• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

• Overzicht maand november 2025

NATO overweegt een meer proactieve benadering in reactie op de steeds intensievere hybride aanvallen van Rusland. Deze aanvallen omvatten onder andere cyberaanvallen, sabotage-operaties en schendingen van het luchtruim. NATO-functionarissen hebben zelfs de mogelijkheid van een zogenaamde "preventieve aanval" op Russische doelwitten in overweging genomen.

Admiral Giuseppe Cavo Dragone, voorzitter van de militaire commissie van NATO, verklaarde in een interview met de Financial Times dat de alliantie haar traditionele reactieve houding heroverweegt, nu Europa wordt geconfronteerd met een toename van hybride incidenten die aan Rusland worden toegeschreven. Recente gevallen omvatten het doorsnijden van onderzeese kabels in de Baltische Zee, grootschalige cyberinbreuken over het continent en drone-activiteit nabij de grenzen van bondgenoten.

Dragone benadrukte dat hoewel een offensieve cyberreactie de eenvoudigste optie zou zijn, gezien veel lidstaten over dergelijke capaciteiten beschikken, het reageren op fysieke sabotage of drone-inbraken complexer zou zijn. Hij stelde dat een "preventieve aanval" onder bepaalde omstandigheden als een defensieve actie kan worden beschouwd, hoewel dit verder gaat dan de gebruikelijke manier van denken en handelen binnen NATO.

De zorgen over een te passieve benadering worden gedeeld door diplomaten, vooral uit Oost-Europa, die pleiten voor maatregelen die Rusland kosten zouden opleggen. Zij stellen dat als NATO alleen reactief blijft, Rusland wordt uitgenodigd om door te gaan met aanvallen. Tegelijkertijd wijst NATO op het succes van de operatie Baltic Sentry, die werd opgezet om vitale onderwaterinfrastructuur te beschermen. Deze gezamenlijke maritieme en luchtaanvallen hebben herhaling van de kabeldoorsnijdingsincidenten die in 2023 en 2024 plaatsvonden, voorkomen.

Bron 1, 2

De hacker-groep APT36, die wordt geassocieerd met Pakistan en ook wel bekend is onder de naam Transparent Tribe, heeft een geavanceerde cyberespionagecampagne opgezet gericht op Indiase overheidsinstanties. Deze campagne maakt gebruik van nieuwe, Python-gebaseerde ELF-malware, wat een significante stap vooruit betekent in de capaciteiten van de groep. De groep heeft een verfijnde aanvalsmethode ontwikkeld die specifiek is aangepast voor Linux-besturingssystemen, waarmee ze hun aanvallen kunnen uitbreiden naar een nieuw platform dat veel wordt gebruikt door de Indiase overheid.

De aanval werd uitgevoerd via spear-phishing e-mails, die wapens bevatten in de vorm van schadelijke Linux-snelkoppelingbestanden. Deze bestanden werden zodanig ontworpen dat, wanneer ze werden geopend, de malware in de achtergrond werd gedownload en uitgevoerd zonder dat de gebruiker zich bewust was van de infectie. De malware werd vervolgens geïnstalleerd via een complexe, meerlagige aanvalsmethode die de aanvallers in staat stelde hun aanwezigheid geheim te houden en tegelijkertijd permanente toegang te verkrijgen tot kritieke infrastructuur.

De keuze van APT36 om over te schakelen van Windows naar Linux markeert een strategische wijziging in hun werkwijze. Hoewel de groep eerder vooral gericht was op Windows-systemen, toont deze nieuwe campagne aan dat ze zich nu ook richten op het BOSS-besturingssysteem, dat veelvuldig wordt ingezet binnen Indiase overheidsorganisaties. Dit wijst op een evolutie van hun operationele doctrines, waarbij meerdere platformen worden benut om de effectiviteit van hun aanvallen te vergroten.

