• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

• Overzicht maand november 2025

NATO overweegt een meer proactieve benadering in reactie op de steeds intensievere hybride aanvallen van Rusland. Deze aanvallen omvatten onder andere cyberaanvallen, sabotage-operaties en schendingen van het luchtruim. NATO-functionarissen hebben zelfs de mogelijkheid van een zogenaamde "preventieve aanval" op Russische doelwitten in overweging genomen.

Admiral Giuseppe Cavo Dragone, voorzitter van de militaire commissie van NATO, verklaarde in een interview met de Financial Times dat de alliantie haar traditionele reactieve houding heroverweegt, nu Europa wordt geconfronteerd met een toename van hybride incidenten die aan Rusland worden toegeschreven. Recente gevallen omvatten het doorsnijden van onderzeese kabels in de Baltische Zee, grootschalige cyberinbreuken over het continent en drone-activiteit nabij de grenzen van bondgenoten.

Dragone benadrukte dat hoewel een offensieve cyberreactie de eenvoudigste optie zou zijn, gezien veel lidstaten over dergelijke capaciteiten beschikken, het reageren op fysieke sabotage of drone-inbraken complexer zou zijn. Hij stelde dat een "preventieve aanval" onder bepaalde omstandigheden als een defensieve actie kan worden beschouwd, hoewel dit verder gaat dan de gebruikelijke manier van denken en handelen binnen NATO.

De zorgen over een te passieve benadering worden gedeeld door diplomaten, vooral uit Oost-Europa, die pleiten voor maatregelen die Rusland kosten zouden opleggen. Zij stellen dat als NATO alleen reactief blijft, Rusland wordt uitgenodigd om door te gaan met aanvallen. Tegelijkertijd wijst NATO op het succes van de operatie Baltic Sentry, die werd opgezet om vitale onderwaterinfrastructuur te beschermen. Deze gezamenlijke maritieme en luchtaanvallen hebben herhaling van de kabeldoorsnijdingsincidenten die in 2023 en 2024 plaatsvonden, voorkomen.

Bron 1, 2

De hacker-groep APT36, die wordt geassocieerd met Pakistan en ook wel bekend is onder de naam Transparent Tribe, heeft een geavanceerde cyberespionagecampagne opgezet gericht op Indiase overheidsinstanties. Deze campagne maakt gebruik van nieuwe, Python-gebaseerde ELF-malware, wat een significante stap vooruit betekent in de capaciteiten van de groep. De groep heeft een verfijnde aanvalsmethode ontwikkeld die specifiek is aangepast voor Linux-besturingssystemen, waarmee ze hun aanvallen kunnen uitbreiden naar een nieuw platform dat veel wordt gebruikt door de Indiase overheid.

De aanval werd uitgevoerd via spear-phishing e-mails, die wapens bevatten in de vorm van schadelijke Linux-snelkoppelingbestanden. Deze bestanden werden zodanig ontworpen dat, wanneer ze werden geopend, de malware in de achtergrond werd gedownload en uitgevoerd zonder dat de gebruiker zich bewust was van de infectie. De malware werd vervolgens geïnstalleerd via een complexe, meerlagige aanvalsmethode die de aanvallers in staat stelde hun aanwezigheid geheim te houden en tegelijkertijd permanente toegang te verkrijgen tot kritieke infrastructuur.

De keuze van APT36 om over te schakelen van Windows naar Linux markeert een strategische wijziging in hun werkwijze. Hoewel de groep eerder vooral gericht was op Windows-systemen, toont deze nieuwe campagne aan dat ze zich nu ook richten op het BOSS-besturingssysteem, dat veelvuldig wordt ingezet binnen Indiase overheidsorganisaties. Dit wijst op een evolutie van hun operationele doctrines, waarbij meerdere platformen worden benut om de effectiviteit van hun aanvallen te vergroten.

De malware maakt gebruik van .desktop-bestanden om de schadelijke payload te verbergen en zo traditionele beveiligingsmaatregelen te omzeilen. Het bestand wordt gepresenteerd als een legitiem Linux-bestand, maar bevat verborgen commando’s die de malware naar het systeem brengen. De malware zelf is een krachtige tool voor het verkrijgen van op afstand toegang, het uitvoeren van willekeurige commando’s, het maken van schermafbeeldingen en het exfiltreren van data. Door gebruik te maken van systemd-gebruikerservices kan de malware zichzelf persistent maken, zodat deze blijft draaien na herstarts van het systeem.

De malware werd verspreid via phishingcampagnes die gebruik maakten van onlangs geregistreerde domeinen en gecompromitteerde servers in verschillende landen. De specifieke domeinen en IP-adressen die werden gebruikt om de payload te leveren, wijzen op een goed geplande en gecoördineerde aanval. De Indiase overheidsinstanties worden geadviseerd om onmiddellijk beveiligingsmaatregelen te versterken, zoals verbeterde e-mailbeveiliging en strikte endpointbeveiliging, om deze voortdurende dreiging te kunnen afweren.

Bron 1

Rusland heeft door de eeuwen heen herhaaldelijk verdragen geschonden, van het Russische rijk tot de moderne Russische Federatie. Dit gedrag heeft niet alleen geopolitieke instabiliteit veroorzaakt, maar heeft ook invloed op de digitale veiligheid van landen over de hele wereld, inclusief Nederland en België. De recente ontwikkelingen in Oekraïne, waaronder de annexatie van de Krim en de steun voor separatisten in het oosten van Oekraïne, zijn voorbeelden van hoe Rusland zich niet houdt aan internationale verdragen, wat heeft bijgedragen aan verhoogde cyberdreigingen en hybride oorlogsvoering in Europa.

Met het toenemende gebruik van cyberaanvallen, desinformatiecampagnes en andere digitale aanvallen door Rusland, moeten Europese landen, waaronder Nederland en België, waakzaam blijven. De onbetrouwbaarheid van Rusland in het naleven van internationale afspraken heeft geleid tot een grotere dreiging voor kritieke infrastructuur en de veiligheid van digitale systemen, wat een directe invloed heeft op de dagelijkse bedrijfsvoering en persoonlijke veiligheid van Europese burgers.

De gevolgen van deze schendingen zijn duidelijk in de huidige geopolitieke context, waar Russische cyberaanvallen een steeds groter onderdeel vormen van de bredere strategie om landen te destabiliseren. Dit heeft niet alleen directe implicaties voor de nationale veiligheid, maar ook voor de bescherming van de digitale infrastructuur in Nederland en België.

Bron 1

Noord-Korea voert een ongekend inlichtingenoperatie uit waarbij ontwikkelaars worden verleid om hun identiteit te verhuren voor illegale fondsenwervingsdoeleinden. Het beruchte Chollima, een onderdeel van de staatsgesponsorde Lazarus-groep van Noord-Korea, staat bekend om zijn social engineering-campagnes waarmee het Westerse bedrijven infiltreert voor spionage en het genereren van inkomsten voor het regime. Deze groep heeft erin geslaagd recruiters te misleiden en banen te verkrijgen bij Fortune 500-bedrijven door gestolen identiteiten te gebruiken en een breed scala aan AI-technologie, waaronder deepfake-video's, in te zetten. Opmerkelijk is dat de betrokkenen niet fysiek aanwezig waren bij sollicitatiegesprekken, omdat zij gebruikmaakten van technieken die hen onzichtbaar hielden voor de camera's.

Een andere tactiek is om legitieme ingenieurs te rekruteren die als figuurlijke voorhoede optreden in de operaties van de Noord-Koreaanse agenten. Deze ingenieurs krijgen de taak om de interacties met bedrijven tijdens sollicitatiegesprekken te verzorgen, waarbij ze een percentage van het salaris ontvangen – tussen de 20% en 35% – gedurende de duur van het contract. Als de ingenieur bereid is om zijn computer aan de agenten ter beschikking te stellen, kan hij een hoger bedrag verdienen. De Noord-Koreaanse agenten gebruiken de computer en de ingenieur als proxy voor hun kwaadaardige activiteiten, zodat hun locatie en sporen niet traceerbaar zijn.

Mauro Eldritch, een hacker en specialist in dreigingsanalyse bij BCA LTD, legt uit dat de ingenieurs die hun identiteit verhuren alle risico’s dragen. Zij zullen verantwoordelijk zijn voor de schade die wordt aangericht, aangezien zij de identiteit hebben verhuurd aan de agenten. Eldritch heeft eerder verschillende ontmoetingen gedocumenteerd met Noord-Koreaanse agenten die op zoek waren naar ingenieurs of ontwikkelaars die snel geld wilden verdienen.

Onlangs ontdekte Eldritch meerdere GitHub-accounts die vol stonden met recruteringsberichten van Famous Chollima. Deze berichten nodigden ingenieurs uit om deel te nemen aan technische sollicitatiegesprekken, waarbij de recruiters een valse identiteit aanboden om de ingenieurs te helpen "effectief" te reageren op interviewers. De technici werden niet verplicht om de technische onderwerpen volledig te beheersen, omdat de recruiter hen zou ondersteunen bij het beantwoorden van vragen.

De onderzoekers gebruikten sandboxdiensten van ANY.RUN om een gesimuleerde laptopfarm te creëren waarmee ze de activiteiten in real-time konden opnemen en later analyseren. In dit gecontroleerde onderzoek reageerde García, een van de onderzoekers, als een beginnende ingenieur op het recruteringsaanbod, met als doel de strategieën en gebruikte tools van de Noord-Koreaanse agenten te ontdekken. Ze stelden vast dat de recruiter onder meer gebruikmaakte van AI-gestuurde extensies zoals AIApply en Final Round AI om sollicitaties in te vullen en real-time reacties tijdens interviews te genereren.

Naast deze AI-tools ontdekte men ook de toepassing van Google Remote Desktop en technieken voor systeemverkenning. In sommige gevallen werd er zelfs een VPN-dienst gebruikt, Astrill VPN, die populair blijkt te zijn onder de Noord-Koreaanse IT-werknemers die zich achter valse identiteiten verschuilen.

Het onderzoek biedt waardevolle inzichten in de tactieken en tools die door de Noord-Koreaanse hackers worden gebruikt om bedrijven te infiltreren en legitieme ingenieurs te misleiden. De gegevens die zijn verzameld kunnen bedrijven helpen zich voor te bereiden op mogelijke infiltratiepogingen, hun werkprocessen te verstoren en hun detectiemethoden te verbeteren, verder dan de traditionele methoden voor malwaredetectie.

Bron 1

Hackers die gelinkt worden aan de Iraanse staat hebben opnieuw toeslagen uitgevoerd op Israëlische entiteiten in verschillende sectoren, waaronder onderwijs, techniek, lokale overheden, productie, technologie, transport en nutsvoorzieningen. De aanvallen maken gebruik van een nieuwe backdoor, genaamd MuddyViper, en omvatten geavanceerde loaders en hulpmiddelen voor het stelen van inloggegevens.

Deze cyberaanvallen worden toegeschreven aan de hacker-groep MuddyWater, ook bekend als Mango Sandstorm of TA450. Deze groep wordt verondersteld verbonden te zijn met het Iraanse Ministerie van Inlichting en Veiligheid (MOIS). De aanvallen hebben niet alleen Israëlische doelwitten getroffen, maar ook een technologiebedrijf in Egypte. Volgens gegevens van de Israëlische Nationale Cyber-directoraat (INCD) richtte MuddyWater zich op verschillende kritieke sectoren, waaronder lokale overheden, civiele luchtvaart, toerisme, gezondheidszorg, telecommunicatie, informatietechnologie en kleine en middelgrote bedrijven.

De aanvalsketens beginnen vaak met spear-phishing en het misbruik van kwetsbaarheden in VPN-infrastructuur om netwerken binnen te dringen. Traditioneel maakt de groep gebruik van legitieme tools voor remote management, zoals Atera, Level, PDQ en SimpleHelp. Sinds mei 2024 bevatten de phishingcampagnes echter een nieuwe backdoor, genaamd BugSleep (ook wel MuddyRot).

De MuddyViper-backdoor maakt het de aanvallers mogelijk om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en inloggegevens van Windows en browserdata te stelen. Het C/C++-gebaseerde MuddyViper ondersteunt twintig verschillende commando’s om toegang en controle over besmette systemen te verkrijgen. Verschillende versies van de loader, genaamd Fooder, imiteren het klassieke Snake-spel en bevatten een vertraagde uitvoering om detectie te vermijden. Het gebruik van Fooder werd voor het eerst in september 2025 onder de aandacht gebracht door Group-IB.

Daarnaast worden andere tools gebruikt, zoals VAXOne, een backdoor die zich voordoet als Veeam, AnyDesk, Xerox en de OneDrive-updater, evenals CE-Notes, een browserdata-steler die probeert de app-gebonden encryptie van Google Chrome te omzeilen. Ook worden de Blub- en LP-Notes-tools ingezet om gebruikersnaam- en wachtwoordinloggegevens te stelen. MuddyWater’s gebruik van deze nieuwe componenten, zoals de Fooder-loader en de MuddyViper-backdoor, geeft aan dat de groep zijn tactieken heeft verbeterd om stealth, persistentie en het verzamelen van inloggegevens te optimaliseren.

De onthulling van deze aanvallen volgt op eerdere aanvallen van een andere Iraanse groep, APT42, die werd gekoppeld aan een espionagecampagne gericht op individuen en organisaties in Israël. Het blijkt dat de verschillende Iraanse hackinggroepen gebruik maken van dezelfde infrastructuur en doelwitten, wat wijst op een gecoördineerde inspanning door de Iraanse staat.

Bron 1

Aan Oekraïne gelinkte hackers hebben hun cyberaanvallen op de Russische luchtvaartindustrie en de bredere defensiesector geïntensiveerd. Dit gebeurt met behulp van op maat gemaakte malware en gerichte spear-phishing om gevoelige informatie zoals ontwerpen, planningen en interne e-mails te stelen. De campagne richt zich zowel op de belangrijkste aannemers als op kleinere leveranciers binnen de sector. Het primaire doel van de operatie is het in kaart brengen van productieketens en het blootleggen van kwetsbaarheden binnen de Russische oorlogsindustrie. De gestolen data, waaronder informatie van onderzoekslaboratoria, testlocaties en logistieke bedrijven die vliegtuigen, drones en raketsystemen ondersteunen, kan inzicht geven in onderdelentekorten, leveringsvertragingen en softwarefouten. Dit biedt Oekraïense planners een duidelijker beeld van de operationele gereedheid van Rusland.

De kwaadaardige software werd voor het eerst opgemerkt eind 2024 in de vorm van spear-phishing golven. Deze e-mails werden gericht verstuurd naar ingenieurs en projectmanagers die werkzaam zijn in avionica, geleidingssystemen en satellietverbindingen. De lokmiddelen bestonden uit valse vacatures, uitnodigingen voor conferenties of updates over contracten. De bijlagen in deze e-mails exploiteerden vaak verouderde kantoorsoftware op Windows-hosts. Na het openen van het bestand, plaatste het een kleine loader die onopgemerkt de weg vrijmaakte voor de hoofd-payload. Beveiligingsanalisten van Intrinsec identificeerden de malware nadat ze herhaaldelijk uitgaand verkeer hadden waargenomen vanuit een afgelegen kantoor van een defensie-integrator naar zeldzame commandoservers die werden gehost op robuuste infrastructuur. Het technische onderzoek toonde aan dat de aanvallers elke payload zorgvuldig hadden afgestemd op de rol van het slachtoffer, door het toevoegen van op maat gemaakte modules voor het verzamelen van e-mails, het stelen van documenten en het vastleggen van inloggegevens.

