Europese regeringsleiders hebben bij de start van het nieuwe jaar de noodzaak van verhoogde weerbaarheid benadrukt in een verslechterend mondiaal veiligheidsklimaat. In officiële verklaringen wijzen leiders uit Duitsland, Frankrijk en Polen op een structurele toename van vijandige activiteiten die de stabiliteit van de Europese Unie direct raken, variërend van cyberaanvallen tot fysieke sabotage aan vitale infrastructuur, zoals onderzeese kabels.

De Duitse bondskanselier Friedrich Merz kwalificeert de huidige situatie als een tijdperkverschuiving. Volgens Merz is de Russische agressie onderdeel van een breder plan tegen Europa, waarbij lidstaten dagelijks worden geconfronteerd met sabotage, spionage en cyberaanvallen. Hij stelt dat de veiligheidsarchitectuur verandert, aangezien de rol van de Verenigde Staten als traditionele garant voor veiligheid verschuift. Merz benadrukt dat de nationale kracht en de bescherming van kritieke sectoren, zoals de energievoorziening, direct gekoppeld zijn aan de economische stabiliteit en het verminderen van bureaucratische belemmeringen.

President Emmanuel Macron van Frankrijk waarschuwt voor de erosie van de internationale orde en de toenemende instabiliteit door de terugkeer van geopolitieke machtsblokken. Hij wijst specifiek op het risico van buitenlandse inmenging in democratische processen en de noodzaak om waakzaam te blijven tegen de destabilisatie van de publieke orde. Deze zorgen worden ondersteund door de Poolse president Karol Nawrocki, die bondgenoten oproept tot standvastigheid op zowel militair als economisch vlak om de veiligheid op het continent te waarborgen.

Terwijl Zuid-Europese leiders zoals de Spaanse premier Pedro Sánchez en de Italiaanse president Sergio Mattarella zich in hun toespraken meer richtten op interne economische groei en sociale cohesie, blijft de overkoepelende Europese boodschap er een van noodzakelijke autonomie. De leiders concluderen dat Europa niet overgeleverd is aan externe grootmachten, mits er collectief wordt geïnvesteerd in de beveiliging van vitale netwerken en een gecoördineerde aanpak van hybride dreigingen.

Bron 1

De Finse autoriteiten hebben twee bemanningsleden van het vrachtschip Fitburg gearresteerd en aan twee andere opvarenden een reisverbod opgelegd. Deze maatregelen zijn genomen in het kader van een strafrechtelijk onderzoek naar de beschadiging van een vitale onderzeese telecommunicatiekabel in de Finse Golf, die de verbinding vormt tussen Finland en Estland. Het schip werd op 31 december 2025 aan de ketting gelegd tijdens een vaart vanuit Sint-Petersburg naar Haifa. Uit de eerste onderzoeksresultaten blijkt dat het vaartuig met een slepend anker over de zeebodem heeft gevaren op de locatie waar de kabelbreuk van provider Elisa is vastgesteld. De Finse politie onderzoekt de zaak momenteel als gekwalificeerde zaaksbeschadiging en de verstoring van telecommunicatieverbindingen.

Bij het onderzoek zijn in totaal veertien bemanningsleden met diverse nationaliteiten betrokken, waaronder personen uit Rusland, Georgië, Kazachstan en Azerbeidzjan. Zij zijn allen vastgehouden voor verhoor. Parallel aan het onderzoek naar de fysieke schade heeft de Finse douane een bevinding gedaan met betrekking tot de lading van het schip. Er is constructiestaal aangetroffen dat zijn oorsprong vindt in Rusland. Omdat de import van dergelijke goederen verboden is onder de Europese sanctieregelgeving, wordt onderzocht in hoeverre de Fitburg de geldende wetgeving heeft overtreden. De autoriteiten hebben inmiddels diverse objecten van het schip in beslag genomen voor verder forensisch onderzoek.

De beschadiging van de kabel tussen Helsinki en Tallinn staat niet op zichzelf, maar past in een patroon van incidenten met onderzeese infrastructuur in de Baltische regio. In de afgelopen twee jaar zijn op meerdere locaties telecommunicatie- en stroomkabels beschadigd geraakt. Een precedent hiervoor is het incident met de tanker Eagle S op 25 december 2024, waarbij eveneens meerdere kabels werden doorgesneden door een slepend anker. De herhaaldelijke incidenten hebben geleid tot een verhoogde staat van paraatheid en intensievere surveillance door de Finse kustwacht en marine. Inlichtingenrapporten wijzen op een toename van activiteiten waarbij schepen vitale onderzeese verbindingen in de regio fysiek benaderen.

Bron 1

Op 3 januari 2026 is er een melding naar buiten gebracht betreffende een mogelijke cyberaanval op de website van de Belgische gemeente Bever. De actie is opgeëist door een groepering die zichzelf identificeert als BD Anonymous. De claim van de groep richt zich specifiek op het domein bever-bievene.be, de officiële webpagina van de gemeente.

Volgens de binnengekomen informatie zou het gaan om een Distributed Denial of Service aanval, waarbij getracht wordt de website onbereikbaar te maken door een overmaat aan digitaal verkeer te genereren. Uit controle op het moment van de melding bleek echter dat de website van de gemeente Bever operationeel bleef. Er is geen bewijs geleverd dat de website daadwerkelijk uit de lucht is gegaan of dat de dienstverlening is onderbroken. De situatie wordt gekenmerkt als een geclaimde aanval zonder direct waarneembare uitval.

De Oekraïense militaire inlichtingendienst (DIU) heeft een geavanceerde contraspionage-operatie uitgevoerd waarbij digitale informatievoorziening en fysieke enscenering werden gecombineerd om een Russisch moordcomplot te verijdelen. Op 1 januari 2026 werd bekendgemaakt dat de dood van Denis Kapustin, de commandant van het Russische Vrijwilligerskorps, in scène was gezet. Deze strategische misleiding leidde niet alleen tot het behoud van het doelwit, maar stelde de dienst ook in staat om de uitgeloofde premie van 500.000 dollar te onderscheppen die door Moskou beschikbaar was gesteld voor zijn eliminatie.

De operatie begon eind december met het verspreiden van gedetailleerde desinformatie via diverse communicatiekanalen. Op 27 december werden berichten en specifiek geproduceerd beeldmateriaal verspreid die wezen op een succesvolle moordaanslag in de regio Zaporizja. Om de Russische inlichtingendiensten te overtuigen van het overlijden, werd een video gefabriceerd waarin een ogenschijnlijke drone-aanval op het voertuig van Kapustin te zien was, gevolgd door beelden van de nasleep. Deze digitale bewijslast werd door de opdrachtgevers in Moskou als authentiek beschouwd, waarna de procedure voor de uitbetaling van de premie in gang werd gezet.

Luitenant-generaal Kyrylo Budanov bevestigde tijdens een persconferentie op nieuwjaarsdag dat de operatie meer dan een maand aan voorbereiding vergde. Naast het financiële gewin heeft de operatie geleid tot het blootleggen van het netwerk van agenten dat bij het moordcomplot betrokken was. Kapustin verscheen tijdens de briefing levend in beeld om het succes van de misleidingscampagne te onderstrepen. De inlichtingendienst toont met deze casus aan hoe verificatieprocessen van inlichtingendiensten in moderne conflicten vatbaar zijn voor manipulatie door gecontroleerde informatielekken en visuele misleiding.

Bron 1

De Amerikaanse president Donald Trump heeft op 3 januari 2026 tijdens een persconferentie in Mar-a-Lago zijn ontevredenheid geuit over de Russische president Vladimir Poetin. Trump stelde dat hij "niet enthousiast" is over de houding van de Russische leider en benadrukte dat er in de oorlog in Oekraïne te veel slachtoffers vallen. Deze verklaring volgt op een grootschalige Amerikaanse militaire operatie in Venezuela, waarbij Nicolás Maduro en zijn echtgenote zijn gevangenomen. Maduro wordt in de Verenigde Staten aangeklaagd voor narcoterrorisme en is inmiddels overgebracht naar New York voor berechting.

De escalatie in Zuid-Amerika en de aanhoudende strijd in Oekraïne hebben geleid tot een verhoogd risico op hybride dreigingen. Rusland beschuldigde Oekraïne recentelijk van een drone-aanval op een presidentiële residentie in Valdai, een claim die door de Amerikaanse inlichtingendienst CIA is weersproken. Volgens de CIA was er geen sprake van een aanval op de woning van Poetin. Dergelijke geopolitieke spanningen dienen in de regel als voedingsbodem voor digitale vergeldingsacties. In het verleden vertaalde dit zich naar een toename in DDoS-aanvallen en pogingen tot infiltratie van vitale infrastructuur in NAVO-lidstaten, waaronder Nederland en België.

Voor de digitale veiligheid in de Benelux betekent dit een periode van verhoogde waakzaamheid. Terwijl diplomaten in Kyiv werken aan een vredesplan en er voor 5 januari 2026 topoverleg gepland staat in Parijs, is de dreiging van cyberoperaties door statelijke actoren of gelieerde collectieven reëel. Naast directe technische aanvallen op systemen, wordt de actuele berichtgeving rondom Maduro en Oekraïne intensief misbruikt voor phishingcampagnes en de verspreiding van malware. Voor cybersecurity-experts is het monitoren van deze geopolitieke ontwikkelingen essentieel om proactief in te spelen op verschuivingen in het dreigingsbeeld.

Een ernstige fout in de informatiebeveiliging van de Russische overheid heeft geleid tot de onbedoelde publicatie van een geheim rapport van de Russische ombudsman voor de mensenrechten. Deze datalek, die door internationale waarnemers wordt bestempeld als een significante operationele blunder, biedt een zeldzame en ongefilterde inkijk in de werkelijke omstandigheden binnen de Russische krijgsmacht. De vrijgekomen documenten bevatten duizenden officiële klachten die een beeld schetsen van extreme wanhoop en systematisches misstanden aan het front in Oekraïne, dat haaks staat op de officiële staatscommunicatie.

Uit de geanalyseerde gegevens blijkt dat de personele tekorten binnen het Russische leger hebben geleid tot het inzetten van fysiek zwaar gehandicapte militairen. Het rapport bevat concrete getuigenverklaringen van soldaten die hebben waargenomen hoe personen met ernstige amputaties, waaronder het verlies van armen of benen, in rolstoelen naar de frontlinies zijn gestuurd. Deze bevindingen bevestigen eerdere, maar tot nu toe onbewezen speculaties over de verregaande maatregelen die het Kremlin treft om de troepenaantallen op peil te houden, ongeacht de fysieke inzetbaarheid van het personeel.

Naast de zorgwekkende rekruteringspraktijken onthult de data een patroon van intern geweld en corruptie binnen de militaire hiërarchie. De ombudsman maakt melding van talloze gevallen waarin soldaten het slachtoffer zijn geworden van marteling en zware mishandeling door hun eigen superieuren. Bovendien wordt er veelvuldig gerapporteerd over afpersing en beroving, waarbij leidinggevenden eigendommen van ondergeschikten in beslag nemen. Deze interne misdrijven duiden op een vergaande erosie van de commandostructuur en discipline.

Voor experts op het gebied van inlichtingen en defensie vormt dit lek een cruciale bron van verificatie. Waar dergelijke informatie voorheen vaak afkomstig was van anonieme bronnen of onderschepte communicatie, betreft het hier officiële administratieve data van de Russische staat zelf. De openbaarmaking onderstreept niet alleen de humanitaire crisis binnen de Russische rangen, maar legt tevens een pijnlijke kwetsbaarheid bloot in de beheersing van staatsgeheimen door de Russische autoriteiten.

Bron 1

De technologische ontwikkelingen op het moderne slagveld dwingen tot een herwaardering van de veiligheidsprotocollen binnen de Navo. Een hoge Oekraïense officier heeft vastgesteld dat de grootschalige inzet van onbemande systemen de traditionele medische evacuatieketen heeft ontregeld. In de huidige strijd in Oekraïne is het concept van het gouden uur, de kritieke eerste zestig minuten waarin medische interventie de overlevingskans maximaliseert, nagenoeg komen te vervallen door de constante dreiging van drone-surveillance en directe aanvallen op transportmiddelen.

Deze verandering in de oorlogsvoering heeft directe gevolgen voor de verwachte verliescijfers bij een eventueel direct militair conflict tussen de Navo en Rusland. Waar de Navo-doctrine voorheen uitging van luchtoverwicht en het veilig kunnen afvoeren van personeel, zorgt de huidige alomtegenwoordigheid van drones ervoor dat elk bewegend voertuig aan de frontlinie direct kan worden gedetecteerd en bestreden. Dit bemoeilijkt de logistieke operaties aanzienlijk, aangezien gewonden nu vaak urenlang niet geëvacueerd kunnen worden of aangewezen zijn op riskante verplaatsingen te voet.

Militaire planners binnen de alliantie analyseren deze data om oplossingen te vinden voor de kwetsbaarheid van medische en logistieke systemen. De waarschuwing vanuit de praktijk is dat de Navo-strijdkrachten zonder fundamentele technologische en tactische aanpassingen te maken zullen krijgen met zwaardere verliezen dan de Oekraïense troepen. De focus ligt hierbij op het herstellen van de overlevingskansen op het slagveld in een omgeving waar conventionele bescherming door de inzet van drones en moderne detectiemiddelen onder druk staat.

Bron 1

De Europese cyberweerbaarheid in de ruimte krijgt een fysieke uitbreiding met de realisatie van een nieuw grondstation in de Arctische woestijn van Kangerlussuaq op Groenland. Het Litouwse technologiebedrijf Astrolight ontwikkelt deze faciliteit met ondersteuning van de Europese Ruimtevaartorganisatie ESA. Het station maakt gebruik van optische lasercommunicatie om dataverkeer van satellieten sneller en veiliger naar de aarde te transporteren. Deze technologische stap is onderdeel van een bredere strategie om de Europese infrastructuur te beschermen tegen de toenemende dreiging van ruimtehacks, spionage en elektronische verstoring.

De urgentie voor deze beveiligingsmaatregelen is toegenomen sinds 2022, het jaar waarin een grootschalige cyberaanval op het Viasat-netwerk plaatsvond gelijktijdig met de Russische invasie van Oekraïne. Dit incident markeerde een omslag in het veiligheidsdenken, waarbij satellieten niet langer enkel als civiele nutsvoorziening worden gezien, maar als strategische en kwetsbare doelwitten. De Europese Commissie heeft de ruimte sindsdien bestempeld als een betwist domein waarin cyberaanvallen en interferentie op satellieten en grondstations frequent voorkomen.

Het nieuwe station op Groenland fungeert als essentiële redundantie voor de huidige Europese infrastructuur op Spitsbergen. Het station op Spitsbergen, dat cruciaal is voor de Europese navigatie- en observatiesystemen Galileo en Copernicus, is voor zijn dataverbinding afhankelijk van één enkele onderzeese internetkabel. Schade aan deze kabel, door sabotage of ongeval, zou direct leiden tot het verlies van toegang tot vitale geo-inlichtingensatellieten. De locatie in Groenland moet dit 'single point of failure' elimineren en de continuïteit van datastromen waarborgen.

