer. Oekraïne’s verdediging is niet alleen een kwestie van militaire strijd, maar ook een politieke strijd om zijn onafhankelijkheid en soevereiniteit tegen een macht die vastbesloten is om zijn invloed in de regio te herstellen.

Bron 1

Polen heeft een verzoek ingediend bij Interpol om een "Red Notice" uit te geven voor twee Oekraïners die verdacht worden van betrokkenheid bij een sabotagedaad op het Poolse spoorwegsysteem. Deze actie, die plaatsvond in november 2025, richtte zich op de strategische spoorlijn tussen Warschau en Lublin, een belangrijke verbinding voor zowel lokaal vervoer als humanitaire hulp naar Oekraïne. De verdachten, Yevhenii Ivanov (41 jaar) en Oleksandr Kononov (39 jaar), zouden in opdracht van de Russische militaire inlichtingendienst hebben gehandeld. Na de incidenten zouden zij naar Wit-Rusland zijn gevlucht.

Polen heeft stappen ondernomen om de verdachten te vervolgen, waaronder het uitvaardigen van een Europees Arrestatiebevel. Interpol kan geen directe arrestaties afdwingen, maar een Red Notice waarschuwt wereldwijd de politie van de 196 lidstaten, waaronder Rusland en Wit-Rusland, dat de verdachten gezocht worden. Dit vergroot de kans dat de verdachten uiteindelijk terechtgesteld worden, mocht een andere staat hen aanhouden.

De sabotagedaden werden als een ernstige bedreiging voor de nationale veiligheid beschouwd. De eerste aanval betrof een explosie in de buurt van Mika, zo'n 90 kilometer ten zuidoosten van Warschau, waarbij een poging werd gedaan om een trein te ontsporen. Het tweede incident gebeurde verderop in de regio Lublin, waar sporen werden beschadigd en een stroomlijn werd doorgesneden. Beide incidenten konden de werking van het transportnetwerk ernstig verstoren, wat de geopolitieke spanningen in de regio verder verhoogde.

Deze aanval maakt deel uit van de bredere trend van hybride oorlogsvoering, waarbij Rusland steeds vaker gebruikmaakt van cyberaanvallen, sabotage en desinformatie om landen in Europa te destabiliseren. Polen beschreef de sabotage als "staatsterrorisme," wat de ernst van deze aanvallen benadrukt.

Een Red Notice van Interpol kan bijdragen aan de wereldwijde opsporing van de verdachten, hoewel de uiteindelijke arrestatie afhangt van de beslissing van de autoriteiten in de lidstaten. De zaak benadrukt de noodzaak van verhoogde aandacht voor hybride dreigingen in Europa, inclusief Nederland en België, die kwetsbaar kunnen zijn voor soortgelijke operaties.

Bron 1

Een grondig onderzoek naar illegale goknetwerken in Indonesië heeft de onthulling van een uitgebreid cybercriminaliteitsnetwerk aan het licht gebracht, dat al meer dan veertien jaar actief is. Onderzoekers hebben een enorm ecosysteem ontdekt, met honderden duizenden domeinen, duizenden kwaadaardige mobiele apps en wereldwijde domeinhoofding van overheids- en bedrijfsinfrastructuren.

Het netwerk, dat vanaf minstens 2011 in werking is, vertoont de kenmerken van staatsgesponsorde dreigingsactoren, wat typisch is voor hooggespecialiseerde cyberoperaties in plaats van de reguliere cybercriminelen. Waar het aanvankelijk begon als lokale gokactiviteiten, is het geëvolueerd tot een complexe infrastructuur die gokoperaties, manipulatie van zoekmachine-optimalisatie, verspreiding van malware en technieken voor langdurige overname van websites combineert.

De dreigingsactoren controleren wereldwijd ongeveer 328.000 domeinen, waarvan een aanzienlijk aantal gehackte en gecompromitteerde domeinen. Dit netwerk wordt gebruikt om gebruikers door te sturen naar illegale gokplatforms. Het gebruik van geavanceerde technieken, zoals het inzetten van Android-malware en het compromitteren van overheidsdomeinen, toont de capaciteiten van de aanvallers en de schaal van hun operatie.

Er werd vastgesteld dat duizenden schadelijke Android-applicaties werden verspreid via publieke Amazon Web Services S3-buckets. Deze applicaties fungeerden als ‘droppers’, die de apparaten van gebruikers compromitteerden en aanvullende schadelijke bestanden installeerden. Het netwerk maakt gebruik van Google's Firebase Cloud Messaging-service om op afstand instructies naar besmette apparaten te sturen, wat de traditionele methoden van command-and-control verkeer vermijdt.

Dit netwerk laat zien hoe cybercriminelen wereldwijd betrouwbare infrastructuren kunnen misbruiken, waarbij ze hun operaties afschermen door middel van domeindiversiteit en geavanceerde ontwijkingsmechanismen.

Bron 1

Op 8 december 2025 heeft de cybercriminele groepering NoName de verantwoordelijkheid opgeëist voor een reeks Distributed Denial of Service (DDoS)-aanvallen gericht op verschillende websites van overheidsinstanties in België. Een DDoS-aanval heeft als doel een online dienst onbereikbaar te maken door deze te overspoelen met een enorme hoeveelheid verkeer.

De beweringen van NoName betreffen een gerichte actie tegen meerdere bestuursniveaus in het land. Specifiek werden de websites van de Stad Antwerpen, de Provincie Limburg, de Provincie Luik en de Provincie Vlaams-Brabant als doelwit genoemd. Daarnaast stelde de groepering ook de regio Wallonië te hebben aangevallen.

De exacte impact en de duur van eventuele verstoringen op de genoemde websites door deze aanvallen zijn op dit moment onderwerp van onderzoek en worden gemonitord door de betrokken partijen. De claim van NoName impliceert een gecoördineerde campagne tegen publieke diensten in België.

De Britse regering investeert miljoenen in een nieuwe technologische strategie om de dreiging van sabotage van onderzeese kabels door Rusland te bestrijden. Het Ministerie van Defensie (MoD) heeft het "Atlantic Bastion"-programma aangekondigd, waarin autonome vaartuigen en kunstmatige intelligentie (AI) worden gecombineerd met oorlogsschepen en vliegtuigen om een geavanceerde hybride verdedigingsmacht te creëren. Het doel is om onderzeese kabels en pijpleidingen te beschermen tegen de toenemende risico’s van Russische onderzeese activiteiten, zoals gesaboteerde kabels en pijpleidingen, die cruciaal zijn voor de communicatie en gegevensoverdracht van het VK.

Het hybride navalebeschermingssysteem zal gebruikmaken van AI-gestuurde akoestische detectietechnologie om schepen, onderzeeërs, vliegtuigen en onbemande vaartuigen met elkaar te verbinden, waardoor ze in een digitaal doelwitsysteem kunnen worden geïntegreerd. Dit netwerk van wapensystemen maakt het mogelijk om snel beslissingen te nemen op het slagveld en bedreigingen in een breed gebied te lokaliseren en te neutraliseren. Volgens het MoD zal het Atlantic Bastion-programma bijdragen aan een meer robuuste verdediging tegen aanvallen die de kritieke infrastructuur van het VK zouden kunnen beschadigen.

De recente dreiging van Rusland, vooral door de toenemende activiteit van Russische onderzeeërs en spionageschepen zoals de Yantar, heeft geleid tot een versnelling van de ontwikkeling van deze hybride verdedigingsstrategie. Het VK is bijzonder kwetsbaar voor aanvallen op onderzeese kabels, aangezien 99% van zijn gegevens via deze kabels worden verzonden. In reactie hierop heeft de Royal Navy eerder dit jaar een onderwaterrobot geïntroduceerd die dieper kan duiken en langer onder water kan blijven dan menselijke duikers, wat het mogelijk maakt om onderwaterbommen en saboteurs te detecteren en onschadelijk te maken.