De malware maakt gebruik van .desktop-bestanden om de schadelijke payload te verbergen en zo traditionele beveiligingsmaatregelen te omzeilen. Het bestand wordt gepresenteerd als een legitiem Linux-bestand, maar bevat verborgen commando’s die de malware naar het systeem brengen. De malware zelf is een krachtige tool voor het verkrijgen van op afstand toegang, het uitvoeren van willekeurige commando’s, het maken van schermafbeeldingen en het exfiltreren van data. Door gebruik te maken van systemd-gebruikerservices kan de malware zichzelf persistent maken, zodat deze blijft draaien na herstarts van het systeem.

De malware werd verspreid via phishingcampagnes die gebruik maakten van onlangs geregistreerde domeinen en gecompromitteerde servers in verschillende landen. De specifieke domeinen en IP-adressen die werden gebruikt om de payload te leveren, wijzen op een goed geplande en gecoördineerde aanval. De Indiase overheidsinstanties worden geadviseerd om onmiddellijk beveiligingsmaatregelen te versterken, zoals verbeterde e-mailbeveiliging en strikte endpointbeveiliging, om deze voortdurende dreiging te kunnen afweren.

Bron 1

Rusland heeft door de eeuwen heen herhaaldelijk verdragen geschonden, van het Russische rijk tot de moderne Russische Federatie. Dit gedrag heeft niet alleen geopolitieke instabiliteit veroorzaakt, maar heeft ook invloed op de digitale veiligheid van landen over de hele wereld, inclusief Nederland en België. De recente ontwikkelingen in Oekraïne, waaronder de annexatie van de Krim en de steun voor separatisten in het oosten van Oekraïne, zijn voorbeelden van hoe Rusland zich niet houdt aan internationale verdragen, wat heeft bijgedragen aan verhoogde cyberdreigingen en hybride oorlogsvoering in Europa.

Met het toenemende gebruik van cyberaanvallen, desinformatiecampagnes en andere digitale aanvallen door Rusland, moeten Europese landen, waaronder Nederland en België, waakzaam blijven. De onbetrouwbaarheid van Rusland in het naleven van internationale afspraken heeft geleid tot een grotere dreiging voor kritieke infrastructuur en de veiligheid van digitale systemen, wat een directe invloed heeft op de dagelijkse bedrijfsvoering en persoonlijke veiligheid van Europese burgers.

De gevolgen van deze schendingen zijn duidelijk in de huidige geopolitieke context, waar Russische cyberaanvallen een steeds groter onderdeel vormen van de bredere strategie om landen te destabiliseren. Dit heeft niet alleen directe implicaties voor de nationale veiligheid, maar ook voor de bescherming van de digitale infrastructuur in Nederland en België.

Bron 1

Noord-Korea voert een ongekend inlichtingenoperatie uit waarbij ontwikkelaars worden verleid om hun identiteit te verhuren voor illegale fondsenwervingsdoeleinden. Het beruchte Chollima, een onderdeel van de staatsgesponsorde Lazarus-groep van Noord-Korea, staat bekend om zijn social engineering-campagnes waarmee het Westerse bedrijven infiltreert voor spionage en het genereren van inkomsten voor het regime. Deze groep heeft erin geslaagd recruiters te misleiden en banen te verkrijgen bij Fortune 500-bedrijven door gestolen identiteiten te gebruiken en een breed scala aan AI-technologie, waaronder deepfake-video's, in te zetten. Opmerkelijk is dat de betrokkenen niet fysiek aanwezig waren bij sollicitatiegesprekken, omdat zij gebruikmaakten van technieken die hen onzichtbaar hielden voor de camera's.

Een andere tactiek is om legitieme ingenieurs te rekruteren die als figuurlijke voorhoede optreden in de operaties van de Noord-Koreaanse agenten. Deze ingenieurs krijgen de taak om de interacties met bedrijven tijdens sollicitatiegesprekken te verzorgen, waarbij ze een percentage van het salaris ontvangen – tussen de 20% en 35% – gedurende de duur van het contract. Als de ingenieur bereid is om zijn computer aan de agenten ter beschikking te stellen, kan hij een hoger bedrag verdienen. De Noord-Koreaanse agenten gebruiken de computer en de ingenieur als proxy voor hun kwaadaardige activiteiten, zodat hun locatie en sporen niet traceerbaar zijn.

