▽ JANUARI 2026

De ontwikkelaar van Notepad++ heeft bekendgemaakt dat de infrastructuur van de teksteditor het doelwit is geweest van een aanval die wordt toegeschreven aan staatshackers. Uit onderzoek in samenwerking met externe beveiligingsexperts blijkt dat de aanval niet voortkwam uit kwetsbaarheden in de broncode van de software, maar het gevolg was van een compromittering op infrastructuurniveau bij de toenmalige hostingprovider. Hierdoor waren kwaadwillenden in staat om het updateverkeer van specifieke gebruikers te onderscheppen en om te leiden naar servers die onder hun controle stonden. Onafhankelijke onderzoekers hebben vastgesteld dat de verantwoordelijke actoren waarschijnlijk gelieerd zijn aan de Chinese staat, wat de zeer selectieve doelwitkeuze gedurende de campagne verklaart.

Het incident ving aan in juni 2025. Volgens een verklaring van de hostingprovider was de server waarop de update-functionaliteit werd gehost gecompromitteerd tot 2 september 2025. Hoewel de aanvallers na die datum de directe toegang tot de server verloren door onderhoud en updates, bleven zij in het bezit van inloggegevens voor interne diensten. Deze toegang bleef in stand tot 2 december 2025, waardoor de actoren in staat bleven om verkeer bestemd voor de download-URL om te leiden en gemanipuleerde update-manifesten te serveren. De aanvallers zochten specifiek naar het domein van Notepad++ met als doel gebruik te maken van de destijds aanwezige ontoereikende verificatiecontroles voor updates in oudere versies van de applicatie.

De hostingprovider heeft aangegeven dat er geen aanwijzingen zijn dat andere klanten op dezelfde gedeelde server doelwit waren. Naar aanleiding van het incident zijn diverse herstelmaatregelen uitgevoerd, waaronder het dichten van kwetsbaarheden en het roteren van alle inloggegevens die voor 2 september 2025 verkregen konden zijn. Hoewel de analyse van de beveiligingsexpert aangeeft dat de aanvalsactiviteiten stopten op 10 november 2025, bevestigt de provider dat de potentiële toegang tot 2 december 2025 mogelijk was. Met de doorgevoerde wijzigingen en beveiligingsversterkingen wordt de situatie inmiddels als volledig opgelost beschouwd.

Bron

Volgens een recent rapport zijn Russische hackers actief bezig met het aanvallen van organisaties in Denemarken. De campagne, die al enkele weken aan de gang is, richt zich op kritieke infrastructuur en overheidsinstanties. De aanvallers, vermoedelijk gelieerd aan een bekende Russische hackersgroep, maken gebruik van geavanceerde technieken om toegang te krijgen tot de systemen van hun doelwitten.

De hackers gebruiken phishing-e-mails om malware te verspreiden. Deze e-mails bevatten vaak bijlagen met schadelijke code die, wanneer geopend, de systemen van de slachtoffers infecteren. De malware stelt de aanvallers in staat om op afstand toegang te krijgen tot de geïnfecteerde systemen, gegevens te stelen en mogelijk schade aan te richten.

De Deense autoriteiten hebben inmiddels een onderzoek ingesteld naar de aanvallen en werken samen met internationale partners om de daders te identificeren en te vervolgen. Er zijn nog geen details vrijgegeven over de exacte aard van de gestolen gegevens of de omvang van de schade. Wel wordt er gewaarschuwd voor verdere aanvallen in de nabije toekomst.

Experts raden Deense organisaties aan om hun beveiligingsmaatregelen te versterken en hun medewerkers bewust te maken van de risico's van phishing-e-mails. Het is belangrijk om verdachte e-mails niet te openen en geen bijlagen te downloaden van onbekende afzenders. Daarnaast wordt geadviseerd om de nieuwste beveiligingsupdates te installeren en gebruik te maken van sterke wachtwoorden.

De aanvallen op Denemarken benadrukken de aanhoudende dreiging van cyberaanvallen door statelijke actoren. Het is essentieel dat overheden en organisaties wereldwijd samenwerken om deze dreiging te bestrijden en de digitale veiligheid te waarborgen.

Bron

De KyivPost heeft op 1 februari 2026 een uitgebreide analyse gepubliceerd over de huidige stand van zaken in de cyberoorlog. De analyse werpt licht op de evoluerende tactieken, de belangrijkste actoren en de aanzienlijke impact van cyberaanvallen op zowel militaire als civiele infrastructuren.

Volgens het rapport is de intensiteit van cyberaanvallen in de afgelopen jaren aanzienlijk toegenomen. Statelijke actoren en cybercriminele groeperingen gebruiken steeds geavanceerdere methoden om kritieke systemen te infiltreren, data te stelen en verstoring te veroorzaken. De analyse benadrukt dat de cyberoorlog niet langer een toekomstig scenario is, maar een realiteit van de dag.

Een belangrijk aspect van de analyse is de verschuiving in de aard van de doelwitten. Waar cyberaanvallen zich voorheen voornamelijk richtten op militaire doelwitten, zien we nu een toename van aanvallen op civiele infrastructuren, zoals energievoorzieningen, communicatienetwerken en financiële instellingen. Deze aanvallen hebben tot doel de economische stabiliteit te ondermijnen en maatschappelijke ontwrichting te veroorzaken.

De analyse identificeert verschillende belangrijke actoren die betrokken zijn bij cyberoorlogsvoering. Naast bekende statelijke actoren zoals Rusland, China en Noord-Korea, worden ook steeds meer niet-statelijke actoren, zoals hacktivistische groeperingen en cybercriminele organisaties, actief in het cyberdomein. Deze actoren gebruiken verschillende technieken, waaronder malware, phishing en denial-of-service aanvallen, om hun doelwitten te compromitteren.

Het rapport benadrukt de noodzaak van een gecoördineerde internationale inspanning om de dreiging van cyberoorlogsvoering aan te pakken. Dit omvat het delen van informatie, het ontwikkelen van gemeenschappelijke normen en het versterken van de cyberdefensiecapaciteiten. De analyse waarschuwt dat een gebrek aan actie de wereldwijde veiligheid en stabiliteit in gevaar kan brengen.

De KyivPost analyse concludeert dat cyberoorlogsvoering een complexe en evoluerende dreiging vormt die serieuze aandacht vereist. Het rapport roept op tot een proactieve aanpak om de risico's te beperken en de kritieke infrastructuren te beschermen tegen cyberaanvallen.

Bron

Volgens de aangeleverde informatie misbruikt de aan Rusland gelinkte dreigingsgroep UAC 0001, ook bekend als APT28, actief een kritieke zero day kwetsbaarheid in Microsoft Office om malware te verspreiden. De campagne zou zich richten op Oekraïense overheidsinstanties en organisaties binnen de Europese Unie. De kwetsbaarheid wordt in de bron aangeduid als CVE-2026-21509.

Microsoft maakte op 26 januari 2026 melding van CVE-2026-21509 en waarschuwde daarbij voor actieve misbruikpogingen. Binnen 24 uur na die publieke melding zouden aanvallers de kwetsbaarheid al hebben omgezet in een werkende aanval. Op 27 januari 2026 werd in dit verband een kwaadaardig Word document genoemd met de bestandsnaam “Consultation_Topics_Ukraine(Final).doc”, dat een exploit voor CVE-2026-21509 zou bevatten. Het document was thematisch opgezet rond consultaties van het comité van permanente vertegenwoordigers bij de Europese Unie, COREPER, over Oekraïne.

Op 29 januari 2026 zou CERT UA daarnaast een bredere phishingcampagne hebben vastgesteld waarbij kwaadaardige documenten werden verspreid die zich voordeden als weerbulletins van het Ukrhydrometeorological Center. Deze campagne richtte zich volgens de bron op meer dan 60 e mailadressen, voornamelijk van Oekraïense centrale uitvoerende overheidsorganen. De combinatie van bestuurlijke thema’s en actuele geopolitieke onderwerpen werd in de bron beschreven als onderdeel van de gebruikte social engineering.