Het programma krijgt steun van de particuliere sector, met een initiële investering van 14 miljoen pond voor testen en ontwikkeling van nieuwe technologieën. Tot nu toe hebben 26 bedrijven uit het VK en Europa voorstellen ingediend voor de ontwikkeling van technologieën om onderzeese dreigingen te detecteren, met een vier-op-een verhouding van publieke en private investeringen.

Het Atlantic Bastion-programma is een directe reactie op de heropleving van de Russische onderzeese activiteiten, die een groeiend risico vormen voor de mondiale cyberbeveiliging en de stabiliteit van onderzeese communicatie-infrastructuur. De samenwerking tussen overheden en de particuliere sector is essentieel voor het versterken van de verdediging tegen deze specifieke dreigingen.

Bron 1

Het 'Kitten' Project is ontstaan als een gecoördineerd platform voor hacktivistische campagnes, waarbij verschillende groepen samenwerken om aanvallen en doxxing-campagnes uit te voeren tegen Israëlische doelen. Dit initiatief vertegenwoordigt een verschuiving in de manier waarop cybergroepen hun operaties organiseren, van geïsoleerde aanvallen naar een gecentraliseerde infrastructuur die communicatie, hulpbronnen en gecoördineerde acties mogelijk maakt.

Het platform, dat toegankelijk is via de website thekitten.group, fungeert als een knooppunt waar meerdere hacktivistische groepen samenwerken. Deze groeperingen richten zich op een breed scala aan doelen, van het blootstellen van gegevens, zoals informatie over Israëlische soldaten, tot meer geavanceerde pogingen tegen kritieke infrastructuur, inclusief industriële besturingssystemen (ICS) en programmeerbare logische controllers (PLC). De aanvallen worden gecoördineerd via privéberichtkanalen, waarbij tools, technieken en documentatie gedeeld worden tussen de deelnemende groepen.

De deelnemende groepen onder het 'Kitten' Project omvatten bekende collectieven zoals de Handala Hacking Group, KilledByIsrael en CyberIsraelFront. De infrastructuur van het project lijkt ontworpen om meerdere groepen tegelijkertijd te ondersteunen, met een gedeeld operationeel centrum. Analyse van VECERT-beveiligingsanalisten heeft aangetoond dat de technische infrastructuur van het project oorspronkelijk afkomstig is van servers in Iran, wat suggereert dat er verbindingen zijn met gevestigde Iraanse cyberbeveiligingsbedrijven. De servers die deze infrastructuur ondersteunen, worden beheerd door Pars Parva Systems, een bedrijf geregistreerd in Iran.

Technisch gezien maakt het 'Kitten' Project gebruik van een zorgvuldig gestructureerd API-systeem om multimedia-inhoud te delen en gebruikersauthenticatie te ondersteunen. De backend van het platform is opgebouwd met behulp van PHP en maakt gebruik van DirectoryIterator-functies om afbeeldingen en video's efficiënt te beheren en te verspreiden. De platformbeveiliging omvat mechanismen zoals inputvalidatie via reguliere expressies en het beperken van bestandsnamen om aanvalsmethoden, zoals directory traversal-aanvallen, te voorkomen. De gebruikersauthenticatie vereist een unieke 64-cijferige tracking-ID en een gekoppeld e-mailadres, wat toegang verleent tot de berichtensecties van het platform.

De infrastructuur van het 'Kitten' Project biedt een dynamische inhoudsgeneratie, waardoor de platformbeheerders in staat zijn complexe backend-operaties uit te voeren die de gecoördineerde activiteiten van hacktivistische groepen ondersteunen.

Hoewel de aanvallen momenteel gericht zijn op Israël, kunnen dergelijke gecoördineerde hacktivistische campagnes ook in de toekomst Europese landen, waaronder Nederland en België, treffen. De schaal en de methoden die door deze groepen worden gebruikt, kunnen een bredere dreiging vormen voor de veiligheid van kritieke infrastructuren wereldwijd.

Bron 1

Adrian Nish, directeur van BAE Systems voor Europa Oost, heeft onlangs een oproep gedaan aan getalenteerde cyberverdedigers om hun vaardigheden in te zetten voor de opkomende uitdaging van het onderscheppen van drones. Tijdens een presentatie op de CyberThreat-conferentie in het Chelsea Football Stadium in Londen, georganiseerd door het SANS Instituut in samenwerking met het National Cyber Security Centre, benadrukte Nish de urgentie van het ontwikkelen van robuuste verdedigingen tegen kwaadaardige drones.

Volgens Nish zijn drones tegenwoordig niet alleen een technologische innovatie, maar ook een gevaarlijke vorm van cyberdreiging. Hij vergeleek drones die voor malafide doeleinden worden gebruikt met malware, waarbij de fysieke drones fungeren als vliegende computers. Het werd duidelijk dat de drone-industrie snel evolueert, en dat het belangrijk is om cybersecurity-expertise in te zetten voor de bescherming tegen deze nieuwe dreigingen.

Nish verwees naar de verschuiving in carrièrepaden van sommige cybersecurity-experts, zoals Mikko Hyppönen, die zich van antivirusonderzoek naar de drone-industrie heeft verplaatst, als een teken dat cyberverdedigers zich steeds meer richten op luchtruimbeveiliging. De presentatie ging verder in op de ontdekking dat BAE Systems al methoden heeft ontwikkeld om drones te hacken, waaronder het extraheren en reverse-engineeren van de firmware van veelgebruikte drones voor inlichtingen, surveillance en verkenning (ISR).

In zijn toespraak identificeerde Nish verschillende typen drones die als bedreigingen kunnen fungeren. Ongeveer 80% van de drones die wereldwijd in omloop zijn, zijn commerciële modellen die gemakkelijk online te verkrijgen zijn, zoals de DJI Phantom en DJI Mavic. Daarnaast worden steeds vaker op maat gemaakte drones gebruikt voor specifieke missies, van het ontwijken van detectie tot het vervoeren van zware ladingen. De hoogste dreiging komt echter van militaire systemen, zoals de Orlan-10 van Rusland en de Shahed-136 van Iran, die vaak worden ingezet in conflicten zoals in Oekraïne.

De verdediging tegen drones blijft echter een grote uitdaging. Hoewel elektronische oorlogsvoering kan helpen om signalen van drones te verstoren, is dit vaak ineffectief tegen op maat gemaakte drones die onvoorspelbare frequenties gebruiken. Kinetische interventies, zoals raketten of geweren, zijn duur en niet ontworpen voor het uitschakelen van kleine, goedkope drones. Nish stelde voor dat cybersecurity-experts het verschil zouden kunnen maken, aangezien drones in wezen computers zijn met motoren en hun interne architecturen vaak kwetsbaar blijken te zijn. Er is geen sprake van firewalls of andere beveiligingsmaatregelen op drones, wat hen tot relatief gemakkelijke doelwitten maakt voor hackers.

BAE Systems heeft bijvoorbeeld een methode ontwikkeld om de firmware van ISR-drones te hacken door gebruik te maken van cryptografische fouten in de AES-128-encryptie van de gebruikte hardware. Dit stelde de onderzoekers in staat om de communicatie van de drone te onderscheppen en zelfs over te nemen, een techniek die in de toekomst essentieel zou kunnen zijn voor het veiligstellen van luchtruimen tegen kwaadaardige drones.

Nish voorspelt dat de dreiging van drones zal blijven toenemen, vooral met de opkomst van laag-aardse satellieten en 5G-verbindingen die langeafstandsbediening van drones mogelijk maken. Ook dronezwermen, gecoördineerd via mesh-radiosystemen, vormen een nieuwe bedreiging die het cyberlandschap verandert en kan worden vergeleken met botnets. Daarnaast zullen militaire drones, maritieme drones en zelfs humanoïde robots naar verwachting ook een grotere rol gaan spelen in de dreiging die uitgaat van autonome systemen.