Mauro Eldritch, een hacker en specialist in dreigingsanalyse bij BCA LTD, legt uit dat de ingenieurs die hun identiteit verhuren alle risico’s dragen. Zij zullen verantwoordelijk zijn voor de schade die wordt aangericht, aangezien zij de identiteit hebben verhuurd aan de agenten. Eldritch heeft eerder verschillende ontmoetingen gedocumenteerd met Noord-Koreaanse agenten die op zoek waren naar ingenieurs of ontwikkelaars die snel geld wilden verdienen.

Onlangs ontdekte Eldritch meerdere GitHub-accounts die vol stonden met recruteringsberichten van Famous Chollima. Deze berichten nodigden ingenieurs uit om deel te nemen aan technische sollicitatiegesprekken, waarbij de recruiters een valse identiteit aanboden om de ingenieurs te helpen "effectief" te reageren op interviewers. De technici werden niet verplicht om de technische onderwerpen volledig te beheersen, omdat de recruiter hen zou ondersteunen bij het beantwoorden van vragen.

De onderzoekers gebruikten sandboxdiensten van ANY.RUN om een gesimuleerde laptopfarm te creëren waarmee ze de activiteiten in real-time konden opnemen en later analyseren. In dit gecontroleerde onderzoek reageerde García, een van de onderzoekers, als een beginnende ingenieur op het recruteringsaanbod, met als doel de strategieën en gebruikte tools van de Noord-Koreaanse agenten te ontdekken. Ze stelden vast dat de recruiter onder meer gebruikmaakte van AI-gestuurde extensies zoals AIApply en Final Round AI om sollicitaties in te vullen en real-time reacties tijdens interviews te genereren.

Naast deze AI-tools ontdekte men ook de toepassing van Google Remote Desktop en technieken voor systeemverkenning. In sommige gevallen werd er zelfs een VPN-dienst gebruikt, Astrill VPN, die populair blijkt te zijn onder de Noord-Koreaanse IT-werknemers die zich achter valse identiteiten verschuilen.

Het onderzoek biedt waardevolle inzichten in de tactieken en tools die door de Noord-Koreaanse hackers worden gebruikt om bedrijven te infiltreren en legitieme ingenieurs te misleiden. De gegevens die zijn verzameld kunnen bedrijven helpen zich voor te bereiden op mogelijke infiltratiepogingen, hun werkprocessen te verstoren en hun detectiemethoden te verbeteren, verder dan de traditionele methoden voor malwaredetectie.

Bron 1

Hackers die gelinkt worden aan de Iraanse staat hebben opnieuw toeslagen uitgevoerd op Israëlische entiteiten in verschillende sectoren, waaronder onderwijs, techniek, lokale overheden, productie, technologie, transport en nutsvoorzieningen. De aanvallen maken gebruik van een nieuwe backdoor, genaamd MuddyViper, en omvatten geavanceerde loaders en hulpmiddelen voor het stelen van inloggegevens.

Deze cyberaanvallen worden toegeschreven aan de hacker-groep MuddyWater, ook bekend als Mango Sandstorm of TA450. Deze groep wordt verondersteld verbonden te zijn met het Iraanse Ministerie van Inlichting en Veiligheid (MOIS). De aanvallen hebben niet alleen Israëlische doelwitten getroffen, maar ook een technologiebedrijf in Egypte. Volgens gegevens van de Israëlische Nationale Cyber-directoraat (INCD) richtte MuddyWater zich op verschillende kritieke sectoren, waaronder lokale overheden, civiele luchtvaart, toerisme, gezondheidszorg, telecommunicatie, informatietechnologie en kleine en middelgrote bedrijven.

De aanvalsketens beginnen vaak met spear-phishing en het misbruik van kwetsbaarheden in VPN-infrastructuur om netwerken binnen te dringen. Traditioneel maakt de groep gebruik van legitieme tools voor remote management, zoals Atera, Level, PDQ en SimpleHelp. Sinds mei 2024 bevatten de phishingcampagnes echter een nieuwe backdoor, genaamd BugSleep (ook wel MuddyRot).