Naast de fysieke versterking van grondstations werkt Europa aan het IRIS²-programma, een miljardenproject voor een eigen satellietconstellatie. Dit systeem van achttien satellieten moet dienen als een veilig en onafhankelijk alternatief voor commerciële netwerken zoals Starlink, waarvan de strategische betrouwbaarheid door Europese beleidsmakers als risicovol wordt ervaren. IRIS² richt zich op versleutelde communicatie en moet over circa vier jaar operationeel zijn.

De combinatie van het nieuwe grondstation en de eigen satellietconstellatie is een direct antwoord op waarschuwingen van onder meer Duitsland en het Verenigd Koninkrijk over buitenlandse spionagesatellieten die Europese systemen observeren. Door te investeren in zowel eigen hardware als geavanceerde lasercommunicatie tracht Europa de digitale soevereiniteit te vergroten en de afhankelijkheid van derden voor kritieke communicatie te minimaliseren.

Bron 1

De grootschalige stroomuitval die grote delen van Venezuela, waaronder de hoofdstad Caracas, heeft getroffen, is volgens de Amerikaanse president Donald Trump het gevolg van een bewuste cyberoperatie. Tijdens een persconferentie op zaterdag 3 januari 2026 verklaarde de president dat de stroomvoorziening is onderbroken door de inzet van specifieke technologische expertise waarover de Verenigde Staten beschikken. Deze uitspraak duidt op een offensieve digitale interventie gericht op het nationale energienet van het Zuid-Amerikaanse land.

De claim van de president impliceert dat Amerikaanse eenheden in staat zijn geweest om kritieke infrastructuur op afstand te beïnvloeden of uit te schakelen. Dergelijke operaties richten zich doorgaans op de industriële controlesystemen (ICS) die de opwekking en distributie van elektriciteit reguleren. Hoewel de officiële verklaring de nadruk legt op digitale superioriteit, zijn er gelijktijdig rapportages verschenen van fysieke explosies bij elektriciteitsstations. Het blijft onbevestigd of deze incidenten het directe resultaat zijn van digitale manipulatie van beveiligingsprotocollen of dat er andere oorzaken aan ten grondslag liggen.

Voor experts in cybersecurity markeert deze gebeurtenis een belangrijk moment, aangezien een staatshoofd hiermee publiekelijk de verantwoordelijkheid opeist voor een operatie tegen de vitale infrastructuur van een andere natie. De transparantie over het gebruik van dergelijke offensieve capaciteiten is uitzonderlijk binnen de internationale politiek. Het incident onderstreept de toenemende integratie van cybercapaciteiten in geopolitieke conflicten en de directe impact die dit heeft op de civiele samenleving.

In de nasleep van de black-out wordt gezocht naar forensisch bewijs dat de aard van de aanval kan bevestigen. De discussie binnen de internationale gemeenschap richt zich nu op de technische verificatie van de claim en de mogelijke gevolgen voor de mondiale normen met betrekking tot digitale oorlogvoering. De situatie in Caracas dient als een casestudy voor de kwetsbaarheid van moderne infrastructuren voor geavanceerde statelijke actoren.

De technische infrastructuur achter de gecentraliseerde surveillance-database van Venezuela, bekend als Crystal Vault, is blootgelegd door ernstige beveiligingslacunes in de API-configuratie. Het systeem werd in december 2024 geïmplementeerd met als doel de integratie van identiteitsgegevens, bankrecords en sociale overheidsdata van meer dan dertig miljoen burgers. Het platform is ontwikkeld door de technologische leverancier ZTE en fungeert als een centraal knooppunt voor persoonlijke informatie.

Uit technisch onderzoek is gebleken dat de database-infrastructuur verbonden was met onbeveiligde WordPress REST API's. Door het ontbreken van noodzakelijke authenticatie-instellingen was het mogelijk om zonder toegangscontrole data uit het systeem te onttrekken. In totaal is er circa 27,7 gigabyte aan informatie gedownload. De gelekte data bevatten specifieke operationele details, waaronder de geografische locaties van overheidsgebouwen, de exacte GPS-coördinaten van personeelsleden en uitgebreide statistieken over de interne bedrijfsvoering. De blootstelling van deze gegevens is direct te herleiden naar het gebruik van publiek toegankelijke interfaces die geen beveiligingsvalidatie vereisten.

Bron 1, 2

Het National Security Bureau (NSB) van Taiwan heeft in een officieel rapport over het jaar 2025 een scherpe toename van digitale agressie vanuit China gedocumenteerd. De Taiwanese vitale infrastructuur werd vorig jaar geconfronteerd met gemiddeld 2,63 miljoen inbraakpogingen per dag. Dit aantal markeert een stijging van zes procent vergeleken met 2024 en is meer dan een verdubbeling van het daggemiddelde in 2023. De operaties richtten zich op negen primaire sectoren, waaronder de overheid, energievoorziening, financiële instellingen en de zorg.

Volgens de Taiwanese inlichtingendienst is er sprake van een gecoördineerde strategie van hybride oorlogsvoering. Cyberaanvallen werden daarbij gesynchroniseerd met militaire oefeningen en politieke gebeurtenissen. Opvallende pieken in de aanvalsactiviteit vielen samen met de eerste verjaardag van de inauguratie van president Lai Ching-te in mei en het Europese bezoek van vicepresident Hsiao Bi-khim in november. Het NSB concludeert dat deze acties bedoeld zijn om maatschappelijke functies te ontwrichten en de weerbaarheid van de Taiwanese overheid te testen.

De impact verschilt sterk per sector, waarbij de energiesector een incidentgroei van 1.000 procent rapporteerde ten opzichte van het voorgaande jaar. In de zorgsector en bij noodhulpdiensten steeg het aantal aanvallen met 54 procent. Het rapport bevestigt ten minste twintig gevallen van ransomware-aanvallen op grote ziekenhuizen, waarbij in sommige gevallen gestolen patiëntgegevens werden verhandeld op fora op het dark web.

Het rapport identificeert vijf prominente hackersgroepen die verantwoordelijk worden gehouden voor de offensieven: APT41, Mustang Panda, BlackTech, Flax Typhoon en UNC3886. Deze groepen maakten gebruik van diverse methoden, waarbij de focus lag op het uitbuiten van softwarekwetsbaarheden en het uitvoeren van Distributed Denial of Service (DDoS) aanvallen om de digitale bereikbaarheid te verstoren.

Taiwan heeft naar aanleiding van deze dreiging de internationale samenwerking opgevoerd. De NSB voert momenteel gezamenlijke onderzoeken uit met cybersecurity-instanties uit meer dan dertig landen. Deze samenwerking is met name gericht op het in kaart brengen van malicious relay nodes, die door aanvallers worden gebruikt om hun werkelijke locatie te maskeren. Internationale organen zoals de NAVO en de Europese Unie hebben China in het afgelopen jaar eveneens aangemerkt als een primaire bron van wereldwijde cybersecurity-dreigingen.

Bron 1

De aan Rusland gelieerde actorgroep UAC-0184, ook geïdentificeerd onder de naam Hive0156, maakt gebruik van de berichtenapplicatie Viber om schadelijke software te verspreiden. Deze activiteiten maken deel uit van een voortdurende campagne gericht op het verzamelen van inlichtingen bij militaire en overheidsinstanties. De groep heeft in 2025 een hoge operationele intensiteit vertoond en breidt de inzet van alternatieve communicatiekanalen, na eerder gebruik van Signal en Telegram, nu verder uit naar Viber.

De aanvalsmethode maakt gebruik van sociale manipulatie door ZIP-archieven te versturen die Windows-snelkoppelingsbestanden bevatten. Deze bestanden zijn vermomd als Microsoft Word- en Excel-documenten om de ontvanger te misleiden. Bij activering wordt een PowerShell-script uitgevoerd dat een tweede ZIP-archief van een externe server ophaalt. Terwijl dit proces op de achtergrond plaatsvindt, krijgt de gebruiker een lokdocument te zien om de kwaadaardige activiteit te maskeren.

Het proces resulteert in de uitvoering van Hijack Loader, een malware-instrument dat specifieke technieken hanteert zoals DLL side-loading en module stomping om detectie door beveiligingssoftware te vermijden. De loader controleert het systeem op de aanwezigheid van diverse antivirusproducten door CRC32-hashes van geïnstalleerde programma's te berekenen. Daarnaast wordt persistentie op het systeem gecreëerd via geplande taken, waardoor de software actief blijft na een herstart van de computer.

In de laatste fase van de aanvalsketen wordt de Remcos RAT (Remote Access Trojan) geïnjecteerd in het proces chime.exe. Deze Remote Administration Tool stelt aanvallers in staat om volledige controle over het eindpunt te verkrijgen. Hierdoor kunnen zij systemen beheren, extra payloads uitvoeren, gebruikersactiviteiten monitoren en gegevens ontvreemden. Hoewel Remcos als legitieme beheersoftware beschikbaar is, wordt het door deze actoren ingezet als instrument voor cyberspionage en structurele datadiefstal.

Bron 1

Het onderzoeksbureau Evident Institute heeft een waarschuwing afgegeven over de ontwikkeling van economische desinformatie in 2026. Volgens de onderzoekers is er een duidelijke trend zichtbaar waarbij praktijken van desinformatie steeds systematischer worden ingezet. Deze zogenoemde DFK-praktijken hebben in het huidige jaar het potentieel om op een gestructureerde en instrumentele manier te worden gebruikt om de uitvoering van strategisch beleid en nationale programma's van landen te hinderen.

De analyse wijst uit dat de aard van desinformatie over economische onderwerpen een transformatie ondergaat. Waar dergelijke uitingen voorheen vaak incidenteel waren, waarschuwt het instituut nu voor een georganiseerde aanpak waarbij economische onwaarheden doelgericht worden ingezet als instrument. Dit fenomeen beperkt zich niet tot geïsoleerde incidenten, maar vormt een integraal onderdeel van bredere strategieën om het economische sentiment te beïnvloeden en de effectiviteit van overheidsinterventies te ondermijnen.

Het rapport benadrukt dat deze vormen van gestructureerde misleiding specifiek gericht zijn op het blokkeren of vertragen van cruciale strategische plannen. Door onjuiste informatie te verspreiden over de economische gevolgen of de haalbaarheid van beleid, kan de publieke opinie en het vertrouwen van investeerders worden gemanipuleerd. Het instrumentele karakter hiervan betekent dat de desinformatie dient als een specifiek middel om politieke of economische doelen te bereiken die indruisen tegen het vastgestelde overheidsbeleid.

Bron 1

De recente arrestatie van de Venezolaanse president Nicolás Maduro tijdens de militaire operatie 'Absolute Resolve' werpt nieuw licht op de verregaande integratie van digitale oorlogsvoering bij fysieke interventies. De inzet van de Amerikaanse eenheid CyberCom was cruciaal voor het slagen van de actie, waarbij de focus lag op het manipuleren van de vitale infrastructuur in de hoofdstad Caracas.

Methodiek en technische manipulatie
De voorbereiding op de bliksemactie bestond uit het binnendringen van de industriële controlesystemen (Industrial Control Systems) die verantwoordelijk zijn voor het elektriciteitsnetwerk. Door deze systemen digitaal over te nemen, konden hackers op het moment van de inval de stroomvoorziening in de stad uitschakelen. Deze actie resulteerde in het uitvallen van lokale verdedigingsmechanismen en beveiligingsapparatuur, wat de weg vrijmaakte voor de fysieke eenheden om de president en zijn echtgenote van hun bed te lichten.

Security-experts onderscheiden verschillende scenario's voor dergelijke infiltraties. In de praktijk blijkt dat veel industriële systemen kwetsbaarheden bevatten die door statelijke actoren geëxploiteerd kunnen worden. Dit kan gebeuren via directe softwarematige zwakheden of door toegang te verkrijgen tot de beheernetwerken van de nutsbedrijven.

Risicoanalyse voor de Nederlandse context
De gebeurtenissen in Venezuela hebben de discussie over de veiligheid van de Europese kritieke infrastructuur aangescherpt. Er wordt specifiek gekeken naar de risico's van hardware die onderdeel uitmaakt van het stroomnet, zoals slimme meters. Omdat een aanzienlijk deel van deze apparatuur in China wordt geproduceerd, bestaat de zorg dat buitenlandse overheden via achterdeuren in deze apparaten de capaciteit hebben om de elektriciteitsvoorziening in Nederland op afstand te ontregelen. De casus in Caracas dient hierbij als feitelijk bewijs van de effectiviteit van dergelijke digitale sabotage bij het uitschakelen van nationale infrastructuren.

In het zuidwesten van Berlijn is op woensdag 7 januari de stroomvoorziening hersteld na een onderbreking die op 3 januari begon. De uitval, veroorzaakt door een vermoedelijke brandstichting bij een elektriciteitscentrale, trof circa 45.000 huishoudens en meer dan 2.000 bedrijven. Het incident wordt door autoriteiten aangemerkt als de langste stroomstoring in de Duitse hoofdstad sinds de Tweede Wereldoorlog. Naast de directe stroomvoorziening raakte de aanval ook de communicatie-infrastructuur, waaronder mobiele netwerken, en de logistieke sector door verstoringen van het lokale treinverkeer.

De verantwoordelijkheid voor de aanval is online opgeëist door de Vulkangruppe. In hun verklaring stelt de groepering dat de actie gericht was tegen de fossiele economie en de toenemende energievraag van datacenters voor kunstmatige intelligentie. De groep claimde eerder ook verantwoordelijkheid voor sabotageacties bij de Tesla Gigafactory in maart vorig jaar. De aanval onderstreept de kwetsbaarheid van fysieke knooppunten die essentieel zijn voor zowel de energievoorziening als de digitale continuïteit.

Tijdens de blackout waren ziekenhuizen afhankelijk van noodaggregaten en werden openbare faciliteiten zoals scholen ingezet als noodopvang voor burgers die door de vrieskou getroffen werden. De burgemeester van Berlijn, Kai Wegner, kwalificeerde de daders als professionele criminelen die zich bewust hebben gericht op het ontregelen van de stedelijke infrastructuur. Hij heeft de federale autoriteiten verzocht om extra ondersteuning bij de beveiliging van vitale netwerken.

De Duitse binnenlandse veiligheidsdienst waarschuwt dat infrastructurele objecten sinds 2011 vaker het doelwit zijn van militante acties. Dit incident heeft geleid tot hernieuwde politieke discussies over de fysieke beveiliging van transformatorstations en de beschikbaarheid van technische gegevens over het stroomnet. De binnenlandse commissie van de Bondsdag komt later deze week bijeen om de veiligheidssituatie van de nationale infrastructuur te evalueren en de noodzaak voor extra investeringen in grid-bescherming te bespreken.

Bron 1

De recente gebeurtenissen in Venezuela markeren een belangrijk moment in de publieke erkenning van cyberoperaties als instrument binnen internationale conflicten. Tijdens een militaire interventie die leidde tot de arrestatie van president Nicolás Maduro, werd de elektriciteitsvoorziening in de hoofdstad Caracas nagenoeg volledig uitgeschakeld. President Donald Trump heeft publiekelijk verklaard dat deze black-out het gevolg was van de inzet van Amerikaanse technische expertise en cybercapaciteiten. Deze directe erkenning is opmerkelijk, aangezien offensieve digitale operaties tegen de nationale infrastructuur van andere landen doorgaans strikt geclassificeerd blijven.