De huidige dreigingen maken het belangrijker dan ooit om digitale forensische technieken te ontwikkelen die het mogelijk maken om de systemen van gecrashte drones te onderzoeken en om kwetsbaarheden verantwoord te melden. Dit biedt niet alleen kansen voor de verdediging tegen kwaadwillende drones, maar kan ook helpen om te zorgen voor de veiligheid van burgers en kritieke infrastructuur.

Bron 1

De inzet van onbemande grondrobots (UGV’s) in Oekraïne heeft geleid tot opmerkelijke technologische vooruitgangen, maar roept ook belangrijke vragen op over de beveiliging van deze systemen tegen cyberdreigingen. Deze robots, die worden ingezet voor logistieke taken en gevechtsdoelen, maken gebruik van geavanceerde technologieën, zoals Starlink voor communicatie, wat hen minder kwetsbaar maakt voor traditionele vormen van elektronische verstoring. Echter, de afhankelijkheid van satellietverbindingen maakt ze niet immuun voor cyberaanvallen die gericht zijn op het verstoren van communicatiesystemen of het manipuleren van de operationele capaciteit van de robots.

In Europa, waaronder Nederland en België, is de discussie over de veiligheid van militaire technologieën, zoals drones en UGV’s, steeds relevanter geworden. Hoewel deze technologieën in eerste instantie bedoeld zijn voor defensie, kunnen ze ook het doelwit worden van cybercriminelen of staatsactoren die proberen gevoelige informatie te verkrijgen of militaire operaties te verstoren. De snelle inzet van UGV’s in Oekraïne toont aan hoe belangrijk het is om na te denken over de beveiliging van dergelijke technologieën, zowel op het slagveld als in de bredere geopolitieke context.

De productie en inzet van deze robots in Oekraïne geeft inzicht in de technische en organisatorische uitdagingen die gepaard gaan met de implementatie van autonome systemen in een gevechtsomgeving. Dit biedt waardevolle lessen voor de manier waarop soortgelijke technologieën in de toekomst mogelijk worden ingezet, zowel voor militaire als civiele toepassingen, met een groeiende focus op de beveiliging van deze systemen tegen cyberdreigingen.

Bron 1

Op 8 december 2025 ontmoette de Britse minister van Buitenlandse Zaken Yvette Cooper haar Amerikaanse ambtgenoot Marco Rubio in Washington, waar ze de voortdurende samenwerking tussen de VS en het VK voor een duurzame vrede tussen Rusland en Oekraïne benadrukten. Deze boodschap kwam te midden van zorgen binnen de Europese diplomatie over de recente pogingen van president Trump om tot een vredesakkoord te komen, dat door velen als gunstig voor Moskou wordt beschouwd. De hernieuwde druk vanuit de Amerikaanse regering is een reactie op de voortdurende oorlog in Oekraïne, waarbij Trump in zijn tweede ambtstermijn een snelle oplossing voorstelt, die veel Europese diplomaten als schadelijk voor Oekraïne beschouwen.

Het voornaamste probleem is dat Trump zijn plan voor een vredesovereenkomst steeds verder heeft verlengd, ondanks zijn eerdere belofte om de oorlog binnen de eerste 100 dagen te beëindigen. Dit heeft geleid tot een situatie waarin Oekraïne mogelijk gedwongen wordt concessies te doen die het niet wil, vooral als het gaat om het opgeven van grondgebied. Europese leiders zoals de Britse premier Keir Starmer, de Franse president Emmanuel Macron en de Duitse kanselier Friedrich Merz benadrukken echter dat Oekraïne niet kan overleven zonder de steun van het Westen. De stabiliteit van Europa wordt volgens hen in wezen bedreigd door de situatie in Oekraïne, aangezien de gevolgen van de oorlog zich niet alleen beperken tot Oekraïne, maar de bredere Europese veiligheid raken.

Tegelijkertijd wijzen Britse officials op een opkomende nieuwe dimensie in de Russische oorlogsinspanningen, namelijk de toename van cyberaanvallen en desinformatiecampagnes die gericht zijn tegen westerse democratieën. In haar toespraak na haar bezoek aan de VS zal Cooper de nadruk leggen op deze hybride dreigingen die bedoeld zijn om de kritieke infrastructuur van landen te ondermijnen en de democratische processen te verstoren. Het VK heeft, net als andere Europese landen, te maken gehad met aanzienlijke cyberaanvallen, waarvan velen worden toegeschreven aan Rusland, China en Noord-Korea.

In Washington groeit de bezorgdheid over het vredesplan van Trump, met kritiek van Amerikaanse wetgevers zoals senator Chris Van Hollen. Hij waarschuwt dat de Amerikaanse benadering te veel in het voordeel van Rusland zou kunnen zijn, vooral als het Oekraïense standpunt wordt ondermijnd. Europese diplomaten maken zich zorgen dat de VS zich teveel terugtrekt uit het conflict, terwijl Europa alleen niet in staat zal zijn om Rusland af te schrikken zonder de steun van de VS.

Binnen de Europese diplomatie wordt de komende dagen als cruciaal gezien. Oekraïne heeft een tegenvoorstel op basis van Europese steun voorbereid en zal dit binnenkort naar Washington sturen. De vraag blijft of de VS in staat zal zijn om de ambitieuze plannen van president Trump te balanceren zonder de alliantie te ondermijnen die Europa al decennia lang heeft geholpen in zijn strijd voor veiligheid en stabiliteit.

Bron 1

Een geavanceerde malwarecampagne, Operation FrostBeacon, richt zich op de Russische financiële en juridische sectoren. De campagne maakt gebruik van phishingaanvallen en geïnfecteerde bijlagen om de Cobalt Strike-malware te verspreiden, een krachtig hulpmiddel voor externe toegang en het uitvoeren van opdrachten op gecompromitteerde systemen. Deze dreiging is bijzonder gericht op organisaties die omgaan met gevoelige bedrijfsinformatie en transacties.

De aanvallers gebruiken op maat gemaakte e-mails die vaak zakelijke termen en zorgen over contractbetalingen, juridische geschillen en schuldincasso bevatten om vertrouwen op te bouwen bij de slachtoffers. Deze e-mails lijken legitiem, vooral in de context van de logistiek, financiën en toeleveringsketens, waar dergelijke zorgen gangbaar zijn. Zodra de slachtoffers de malafide bestanden openen, wordt Cobalt Strike geïnstalleerd via meerdere fasen van infectie.

De eerste fase van de infectie omvat het gebruik van een archiefbestand met een kwaadaardig snelkoppelingbestand dat zich voordoet als een PDF. Bij het openen van dit bestand worden PowerShell-commando’s uitgevoerd die verbinding maken met een extern serveradres. De tweede fase maakt gebruik van Word-documenten die oudere kwetsbaarheden, zoals CVE-2017-0199 en CVE-2017-11882, misbruiken om toegang te krijgen tot systemen en de schadelijke code uit te voeren.

Een van de meest opvallende kenmerken van deze campagne is de gebruikte techniek om de malware moeilijk detecteerbaar te maken. Zodra de kwaadaardige bestanden zijn uitgevoerd, wordt een HTML-toepassing (HTA) gestart die een gzip-gecomprimeerd PowerShell-script rekonstrueert uit meerdere Base64-gecodeerde blokken. Deze scriptimplementatie maakt gebruik van drie lagen van obfuscatie, waaronder Gzip-compressie, Base64-codering en XOR-encryptie, waarmee de malware wordt verborgen in het geheugen van het systeem zonder bestanden op de schijf achter te laten.

De gebruikte technieken tonen de geavanceerde capaciteiten van de dreigingsactoren, die diepgaande kennis hebben van afweermechanismen en hoe ze die kunnen omzeilen. De Cobalt Strike-beacon, die als loader fungeert, maakt verbinding met command-and-control-servers die zich voordoen als reguliere jQuery-bestanden, wat de detectie verder bemoeilijkt.