De infectieketen, hoewel eenvoudig, wordt als intelligent beschouwd. De eerste loader, vaak een kleine DLL, wordt alleen in het geheugen uitgevoerd en haalt een tweede-fase script op via een vooraf gedefinieerde URL. Dit script injecteert vervolgens de uiteindelijke payload in een vertrouwd proces, zoals explorer.exe, waardoor het moeilijker te onderscheiden is van normale gebruikersactiviteit. De payload maakt gebruik van een compacte commandolus om flexibel te blijven. Deze logica stelt de operator in staat om te schakelen tussen stille data-diefstal en handmatige controle. Ondanks het duidelijke ontwerp, vermijdt de malware opzichtige persistentietrucs. In plaats daarvan vertrouwt het op geplande taken en gekaapte updatetools om na herstarts terug te keren, terwijl het moeilijk te detecteren blijft. De gebruikte tools zijn fundamenteel eenvoudig, maar worden ingezet met precisie en planning.

Rapport downloaden

De Britse regering heeft nieuwe sancties opgelegd aan de Russische militaire inlichtingendienst GRU nadat een officieel onderzoek concludeerde dat de zenuwgasaanval in Salisbury in 2018 alleen kon zijn goedgekeurd door president Vladimir Poetin. De autoriteiten riepen de Russische ambassadeur op het matje en stelden dat de GRU verantwoordelijk werd gehouden voor meerdere risicovolle operaties, waaronder de poging om Sergej Skripal te doden.

Skripal en zijn dochter Yulia werden in maart 2018 ernstig ziek na blootstelling aan het zenuwgas Novichok. De stof was op de deurklink van de woning van Skripal aangebracht. Een politieman liep eveneens een vergiftiging op. Alle drie overleefden de aanval. Enkele maanden later werden Dawn Sturgess en Charlie Rowley blootgesteld aan Novichok nadat zij een weggegooide parfumfles hadden gevonden. Sturgess overleed, terwijl Rowley het incident overleefde.

Het onderzoek naar het overlijden van Sturgess werd geleid door voormalig opperrechter Anthony Hughes. Hij concludeerde dat de operatie moest zijn goedgekeurd op het hoogste niveau binnen de Russische staat. De familie van Sturgess stelde dat zij slachtoffer werd van een poging tot een gerichte moordoperatie en bekritiseerde de Britse autoriteiten voor onvoldoende risicobeoordeling rondom Skripal.

Het Verenigd Koninkrijk heeft drie vermeende GRU-agenten aangeklaagd, maar door het ontbreken van een uitleveringsverdrag met Rusland is vervolging onwaarschijnlijk. Novichok werd ontwikkeld door de Sovjet-Unie aan het einde van de Koude Oorlog. Westerse deskundigen gaan ervan uit dat de stof alleen in Rusland is geproduceerd, terwijl Moskou die conclusie ontkent.

De sancties richten zich ook op acht personen die volgens de Britse regering als cyberofficieren voor de GRU werkten. Zij zouden Yulia Skripal al jaren voor de aanval hebben proberen te infecteren met malware. De Britse premier Keir Starmer stelde dat de bevindingen van het onderzoek aantonen dat Rusland vijandige activiteiten uitvoert op Brits grondgebied en dat constante alertheid noodzakelijk is.

Bron 1

Rusland heeft beperkingen opgelegd aan FaceTime, de videobelservice van Apple, als onderdeel van een bredere strategie om de controle over internetgebruik en online communicatie te versterken. De Russische autoriteiten beschuldigen de dienst ervan te worden gebruikt voor "terroristische activiteiten" en andere criminele praktijken binnen het land. Dit besluit volgt op eerdere maatregelen die door Rusland zijn genomen om internetverkeer te controleren en te manipuleren.

Daarnaast werd ook de berichtenapp Snapchat geblokkeerd. De Russische internetregulator Roskomnadzor gaf aan dat de applicatie, net als FaceTime, wordt gebruikt voor criminele activiteiten. Hoewel de blokkering van Snapchat al op 10 oktober werd uitgevoerd, werd dit pas onlangs openbaar gemaakt. Deze maatregelen komen op het moment dat Rusland onder leiding van president Vladimir Putin strengere wetgeving heeft aangenomen om internetplatforms die niet voldoen aan de eisen van de overheid, te blokkeren.

De impact van dergelijke maatregelen is wereldwijd voelbaar. Hoewel FaceTime en Snapchat specifiek in Rusland worden beperkt, kunnen deze ontwikkelingen gevolgen hebben voor de manier waarop Europese landen, waaronder Nederland en België, omgaan met de controle en regulering van digitale communicatie. Het benadrukt de noodzaak voor een zorgvuldige afweging tussen nationale veiligheid en de bescherming van de privacy en communicatievrijheden van burgers. Experts wijzen erop dat, ondanks de mogelijkheid om beperkingen te omzeilen via VPN's, de trend van digitale censuur wereldwijd toeneemt, wat een belangrijke discussie oproept over de toekomst van internetvrijheid in Europa.

Bron 1

Roskomnadzor, de Russische telecomwaakhond, heeft besloten om de toegang tot het online gamingplatform Roblox te blokkeren. De reden voor deze blokkade is dat het platform volgens de Russische autoriteiten niet in staat is gebleken om de verspreiding van wat zij beschrijven als LGBT "propaganda" en extremistischer materiaal tegen te gaan. In een verklaring die op woensdag werd gepubliceerd, stelde Roskomnadzor dat Roblox verantwoordelijk is voor de massale en herhaalde verspreiding van materialen die extremistischer en terroristische activiteiten rechtvaardigen, oproepen tot gewelddadige illegale handelingen en de promotie van LGBT-onderwerpen.

De Russische autoriteiten wijzen op specifieke gevallen op het platform, waar gebruikers kunnen deelnemen aan terroristische acties, zoals schoolaanvallen, of deelnemen aan gokken. De opmerkingen van Roskomnadzor benadrukken de bezorgdheid over de schade die dergelijke activiteiten kunnen veroorzaken, met name voor kinderen die gebruikmaken van het platform.

Deze blokkade volgt op eerdere zorgen die in november naar voren kwamen. Roskomnadzor stelde destijds dat het Roblox-moderatieteam herhaaldelijk had aangegeven dat het platform niet in staat was om schadelijke materialen effectief te blokkeren. Roblox, dat wereldwijd door miljoenen gebruikers wordt gespeeld, heeft wereldwijd 1 miljard downloads op Android en meer dan 16 miljoen beoordelingen op iOS.

In reactie op de blokkade verklaarde een woordvoerder van Roblox dat het bedrijf de lokale wetten en regels respecteert en zich inzet voor het creëren van een veilige ruimte voor leren, creatie en betekenisvolle verbindingen. Roblox benadrukte ook zijn inspanningen om schadelijke inhoud op het platform te identificeren en te voorkomen.

De blokkade van Roblox is onderdeel van een bredere trend van Rusland om westerse platforms en apps te reguleren en te censureren. Roskomnadzor heeft eerder apps zoals WhatsApp, Viber en Signal geblokkeerd en de toegang tot buitenlandse private berichtendiensten in overheidsinstellingen verboden. Deze maatregelen komen voort uit de strijd van Rusland tegen wat het beschouwt als bedreigingen voor nationale veiligheid en anti-extremisme.

Bron 1

Op 4 december 2025 werd de website van de Staatsarchieven van België (arch.be) getroffen door een DDoS-aanval, uitgevoerd door de groep "BD Anonymous". Bij deze vorm van cyberaanval wordt de server van de doelwitwebsite overspoeld met verkeer, wat resulteert in een tijdelijke onbeschikbaarheid van de site. De groep "BD Anonymous" heeft de verantwoordelijkheid voor deze aanval opgeëist.

Hoewel DDoS-aanvallen in de cyberdreigingswereld relatief vaak voorkomen, is het opmerkelijk dat de Staatsarchieven van België als doelwit werden gekozen. De Staatsarchieven beheren belangrijke historische en administratieve gegevens, waardoor een verstoring van hun online diensten mogelijk impact kan hebben op toegang tot belangrijke documenten voor zowel burgers als overheidsinstanties.

Op dit moment zijn er geen meldingen van datalekken of schade aan de gegevens van de website. Er wordt verwacht dat de Belgische autoriteiten de aanval onderzoeken en passende maatregelen nemen om de veiligheid van de betrokken systemen te waarborgen.

Dergelijke aanvallen benadrukken de voortdurende dreiging van cybercriminaliteit gericht op overheidsinstellingen in België en andere Europese landen. Ze illustreren ook de kwetsbaarheid van belangrijke digitale infrastructuren voor verstoringen die kunnen leiden tot bredere maatschappelijke gevolgen.

Op 6 december 2025 heeft de Oekraïense militaire inlichtingendienst (HUR) een grootschalige cyberaanval uitgevoerd op het Russische logistieke bedrijf Eltrans+. De aanval, die werd uitgevoerd in samenwerking met de hackergroep BO Team, heeft de digitale infrastructuur van het bedrijf volledig verstoord. Deze operatie, die zorgvuldig werd getimed om samen te vallen met de Oekraïense Dag van de Strijdkrachten, illustreert het groeiende gebruik van cyberspace in geopolitieke conflicten.

Het bedrijf Eltrans+, een belangrijke speler in de Russische logistiek, had zijn systemen ernstig verstoord door de aanval, waarbij meer dan 700 computers en servers werden uitgeschakeld en meer dan 1.000 gebruikersaccounts werden gewist. Ongeveer 165 terabyte aan gegevens werd vernietigd of versleuteld, wat leidde tot een volledige onderbreking van hun bedrijfsvoering. Bovendien werden de toegangssystemen, videobewaking en netwerkinfrastructuur van het bedrijf uitgeschakeld, wat de schade vergrootte.

Deze cyberaanval benadrukt niet alleen de kwetsbaarheid van de Russische logistieke sector, maar ook de potentiële dreiging voor andere landen, waaronder Nederland en België. Gezien de internationale aard van de supply chains kunnen dergelijke aanvallen indirecte gevolgen hebben voor bedrijven in de Benelux, die mogelijk afhankelijk zijn van vergelijkbare infrastructuren of die zich blootstellen aan nieuwe technieken die in deze cyberoperatie zijn gebruikt.

Het is belangrijk op te merken dat deze cyberaanvallen deel uitmaken van een bredere campagne van de Oekraïense militaire inlichtingendienst. Eerder werd bijvoorbeeld de Russische internetinfrastructuur, zoals de telecomprovider Orion Telecom, getroffen, wat aantoonde hoe cyberoperaties steeds vaker worden ingezet om strategische doelen te bereiken in een conflict.

De impact van dergelijke aanvallen benadrukt de noodzaak voor bedrijven in Nederland en België om alert te blijven op de snel evoluerende dreigingen in cyberspace, aangezien de grens tussen traditionele oorlogvoering en digitale aanvallen steeds vager wordt.

Bron 1

Synergy University, de grootste privé-universiteit van Rusland, blijkt betrokken te zijn bij een wereldwijd opererend netwerk van essay mills dat naar schatting $25 miljoen heeft opgebracht. Dit netwerk, dat studenten in staat stelt academische werkstukken te kopen, blijkt meer te zijn dan een louter academische fraudeoperatie. Er is een verontrustende link met de ontwikkeling van drones die gebruikt worden in de Russische oorlog tegen Oekraïne.

Het essay mill netwerk, onder de naam Nerdify, biedt studenten de mogelijkheid om via sms opdrachten te laten maken door freelance schrijvers. Ondanks claims van ethisch gedrag blijkt Nerdify op grote schaal plagiaatvrije werkstukken aan te bieden die studenten direct kunnen inleveren als hun eigen werk. Dit netwerk heeft wereldwijd terrein gewonnen, met advertenties die ondanks de verboden van Google, goed zichtbaar zijn in zoekresultaten.

De oprichters van dit netwerk, Alexey Pokatilo en Filip Perkon, hebben ook banden met Synergy University. Deze universiteit, die zichzelf de grootste privé-instelling van Rusland noemt, heeft een geschiedenis van misleiding van internationale studenten, met name uit Afrikaanse landen, die hoge studiebetalingen deden, maar nooit de beloofde visa of toegang tot het onderwijs kregen.

Daarnaast is Synergy University niet alleen betrokken bij frauduleuze activiteiten, maar ook bij de ontwikkeling van militaire technologieën. De universiteit zou bijdragen aan de Russische oorlogsinspanningen door drones te ontwikkelen die ingezet worden in de strijd tegen Oekraïne, ondanks de internationale sancties die gericht zijn op het blokkeren van militaire technologie.

Deze zaak benadrukt de gevaren van onethische netwerken die zich mengen in zowel de academische wereld als de geopolitieke arena. Het biedt een alarmerende blik op hoe fraude en militaire technologieën verbonden kunnen zijn, met grote gevolgen voor de veiligheid en stabiliteit in Europa.

Bron 1

De westerse perceptie van de oorlog tussen Rusland en Oekraïne als een strijd over kleine territoriale gebieden is een misverstand. In plaats van te vechten om 30 tot 50 kilometer grond in de Donbas, zoals vaak wordt gesuggereerd, heeft Rusland als doel de politieke onderwerping van Oekraïne. Dit blijkt uit de lange termijnstrategie van het Kremlin, die begon met de uitspraken van president Vladimir Putin in 2007 tijdens de Veiligheidsconferentie van München. Hier maakte hij zijn intentie bekend om de Russische invloedssfeer te herstellen en Europa’s veiligheidsarchitectuur te verwerpen.

De Russische inval in Oekraïne in 2022 was geen impulsieve reactie op territoriale geschillen, maar een voortzetting van een meer dan tien jaar durende campagne om Oekraïne van zijn soevereiniteit te beroven en een pro-Russische regering in Kiev te installeren. Dit heeft zijn wortels in de verstoorde relatie tussen Rusland en Oekraïne, die begon toen Oekraïne zijn weg begon te zoeken naar een onafhankelijkere koers, vooral na de Oranjerevolutie en de Euromaidan-beweging. Het conflict escaleerde toen Rusland zich realiseerde dat Oekraïne zich losmaakte van de Russische invloedssfeer.

De focus van de westerse landen op de territoriale verliezen van Oekraïne leidt tot een beperkte visie op het bredere geopolitieke doel van Rusland. Het Kremlin voert een “salami-slicing” strategie, waarbij het langzaam maar zeker Oekraïne ontmantelt en destabiliseert. Dit gebeurt niet alleen via militaire middelen, maar ook door middel van hybride operaties zoals cyberaanvallen, sabotage en desinformatiecampagnes. De aanval op Oekraïne is in wezen een strijd om de politieke autonomie van Oekraïne te ondermijnen en het terug te brengen onder Russische invloed, iets wat Rusland sinds de val van de Sovjetunie actief probeert te herstellen.

De westerse landen, met name de Verenigde Staten, blijven vasthouden aan de overtuiging dat de oorlog alleen om territorium gaat. Dit leidt tot een misverstand van de werkelijke doelen van Rusland. De Kremlin-leiding heeft duidelijk gemaakt dat het niet alleen om grondgebied gaat, maar om het herstel van de Russische invloedssfeer in Europa, wat ook gepaard gaat met een bredere destabilisatie van de regio.

De westerse strategieën om de Russische agressie te stoppen, zoals het aanbieden van onderhandelingen, zijn tot nu toe niet effectief gebleken. De verschuiving in de Amerikaanse benadering van Rusland en de misverstanden over de werkelijke doelen van het Kremlin maken de situatie nog complexer. Oekraïne’s verdediging is niet alleen een kwestie van militaire strijd, maar ook een politieke strijd om zijn onafhankelijkheid en soevereiniteit tegen een macht die vastbesloten is om zijn invloed in de regio te herstellen.