De operatie werd uitgevoerd als een zogenaamde multi-domein operatie, waarbij digitale middelen werden geïntegreerd met fysieke acties. Volgens verklaringen van de Joint Chiefs of Staff werden effecten van verschillende commando's, waaronder Cyber Command en Space Command, gecombineerd om een operationeel pad te banen. Deze aanpak stelt statelijke actoren in staat om vitale systemen te ontregelen zonder dat daar directe fysieke vernietiging van faciliteiten voor nodig is. Het incident onderstreept de kwetsbaarheid van centrale systemen, zoals het energienetwerk en de communicatie-infrastructuur, voor geavanceerde digitale interventies.

Voor specialisten die zich bezighouden met de beveiliging van vitale processen biedt dit incident een feitelijke casus over de reikwijdte van statelijke cybermacht. Onafhankelijke netwerkmonitoren bevestigden dat de stroomuitval samenviel met een grootschalige verstoring van de internetconnectiviteit in de regio. Het aantonen van het vermogen om de energievoorziening van een miljoenenstad te manipuleren, illustreert de strategische impact die digitale interventies hebben op de soevereiniteit en stabiliteit van een land. De gebeurtenissen in Caracas tonen aan dat de beveiliging van kritieke infrastructuur tegen complexe cyberdreigingen een essentieel onderdeel is geworden van moderne nationale veiligheidsstrategieën.

Bron 1

De aan China gelieerde actorgroep UAT-7290 voert sinds 2022 grootschalige spionage-operaties uit waarbij de focus ligt op telecommunicatieproviders. Onderzoek van Cisco Talos toont aan dat deze groep, die voorheen voornamelijk actief was in Zuid-Azië, recentelijk haar werkgebied heeft uitgebreid naar Zuidoost-Europa. De groepering vervult een dubbelrol als spionagemotor en als leverancier van netwerkinfrastructuur voor andere aanvalsgroepen.

De inbraakmethode van UAT-7290 begint met gedetailleerde technische verkenningen van de doelorganisaties. De groep maakt gebruik van bekende kwetsbaarheden in edge-apparatuur, zoals routers en firewalls, waarbij zij vaak vertrouwen op openbaar beschikbare exploit-code. Daarnaast worden gerichte SSH brute-force aanvallen ingezet om toegang te verkrijgen tot publiek toegankelijke apparaten. Eenmaal binnen het netwerk worden privileges geëscaleerd om controle over de infrastructuur te verkrijgen.

Centraal in de operaties staat een gespecialiseerde malware-suite voor Linux-systemen. Deze bestaat uit de componenten RushDrop, DriveSwitch en SilentRaid. RushDrop, ook bekend als ChronosRAT, dient als de initiële dropper. DriveSwitch wordt ingezet om SilentRaid te executeren, een modulair implantaat dat persistente toegang garandeert. SilentRaid ondersteunt functies voor poortdoorsturing, het opzetten van remote shells en complexe bestandsoperaties. Hoewel de focus op Linux ligt, worden ook Windows-implantaten zoals RedLeaves en ShadowPad ingezet, welke in de cybersecurity-gemeenschap exclusief worden toegeschreven aan Chinese staatshackers.

Een essentieel onderdeel van de strategie is de opbouw van een netwerk van Operational Relay Boxes (ORBs). Hiervoor gebruikt de groep de backdoor Bulbature, die gecompromitteerde apparatuur omvormt tot knooppunten in een proxy-netwerk. Deze infrastructuur stelt UAT-7290 en andere actoren, waaronder Stone Panda en RedFoxtrot, in staat om kwaadaardig verkeer te maskeren en de herkomst van aanvallen te verhullen. De integratie van deze technieken duidt op een werkwijze die gericht is op langdurige aanwezigheid binnen kritieke infrastructuren voor het verzamelen van inlichtingen.

Bron 1

De aan Rusland gelieerde hackersgroep BlueDelta, waarvan bekend is dat deze banden heeft met de militaire inlichtingendienst GRU, heeft gedurende het jaar 2025 zijn operaties voor het verzamelen van inloggegevens aanzienlijk geïntensiveerd. Tussen februari en september voerde de groep diverse geavanceerde phishing-campagnes uit die specifiek gericht waren op het compromitteren van accounts voor Microsoft Outlook Web Access (OWA), Google-diensten en Sophos VPN-oplossingen. De doelwitten bevinden zich voornamelijk binnen de Europese overheid, de energiesector en defensie-gerelateerde onderzoeksinstellingen.

Uit technische analyses van beveiligingsonderzoekers van Recorded Future blijkt dat de werkwijze van BlueDelta zich kenmerkt door een combinatie van legitieme documenten en vervalste inlogportalen. De aanvallers maken hierbij intensief gebruik van gratis hostingdiensten en tunneling-tools, zoals Webhook.site, InfinityFree en ngrok. Deze strategie stelt de actoren in staat om hun infrastructuur snel en kosteloos op te zetten en even snel weer te verwijderen, wat detectie en attributie bemoeilijkt.

De infectieketen start wanneer een doelwit een link in een phishing-bericht opent. In eerste instantie wordt een legitiem ogend PDF-document getoond, bijvoorbeeld afkomstig van een gerenommeerd onderzoeksinstituut. Na circa twee seconden wordt de gebruiker automatisch doorgeleid naar een gespoofde inlogpagina die een exacte kopie is van de Microsoft-, Google- of Sophos-interface. Op de achtergrond voeren JavaScript-functies direct een inventarisatie uit van het systeem van het slachtoffer, waarbij gegevens zoals het e-mailadres, IP-adres en browserconfiguratie naar de command-and-control server worden gestuurd.

Wanneer de gebruiker vervolgens zijn inloggegevens invoert, worden deze via HTTP POST-verzoeken buitgemaakt. Om argwaan te minimaliseren, manipuleert de malware de URL die in de adresbalk van de browser wordt weergegeven. De gebruiker ziet termen als '/owa/' of '/pdfviewer', wat de illusie wekt van een legitieme sessie. Na het voltooien van de inlogpoging wordt het slachtoffer doorgeleid naar het daadwerkelijke document of de echte inlogportal van de betreffende organisatie. Door deze naadloze overgang hebben slachtoffers zelden door dat hun authenticatiegegevens zijn gecompromitteerd, waardoor BlueDelta langdurig toegang kan behouden tot gevoelige netwerken.

Bron 1

Een grootschalige cybercampagne, toegeschreven aan de Chinese hackersgroep Salt Typhoon, heeft geleid tot de compromittering van e-mailsystemen van medewerkers van het Amerikaanse Huis van Afgevaardigden. Volgens rapportages van de Financial Times kregen aanvallers toegang tot de communicatie van stafleden van invloedrijke commissies, waaronder die voor inlichtingen, defensie en buitenlandse zaken. De inbreuk werd in december gedetecteerd, maar de volledige omvang van de blootgestelde informatie wordt nog onderzocht.

De aanval richtte zich specifiek op de digitale infrastructuur van medewerkers die toezicht houden op de nationale veiligheid en de strategische competitie met China. Het incident volgt op een eerdere waarschuwing van de Senate Sergeant at Arms in november over een cyberincident bij het Congressional Budget Office. Hoewel is vastgesteld dat de systemen van de stafleden zijn binnengedrongen, is het nog onduidelijk of de hackers ook toegang hebben gekregen tot de persoonlijke correspondentie van de congresleden zelf.

Inlichtingendiensten typeren Salt Typhoon als een actor die zich niet alleen richt op klassieke spionage, maar ook op het strategisch infiltreren van vitale netwerken om deze in de toekomst te kunnen verstoren. Deze vorm van 'pre-positioning' vormt een groeiende dreiging voor de digitale weerbaarheid. De methodiek van de groep omvat onder meer het misbruiken van kwetsbaarheden in netwerkapparatuur zoals routers. De groep is ook in Europa waargenomen; de Nederlandse diensten AIVD en MIVD meldden eerder dat Salt Typhoon ook Nederlandse internetproviders en universiteiten als doelwit heeft gekozen.

Vanuit de Chinese overheid worden de beschuldigingen ontkend. Een woordvoerder van de Chinese ambassade in Washington noemde de claims ongegronde speculatie. Amerikaanse instanties zoals de FBI en het Witte Huis hebben nog geen officiële details over de schade gedeeld, maar het incident verhoogt de druk op de beveiliging van politieke en strategische communicatienetwerken wereldwijd.

Bron 1

De aan Iran gelieerde dreigingsactor MuddyWater maakt gebruik van een nieuwe spear-phishingcampagne om de op Rust gebaseerde malware 'RustyWater' te verspreiden. De aanval maakt gebruik van gemanipuleerde Microsoft Word-documenten die specifiek zijn ontworpen om beveiligingsoplossingen zoals antivirussoftware en Endpoint Detection and Response (EDR) te omzeilen. Hoewel de huidige activiteiten zijn waargenomen binnen de diplomatieke, maritieme en financiële sectoren in het Midden-Oosten, vertoont de gebruikte toolkit een hoge mate van technische complexiteit die relevant is voor de bredere cybersecurity-gemeenschap.

De infectie start bij het openen van een kwaadaardig Word-document dat is vermomd als een officieel beleidsstuk of een beveiligingsrichtlijn. Zodra de gebruiker macro's inschakelt, wordt VBA-code uitgevoerd die twee specifieke functies hanteert. De eerste functie, WriteHexToFile, extraheert hexadecimale data die verborgen zijn in een UserForm en converteert deze naar een binair bestand met de naam CertificationKit.ini in de ProgramData-map. De tweede functie gebruikt ASCII-obfuscatie om dynamisch opdrachten samen te stellen die de payload via cmd.exe activeren. Deze methode is erop gericht om statische signature-gebaseerde detectie te vermijden.

RustyWater beschikt over geavanceerde ontwijkingstechnieken. De malware voert bij opstarten een controle uit op de aanwezigheid van meer dan 25 verschillende antivirus- en EDR-producten door te zoeken naar specifieke servicenamen en agentbestanden. Bij detectie van beveiligingssoftware past de malware zijn uitvoeringsproces aan om onopgemerkt te blijven. Voor persistentie binnen het systeem wordt een waarde toegevoegd aan de Run-sleutel in het Windows-register, waardoor de malware bij elke systeemstart opnieuw wordt geladen.

De exfiltratie van gegevens verloopt via een gestructureerd proces waarbij systeeminformatie, zoals computernamen en gebruikersgegevens, wordt verzameld in JSON-formaat. Deze gegevens worden beveiligd met drie lagen van versleuteling, bestaande uit Base64-codering en XOR-encryptie, voordat ze naar de command-and-control-servers worden verzonden. De communicatie wordt afgehandeld via de Rust-bibliotheek reqwest, waarbij gebruik wordt gemaakt van variabele intervallen tussen de verbindingen om afwijkende netwerkpatronen te maskeren.

Bron 1

Op 9 januari 2026 is er een melding gepubliceerd over een mogelijke cyberaanval op de Nederlandse waterschapsbank NWB Bank. De dreigingsgroep Inteid claimt verantwoordelijk te zijn voor het uitvoeren van een Distributed Denial of Service-aanval gericht op de website van de financiële instelling. De claim werd geregistreerd en verspreid via kanalen die gespecialiseerd zijn in het monitoren van digitale dreigingen en acties van cybercollectieven.

Bij een DDoS-aanval wordt getracht de beschikbaarheid van een website of online dienst te onderbreken door de server te overspoelen met een grote hoeveelheid gelijktijdig verkeer. Dit type aanval richt zich op de externe toegankelijkheid van het platform. Hoewel de website hierdoor onbereikbaar kan worden, staat dit doorgaans los van de interne bankomgeving en de systemen waarin privacygevoelige gegevens zijn opgeslagen.

De vermeende aanval heeft betrekking op het domein nwbbank.com. NWB Bank is een belangrijke financier voor de Nederlandse publieke sector, waaronder waterschappen en decentrale overheden. Op het moment van de melding zijn er geen verdere feitelijke details naar buiten gebracht over de exacte omvang van de aanval of de specifieke motieven van de betrokken actoren.

De dreigingsactor Inteid heeft geclaimd verantwoordelijk te zijn voor het uitvoeren van Distributed Denial of Service-aanvallen op meerdere organisaties. Volgens informatie van een platform voor dreigingsanalyse zijn hierbij specifiek twee grote Nederlandse entiteiten als doelwit aangemerkt. Het betreft de betaaldienstverlener Buckaroo en het logistieke bedrijf PostNL N.V. Deze organisaties vervullen een belangrijke rol in respectievelijk het digitale betalingsverkeer en de postvoorziening binnen Nederland.

Naast de Nederlandse doelwitten claimt de actor ook een aanval te hebben uitgevoerd op het Oekraïense scholenportaal. Bij een DDoS-aanval wordt getracht de digitale bereikbaarheid van een organisatie te verstoren door servers te overbelasten met een grote hoeveelheid gelijktijdig verkeer. De claim van de actor is gericht op het verstoren van de online infrastructuur van deze specifieke bedrijven en instanties. Er is op dit moment geen verdere informatie beschikbaar over de exacte duur of de technische omvang van de geclaimde incidenten.

De Deense veiligheidssituatie wordt gekenmerkt door een significante toename van vijandige activiteiten in het digitale domein. In november werd het land getroffen door een reeks grootschalige cyberaanvallen die gericht waren op vitale overheidsinstellingen, defensie-gerelateerde ondernemingen en politieke organisaties. Deze gebeurtenissen hebben de discussie over nationale veiligheid en de noodzaak voor technologische defensie-innovatie in een stroomversnelling gebracht.

De Deense Militaire Inlichtingendienst (FE) heeft in officiële verklaringen vastgesteld dat de militaire dreiging vanuit Rusland tegen NAVO-lidstaten toeneemt. Hoewel een conventionele militaire aanval op Deens grondgebied momenteel niet als onmiddellijk dreigend wordt beschouwd, is er sprake van een structurele verschuiving in het dreigingsbeeld. De inlichtingendienst wijst erop dat cyberoperaties een integraal onderdeel vormen van deze verhoogde spanningen. Naast digitale aanvallen werden er recent ook meldingen gemaakt van ongeïdentificeerde drones in de nabijheid van militaire locaties en kritieke infrastructuur.

De geografische ligging van Denemarken is van doorslaggevend belang voor de regionale veiligheidsarchitectuur. De controle over het eiland Bornholm en daarmee de toegang tot de Oostzee wordt gezien als een strategisch ijkpunt. Daarnaast zorgt de klimaatverandering voor het toegankelijk worden van nieuwe maritieme routes in het noordpoolgebied. Denemarken beheert via Groenland de op twee na grootste exclusieve economische zone ter wereld en beschikt over een van de grootste civiele scheepvaartvloten. De beveiliging van deze logistieke ketens en de controle over maritieme routes worden beschouwd als fundamenten voor toekomstige economische en fysieke veiligheid.