De bron beschrijft dat het openen van een bewapend document in Microsoft Office een netwerkverbinding opzet naar infrastructuur van de aanvallers via het WebDAV protocol. Daarna zou malware een snelkoppeling downloaden met uitvoerbare code, die meerdere kwaadaardige componenten neerzet, waaronder “EhStoreShell.dll” en “SplashScreen.png”, waarbij die laatste shellcode zou bevatten. Voor persistentie zou de aanval COM hijacking gebruiken door Windows registerwaarden aan te passen en een geplande taak met de naam “OneDriveHealth” aan te maken.

Als eindlading wordt in de bron het post exploitation framework COVENANT genoemd, dat voor command and control legitieme cloudopslag van entity["company","Filen","cloudopslagdienst"] (filen.io) zou gebruiken, met als doel het netwerkverkeer te laten opgaan in normaal cloudverkeer. Ook wordt gemeld dat eind januari 2026 aanvullende kwaadaardige documenten zijn aangetroffen die zich op EU landen richtten, en dat in een geval domeinnamen voor de aanvalsinfrastructuur op dezelfde dag als de aanval zouden zijn geregistreerd. CERT UA waarschuwde volgens de bron dat het aantal misbruikpogingen waarschijnlijk toeneemt door trage patchcycli en het niet tijdig kunnen updaten van Microsoft Office installaties, terwijl Microsoft in dit verband registry gebaseerde mitigaties zou hebben aanbevolen en er wordt gesproken over het monitoren en blokkeren van geïdentificeerde indicators of compromise.

Bron

De Poolse autoriteiten hebben dinsdag een medewerker van het ministerie van Defensie aangehouden op verdenking van spionage voor een buitenlandse inlichtingendienst. Hoewel het ministerie het betrokken land niet officieel bij naam noemde, verklaarden staatsfunctionarissen tegenover lokale media dat de verdachte samenwerkte met Russische en Wit-Russische inlichtingendiensten. De zestigjarige arrestant is een Pools staatsburger en was werkzaam op de afdeling strategie en planning van het ministerie, waar hij onder meer betrokken was bij militaire moderniseringsprojecten.

De verdachte werd gearresteerd op zijn werkplek in het hoofdkwartier van het ministerie in Warschau. Volgens de berichten betreft het een burgerambtenaar en geen hoge functionaris of militair officier. De man werkte al sinds de jaren negentig bij het ministerie en had toegang tot documenten die van significant belang worden geacht voor de Poolse defensie. Na zijn arrestatie hebben functionarissen van de contraspionage zowel zijn kantoor als zijn woning doorzocht, waarbij telefoons, computers en opslagapparaten in beslag zijn genomen.

Aanklagers hebben de man inmiddels aangeklaagd voor spionage. Jacek Dobrzyński, woordvoerder van de minister-coördinator voor speciale diensten, meldde dat onderzoekers uitgebreid bewijsmateriaal hebben verzameld dat de spionageactiviteiten bevestigt. Het bewijs wijst er volgens de woordvoerder op dat de man Polen heeft verraden en handelde namens een buitenlandse inlichtingendienst. Verdere details worden pas vrijgegeven na afronding van het onderzoek.

Polen is in toenemende mate het doelwit van wat functionarissen omschrijven als Russische hybride oorlogsvoering, waaronder sabotage, spionage en desinformatiecampagnes. In juli maakten de Poolse autoriteiten bekend dat zij sinds het begin van de Russische invasie in Oekraïne meer dan dertig mensen hebben aangehouden die verdacht worden van samenwerking met Russische inlichtingendiensten voor het uitvoeren van sabotage en brandstichting. Daarnaast werd in december melding gemaakt van hackers, vermoedelijk gelinkt aan de Russische militaire inlichtingendienst, die het Poolse elektriciteitsnet als doelwit kozen en systemen bij ongeveer dertig energiefaciliteiten compromitteerden.

Bron

Het Amerikaanse leger heeft vorig jaar digitaal ingegrepen in de Iraanse luchtverdedigingssystemen als onderdeel van een gecoördineerde operatie om het nucleaire programma van het land uit te schakelen. Volgens diverse Amerikaanse functionarissen markeert deze actie de groeiende bereidheid van de Verenigde Staten om cyberwapens in te zetten tijdens oorlogsvoering. De aanval op een militair systeem, dat verbonden was met de nucleaire locaties in Fordo, Natanz en Isfahan, moest voorkomen dat Iran grond-luchtraketten kon lanceren op Amerikaanse gevechtsvliegtuigen die het Iraanse luchtruim waren binnengedrongen.

Amerikaanse operators wisten, met inlichtingenondersteuning van de National Security Agency, een specifiek knooppunt in het computernetwerk te raken. Door zich te richten op een router, server of ander randapparaat omzeilden zij de aanzienlijk lastigere taak om direct in te breken in de militaire systemen op de versterkte nucleaire locaties zelf. Een functionaris stelde dat militaire systemen vaak afhankelijk zijn van een complexe reeks componenten, waarbij een kwetsbaarheid op één punt kan worden benut om het gehele systeem te verstoren. Het vinden van deze zwakke plek werd door de bron omschreven als het vinden van de achilleshiel.

Het digitale element van de operatie, die plaatsvond in juni onder de naam Operation Midnight Hammer, wordt beschouwd als een van de meest geavanceerde acties die Cyber Command in zijn bijna zestienjarige geschiedenis tegen Iran heeft ondernomen. Hoewel de specifieke aard van het aangevallen apparaat niet is vrijgegeven vanwege nationale veiligheid, bevestigen bronnen dat de cyberaanval succesvol was in het ondersteunen van de fysieke operatie. Zowel Cyber Command als de NSA hebben geen officieel commentaar gegeven op de details van de inzet.

Bron

Het ministerie van Defensie zet in op het vastleggen van internationale afspraken over de verantwoorde inzet van kunstmatige intelligentie binnen de krijgsmacht. Tijdens de derde editie van de REAIM-conferentie in het Spaanse A Coruña, een initiatief onder leiding van Nederland en Zuid-Korea, wordt gezocht naar consensus over dit onderwerp. Jeroen van der Vlugt, CIO bij het ministerie van Defensie, stelt dat het Nederlandse bedrijfsleven een cruciale rol kan spelen bij de ontwikkeling van deze toepassingen. Hij trekt hierbij een vergelijking met de strategische positie van ASML in de halfgeleiderindustrie, waarbij het beheersen van specifieke technologische schakels zorgt voor internationaal gewicht.

Het hoofddoel van de top is het creëren van kaders voor AI-gebruik voor uiteenlopende defensiedoeleinden, van logistiek en strategie tot daadwerkelijke inzet op het slagveld. Volgens Van der Vlugt is het onmogelijk om de technologie als geheel te reguleren. In plaats daarvan wordt gekeken naar specifieke toepassingen binnen concrete militaire processen. Alleen op dat niveau kan worden bepaald hoe betrouwbaarheid gewaarborgd wordt en of de inzet in overeenstemming is met het internationaal humanitair recht. Daarnaast wordt benadrukt dat investeringen vanuit het onderwijs en het kabinet noodzakelijk zijn om schaars AI-talent voor Nederland te behouden.

Aan de conferentie nemen circa 1.500 deelnemers en 83 delegaties deel, waaronder vertegenwoordigers van de Verenigde Staten en China. Een belangrijk onderdeel van de gesprekken richt zich op het opbouwen van vertrouwen op operationeel niveau tussen landen die AI toepassen binnen hun strijdkrachten. De intentie is dat de gemaakte afspraken uiteindelijk verder worden uitgewerkt binnen NAVO- en VN-verbanden.