De infrastructuuranalyse van de malwarecampagne wijst op domeinen die in Rusland zijn geregistreerd en via lokale providers opereren, waarbij het verkeer van command-and-control wordt verborgen binnen legitiem ogende webverzoeken. Dit toont aan dat de aanvallers een goed georganiseerde en technisch bekwame groep zijn, met als doel financieel gewin.

Bron 1

Een door China gesteunde hackgroep heeft een gerichte aanval uitgevoerd op Japanse scheepvaart- en transportbedrijven door kritieke kwetsbaarheden in Ivanti Connect Secure (ICS) uit te buiten. Deze campagne, die in april 2025 werd ontdekt, maakt gebruik van twee ernstige kwetsbaarheden om toegang te verkrijgen tot doelnetwerken en verschillende PlugX-malwarevarianten te implementeren, waaronder de nieuw geïdentificeerde MetaRAT en Talisman PlugX.

De aanval begint met het compromitteren van ICS-systemen via de kwetsbaarheden CVE-2024-21893 en CVE-2024-21887. Nadat de aanvallers toegang hebben verkregen, installeren ze malware op de getroffen apparaten. Vervolgens voeren ze gedetailleerde verkenning uit om het netwerk van de doelwitten in kaart te brengen en systeemreferenties van de gecompromitteerde systemen te verzamelen.

Door middel van gestolen referenties, met name informatie van actieve directory-beheerdersaccounts, bewegen de aanvallers zich lateraal door de netwerkinfrastructuur van de doelorganisaties. Ze implementeren systematisch verschillende PlugX-varianten op meerdere interne servers om persistentie te behouden en hun controle over de gecompromitteerde systemen uit te breiden.

De multi-fase-aanval toont aan dat de aanvallers zorgvuldig te werk gaan en goed begrijpen hoe de netwerkinfrastructuren van ondernemingen zijn opgebouwd. Beveiligingsanalisten van LAC Watch ontdekten de malware na forensisch onderzoek van de gecompromitteerde Ivanti-systemen. Ze vonden foutlogbestanden met de code ERR31093, die verschijnen wanneer ICS ongeldige SAML-payloads verwerkt in verband met de exploitatie van CVE-2024-21893. Daarnaast onthulde de Integrity Checker Tool verdachte bestanden die overeenkwamen met eerder gedocumenteerde malwarehandtekeningen zoals LITTLELAMB, WOOLTEA, PITSOCK en PITFUEL.

MetaRAT vertegenwoordigt een nieuwe evolutie in de PlugX-familie van remote access trojans. Dit variant was al sinds 2022 aanwezig, maar werd tot nu toe niet bij naam genoemd. MetaRAT maakt gebruik van DLL side-loading, een techniek die legitieme Windows-processen benut om kwaadaardige code in te laden. Het loadercomponent, genaamd mytilus3.dll, laadt een versleuteld shellcodebestand, genaamd materoll, dat wordt gedecrypt met XOR-bewerkingen en vervolgens uitgevoerd in het geheugen. Het shellcode voert nog een AES-256-ECB-decryptie uit op het daadwerkelijke MetaRAT-payload, dat vervolgens wordt gecomprimeerd met LZNT1.

De gedecodeerde MetaRAT malware wordt uitgevoerd via geëxporteerde functies, wat de detectie voor beveiligingssoftware aanzienlijk bemoeilijkt door de gelaagde encryptie- en compressietechnieken. MetaRAT maakt gebruik van API-hashing om de benodigde Windows API-functies te verkrijgen en implementeert anti-debuggingmechanismen die de decryptiesleutels vernietigen wanneer een debugger wordt gedetecteerd.

Organisaties die gebruik maken van de getroffen versies van Ivanti Connect Secure moeten onmiddellijk beveiligingspatches toepassen en hun systemen controleren op tekenen van compromittering. Verdachte registraties van diensten, zoals “sihosts”, of registersleutels met de naam “matesile” kunnen wijzen op actieve MetaRAT-infecties. Daarnaast kan het controleren op keylog-bestanden met de naam “VniFile.hlp” in de directory %ALLUSERSPROFILE%\mates\ helpen om getroffen systemen te identificeren.

Bron 1

Op 9 december 2025 heeft de cybercriminelen-groep NoName meerdere websites in België aangevallen met DDoS-aanvallen. Volgens berichten die in de dreigingsinformatie werden gedeeld, heeft de groep doelwitten gekozen die variëren van onderwijsinstellingen tot commerciële en openbare organisaties. Onder de getroffen websites bevinden zich prominente namen zoals KU Leuven, Regioleverancier, Bruxelles-Propreté, SABCA, Credendo en AGZ Port Services.

Deze aanvallen zijn typisch voor DDoS-incidenten, waarbij een hoge hoeveelheid verkeer naar de doelwebsites wordt gestuurd, waardoor ze overbelast raken en onbereikbaar worden voor legitieme gebruikers. Dit soort aanvallen kunnen ernstige verstoringen veroorzaken voor de getroffen organisaties en hun klanten, evenals reputatieschade.

De NoName-groep heeft zichzelf al eerder geprofileerd door soortgelijke aanvallen uit te voeren op websites van overheidsinstanties en bedrijven. Het is niet duidelijk wat de specifieke motivatie voor de aanvallen op deze Belgische websites is, maar het is duidelijk dat DDoS-aanvallen een steeds vaker voorkomend probleem zijn voor zowel publieke als private sectoren.

De getroffen organisaties hebben geen gedetailleerde informatie gedeeld over de impact van de aanvallen, maar het is te verwachten dat de hersteloperaties voor de getroffen websites en servers enige tijd zullen duren. Dit incident benadrukt opnieuw de kwetsbaarheid van veel systemen voor dergelijke aanvallen, die kunnen worden uitgevoerd door relatief beperkte middelen.

Op 9 december 2025 werd gemeld dat de website van de Belgische regio Wallonië, wallonie.be, het doelwit was van een DDoS-aanval (Distributed Denial of Service). De aanval werd opgeëist door een hackercollectief, dat verantwoordelijk is voor het verstoren van de toegang tot de website door deze te overspoelen met ongewenst verkeer. Dit type aanval heeft als doel de werking van de getroffen website te verstoren, waardoor deze tijdelijk onbereikbaar is voor reguliere gebruikers.

De aard van de aanval en de impact ervan zijn nog niet volledig duidelijk. DDoS-aanvallen worden vaak ingezet om overheidswebsites of andere belangrijke infrastructuren tijdelijk plat te leggen, wat kan leiden tot verstoringen in de dienstverlening. Tot nu toe zijn er geen meldingen van datadiefstal of verdere schade aan de infrastructuur van de getroffen site. De Belgische autoriteiten hebben nog geen officiële reactie gegeven over de vervolgstappen in verband met deze cyberaanval.

Een nieuwe vorm van malware, EtherRAT, is ontdekt, die gebruik maakt van de React2Shell-kwetsbaarheid om Linux-systemen te infecteren. Het malwareprogramma maakt gebruik van vijf verschillende mechanismen om zich vast te zetten op het systeem en gebruik te maken van Ethereum smart contracts voor communicatie met de aanvallers. Onderzoekers van cloudbeveiligingsbedrijf Sysdig ontdekten de EtherRAT-malware kort na de onthulling van de React2Shell-kwetsbaarheid, die is geclassificeerd als CVE-2025-55182.

EtherRAT werd gedetecteerd op een geïnfecteerde Next.js-toepassing, slechts twee dagen na de openbaarmaking van de kwetsbaarheid. De malware maakt gebruik van geavanceerde technieken, waaronder blockchain-gebaseerde command-and-control (C2) communicatie en meerdere lagen van persistentie op Linux-systemen. Het maakt ook gebruik van een Node.js-runtime die via een legitieme bron wordt gedownload, waarna de malware wordt gedecodeerd en uitgevoerd. Dit maakt EtherRAT moeilijk te detecteren en zorgt voor een complexe aanvalsketen.