Om deze uitdagingen het hoofd te bieden, verschuift Denemarken de focus naar de integratie van geavanceerde technologie in de defensiestrategie. Er wordt actief gezocht naar samenwerking met de Oekraïense defensiesector, specifiek vanwege hun opgedane expertise in asymmetrische en technologisch gedreven oorlogsvoering. De samenwerking is gericht op de ontwikkeling van kostenefficiënte wapensystemen en industriële automatisering. Hiermee beoogt Denemarken niet alleen de nationale defensie te versterken, maar ook de weerbaarheid tegen moderne hybride dreigingen te vergroten.

Bron 1

Het Chinese staatsbedrijf Norinco heeft technische specificaties vrijgegeven van de Hurricane 3000, een nieuw ontwikkeld wapensysteem dat gebruikmaakt van hoogvermogen microgolven om onbemande luchtvaartuigen uit te schakelen. Het systeem is specifiek ontworpen om zowel individuele lichte drones als complete zwermen te neutraliseren door de interne elektronica op afstand te vernietigen. Hoewel het wapen in september reeds zichtbaar was tijdens een militaire parade, zijn de operationele details nu pas door de ontwikkelaar toegelicht.

De Hurricane 3000 onderscheidt zich door een effectief bereik van drie kilometer. Hiermee beschikt het systeem over een groter bereik dan zijn voorganger, de Hurricane 2000, en het vergelijkbare Amerikaanse Leonidas-systeem, dat effectief is tot twee kilometer. Volgens experts van Norinco maakt deze actieradius het systeem geschikt voor meer dan alleen puntverdediging van specifieke objecten. Het kan hierdoor ook worden ingezet voor de beveiliging van grotere sectoren, zoals stedelijke gebieden, kustlijnen en grensregio's.

Het operationele proces van de Hurricane 3000 begint met detectie via radar, waarna optische sensoren de doelen nauwkeurig volgen. Zodra de positie is vastgelegd, zendt het systeem krachtige microgolven uit. Deze energiepulsen zorgen ervoor dat de elektronische circuits van de drones direct doorbranden, een methode die wordt geclassificeerd als 'hard kill'-technologie. Dit verschilt fundamenteel van 'soft kill'-methoden die signalen enkel verstoren. Een belangrijk tactisch voordeel van deze microgolftechnologie ten opzichte van laserwapens is de zogenoemde 'sweep-and-kill'-capaciteit. Waar lasers zich op één doel tegelijk moeten richten, kan de Hurricane 3000 meerdere drones binnen een bepaald gebied gelijktijdig uitschakelen.

Ten opzichte van eerdere generaties zijn de detectiesnelheid, tracking-precisie en de mate van automatisering verbeterd. De Hurricane 3000 is ontworpen om volledig autonoom te functioneren, maar kan ook worden gekoppeld aan andere defensiesystemen. In een gecombineerde opstelling werkt het systeem samen met laserwapens en traditionele artillerie om een gelaagde verdediging te vormen tegen luchtdreigingen.

Bron 1

De grootschalige stroomstoring die de Venezolaanse hoofdstad Caracas trof tijdens de Amerikaanse militaire operatie op 3 januari 2026, biedt een cruciaal referentiekader voor de inzet van hybride middelen tegen civiele infrastructuur. Terwijl speciale eenheden de stad binnenvielen voor de arrestatie van president Nicolás Maduro, werd de energievoorziening in vitale delen van de stad chirurgisch onderbroken. Na afloop van de missie werd de stroomvoorziening relatief snel hersteld. President Donald Trump verklaarde nadien dat de Verenigde Staten specifieke expertise hadden aangewend om de lichten in de hoofdstad tijdelijk uit te schakelen. Deze gebeurtenis illustreert hoe cybercapaciteiten, elektronische oorlogsvoering en fysieke operaties samensmelten om een specifiek operationeel voordeel te behalen.

De aard van de uitval wijst volgens technische experts niet op een toevallig falen van het elektriciteitsnet of op de inzet van willekeurige, destructieve malware. De storing was geografisch nauwkeurig afgebakend en tijdelijk van aard, wat duidt op een gecontroleerde en omkeerbare interventie. Hoewel er discussie is over het mogelijke gebruik van fysieke middelen zoals grafietbommen om kortsluiting te veroorzaken, ontbreekt hiervoor tot dusver onafhankelijk bewijs. Het patroon van de disruptie duidt eerder op een diepgaand begrip van de lokale netwerkinfrastructuur en de bijbehorende beheersystemen.

Deskundigen benadrukken dat een dergelijke operatie zelden rust op één enkel digitaal wapen. In plaats daarvan is er sprake van een gecoördineerde aanpak waarbij de minst complexe maar meest effectieve methoden worden gecombineerd. Dit omvat onder meer het manipuleren van internetroutering en het verstoren van telecommunicatieverbindingen om de informatievoorziening en coördinatie van de tegenpartij te belemmeren. Publieke data over internetroutering toonde al uren voor de fysieke inval onregelmatigheden die wijzen op uitgebreide digitale verkenning en het omleiden van dataverkeer.

Daarnaast wijzen analisten op het belang van menselijke inlichtingen en fysieke toegang in de aanloop naar de operatie. Het verkrijgen van inzicht in de werking van onderstations en de handmatige overrides binnen het energienetwerk is essentieel voor een succesvolle en gecontroleerde uitschakeling. Het incident in Caracas toont aan dat civiele infrastructuur in moderne conflicten fungeert als operationeel terrein. De moeilijkheid om dergelijke acties direct toe te schrijven aan cyberaanvallen, elektronische verstoring of fysieke sabotage maakt de verdediging van vitale infrastructuur in de toekomst tot een uiterst complexe uitdaging voor beveiligingsexperts wereldwijd.

Bron 1

De Amerikaanse regering evalueert momenteel de inzet van digitale en technologische instrumenten als reactie op de grootschalige internetblokkades en repressie in Iran. Terwijl het Iraanse regime tracht de landelijke protesten te beheersen door de digitale communicatie plat te leggen, verschuift de focus van de Verenigde Staten naar middelen die deze informatieblokkade kunnen doorbreken. Het herstellen van de internettoegang voor de Iraanse bevolking via satellietcommunicatie wordt hierbij als een serieuze optie beschouwd om de overheidscontrole op de informatiestroom te omzeilen.

De inzet van technologie zoals Starlink wordt nadrukkelijk genoemd als methode om burgers opnieuw van connectiviteit te voorzien in een omgeving waar de lokale infrastructuur door de autoriteiten is afgesloten. Volgens verklaringen vanuit de Amerikaanse administratie wordt er gekeken naar samenwerkingen om satellietinternet operationeel te krijgen in de regio. Deze stap is bedoeld om de huidige communicatie-blackout te beëindigen, waardoor het voor de buitenwereld en voor de lokale bevolking mogelijk wordt om informatie over de situatie op de grond te verspreiden.

Naast het herstellen van verbindingen adviseren specialisten op het gebied van buitenlands beleid om offensieve cyberoperaties in te zetten tegen het Iraanse staatsapparaat. Er wordt gepleit voor gerichte cyberaanvallen die specifiek bedoeld zijn om de surveillance- en censuursystemen van het regime uit te schakelen. Dergelijke operaties zouden de technische middelen waarmee de autoriteiten demonstranten opsporen en vervolgen direct kunnen verzwakken. Ook digitale interventies tegen de beveiligingsnetwerken van de Iraanse veiligheidsdiensten worden in dit kader genoemd als alternatief voor of aanvulling op fysieke maatregelen.

De situatie kenmerkt zich door een strijd om digitale controle, waarbij de Amerikaanse overheid aangeeft klaar te staan om in te grijpen als de gewelddadige repressie aanhoudt. Hoewel er sprake is van diplomatieke toenadering vanuit Tehran, blijft de Amerikaanse focus liggen op het creëren van technologische hefboomwerking. De nadruk op cybermiddelen en satellietcommunicatie onderstreept hoe digitale infrastructuur een centraal onderdeel is geworden van internationale politieke conflicten en de handhaving van informatiestromen in crisissituaties.

Bron 1

De aard van dreigingen van binnenuit bij organisaties heeft een significante transformatie ondergaan. Waar beveiligingsstrategieën zich traditioneel richtten op ontevreden medewerkers of nalatige contractanten, wordt de digitale infrastructuur nu in toenemende mate bedreigd door externe actoren die onder valse voorwendselen worden aangenomen. Deze tactiek wordt specifiek toegeschreven aan de Democratische Volksrepubliek Korea (DPRK). Volgens schattingen van experts van de Verenigde Naties en internationale wetshandhavingsinstanties genereert het regime in Pyongyang jaarlijks circa 600 miljoen dollar via een geavanceerd netwerk van externe werknemers die posities bekleden bij westerse ondernemingen.

Uit analyses van beveiligingsonderzoekers blijkt dat de DPRK doorgaans twee verschillende operationele methoden hanteert om organisaties binnen te dringen. De eerste variant betreft het plaatsen van infiltranten voor de lange termijn in legitieme IT-functies. Deze personen functioneren maandenlang als reguliere medewerkers, terwijl ze op de achtergrond toegang tot systemen veiligstellen en inkomsten genereren voor het regime. De tweede variant maakt gebruik van fictieve entiteiten die legitieme softwarebedrijven nabootsen. Deze nepbedrijven zijn opgezet om bekwame professionals naar sollicitatiegesprekken te lokken, met als doel hun systemen te compromitteren door middel van kwaadaardige code.

De technische uitvoering van deze infiltraties legt kwetsbaarheden in standaard wervingsprocessen bloot. De aanvallers weten identiteitscontroles te omzeilen door gebruik te maken van gestolen burgerservicenummers en geavanceerde, door AI aangedreven deepfake-technologie tijdens video-interviews. Hierdoor falen traditionele verificatiemethoden die enkel gebaseerd zijn op documentatie en visuele inspectie.

Eenmaal aangenomen, hanteren de operatieven complexe technieken om hun werkelijke locatie te maskeren en detectie te voorkomen. Hoewel beveiligingsteams vaak vertrouwen op IP-geolocatie, omzeilen deze actoren dergelijke controles door netwerkverkeer te routeren via fysieke apparaten die daadwerkelijk in de Verenigde Staten zijn opgesteld. Het gebruik van deze zogenoemde laptopfarms zorgt ervoor dat het verkeer afkomstig lijkt van residentiële adressen in plaats van datacenters. Bovendien doorstaan deze fysieke apparaten controles op MAC-adressen en hardware-integriteit, controles die bij het gebruik van virtuele machines vaak alarmbellen doen afgaan.

De gevolgen van deze infiltraties zijn aanzienlijk voor getroffen organisaties. Naast directe financiële schade riskeren bedrijven het onomkeerbare verlies van intellectueel eigendom en schending van internationale sanctiewetgeving. Tevens installeren deze actoren vaak achterdeurtjes die toegang verschaffen aan door de staat gesponsorde hackgroepen, wat noodzaakt tot kostbare en uitgebreide audits van de volledige IT-infrastructuur.

Bron 1

Op 13 januari 2026 is er melding gemaakt van een geclaimde cyberaanval gericht op de webinfrastructuur van de Belgische stad Ronse. De groepering die opereert onder de naam BD Anonymous heeft aangegeven de website ronse.be als doelwit te hebben gekozen voor een Distributed Denial of Service aanval.

In het bericht wordt gesteld dat de website het doelwit was van de aanval. Uit verificatie op het moment van de melding bleek echter dat de website van de stad Ronse functioneel en toegankelijk was. De technische waarneming bevestigt dat de claim van de aanvallers op dat specifieke tijdstip niet resulteerde in een zichtbare onderbreking van de dienstverlening.

De Amerikaanse president Donald Trump heeft dinsdag een strategische bijeenkomst belegd om de reactie van de Verenigde Staten op de situatie in Iran te formaliseren. Centraal in dit overleg staat de keuze tussen conventionele militaire middelen, zoals luchtbombardementen en langeafstandsraketten, en de inzet van offensieve cyberoperaties en psychologische oorlogsvoering. Deze overweging volgt op berichten over aanhoudende repressie en protesten binnen de Islamitische Republiek, waarbij digitale oorlogsvoering expliciet als vergeldingsoptie op tafel ligt.

Naast de mogelijke digitale of fysieke vergelding heeft de Amerikaanse regering de economische druk reeds opgevoerd als onderdeel van de bredere strategie. President Trump kondigde maandag een handelstarief van 25 procent aan voor elk land dat zakelijke betrekkingen onderhoudt met het Iraanse regime. Deze economische maatregelen dienen als voorloper op de definitieve besluitvorming over de inzet van kinetische of cybernetische wapens.

Ondanks de verharde opstelling en de voorbereiding op escalatie hebben zowel Washington als Teheran aangegeven de diplomatieke route nog niet volledig te willen sluiten. De veiligheidssituatie wordt echter als precair beoordeeld; Amerikaanse staatsburgers in Iran zijn dringend opgeroepen het land te verlaten. De spanningen worden verder gekenmerkt door directe waarschuwingen, waarbij een Amerikaanse senator de Iraanse leider Khamenei wees op de dreiging van drones.

Bron 1: El Mundo, Bron 2: Walla!, Bron 3: Ground News

De netwerkinfrastructuur in Iran ondervindt momenteel een aanhoudende en grootschalige verstoring, waardoor het land inmiddels 120 uur nagenoeg volledig is afgesloten van het wereldwijde internet. Volgens actuele metingen van het internetobservatorium NetBlocks is het grote publiek hierdoor verstoken van digitale connectiviteit met de buitenwereld.

Hoewel technische analyses aantonen dat sommige telefonische verbindingen inmiddels weer sporadisch tot stand komen, blijft de toegang tot veilige en versleutelde communicatiekanalen geblokkeerd. Dit maakt het voor burgers nagenoeg onmogelijk om verifieerbare informatie naar buiten te brengen of veilig te communiceren. De beperkte data en beelden die ondanks de blokkade het land verlaten, duiden op een inzet van uitgebreid geweld tegen de burgerbevolking.

Naast de blokkade van regulier internetverkeer zijn er technische indicaties die wijzen op pogingen om alternatieve communicatiemethoden, zoals satellietverbindingen, te verstoren. Deze langdurige afsluiting wordt door experts beschouwd als een ernstige inbreuk op de digitale informatievrijheid en bemoeilijkt het onafhankelijk verifiëren van de situatie ter plaatse aanzienlijk.

Bron 1

Op 13 januari 2026 hebben live netwerkmetingen een grootschalige verstoring van de internetverbindingen in Oeganda bevestigd. De uitval treft het gehele nationale netwerk en vindt plaats twee dagen voor de algemene verkiezingen van 15 januari. Deze technische ingreep volgt op een officiële instructie van de Uganda Communications Commission (UCC) om de toegang tot internetdiensten te beperken. Als formele reden voor de maatregel wordt het beheersen van desinformatie en het waarborgen van de nationale veiligheid tijdens de verkiezingsperiode aangevoerd.

De vastgestelde blokkade vormt een breuk met eerdere toezeggingen van de Oegandese overheid. Op 5 januari 2021 verklaarden vertegenwoordigers van het Ministerie van ICT en de UCC nog dat er geen plannen waren voor een internetstop en noemden zij berichten hierover misleidend. Op 13 januari werd echter bekend dat de UCC, op advies van de nationale veiligheidsdiensten, de toegang tot sociale media, webbrowsing en berichtendiensten heeft opgeschort. Infrastructuur voor vitale sectoren zoals het bankwezen en de luchtvaart is volgens de autoriteiten buiten de blokkade gehouden.