Bron

Een recente briefing onthult dat de Chinese Advanced Persistent Threat (APT) groep, bekend als Mustang Panda, zich richt op Europese diplomaten met een nieuwe malware variant. Deze bevinding is naar buiten gebracht door cybersecurity onderzoekers die de activiteiten van de groep nauwlettend volgen.
De aanval begint met een spear-phishing e-mail gericht aan een specifieke diplomaat. De e-mail bevat een kwaadaardige bijlage, vermomd als een officieel document. Zodra de bijlage is geopend, installeert de malware zich stilletjes op het systeem van het slachtoffer.
De malware, een geavanceerde backdoor, geeft de aanvallers toegang tot gevoelige informatie en maakt het mogelijk om het systeem op afstand te controleren. De onderzoekers hebben vastgesteld dat de malware is ontworpen om specifieke bestanden te stelen, keylogging uit te voeren en screenshots te maken.
Mustang Panda maakt gebruik van verschillende technieken om detectie te ontwijken. De malware gebruikt onder andere encryptie om de communicatie met de command-and-control server te verbergen. Daarnaast maakt de malware gebruik van anti-analyse technieken om detectie door antivirussoftware te bemoeilijken.
De campagne is gericht op het verzamelen van inlichtingen over Europese beleidsvorming en diplomatieke strategieën. De gestolen informatie kan worden gebruikt voor politieke en economische doeleinden.
Cybersecurity experts adviseren diplomaten en overheidsfunctionarissen om extra waakzaam te zijn en verdachte e-mails te vermijden. Het is belangrijk om beveiligingssoftware up-to-date te houden en regelmatig systeemscans uit te voeren. Daarnaast wordt aangeraden om multi-factor authenticatie in te schakelen en sterke wachtwoorden te gebruiken.
Bron

Oekraïne heeft de controle over het gebruik van Starlink-terminals door zijn militairen aangescherpt in een poging te voorkomen dat Russische troepen de satellietcommunicatietechnologie gebruiken voor hun drone-operaties. Deze maatregelen komen nadat er meldingen waren dat Russische eenheden Starlink-terminals aanschaften en gebruikten in de conflictgebieden.
De Oekraïense regering werkt samen met SpaceX, het bedrijf achter Starlink, om het ongeautoriseerde gebruik van de terminals te detecteren en te deactiveren. De aangescherpte controles omvatten geavanceerde monitoringtechnieken en software-updates die specifiek zijn ontworpen om niet-geautoriseerde activiteiten te identificeren. Oekraïne is sterk afhankelijk van Starlink voor communicatie en coördinatie tussen militaire eenheden, vooral in gebieden waar traditionele communicatienetwerken zijn beschadigd of onbetrouwbaar zijn. Het ongehinderd gebruik van Starlink door Russische troepen zou een aanzienlijk risico vormen voor de Oekraïense operaties.
SpaceX heeft verklaard dat het beleid erop gericht is om te voorkomen dat Starlink in offensieve militaire capaciteit wordt gebruikt. Het bedrijf heeft maatregelen geïmplementeerd om de activering van terminals in niet-geautoriseerde gebieden te voorkomen en werkt samen met Oekraïne om misbruik te bestrijden. De Oekraïense autoriteiten hebben ook stappen ondernomen om de import en distributie van Starlink-terminals beter te reguleren. Dit omvat het volgen van de verkoop en activering van nieuwe terminals en het uitvoeren van controles om ongeautoriseerde verkopen te voorkomen.
De verscherpte controles zijn een reactie op de groeiende bezorgdheid over het gebruik van commerciële technologieën in militaire conflicten. Experts waarschuwen voor de risico's van ongecontroleerde verspreiding van geavanceerde communicatietechnologieën, die in verkeerde handen kunnen vallen en militaire operaties kunnen faciliteren.
Bron

Russisch staatsgesponsorde actoren, bekend onder de naam APT28, hebben een geavanceerde cyberspionagecampagne gelanceerd gericht op hoogwaardige overheids- en militaire entiteiten in Europa. De primaire doelwitten zijn organisaties in de maritieme en transportsector in landen als Polen, Oekraïne en Turkije. De aanvallers maken hierbij actief misbruik van een kritieke kwetsbaarheid in Microsoft Office, geregistreerd als CVE-2026-21509, waarmee bestaande beveiligingsmaatregelen kunnen worden omzeild.

De aanvalsketen begint met zeer gerichte spear-phishing e-mails die zijn ontworpen om te lijken op urgente officiële correspondentie. Deze berichten maken gebruik van geopolitieke thema's, zoals waarschuwingen over wapensmokkel of uitnodigingen voor militaire trainingsprogramma's, om ontvangers te misleiden. Zodra een slachtoffer het gemanipuleerde document opent, wordt de exploit automatisch geactiveerd zonder dat er enige gebruikersinteractie, zoals het inschakelen van macro's, vereist is. Deze zogenaamde zero-click functionaliteit maakt de aanvalsmethode bijzonder effectief tegen defensieministeries en diplomatieke instellingen. Analisten van Trellix hebben waargenomen dat de kwetsbaarheid binnen vierentwintig uur na publieke bekendmaking operationeel werd ingezet.

De documenten bevatten speciaal vervaardigde ingesloten objecten die via het WebDAV-protocol externe payloads ophalen van infrastructuur die onder controle staat van de aanvallers. Deze methode omzeilt standaard netwerkverdediging door kwaadaardig verkeer te vermommen als legitieme webverzoeken. Na een succesvolle inbraak wordt diverse maatwerkmalware geïnstalleerd, waaronder een C++ implant genaamd BeardShell en een gespecialiseerde Outlook-backdoor met de naam NotDoor. Deze tools stellen de aanvallers in staat om toegang te behouden, gevoelige inlichtingen te stelen en zich lateraal door het netwerk van het slachtoffer te bewegen.

Om detectie door antivirusoplossingen te voorkomen, wordt de BeardShell-backdoor direct in het geheugen uitgevoerd via shellcode die verborgen zit in een versleuteld afbeeldingsbestand, waardoor er geen sporen op de harde schijf achterblijven. De malware bevat mechanismen om te controleren of deze in een beveiligde sandbox-omgeving draait en maakt voor de commando- en controlestructuur gebruik van legitieme clouddiensten, wat opsporing verder bemoeilijkt.

Bron

Unit 42, het threat intelligence team van Palo Alto Networks, heeft een nieuwe cyberespionagegroep ontdekt, genaamd TGR-STA-1030, ook bekend als UNC6619. Deze groep, die vermoedelijk vanuit Azië opereert, wordt met hoge zekerheid beschouwd als een door de staat gesteunde actor. In het afgelopen jaar heeft TGR-STA-1030 overheids- en kritieke infrastructuurorganisaties in 37 landen gecompromitteerd. Tussen november en december 2025 voerde de groep actieve verkenningen uit tegen overheidsinfrastructuren in 155 landen.

De groep richt zich voornamelijk op ministeries en overheidsdepartementen. Zo zijn succesvolle compromitteringen vastgesteld bij vijf nationale wetshandhavings- en grensbewakingsinstanties, drie ministeries van financiën en diverse andere ministeries die zich bezighouden met economische, handels-, grondstoffen- en diplomatieke functies. De getroffen entiteiten zijn op de hoogte gesteld en hebben assistentie aangeboden gekregen.

TGR-STA-1030 maakt gebruik van phishing en exploitatie technieken, evenals diverse tools en infrastructuren. De groep maakt frequent gebruik van regionale tooling en services, taalinstellingen, targeting en timing die overeenkomen met gebeurtenissen en inlichtingen van belang voor de regio, upstream verbindingen naar operationele infrastructuren die afkomstig zijn uit de regio, en activiteit die overeenkomt met GMT+8. Een van de aanvallers gebruikt de gebruikersnaam "JackMa", wat mogelijk verwijst naar de medeoprichter van Alibaba Group, Jack Ma.