Bron 1

Polen heeft een verzoek ingediend bij Interpol om een "Red Notice" uit te geven voor twee Oekraïners die verdacht worden van betrokkenheid bij een sabotagedaad op het Poolse spoorwegsysteem. Deze actie, die plaatsvond in november 2025, richtte zich op de strategische spoorlijn tussen Warschau en Lublin, een belangrijke verbinding voor zowel lokaal vervoer als humanitaire hulp naar Oekraïne. De verdachten, Yevhenii Ivanov (41 jaar) en Oleksandr Kononov (39 jaar), zouden in opdracht van de Russische militaire inlichtingendienst hebben gehandeld. Na de incidenten zouden zij naar Wit-Rusland zijn gevlucht.

Polen heeft stappen ondernomen om de verdachten te vervolgen, waaronder het uitvaardigen van een Europees Arrestatiebevel. Interpol kan geen directe arrestaties afdwingen, maar een Red Notice waarschuwt wereldwijd de politie van de 196 lidstaten, waaronder Rusland en Wit-Rusland, dat de verdachten gezocht worden. Dit vergroot de kans dat de verdachten uiteindelijk terechtgesteld worden, mocht een andere staat hen aanhouden.

De sabotagedaden werden als een ernstige bedreiging voor de nationale veiligheid beschouwd. De eerste aanval betrof een explosie in de buurt van Mika, zo'n 90 kilometer ten zuidoosten van Warschau, waarbij een poging werd gedaan om een trein te ontsporen. Het tweede incident gebeurde verderop in de regio Lublin, waar sporen werden beschadigd en een stroomlijn werd doorgesneden. Beide incidenten konden de werking van het transportnetwerk ernstig verstoren, wat de geopolitieke spanningen in de regio verder verhoogde.

Deze aanval maakt deel uit van de bredere trend van hybride oorlogsvoering, waarbij Rusland steeds vaker gebruikmaakt van cyberaanvallen, sabotage en desinformatie om landen in Europa te destabiliseren. Polen beschreef de sabotage als "staatsterrorisme," wat de ernst van deze aanvallen benadrukt.

Een Red Notice van Interpol kan bijdragen aan de wereldwijde opsporing van de verdachten, hoewel de uiteindelijke arrestatie afhangt van de beslissing van de autoriteiten in de lidstaten. De zaak benadrukt de noodzaak van verhoogde aandacht voor hybride dreigingen in Europa, inclusief Nederland en België, die kwetsbaar kunnen zijn voor soortgelijke operaties.

Bron 1

Een grondig onderzoek naar illegale goknetwerken in Indonesië heeft de onthulling van een uitgebreid cybercriminaliteitsnetwerk aan het licht gebracht, dat al meer dan veertien jaar actief is. Onderzoekers hebben een enorm ecosysteem ontdekt, met honderden duizenden domeinen, duizenden kwaadaardige mobiele apps en wereldwijde domeinhoofding van overheids- en bedrijfsinfrastructuren.

Het netwerk, dat vanaf minstens 2011 in werking is, vertoont de kenmerken van staatsgesponsorde dreigingsactoren, wat typisch is voor hooggespecialiseerde cyberoperaties in plaats van de reguliere cybercriminelen. Waar het aanvankelijk begon als lokale gokactiviteiten, is het geëvolueerd tot een complexe infrastructuur die gokoperaties, manipulatie van zoekmachine-optimalisatie, verspreiding van malware en technieken voor langdurige overname van websites combineert.

De dreigingsactoren controleren wereldwijd ongeveer 328.000 domeinen, waarvan een aanzienlijk aantal gehackte en gecompromitteerde domeinen. Dit netwerk wordt gebruikt om gebruikers door te sturen naar illegale gokplatforms. Het gebruik van geavanceerde technieken, zoals het inzetten van Android-malware en het compromitteren van overheidsdomeinen, toont de capaciteiten van de aanvallers en de schaal van hun operatie.

Er werd vastgesteld dat duizenden schadelijke Android-applicaties werden verspreid via publieke Amazon Web Services S3-buckets. Deze applicaties fungeerden als ‘droppers’, die de apparaten van gebruikers compromitteerden en aanvullende schadelijke bestanden installeerden. Het netwerk maakt gebruik van Google's Firebase Cloud Messaging-service om op afstand instructies naar besmette apparaten te sturen, wat de traditionele methoden van command-and-control verkeer vermijdt.

Dit netwerk laat zien hoe cybercriminelen wereldwijd betrouwbare infrastructuren kunnen misbruiken, waarbij ze hun operaties afschermen door middel van domeindiversiteit en geavanceerde ontwijkingsmechanismen.

Bron 1

Op 8 december 2025 heeft de cybercriminele groepering NoName de verantwoordelijkheid opgeëist voor een reeks Distributed Denial of Service (DDoS)-aanvallen gericht op verschillende websites van overheidsinstanties in België. Een DDoS-aanval heeft als doel een online dienst onbereikbaar te maken door deze te overspoelen met een enorme hoeveelheid verkeer.

De beweringen van NoName betreffen een gerichte actie tegen meerdere bestuursniveaus in het land. Specifiek werden de websites van de Stad Antwerpen, de Provincie Limburg, de Provincie Luik en de Provincie Vlaams-Brabant als doelwit genoemd. Daarnaast stelde de groepering ook de regio Wallonië te hebben aangevallen.

De exacte impact en de duur van eventuele verstoringen op de genoemde websites door deze aanvallen zijn op dit moment onderwerp van onderzoek en worden gemonitord door de betrokken partijen. De claim van NoName impliceert een gecoördineerde campagne tegen publieke diensten in België.

De Britse regering investeert miljoenen in een nieuwe technologische strategie om de dreiging van sabotage van onderzeese kabels door Rusland te bestrijden. Het Ministerie van Defensie (MoD) heeft het "Atlantic Bastion"-programma aangekondigd, waarin autonome vaartuigen en kunstmatige intelligentie (AI) worden gecombineerd met oorlogsschepen en vliegtuigen om een geavanceerde hybride verdedigingsmacht te creëren. Het doel is om onderzeese kabels en pijpleidingen te beschermen tegen de toenemende risico’s van Russische onderzeese activiteiten, zoals gesaboteerde kabels en pijpleidingen, die cruciaal zijn voor de communicatie en gegevensoverdracht van het VK.

Het hybride navalebeschermingssysteem zal gebruikmaken van AI-gestuurde akoestische detectietechnologie om schepen, onderzeeërs, vliegtuigen en onbemande vaartuigen met elkaar te verbinden, waardoor ze in een digitaal doelwitsysteem kunnen worden geïntegreerd. Dit netwerk van wapensystemen maakt het mogelijk om snel beslissingen te nemen op het slagveld en bedreigingen in een breed gebied te lokaliseren en te neutraliseren. Volgens het MoD zal het Atlantic Bastion-programma bijdragen aan een meer robuuste verdediging tegen aanvallen die de kritieke infrastructuur van het VK zouden kunnen beschadigen.

De recente dreiging van Rusland, vooral door de toenemende activiteit van Russische onderzeeërs en spionageschepen zoals de Yantar, heeft geleid tot een versnelling van de ontwikkeling van deze hybride verdedigingsstrategie. Het VK is bijzonder kwetsbaar voor aanvallen op onderzeese kabels, aangezien 99% van zijn gegevens via deze kabels worden verzonden. In reactie hierop heeft de Royal Navy eerder dit jaar een onderwaterrobot geïntroduceerd die dieper kan duiken en langer onder water kan blijven dan menselijke duikers, wat het mogelijk maakt om onderwaterbommen en saboteurs te detecteren en onschadelijk te maken.

Het programma krijgt steun van de particuliere sector, met een initiële investering van 14 miljoen pond voor testen en ontwikkeling van nieuwe technologieën. Tot nu toe hebben 26 bedrijven uit het VK en Europa voorstellen ingediend voor de ontwikkeling van technologieën om onderzeese dreigingen te detecteren, met een vier-op-een verhouding van publieke en private investeringen.

Het Atlantic Bastion-programma is een directe reactie op de heropleving van de Russische onderzeese activiteiten, die een groeiend risico vormen voor de mondiale cyberbeveiliging en de stabiliteit van onderzeese communicatie-infrastructuur. De samenwerking tussen overheden en de particuliere sector is essentieel voor het versterken van de verdediging tegen deze specifieke dreigingen.

Bron 1

Het 'Kitten' Project is ontstaan als een gecoördineerd platform voor hacktivistische campagnes, waarbij verschillende groepen samenwerken om aanvallen en doxxing-campagnes uit te voeren tegen Israëlische doelen. Dit initiatief vertegenwoordigt een verschuiving in de manier waarop cybergroepen hun operaties organiseren, van geïsoleerde aanvallen naar een gecentraliseerde infrastructuur die communicatie, hulpbronnen en gecoördineerde acties mogelijk maakt.

Het platform, dat toegankelijk is via de website thekitten.group, fungeert als een knooppunt waar meerdere hacktivistische groepen samenwerken. Deze groeperingen richten zich op een breed scala aan doelen, van het blootstellen van gegevens, zoals informatie over Israëlische soldaten, tot meer geavanceerde pogingen tegen kritieke infrastructuur, inclusief industriële besturingssystemen (ICS) en programmeerbare logische controllers (PLC). De aanvallen worden gecoördineerd via privéberichtkanalen, waarbij tools, technieken en documentatie gedeeld worden tussen de deelnemende groepen.

De deelnemende groepen onder het 'Kitten' Project omvatten bekende collectieven zoals de Handala Hacking Group, KilledByIsrael en CyberIsraelFront. De infrastructuur van het project lijkt ontworpen om meerdere groepen tegelijkertijd te ondersteunen, met een gedeeld operationeel centrum. Analyse van VECERT-beveiligingsanalisten heeft aangetoond dat de technische infrastructuur van het project oorspronkelijk afkomstig is van servers in Iran, wat suggereert dat er verbindingen zijn met gevestigde Iraanse cyberbeveiligingsbedrijven. De servers die deze infrastructuur ondersteunen, worden beheerd door Pars Parva Systems, een bedrijf geregistreerd in Iran.

Technisch gezien maakt het 'Kitten' Project gebruik van een zorgvuldig gestructureerd API-systeem om multimedia-inhoud te delen en gebruikersauthenticatie te ondersteunen. De backend van het platform is opgebouwd met behulp van PHP en maakt gebruik van DirectoryIterator-functies om afbeeldingen en video's efficiënt te beheren en te verspreiden. De platformbeveiliging omvat mechanismen zoals inputvalidatie via reguliere expressies en het beperken van bestandsnamen om aanvalsmethoden, zoals directory traversal-aanvallen, te voorkomen. De gebruikersauthenticatie vereist een unieke 64-cijferige tracking-ID en een gekoppeld e-mailadres, wat toegang verleent tot de berichtensecties van het platform.

De infrastructuur van het 'Kitten' Project biedt een dynamische inhoudsgeneratie, waardoor de platformbeheerders in staat zijn complexe backend-operaties uit te voeren die de gecoördineerde activiteiten van hacktivistische groepen ondersteunen.

Hoewel de aanvallen momenteel gericht zijn op Israël, kunnen dergelijke gecoördineerde hacktivistische campagnes ook in de toekomst Europese landen, waaronder Nederland en België, treffen. De schaal en de methoden die door deze groepen worden gebruikt, kunnen een bredere dreiging vormen voor de veiligheid van kritieke infrastructuren wereldwijd.

Bron 1

Adrian Nish, directeur van BAE Systems voor Europa Oost, heeft onlangs een oproep gedaan aan getalenteerde cyberverdedigers om hun vaardigheden in te zetten voor de opkomende uitdaging van het onderscheppen van drones. Tijdens een presentatie op de CyberThreat-conferentie in het Chelsea Football Stadium in Londen, georganiseerd door het SANS Instituut in samenwerking met het National Cyber Security Centre, benadrukte Nish de urgentie van het ontwikkelen van robuuste verdedigingen tegen kwaadaardige drones.

Volgens Nish zijn drones tegenwoordig niet alleen een technologische innovatie, maar ook een gevaarlijke vorm van cyberdreiging. Hij vergeleek drones die voor malafide doeleinden worden gebruikt met malware, waarbij de fysieke drones fungeren als vliegende computers. Het werd duidelijk dat de drone-industrie snel evolueert, en dat het belangrijk is om cybersecurity-expertise in te zetten voor de bescherming tegen deze nieuwe dreigingen.

Nish verwees naar de verschuiving in carrièrepaden van sommige cybersecurity-experts, zoals Mikko Hyppönen, die zich van antivirusonderzoek naar de drone-industrie heeft verplaatst, als een teken dat cyberverdedigers zich steeds meer richten op luchtruimbeveiliging. De presentatie ging verder in op de ontdekking dat BAE Systems al methoden heeft ontwikkeld om drones te hacken, waaronder het extraheren en reverse-engineeren van de firmware van veelgebruikte drones voor inlichtingen, surveillance en verkenning (ISR).

In zijn toespraak identificeerde Nish verschillende typen drones die als bedreigingen kunnen fungeren. Ongeveer 80% van de drones die wereldwijd in omloop zijn, zijn commerciële modellen die gemakkelijk online te verkrijgen zijn, zoals de DJI Phantom en DJI Mavic. Daarnaast worden steeds vaker op maat gemaakte drones gebruikt voor specifieke missies, van het ontwijken van detectie tot het vervoeren van zware ladingen. De hoogste dreiging komt echter van militaire systemen, zoals de Orlan-10 van Rusland en de Shahed-136 van Iran, die vaak worden ingezet in conflicten zoals in Oekraïne.

De verdediging tegen drones blijft echter een grote uitdaging. Hoewel elektronische oorlogsvoering kan helpen om signalen van drones te verstoren, is dit vaak ineffectief tegen op maat gemaakte drones die onvoorspelbare frequenties gebruiken. Kinetische interventies, zoals raketten of geweren, zijn duur en niet ontworpen voor het uitschakelen van kleine, goedkope drones. Nish stelde voor dat cybersecurity-experts het verschil zouden kunnen maken, aangezien drones in wezen computers zijn met motoren en hun interne architecturen vaak kwetsbaar blijken te zijn. Er is geen sprake van firewalls of andere beveiligingsmaatregelen op drones, wat hen tot relatief gemakkelijke doelwitten maakt voor hackers.

BAE Systems heeft bijvoorbeeld een methode ontwikkeld om de firmware van ISR-drones te hacken door gebruik te maken van cryptografische fouten in de AES-128-encryptie van de gebruikte hardware. Dit stelde de onderzoekers in staat om de communicatie van de drone te onderscheppen en zelfs over te nemen, een techniek die in de toekomst essentieel zou kunnen zijn voor het veiligstellen van luchtruimen tegen kwaadaardige drones.

Nish voorspelt dat de dreiging van drones zal blijven toenemen, vooral met de opkomst van laag-aardse satellieten en 5G-verbindingen die langeafstandsbediening van drones mogelijk maken. Ook dronezwermen, gecoördineerd via mesh-radiosystemen, vormen een nieuwe bedreiging die het cyberlandschap verandert en kan worden vergeleken met botnets. Daarnaast zullen militaire drones, maritieme drones en zelfs humanoïde robots naar verwachting ook een grotere rol gaan spelen in de dreiging die uitgaat van autonome systemen.

De huidige dreigingen maken het belangrijker dan ooit om digitale forensische technieken te ontwikkelen die het mogelijk maken om de systemen van gecrashte drones te onderzoeken en om kwetsbaarheden verantwoord te melden. Dit biedt niet alleen kansen voor de verdediging tegen kwaadwillende drones, maar kan ook helpen om te zorgen voor de veiligheid van burgers en kritieke infrastructuur.