De aanvallen die gebruik maken van de React2Shell-kwetsbaarheid hebben wereldwijd impact gehad, met minstens 30 getroffen organisaties die slachtoffers werden van credential-stealing, cryptomining en de inzet van standaard backdoors. De kwetsbaarheid zelf betreft een deserialisatieprobleem in de React Server Components "Flight"-protocol, waarmee aanvallers op afstand ongeauthenticeerde code kunnen uitvoeren via speciaal gemaakte HTTP-aanvragen.

EtherRAT biedt een hogere mate van persistentie op geïnfecteerde systemen door gebruik te maken van verschillende technieken zoals cron jobs, bashrc-injecties, XDG-autostart, systemd-gebruikerservices en profielinvoegingen. Dit zorgt ervoor dat de malware zichzelf opnieuw installeert na een herstart van het systeem of onderhoud.

De malware heeft daarnaast de mogelijkheid om zichzelf te updaten door het verzenden van zijn broncode naar een API-endpoint, waarmee de malware zichzelf vervangt met nieuwe versies die zijn gecodeerd met andere technieken om detectie te voorkomen. Dit maakt EtherRAT een geavanceerd hulpmiddel voor cyberaanvallers, vooral gezien het gebruik van Ethereum smart contracts voor de communicatie tussen de infectie en de aanvallers.

Deze recente aanvallen benadrukken de ernst van de React2Shell-kwetsbaarheid, die al snel werd uitgebuit door verschillende hackersgroepen, waaronder de Noord-Koreaanse Lazarus-groep. Het wordt aanbevolen dat systeembeheerders onmiddellijk de veilige versies van React/Next.js installeren om verdere aanvallen te voorkomen.

Bron 1

In een recente verklaring heeft Reporters Without Borders (RSF) aangekondigd dat een groep, gelinkt aan de Russische federale veiligheidsdienst FSB, verantwoordelijk is voor een mislukte cyberaanval op de organisatie eerder dit jaar. De Franse non-profitorganisatie, die zich inzet voor de bescherming van journalisten en de persvrijheid, ontdekte de aanval na een maandenlange interne en externe onderzoeksperiode, ondersteund door het Franse cybersecuritybedrijf Sekoia.

De aanval vond plaats in maart 2025, toen een werknemer van RSF doelwit was van een phishingaanval. De medewerker ontving een e-mail die leek te komen van een legitieme bron, met daarin een geïnfecteerd document of een schadelijke link. De medewerker gaf het bericht echter door aan het cybersecurityteam van RSF, dat het incident vervolgens doorstuurde naar Sekoia voor verdere analyse. De bevindingen gaven aan dat de Calisto-groep, ook bekend als ColdRiver of Star Blizzard, achter de aanval zat. Deze groep wordt al sinds 2017 in verband gebracht met de Russische inlichtingendienst FSB en is verantwoordelijk voor verschillende gerichte cyberoperaties.

RSF is vaker het doelwit van digitale aanvallen vanwege haar werk voor de vrijheid van de pers en het recht op betrouwbare informatie, met name in Rusland. De organisatie heeft eerder te maken gehad met aanvallen die gericht waren op haar IT-systemen en haar reputatie. In augustus 2025 werd RSF officieel door de Russische overheid aangemerkt als een "ongewenste organisatie," wat de organisatie en haar medewerkers blootstelt aan juridische vervolging in Rusland.

De cyberaanval in maart 2025 is een onderdeel van een bredere trend van aanvallen op onafhankelijke media en persorganisaties die kritisch staan tegenover het Russische regime. Het doel van deze aanvallen is vaak om de toegang tot informatie te belemmeren en de activiteiten van organisaties zoals RSF te verstoren. De betrokkenheid van de FSB benadrukt de verregaande invloed van de Russische overheid in digitale operaties die gericht zijn op het ondermijnen van vrije pers en het straffen van dissidenten.

Dit incident is een van de vele voorbeelden van de voortdurende digitale strijd voor persvrijheid en de bescherming van journalisten wereldwijd. In de context van de geopolitieke spanningen blijft de bescherming van kritische infrastructuren en de vrijheid van informatie een centraal thema in de strijd tegen autoritaire regimes.

Bron 1

Gelekte documenten onthullen dat Rusland, ondanks zware westerse sancties, blijft vertrouwen op buitenlandse technologie om zijn nieuwste militaire vliegtuigen te produceren. De documenten tonen aan dat de Russische luchtvaartsector, inclusief het PAK DA strategische bommenwerperprogramma en de Su-57 jager, afhankelijk is van geïmporteerde CNC-machines, die via omzeilingskanalen afkomstig zijn uit landen als Taiwan en Servië.

De fabrikant OKBM, die verantwoordelijk is voor het produceren van cruciale onderdelen voor de gevechtsvliegtuigen, ondervindt aanzienlijke problemen door het gebrek aan binnenlandse productiecapaciteit. De gelekte documenten bevestigen dat Rusland de technologieën die nodig zijn voor de productie van de zogenaamde 'vijfde generatie' straaljagers niet volledig zelf kan ontwikkelen. De afhankelijkheid van buitenlands gereedschap, zoals nauwkeurige CNC-machines, vormt een ernstige uitdaging voor het land, dat al sinds 2022 verlies van toegang heeft tot veel westerse leveranciers.

Deze situatie onderstreept de kwetsbaarheid van de Russische defensie-industrie, die ondanks de groeiende productiecapaciteit blijft worstelen met technologische tekortkomingen en vertragingen door de sancties. De documenten die recent openbaar werden, bieden een zeldzaam kijkje in de manier waarop Rusland zijn militaire programma’s in stand houdt, ondanks de internationale druk en beperkingen.

Op 23 oktober 2025 voegde de Europese Unie OKBM toe aan haar sanctielijst, vanwege de rol die het bedrijf speelt in de ontwikkeling van geavanceerde wapensystemen. Deze maatregel is een direct gevolg van de onthullingen over de manier waarop Rusland buitenlandse technologie blijft gebruiken, ondanks de formele embargo’s.

Deze ontwikkelingen hebben aanzienlijke implicaties voor de geopolitieke stabiliteit, met name in het licht van de voortdurende spanningen in Oekraïne en de bredere relatie tussen Rusland en het Westen. Voor experts op het gebied van geopolitiek en technologie is het duidelijk dat de technologische afhankelijkheid van Rusland een cruciale rol speelt in de effectiviteit van de opgelegde sancties.

Bron 1

Het Verenigd Koninkrijk heeft sancties aangekondigd tegen verschillende Russische mediakanalen en organisaties die betrokken zouden zijn bij informatieoorlogvoering. Buitenlandse Zakenminister Yvette Cooper verklaarde dat de sancties gericht zijn op het Telegramkanaal Rybar, de Russische ultranationalistische denktank Centrum voor Geopolitieke Expertise, en de organisatie Pravfond, die door de Estse inlichtingendienst als een dekmantel voor de Russische militaire inlichtingendienst GRU wordt beschouwd. Deze organisaties worden beschuldigd van het verspreiden van desinformatie en het ondermijnen van westerse democratieën.

Daarnaast werden twee Chinese bedrijven, i-Soon en de Integrity Technology Group, getroffen door de sancties. Cooper benadrukte dat deze bedrijven verantwoordelijk worden gehouden voor cyberactiviteiten die gericht zijn tegen het VK en zijn bondgenoten. Ze stelde dat het VK samen met zijn bondgenoten te maken heeft met toenemende hybride dreigingen, waaronder fysieke aanvallen en desinformatiecampagnes die sociale media overspoelen met gemanipuleerde video's en generatieve AI-inhoud, bedoeld om de steun voor Oekraïne in de westerse wereld te ondermijnen.