In februari 2025 onderzocht Unit 42 een reeks kwaadaardige phishingcampagnes gericht op Europese overheden. Deze campagnes werden verzonden naar overheidsmedewerkers met de valse belofte van een reorganisatie binnen een ministerie of departement, en bevatten links naar schadelijke bestanden gehost op mega[.]nz. Bij het aanklikken van de link werd een archiefbestand gedownload met taal en benaming die consistent waren met het doelwit. Een Estse overheidsinstantie identificeerde de campagne en uploadde een ZIP-archief genaamd "Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip" (veranderingen in de organisatiestructuur van de politie- en grenswacht).

Het archief bevat een uitvoerbaar bestand met dezelfde naam als de ZIP en een nul-byte bestand genaamd "pic1.png". De metadata van het uitvoerbare bestand toont aan dat de bestandsversie "2025,2,13,0" is en de originele naam "DiaoYu.exe" was. De malware maakt gebruik van een dual-stage execution guardrail om geautomatiseerde sandbox-analyse te bemoeilijken. Het controleert op een minimale horizontale schermresolutie van 1440 pixels en de aanwezigheid van het bestand "pic1.png" in de uitvoeringsdirectory. Vervolgens controleert de malware op de aanwezigheid van specifieke cybersecurity producten, waaronder Avp.exe (Kaspersky), SentryEye.exe (Avira), EPSecurityService.exe (Bitdefender), SentinelUI.exe (Sentinel One) en NortonSecurity.exe (Symantec). Na deze controle downloadt de malware bestanden van GitHub en installeert een Cobalt Strike payload.

Naast phishing maakt de groep gebruik van exploitatie pogingen om toegang te krijgen tot doelwitnetwerken. Hoewel er geen zero-day exploits zijn waargenomen, test en gebruikt de groep een breed scala aan tools, exploitatiekits en proof-of-concept code voor N-day exploits. Voorbeelden van misbruikte kwetsbaarheden zijn onder andere SAP Solution Manager privilege escalatie, Pivotal Spring Data Commons remote file read XXE, Microsoft Open Management Infrastructure remote code execution, Microsoft Exchange Server remote code execution en diverse andere kwetsbaarheden in D-Link, HTTP, Struts2, Ruijieyi Networks, Eyou Email System, Beijing Grandview Century eHR Software, Weaver Ecology-OA, Microsoft Windows, Commvault CommCell en Zhiyuan OA.

De groep maakt gebruik van command-and-control (C2) frameworks zoals Cobalt Strike (tot begin 2025) en VShell (een Go-based C2 framework). Daarnaast worden web shells zoals Behinder, Neo-reGeorg en Godzilla ingezet, waarbij de Godzilla web shells soms worden geobfuskeerd met code van het Tas9er GitHub project. Tunnels worden gerealiseerd met GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) en IOX.

Unit 42 identificeerde tevens een nieuw Linux kernel rootkit, ShadowGuard (SHA-256 hash 7808B1E01EA790548B472026AC783C73A033BB90BBE548BF3006ABFBCB48C52D), een Extended Berkeley Packet Filter (eBPF) rootkit. Deze rootkit biedt kernel-level stealth mogelijkheden, zoals het verbergen van processen en bestanden/directories (specifiek "swsecret").

De groep maskeert en verdoezelt de oorsprong van haar activiteiten door gebruik te maken van een multi-tiered infrastructuur. Victim-facing C2 servers worden geconfigureerd op infrastructuur van legitieme VPS providers. Bron

De Italiaanse minister van Buitenlandse Zaken Antonio Tajani heeft bekendgemaakt dat Italië een reeks cyberaanvallen van Russische oorsprong heeft verijdeld. De aanvallen waren gericht op diplomatieke missies in het buitenland en locaties die verbonden zijn aan de aanstaande Olympische Winterspelen van 2026. Volgens de bewindsman werden meerdere kantoren van het ministerie getroffen, waaronder die in Washington. Ook faciliteiten in de regio van de Winterspelen werden geviseerd, zoals hotels in de Alpenregio Cortina d’Ampezzo.

In totaal werden ongeveer 120 doelwitten geraakt door de digitale operatie. Naast de kantoren in Washington betrof het consulaten in Sydney, Toronto en Parijs. Ook hotels waar wintersporters verblijven waren doelwit van de aanvallers. Hoewel de incidenten breed verspreid waren, hebben de aanvallen volgens officiële bronnen geen significante verstoringen veroorzaakt. Technische details over de specifieke aard van de incidenten zijn door de Italiaanse overheid niet vrijgegeven.

De pro-Russische hackersgroep NoName057(16) heeft de verantwoordelijkheid voor de campagne opgeëist via een bericht op Telegram. De groep stelt dat de acties een vergelding zijn voor het pro-Oekraïense beleid van de Italiaanse regering en de steun die Italië verleent aan Oekraïne. NoName057(16) is actief sinds de grootschalige Russische invasie van Oekraïne in 2022 en richt zich vaker op Europese landen die Kyiv steunen, zoals Polen, Tsjechië en Litouwen. De groep maakt gebruik van relatief eenvoudige maar verstorende Distributed Denial-of-Service aanvalsmethoden waarbij zij een netwerk van vrijwilligers en servers mobiliseren.

De timing van de aanvallen valt samen met de voorbereidingen op de Olympische Winterspelen die van 6 tot 22 februari 2026 plaatsvinden in Milaan en Cortina d’Ampezzo. Rusland is als natie uitgesloten van deelname aan deze Spelen vanwege de oorlog in Oekraïne, al mogen enkele individuele atleten onder neutrale vlag deelnemen. Het gericht aanvallen van gastlanden van grote sportevenementen door aan Rusland gelieerde actoren is eerder waargenomen, zoals tijdens de Winterspelen van 2018 in Pyeongchang toen infrastructuur werd ontregeld met malware in een operatie die bedoeld was om andere landen de schuld te geven.

Bron

Cybersecurityonderzoekers hebben een raamwerk voor gateway-monitoring en adversary-in-the-middle-aanvallen blootgelegd onder de naam DKnife. Dit instrument wordt sinds minstens 2019 ingezet door actoren met een link naar China. Het raamwerk bestaat uit zeven op Linux gebaseerde implantaten die zijn ontworpen om diepgaande pakketinspectie uit te voeren, netwerkverkeer te manipuleren en malware te verspreiden via routers en randapparatuur. De aanvallen richten zich op een breed scala aan apparaten, waaronder pc's, mobiele toestellen en IoT-apparatuur. DKnife wordt onder meer gebruikt om de backdoors ShadowPad en DarkNimbus te leveren door downloads van binaries en updates van Android-applicaties te kapen.

De primaire doelwitten lijken Chinees sprekende gebruikers te zijn. Deze vaststelling is gebaseerd op de aanwezigheid van phishingpagina's voor het oogsten van inloggegevens van Chinese e-maildiensten, modules voor gegevensexfiltratie uit applicaties zoals WeChat en verwijzingen in de code naar Chinese mediadomeinen. Cisco Talos ontdekte DKnife tijdens het monitoren van een ander cluster van Chinese dreigingsactiviteiten, genaamd Earth Minotaur. Dit cluster wordt gelinkt aan tools zoals de MOONSHINE exploit kit en de DarkNimbus backdoor. De DarkNimbus backdoor wordt ook ingezet door een derde aan China gelieerde Advanced Persistent Threat groep, bekend als TheWizards.