Bron 1

De inzet van onbemande grondrobots (UGV’s) in Oekraïne heeft geleid tot opmerkelijke technologische vooruitgangen, maar roept ook belangrijke vragen op over de beveiliging van deze systemen tegen cyberdreigingen. Deze robots, die worden ingezet voor logistieke taken en gevechtsdoelen, maken gebruik van geavanceerde technologieën, zoals Starlink voor communicatie, wat hen minder kwetsbaar maakt voor traditionele vormen van elektronische verstoring. Echter, de afhankelijkheid van satellietverbindingen maakt ze niet immuun voor cyberaanvallen die gericht zijn op het verstoren van communicatiesystemen of het manipuleren van de operationele capaciteit van de robots.

In Europa, waaronder Nederland en België, is de discussie over de veiligheid van militaire technologieën, zoals drones en UGV’s, steeds relevanter geworden. Hoewel deze technologieën in eerste instantie bedoeld zijn voor defensie, kunnen ze ook het doelwit worden van cybercriminelen of staatsactoren die proberen gevoelige informatie te verkrijgen of militaire operaties te verstoren. De snelle inzet van UGV’s in Oekraïne toont aan hoe belangrijk het is om na te denken over de beveiliging van dergelijke technologieën, zowel op het slagveld als in de bredere geopolitieke context.

De productie en inzet van deze robots in Oekraïne geeft inzicht in de technische en organisatorische uitdagingen die gepaard gaan met de implementatie van autonome systemen in een gevechtsomgeving. Dit biedt waardevolle lessen voor de manier waarop soortgelijke technologieën in de toekomst mogelijk worden ingezet, zowel voor militaire als civiele toepassingen, met een groeiende focus op de beveiliging van deze systemen tegen cyberdreigingen.

Bron 1

Op 8 december 2025 ontmoette de Britse minister van Buitenlandse Zaken Yvette Cooper haar Amerikaanse ambtgenoot Marco Rubio in Washington, waar ze de voortdurende samenwerking tussen de VS en het VK voor een duurzame vrede tussen Rusland en Oekraïne benadrukten. Deze boodschap kwam te midden van zorgen binnen de Europese diplomatie over de recente pogingen van president Trump om tot een vredesakkoord te komen, dat door velen als gunstig voor Moskou wordt beschouwd. De hernieuwde druk vanuit de Amerikaanse regering is een reactie op de voortdurende oorlog in Oekraïne, waarbij Trump in zijn tweede ambtstermijn een snelle oplossing voorstelt, die veel Europese diplomaten als schadelijk voor Oekraïne beschouwen.

Het voornaamste probleem is dat Trump zijn plan voor een vredesovereenkomst steeds verder heeft verlengd, ondanks zijn eerdere belofte om de oorlog binnen de eerste 100 dagen te beëindigen. Dit heeft geleid tot een situatie waarin Oekraïne mogelijk gedwongen wordt concessies te doen die het niet wil, vooral als het gaat om het opgeven van grondgebied. Europese leiders zoals de Britse premier Keir Starmer, de Franse president Emmanuel Macron en de Duitse kanselier Friedrich Merz benadrukken echter dat Oekraïne niet kan overleven zonder de steun van het Westen. De stabiliteit van Europa wordt volgens hen in wezen bedreigd door de situatie in Oekraïne, aangezien de gevolgen van de oorlog zich niet alleen beperken tot Oekraïne, maar de bredere Europese veiligheid raken.

Tegelijkertijd wijzen Britse officials op een opkomende nieuwe dimensie in de Russische oorlogsinspanningen, namelijk de toename van cyberaanvallen en desinformatiecampagnes die gericht zijn tegen westerse democratieën. In haar toespraak na haar bezoek aan de VS zal Cooper de nadruk leggen op deze hybride dreigingen die bedoeld zijn om de kritieke infrastructuur van landen te ondermijnen en de democratische processen te verstoren. Het VK heeft, net als andere Europese landen, te maken gehad met aanzienlijke cyberaanvallen, waarvan velen worden toegeschreven aan Rusland, China en Noord-Korea.

In Washington groeit de bezorgdheid over het vredesplan van Trump, met kritiek van Amerikaanse wetgevers zoals senator Chris Van Hollen. Hij waarschuwt dat de Amerikaanse benadering te veel in het voordeel van Rusland zou kunnen zijn, vooral als het Oekraïense standpunt wordt ondermijnd. Europese diplomaten maken zich zorgen dat de VS zich teveel terugtrekt uit het conflict, terwijl Europa alleen niet in staat zal zijn om Rusland af te schrikken zonder de steun van de VS.

Binnen de Europese diplomatie wordt de komende dagen als cruciaal gezien. Oekraïne heeft een tegenvoorstel op basis van Europese steun voorbereid en zal dit binnenkort naar Washington sturen. De vraag blijft of de VS in staat zal zijn om de ambitieuze plannen van president Trump te balanceren zonder de alliantie te ondermijnen die Europa al decennia lang heeft geholpen in zijn strijd voor veiligheid en stabiliteit.

Bron 1

Een geavanceerde malwarecampagne, Operation FrostBeacon, richt zich op de Russische financiële en juridische sectoren. De campagne maakt gebruik van phishingaanvallen en geïnfecteerde bijlagen om de Cobalt Strike-malware te verspreiden, een krachtig hulpmiddel voor externe toegang en het uitvoeren van opdrachten op gecompromitteerde systemen. Deze dreiging is bijzonder gericht op organisaties die omgaan met gevoelige bedrijfsinformatie en transacties.

De aanvallers gebruiken op maat gemaakte e-mails die vaak zakelijke termen en zorgen over contractbetalingen, juridische geschillen en schuldincasso bevatten om vertrouwen op te bouwen bij de slachtoffers. Deze e-mails lijken legitiem, vooral in de context van de logistiek, financiën en toeleveringsketens, waar dergelijke zorgen gangbaar zijn. Zodra de slachtoffers de malafide bestanden openen, wordt Cobalt Strike geïnstalleerd via meerdere fasen van infectie.

De eerste fase van de infectie omvat het gebruik van een archiefbestand met een kwaadaardig snelkoppelingbestand dat zich voordoet als een PDF. Bij het openen van dit bestand worden PowerShell-commando’s uitgevoerd die verbinding maken met een extern serveradres. De tweede fase maakt gebruik van Word-documenten die oudere kwetsbaarheden, zoals CVE-2017-0199 en CVE-2017-11882, misbruiken om toegang te krijgen tot systemen en de schadelijke code uit te voeren.

Een van de meest opvallende kenmerken van deze campagne is de gebruikte techniek om de malware moeilijk detecteerbaar te maken. Zodra de kwaadaardige bestanden zijn uitgevoerd, wordt een HTML-toepassing (HTA) gestart die een gzip-gecomprimeerd PowerShell-script rekonstrueert uit meerdere Base64-gecodeerde blokken. Deze scriptimplementatie maakt gebruik van drie lagen van obfuscatie, waaronder Gzip-compressie, Base64-codering en XOR-encryptie, waarmee de malware wordt verborgen in het geheugen van het systeem zonder bestanden op de schijf achter te laten.

De gebruikte technieken tonen de geavanceerde capaciteiten van de dreigingsactoren, die diepgaande kennis hebben van afweermechanismen en hoe ze die kunnen omzeilen. De Cobalt Strike-beacon, die als loader fungeert, maakt verbinding met command-and-control-servers die zich voordoen als reguliere jQuery-bestanden, wat de detectie verder bemoeilijkt.

De infrastructuuranalyse van de malwarecampagne wijst op domeinen die in Rusland zijn geregistreerd en via lokale providers opereren, waarbij het verkeer van command-and-control wordt verborgen binnen legitiem ogende webverzoeken. Dit toont aan dat de aanvallers een goed georganiseerde en technisch bekwame groep zijn, met als doel financieel gewin.

Bron 1

Een door China gesteunde hackgroep heeft een gerichte aanval uitgevoerd op Japanse scheepvaart- en transportbedrijven door kritieke kwetsbaarheden in Ivanti Connect Secure (ICS) uit te buiten. Deze campagne, die in april 2025 werd ontdekt, maakt gebruik van twee ernstige kwetsbaarheden om toegang te verkrijgen tot doelnetwerken en verschillende PlugX-malwarevarianten te implementeren, waaronder de nieuw geïdentificeerde MetaRAT en Talisman PlugX.

De aanval begint met het compromitteren van ICS-systemen via de kwetsbaarheden CVE-2024-21893 en CVE-2024-21887. Nadat de aanvallers toegang hebben verkregen, installeren ze malware op de getroffen apparaten. Vervolgens voeren ze gedetailleerde verkenning uit om het netwerk van de doelwitten in kaart te brengen en systeemreferenties van de gecompromitteerde systemen te verzamelen.

Door middel van gestolen referenties, met name informatie van actieve directory-beheerdersaccounts, bewegen de aanvallers zich lateraal door de netwerkinfrastructuur van de doelorganisaties. Ze implementeren systematisch verschillende PlugX-varianten op meerdere interne servers om persistentie te behouden en hun controle over de gecompromitteerde systemen uit te breiden.

De multi-fase-aanval toont aan dat de aanvallers zorgvuldig te werk gaan en goed begrijpen hoe de netwerkinfrastructuren van ondernemingen zijn opgebouwd. Beveiligingsanalisten van LAC Watch ontdekten de malware na forensisch onderzoek van de gecompromitteerde Ivanti-systemen. Ze vonden foutlogbestanden met de code ERR31093, die verschijnen wanneer ICS ongeldige SAML-payloads verwerkt in verband met de exploitatie van CVE-2024-21893. Daarnaast onthulde de Integrity Checker Tool verdachte bestanden die overeenkwamen met eerder gedocumenteerde malwarehandtekeningen zoals LITTLELAMB, WOOLTEA, PITSOCK en PITFUEL.

MetaRAT vertegenwoordigt een nieuwe evolutie in de PlugX-familie van remote access trojans. Dit variant was al sinds 2022 aanwezig, maar werd tot nu toe niet bij naam genoemd. MetaRAT maakt gebruik van DLL side-loading, een techniek die legitieme Windows-processen benut om kwaadaardige code in te laden. Het loadercomponent, genaamd mytilus3.dll, laadt een versleuteld shellcodebestand, genaamd materoll, dat wordt gedecrypt met XOR-bewerkingen en vervolgens uitgevoerd in het geheugen. Het shellcode voert nog een AES-256-ECB-decryptie uit op het daadwerkelijke MetaRAT-payload, dat vervolgens wordt gecomprimeerd met LZNT1.

De gedecodeerde MetaRAT malware wordt uitgevoerd via geëxporteerde functies, wat de detectie voor beveiligingssoftware aanzienlijk bemoeilijkt door de gelaagde encryptie- en compressietechnieken. MetaRAT maakt gebruik van API-hashing om de benodigde Windows API-functies te verkrijgen en implementeert anti-debuggingmechanismen die de decryptiesleutels vernietigen wanneer een debugger wordt gedetecteerd.

Organisaties die gebruik maken van de getroffen versies van Ivanti Connect Secure moeten onmiddellijk beveiligingspatches toepassen en hun systemen controleren op tekenen van compromittering. Verdachte registraties van diensten, zoals “sihosts”, of registersleutels met de naam “matesile” kunnen wijzen op actieve MetaRAT-infecties. Daarnaast kan het controleren op keylog-bestanden met de naam “VniFile.hlp” in de directory %ALLUSERSPROFILE%\mates\ helpen om getroffen systemen te identificeren.

Bron 1

Op 9 december 2025 heeft de cybercriminelen-groep NoName meerdere websites in België aangevallen met DDoS-aanvallen. Volgens berichten die in de dreigingsinformatie werden gedeeld, heeft de groep doelwitten gekozen die variëren van onderwijsinstellingen tot commerciële en openbare organisaties. Onder de getroffen websites bevinden zich prominente namen zoals KU Leuven, Regioleverancier, Bruxelles-Propreté, SABCA, Credendo en AGZ Port Services.

Deze aanvallen zijn typisch voor DDoS-incidenten, waarbij een hoge hoeveelheid verkeer naar de doelwebsites wordt gestuurd, waardoor ze overbelast raken en onbereikbaar worden voor legitieme gebruikers. Dit soort aanvallen kunnen ernstige verstoringen veroorzaken voor de getroffen organisaties en hun klanten, evenals reputatieschade.

De NoName-groep heeft zichzelf al eerder geprofileerd door soortgelijke aanvallen uit te voeren op websites van overheidsinstanties en bedrijven. Het is niet duidelijk wat de specifieke motivatie voor de aanvallen op deze Belgische websites is, maar het is duidelijk dat DDoS-aanvallen een steeds vaker voorkomend probleem zijn voor zowel publieke als private sectoren.

De getroffen organisaties hebben geen gedetailleerde informatie gedeeld over de impact van de aanvallen, maar het is te verwachten dat de hersteloperaties voor de getroffen websites en servers enige tijd zullen duren. Dit incident benadrukt opnieuw de kwetsbaarheid van veel systemen voor dergelijke aanvallen, die kunnen worden uitgevoerd door relatief beperkte middelen.

Op 9 december 2025 werd gemeld dat de website van de Belgische regio Wallonië, wallonie.be, het doelwit was van een DDoS-aanval (Distributed Denial of Service). De aanval werd opgeëist door een hackercollectief, dat verantwoordelijk is voor het verstoren van de toegang tot de website door deze te overspoelen met ongewenst verkeer. Dit type aanval heeft als doel de werking van de getroffen website te verstoren, waardoor deze tijdelijk onbereikbaar is voor reguliere gebruikers.

De aard van de aanval en de impact ervan zijn nog niet volledig duidelijk. DDoS-aanvallen worden vaak ingezet om overheidswebsites of andere belangrijke infrastructuren tijdelijk plat te leggen, wat kan leiden tot verstoringen in de dienstverlening. Tot nu toe zijn er geen meldingen van datadiefstal of verdere schade aan de infrastructuur van de getroffen site. De Belgische autoriteiten hebben nog geen officiële reactie gegeven over de vervolgstappen in verband met deze cyberaanval.

Een nieuwe vorm van malware, EtherRAT, is ontdekt, die gebruik maakt van de React2Shell-kwetsbaarheid om Linux-systemen te infecteren. Het malwareprogramma maakt gebruik van vijf verschillende mechanismen om zich vast te zetten op het systeem en gebruik te maken van Ethereum smart contracts voor communicatie met de aanvallers. Onderzoekers van cloudbeveiligingsbedrijf Sysdig ontdekten de EtherRAT-malware kort na de onthulling van de React2Shell-kwetsbaarheid, die is geclassificeerd als CVE-2025-55182.

EtherRAT werd gedetecteerd op een geïnfecteerde Next.js-toepassing, slechts twee dagen na de openbaarmaking van de kwetsbaarheid. De malware maakt gebruik van geavanceerde technieken, waaronder blockchain-gebaseerde command-and-control (C2) communicatie en meerdere lagen van persistentie op Linux-systemen. Het maakt ook gebruik van een Node.js-runtime die via een legitieme bron wordt gedownload, waarna de malware wordt gedecodeerd en uitgevoerd. Dit maakt EtherRAT moeilijk te detecteren en zorgt voor een complexe aanvalsketen.

De aanvallen die gebruik maken van de React2Shell-kwetsbaarheid hebben wereldwijd impact gehad, met minstens 30 getroffen organisaties die slachtoffers werden van credential-stealing, cryptomining en de inzet van standaard backdoors. De kwetsbaarheid zelf betreft een deserialisatieprobleem in de React Server Components "Flight"-protocol, waarmee aanvallers op afstand ongeauthenticeerde code kunnen uitvoeren via speciaal gemaakte HTTP-aanvragen.