De Britse minister legde de nadruk op de noodzaak voor Westerse landen om hun verdediging tegen dergelijke aanvallen te versterken. Dit werd benadrukt tijdens haar toespraak ter gelegenheid van de honderdste verjaardag van de ondertekening van de Locarno-overeenkomsten, die vrede in Europa na de Eerste Wereldoorlog moesten waarborgen. Cooper gaf aan dat internationale samenwerking essentieel blijft, ondanks de recente veranderingen in de wereldpolitiek, zoals de onzekere positie van de VS binnen de NAVO onder president Donald Trump.

De sancties tegen de genoemde Russische en Chinese entiteiten zijn een onderdeel van een bredere strategie van het VK om hybride dreigingen te bestrijden die gericht zijn op het verzwakken van nationale infrastructuren en het verstoren van democratische processen. Het VK maakt duidelijk dat het zich blijft verdedigen tegen deze vormen van informatieoorlogvoering.

Bron 1

De voormalige NAVO-opperbevelhebber generaal Philip Breedlove heeft in een interview met de Kyiv Post gewaarschuwd dat de Verenigde Staten niet in staat zijn zichzelf alleen te verdedigen tegen opkomende bedreigingen, waaronder cyberaanvallen en hybride oorlogvoering. Breedlove benadrukt dat de veiligheid van zowel Europa als de VS afhangt van een voortdurende samenwerking, waarbij de rol van de VS cruciaal is voor de verdediging van Europa tegen geavanceerde dreigingen, inclusief cyberaanvallen.

Breedlove wijst op de recente Amerikaanse nationale veiligheidsstrategie die een de-prioritisering van Europa lijkt te bevatten. Dit staat in schril contrast met de visie van Rusland, die duidelijk stelt dat Europa een strategische doelstelling is. De voormalige generaal maakt zich zorgen dat deze benadering een bevestiging zou kunnen zijn van de geopolitieke visie van Moskou, wat kan leiden tot een verslechtering van de veiligheid in Europa, zowel op conventioneel als digitaal gebied.

Hoewel de Amerikaanse politiek fluctueert, blijft de steun van het Amerikaanse publiek voor de NAVO en de verdediging van Oekraïne sterk, wat een stabiliserende factor is voor de relaties tussen de VS en Europa. Breedlove benadrukt dat dit publieke sentiment geruststelling biedt voor Europese partners, maar dat de landen in Europa zich moeten voorbereiden op een hernieuwde dreiging van Rusland. Rusland heeft immers al aangegeven niet klaar te zijn met zijn ambities in Europa, wat de dreiging van een grootschalige cyberoorlog en hybride aanvallen vergroot.

Breedlove pleit voor een versnelde versterking van de Europese defensiecapaciteiten, vooral op het gebied van luchtverdediging, inlichtingen, logistiek en cyberbeveiliging. Europa moet zich voorbereiden op een toekomst waarin de dreiging van Russische lucht- en cyberaanvallen niet afneemt, en waar landen zoals Nederland en België niet alleen afhankelijk kunnen zijn van de VS voor bescherming. De recente cyberaanvallen tegen Oekraïne, en de daarbij gebruikte technieken zoals drones en ransomware, dienen als waarschuwing voor Europa om de defensiecapaciteiten snel op te voeren.

Bovendien waarschuwt Breedlove dat de Europese landen meer verantwoordelijkheid moeten nemen voor hun eigen verdediging. Het signaal naar de VS moet duidelijk zijn: Europa moet laten zien dat het serieus is over het versterken van de eigen defensie-infrastructuur, zowel op het gebied van fysieke als digitale verdediging. Dit is essentieel om de samenwerking met de VS in stand te houden en om een toekomstig machtvacuüm te vermijden dat door vijandige staten zou kunnen worden benut.

De oproep van Breedlove om de Europese capaciteit op het gebied van cyberbeveiliging en nationale verdediging te versterken heeft directe implicaties voor landen als Nederland en België. Beide landen moeten niet alleen hun samenwerking met de VS voortzetten, maar ook eigen maatregelen nemen om zich voor te bereiden op de groeiende dreigingen, zowel fysiek als digitaal.

Bron 1

Een recente datalek van de door de Iraanse staat gesteunde groep Charming Kitten, ook wel bekend als APT35, heeft belangrijke interne documenten blootgelegd die de operaties van de groep onthullen. Deze gegevens bevatten informatie over sleutelfiguren binnen de groep, frontbedrijven die de activiteiten ondersteunen, en duizenden systemen die wereldwijd zijn gecompromitteerd. De gelekte bestanden bieden inzicht in de langlopende intrusiecampagnes van Iran’s Departement 40, onderdeel van de IRGC Intelligence Organization, die zich richt op cyber-espionage en gerichte operaties.

De gelekte documenten bevatten gedetailleerde informatie over de operaties van Charming Kitten, waaronder salarisstroken van de “Sisters Team” en de “Brothers Team,” die aantonen hoe de financiële structuren van de groep functioneren. De documenten onthullen ook hoe malware, verspreid via spear-phishing en vervalste documenten, systemen infecteert. De malware krijgt toegang tot e-mailservers, VPN-gateways en andere netwerkinfrastructuur van overheidskantoren, universiteiten en telecombedrijven, wat de omvang van de aanval benadrukt.

Naast de technologische details over de gebruikte infectiemechanismen, zoals PowerShell-scripts die de malware downloaden, worden in de gelekte gegevens ook doelwitlijsten en taakopdrachten voor de malware-aanvallen onthuld. Dit wijst erop dat Charming Kitten specifiek gericht is op diplomatieke, energie- en civiele netwerken, wat de strategische aard van de operaties benadrukt.

De malware, vaak verspreid via spear-phishing e-mails met vervalste inlogpagina's of malafide bijlagen, maakt gebruik van zogenoemde 'lures' om slachtoffers te misleiden. Zodra de gebruiker op de verleidingspoging in gaat, wordt toegang verkregen tot de systemen van het slachtoffer, wat leidt tot gegevensdiefstal en volledige controle over de apparaten.

De gelekte gegevens bieden nu een duidelijker beeld van hoe de aanvallers opereren en welke systemen ze targeten, wat een waardevol inzicht biedt in de manier waarop geld, management en malware samenkomen in cyber-espionagecampagnes van deze omvang.

Bron 1

Op 11 december 2025 heeft de hacktivistische groep NoName aangekondigd dat zij meerdere websites van Belgische gemeenten heeft aangevallen. De getroffen gemeenten zijn Bever, Drogenbos, Kraainem, Linkebeek, Mesen en Ronse. Het doel van deze cyberaanvallen was vermoedelijk om de online diensten van deze steden en gemeenten tijdelijk buiten gebruik te stellen door middel van Distributed Denial of Service (DDoS)-aanvallen.

DDoS-aanvallen zijn ontworpen om de servers van een doelwit te overspoelen met een enorme hoeveelheid verkeer, waardoor legitieme gebruikers geen toegang meer krijgen tot de getroffen websites. Deze vorm van cyberaanvallen wordt vaak gebruikt door hacktivistische groepen om politieke boodschappen over te brengen of om overheidsinstanties of bedrijven te destabiliseren. Het is op dit moment nog niet bekend welke specifieke doelstellingen de groep met deze aanvallen wilde bereiken, maar dergelijke aanvallen kunnen aanzienlijke gevolgen hebben voor de werking van publieke diensten.

Het is belangrijk dat lokale overheden en bedrijven alert blijven op dergelijke dreigingen, aangezien DDoS-aanvallen de continuïteit van essentiële diensten kunnen verstoren. De Belgische autoriteiten zijn inmiddels op de hoogte van de situatie en zullen de ontwikkelingen blijven volgen om verdere schade te voorkomen.