Analyse van de infrastructuur van DKnife heeft een IP-adres aan het licht gebracht dat WizardNet host. Dit is een Windows-implantaat dat door TheWizards wordt ingezet via een adversary-in-the-middle-raamwerk dat Spellbinder wordt genoemd. Details over deze toolkit werden in april 2025 door ESET gedocumenteerd. Waar WizardNet is ontworpen voor Windows, is DKnife specifiek ontwikkeld voor Linux-systemen. De modulaire architectuur stelt operators in staat diverse functies uit te voeren, variërend van pakketanalyse tot verkeersmanipulatie. Het centrale component, dknife.bin, fungeert als het zenuwcentrum voor inspectie, rapportage van gebruikersactiviteiten en DNS-kaping. Hoewel configuratiebestanden wijzen op Chinees sprekende doelwitten, sluiten onderzoekers niet uit dat er andere servers bestaan met configuraties voor doelwitten in andere regio's, gezien TheWizards actief zijn in sectoren in onder meer Cambodja, Hongkong, het vasteland van China, de Filipijnen en de Verenigde Arabische Emiraten. 1

De Noorse inlichtingendienst (NIS) heeft details vrijgegeven over een reeks cyberaanvallen met de codenaam "Salt Typhoon". Deze aanvallen, die zich richten op Noorse overheidsinstanties en kritieke infrastructuur, worden toegeschreven aan een Chinese APT-groep (Advanced Persistent Threat).

Volgens het NIS maken de aanvallers gebruik van geavanceerde technieken, waaronder spear-phishing e-mails en zero-day exploits. De aanvallen beginnen vaak met het compromitteren van individuele werkstations, waarna de aanvallers zich lateraal door het netwerk bewegen op zoek naar waardevolle informatie.

Een van de meest opvallende kenmerken van de Salt Typhoon-campagne is het gebruik van aangepaste malware, die is ontworpen om detectie te voorkomen. Deze malware maakt gebruik van verschillende anti-forensische technieken, zoals het versleutelen van configuratiebestanden en het verwijderen van sporen van activiteit op het systeem.

Het NIS meldt dat de aanvallers zich richten op een breed scala aan informatie, waaronder staatsgeheimen, economische gegevens en persoonlijke informatie van burgers. De gestolen informatie wordt vermoedelijk gebruikt voor spionage en het verkrijgen van economisch voordeel.

De Noorse autoriteiten werken samen met internationale partners om de Salt Typhoon-campagne te onderzoeken en de verantwoordelijken te identificeren. Er worden maatregelen genomen om de getroffen systemen te herstellen en de beveiliging van kritieke infrastructuur te verbeteren. Het NIS adviseert Noorse organisaties om hun beveiligingsmaatregelen te herzien en te versterken, en om waakzaam te zijn voor verdachte activiteiten op hun netwerken. Specifieke aanbevelingen omvatten het implementeren van multi-factor authenticatie, het regelmatig uitvoeren van beveiligingsaudits en het trainen van medewerkers in het herkennen van phishing-aanvallen. 1

De militaire inlichtingendienst ADIV is een onderzoek gestart naar de overname van het Oostendse helikopterbedrijf NHV. De aanleiding voor dit onderzoek is de mogelijke overgang van het bedrijf in Chinese handen. NHV speelt een cruciale rol bij het transport van personeel naar windmolenparken en offshore-installaties in de Noordzee, welke worden aangemerkt als kritieke infrastructuur voor de energievoorziening. De bezorgdheid binnen Defensie en bij veiligheidsexperten is groot omdat economische belangen in dit dossier direct raken aan de nationale veiligheid.

NHV beschikt over een vloot van zevenentwintig transporthelikopters en is naast België ook actief in West-Afrika. De overname is formeel in gang gezet door het Ierse GD Helicopter Finance, een financiële groep uit Dublin die helikopters aankoopt en verhuurt. Dit Ierse bedrijf is echter eigendom van het Chinese GDAT, dat in China een omvangrijke vloot van Europese Airbus- en Leonardo-helikopters exploiteert. Hierdoor zou het beheer van transport naar strategische locaties in de Noordzee onder controle komen van een Chinese entiteit.

Naast de beveiliging van de energie-infrastructuur speelt er een militair belang. Defensie heeft vorig jaar twintig Airbus H145M-helikopters besteld voor het leger en de federale politie. NHV maakt gebruik van hetzelfde type toestellen en dingt mee naar een groot onderhoudscontract voor deze nieuwe defensiehelikopters. Indien de overname doorgaat, zou een Chinees bedrijf mogelijk toegang krijgen tot gevoelige informatie over militaire en politionele middelen. Het dossier ligt momenteel ter beoordeling bij de Federale Overheidsdienst Economie en de Mededingingsautoriteit voor de noodzakelijke goedkeuringen.

Bron 1

Een staatgelieerde dreigingsactor heeft tussen november en december vorig jaar verkenningsactiviteiten uitgevoerd gericht op overheidsinstanties in 155 landen. Daarnaast zijn tientallen netwerken van overheden en kritieke infrastructuren in 37 landen gecompromitteerd in operaties genaamd 'Shadow Campaigns'. Volgens Unit 42, de onderzoekstak van Palo Alto Networks, is de groep actief sinds januari 2024 en opereert deze vermoedelijk vanuit Azië. De onderzoekers volgen de actor onder de naam TGR-STA-1030/UNC6619, totdat een definitieve attributie mogelijk is.
De activiteiten van 'Shadow Campaigns' richten zich voornamelijk op overheidsministeries, wetshandhaving, grensbewaking, financiën, handel, energie, mijnbouw, immigratie en diplomatieke diensten. Unit 42 bevestigde dat de aanvallen succesvol waren bij minstens 70 overheids- en kritieke infrastructuurorganisaties in 37 landen, waaronder organisaties betrokken bij handelsbeleid, geopolitieke kwesties en verkiezingen in Noord-, Midden- en Zuid-Amerika, ministeries en parlementen in verschillende Europese landen, het Australische ministerie van Financiën, en overheids- en kritieke infrastructuur in Taiwan.
Tijdens de shutdown van de Amerikaanse overheid in oktober 2025 toonde de dreigingsactor verhoogde interesse in het scannen van entiteiten in Noord-, Midden- en Zuid-Amerika (Brazilië, Canada, Dominicaanse Republiek, Guatemala, Honduras, Jamaica, Mexico, Panama en Trinidad en Tobago). Er werd significante verkenningsactiviteit ontdekt tegen "minstens 200 IP-adressen die de infrastructuur van de regering van Honduras hosten", slechts 30 dagen voor de nationale verkiezingen.
Unit 42 schat dat de dreigingsgroep de volgende entiteiten heeft gecompromitteerd: Het Braziliaanse Ministerie van Mijnen en Energie, het netwerk van een Boliviaanse entiteit gelieerd aan mijnbouw, twee ministeries in Mexico, een overheidsinfrastructuur in Panama, een IP-adres dat geolokaliseerd is naar een Venezolana de Industria Tecnológica faciliteit, overheidsentiteiten in Cyprus, Tsjechië, Duitsland, Griekenland, Italië, Polen, Portugal en Servië, een Indonesische luchtvaartmaatschappij, meerdere ministeries in Maleisië, een Mongoolse wetshandhavingsinstantie, een grote leverancier in de Taiwanese energieapparatuurindustrie, een Thais overheidsdepartement, en kritieke infrastructuurentiteiten in de Democratische Republiek Congo, Djibouti, Ethiopië, Namibië, Niger, Nigeria en Zambia.
TGR-STA-1030/UNC6619 probeerde ook verbinding te maken via SSH met infrastructuur van het Australische ministerie van Financiën, het Afghaanse ministerie van Financiën en het kantoor van de premier en de ministerraad van Nepal. De dreigingsgroep scande ook infrastructuur van de Tsjechische overheid (leger, politie, parlement, ministeries van Binnenlandse Zaken, Financiën, Buitenlandse Zaken en de website van de president) en probeerde verbinding te maken met de infrastructuur van de Europese Unie door zich te richten op meer dan 600 IP-adressen die *.europa.eu domeinen hosten. In juli 2025 richtte de groep zich op Duitsland en initieerde verbindingen met meer dan 490 IP-adressen die overheidssystemen hosten.
De eerste operaties maakten gebruik van phishing-e-mails gericht aan overheidsfunctionarissen, met verwijzingen naar interne reorganisaties. De e-mails bevatten links naar kwaadaardige archieven met gelokaliseerde namen, gehost op Mega.nz. De gecomprimeerde bestanden bevatten een malware loader genaamd Diaoyu en een zero-byte PNG-bestand genaamd pic1.png. De Diaoyu loader haalt Cobalt Strike payloads en het VShell framework op voor command-and-control (C2) onder bepaalde voorwaarden. De loader controleert op een horizontale schermresolutie van minstens 1440 pixels en de aanwezigheid van het bestand pic1.png in de uitvoeringsdirectory. Het zero-byte image fungeert als een integriteitscontrole; bij afwezigheid stopt de malware. Om detectie te vermijden, zoekt de loader naar actieve processen van Kaspersky, Avira, Bitdefender, Sentinel One en Norton (Symantec). Naast phishing maakte TGR-STA-1030/UNC6619 ook gebruik van minstens 15 bekende kwetsbaarheden om toegang te krijgen. De actor maakte gebruik van beveiligingsproblemen in SAP Solution Manager, Microsoft Exchange Server, D-Link en Microsoft Windows.
De toolkit van TGR-STA-1030/UNC6619 omvat webshells zoals Behinder, Godzilla en Neo-reGeorg, tunneling tools zoals GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) en IOX, en een custom Linux kernel eBPF rootkit genaamd ‘ShadowGuard’. ShadowGuard verbergt kwaadaardige procesinformatie op kernelniveau en kan tot 32 PIDs verbergen voor Linux monitoring tools. Het kan ook bestanden en directories genaamd swsecret verbergen. De infrastructuur maakt gebruik van victim-facing servers met legitieme VPS-providers in de VS, Singapore en het VK, relay servers voor verkeersobfuscatie, en residential proxies of Tor voor proxying.
Unit 42's rapport bevat indicators of compromise (IoCs) om verdedigers te helpen deze aanvallen te detecteren en blokkeren.