EtherRAT biedt een hogere mate van persistentie op geïnfecteerde systemen door gebruik te maken van verschillende technieken zoals cron jobs, bashrc-injecties, XDG-autostart, systemd-gebruikerservices en profielinvoegingen. Dit zorgt ervoor dat de malware zichzelf opnieuw installeert na een herstart van het systeem of onderhoud.

De malware heeft daarnaast de mogelijkheid om zichzelf te updaten door het verzenden van zijn broncode naar een API-endpoint, waarmee de malware zichzelf vervangt met nieuwe versies die zijn gecodeerd met andere technieken om detectie te voorkomen. Dit maakt EtherRAT een geavanceerd hulpmiddel voor cyberaanvallers, vooral gezien het gebruik van Ethereum smart contracts voor de communicatie tussen de infectie en de aanvallers.

Deze recente aanvallen benadrukken de ernst van de React2Shell-kwetsbaarheid, die al snel werd uitgebuit door verschillende hackersgroepen, waaronder de Noord-Koreaanse Lazarus-groep. Het wordt aanbevolen dat systeembeheerders onmiddellijk de veilige versies van React/Next.js installeren om verdere aanvallen te voorkomen.

Bron 1

In een recente verklaring heeft Reporters Without Borders (RSF) aangekondigd dat een groep, gelinkt aan de Russische federale veiligheidsdienst FSB, verantwoordelijk is voor een mislukte cyberaanval op de organisatie eerder dit jaar. De Franse non-profitorganisatie, die zich inzet voor de bescherming van journalisten en de persvrijheid, ontdekte de aanval na een maandenlange interne en externe onderzoeksperiode, ondersteund door het Franse cybersecuritybedrijf Sekoia.

De aanval vond plaats in maart 2025, toen een werknemer van RSF doelwit was van een phishingaanval. De medewerker ontving een e-mail die leek te komen van een legitieme bron, met daarin een geïnfecteerd document of een schadelijke link. De medewerker gaf het bericht echter door aan het cybersecurityteam van RSF, dat het incident vervolgens doorstuurde naar Sekoia voor verdere analyse. De bevindingen gaven aan dat de Calisto-groep, ook bekend als ColdRiver of Star Blizzard, achter de aanval zat. Deze groep wordt al sinds 2017 in verband gebracht met de Russische inlichtingendienst FSB en is verantwoordelijk voor verschillende gerichte cyberoperaties.

RSF is vaker het doelwit van digitale aanvallen vanwege haar werk voor de vrijheid van de pers en het recht op betrouwbare informatie, met name in Rusland. De organisatie heeft eerder te maken gehad met aanvallen die gericht waren op haar IT-systemen en haar reputatie. In augustus 2025 werd RSF officieel door de Russische overheid aangemerkt als een "ongewenste organisatie," wat de organisatie en haar medewerkers blootstelt aan juridische vervolging in Rusland.

De cyberaanval in maart 2025 is een onderdeel van een bredere trend van aanvallen op onafhankelijke media en persorganisaties die kritisch staan tegenover het Russische regime. Het doel van deze aanvallen is vaak om de toegang tot informatie te belemmeren en de activiteiten van organisaties zoals RSF te verstoren. De betrokkenheid van de FSB benadrukt de verregaande invloed van de Russische overheid in digitale operaties die gericht zijn op het ondermijnen van vrije pers en het straffen van dissidenten.

Dit incident is een van de vele voorbeelden van de voortdurende digitale strijd voor persvrijheid en de bescherming van journalisten wereldwijd. In de context van de geopolitieke spanningen blijft de bescherming van kritische infrastructuren en de vrijheid van informatie een centraal thema in de strijd tegen autoritaire regimes.

Bron 1

Gelekte documenten onthullen dat Rusland, ondanks zware westerse sancties, blijft vertrouwen op buitenlandse technologie om zijn nieuwste militaire vliegtuigen te produceren. De documenten tonen aan dat de Russische luchtvaartsector, inclusief het PAK DA strategische bommenwerperprogramma en de Su-57 jager, afhankelijk is van geïmporteerde CNC-machines, die via omzeilingskanalen afkomstig zijn uit landen als Taiwan en Servië.

De fabrikant OKBM, die verantwoordelijk is voor het produceren van cruciale onderdelen voor de gevechtsvliegtuigen, ondervindt aanzienlijke problemen door het gebrek aan binnenlandse productiecapaciteit. De gelekte documenten bevestigen dat Rusland de technologieën die nodig zijn voor de productie van de zogenaamde 'vijfde generatie' straaljagers niet volledig zelf kan ontwikkelen. De afhankelijkheid van buitenlands gereedschap, zoals nauwkeurige CNC-machines, vormt een ernstige uitdaging voor het land, dat al sinds 2022 verlies van toegang heeft tot veel westerse leveranciers.

Deze situatie onderstreept de kwetsbaarheid van de Russische defensie-industrie, die ondanks de groeiende productiecapaciteit blijft worstelen met technologische tekortkomingen en vertragingen door de sancties. De documenten die recent openbaar werden, bieden een zeldzaam kijkje in de manier waarop Rusland zijn militaire programma’s in stand houdt, ondanks de internationale druk en beperkingen.

Op 23 oktober 2025 voegde de Europese Unie OKBM toe aan haar sanctielijst, vanwege de rol die het bedrijf speelt in de ontwikkeling van geavanceerde wapensystemen. Deze maatregel is een direct gevolg van de onthullingen over de manier waarop Rusland buitenlandse technologie blijft gebruiken, ondanks de formele embargo’s.

Deze ontwikkelingen hebben aanzienlijke implicaties voor de geopolitieke stabiliteit, met name in het licht van de voortdurende spanningen in Oekraïne en de bredere relatie tussen Rusland en het Westen. Voor experts op het gebied van geopolitiek en technologie is het duidelijk dat de technologische afhankelijkheid van Rusland een cruciale rol speelt in de effectiviteit van de opgelegde sancties.

Bron 1

Het Verenigd Koninkrijk heeft sancties aangekondigd tegen verschillende Russische mediakanalen en organisaties die betrokken zouden zijn bij informatieoorlogvoering. Buitenlandse Zakenminister Yvette Cooper verklaarde dat de sancties gericht zijn op het Telegramkanaal Rybar, de Russische ultranationalistische denktank Centrum voor Geopolitieke Expertise, en de organisatie Pravfond, die door de Estse inlichtingendienst als een dekmantel voor de Russische militaire inlichtingendienst GRU wordt beschouwd. Deze organisaties worden beschuldigd van het verspreiden van desinformatie en het ondermijnen van westerse democratieën.

Daarnaast werden twee Chinese bedrijven, i-Soon en de Integrity Technology Group, getroffen door de sancties. Cooper benadrukte dat deze bedrijven verantwoordelijk worden gehouden voor cyberactiviteiten die gericht zijn tegen het VK en zijn bondgenoten. Ze stelde dat het VK samen met zijn bondgenoten te maken heeft met toenemende hybride dreigingen, waaronder fysieke aanvallen en desinformatiecampagnes die sociale media overspoelen met gemanipuleerde video's en generatieve AI-inhoud, bedoeld om de steun voor Oekraïne in de westerse wereld te ondermijnen.

De Britse minister legde de nadruk op de noodzaak voor Westerse landen om hun verdediging tegen dergelijke aanvallen te versterken. Dit werd benadrukt tijdens haar toespraak ter gelegenheid van de honderdste verjaardag van de ondertekening van de Locarno-overeenkomsten, die vrede in Europa na de Eerste Wereldoorlog moesten waarborgen. Cooper gaf aan dat internationale samenwerking essentieel blijft, ondanks de recente veranderingen in de wereldpolitiek, zoals de onzekere positie van de VS binnen de NAVO onder president Donald Trump.

De sancties tegen de genoemde Russische en Chinese entiteiten zijn een onderdeel van een bredere strategie van het VK om hybride dreigingen te bestrijden die gericht zijn op het verzwakken van nationale infrastructuren en het verstoren van democratische processen. Het VK maakt duidelijk dat het zich blijft verdedigen tegen deze vormen van informatieoorlogvoering.

Bron 1

De voormalige NAVO-opperbevelhebber generaal Philip Breedlove heeft in een interview met de Kyiv Post gewaarschuwd dat de Verenigde Staten niet in staat zijn zichzelf alleen te verdedigen tegen opkomende bedreigingen, waaronder cyberaanvallen en hybride oorlogvoering. Breedlove benadrukt dat de veiligheid van zowel Europa als de VS afhangt van een voortdurende samenwerking, waarbij de rol van de VS cruciaal is voor de verdediging van Europa tegen geavanceerde dreigingen, inclusief cyberaanvallen.

Breedlove wijst op de recente Amerikaanse nationale veiligheidsstrategie die een de-prioritisering van Europa lijkt te bevatten. Dit staat in schril contrast met de visie van Rusland, die duidelijk stelt dat Europa een strategische doelstelling is. De voormalige generaal maakt zich zorgen dat deze benadering een bevestiging zou kunnen zijn van de geopolitieke visie van Moskou, wat kan leiden tot een verslechtering van de veiligheid in Europa, zowel op conventioneel als digitaal gebied.

Hoewel de Amerikaanse politiek fluctueert, blijft de steun van het Amerikaanse publiek voor de NAVO en de verdediging van Oekraïne sterk, wat een stabiliserende factor is voor de relaties tussen de VS en Europa. Breedlove benadrukt dat dit publieke sentiment geruststelling biedt voor Europese partners, maar dat de landen in Europa zich moeten voorbereiden op een hernieuwde dreiging van Rusland. Rusland heeft immers al aangegeven niet klaar te zijn met zijn ambities in Europa, wat de dreiging van een grootschalige cyberoorlog en hybride aanvallen vergroot.

Breedlove pleit voor een versnelde versterking van de Europese defensiecapaciteiten, vooral op het gebied van luchtverdediging, inlichtingen, logistiek en cyberbeveiliging. Europa moet zich voorbereiden op een toekomst waarin de dreiging van Russische lucht- en cyberaanvallen niet afneemt, en waar landen zoals Nederland en België niet alleen afhankelijk kunnen zijn van de VS voor bescherming. De recente cyberaanvallen tegen Oekraïne, en de daarbij gebruikte technieken zoals drones en ransomware, dienen als waarschuwing voor Europa om de defensiecapaciteiten snel op te voeren.

Bovendien waarschuwt Breedlove dat de Europese landen meer verantwoordelijkheid moeten nemen voor hun eigen verdediging. Het signaal naar de VS moet duidelijk zijn: Europa moet laten zien dat het serieus is over het versterken van de eigen defensie-infrastructuur, zowel op het gebied van fysieke als digitale verdediging. Dit is essentieel om de samenwerking met de VS in stand te houden en om een toekomstig machtvacuüm te vermijden dat door vijandige staten zou kunnen worden benut.

De oproep van Breedlove om de Europese capaciteit op het gebied van cyberbeveiliging en nationale verdediging te versterken heeft directe implicaties voor landen als Nederland en België. Beide landen moeten niet alleen hun samenwerking met de VS voortzetten, maar ook eigen maatregelen nemen om zich voor te bereiden op de groeiende dreigingen, zowel fysiek als digitaal.

Bron 1

Een recente datalek van de door de Iraanse staat gesteunde groep Charming Kitten, ook wel bekend als APT35, heeft belangrijke interne documenten blootgelegd die de operaties van de groep onthullen. Deze gegevens bevatten informatie over sleutelfiguren binnen de groep, frontbedrijven die de activiteiten ondersteunen, en duizenden systemen die wereldwijd zijn gecompromitteerd. De gelekte bestanden bieden inzicht in de langlopende intrusiecampagnes van Iran’s Departement 40, onderdeel van de IRGC Intelligence Organization, die zich richt op cyber-espionage en gerichte operaties.

De gelekte documenten bevatten gedetailleerde informatie over de operaties van Charming Kitten, waaronder salarisstroken van de “Sisters Team” en de “Brothers Team,” die aantonen hoe de financiële structuren van de groep functioneren. De documenten onthullen ook hoe malware, verspreid via spear-phishing en vervalste documenten, systemen infecteert. De malware krijgt toegang tot e-mailservers, VPN-gateways en andere netwerkinfrastructuur van overheidskantoren, universiteiten en telecombedrijven, wat de omvang van de aanval benadrukt.

Naast de technologische details over de gebruikte infectiemechanismen, zoals PowerShell-scripts die de malware downloaden, worden in de gelekte gegevens ook doelwitlijsten en taakopdrachten voor de malware-aanvallen onthuld. Dit wijst erop dat Charming Kitten specifiek gericht is op diplomatieke, energie- en civiele netwerken, wat de strategische aard van de operaties benadrukt.

De malware, vaak verspreid via spear-phishing e-mails met vervalste inlogpagina's of malafide bijlagen, maakt gebruik van zogenoemde 'lures' om slachtoffers te misleiden. Zodra de gebruiker op de verleidingspoging in gaat, wordt toegang verkregen tot de systemen van het slachtoffer, wat leidt tot gegevensdiefstal en volledige controle over de apparaten.

De gelekte gegevens bieden nu een duidelijker beeld van hoe de aanvallers opereren en welke systemen ze targeten, wat een waardevol inzicht biedt in de manier waarop geld, management en malware samenkomen in cyber-espionagecampagnes van deze omvang.

Bron 1

Op 11 december 2025 heeft de hacktivistische groep NoName aangekondigd dat zij meerdere websites van Belgische gemeenten heeft aangevallen. De getroffen gemeenten zijn Bever, Drogenbos, Kraainem, Linkebeek, Mesen en Ronse. Het doel van deze cyberaanvallen was vermoedelijk om de online diensten van deze steden en gemeenten tijdelijk buiten gebruik te stellen door middel van Distributed Denial of Service (DDoS)-aanvallen.

DDoS-aanvallen zijn ontworpen om de servers van een doelwit te overspoelen met een enorme hoeveelheid verkeer, waardoor legitieme gebruikers geen toegang meer krijgen tot de getroffen websites. Deze vorm van cyberaanvallen wordt vaak gebruikt door hacktivistische groepen om politieke boodschappen over te brengen of om overheidsinstanties of bedrijven te destabiliseren. Het is op dit moment nog niet bekend welke specifieke doelstellingen de groep met deze aanvallen wilde bereiken, maar dergelijke aanvallen kunnen aanzienlijke gevolgen hebben voor de werking van publieke diensten.

Het is belangrijk dat lokale overheden en bedrijven alert blijven op dergelijke dreigingen, aangezien DDoS-aanvallen de continuïteit van essentiële diensten kunnen verstoren. De Belgische autoriteiten zijn inmiddels op de hoogte van de situatie en zullen de ontwikkelingen blijven volgen om verdere schade te voorkomen.

Duitsland heeft de Russische ambassadeur opgeroepen na beschuldigingen van sabotage, cyberaanvallen en inmenging in de verkiezingen. De Duitse regering heeft Moskou ook beschuldigd van het uitvoeren van desinformatiecampagnes. Volgens de Duitse woordvoerder van het ministerie van Buitenlandse Zaken, Martin Giese, is het doel van deze Russische aanvallen duidelijk: het is bedoeld om de samenleving te verdelen, wantrouwen op te wekken, afkeer te zaaien en het vertrouwen in democratische instellingen te ondermijnen.