De MuddyViper-backdoor maakt het de aanvallers mogelijk om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en inloggegevens van Windows en browserdata te stelen. Het C/C++-gebaseerde MuddyViper ondersteunt twintig verschillende commando’s om toegang en controle over besmette systemen te verkrijgen. Verschillende versies van de loader, genaamd Fooder, imiteren het klassieke Snake-spel en bevatten een vertraagde uitvoering om detectie te vermijden. Het gebruik van Fooder werd voor het eerst in september 2025 onder de aandacht gebracht door Group-IB.

Daarnaast worden andere tools gebruikt, zoals VAXOne, een backdoor die zich voordoet als Veeam, AnyDesk, Xerox en de OneDrive-updater, evenals CE-Notes, een browserdata-steler die probeert de app-gebonden encryptie van Google Chrome te omzeilen. Ook worden de Blub- en LP-Notes-tools ingezet om gebruikersnaam- en wachtwoordinloggegevens te stelen. MuddyWater’s gebruik van deze nieuwe componenten, zoals de Fooder-loader en de MuddyViper-backdoor, geeft aan dat de groep zijn tactieken heeft verbeterd om stealth, persistentie en het verzamelen van inloggegevens te optimaliseren.

De onthulling van deze aanvallen volgt op eerdere aanvallen van een andere Iraanse groep, APT42, die werd gekoppeld aan een espionagecampagne gericht op individuen en organisaties in Israël. Het blijkt dat de verschillende Iraanse hackinggroepen gebruik maken van dezelfde infrastructuur en doelwitten, wat wijst op een gecoördineerde inspanning door de Iraanse staat.

Bron 1

Aan Oekraïne gelinkte hackers hebben hun cyberaanvallen op de Russische luchtvaartindustrie en de bredere defensiesector geïntensiveerd. Dit gebeurt met behulp van op maat gemaakte malware en gerichte spear-phishing om gevoelige informatie zoals ontwerpen, planningen en interne e-mails te stelen. De campagne richt zich zowel op de belangrijkste aannemers als op kleinere leveranciers binnen de sector. Het primaire doel van de operatie is het in kaart brengen van productieketens en het blootleggen van kwetsbaarheden binnen de Russische oorlogsindustrie. De gestolen data, waaronder informatie van onderzoekslaboratoria, testlocaties en logistieke bedrijven die vliegtuigen, drones en raketsystemen ondersteunen, kan inzicht geven in onderdelentekorten, leveringsvertragingen en softwarefouten. Dit biedt Oekraïense planners een duidelijker beeld van de operationele gereedheid van Rusland.

De kwaadaardige software werd voor het eerst opgemerkt eind 2024 in de vorm van spear-phishing golven. Deze e-mails werden gericht verstuurd naar ingenieurs en projectmanagers die werkzaam zijn in avionica, geleidingssystemen en satellietverbindingen. De lokmiddelen bestonden uit valse vacatures, uitnodigingen voor conferenties of updates over contracten. De bijlagen in deze e-mails exploiteerden vaak verouderde kantoorsoftware op Windows-hosts. Na het openen van het bestand, plaatste het een kleine loader die onopgemerkt de weg vrijmaakte voor de hoofd-payload. Beveiligingsanalisten van Intrinsec identificeerden de malware nadat ze herhaaldelijk uitgaand verkeer hadden waargenomen vanuit een afgelegen kantoor van een defensie-integrator naar zeldzame commandoservers die werden gehost op robuuste infrastructuur. Het technische onderzoek toonde aan dat de aanvallers elke payload zorgvuldig hadden afgestemd op de rol van het slachtoffer, door het toevoegen van op maat gemaakte modules voor het verzamelen van e-mails, het stelen van documenten en het vastleggen van inloggegevens.

De infectieketen, hoewel eenvoudig, wordt als intelligent beschouwd. De eerste loader, vaak een kleine DLL, wordt alleen in het geheugen uitgevoerd en haalt een tweede-fase script op via een vooraf gedefinieerde URL. Dit script injecteert vervolgens de uiteindelijke payload in een vertrouwd proces, zoals explorer.exe, waardoor het moeilijker te onderscheiden is van normale gebruikersactiviteit. De payload maakt gebruik van een compacte commandolus om flexibel te blijven. Deze logica stelt de operator in staat om te schakelen tussen stille data-diefstal en handmatige controle. Ondanks het duidelijke ontwerp, vermijdt de malware opzichtige persistentietrucs. In plaats daarvan vertrouwt het op geplande taken en gekaapte updatetools om na herstarts terug te keren, terwijl het moeilijk te detecteren blijft. De gebruikte tools zijn fundamenteel eenvoudig, maar worden ingezet met precisie en planning.