Duitsland heeft de Russische ambassadeur opgeroepen na beschuldigingen van sabotage, cyberaanvallen en inmenging in de verkiezingen. De Duitse regering heeft Moskou ook beschuldigd van het uitvoeren van desinformatiecampagnes. Volgens de Duitse woordvoerder van het ministerie van Buitenlandse Zaken, Martin Giese, is het doel van deze Russische aanvallen duidelijk: het is bedoeld om de samenleving te verdelen, wantrouwen op te wekken, afkeer te zaaien en het vertrouwen in democratische instellingen te ondermijnen.

Deze gerichte manipulatie van informatie is onderdeel van een breder scala aan activiteiten die door Rusland worden uitgevoerd om het vertrouwen in democratische processen in Duitsland te ondermijnen. Giese verwees naar eerdere beschuldigingen dat Rusland hybride oorlogvoering zou gebruiken om Europa te destabiliseren. De Russische militaire inlichtingendienst GRU wordt beschuldigd van een cyberaanval op de Duitse luchtverkeersleiding in 2024, uitgevoerd door de hackercollectief APT28, ook wel bekend als Fancy Bear. De GRU, die in verschillende landen gesanctioneerd is, wordt ook in verband gebracht met de bemoeienis bij de Amerikaanse verkiezingen in 2016, waar ze werden beschuldigd van het lekken van e-mails van de Democratische Partij.

Daarnaast meldde Giese dat de Duitse inlichtingendiensten geloven dat de GRU geprobeerd heeft de Duitse federale verkiezingen van februari 2025 te destabiliseren via een campagne genaamd “Storm 1516.” Deze campagne verspreidde kunstmatig gegenereerd pseudo-onderzoek, deepfake-beelden, valse journalistieke websites en gefabriceerde getuigenverklaringen op verschillende platforms.

De Duitse regering heeft aangekondigd dat er tegenmaatregelen zullen volgen voor deze hybride oorlogsvoering. Ze benadrukten dat de herhaalde en onaanvaardbare aanvallen door door de staat gecontroleerde Russische actoren met de sterkst mogelijke woorden worden veroordeeld. Duitsland blijft ook zijn steun aan Oekraïne versterken en zijn afschrikking en verdediging verder opbouwen.

Bron 1

Het Verenigd Koninkrijk heeft een nieuwe stap gezet in het versterken van zijn militaire inlichtingencapaciteiten door alle inlichtingendiensten te verenigen binnen één organisatie. Dit gebeurde met de oprichting van een nieuw hoofdkantoor voor militaire inlichtingendiensten in Wyton, Cambridgeshire. Het doel van deze centralisatie is het versnellen van het verzamelen, analyseren en delen van inlichtingen. De nieuwe eenheid, onder de Britse krijgsmacht, brengt militaire inlichtingen van de Koninklijke Marine, het Britse Leger en de Koninklijke Luchtmacht samen, en heeft als doel om een snellere en effectievere reactie op dreigingen mogelijk te maken. De oprichting van deze eenheid valt samen met een periode van toenemende dreigingen voor het VK, waaronder cyberaanvallen, gedestabiliseerde satellieten, maritieme dreigingen en desinformatie.

Deze ontwikkeling komt op het moment dat de NAVO-Secretaris-Generaal Mark Rutte een waarschuwing afgaf over de verslechterende veiligheidssituatie in Europa. Tijdens de Veiligheidsconferentie in München stelde hij dat Europa zich in een oorlogssituatie bevindt met Rusland, waarbij een aanval op een NAVO-lidstaat binnen vijf jaar waarschijnlijk is. Hij wees op de aanzienlijke toename van Russische militaire activiteiten, waaronder de lancering van duizenden drones en raketten tegen Oekraïne, en het opzetten van een productiecapaciteit voor duizenden aanvalsdrone per maand. De NAVO roept Europa op zich voor te bereiden op een oorlog van dezelfde omvang als de wereldoorlogen van de vorige eeuw. De NAVO's eigen verdedigingscapaciteiten kunnen volgens Rutte momenteel standhouden, maar de dreiging van Rusland blijft groot.

De oprichting van de nieuwe inlichtingeneenheid in het VK is een belangrijke stap in het versterken van de militaire capaciteiten van het land en het verbeteren van de samenwerking binnen de vijfde ogen-partners (Verenigde Staten, VK, Canada, Australië en Nieuw-Zeeland). Het nieuwe centrum is uitgerust met geavanceerde technologieën en een fusion centre ter grootte van een voetbalveld om informatie te verwerken en te analyseren. De Britse regering benadrukt dat de nieuwe structuur sneller en effectiever kan reageren op de groeiende dreigingen in de regio.

De oprichting van deze centrale inlichtingeneenheid komt bovendien op het moment dat de militaire inlichtingen in het VK te maken hebben met een stijging van vijandige inlichtingenactiviteiten, die meer dan 50% is toegenomen. De Britse strijdkrachten verwachten dat dit soort dreigingen in de komende jaren zullen blijven toenemen, gezien de geostrategische situatie en de voortdurende spanningen met Rusland.

Bron 1, 2

Hudson Rock heeft recent onthuld hoe de Lazarus Group, een Noord-Koreaanse APT-groep, gebruik heeft gemaakt van een netwerk voor desinformatie in Jemen, oorspronkelijk opgezet in 2019, om hun eigen cyberaanvallen uit te voeren. Het netwerk, bestaande uit valse nieuwswebsites zoals alnagm-press.com, werd in eerste instantie gebruikt voor het verspreiden van pro-Houthi-narratieven en valse informatie, waaronder nepverhalen over de dood van Israëlische beroemdheden. De websites waren ontworpen om verwarring te zaaien en politieke invloed uit te oefenen.

In 2020 werd een computer in Jemen besmet met de RedLine Stealer, een infostealer die toegang verkreeg tot beheerderswachtwoorden van de betrokken nieuwswebsites. Deze gestolen inloggegevens werden later aangekocht door de Lazarus Group, die gebruik maakte van deze bestaande infrastructuur voor hun eigen cyberoperaties. Door de gehackte websites als onderdeel van hun command-and-control-infrastructuur te gebruiken, verbergden ze hun kwaadaardige activiteiten, waaronder het hosten van phishingpagina's en het verspreiden van malware.

De Lazarus Group staat bekend om het gebruik van bestaande infrastructuren, zoals oude websites, om zich te verschuilen voor detectie door beveiligingssystemen. Dit incident toont aan hoe een eenvoudige infectie door een infostealer kan leiden tot een grootschalige cyberaanval, waarbij bestaande middelen worden ingezet voor spionage en cybercriminaliteit. Het benadrukt de gevaren van de "Infostealer naar APT-pijplijn", waarbij aanvallers gebruikmaken van gestolen gegevens om hun operaties op te schalen.

Dit voorval heeft bredere implicaties voor de wereldwijde cyberbeveiliging en vormt een waarschuwingssignaal voor de ernst van de dreigingen die ook Nederland en België kunnen beïnvloeden. Het onderstreept de noodzaak om bestaande infrastructuren te monitoren en te beschermen tegen kwaadaardige hergebruik door cybercriminelen.

Bron 1

De pro-Russische hacktivistengroep CyberVolk is terug met een nieuwe variant van hun ransomware genaamd VolkLocker, waarmee ze zowel Linux- als Windows-systemen aanvallen. Deze aanval volgt op een periode van inactiviteit in 2025, nadat de groep eerder werd gedwongen stil te zijn door handhavingsmaatregelen op Telegram. De terugkeer van de groep werd aangekondigd in augustus 2025, toen ze een geavanceerd ransomware-as-a-service (RaaS) platform introduceerden, dat zowel encryptiemogelijkheden als Telegram-gebaseerde automatiseringstools bevat.