Deze gerichte manipulatie van informatie is onderdeel van een breder scala aan activiteiten die door Rusland worden uitgevoerd om het vertrouwen in democratische processen in Duitsland te ondermijnen. Giese verwees naar eerdere beschuldigingen dat Rusland hybride oorlogvoering zou gebruiken om Europa te destabiliseren. De Russische militaire inlichtingendienst GRU wordt beschuldigd van een cyberaanval op de Duitse luchtverkeersleiding in 2024, uitgevoerd door de hackercollectief APT28, ook wel bekend als Fancy Bear. De GRU, die in verschillende landen gesanctioneerd is, wordt ook in verband gebracht met de bemoeienis bij de Amerikaanse verkiezingen in 2016, waar ze werden beschuldigd van het lekken van e-mails van de Democratische Partij.

Daarnaast meldde Giese dat de Duitse inlichtingendiensten geloven dat de GRU geprobeerd heeft de Duitse federale verkiezingen van februari 2025 te destabiliseren via een campagne genaamd “Storm 1516.” Deze campagne verspreidde kunstmatig gegenereerd pseudo-onderzoek, deepfake-beelden, valse journalistieke websites en gefabriceerde getuigenverklaringen op verschillende platforms.

De Duitse regering heeft aangekondigd dat er tegenmaatregelen zullen volgen voor deze hybride oorlogsvoering. Ze benadrukten dat de herhaalde en onaanvaardbare aanvallen door door de staat gecontroleerde Russische actoren met de sterkst mogelijke woorden worden veroordeeld. Duitsland blijft ook zijn steun aan Oekraïne versterken en zijn afschrikking en verdediging verder opbouwen.

Bron 1

Het Verenigd Koninkrijk heeft een nieuwe stap gezet in het versterken van zijn militaire inlichtingencapaciteiten door alle inlichtingendiensten te verenigen binnen één organisatie. Dit gebeurde met de oprichting van een nieuw hoofdkantoor voor militaire inlichtingendiensten in Wyton, Cambridgeshire. Het doel van deze centralisatie is het versnellen van het verzamelen, analyseren en delen van inlichtingen. De nieuwe eenheid, onder de Britse krijgsmacht, brengt militaire inlichtingen van de Koninklijke Marine, het Britse Leger en de Koninklijke Luchtmacht samen, en heeft als doel om een snellere en effectievere reactie op dreigingen mogelijk te maken. De oprichting van deze eenheid valt samen met een periode van toenemende dreigingen voor het VK, waaronder cyberaanvallen, gedestabiliseerde satellieten, maritieme dreigingen en desinformatie.

Deze ontwikkeling komt op het moment dat de NAVO-Secretaris-Generaal Mark Rutte een waarschuwing afgaf over de verslechterende veiligheidssituatie in Europa. Tijdens de Veiligheidsconferentie in München stelde hij dat Europa zich in een oorlogssituatie bevindt met Rusland, waarbij een aanval op een NAVO-lidstaat binnen vijf jaar waarschijnlijk is. Hij wees op de aanzienlijke toename van Russische militaire activiteiten, waaronder de lancering van duizenden drones en raketten tegen Oekraïne, en het opzetten van een productiecapaciteit voor duizenden aanvalsdrone per maand. De NAVO roept Europa op zich voor te bereiden op een oorlog van dezelfde omvang als de wereldoorlogen van de vorige eeuw. De NAVO's eigen verdedigingscapaciteiten kunnen volgens Rutte momenteel standhouden, maar de dreiging van Rusland blijft groot.

De oprichting van de nieuwe inlichtingeneenheid in het VK is een belangrijke stap in het versterken van de militaire capaciteiten van het land en het verbeteren van de samenwerking binnen de vijfde ogen-partners (Verenigde Staten, VK, Canada, Australië en Nieuw-Zeeland). Het nieuwe centrum is uitgerust met geavanceerde technologieën en een fusion centre ter grootte van een voetbalveld om informatie te verwerken en te analyseren. De Britse regering benadrukt dat de nieuwe structuur sneller en effectiever kan reageren op de groeiende dreigingen in de regio.

De oprichting van deze centrale inlichtingeneenheid komt bovendien op het moment dat de militaire inlichtingen in het VK te maken hebben met een stijging van vijandige inlichtingenactiviteiten, die meer dan 50% is toegenomen. De Britse strijdkrachten verwachten dat dit soort dreigingen in de komende jaren zullen blijven toenemen, gezien de geostrategische situatie en de voortdurende spanningen met Rusland.

Bron 1, 2

Hudson Rock heeft recent onthuld hoe de Lazarus Group, een Noord-Koreaanse APT-groep, gebruik heeft gemaakt van een netwerk voor desinformatie in Jemen, oorspronkelijk opgezet in 2019, om hun eigen cyberaanvallen uit te voeren. Het netwerk, bestaande uit valse nieuwswebsites zoals alnagm-press.com, werd in eerste instantie gebruikt voor het verspreiden van pro-Houthi-narratieven en valse informatie, waaronder nepverhalen over de dood van Israëlische beroemdheden. De websites waren ontworpen om verwarring te zaaien en politieke invloed uit te oefenen.

In 2020 werd een computer in Jemen besmet met de RedLine Stealer, een infostealer die toegang verkreeg tot beheerderswachtwoorden van de betrokken nieuwswebsites. Deze gestolen inloggegevens werden later aangekocht door de Lazarus Group, die gebruik maakte van deze bestaande infrastructuur voor hun eigen cyberoperaties. Door de gehackte websites als onderdeel van hun command-and-control-infrastructuur te gebruiken, verbergden ze hun kwaadaardige activiteiten, waaronder het hosten van phishingpagina's en het verspreiden van malware.

De Lazarus Group staat bekend om het gebruik van bestaande infrastructuren, zoals oude websites, om zich te verschuilen voor detectie door beveiligingssystemen. Dit incident toont aan hoe een eenvoudige infectie door een infostealer kan leiden tot een grootschalige cyberaanval, waarbij bestaande middelen worden ingezet voor spionage en cybercriminaliteit. Het benadrukt de gevaren van de "Infostealer naar APT-pijplijn", waarbij aanvallers gebruikmaken van gestolen gegevens om hun operaties op te schalen.

Dit voorval heeft bredere implicaties voor de wereldwijde cyberbeveiliging en vormt een waarschuwingssignaal voor de ernst van de dreigingen die ook Nederland en België kunnen beïnvloeden. Het onderstreept de noodzaak om bestaande infrastructuren te monitoren en te beschermen tegen kwaadaardige hergebruik door cybercriminelen.

Bron 1

De pro-Russische hacktivistengroep CyberVolk is terug met een nieuwe variant van hun ransomware genaamd VolkLocker, waarmee ze zowel Linux- als Windows-systemen aanvallen. Deze aanval volgt op een periode van inactiviteit in 2025, nadat de groep eerder werd gedwongen stil te zijn door handhavingsmaatregelen op Telegram. De terugkeer van de groep werd aangekondigd in augustus 2025, toen ze een geavanceerd ransomware-as-a-service (RaaS) platform introduceerden, dat zowel encryptiemogelijkheden als Telegram-gebaseerde automatiseringstools bevat.

De VolkLocker ransomware vertegenwoordigt een evolutie in de aanvalscapaciteiten van CyberVolk. Het platform is ontworpen om zowel Linux- als Windows-omgevingen aan te vallen, wat de aanvalspopulatie aanzienlijk vergroot. De ransomware is geschreven in Golang en biedt een cross-platform aanpak, wat het voor de groep mogelijk maakt om uiteenlopende infrastructuren van organisaties aan te vallen. Dit verhoogt de kans op succesvolle aanvallen, aangezien de malware in staat is om diverse besturingssystemen te compromitteren.

De basisversies van de ransomware bevatten geen obfuscatie, en de groep moedigt de operators aan om de UPX-packing techniek te gebruiken voor extra bescherming, in plaats van de cryptingskenmerken die normaal gesproken aanwezig zijn in concurrerende ransomware-aanbiedingen. Deze aanpak onthult een combinatie van snelle groei en operationele onvolwassenheid, waarbij de malware testartifacten bevat die wijzen op een gehaaste ontwikkeling. Dit geeft slachtoffers mogelijkheden voor herstel, aangezien de ransomware enkele zwakke plekken vertoont die kunnen worden geëxploiteerd.

Een van de opvallende kenmerken van VolkLocker is het gebruik van geavanceerde privilege escalation-technieken. Zodra de malware wordt uitgevoerd, probeert het verhoogde beheerdersrechten te verkrijgen via een manipulatie van het Windows-register. Door het "ms-settings" User Account Control-bypassmechanisme te gebruiken, kan de ransomware zich uitvoeren met administratorrechten, waardoor het toegang krijgt tot beveiligde systeemdirectories en bestanden. Het gebruik van deze techniek maakt het mogelijk om doelwitomgevingen te compromitteren zonder dat waarschuwingen voor de gebruiker worden geactiveerd.

Daarnaast voert de malware een uitgebreide omgevingsscan uit, waarbij het bekende virtualisatietools zoals VirtualBox, VMware en QEMU detecteert. Dit stelt de malware in staat om sandboxomgevingen te vermijden en zich uitsluitend te richten op productieomgevingen, waar de schade aanzienlijk kan zijn.

Organisaties worden aangespoord om robuuste detectiemechanismen en privileges te implementeren, evenals monitoring van toegang tot het register, om zich te beschermen tegen de geavanceerde aanvalsmethoden van VolkLocker. De groep blijkt met deze nieuwe ransomware zowel zijn bereik als zijn aanvalstechnieken te hebben uitgebreid, wat aangeeft dat CyberVolk zijn operaties heeft geprofessionaliseerd, hoewel de software nog steeds enkele grote zwakke punten vertoont die voor beveiligingsonderzoekers kansen bieden om deze aanvallen te stoppen.

Bron 1

Het hacktivistische groep CyberVolk is terug, en deze keer gebruiken ze Telegram-bots om hun ransomware-aanvallen te beheren. Oorspronkelijk afkomstig uit India, heeft de groep zich gepositioneerd als pro-Russisch, maar hun activiteiten vertonen steeds meer overeenkomsten met die van een middelgrote onderneming. Dit keer ligt de focus niet alleen op de verspreiding van ransomware, maar ook op de geautomatiseerde manier waarop ze hun tools verkopen en ondersteunen.

CyberVolk biedt ransomware-as-a-service (RaaS) aan onder de naam VolkLocker, en deze service is toegankelijk via Telegram-bots. In plaats van te vertrouwen op traditionele webdashboards of verborgen services, heeft de groep Telegram-kanalen en bots opgezet om het hele proces te automatiseren. Dit maakt het voor affiliates gemakkelijker om de ransomware te gebruiken, besmettingen te beheren, en slachtoffers te benaderen zonder de noodzaak voor ingewikkelde technische infrastructuren.

Het gebruik van Telegram heeft verschillende voordelen voor CyberVolk. Het stelt hen in staat om snel affiliates te werven, hun ransomware te verkopen, en de benodigde ondersteuning te bieden. Bovendien kunnen ze via deze kanalen ook hun marketingactiviteiten uitvoeren, waarbij ze prijzen, bundelaanbiedingen en nieuwe malwarefuncties promoten. Telegram biedt ook de mogelijkheid om met slachtoffers te communiceren via een eenvoudige chatinterface, wat de interactie met de slachtoffers vergemakkelijkt.

De prijsstelling voor hun RaaS-diensten varieert, afhankelijk van het type systeem dat wordt aangevallen. Zo kan een enkele licentie voor een besturingssysteem tussen de $800 en $1.100 kosten, terwijl een gecombineerde versie voor zowel Linux als Windows kan oplopen tot $2.200. Daarnaast bieden ze ook standalone tools aan, zoals RAT’s (Remote Access Tools) en keyloggers, die voor $500 per stuk te koop zijn.

Ondanks deze professionele aanpak vertoont de ransomware VolkLocker enkele zwaktes. Zo blijkt uit onderzoek dat de encryptiesleutel lokaal op het geïnfecteerde systeem wordt opgeslagen en niet wordt verwijderd, wat betekent dat slachtoffers hun bestanden mogelijk zelf kunnen herstellen zonder te betalen. Dit blijkt een kritieke fout in de implementatie te zijn, die vermoedelijk voortkomt uit de snelle ontwikkeling van de ransomware.

CyberVolk blijft groeien, ondanks deze technische gebreken. De groep lijkt zich snel aan te passen aan de automatiseringsmogelijkheden die Telegram biedt, wat hen in staat stelt hun activiteiten op te schalen zonder veel technische overhead. Het lijkt er echter op dat de groep moeite heeft om de kwaliteit van hun ransomware consistent te houden, aangezien testbestanden en andere artefacten soms aanwezig blijven in de live-deployments. Dit duidt op een gebrek aan kwaliteitscontrole bij het snel werven van nieuwe affiliates met beperkte vaardigheden.

Deze ontwikkelingen laten zien dat de dreiging van ransomware steeds geavanceerder en geautomatiseerder wordt, waarbij cybercriminelen hun operaties steeds efficiënter en met minder technische kennis kunnen uitvoeren.

Bron 1

Op 12 december 2025 heeft de hacker-groep NoName bekendgemaakt dat zij meerdere websites in België en Zweden hebben aangevallen via een Distributed Denial of Service (DDoS)-aanval. De getroffen websites behoren tot verschillende prominente organisaties, waaronder de Proximus Group, Telenet Group, ENGIE Electrabel, en het Directoraat-generaal Statistiek van België. Ook de websites van Alimak, de stad Lo-Reninge, de gemeente Linkebeek, en de politieke partij Mouvement Réformateur werden het doelwit van deze cyberaanvallen.

DDoS-aanvallen worden vaak ingezet om systemen te overbelasten door een grote hoeveelheid verkeer naar de doelwebsite te sturen, waardoor de website niet meer toegankelijk is voor legitieme gebruikers. Deze aanvallen kunnen ernstige verstoringen veroorzaken in de dienstverlening van de getroffen organisaties en leiden tot aanzienlijke schade aan hun reputatie en infrastructuur.

Het is onduidelijk wat de exacte motivatie van NoName is achter deze specifieke aanvallen. DDoS-aanvallen kunnen zowel politieke als financiële motieven hebben, en het is mogelijk dat deze actie verband houdt met de bredere context van geopolitieke spanningen of hacktivisme. Gezien de betrokkenheid van zowel overheidsinstellingen als bedrijven, is het ook mogelijk dat de aanvallen bedoeld zijn om aandacht te vestigen op specifieke kwesties of om de stabiliteit van digitale infrastructuur in deze landen te verstoren.

Dergelijke incidenten benadrukken de kwetsbaarheid van zowel publieke als private sectoren voor dit type cyberdreiging. Aanvallen zoals deze kunnen de afhankelijkheid van betrouwbare en veilige digitale platforms in gevaar brengen en bedrijven en overheden dwingen om hun cyberbeveiligingsmaatregelen voortdurend te versterken.

Duitsland heeft Rusland beschuldigd van het uitvoeren van een cyberaanval op het nationale luchtverkeersleidingssysteem en van pogingen om in de federale verkiezingen van februari 2025 in te grijpen. Volgens een woordvoerder van het Duitse ministerie van Buitenlandse Zaken is de Russische militaire inlichtingendienst verantwoordelijk voor de cyberaanval op het luchtverkeersleidingssysteem in augustus 2024. De aanval zou hebben als doel gehad de stabiliteit van het land te ondermijnen en de betrouwbaarheid van vitale infrastructuren aan te tasten.