Onderzoeksdata van onafhankelijke monitoringinstanties tonen aan dat de connectiviteit op landelijk niveau is geminimaliseerd. De huidige restricties passen in een patroon van eerdere interventies tijdens politiek gevoelige momenten in het land. Naast de algehele internetstop werd eerder deze maand ook al de dienstverlening van satelliet-internetproviders zoals Starlink in Oeganda stopgezet op last van de toezichthouder. Experts wijzen erop dat deze gecoördineerde acties de informatiestroom naar de burgerbevolking op een kritiek moment in het democratische proces beperken.

Bron 1

Een officieel onderzoeksrapport naar de recente blackout bij de Griekse luchtverkeersleiding heeft aangetoond dat de storing niet het gevolg was van een cyberaanval. De bevindingen van de auditoren sluiten digitale sabotage of externe inmenging definitief uit als oorzaak van de systeemuitval in het luchtruim boven Athene.

Olga Toki, vicevoorzitter van de vereniging van luchtverkeersleiders, heeft naar aanleiding van het rapport verklaard dat de audit de eerdere vermoedens van de experts heeft bevestigd. Waar in de periode direct na het incident gespeculeerd werd over een gerichte cyberoperatie of andere externe factoren, wijst het feitelijke bewijsmateriaal nu uit dat de oorzaak binnen de eigen technische infrastructuur ligt.

De uitkomsten van het onderzoek leggen de nadruk op de staat van de interne systemen en het beheer daarvan. Door het uitsluiten van een cyberaanval is de aandacht verschoven naar de structurele tekortkomingen in de kritieke infrastructuur die het luchtverkeer moet reguleren. De vakbond voor luchtverkeersleiders benadrukt dat het rapport de noodzaak aantoont van een betrouwbaar systeembeheer om de veiligheid van het luchtruim te waarborgen.

Er wordt nu gekeken naar de verantwoordelijke instanties voor de afhandeling van deze technische gebreken. De publicatie van de bevindingen heeft binnen de sector geleid tot een roep om maatregelen tegen degenen die verantwoordelijk zijn voor de operationele staat van de systemen ten tijde van de blackout.

Bron 1

De commissie voor Binnenlandse Veiligheid van het Amerikaanse Huis van Afgevaardigden is op de ochtend van dinsdag 13 januari 2026 samengekomen voor een evaluatie van de nationale cybercapaciteiten. De zitting was specifiek gericht op het beoordelen van methoden om kwaadaardige buitenlandse activiteiten die gericht zijn op de Amerikaanse infrastructuur af te schrikken en actief te verstoren.

Tijdens deze bijeenkomst stond het concept 'verdediging door aanval' centraal. De commissie onderzocht hoe de Verenigde Staten hun aanpak van offensieve cyberoperaties kunnen versterken binnen een breder nationaal veiligheidskader. Hierbij werd gekeken naar de operationele, juridische en beleidsmatige kaders die deze activiteiten reguleren. Het doel is om proactiever op te treden tegen dreigingen van statelijke actoren zoals China, Rusland en Iran, die steeds vaker vitale netwerken viseren.

Naast de offensieve mogelijkheden werd ook de noodzaak besproken voor een verbeterde coördinatie tussen overheidsinstanties en de private sector. Deskundigen benadrukten tijdens hun getuigenis dat alleen defensieve maatregelen niet langer volstaan in het huidige geopolitieke klimaat. De hoorzitting diende om vast te stellen hoe de Amerikaanse overheid een leidende rol kan behouden in het verstoren van vijandige digitale infrastructuren voordat deze schade kunnen toebrengen aan de nationale veiligheid.

Bron 1

De Poolse minister van Energie, Miłosz Motyka, heeft op dinsdag 13 januari 2026 bevestigd dat het nationale elektriciteitssysteem recent het doelwit is geweest van een grootschalige cyberaanval. Het incident vond plaats in de laatste week van december 2025 en wordt door de bewindsman omschreven als de zwaarste aanval op de energievoorziening in jaren. De autoriteiten zijn erin geslaagd de digitale aanval af te slaan, waardoor de operationele continuïteit van de stroomvoorziening gewaarborgd bleef.

Volgens het ministerie onderscheidde deze aanvalsvlaag zich door een veranderd patroon ten opzichte van eerdere incidenten. De focus van de aanvallers lag specifiek op de installaties voor hernieuwbare energie en in mindere mate op warmte-krachtkoppelingscentrales. Motyka sprak van een nieuw type aanval dat gericht was op het ontregelen van deze specifieke onderdelen van de kritieke infrastructuur. Ondanks de intensiteit van de poging hebben de beveiligingssystemen effectief gefunctioneerd.

Hoewel de minister geen technische details heeft vrijgegeven over de gebruikte methodieken of specifieke kwetsbaarheden, verklaarde hij dat de Poolse autoriteiten op de hoogte zijn van de identiteit van de verantwoordelijke actoren. De aanval wordt beschouwd als een ernstige test voor de weerbaarheid van het Poolse energienetwerk. De overheid benadrukt dat de bescherming van vitale infrastructuur onverminderd prioriteit heeft, mede gezien de strategische ligging van het land en de aanhoudende digitale dreigingen in de regio.

Bron 1

Met de aanstelling van Mykhailo Fedorov als minister van Defensie op woensdag 14 januari 2026, kiest Oekraïne voor een koers waarbij digitale expertise centraal staat in de militaire strategie. De 34-jarige Fedorov, die de afgelopen zes jaar de digitalisering van de Oekraïense overheid leidde, krijgt de opdracht om de krijgsmacht te transformeren door middel van automatisering, kunstmatige intelligentie en cyberoperaties. Zijn aantreden markeert een formele integratie van technologische innovatie binnen de traditionele defensiestructuur.

Strategische integratie van cybercapaciteiten

De nieuwe minister heeft bij zijn aantreden in het parlement expliciet de prioriteit gelegd bij het uitbouwen van digitale offensieven. Fedorov verklaarde dat Oekraïne de capaciteit voor asymmetrische aanvallen en cyberoperaties tegen de vijandelijke infrastructuur en economie substantieel zal versterken. Deze benadering is gericht op het creëren van een technologische voorsprong waarbij de digitale component wordt ingezet om fysieke en numerieke nadelen op het slagveld te neutraliseren.

Autonome systemen en kunstmatige intelligentie

Onderdeel van de nieuwe defensiestrategie is de grootschalige inzet van kunstmatige intelligentie (AI) in onbemande systemen. Oekraïne heeft systemen ontwikkeld die in staat zijn om volledig autonoom op een doelwit af te navigeren. Deze technologie is specifiek ontworpen om operationeel te blijven in omgevingen waar elektronische oorlogsvoering (jamming) het contact tussen de menselijke operator en het systeem verbreekt. Fedorov stelt dat de inzet van robots en geautomatiseerde technologie direct bijdraagt aan het verminderen van menselijke verliezen aan het front.

Technologische ontwikkelingen en interceptie

De technische agenda van het ministerie omvat de verdere ontwikkeling van gespecialiseerde systemen:

• Maritieme technologie: De verdere inzet en optimalisatie van de "Sea Baby" drones voor operaties op zee.
• Langeafstandssystemen: De productie van de "Flamingo", een grondgebonden kruisraket met een bereik van 3.000 kilometer.
• Luchtverdediging: Het bouwen van een systeem dat in staat is om inkomende dreigingen, waaronder de Russische hypersonische "Oreshnik" raketten, te bestrijden. Hierbij ligt de nadruk op de productie van goedkope onderscheppingsdrones die zwermen vijandelijke drones onschadelijk kunnen maken.

Audit en technologische cycli

Fedorov heeft aangekondigd onmiddellijk een audit uit te voeren binnen het ministerie van Defensie om budgettaire tekorten en inefficiënties aan te pakken. Een kernonderdeel van zijn beleid is het verkorten van de technologische cyclus, waarbij innovaties uit de tech-sector sneller moeten worden vertaald naar inzetbare militaire middelen. Door zijn achtergrond in de digitale sector wordt verwacht dat hij de bureaucratie rondom technologische inkoop zal minimaliseren om de technologische voorsprong op Rusland te behouden of te vergroten.

Bron 1

De Iraanse autoriteiten hebben in de eerste weken van 2026 een nagenoeg volledige internetblokkade afgedwongen als reactie op de aanhoudende burgerprotesten in alle 31 provincies van het land. Sinds 8 januari 2026 is de digitale toegang stelselmatig afgesloten, waarbij de connectiviteit in grote delen van het land is teruggevallen tot een kritiek minimum. Deze maatregel is ingezet om de verspreiding van informatie over het gewelddadige optreden van veiligheidstroepen en de coördinatie tussen demonstranten te verhinderen. Monitoringorganisaties bevestigen dat de huidige blackout een van de meest ingrijpende vormen van digitale repressie is die het land tot nu toe heeft gekend.

Centraal in deze operaties staat de Islamitische Revolutionaire Garde (IRGC), die niet alleen de fysieke repressie uitvoert, maar ook een directe controlerende rol heeft over de nationale inlichtingendiensten en de technische communicatie-infrastructuur. De Europese Unie en de Verenigde Staten onderzoeken momenteel juridische kaders om de IRGC officieel op de terroristenlijst te plaatsen. Een dergelijke classificatie zou leiden tot het bevriezen van digitale activa en het blokkeren van financiële stromen die door de organisatie worden gebruikt voor zowel binnenlandse surveillance als internationale operaties.

De digitale afsluiting heeft geleid tot een internationale roep om het verstrekken van alternatieve verbindingsmiddelen, zoals satellietinternet, om de informatieblokkade te doorbreken. Ondertussen hebben de Iraanse autoriteiten cyberoperaties geïntensiveerd om de verspreiding van beelden van de protesten tegen te gaan en kritische digitale kanalen te verstoren. De situatie wordt verergerd door de blokkade van sociale mediaplatforms en berichtenapps, waardoor de burgerbevolking nagenoeg volledig is afgesneden van het wereldwijde web.

Naast de binnenlandse repressie is er internationaal verhoogde aandacht voor de technologische en militaire samenwerking tussen Iran en Rusland. Recente rapporten wijzen uit dat Teheran sinds eind 2021 voor meer dan vier miljard dollar aan militaire goederen heeft geleverd aan Moskou, waaronder geavanceerde drones en raketsystemen. Nu de geopolitieke spanningen escaleren en de Amerikaanse president Trump heeft gedreigd met interventie, neemt de vrees voor digitale confrontaties toe. De focus van internationale veiligheidsexperts ligt hierbij op het monitoren van mogelijke cyberdreigingen vanuit staatstactoren gericht op vitale infrastructuren in het Westen.

Bron 1

Het Amerikaanse ruimtevaartbedrijf SpaceX heeft de abonnementskosten voor de Starlink-satellietinternetdienst in Iran laten vallen. Volgens activisten is deze stap gezet om demonstranten te ondersteunen bij het delen van informatie over de aanhoudende landelijke protesten. De maatregel volgt op een volledige blokkade van telecommunicatie en internet door de Iraanse overheid, die op 8 januari werd ingesteld naar aanleiding van groeiende onrust over de verslechterende economie en de val van de nationale munteenheid.

Hoewel SpaceX de beslissing niet officieel heeft aangekondigd, melden betrokkenen dat Starlink sinds dinsdag gratis toegankelijk is voor iedereen in Iran die over de benodigde ontvangers beschikt. Daarnaast zou het bedrijf een firmware-update hebben gepusht om pogingen van de Iraanse overheid om satellietsignalen te storen te omzeilen. Deze technologische ondersteuning wordt door activisten als cruciaal gezien, omdat het demonstranten in staat stelt beelden van het gewelddadige optreden van veiligheidstroepen naar de buitenwereld te sturen. Sinds het uitbreken van de demonstraties op 28 december is het dodental volgens mensenrechtenorganisaties opgelopen tot meer dan 2.500 personen.

De inzet van Starlink in Iran is niet zonder risico's. De apparatuur is door de lokale autoriteiten verboden en nooit officieel goedgekeurd voor import of gebruik. Gebruikers riskeren beschuldigingen van spionage, wat in Iran kan leiden tot de doodstraf. Desondanks zijn er naar schatting al meer dan 50.000 eenheden het land binnengesmokkeld sinds de eerdere protesten in 2022. Gebruikers nemen uitgebreide voorzorgsmaatregelen, zoals het gebruik van VPN-verbindingen om hun IP-adressen te verbergen en het fysiek camoufleren van de satellietontvangers om detectie door de autoriteiten te voorkomen.

Bron

Iran heeft maatregelen genomen om de toegang tot het internet via Starlink fors te beperken. Dit komt te midden van massale protesten in het land, waar de overheid al geruime tijd een strikte internetblokkade hanteert. Starlink, de satellietinternetdienst van Elon Musk, werd door veel Iraniërs gebruikt om deze blokkades te omzeilen. Er zijn naar schatting 50.000 tot 100.000 Starlink-terminals het land binnengesmokkeld, en de service was tijdelijk gratis beschikbaar voor de bevolking.

Echter, volgens rapporten van Iranwire, een collectief van gevluchte Iraanse dissidenten, maakt de Iraanse regering gebruik van geavanceerde verstoringstechnieken om het Starlink-signaal te blokkeren. Dit gebeurt vermoedelijk met ondersteuning van Rusland of China. Onderzoekers hebben militaire jammers geïdentificeerd die op de satellieten gericht zijn, waardoor in de eerste uren na de blokkade 30% van al het Starlink-verkeer werd verstoord. Dit percentage steeg al snel naar 80%.

Het gebruik van dergelijke geavanceerde technologie is ongekend in Iran. Onderzoeker Amir Rashidi verklaart dat deze aanpak mogelijk gebruik maakt van geavanceerde technologie afkomstig uit Rusland, China, of Iran zelf. Hij benadrukt dat dergelijke verstoringen niet alleen het gevolg zijn van gps-signaalstoringen, maar een complexere technische ingreep vereisen. Ondanks eerdere blokkades, zoals in de zomer van 2025 tijdens een conflict met Israël, bleef Starlink destijds grotendeels operationeel.

Channel 4 brengt de situatie in verband met de Russische militaire technologie, vergelijkbaar met de technologie die Rusland gebruikt in hun technologische strijd met Oekraïne, waar Starlink een cruciale rol speelt. Het Russische leger zou dergelijke technologie inzetten vanuit vrachtwagens vol geavanceerde apparatuur om verbindingen in een groot gebied te verstoren.

De huidige situatie in Iran, waarbij de internettoegang stevig onder druk staat, heeft ertoe geleid dat er weinig informatie naar buiten komt over de protesten. Desalniettemin duiden de schaarse beelden en berichten op gewelddadige onderdrukking van demonstranten door de Iraanse autoriteiten. De schattingen van het aantal slachtoffers door deze repressieve maatregelen zijn opgelopen tot boven de 2500.