Bron 1

De Russische FSB veiligheidsdienst heeft op zondag bekendgemaakt dat een Russische man die verdacht wordt van het neerschieten en verwonden van Vladimir Alekseyev, een hoge Russische militaire inlichtingenofficier, in Moskou is gearresteerd in Dubai.

De man, in de zestig, werd “gearresteerd en overgedragen aan Rusland” nadat hij naar de Verenigde Arabische Emiraten was gevlucht. Een vermeende medeplichtige werd gearresteerd in Moskou, terwijl een ander naar Oekraïne ontsnapte, aldus Russische media, die de FSB citeerden.

Sinds Rusland in februari 2022 zijn grootschalige invasie van Oekraïne begon, zijn verschillende hooggeplaatste militaire functionarissen vermoord in Rusland en in door Moskou gecontroleerd Oekraïens gebied.

Alekseyev, de plaatsvervangend hoofd van de Russische militaire inlichtingendienst GRU, werd vrijdag in een appartement in Moskou neergeschoten en opgenomen in het ziekenhuis. Hij staat onder Westerse sancties vanwege zijn vermeende rol in cyberaanvallen en de organisatie van een zenuwgifaanval op de Russische overloper Sergei Skripal in Groot-Brittannië in 2018.

De Russische minister van Buitenlandse Zaken Sergei Lavrov heeft Oekraïne beschuldigd van het beramen van de schietpartij. Kyiv, dat de verantwoordelijkheid heeft opgeëist voor de dood van verschillende hooggeplaatste Russische militaire functionarissen sinds het begin van de oorlog, heeft in deze zaak geen commentaar gegeven.

Bron: AFP

De Russische Federale Veiligheidsdienst (FSB) heeft bekendgemaakt dat twee mannen hebben bekend betrokken te zijn bij een poging tot moord op een hoge Russische militair inlichtingenofficier. Volgens de FSB werd de aanval bevolen door de Oekraïense veiligheidsdienst SBU. De verdachten, Lyubomir Korba en Viktor Vasin, zouden het gemunt hebben op luitenant-generaal Vladimir Alekseyev, de plaatsvervangend hoofd van de Russische GRU, in Moskou.

De FSB beweert dat Korba in augustus 2025 werd gerekruteerd, getraind in Kyiv en via Moldavië en Georgië naar Rusland werd gestuurd. De Oekraïense veiligheidsdienst zou hem 30.000 dollar hebben beloofd voor de aanslag. De FSB beweert verder dat de Poolse inlichtingendienst betrokken was bij het rekruteren van Korba, via zijn zoon, een Poolse staatsburger die in Katowice woont. Er is geen bewijs voor deze bewering geleverd.

Volgens de Russische veiligheidsfunctionarissen voerde Korba surveillance uit op hoge militaire officieren in Moskou en ontving hij in december de opdracht om Alekseyev te vermoorden. Hij zou een pistool met een suppressor en een elektronische sleutel tot het appartementencomplex van de generaal hebben opgehaald uit een wapenopslagplaats in de buurt van Moskou. De FSB zegt dat de sleutel werd verstrekt door een vrouw die in hetzelfde gebouw als Alekseyev woonde en later Rusland verliet naar Oekraïne. De tweede verdachte, Viktor Vasin, zou een appartement voor Korba hebben gehuurd en hem hebben geholpen zich in Moskou te verplaatsen. De FSB beschrijft Vasin als een aanhanger van Russische oppositiegroepen en protestbewegingen.

Korba werd in Dubai gearresteerd en "overgedragen aan Rusland", aldus de FSB. Hij is in de zestig. Vasin, de vermeende medeplichtige, werd aangehouden in Moskou, terwijl een andere verdachte naar verluidt naar Oekraïne is ontsnapt. De aanval vond plaats op de ochtend van 6 februari, toen Alekseyev meerdere keren werd beschoten in het trappenhuis van zijn appartementencomplex aan de Volokolamskoye Highway. Hij werd in kritieke toestand naar het ziekenhuis gebracht, maar kwam na een operatie weer bij bewustzijn, meldden Russische media. Alekseyev is sinds 2011 eerste plaatsvervangend hoofd van de GRU.

Alekseyev, geboren in de Oekraïense regio Vinnytsia, heeft operaties in Syrië overzien, heeft geholpen bij het opzetten van het zogenaamde Russische Vrijwilligerskorps en speelde een rol bij de onderhandelingen tijdens de Wagner-muiterij in 2023. Hij werd in 2017 onderscheiden met de titel "Held van Rusland". Westerse regeringen hebben hem sancties opgelegd voor cyberoperaties, de vergiftiging van Skripal en zijn rol bij het aanvallen van Oekraïne.

Bron: Kyiv Post

Gelekte technische documenten onthullen dat China cyberaanvallen op de kritieke infrastructuur van zijn buurlanden aan het oefenen is. De documenten, die zijn ingezien door Recorded Future News, tonen aan dat China een geheim trainingsplatform gebruikt om aanvallen te simuleren op de energie-, transport- en smart home-sectoren van zijn buurlanden in de Zuid-Chinese Zee en Indochina.

Het platform, genaamd "Expedition Cloud", is ontworpen om aanvallers te laten oefenen in replica's van "de echte netwerkomgevingen" van China's "operationele tegenstanders". De gelekte materialen omvatten broncode, trainingsinformatie en software assets, en bieden inzicht in de voorbereidingen die voorafgaan aan dergelijke aanvallen.