Daarnaast wordt Rusland ervan beschuldigd via een desinformatiecampagne geprobeerd te hebben de verkiezingsuitslag te beïnvloeden. De campagne, die de naam Storm 1516 kreeg, richtte zich onder meer op belangrijke politieke figuren zoals Robert Habeck van de Groenen en Friedrich Merz, de huidige bondskanselier van Duitsland. Duitse inlichtingen zouden hebben aangetoond dat de campagne gebruik maakte van deepfakebeelden, vervalste onderzoeksresultaten en gefingeerde getuigenverklaringen, die verspreid werden via verschillende digitale platforms.

De beschuldigingen worden ondersteund door bewijs dat direct wijst naar de Russische militaire inlichtingendienst GRU, die eerder in verband werd gebracht met de hack van de Democratische Nationale Commissie in de Verenigde Staten in 2016. Duitsland heeft verklaard over "absoluut solide bewijzen" te beschikken, maar houdt verdere details achter om lopende inlichtingenoperaties niet in gevaar te brengen.

In reactie op de beschuldigingen heeft de Russische ambassade in Berlijn de beschuldigingen afgedaan als "grondloos, ongefundeerd en absurd", en ontkend dat Russische staatsstructuren of gerelateerde hackergroepen bij de aanvallen betrokken waren.

Als reactie op de aanvallen kondigde Duitsland aan een reeks tegenmaatregelen te nemen, waaronder het ondersteunen van nieuwe sancties tegen de betrokken hybride actoren. Vanaf januari 2026 zullen de EU-lidstaten de bewegingen van Russische diplomaten binnen de Schengenzone intensiever monitoren om de uitwisseling van inlichtingen te verbeteren en de veiligheid te waarborgen.

De situatie is een duidelijk voorbeeld van de steeds verder escalerende hybride oorlogvoering van Rusland, waarin cyberaanvallen en desinformatie worden ingezet als strategische wapens om politieke onrust te veroorzaken en democratische instellingen te ondermijnen.

Bron 1

Op 13 december 2025 heeft de hackergroep NoName meerdere DDoS-aanvallen opgeëist op verschillende websites in België. De doelwitten van deze aanvallen omvatten onder andere de stad Antwerpen, de provincie Luik, de provincie Limburg, de provincie Vlaams-Brabant, Wallonië, de regioleverancier, SABCA, KU Leuven, de belastingwebsite tax-on-web.be, de Allocated Bullion Exchange (ABX) en het Parlement van Wallonië.

De DDoS-aanvallen, die gericht zijn op het verstoren van de beschikbaarheid van websites door deze te overspoelen met verkeer, zijn een ernstige bedreiging voor de getroffen organisaties en de bredere digitale infrastructuur van België. DDoS-aanvallen kunnen aanzienlijke economische schade veroorzaken door de stillegging van belangrijke online diensten, wat bedrijven en overheidsinstellingen belet om hun taken efficiënt uit te voeren.

De NoName-groep is bekend om haar deelname aan cyberaanvallen, waarbij de groep vaak gebruik maakt van DDoS-technieken om websites en digitale diensten van grote organisaties plat te leggen. Deze incidenten benadrukken de toenemende dreiging van cyberaanvallen tegen zowel publieke als private sectoren in België.

Een recente cyberaanval heeft het Russische rekruteringssysteem ernstig verstoord, waardoor het mogelijk maandenlang niet functioneel zal zijn. Het systeem, dat wordt gebruikt om Russische mannen tussen de 18 en 30 jaar oud voor militaire dienst te rekruteren, bevat gegevens van meer dan 30 miljoen mensen. De hackers die de aanval uitvoerden hebben niet alleen toegang gekregen tot de data, maar ook tot de broncode, technische gegevens en interne communicatie van de softwareontwikkelaar Micord, het bedrijf dat verantwoordelijk is voor het systeem.

De aanval heeft grote gevolgen voor de Russische militaire rekrutering, aangezien het systeem de primaire manier was om willekeurig mannen op te roepen voor dienstplicht. Het ministerie van Defensie in Rusland heeft de hack echter ontkend, en benadrukt dat de rekrutering normaal doorgaat. Volgens de Russische anti-oorlogsactivist Grigory Sverdlin, die de stichting Idite Lesom leidt, kunnen de Russische autoriteiten nu geen nieuwe rekruten inzetten, wat een aanzienlijke verstoring van het rekruteringsproces betekent.

Het rekruteringssysteem had ook als doel om maatregelen te nemen tegen mannen die het leger probeerden te ontvluchten, zoals het opleggen van reisbeperkingen. Dit wordt gezien als een van de redenen waarom Rusland kampt met een aanzienlijke uitstroom van jonge mannen die proberen te ontsnappen aan militaire dienst. De aanval, die het systeem tijdelijk uitschakelt, heeft daardoor niet alleen invloed op de rekrutering van nieuwe soldaten, maar ook op de controle over degenen die proberen te ontvluchten.

De Russische overheid blijft de aanval ontkennen, maar onafhankelijke bronnen, zoals het onderzoeksplatform IStories, bevestigen dat de hack daadwerkelijk heeft plaatsgevonden en dat Micord betrokken is bij de ontwikkeling van het rekruteringssysteem. De komende maanden zullen dus een enorme uitdaging vormen voor de Russische militaire infrastructuur, waarbij de afwezigheid van het systeem mogelijk invloed heeft op de algehele operationele capaciteit.

Bron 1

Op 14 december 2025 heeft de hackercollectief NoName aangekondigd dat het verschillende websites in België heeft aangevallen met een gecoördineerde DDoS-aanval. De getroffen websites behoren tot verschillende Belgische gemeenten en bedrijven, waaronder de gemeenten Bever, Drogenbos, Kraainem, Linkebeek, Mesen, Ronse en Sint-Genesius-Rode. Ook de stad Lo-Reninge en andere organisaties zoals de Telenet-groep, ENGIE Electrabel en de Belgische directie-generaal voor statistieken werden getroffen.

DDoS-aanvallen, ofwel Distributed Denial of Service-aanvallen, worden vaak uitgevoerd met het doel de doelwebsites tijdelijk onbereikbaar te maken door hen te overstelpen met een overvloed aan verkeer. Het is nog onduidelijk of er enige schade is aangericht of dat er gegevens zijn gestolen tijdens de aanvallen.

De NoName-groep, die bekend staat om het uitvoeren van DDoS-aanvallen op overheidsinstellingen en bedrijven, heeft zich herhaaldelijk gericht op strategisch belangrijke infrastructuren in verschillende landen. Er zijn geen aanwijzingen dat de aanvallen een specifiek politiek of ideologisch doel hadden, maar dergelijke aanvallen kunnen aanzienlijke verstoringen veroorzaken voor de getroffen entiteiten, vooral in tijden van verhoogde cyberdreigingen.

De getroffen organisaties en gemeenten hebben aangegeven maatregelen te nemen om de aanval te mitigeren en de diensten zo snel mogelijk te herstellen. Verdere details over de omvang van de aanval en de gevolgen worden momenteel onderzocht door de Belgische autoriteiten.

In 2024 kreeg een Russische hackgroep toegang tot het besturingssysteem van een openbare waterfontein in Nederland. De aanval, die aanvankelijk onopgemerkt bleef, werd later onthuld door cyberbeveiligingsexperts. De hackers wisten via het kwetsbare besturingssysteem de controle over de fontein over te nemen. De groep, die bekend staat om haar cyberoperaties tegen kritieke infrastructuur, probeerde uiteindelijk toegang te krijgen tot meer systemen binnen de stad. Deze aanval maakt deel uit van een bredere trend van steeds vaker geavanceerde cyberaanvallen die niet alleen gericht zijn op financiële systemen, maar ook op openbare en vitale infrastructuren.

Het incident werd onderzocht door de relevante Nederlandse autoriteiten, die vaststelden dat de hack slechts in beperkte mate schade veroorzaakte. Desondanks wordt de aanval gezien als een waarschuwing voor de kwetsbaarheid van zogenaamde "smart" publieke voorzieningen, zoals digitale installaties die steeds vaker worden ingezet in steden. De incidenten zoals deze benadrukken de noodzaak van robuuste cyberbeveiliging voor al deze systemen. Gezien de geopolitieke context en de betrokkenheid van een Russische groep, heeft deze aanval ook bredere implicaties voor de nationale veiligheid en de bescherming van infrastructuur.

Bron 1

De toename van cyberdreigingen zette zich in 2025 door, waarbij het aantal DDoS-aanvallen in de eerste helft van het jaar aanzienlijk steeg, zowel qua omvang als intensiteit. Het Link11 European Cyber Report 2025 meldde dat digitale infrastructuren in Europa steeds meer onder druk staan door grootschalige aanvallen. In Nederland werd in het Cybersecuritybeeld Nederland 2025 een soortgelijke trend vastgesteld, waarbij de nadruk lag op de kwetsbaarheid van zowel publieke als private netwerken. Incidenten zoals datalekken, storingen bij bevolkingsonderzoeken en netwerkverstoringen door ongebruikelijke activiteiten lieten zien dat menselijke fouten en technische zwakheden organisaties zwaar kunnen treffen.

Link11 voorspelt voor 2026 vijf belangrijke trends die de beveiligingsagenda zullen domineren. Allereerst verwacht men dat DDoS-aanvallen steeds vaker als afleidingsmanoeuvre zullen worden ingezet. Cybercriminelen zullen deze aanvallen gebruiken om de aandacht van beveiligingsteams af te leiden terwijl ze tegelijkertijd complexere aanvallen uitvoeren, zoals datadiefstal of het installeren van malware. Het rapport benadrukt het belang van een geïntegreerde incidentrespons, waarbij niet alleen het verkeer, maar ook interne logs worden geanalyseerd, om dergelijke gecombineerde aanvallen tijdig te herkennen.

Daarnaast wordt de toename van API-first architecturen als een significant risico voor 2026 genoemd. API’s, die essentieel zijn voor moderne digitale diensten, vergroten de kans op misconfiguraties en andere kwetsbaarheden zoals scraping en credential stuffing. Vooral slecht beveiligde API’s vormen toegangspunten voor aanvallers, wat leidt tot verhoogde risico’s op datalekken en misbruik van bedrijfslogica. Organisaties die sterk afhankelijk zijn van API-integraties lopen een groter risico op dergelijke aanvallen.

De derde trend is de verschuiving naar meer geïntegreerde beveiligingstechnologieën. Waar voorheen losse oplossingen zoals WAF’s of DDoS-filters voldoende waren, zullen moderne aanvallen in 2026 steeds complexer worden. Link11 ziet daarom de opkomst van WAAP-platformen (Web Application and API Protection), die DDoS-mitigatie, WAF’s, botmanagement en API-beveiliging combineren. Deze geïntegreerde aanpak stelt beveiligingsteams in staat sneller afwijkingen te detecteren en effectief te reageren.

Met de groei van IoT-botnets en geautomatiseerde infrastructuren wordt de vierde trend gevormd door de noodzaak voor AI-gedreven mitigatie. DDoS-aanvallen zullen steeds groter, sneller en complexer worden, waardoor traditionele regelsystemen vaak niet voldoende zijn om nieuwe aanvalspatronen te herkennen. Link11 stelt dat alleen AI-gestuurde detectie en autonome mitigatie in staat zullen zijn om de snelheid en schaal van moderne aanvallen bij te benen.

De laatste voorspelling betreft de groeiende druk die nieuwe regelgeving op organisaties zal uitoefenen. De uitbreiding van wereldwijde cybersecuritywetgeving, zoals NIS2, vereist dat organisaties in 2026 sneller en aantoonbaar moeten rapporteren over incidenten. Dit omvat meldplichten binnen 72 uur en verplichtingen voor softwareleveranciers om veilig ontworpen software te leveren, evenals eisen rond de transparantie van softwarecomponenten, zoals Software Bills of Materials (SBOMs).

Link11 benadrukt dat de toename van DDoS-aanvallen als afleidingsmanoeuvre niet alleen een bedrijfsrisico vormt, maar ook een maatschappelijk probleem kan zijn, omdat het de beschikbaarheid van vitale digitale diensten in gevaar kan brengen. Samenwerking tussen overheden, bedrijven en securityleveranciers is volgens hen essentieel om de weerbaarheid van de digitale samenleving te versterken.

Bron 1

De Europese Unie heeft recent een nieuw sanctiepakket tegen Rusland aangekondigd, met een nadruk op de oliehandel en de Russische schaduwvloot. Dit pakket omvat echter ook sancties tegen specifieke individuen, waaronder John Mark Dougan, een voormalige hulpsheriff uit Palm Beach County, Florida. Dougan, die in 2009 zijn functie verloor na verschillende interne incidenten, waaronder misbruik van pepperspray en ongepaste gedragingen, heeft zijn toevlucht gezocht in Rusland, waar hij politiek asiel kreeg.

Sinds zijn verhuizing naar Rusland heeft Dougan zich aangesloten bij de Russische buitenlandse inlichtingendienst GROe en heeft hij zich gepositioneerd als een sleutelfiguur in de Russische cyberoorlog. Hij staat bekend om zijn betrokkenheid bij de verspreiding van desinformatie en propaganda, waarbij hij een netwerk van valse nieuwswebsites beheert die met behulp van artificiële intelligentie worden gevuld. Deze websites dragen bij aan de verspreiding van Russische propaganda en valse informatie, specifiek gericht op het zwartmaken van Oekraïne. Deze ‘nieuwsartikelen’ hebben in de afgelopen jaren miljoenen keren de wereld rond gereisd.

Dougan wordt gezien als een belangrijke speler in de Russische desinformatiecampagnes en zijn werk wordt geprezen door de Russische regering, die hem volgens rapporten heeft geëerd voor zijn bijdrage aan hun strategische doelstellingen. De EU-sancties tegen Dougan zijn een reactie op zijn rol in deze operaties en vormen een onderdeel van de bredere inspanningen om de Russische invloed in de digitale sfeer te beknotten.

Bron 1

Noord-Koreaanse hackers hebben meer dan $300 miljoen gestolen door zich voor te doen als vertrouwde crypto-figuren tijdens nep Zoom- en Microsoft Teams-vergaderingen. Deze aanvallen maken deel uit van een bredere trend waarbij social engineering-methoden worden gebruikt om crypto-bestuurders te misleiden. De hackers kapen Telegram-accounts, gebruiken herhaalde beelden van echte interviews en creëren technische storingen om slachtoffers zover te krijgen dat ze kwaadaardige software installeren.

De tactiek begint meestal met het hacken van een Telegram-account van een vertrouwde bron, bijvoorbeeld een investeerder of iemand die het slachtoffer eerder op een conferentie heeft ontmoet. De aanvallers sturen een nep-Calendly-link die het slachtoffer naar een Zoom- of Teams-vergadering leidt. Gedurende de vergadering zien slachtoffers wat lijkt op een live videobeeld van hun contactpersoon, maar in werkelijkheid is dit vaak een herhaald beeld van bijvoorbeeld een podcast of een publieke toespraak.

Na een zogenaamd technisch probleem stellen de aanvallers voor om de verbinding te herstellen door een bepaald script of software development kit (SDK) te downloaden. Het bestand bevat echter kwaadaardige software, die de hacker via een Remote Access Trojan (RAT) volledige controle geeft over het systeem. Hierdoor kunnen crypto-wallets worden leeggehaald en gevoelige gegevens zoals interne veiligheidsprotocollen worden gestolen. Deze gegevens kunnen vervolgens worden gebruikt om andere slachtoffers in het netwerk aan te vallen.

De aanval maakt gebruik van psychologische tactieken, waarbij de aanvallers vertrouwen winnen door zich voor te doen als betrouwbare zakelijke contacten. Onderzoekers waarschuwen dat elke vraag om software te downloaden tijdens een zakelijke videovergadering nu als een potentieel alarmsignaal voor een cyberaanval moet worden beschouwd.