Bron

De Poolse premier Donald Tusk heeft op donderdag 15 januari 2026 bekendgemaakt dat er sterke aanwijzingen zijn dat een groep verbonden aan de Russische geheime diensten verantwoordelijk is voor een grootschalige cyberaanval op de Poolse energie-infrastructuur. De aanval vond plaats tijdens de kerstperiode in december en had als doel de communicatie tussen installaties voor hernieuwbare energie en distributienetbeheerders te verstoren. Volgens de Poolse regering kon een landelijke blackout ternauwernood worden voorkomen door tijdig ingrijpen.

De Poolse minister van Digitale Zaken en vicepremier Krzysztof Gawkowski omschreef het incident als de grootste aanval op de energiesector in de afgelopen jaren. De sabotage duidt volgens de Poolse autoriteiten op een verschuiving in de strategie van aanvallers, waarbij de focus is verplaatst van conventionele energiecentrales naar de communicatiesystemen van duurzame energiebronnen. In de eerste drie kwartalen van 2025 werden er in Polen reeds 170.000 cyberincidenten geregistreerd die door de overheid in verband worden gebracht met door Rusland gesteunde actoren.

De Poolse regering beschouwt de digitale oorlogsvoering als een direct gevolg van de toenemende spanningen en een veranderend strijdtoneel waarin infrastructuur vaker het doelwit is. Hoewel de Poolse autoriteiten de aanval officieel hebben toegeschreven aan Rusland, is er vanuit Moskou nog geen reactie gekomen op de beschuldigingen. Minister van Energie Miłosz Motyka benadrukte dat de aanval specifiek gericht was op het destabiliseren van het land door de stroomvoorziening te saboteren.

Bron

Het Chinese Volksbevrijdingsleger (PLA) heeft bekendgemaakt dat het momenteel meer dan tien experimentele instrumenten voor cyberoorlogsvoering op basis van kwantumtechnologie ontwikkelt. Volgens het staatsmedium Science and Technology Daily worden veel van deze nieuwe tools al actief getest tijdens missies in de frontlinie. Deze onthulling markeert een significante stap in de integratie van geavanceerde kwantumtoepassingen binnen operationele militaire strategieën en inlichtingendiensten.

Het project staat onder leiding van een laboratorium voor supercomputing aan de National University of Defence Technology. Deze instelling heeft bevestigd dat een recent prototype, met een gewicht van ongeveer drie kilogram, succesvol signalen heeft ontvangen over afstanden van tientallen kilometers. Tijdens recente veldoefeningen bleek het apparaat in staat tot het real-time decoderen van informatie. De focus van deze ontwikkeling ligt op het verzamelen van hoogwaardige militaire inlichtingen uit de publieke digitale ruimte en het ontwikkelen van geavanceerde navigatie- en stealth-detectiesystemen die aansluiten bij nationale veiligheidsdoelen.

Naast de inlichtingentools testen grenseenheden momenteel wat wordt omschreven als 's werelds eerste draagbare kwantumradio. Na succesvolle proeven in de Saibei-graslanden ten noorden van de Chinese Muur, wordt deze technologie ingezet ter ondersteuning van noodcommunicatie. De kwantumradio is specifiek ontworpen om te functioneren in uitdagende omgevingen zoals valleien en dichte bossen, waar standaard communicatiesystemen vaak falen.

De ontwikkelingen blijven niet onopgemerkt in de internationale veiligheidsgemeenschap. Een rapport van een Amerikaanse commissie merkte op dat kwantumtechnologieën de toekomst van detectie, encryptie en dataveiligheid ingrijpend zullen veranderen. Zowel China als de Verenigde Staten investeren zwaar in deze sector, waarbij China gebruikmaakt van gecentraliseerde financiering om de technologische vooruitgang te versnellen en een strategisch voordeel te behalen in het informatiedomein.

Bron

Cisco heeft een patch uitgebracht voor een zero-day kwetsbaarheid met maximale ernst, aangeduid als CVE-2025-20393, in Cisco AsyncOS. Deze kwetsbaarheid werd sinds november 2025 misbruikt in aanvallen op Secure Email Gateway (SEG) en Secure Email en Web Manager (SEWM) apparaten.

De kwetsbaarheid bevindt zich in Cisco SEG en Cisco SEWM apparaten met niet-standaard configuraties, waarbij de Spam Quarantine functie is ingeschakeld en via het internet toegankelijk is. Door een gebrekkige inputvalidatie kunnen aanvallers willekeurige commando's uitvoeren met root-privileges op het onderliggende besturingssysteem van een getroffen apparaat.

Cisco heeft gedetailleerde instructies gepubliceerd voor het upgraden van kwetsbare apparaten naar een beveiligde softwareversie in een security advisory.

Cisco Talos, het team voor dreigingsinformatie van het bedrijf, vermoedt dat een Chinese hackinggroep, die ze volgen onder de naam UAT-9686, verantwoordelijk is voor de aanvallen waarbij de kwetsbaarheid wordt misbruikt. De aanvallers voeren willekeurige commando's uit met root-privileges.

Tijdens het onderzoek naar de aanvallen heeft Cisco Talos vastgesteld dat de aanvallers AquaShell persistent backdoors, AquaTunnel en Chisel reverse-SSH tunnel malware implantaten en de AquaPurge log-clearing tool inzetten om sporen van hun kwaadaardige activiteiten te wissen.

AquaTunnel en andere kwaadaardige tools die in deze campagne zijn ingezet, zijn in het verleden ook in verband gebracht met andere Chinese, door de staat gesteunde dreigingsgroepen, zoals APT41 en UNC5174.

Cisco Talos schat in dat UAT-9686 een Chinese APT-actor (advanced persistent threat) is, wiens toolgebruik en infrastructuur overeenkomen met andere Chinese dreigingsgroepen. De groep zet een custom persistentie mechanisme in, bekend als AquaShell, samen met tooling voor reverse tunneling en het verwijderen van logs.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-20393 op 17 december 2025 toegevoegd aan de catalogus van bekende, misbruikte kwetsbaarheden. Federale agentschappen werden opgedragen hun systemen binnen een week te beveiligen volgens de richtlijnen van Cisco, uiterlijk 24 december 2025, zoals vastgelegd in Binding Operational Directive (BOD) 22-01.

CISA adviseert om de richtlijnen van Cisco te volgen om de blootstelling te beoordelen en risico's te beperken. Er moet gecontroleerd worden op tekenen van mogelijke compromittering op alle internettoegankelijke Cisco-producten die door deze kwetsbaarheid worden getroffen. Alle definitieve maatregelen die door de leverancier worden verstrekt, moeten zo snel mogelijk worden toegepast. CISA benadrukt dat dit soort kwetsbaarheden vaak worden gebruikt door kwaadwillende cyberactoren en aanzienlijke risico's vormen.

Bron

Beveiligingsexperts hebben details onthuld over een nieuwe campagne die zich richt op Amerikaanse overheids- en beleidsinstanties met behulp van politiek getinte lokmiddelen om een backdoor te leveren die bekend staat als LOTUSLITE.

De gerichte malwarecampagne maakt gebruik van afleidingsmanoeuvres die verband houden met de recente geopolitieke ontwikkelingen tussen de VS en Venezuela om een ZIP-archief ("US now deciding what's next for Venezuela.zip") te verspreiden dat een kwaadaardige DLL bevat die wordt gestart met behulp van DLL side-loading technieken. Het is niet bekend of de campagne erin is geslaagd een van de doelwitten succesvol te compromitteren.

De activiteit is met een redelijke mate van zekerheid toegeschreven aan een door de Chinese staat gesteunde groep die bekend staat als Mustang Panda (ook bekend als Earth Pret, HoneyMyte en Twill Typhoon), waarbij tactische en infrastructurele patronen worden aangehaald. Het is vermeldenswaardig dat de dreigingsactor erom bekend staat in hoge mate te vertrouwen op DLL side-loading om zijn backdoors te lanceren, waaronder TONESHELL.

"Deze campagne weerspiegelt een voortdurende trend van gerichte spear phishing met behulp van geopolitieke lokmiddelen, waarbij de voorkeur wordt gegeven aan betrouwbare uitvoeringstechnieken zoals DLL side-loading boven op exploits gebaseerde initiële toegang," aldus Acronis-onderzoekers Ilia Dafchev en Subhajeet Singha in een analyse.

De backdoor ("kugou.dll") die in de aanval wordt gebruikt, LOTUSLITE, is een op maat gemaakte C++ implant die is ontworpen om te communiceren met een hard-gecodeerde command-and-control (C2) server met behulp van Windows WinHTTP API's om beaconing activiteit, remote tasking met behulp van "cmd.exe" en data exfiltratie mogelijk te maken. De volledige lijst met ondersteunde commando's is als volgt:

0x0A, om een remote CMD shell te initiëren
0x0B, om de remote shell te beëindigen
0x01, om commando's via de remote shell te verzenden
0x06, om de beacon status te resetten
0x03, om bestanden in een map op te sommen
0x0D, om een leeg bestand te creëren
0x0E, om gegevens aan een bestand toe te voegen
0x0F, om de beacon status op te halen

LOTUSLITE is ook in staat persistentie te vestigen door Windows Registry aanpassingen aan te brengen om ervoor te zorgen dat het automatisch wordt uitgevoerd telkens wanneer de gebruiker zich aanmeldt bij het systeem.

Acronis zei dat de backdoor "de gedragsmatige streken van Claimloader nabootst door provocerende berichten in te bedden." Claimloader is de naam die is toegewezen aan een DLL die wordt gestart met behulp van DLL side-loading en wordt gebruikt om PUBLOAD te implementeren, een ander hulpprogramma van Mustang Panda. De malware werd voor het eerst gedocumenteerd door IBM X-Force in juni 2025 in verband met een cyberespionagecampagne gericht op de Tibetaanse gemeenschap.

"Deze campagne laat zien hoe simpele en goed geteste technieken nog steeds effectief kunnen zijn in combinatie met gerichte levering en relevante geopolitieke lokmiddelen," concludeerde het Singaporese cybersecuritybedrijf. "Hoewel de LOTUSLITE backdoor geen geavanceerde ontwijkingsfuncties heeft, weerspiegelt het gebruik van DLL side-loading, een betrouwbare uitvoeringsflow en basis command-and-control functionaliteit een focus op operationele betrouwbaarheid in plaats van verfijning."

De onthulling komt op het moment dat The New York Times details publiceerde over een vermeende cyberaanval uitgevoerd door de VS om de elektriciteit voor de meeste inwoners van de hoofdstad Caracas enkele minuten te verstoren, voorafgaand aan de militaire operatie van 3 januari 2026 waarbij de Venezolaanse president Nicolás Maduro werd gevangengenomen.

"Het uitschakelen van de stroom in Caracas en het storen van radar stelde Amerikaanse militaire helikopters in staat om onopgemerkt het land binnen te vliegen tijdens hun missie om Nicolás Maduro, de Venezolaanse president die nu naar de Verenigde Staten is gebracht om terecht te staan voor drugsmisdrijven, gevangen te nemen," meldde de Times.

"De aanval zorgde ervoor dat de meeste inwoners van Caracas enkele minuten zonder stroom kwamen te zitten, hoewel sommige buurten in de buurt van de militaire basis waar Maduro werd gevangengenomen tot 36 uur zonder elektriciteit zaten."

Bron

Sinds minstens vorig jaar richt een dreigingsactor, vermoedelijk gelieerd aan China, zich op kritieke infrastructuursectoren in Noord-Amerika.

Cisco Talos, die de activiteit volgt onder de naam UAT-8837, schat in dat het om een Chinese advanced persistent threat (APT) actor gaat, met een middelmatig betrouwbaarheidsniveau gebaseerd op tactische overeenkomsten met andere campagnes van dreigingsactoren uit die regio.

Het cybersecuritybedrijf merkte op dat de dreigingsactor "voornamelijk belast is met het verkrijgen van initiële toegang tot hoogwaardige organisaties," op basis van de waargenomen tactieken, technieken en procedures (TTP's) en post-compromisactiviteit.

"Na het verkrijgen van initiële toegang - hetzij door succesvolle exploitatie van kwetsbare servers, hetzij door gebruik te maken van gecompromitteerde inloggegevens - zet UAT-8837 voornamelijk open-source tools in om gevoelige informatie te verzamelen, zoals inloggegevens, beveiligingsconfiguraties en domein- en Active Directory (AD) informatie om meerdere toegangskanalen tot hun slachtoffers te creëren," voegde het bedrijf eraan toe.

UAT-8837 zou recentelijk een kritieke zero-day kwetsbaarheid in Sitecore (CVE-2025-53690, CVSS score: 9.0) hebben geëxploiteerd om initiële toegang te verkrijgen. De inbraak vertoont overeenkomsten in TTP's, tooling en infrastructuur met een campagne die in september 2025 door Mandiant (Google) werd beschreven.

Hoewel het onduidelijk is of deze twee clusters het werk zijn van dezelfde actor, suggereert het dat UAT-8837 mogelijk toegang heeft tot zero-day exploits om cyberaanvallen uit te voeren.

Zodra de aanvaller voet aan de grond krijgt in doelnetwerken, voert hij voorlopige verkenningen uit, gevolgd door het uitschakelen van RestrictedAdmin voor Remote Desktop Protocol (RDP), een beveiligingsfunctie die ervoor zorgt dat inloggegevens en andere gebruikersbronnen niet worden blootgesteld aan gecompromitteerde externe hosts.

UAT-8837 opent ook "cmd.exe" om hands-on keyboard activiteit uit te voeren op de geïnfecteerde host en downloadt verschillende artefacten om post-exploitatie mogelijk te maken. Enkele van de opmerkelijke tools zijn:

GoTokenTheft, om toegangstokens te stelen
EarthWorm, om een reverse tunnel te creëren naar door de aanvaller gecontroleerde servers met behulp van SOCKS
DWAgent, om persistente remote access en Active Directory verkenning mogelijk te maken
SharpHound, om Active Directory informatie te verzamelen
Impacket, om commando's uit te voeren met verhoogde privileges
GoExec, een Golang-gebaseerde tool om commando's uit te voeren op andere verbonden remote endpoints binnen het netwerk van het slachtoffer
Rubeus, een C#-gebaseerde toolset voor Kerberos interactie en misbruik
Certipy, een tool voor Active Directory discovery en misbruik

"UAT-8837 kan een reeks commando's uitvoeren tijdens de inbraak om gevoelige informatie te verkrijgen, zoals inloggegevens van slachtofferorganisaties," aldus onderzoekers Asheer Malhotra, Vitor Ventura en Brandon White.

"In één slachtofferorganisatie heeft UAT-8837 DLL-gebaseerde shared libraries met betrekking tot de producten van het slachtoffer geëxfiltreerd, waardoor de mogelijkheid ontstaat dat deze libraries in de toekomst getrojaniseerd kunnen worden. Dit creëert mogelijkheden voor supply chain compromissen en reverse engineering om kwetsbaarheden in die producten te vinden."

De onthulling komt een week nadat Talos een andere Chinese dreigingsactor, bekend als UAT-7290, toeschreef aan spionagegerichte inbraken tegen entiteiten in Zuid-Azië en Zuidoost-Europa met behulp van malwarefamilies zoals RushDrop, DriveSwitch en SilentRaid.