Het systeem verdeelt de trainingsoefeningen voor cyberaanvallen tussen twee teams: een verkenningsgroep en een aanvalsgroep. De verkenningsgroep brengt de digitale omgeving in kaart, terwijl de aanvalsgroep die informatie gebruikt om een geplande operatie binnen het netwerk uit te voeren. Het platform registreert elke actie die door de deelnemende teams wordt ondernomen, waardoor de hele operatie kan worden gereconstrueerd en opnieuw afgespeeld.

Experts zeggen dat het ontwerp van het systeem wijst op een groter gebruik van kunstmatige intelligentie in cyberoperaties. Allar Vallaots, de chief operating officer bij CR14, zei dat de strikte netwerksegmentatie significant is en aangeeft dat er classified of operationele tools worden gebruikt. Dakota Cary, een specialist op China voor cybersecuritybedrijf SentinelOne, zei dat de cache een zeldzaam inzicht bood en de eerste keer was dat buitenlandse analisten taal uit China zagen die expliciet de targeting van buitenlandse netwerken beschreef.

De documenten werden ontdekt op een onbeveiligde File Transfer Protocol (FTP)-server die materiaal verzamelde van een persoonlijk apparaat van een van de Expedition Cloud-ontwikkelaars, dat was geïnfecteerd met malware. Het platform is ontwikkeld door een bedrijf genaamd CyberPeace (赛宁网安), dat uitgebreide banden met de Chinese overheid en het leger onderhoudt.

De gelekte documenten benadrukken de scheiding tussen interne controlesystemen en de gesimuleerde externe omgeving, die wordt behandeld als "niet-vertrouwd" en kwetsbaar voor lekken. Dit suggereert dat de cyber range wordt gebruikt voor geheime doeleinden. De mogelijkheid om elke stap tijdens een aanval te beoordelen, maakt het mogelijk om verschillende teams te vergelijken en de meest effectieve methoden te evalueren.

Bron: Recorded Future

Bron 2: netaskari.substack.com

Bron 3: mfa.gov.cn

Bron 4: cset.georgetown.edu

Bron 5: news.ycombinator.com

Bron 6: bsky.app

Rusland heeft politiek asiel verleend aan een Spaanse staatsburger die in zijn thuisland wordt beschuldigd van "cyberterrorisme en spionage" ter ondersteuning van Moskou, aldus Russische staatsmedia. Enrique Arias Gil, een voormalig universiteitsprofessor in Spanje, verklaarde in een interview met persbureau TASS dat hij in februari 2025 asiel had aangevraagd in Rusland en sindsdien de status van politiek vluchteling heeft gekregen. Hij is momenteel bezig met het invullen van papierwerk om het staatsburgerschap te verkrijgen.

Arias Gil reisde in augustus 2024 naar Rusland met een beurs van Russian House, een door Moskou gefinancierd cultureel instituut dat in het buitenland actief is. In september 2025 plaatste Europol hem op haar lijst van meest gezochte personen, terwijl een Spaanse rechtbank een internationaal arrestatiebevel uitvaardigde. Politiebronnen vertelden lokale media echter dat Moskou waarschijnlijk niet zou meewerken.

De autoriteiten verdenken Arias Gil ervan informatie te verzamelen over de kritieke infrastructuur van Spanje en leden van de veiligheidstroepen om cyberaanvallen te faciliteren. Hij wordt er ook van beschuldigd journalisten en bedrijfsleiders die Oekraïne steunden, te hebben bedreigd. Arias Gil, die eerder doceerde over politieke wetenschappen en auteur is van boeken over extremisme, wordt gezocht op aanklachten waaronder computerschade voor terroristische doeleinden, lidmaatschap van een criminele organisatie en verheerlijking van terrorisme.

Arias Gil zat naar verluidt achter een Spaanstalig Telegram-kanaal genaamd Desinformador Ruso ("Russische Desinformant"), dat in maart 2024 werd opgericht en berichten heeft geplaatst over cyberaanvallen die werden geclaimd door NoName057(16) en een andere pro-Russische groep, Z-Pentest. Twee dagen nadat hij tot meest gezochte persoon was verklaard, plaatste Arias Gil een uitdagend bericht op zijn Telegram-kanaal, waarin hij eiste dat de Spaanse wetshandhaving de zaak binnen 10 uur zou laten vallen, anders zou hij vermeend compromat over hoge ambtenaren vrijgeven.

NoName057(16) dook begin 2022 op na de Russische invasie van Oekraïne. De groep heeft zich voornamelijk gericht op disruptieve, maar relatief eenvoudige cyberoperaties, waarbij gebruik wordt gemaakt van vrijwillige deelnemers en botnets om gerichte websites in heel Europa en Noord-Amerika te overweldigen. Supporters van NoName057(16) beschreven de zaak tegen Arias Gil eerder als politiek gemotiveerd en zeiden dat hij alleen inhoud had gepost die verband hield met hun cyberoperaties.

Bron: TASS

Bron 2: news.ycombinator.com

Bron 3: bsky.app

Bron 4: recordedfuture.com

Duitse veiligheidsexperts hebben een verhoogde staat van alert afgekondigd na een golf van digitale aanvallen gericht op hooggeplaatste functionarissen en publieke figuren. De waarschuwing komt van de hoogste veiligheidsinstanties van het land: het Bundesamt für Sicherheit in der Informationstechnik (BSI) en het Bundesamt für Verfassungsschutz (BfV). Zij hebben ontdekt dat door staten gesteunde hackers actief proberen in te breken in het privéleven van militaire leiders, diplomaten en onderzoeksjournalisten in heel Europa.

In plaats van virussen of complexe computerbugs maken de aanvallers gebruik van social engineering binnen de Signal messaging app. Ze maken gebruik van reguliere instellingen en functies van Signal om privéchats te bespioneren zonder dat de gebruikers dit weten.

De hackers doen zich voor als het Signal Security Support team en sturen via een chatbot een direct bericht waarin ze beweren dat er een groot beveiligingslek of een lek van privégegevens is. Om gebruikers snel te laten handelen, wordt hen verteld dat ze hun account onmiddellijk moeten verifiëren, anders verliezen ze alles. Als iemand hierin trapt, vragen de hackers om een zescijferige beveiligingspincode of een code die via sms wordt verzonden. Na het bemachtigen van deze code kunnen ze dat telefoonnummer op hun eigen apparaat registreren. Dit sluit de echte eigenaar effectief buiten van zijn account, waardoor de hackers berichten kunnen verzenden alsof ze die persoon zijn, wat zelfs kan worden gebruikt om desinformatie te verspreiden in groepschats.

Een tweede methode is moeilijker te herkennen omdat het slachtoffer zijn account normaal kan blijven gebruiken. In dit geval neemt een aanvaller contact op met het doelwit met een geloofwaardig verhaal en vraagt hen een QR-code te scannen. Terwijl de gebruiker denkt dat hij inlogt op een document of een groep, koppelt hij in werkelijkheid het apparaat van de aanvaller, zoals een tablet of een laptop, aan zijn eigen account. Dit geeft de spion toegang tot de laatste 45 dagen van de chatgeschiedenis en laat hem elk nieuw bericht lezen zodra het binnenkomt.

Om veilig te blijven, adviseren veiligheidsexperts om alle berichten van de support te negeren, aangezien echte Signal-medewerkers nooit rechtstreeks om een pincode of code zullen vragen. Gebruikers wordt aangeraden de sectie "Linked Devices" in hun instellingen te controleren en alle niet-herkende gadgets onmiddellijk te verwijderen. Het inschakelen van een "Registration Lock" zorgt ervoor dat zelfs als iemand de sms-code bemachtigt, hij het account niet kan overnemen zonder de geheime pincode.