De VolkLocker ransomware vertegenwoordigt een evolutie in de aanvalscapaciteiten van CyberVolk. Het platform is ontworpen om zowel Linux- als Windows-omgevingen aan te vallen, wat de aanvalspopulatie aanzienlijk vergroot. De ransomware is geschreven in Golang en biedt een cross-platform aanpak, wat het voor de groep mogelijk maakt om uiteenlopende infrastructuren van organisaties aan te vallen. Dit verhoogt de kans op succesvolle aanvallen, aangezien de malware in staat is om diverse besturingssystemen te compromitteren.

De basisversies van de ransomware bevatten geen obfuscatie, en de groep moedigt de operators aan om de UPX-packing techniek te gebruiken voor extra bescherming, in plaats van de cryptingskenmerken die normaal gesproken aanwezig zijn in concurrerende ransomware-aanbiedingen. Deze aanpak onthult een combinatie van snelle groei en operationele onvolwassenheid, waarbij de malware testartifacten bevat die wijzen op een gehaaste ontwikkeling. Dit geeft slachtoffers mogelijkheden voor herstel, aangezien de ransomware enkele zwakke plekken vertoont die kunnen worden geëxploiteerd.

Een van de opvallende kenmerken van VolkLocker is het gebruik van geavanceerde privilege escalation-technieken. Zodra de malware wordt uitgevoerd, probeert het verhoogde beheerdersrechten te verkrijgen via een manipulatie van het Windows-register. Door het "ms-settings" User Account Control-bypassmechanisme te gebruiken, kan de ransomware zich uitvoeren met administratorrechten, waardoor het toegang krijgt tot beveiligde systeemdirectories en bestanden. Het gebruik van deze techniek maakt het mogelijk om doelwitomgevingen te compromitteren zonder dat waarschuwingen voor de gebruiker worden geactiveerd.

Daarnaast voert de malware een uitgebreide omgevingsscan uit, waarbij het bekende virtualisatietools zoals VirtualBox, VMware en QEMU detecteert. Dit stelt de malware in staat om sandboxomgevingen te vermijden en zich uitsluitend te richten op productieomgevingen, waar de schade aanzienlijk kan zijn.

Organisaties worden aangespoord om robuuste detectiemechanismen en privileges te implementeren, evenals monitoring van toegang tot het register, om zich te beschermen tegen de geavanceerde aanvalsmethoden van VolkLocker. De groep blijkt met deze nieuwe ransomware zowel zijn bereik als zijn aanvalstechnieken te hebben uitgebreid, wat aangeeft dat CyberVolk zijn operaties heeft geprofessionaliseerd, hoewel de software nog steeds enkele grote zwakke punten vertoont die voor beveiligingsonderzoekers kansen bieden om deze aanvallen te stoppen.

Bron 1

Het hacktivistische groep CyberVolk is terug, en deze keer gebruiken ze Telegram-bots om hun ransomware-aanvallen te beheren. Oorspronkelijk afkomstig uit India, heeft de groep zich gepositioneerd als pro-Russisch, maar hun activiteiten vertonen steeds meer overeenkomsten met die van een middelgrote onderneming. Dit keer ligt de focus niet alleen op de verspreiding van ransomware, maar ook op de geautomatiseerde manier waarop ze hun tools verkopen en ondersteunen.

CyberVolk biedt ransomware-as-a-service (RaaS) aan onder de naam VolkLocker, en deze service is toegankelijk via Telegram-bots. In plaats van te vertrouwen op traditionele webdashboards of verborgen services, heeft de groep Telegram-kanalen en bots opgezet om het hele proces te automatiseren. Dit maakt het voor affiliates gemakkelijker om de ransomware te gebruiken, besmettingen te beheren, en slachtoffers te benaderen zonder de noodzaak voor ingewikkelde technische infrastructuren.

Het gebruik van Telegram heeft verschillende voordelen voor CyberVolk. Het stelt hen in staat om snel affiliates te werven, hun ransomware te verkopen, en de benodigde ondersteuning te bieden. Bovendien kunnen ze via deze kanalen ook hun marketingactiviteiten uitvoeren, waarbij ze prijzen, bundelaanbiedingen en nieuwe malwarefuncties promoten. Telegram biedt ook de mogelijkheid om met slachtoffers te communiceren via een eenvoudige chatinterface, wat de interactie met de slachtoffers vergemakkelijkt.

De prijsstelling voor hun RaaS-diensten varieert, afhankelijk van het type systeem dat wordt aangevallen. Zo kan een enkele licentie voor een besturingssysteem tussen de $800 en $1.100 kosten, terwijl een gecombineerde versie voor zowel Linux als Windows kan oplopen tot $2.200. Daarnaast bieden ze ook standalone tools aan, zoals RAT’s (Remote Access Tools) en keyloggers, die voor $500 per stuk te koop zijn.

Ondanks deze professionele aanpak vertoont de ransomware VolkLocker enkele zwaktes. Zo blijkt uit onderzoek dat de encryptiesleutel lokaal op het geïnfecteerde systeem wordt opgeslagen en niet wordt verwijderd, wat betekent dat slachtoffers hun bestanden mogelijk zelf kunnen herstellen zonder te betalen. Dit blijkt een kritieke fout in de implementatie te zijn, die vermoedelijk voortkomt uit de snelle ontwikkeling van de ransomware.

CyberVolk blijft groeien, ondanks deze technische gebreken. De groep lijkt zich snel aan te passen aan de automatiseringsmogelijkheden die Telegram biedt, wat hen in staat stelt hun activiteiten op te schalen zonder veel technische overhead. Het lijkt er echter op dat de groep moeite heeft om de kwaliteit van hun ransomware consistent te houden, aangezien testbestanden en andere artefacten soms aanwezig blijven in de live-deployments. Dit duidt op een gebrek aan kwaliteitscontrole bij het snel werven van nieuwe affiliates met beperkte vaardigheden.

Deze ontwikkelingen laten zien dat de dreiging van ransomware steeds geavanceerder en geautomatiseerder wordt, waarbij cybercriminelen hun operaties steeds efficiënter en met minder technische kennis kunnen uitvoeren.

Bron 1

Op 12 december 2025 heeft de hacker-groep NoName bekendgemaakt dat zij meerdere websites in België en Zweden hebben aangevallen via een Distributed Denial of Service (DDoS)-aanval. De getroffen websites behoren tot verschillende prominente organisaties, waaronder de Proximus Group, Telenet Group, ENGIE Electrabel, en het Directoraat-generaal Statistiek van België. Ook de websites van Alimak, de stad Lo-Reninge, de gemeente Linkebeek, en de politieke partij Mouvement Réformateur werden het doelwit van deze cyberaanvallen.

DDoS-aanvallen worden vaak ingezet om systemen te overbelasten door een grote hoeveelheid verkeer naar de doelwebsite te sturen, waardoor de website niet meer toegankelijk is voor legitieme gebruikers. Deze aanvallen kunnen ernstige verstoringen veroorzaken in de dienstverlening van de getroffen organisaties en leiden tot aanzienlijke schade aan hun reputatie en infrastructuur.

Het is onduidelijk wat de exacte motivatie van NoName is achter deze specifieke aanvallen. DDoS-aanvallen kunnen zowel politieke als financiële motieven hebben, en het is mogelijk dat deze actie verband houdt met de bredere context van geopolitieke spanningen of hacktivisme. Gezien de betrokkenheid van zowel overheidsinstellingen als bedrijven, is het ook mogelijk dat de aanvallen bedoeld zijn om aandacht te vestigen op specifieke kwesties of om de stabiliteit van digitale infrastructuur in deze landen te verstoren.

Dergelijke incidenten benadrukken de kwetsbaarheid van zowel publieke als private sectoren voor dit type cyberdreiging. Aanvallen zoals deze kunnen de afhankelijkheid van betrouwbare en veilige digitale platforms in gevaar brengen en bedrijven en overheden dwingen om hun cyberbeveiligingsmaatregelen voortdurend te versterken.