In de afgelopen jaren hebben zorgen over Chinese dreigingsactoren die zich richten op kritieke infrastructuur westerse regeringen ertoe aangezet verschillende waarschuwingen uit te geven. Eerder deze week waarschuwden cybersecurity- en inlichtingendiensten uit Australië, Duitsland, Nederland, Nieuw-Zeeland, het Verenigd Koninkrijk en de VS voor de groeiende bedreigingen voor operational technology (OT) omgevingen.

De richtlijnen bieden een kader voor het ontwerpen, beveiligen en beheren van connectiviteit in OT-systemen, waarbij organisaties worden aangespoord om blootstelling te beperken, netwerkverbindingen te centraliseren en te standaardiseren, veilige protocollen te gebruiken, de OT-grens te versterken, ervoor te zorgen dat alle connectiviteit wordt bewaakt en gelogd, en het vermijden van het gebruik van verouderde assets die het risico op beveiligingsincidenten kunnen vergroten.

"Blootgestelde en onveilige OT-connectiviteit staat bekend als een doelwit van zowel opportunistische als zeer capabele actoren," aldus de agentschappen. "Deze activiteit omvat door de staat gesponsorde actoren die actief kritieke nationale infrastructuur (CNI) netwerken aanvallen. De dreiging is niet alleen beperkt tot door de staat gesponsorde actoren, met recente incidenten die aantonen hoe blootgestelde OT-infrastructuur opportunistisch wordt aangevallen door hacktivisten."

Bron

De Frans-Britse satellietexploitant Eutelsat heeft een strategische overeenkomst gesloten met MaiaSpace, een Franse ruimtevaart-startup die in 2021 werd opgericht. MaiaSpace, een dochteronderneming van de ArianeGroup, krijgt de taak om vanaf volgend jaar satellieten te lanceren voor het OneWeb-netwerk van Eutelsat. Met deze stap probeert Eutelsat de positie van OneWeb te versterken in de concurrentiestrijd met het Amerikaanse Starlink van SpaceX.

Hoewel OneWeb reeds een vrijwel wereldwijde dekking biedt, blijven de huidige prestaties op het gebied van snelheid en bandbreedte achter bij de Amerikaanse concurrentie. Dit verschil wordt voornamelijk veroorzaakt door de hoogte van de satellietbaan. OneWeb beschikt momenteel over ongeveer 600 satellieten, tegenover meer dan 9.000 van Starlink. Om een wereldwijd bereik te garanderen met een kleiner aantal eenheden, moeten de satellieten van OneWeb in een hogere baan worden geplaatst, wat ten koste gaat van de snelheid.

De keuze voor MaiaSpace is ingegeven door de behoefte aan meer Europese autonomie op het gebied van ruimtevaartinfrastructuur. Tot op heden was Eutelsat voor lanceringen grotendeels afhankelijk van externe partijen zoals SpaceX en de Indiase ruimtevaartorganisatie ISRO. De onberekenbaarheid van zowel commerciële partijen in de Verenigde Staten als de Amerikaanse overheid heeft de roep om een volwaardig Europees alternatief versterkt. De Franse president Macron benadrukte eerder al de noodzaak om OneWeb uit te bouwen tot een strategisch instrument voor Europa.

MaiaSpace werkt aan de ontwikkeling van herbruikbare raketten, een technologie die essentieel wordt geacht om de lanceerkosten te verlagen en de frequentie van lanceringen te verhogen. Door de kostenstructuur te verbeteren, kan Eutelsat op termijn meer satellieten in een lagere baan brengen, wat de kwaliteit van het satellietinternet voor Europese gebruikers en overheidsinstanties moet verbeteren. Naast de civiele markt richt Eutelsat zich ook op defensie; momenteel voert de organisatie gesprekken met de Canadese strijdkrachten over de inzet van hun netwerk.

Bron

De website ICE List, ook bekend als de ICE List Wiki, is getroffen door een cyberaanval. De aanval vond plaats nadat de website zich voorbereidde op de publicatie van identiteiten van duizenden federale agenten in de Verenigde Staten, met name diegenen die werkzaam zijn bij Immigration and Customs Enforcement (ICE).

De oprichter van de site, de in Nederland gevestigde activist Dominick Skinner, bevestigde dat een DDoS-aanval hun servers heeft overspoeld. De aanval begon op dinsdagavond vorige week.

Een DDoS-aanval werkt door een website te overbelasten met verkeer, waardoor deze uiteindelijk uitvalt. Skinner vertelde dat de duur en intensiteit van deze aanval wijzen op een doelbewuste poging om de gelekte informatie uit de openbaarheid te houden.

Volgens The Daily Beast is de data afkomstig van een klokkenluider bij het Department of Homeland Security (DHS). Het lek zou de namen, telefoonnummers en werkgeschiedenissen bevatten van ongeveer 4.500 werknemers van ICE en Border Patrol.

De klokkenluider zou in actie zijn gekomen na de dood van Renee Nicole Good, die op 7 januari 2026 in Minneapolis werd doodgeschoten door een ICE-agent.

Binnen enkele uren na de schietpartij identificeerden activisten de betrokken agent als Jonathan E. Ross. Skinner merkte op dat dit incident voor de klokkenluider de aanleiding vormde om een dataset met e-mails, functietitels en achtergrondinformatie te overhandigen.

Hoewel de site weer online is, stelde Skinner vast dat een groot deel van het kwaadaardige verkeer afkomstig lijkt te zijn van een botnet in Rusland. Het is echter bijna onmogelijk om de werkelijke bron te traceren, aangezien proxies worden gebruikt om signalen via verschillende landen te leiden om de sporen te verbergen. Skinner omschreef de aanval als geavanceerd.

Het team van Skinner opereert vanuit Nederland. Ondanks de aanval is het team van plan om naar veiligere servers te verhuizen. Ze zijn van plan om de meeste namen te publiceren, met uitzondering van bepaalde personeelsleden, zoals verpleegkundigen.

Bron

Na een bijna volledige digitale isolatie van ruim een week is er een zeer beperkte toename van het internetverkeer in Iran waargenomen. De internetwaakhond NetBlocks meldt dat momenteel ongeveer twee procent van de Iraanse bevolking weer toegang lijkt te hebben tot het wereldwijde web. Hoewel dit percentage een lichte stijging betreft ten opzichte van de voorgaande dagen, benadrukt de monitoringsorganisatie dat er geenszins sprake is van een significante terugkeer van de internetverbinding. Het overgrote deel van de negentig miljoen inwoners blijft afgesloten van internationale communicatiekanalen.

De blokkade werd in de nacht van 8 januari 2026 geïnitieerd door de Iraanse overheid als reactie op aanhoudende demonstraties tegen het regime en de stijgende prijzen. Volgens de officiële lezing van de autoriteiten is de afsluiting bedoeld om terroristische operaties een halt toe te roepen. Gedurende de eerste nacht van deze maatregel werden tevens de telefoonlijnen platgelegd, wat resulteerde in de onbereikbaarheid van hulpdiensten. Inmiddels zijn lokale telefoondiensten weer operationeel, maar het sms-verkeer blijft geblokkeerd. Sinds afgelopen dinsdag zijn uitgaande internationale telefoongesprekken wel weer mogelijk.

Het gebrek aan connectiviteit bemoeilijkt het verkrijgen van betrouwbare informatie over de situatie binnen de landsgrenzen aanzienlijk. De beperkte stroom aan nieuws die de buitenwereld bereikt, verloopt deels via alternatieve routes zoals de satellietinternetdienst Starlink. De huidige situatie vertoont parallellen met eerdere afsluitingen, zoals tijdens de massaprotesten in september 2022, waarbij de toegang tot informatie eveneens drastisch werd ingeperkt om de verspreiding van beelden en berichten omtrent de onrust te controleren.

Bron

De Iraanse overheid hanteert al geruime tijd een strategie waarbij het internet systematisch wordt afgesloten voor de eigen bevolking. Hoewel deze maatregelen primair gericht zijn op het dwarsbomen van protesten en het verhinderen van organisatie door de oppositie, brengen de blokkades aanzienlijke economische en politieke kosten met zich mee. Op dit moment heeft slechts twee procent van de bevolking in Iran toegang tot het wereldwijde web, nadat de verbindingen al geruime tijd platliggen. Deze situatie bemoeilijkt de communicatie via populaire diensten zoals WhatsApp en Instagram aanzienlijk.

Het systeem van overheidscontrole, door sommige inwoners ook wel 'halal internet' genoemd, stelt de autoriteiten in staat om burgers nauwgezet te controleren en het internet in tijden van crisis volledig uit te schakelen. Deze tactiek wordt sinds 2009 toegepast tijdens periodes van onrust. Experts wijzen er echter op dat deze isolatie niet onbeperkt kan voortduren. De Iraanse economie, die reeds kampt met een hoge inflatie en een munt die in het afgelopen halfjaar veertig procent van zijn waarde verloor, wordt door de digitale blokkades verder gedestabiliseerd.

Vooral de e-commercesector in het land wordt zwaar getroffen. Naar schatting maakt 83 procent van de Iraanse onlinebedrijven gebruik van sociale mediaplatforms voor hun omzet en marketing. Door het gebrek aan internetverbindingen liggen online vergaderingen en zakelijke afspraken volledig stil. Dit is opvallend aangezien economische tegenspoed juist een belangrijke drijfveer was voor de recente protesten. De internetstoringen maken de financiële situatie voor veel burgers nog complexer en instabieler, waardoor het moeilijker wordt om in het dagelijks onderhoud te voorzien.

Om de informatieblokkade te doorbreken, zoeken activisten en burgers voortdurend naar alternatieve methoden. Sommige mensen rijden naar de landsgrenzen om daar een signaal te vinden en zo nieuws naar het buitenland te verspreiden. Een van de meest effectieve middelen om de blokkades te omzeilen is het gebruik van Starlink. De afgelopen jaren zijn er tienduizenden van deze satellietcommunicatiesystemen het land binnengesmokkeld. Via deze weg slagen gebruikers erin om beelden en informatie over de situatie in het land alsnog met de buitenwereld te delen.

Bron

De Europese Commissie overweegt een voorstel in te dienen om Chinese netwerkapparatuur en zonnepanelen te verbieden in kritieke infrastructuur binnen de Europese Unie. Dit mogelijke verbod, ingegeven door veiligheidsoverwegingen, zou een significante impact kunnen hebben op zowel leveranciers als afnemers binnen de EU. De Financial Times bericht dat de Commissie het voorstel naar verwachting aanstaande dinsdag zal presenteren.

Momenteel ontbreken uniforme regels op Europees niveau die het gebruik van Chinese netwerkapparatuur in mobiele netwerken expliciet verbieden. Echter, verschillende lidstaten, waaronder Nederland en België, hebben al maatregelen getroffen om apparatuur van Huawei en ZTE uit hun mobiele netwerken te weren. Dit potentiële verbod op Europees niveau zou de druk op andere landen verder kunnen verhogen om soortgelijke stappen te ondernemen.

De precieze implicaties van het voorgestelde verbod op Chinese zonnepanelen in kritieke infrastructuur zijn nog niet volledig duidelijk. Op dit moment is circa 90 procent van de zonnepanelen die in de EU worden gebruikt van Chinese makelij. Verwacht wordt dat het verbod zich specifiek zal richten op zonnesystemen die worden gebruikt in bijvoorbeeld overheidsgebouwen en andere cruciale locaties. Deze systemen bevatten vaak inverters van fabrikanten zoals Huawei. De zorg is dat de Chinese staat, waarvan de belangen regelmatig conflicteren met die van de EU, controle zou kunnen krijgen over essentiële elektronica die op strategische locaties binnen de EU operationeel is.

De discussie over het gebruik van Chinese apparatuur in kritieke infrastructuur speelt al langer, mede gestimuleerd door het handelsconflict tussen de Verenigde Staten en China. Daarbij zijn er beschuldigingen geuit dat Chinese apparatuur kan worden gebruikt voor spionage, alhoewel hier geen concreet bewijs voor is geleverd.

Het is belangrijk te benadrukken dat een voorstel van de Europese Commissie niet automatisch resulteert in wetgeving. De lidstaten zullen het voorstel uitgebreid bespreken en het Europees Parlement zal uiteindelijk over een definitieve wetstekst stemmen. Het is dus mogelijk dat er aanzienlijke verschillen ontstaan tussen het oorspronkelijke voorstel van de Commissie en de uiteindelijke wet, of dat het voorstel zelfs verworpen wordt. De komende maanden zullen cruciaal zijn om de ontwikkelingen rond dit voorstel te volgen en de mogelijke impact op de Europese IT- en securitysector te beoordelen.

Bron

Verschillende Iraanse staatstelevisiekanalen zijn zondag kortstondig gehackt, waarbij de reguliere programmering werd onderbroken om protestbeelden en boodschappen van een verbannen oppositieleider uit te zenden. Dat melden diverse media. De getroffen kanalen werden uitgezonden via de Badr-satelliet, die de Iraanse staatsomroep gebruikt om een aantal regionale televisiestations landelijk te bedienen.

Videofragmenten die op sociale media circuleren, lijken boodschappen in het Farsi te tonen waarin demonstranten worden opgeroepen om te blijven demonstreren. Ook zijn beelden te zien van solidariteitsbijeenkomsten in het buitenland en steunbetuigingen die aan internationale figuren worden toegeschreven.

De uitzending toonde ook Reza Pahlavi - de zoon van de laatste sjah van Iran, die in de Verenigde Staten woont - die opriep tot meer protesten en het Iraanse leger en de veiligheidstroepen aanspoorde om de demonstranten te steunen.

Fragmenten van de vermeende inbreuk werden gepubliceerd door de in Londen gevestigde omroep Iran International, evenals door lokale media en het mediateam van Pahlavi. Recorded Future News kon de beelden niet onafhankelijk verifiëren.

Volgens mediaberichten duurde de ongeautoriseerde uitzending ongeveer 10 minuten. De verantwoordelijke groep is niet onmiddellijk geïdentificeerd en de Iraanse autoriteiten hebben nog niet publiekelijk gereageerd op het incident.

Het gemelde incident komt te midden van onrust die eind december in Iran begon na een scherpe economische neergang die werd gekenmerkt door een torenhoge inflatie en stijgende voedselprijzen. Demonstranten leggen de ontberingen steeds meer aan banden aan overheidscorruptie en wanbeheer, waarbij velen oproepen tot een politieke verandering.

Iraanse functionarissen zeiden dat tijdens de onrust minstens 5.000 mensen zijn omgekomen, waaronder ongeveer 500 leden van de veiligheidstroepen.

Iran legde ook een bijna totale afsluiting van internet- en mobiele communicatie op gedurende bijna twee weken, hoewel mediaberichten meldden dat de autoriteiten de beperkingen in de komende dagen mogelijk zullen versoepelen. De protesten zijn nu afgenomen na een hardhandig optreden van de veiligheidstroepen.

Bron

De Britse overheid waarschuwt voor aanhoudende kwaadaardige activiteiten van Russische hacktivistische groepen die zich richten op kritieke infrastructuur en lokale overheidsorganisaties in het land door middel van verstorende Denial-of-Service (DDoS)-aanvallen.