Rapport downloaden

De Britse regering heeft nieuwe sancties opgelegd aan de Russische militaire inlichtingendienst GRU nadat een officieel onderzoek concludeerde dat de zenuwgasaanval in Salisbury in 2018 alleen kon zijn goedgekeurd door president Vladimir Poetin. De autoriteiten riepen de Russische ambassadeur op het matje en stelden dat de GRU verantwoordelijk werd gehouden voor meerdere risicovolle operaties, waaronder de poging om Sergej Skripal te doden.

Skripal en zijn dochter Yulia werden in maart 2018 ernstig ziek na blootstelling aan het zenuwgas Novichok. De stof was op de deurklink van de woning van Skripal aangebracht. Een politieman liep eveneens een vergiftiging op. Alle drie overleefden de aanval. Enkele maanden later werden Dawn Sturgess en Charlie Rowley blootgesteld aan Novichok nadat zij een weggegooide parfumfles hadden gevonden. Sturgess overleed, terwijl Rowley het incident overleefde.

Het onderzoek naar het overlijden van Sturgess werd geleid door voormalig opperrechter Anthony Hughes. Hij concludeerde dat de operatie moest zijn goedgekeurd op het hoogste niveau binnen de Russische staat. De familie van Sturgess stelde dat zij slachtoffer werd van een poging tot een gerichte moordoperatie en bekritiseerde de Britse autoriteiten voor onvoldoende risicobeoordeling rondom Skripal.

Het Verenigd Koninkrijk heeft drie vermeende GRU-agenten aangeklaagd, maar door het ontbreken van een uitleveringsverdrag met Rusland is vervolging onwaarschijnlijk. Novichok werd ontwikkeld door de Sovjet-Unie aan het einde van de Koude Oorlog. Westerse deskundigen gaan ervan uit dat de stof alleen in Rusland is geproduceerd, terwijl Moskou die conclusie ontkent.

De sancties richten zich ook op acht personen die volgens de Britse regering als cyberofficieren voor de GRU werkten. Zij zouden Yulia Skripal al jaren voor de aanval hebben proberen te infecteren met malware. De Britse premier Keir Starmer stelde dat de bevindingen van het onderzoek aantonen dat Rusland vijandige activiteiten uitvoert op Brits grondgebied en dat constante alertheid noodzakelijk is.

Bron 1

Rusland heeft beperkingen opgelegd aan FaceTime, de videobelservice van Apple, als onderdeel van een bredere strategie om de controle over internetgebruik en online communicatie te versterken. De Russische autoriteiten beschuldigen de dienst ervan te worden gebruikt voor "terroristische activiteiten" en andere criminele praktijken binnen het land. Dit besluit volgt op eerdere maatregelen die door Rusland zijn genomen om internetverkeer te controleren en te manipuleren.

Daarnaast werd ook de berichtenapp Snapchat geblokkeerd. De Russische internetregulator Roskomnadzor gaf aan dat de applicatie, net als FaceTime, wordt gebruikt voor criminele activiteiten. Hoewel de blokkering van Snapchat al op 10 oktober werd uitgevoerd, werd dit pas onlangs openbaar gemaakt. Deze maatregelen komen op het moment dat Rusland onder leiding van president Vladimir Putin strengere wetgeving heeft aangenomen om internetplatforms die niet voldoen aan de eisen van de overheid, te blokkeren.

De impact van dergelijke maatregelen is wereldwijd voelbaar. Hoewel FaceTime en Snapchat specifiek in Rusland worden beperkt, kunnen deze ontwikkelingen gevolgen hebben voor de manier waarop Europese landen, waaronder Nederland en België, omgaan met de controle en regulering van digitale communicatie. Het benadrukt de noodzaak voor een zorgvuldige afweging tussen nationale veiligheid en de bescherming van de privacy en communicatievrijheden van burgers. Experts wijzen erop dat, ondanks de mogelijkheid om beperkingen te omzeilen via VPN's, de trend van digitale censuur wereldwijd toeneemt, wat een belangrijke discussie oproept over de toekomst van internetvrijheid in Europa.