Bron: BSI

Bron 2: aa.com.tr

Het Cyber Security Agency of Singapore (CSA) heeft bekendgemaakt dat de netwerken van grote Singaporese telecomproviders vorig jaar zijn getroffen door een inbraak. De aanval werd uitgevoerd door een groep genaamd UNC3886. Volgens het CSA was dit de grootste "cyber incident response effort" in de geschiedenis van het land. Meer dan honderd mensen van verschillende overheidsinstanties, waaronder de inlichtingendiensten, waren gedurende elf maanden bij de operatie betrokken.

De telecombedrijven M1, SIMBA Telecom, Singtel en StarHub waren het doelwit van de aanvallen. De aanvallers maakten gebruik van een zero-day exploit in een niet nader genoemd product en installeerden rootkits om toegang te behouden. De aanvallers wisten op de netwerken en systemen van de telecomproviders in te breken, waarbij ze ook "beperkte toegang" kregen tot vitale systemen. Het CSA stelt dat de aanvallers niet ver genoeg zijn gekomen om de dienstverlening te verstoren. Er zijn geen aanwijzingen dat gevoelige of persoonlijke informatie van klanten is gestolen. Wel wisten de aanvallers technische informatie te stelen, vermoedelijk om de netwerken verder te compromitteren.

Hoewel het CSA geen technische details geeft, is bekend dat UNC3886 misbruik maakt van kwetsbaarheden in VMware vCenter/ESXi, Fortinet FortiOS, Ivanti Connect Secure en Juniper Junos OS. Het CSA zegt maatregelen te zullen nemen om de digitale verdediging van Singapore te versterken en sneller op incidenten te kunnen reageren. Volgens het CSA en securitybedrijven is UNC3886 een aan China gelieerde spionagegroep.

Bron: CSA

Bron 2: trendmicro.com

Volgens Oekraïense partizanen bouwt Rusland een nieuwe militaire basis nabij Melitopol, in het bezette deel van de Zaporizhzhia-regio in Oekraïne. De Atesh-beweging meldde via Telegram dat de basis zich bevindt in het dorp Mirne, vlakbij Melitopol.

Atesh-agenten melden dat de locatie toebehoort aan het 291e Garde Gemotoriseerde Rifle Regiment van de Russische strijdkrachten en 24 uur per dag wordt bewaakt. De gemelde coördinaten zijn N46° 55.83174’, E35° 25.05522’. Er is actieve bouwactiviteit op de locatie, waar Rusland een groot veldkamp bouwt om personeel te huisvesten. Volgens de partizanen wordt er speciale aandacht besteed aan het creëren van gespecialiseerde trainingsclusters, waaronder locaties voor drone-operator training.

Atesh verklaarde dat de vijand probeert een achterhoede te creëren voor het opleiden van reserves en drone-operators, in de hoop dat deze buiten bereik zal blijven diep in bezet gebied. De groep voegde eraan toe dat de constructie wordt gemonitord door het ondergrondse netwerk en dat de coördinaten al zijn doorgegeven aan de Oekraïense defensietroepen. Verder meldde Atesh eerder in februari massale controles en ondervragingen binnen de door Rusland geïnstalleerde administratie van de regio Zaporizhzhia, met name in Melitopol. Sinds half januari 2026 zijn interne inspecties en ondervragingen van personeel gaande in de bezettingsadministratie. De activiteiten zijn bijzonder intens in Melitopol en verschillende districtsadministraties.

Werknemers worden naar verluidt opgeroepen voor interviews, waarbij hun persoonlijke mobiele telefoons en correspondentie worden geïnspecteerd. In sommige gevallen worden apparaten tijdelijk in beslag genomen voor gedetailleerde analyse. Volgens voorlopige informatie volgen de maatregelen op lekken van gevoelige gegevens over locaties van Russische eenheden, logistieke routes, troepenverplaatsingen en verschillende infrastructurele incidenten in de regio. Het leiderschap overweegt serieus de aanwezigheid van een interne bron.

Ondertussen is het bezette Mariupol in de regio Donetsk ook een centrum geworden voor Russische militaire training, aldus Channel 24, daarbij Petro Andryushchenko citerend, het hoofd van het Centrum voor de Studie van Bezetting. Rusland heeft minstens drie trainingslocaties rond Mariupol gevestigd. De belangrijkste locatie in de agglomeratie Mariupol-Berdyansk ligt in de buurt van de dorpen Urzuf en Babakh-Tarama in de regio Donetsk en dicht bij Kulykivske in de regio Zaporizhzhia. Twee extra trainingslocaties bevinden zich in het noordoosten en noordwesten. Deze bases trainen voornamelijk aanvalseenheden, waaronder Storm-V formaties, die later worden ingezet langs de frontlinie van Vasylivka in de regio Zaporizhzhia tot de noordelijke regio Donetsk.

Bron: Kyiv Post

Oekraïne beschuldigt Rusland van een desinformatiecampagne gericht op het in diskrediet brengen van het Oekraïense team tijdens de Winterspelen. Via nepberichten op diverse online platforms, die meer dan een miljoen keer bekeken zijn, wordt onder andere beweerd dat skeletonracer Vladyslav Heraskevych verbannen is van deelname, omdat hij een helm droeg met afbeeldingen van atleten die in de oorlog zijn omgekomen.

Volgens het Oekraïense centrum voor het bestrijden van desinformatie probeert Rusland met deze valse berichten Oekraïners in diskrediet te brengen en de internationale steun voor Oekraïne te ondermijnen. Minister van Sport Matviy Bidny benadrukt dat de berichten onderdeel zijn van een gecoördineerde campagne met volledig vervalste verhalen.

Een van de berichten betrof een digitaal gemanipuleerd Reuters-artikel over Heraskevych, waarin valselijk werd beweerd dat zijn broer soldaten ronselt voor de oorlog en dat een Hongaarse atleet een sticker droeg met de tekst "we zijn Oekraïne allemaal zat". Ook circuleerden er berichten dat Oekraïense teamleden apart gehuisvest waren vanwege "toxisch" gedrag, dat dopingcontroles versoepeld waren zodat ze "psychoactieve stoffen" konden nemen, en dat 52 van hun vertalers waren weggelopen.

Een nepvideo met een logo dat leek op dat van E! News beweerde dat rapper Snoop Dogg, die verslag doet van de Spelen voor NBC, had geweigerd met het Oekraïense team op de foto te gaan vanwege het "nazisme" van het leger.

Pablo Maristany de las Casas, analist bij het Institute for Strategic Dialogue, stelt dat de berichten deel uitmaken van een Russische campagne genaamd Operation Overload, die ook actief was tijdens de Olympische Zomerspelen in Parijs 2024. De campagne imiteert media zoals Euronews, maar ook de Israëlische inlichtingendienst Mossad en het Italiaanse ministerie van Volksgezondheid. Het doel is om niet alleen Oekraïense atleten, maar ook vluchtelingen in diskrediet te brengen met de boodschap dat "Oekraïners chaos zaaien".

De Canadese omroep CBC publiceerde een factcheck van een nepvideo over Oekraïense atleten, waarin de eerste 15 seconden van een echte video van CBC waren gebruikt. Vervolgens nam een AI-gegenereerde versie van de stem van Adrienne Arsenault het over, waarin ze zei dat het Oekraïense team zo ver mogelijk van anderen was gehuisvest omdat de atleten "extreem toxisch" waren geweest op de Olympische Spelen in Parijs. De echte video bevatte geen verwijzingen naar Oekraïne of Oekraïense atleten.

Het Internationaal Olympisch Comité verklaarde dat de Oekraïners zich in dezelfde faciliteiten bevonden als andere teams en noemde de video "absoluut vals en een poging tot opzettelijke verkeerde voorstelling van zaken". De video verscheen voor het eerst op het Russischtalige Telegram-kanaal "Odessa for Victory" op 5 februari en is volgens Provereno Media, een factcheckorganisatie uit Estland, meer dan een miljoen keer bekeken en opgepikt door pro-Kremlin media.

Bron: AFP