De aanvallen zijn gericht op het offline halen van websites en het uitschakelen van diensten, meldt het Britse National Cyber Security Centre (NCSC) in een vandaag uitgebrachte waarschuwing. Hoewel DDoS-aanvallen doorgaans niet complex zijn, kunnen ze aanzienlijke kosten veroorzaken voor een getroffen organisatie.

"Hoewel DoS-aanvallen doorgaans weinig geavanceerd zijn, kan een succesvolle aanval volledige systemen verstoren, waardoor organisaties aanzienlijke tijd, geld en operationele veerkracht verliezen door ze te moeten analyseren, verdedigen en ervan te herstellen," aldus het cyberagentschap.

Het NCSC verwijst naar een specifieke DDoS-dreigingsactor, de beruchte NoName057(16), die bekend staat als een pro-Russische hacktivistische groep die sinds maart 2022 actief is.

Deze actor exploiteert het DDoSia-project, een platform dat vrijwilligers in staat stelt computerbronnen bij te dragen om crowdsourced DDoS-aanvallen uit te voeren en monetaire beloningen of erkenning van de community te ontvangen.

Een internationale wetshandhavingsoperatie, genaamd "Operation Eastwood", verstoorde de activiteiten van NoName057(16) medio juli 2025 door twee leden van de groep te arresteren, acht arrestatiebevelen uit te vaardigen en 100 servers uit de lucht te halen.

Echter, omdat de belangrijkste operators van de groep buiten bereik zijn, vermoedelijk in Rusland verblijven, konden de cybercriminelen hun activiteiten hervatten, zoals bevestigd door de meest recente bulletin van het NCSC.

Het agentschap merkt op dat NoName057(16) ideologisch gemotiveerd is in plaats van gedreven door financieel gewin, en een evoluerende dreiging vertegenwoordigt die ook operationele technologie (OT)-omgevingen treft. Een speciale beveiligingshandleiding voor OT-eigenaren wordt hier gedeeld.

Om DDoS-risico's te beperken, adviseert het NCSC organisaties het volgende:

* Begrijp hun diensten om potentiële resource-exhaustion punten en verantwoordelijkheidsgrenzen te identificeren.
* Versterk upstream verdediging, inclusief ISP mitigaties, DDoS-bescherming van derden, CDN's en door de provider opgelegde beveiligingen, en overweeg redundantie met meerdere providers.
* Ontwerp voor snelle schaalbaarheid, met behulp van cloud auto-scaling of virtualisatie met reserve capaciteit.
* Definieer en oefen responsplannen die een gracieuze degradatie ondersteunen, zich aanpassen aan veranderende aanvalstactieken, beheerderstoegang behouden en zorgen voor schaalbare back-ups voor essentiële services.
* Test en monitor continu om aanvallen vroegtijdig te detecteren en de effectiviteit van de verdediging te valideren.

Russische hacktivisten vormen sinds 2022 een toenemende dreiging, omdat de dreigingsactoren zich richten op organisaties in de publieke en private sector in NAVO-lidstaten en andere landen in Europa die een standpunt innemen tegen "Ruslands geopolitieke ambities".
Bron

De nieuw aangestelde Oekraïense minister van Defensie, Mykhailo Fedorov, heeft een strategisch doel gesteld om de Russische strijdkrachten verliezen toe te brengen van vijftigduizend soldaten per maand. Dit aantal betreft uitsluitend dodelijke slachtoffers en sluit gewonden uit. Tijdens een bijeenkomst met journalisten schetste Fedorov een strategie die zwaar leunt op drones, kunstmatige intelligentie en asymmetrische oorlogsvoering om dit cijfer te bereiken. Momenteel worden er volgens de minister maandelijks ongeveer vijfendertigduizend Russische troepen uitgeschakeld, waarbij alle verliezen worden bevestigd via videobewijs.

Het ministerie hanteert een datagestuurde aanpak waarbij het ePoints-mechanisme binnen het Army of Drones-systeem een cruciale rol speelt voor de nauwkeurige boekhouding van verliezen. Deze methodiek biedt inzicht in de effectiviteit van specifieke eenheden en wapensystemen. Fedorov benadrukte dat oorlogsvoering niet enkel draait om gevechtshandelingen, maar evenzeer om management, logistiek en cognitieve oorlogsvoering. Om dit verder te ondersteunen lanceert het ministerie het Mission Control-project. Dit systeem maakt real-time monitoring mogelijk van drone-types, vliegroutes, lanceerlocaties en missie-effectiviteit.

Na volledige implementatie voor drones zal het systeem worden opgeschaald naar artillerie-eenheden. Daarnaast verzamelt het ministerie statistieken over drone-bemanningen en prestatiebeoordelingen van commandanten. Op het gebied van materieel verwacht Oekraïne deze maand veertigduizend interceptor-drones te ontvangen. Tevens wordt er gewerkt aan het verminderen van de afhankelijkheid van Chinese technologie door het testen van een Oekraïens alternatief voor de Mavic-drone, die beschikt over een vergelijkbare camera maar een groter vliegbereik.

Een specifieke prioriteit binnen de nieuwe strategie is het uitschakelen van Russische drone-operators door gespecialiseerde eenheden. Ook worden er drone-aanvalseenheden ontwikkeld met nieuwe operationele doctrines, zoals gedemonstreerd door de Code 9.2-eenheid in Kupyansk. Het overkoepelende doel, zoals opgedragen door president Volodymyr Zelensky, is om de kosten van de oorlog voor Rusland dusdanig op te drijven dat het conflict voor de tegenstander onhoudbaar wordt.

Bron

Noord-Koreaanse hackers, bekend van de aanhoudende "Contagious Interview" campagne, zetten kwaadaardige Microsoft Visual Studio Code (VS Code) projecten in als lokaas om een achterdeur op gecompromitteerde systemen te installeren. Deze nieuwe tactiek, die in december 2025 voor het eerst werd ontdekt, laat een voortdurende evolutie zien, aldus Jamf Threat Labs.

"Deze activiteit omvat de implementatie van een achterdeur die mogelijkheden biedt voor het uitvoeren van code op afstand op het systeem van het slachtoffer," zegt security researcher Thijs Xhaflaire in een rapport dat gedeeld is met The Hacker News.

De aanval, die vorige maand door OpenSourceMalware werd onthuld, houdt in dat potentiële doelwitten worden geïnstrueerd om een repository op GitHub, GitLab of Bitbucket te klonen en het project in VS Code te starten als onderdeel van een vermeende beoordeling voor een baan.

Het uiteindelijke doel is om misbruik te maken van VS Code taakconfiguratiebestanden om kwaadaardige payloads uit te voeren die op Vercel-domeinen worden gehost, afhankelijk van het besturingssysteem van de geïnfecteerde host. De taak is zo geconfigureerd dat deze wordt uitgevoerd telkens wanneer dat bestand of een ander bestand in de projectmap wordt geopend in VS Code, door de optie "runOn: folderOpen" in te stellen. Dit leidt uiteindelijk tot de implementatie van BeaverTail en InvisibleFerret malware.

Latere versies van de campagne verbergen complexe, meerstaps droppers in taakconfiguratiebestanden, waarbij de malware wordt vermomd als onschuldige spellingscontrole woordenboeken als een fallback mechanisme, voor het geval de taak de payload niet van het Vercel domein kan ophalen.

Net als voorheen wordt de geobfusceerde JavaScript code die in deze bestanden is ingebed, uitgevoerd zodra het slachtoffer het project in de Integrated Development Environment (IDE) opent. De code zet een verbinding op met een externe server ("ip-regions-check.vercel[.]app") en voert alle JavaScript code uit die van die server wordt ontvangen. De laatste fase, geleverd als onderdeel van de aanval, is wederom zwaar geobfusceerde JavaScript.

Jamf ontdekte ook een andere wijziging in deze campagne: de dreigingsactoren gebruiken een eerder ongedocumenteerde infectiemethode om een achterdeur te leveren die mogelijkheden biedt voor het uitvoeren van code op afstand op de gecompromitteerde host. Het startpunt van de aanvalsketen is hetzelfde: de aanval wordt geactiveerd wanneer het slachtoffer een kwaadaardige Git repository kloont en opent met behulp van VS Code.

"Wanneer het project wordt geopend, vraagt Visual Studio Code de gebruiker om de auteur van de repository te vertrouwen," legt Xhaflaire uit. "Als dat vertrouwen wordt verleend, verwerkt de applicatie automatisch het tasks.json configuratiebestand van de repository, wat kan resulteren in de uitvoering van willekeurige commando's die in het systeem zijn ingebed."

Op macOS systemen resulteert dit in de uitvoering van een shell commando op de achtergrond dat "nohup bash -c" combineert met "curl -s" om een JavaScript payload op afstand op te halen en direct door te sluizen naar de Node.js runtime. Hierdoor kan de uitvoering onafhankelijk doorgaan als het Visual Studio Code proces wordt beëindigd, terwijl alle commando uitvoer wordt onderdrukt.

De JavaScript payload, gehost op Vercel, bevat de belangrijkste achterdeur logica om een persistente uitvoeringslus op te zetten die basis hostinformatie verzamelt en communiceert met een externe server om de uitvoering van code op afstand, system fingerprinting en continue communicatie mogelijk te maken.

In één geval observeerde Jamf meer JavaScript instructies die ongeveer acht minuten na de initiële infectie werden uitgevoerd. De nieuw gedownloade JavaScript is ontworpen om elke vijf seconden een signaal naar de server te sturen, extra JavaScript uit te voeren en sporen van zijn activiteit te wissen zodra er een signaal van de operator wordt ontvangen. Vermoed wordt dat het script is gegenereerd met behulp van een artificial intelligence (AI) tool, vanwege de aanwezigheid van inline comments en bewoordingen in de broncode.

Dreigingsactoren die banden hebben met de Democratische Volksrepubliek Korea (DPRK) richten zich specifiek op software engineers, met name degenen die werkzaam zijn in de cryptocurrency, blockchain en fintech sector, omdat zij vaak bevoorrechte toegang hebben tot financiële activa, digitale wallets en technische infrastructuur.

Het compromitteren van hun accounts en systemen kan de aanvallers ongeautoriseerde toegang geven tot broncode, intellectueel eigendom, interne systemen en digitale activa. De constante veranderingen in hun tactieken worden gezien als een poging om meer succes te boeken in hun cyberespionage en financiële doelen om het zwaar gesanctioneerde regime te ondersteunen.

Red Asgard heeft ook onderzoek gedaan naar een kwaadaardige repository die een VS Code taakconfiguratie gebruikt om geobfusceerde JavaScript op te halen dat is ontworpen om een full-featured achterdeur genaamd Tsunami (ook bekend als TsunamiKit) te droppen, samen met een XMRig cryptocurrency miner.

Een andere analyse van Security Alliance heeft ook aangetoond hoe VS Code taken worden misbruikt in een aanval waarbij een niet-gespecificeerd slachtoffer via LinkedIn werd benaderd, waarbij de dreigingsactoren zich voordeden als de chief technology officer van een project genaamd Meta2140 en een Notion[.]so link deelden met daarin een technische beoordeling en een URL naar een Bitbucket repository die de kwaadaardige code host.

De aanvalsketen valt terug op twee andere methoden: het installeren van een kwaadaardige npm dependency genaamd "grayavatar" of het uitvoeren van JavaScript code die verantwoordelijk is voor het ophalen van een geavanceerde Node.js controller, die op zijn beurt vijf verschillende modules uitvoert om toetsaanslagen te registreren, screenshots te maken, de home directory van het systeem te scannen op gevoelige bestanden, wallet adressen die naar het klembord zijn gekopieerd te vervangen, inloggegevens van webbrowsers te stelen en een permanente verbinding met een externe server tot stand te brengen.

De malware zet vervolgens een parallelle Python omgeving op met behulp van een stager script dat dataverzameling, cryptocurrency mining met XMRig, keylogging en de implementatie van AnyDesk voor toegang op afstand mogelijk maakt. De Node.js en Python lagen worden respectievelijk BeaverTail en InvisibleFerret genoemd.

Deze bevindingen geven aan dat de door de staat gesteunde actoren experimenteren met meerdere leveringsmethoden om de kans op succes van hun aanvallen te vergroten.

"Deze activiteit benadrukt de voortdurende evolutie van dreigingsactoren die banden hebben met de DPRK, die hun tooling en leveringsmechanismen consequent aanpassen om te integreren met legitieme ontwikkelaars workflows," aldus Jamf. "Het misbruik van Visual Studio Code taakconfiguratiebestanden en Node.js execution laat zien hoe deze technieken blijven evolueren naast veelgebruikte ontwikkeltools."
Bron

De door de Noord-Koreaanse staat gesponsorde dreigingsgroep PurpleBravo heeft zijn activiteiten uitgebreid richting de softwaretoeleveringsketen. Uit recent onderzoek blijkt dat deze groep, die overlappingen vertoont met de zogeheten Contagious Interview-campagne, zich specifiek richt op softwareontwikkelaars binnen sectoren als cryptocurrency, financiële dienstverlening, AI en IT-outsourcing. De aanvallers maken gebruik van frauduleuze LinkedIn-profielen, nep-recruiters en gemanipuleerde codeertests om toegang te verkrijgen tot bedrijfsnetwerken.

De werkwijze van PurpleBravo kenmerkt zich door geavanceerde social engineering waarbij slachtoffers worden verleid tot het uitvoeren van kwaadaardige code tijdens sollicitatieprocedures. Dit gebeurt onder meer via ClickFix-prompts en kwaadaardige repositories op GitHub. Wanneer een kandidaat, vaak gebruikmakend van een zakelijk apparaat, in de val trapt, installeren de aanvallers specifieke malware. Het arsenaal van de groep omvat BeaverTail, een JavaScript-infostealer en loader, evenals multi-platform remote access trojans zoals PyLangGhost en GolangGhost. Deze tools zijn geoptimaliseerd voor het stelen van browserinloggegevens en informatie over cryptocurrency-wallets.

Gedurende de periode van augustus 2024 tot september 2025 zijn ruim drieduizend unieke IP-adressen geïdentificeerd die gekoppeld zijn aan vermoedelijke doelwitten, met een sterke concentratie in Zuid-Azië en Noord-Amerika. Er zijn echter ook slachtoffers waargenomen in Europa, het Midden-Oosten en Centraal-Amerika. Doordat veel van de getroffen organisaties IT-diensten en personeel leveren aan andere bedrijven, vormt deze campagne een significant risico voor de bredere toeleveringsketen. Een compromittering bij een IT-dienstverlener kan direct leiden tot blootstelling van hun klantenbestand.

De infrastructuur van PurpleBravo wordt beheerd via servers die onder meer gebruikmaken van Astrill VPN en IP-reeksen in China. Hoewel PurpleBravo door beveiligingsonderzoekers wordt onderscheiden van PurpleDelta, de aanduiding voor Noord-Koreaanse IT-werkers die in het buitenland opereren, zijn er duidelijke raakvlakken waargenomen. Dit uit zich in overlappend netwerkverkeer en het gebruik van gedeelde VPN-adressen voor beheerstaken. Deze verwevenheid suggereert dat sommige individuen mogelijk actief zijn in beide operaties, wat de complexiteit van de dreiging voor organisaties die ontwikkelingstaken uitbesteden verder vergroot.

Bron