Bron 1

Roskomnadzor, de Russische telecomwaakhond, heeft besloten om de toegang tot het online gamingplatform Roblox te blokkeren. De reden voor deze blokkade is dat het platform volgens de Russische autoriteiten niet in staat is gebleken om de verspreiding van wat zij beschrijven als LGBT "propaganda" en extremistischer materiaal tegen te gaan. In een verklaring die op woensdag werd gepubliceerd, stelde Roskomnadzor dat Roblox verantwoordelijk is voor de massale en herhaalde verspreiding van materialen die extremistischer en terroristische activiteiten rechtvaardigen, oproepen tot gewelddadige illegale handelingen en de promotie van LGBT-onderwerpen.

De Russische autoriteiten wijzen op specifieke gevallen op het platform, waar gebruikers kunnen deelnemen aan terroristische acties, zoals schoolaanvallen, of deelnemen aan gokken. De opmerkingen van Roskomnadzor benadrukken de bezorgdheid over de schade die dergelijke activiteiten kunnen veroorzaken, met name voor kinderen die gebruikmaken van het platform.

Deze blokkade volgt op eerdere zorgen die in november naar voren kwamen. Roskomnadzor stelde destijds dat het Roblox-moderatieteam herhaaldelijk had aangegeven dat het platform niet in staat was om schadelijke materialen effectief te blokkeren. Roblox, dat wereldwijd door miljoenen gebruikers wordt gespeeld, heeft wereldwijd 1 miljard downloads op Android en meer dan 16 miljoen beoordelingen op iOS.

In reactie op de blokkade verklaarde een woordvoerder van Roblox dat het bedrijf de lokale wetten en regels respecteert en zich inzet voor het creëren van een veilige ruimte voor leren, creatie en betekenisvolle verbindingen. Roblox benadrukte ook zijn inspanningen om schadelijke inhoud op het platform te identificeren en te voorkomen.

De blokkade van Roblox is onderdeel van een bredere trend van Rusland om westerse platforms en apps te reguleren en te censureren. Roskomnadzor heeft eerder apps zoals WhatsApp, Viber en Signal geblokkeerd en de toegang tot buitenlandse private berichtendiensten in overheidsinstellingen verboden. Deze maatregelen komen voort uit de strijd van Rusland tegen wat het beschouwt als bedreigingen voor nationale veiligheid en anti-extremisme.

Bron 1

Op 4 december 2025 werd de website van de Staatsarchieven van België (arch.be) getroffen door een DDoS-aanval, uitgevoerd door de groep "BD Anonymous". Bij deze vorm van cyberaanval wordt de server van de doelwitwebsite overspoeld met verkeer, wat resulteert in een tijdelijke onbeschikbaarheid van de site. De groep "BD Anonymous" heeft de verantwoordelijkheid voor deze aanval opgeëist.

Hoewel DDoS-aanvallen in de cyberdreigingswereld relatief vaak voorkomen, is het opmerkelijk dat de Staatsarchieven van België als doelwit werden gekozen. De Staatsarchieven beheren belangrijke historische en administratieve gegevens, waardoor een verstoring van hun online diensten mogelijk impact kan hebben op toegang tot belangrijke documenten voor zowel burgers als overheidsinstanties.

Op dit moment zijn er geen meldingen van datalekken of schade aan de gegevens van de website. Er wordt verwacht dat de Belgische autoriteiten de aanval onderzoeken en passende maatregelen nemen om de veiligheid van de betrokken systemen te waarborgen.

Dergelijke aanvallen benadrukken de voortdurende dreiging van cybercriminaliteit gericht op overheidsinstellingen in België en andere Europese landen. Ze illustreren ook de kwetsbaarheid van belangrijke digitale infrastructuren voor verstoringen die kunnen leiden tot bredere maatschappelijke gevolgen.