Deze specifieke methode is onderdeel van een bredere aanvalsgolf van groepen die verbonden zijn met Noord-Korea, die naar schatting meer dan $2 miljard hebben gestolen uit de crypto-sector in het afgelopen jaar. Dit omvat onder andere de hack van Bybit.

Bron 1

De Duitse onderneming Quantum Systems en de Oekraïense Frontline Robotics hebben op 15 december 2025 een belangrijke stap gezet in hun samenwerking door een gezamenlijke productie van Oekraïense drones te lanceren in Duitsland. Deze drones, die specifiek zijn ontworpen voor de Oekraïense strijdkrachten, worden op industriële schaal geproduceerd in een nieuwe fabriek, Quantum Frontline Industries (QFI), die volledig geautomatiseerd zal werken.

De productie van drones in Duitsland, die al zijn getest op het slagveld, zal plaatsvinden onder de 'Build with Ukraine'-initiatief. Deze samenwerking stelt de Oekraïense strijdkrachten in staat om drones op grote schaal te ontvangen, waarbij 100% van de geproduceerde systemen naar Oekraïne zal gaan, zoals bepaald door het Ministerie van Defensie van Oekraïne.

Hoewel deze productie zich richt op de Oekraïense defensie, heeft dit project implicaties voor de bredere cybersecurity-situatie. De massaproductie van geavanceerde drones kan namelijk ook een potentieel doelwit vormen voor cyberaanvallen. Drones, die vaak verbonden zijn met netwerken en communicatiesystemen, kunnen kwetsbaar zijn voor digitale aanvallen, waardoor zowel de productieprocessen als de operaties van deze drones onder druk kunnen komen te staan. Dit geldt zowel voor de beveiliging van de productiefaciliteiten als voor de bescherming van de drones zelf tegen hacking en sabotage.

De partners in dit project benadrukken dat de samenwerking niet alleen Oekraïense innovatie en Duitse industriële capaciteiten combineert, maar ook werkgelegenheid creëert, zowel in Duitsland als voor Oekraïense arbeiders. Deze ontwikkeling markeert een belangrijke stap in de Europese drone-industrie, waarbij de technologieën die eerst op het slagveld werden getest, nu op industriële schaal worden geproduceerd.

Gegeven de geopolitieke context en de mogelijke risico’s voor de beveiliging van deze technologieën, is het van belang om ook aandacht te besteden aan de risico’s die gepaard gaan met de digitale beveiliging van dergelijke geavanceerde systemen. De veiligheid van zowel de productie als de inzet van drones moet onder strenge digitale controle blijven, aangezien deze technologieën steeds vaker een doelwit zijn voor cyberaanvallen.

Bron 1

De nieuwe chef van de Britse inlichtingendienst MI6 heeft in haar eerste openbare toespraak een ernstige waarschuwing gegeven over de toenemende dreiging die Rusland vormt. Volgens de MI6-hoofd, Blaise Metreweli, is de vastberadenheid van president Vladimir Putin om chaos wereldwijd te exporteren een strategisch kenmerk van Rusland's benadering van internationale betrekkingen. Metreweli benadrukt dat de gevolgen hiervan verstrekkend zijn, aangezien het de regels van conflicten herschrijft en nieuwe beveiligingsuitdagingen creëert voor landen zoals het Verenigd Koninkrijk.

Metreweli, die in september het leiderschap van MI6 overnam, waarschuwde dat de wereld zich moet voorbereiden op de voortzetting van deze chaos totdat Putin zijn benadering heroverweegt. Ze benadrukte ook dat technologische deskundigheid en menselijke inlichtingen cruciaal zijn om hybride dreigingen, zoals die van Rusland, effectief te bestrijden. MI6-agenten moeten zowel bedreven zijn in programmeercodes als in het omgaan met menselijke bronnen, aldus Metreweli.

Haar toespraak komt te midden van een bredere internationale bezorgdheid over de hybride dreiging van landen zoals Rusland, Iran en China. Deze landen maken steeds meer gebruik van cybertools, spionage en beïnvloedingsoperaties die volgens westerse autoriteiten een bedreiging vormen voor de wereldwijde stabiliteit. De recente sancties van het VK tegen Russische mediakanalen en Chinese technologiebedrijven, die worden beschuldigd van grootschalige cyberactiviteiten, benadrukken deze trend.

Metreweli's toespraak is een onderdeel van een serie waarschuwingen van westerse defensie- en veiligheidsautoriteiten over de groeiende dreiging van staten die hybride oorlogvoering toepassen. De situatie wordt steeds complexer en onvoorspelbaarder, wat vraagt om een versnelde en gecoördineerde respons van de internationale gemeenschap.

Bron 1

De Franse minister van Binnenlandse Zaken heeft op vrijdag bevestigd dat het ministerie het slachtoffer is geworden van een cyberaanval, waarbij de e-mailservers van de organisatie zijn gecompromitteerd. De aanval werd tussen donderdag 11 december en vrijdag 12 december 2025 ontdekt en heeft mogelijk toegang verschaft tot enkele documenten. Hoewel het nog niet duidelijk is of er gegevens zijn gestolen, heeft het ministerie onmiddellijke maatregelen genomen door de beveiligingsprotocollen te verscherpen en de toegangsbeveiliging van de informatiesystemen van het ministerie te versterken.

De Franse autoriteiten hebben een onderzoek geopend om de oorsprong en omvang van de aanval te achterhalen. Minister Laurent Nuñez gaf aan dat de onderzoekers verschillende mogelijkheden onderzoeken, waaronder buitenlandse inmenging, activisten die de kwetsbaarheden in de systemen willen aantonen, of cybercriminaliteit. Het Franse ministerie van Binnenlandse Zaken heeft de verantwoordelijkheid over de politiediensten en de interne veiligheid, waardoor het een aantrekkelijke doelwit is voor zowel staatsgeoriënteerde hackers als cybercriminelen.

In april van dit jaar wees Frankrijk een grootschalige hackcampagne toe aan de APT28-hackgroep, die banden heeft met de Russische militaire inlichtingendienst GRU. Deze groep had in de afgelopen jaren meerdere Franse entiteiten aangevallen, wat de geopolitieke gevoeligheid van de recente aanval benadrukt. Gezien de aard van de betrokkenheid van staatsgeoriënteerde hackers bij eerdere aanvallen, blijft het onduidelijk of deze aanval eveneens aan een nationaal conflict is gerelateerd. De Franse autoriteiten zetten hun inspanningen voort om de zaak grondig te onderzoeken.

Bron 1

In de afgelopen dagen heeft het threat intelligence-team van Google vijf nieuwe Chinese hackinggroepen gelinkt aan aanvallen die gebruik maken van de React2Shell-kwetsbaarheid. Deze kwetsbaarheid, met de naam CVE-2025-55182, wordt beschouwd als een van de meest kritieke beveiligingslekken in de React open-source JavaScript-bibliotheek. De kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige code uit te voeren in React- en Next.js-applicaties met een enkele HTTP-aanroep, zonder dat er een gebruiker hoeft in te loggen.

React2Shell heeft zich snel verspreid nadat het lek werd ontdekt, met aanvallen die gericht zijn op versies van React die recent zijn uitgebracht, namelijk 19.0, 19.1.0, 19.1.1 en 19.2.0. In de weken na de bekendmaking van de kwetsbaarheid meldden verschillende beveiligingsorganisaties, waaronder Palo Alto Networks, dat tientallen organisaties werden getroffen. Dit omvatte incidenten die vermoedelijk door door de staat gesteunde Chinese dreigingsactoren werden uitgevoerd.

Naast de eerder genoemde groepen, zoals Earth Lamia en Jackpot Panda, heeft Google nu vijf extra groepen geïdentificeerd: UNC6600, UNC6586, UNC6588, UNC6603 en UNC6595. Deze groepen hebben diverse aanvallen uitgevoerd, waaronder het inzetten van malware zoals MINOCAT-tunnelingsoftware en het COMPOOD-backdoor-payload. De kwetsbaarheid is met name zorgwekkend vanwege de brede toepasbaarheid in populaire frameworks zoals Next.js, die React Server Components gebruiken.

Ondertussen is de Shadowserver Internet Watchdog begonnen met het volgen van meer dan 116.000 kwetsbare IP-adressen, waarvan een groot aantal zich in de Verenigde Staten bevindt. Organisaties wereldwijd worden aangemoedigd om hun systemen bij te werken en zich bewust te zijn van de wereldwijde dreiging die React2Shell met zich meebrengt. Het gebruik van deze kwetsbaarheid wordt ook gepromoot op verschillende ondergrondse forums, waar aanvallers scan-tools en proof-of-concept code delen.

In een andere ontwikkeling heeft Cloudflare een wereldwijde website-uitval gekoppeld aan noodmaatregelen die werden genomen om React2Shell-aanvallen te mitigeren. Deze aanvallen benadrukken de kritieke noodzaak voor een snelle reactie en patchbeheer binnen de ontwikkelgemeenschap, vooral gezien het feit dat aanvallers snel gebruik maken van kwetsbaarheden zodra deze openbaar worden gemaakt. De dreiging blijft actief en de achterliggende hackinggroepen blijven hun technieken verfijnen en uitbreiden.

Bron 1, 2

Onderzoekers in de cybersecurity hebben details vrijgegeven van een actieve phishingcampagne die gericht is op een breed scala aan sectoren in Rusland, met name de financiële en aanverwante sectoren. De aanvallen maken gebruik van phishing-e-mails met ISO-bestanden die de Phantom Stealer-malware verspreiden. De campagne, die de codenaam Operation MoneyMount-ISO heeft gekregen, richt zich vooral op financiële en boekhoudkundige instellingen. Secundaire doelwitten zijn onder meer bedrijven in de inkoop-, juridische en salarisverwerkingssectoren.

De aanvallen beginnen met een phishing-e-mail die zich voordoet als een legitieme financiële communicatie. De ontvangers worden aangespoord om een recente bankoverboeking te bevestigen. De e-mail bevat een ZIP-archief dat beweert aanvullende details te bevatten, maar in plaats daarvan een ISO-bestand bevat. Wanneer dit ISO-bestand wordt geopend, wordt het gemount als een virtuele cd-drive en wordt de Phantom Stealer-malware uitgevoerd via een ingebouwde DLL ("CreativeAI.dll").

Phantom Stealer is in staat om gegevens te stelen uit cryptocurrency-wallet-extensies in op Chromium gebaseerde browsers en desktopwallet-apps. Daarnaast kan de malware bestanden, Discord-authenticatietokens, wachtwoorden, cookies en creditcardgegevens van de browser onderscheppen. Het bewaakt ook het klembord, legt toetsaanslagen vast en voert controles uit om virtuele omgevingen of sandboxes te detecteren. Als dergelijke omgevingen worden gedetecteerd, stopt de malware zijn uitvoering. De gestolen gegevens worden via een Telegram-bot of een Discord-webhook naar de aanvaller gestuurd, en daarnaast worden bestanden overgedragen naar een FTP-server.

In de afgelopen maanden zijn ook Russische organisaties, met name afdelingen voor personeelsbeheer en salarisadministratie, doelwit geworden van phishing-e-mails die beloven bonussen of interne financiële regelingen te bevestigen. Deze aanvallen gebruiken een implantaat, DUPERUNNER, dat een open-source command-and-control-framework (AdaptixC2) laadt. Deze aanvallen zijn gelinkt aan het bedreigingscluster UNG0902.

Andere phishingcampagnes richten zich op sectoren zoals de juridische en luchtvaartindustrie in Rusland, waarbij tools zoals Cobalt Strike en Formbook worden ingezet om gegevens te stelen en controle over de systemen te krijgen. De e-mailservers van gecompromitteerde Russische bedrijven worden gebruikt om de spear-phishingberichten te versturen.

De waakzaamheid en verdediging tegen dergelijke gerichte aanvallen is cruciaal, vooral voor organisaties die met gevoelige financiële gegevens werken.

Bron 1

Op 15 december 2025 werd een waarschuwing voor DDoS-aanvallen (Distributed Denial of Service) gemeld, waarbij de hacker-groep SERVER KILLERS beweerde meerdere websites in België te hebben aangevallen. De getroffen bedrijven zijn onder andere Eneco België, Elia Transmission België, Luminus, Mega, Aspiravi Energy, Belpower, Comfort Energy en Ecopower. Deze aanvallen verstoren de werking van de betrokken websites en kunnen leiden tot verstoringen in de dienstverlening, hoewel de impact op de gebruikerservaring op dit moment nog niet volledig is vastgesteld. DDoS-aanvallen, die gericht zijn op het tijdelijk onbereikbaar maken van websites door ze te overspoelen met verkeer, zijn een veelgebruikte tactiek van cybercriminelen om organisaties onder druk te zetten. Het is niet bekend of er specifieke eisen zijn gesteld door de aanvallers, maar de keuze voor energiebedrijven wijst mogelijk op strategische doelstellingen.

De Europese Unie heeft recentelijk haar sancties tegen Rusland aangescherpt in reactie op de voortgaande hybride oorlogsvoering die het land voert. De nieuwe maatregelen richten zich specifiek op personen en entiteiten die betrokken zijn bij desinformatiecampagnes, cyberaanvallen en elektronische oorlogsvoering die gericht zijn op het destabiliseren van Europa. De Europese Raad beschrijft deze acties als een reactie op Rusland’s voortdurende inzet van buitenlandse informatiebeïnvloeding en cyberaanvallen, die volgens de EU gericht zijn op het ondermijnen van democratische instituties en kritieke systemen in Europa.

Onder de nieuwe sancties bevinden zich 12 individuen en 2 entiteiten die volgens de Europese Raad verantwoordelijk zijn voor het verspreiden van pro-Kremlin propaganda en het uitvoeren van schadelijke cyberoperaties. De sancties zijn een directe reactie op de dreiging die de Russische hybride oorlogvoering vormt voor de stabiliteit van de Europese Unie, haar lidstaten en haar partners.

De nieuwe maatregelen richten zich op een breed scala aan betrokkenen, waaronder buitenlandse beleidsanalisten die verbonden zijn aan instituties, denktanks en universiteiten die nauw samenwerken met het Kremlin, evenals online beïnvloeders die beschuldigd worden van het verspreiden van valse informatie en complottheorieën over de oorlog in Oekraïne. Een van de genoemde individuen is Diana Panchenko, een Oekraïens-geboren mediafiguur die wordt beschuldigd van het verspreiden van anti-Oekraïense en pro-Kremlin boodschappen. Haar content wordt vaak gelinkt aan cyberaanvallen die door Rusland zijn uitgevoerd, waarbij traditionele uitzendingen werden verstoord.

Ook worden in de sancties een aantal Russische militaire eenheden genoemd, waaronder het 142e Separate Electronic Warfare Battalion, dat verantwoordelijk wordt gehouden voor het verstoren van communicatie en GPS-signalen in verschillende EU-lidstaten. Daarnaast worden er drie leden van de Russische militaire inlichtingendienst GRU genoemd, die betrokken zouden zijn bij cyberaanvallen op Oekraïense overheidsinstellingen en die gericht waren op het verkrijgen van gevoelige informatie om politieke systemen te destabiliseren.

Als gevolg van de sancties worden de betrokkenen getroffen door bevriezing van activa en reisverboden, wat hen verhindert om in de EU te opereren. Tot nu toe zijn 59 individuen en 17 entiteiten getroffen door de EU-sancties die verband houden met Rusland’s destabiliserende activiteiten. De EU heeft de intentie om deze maatregelen voort te zetten en uit te breiden, om zo de effectiviteit van haar reactie op de Russische hybride dreigingen te versterken.

De Europese Commissie heeft aangegeven dat de hybride dreigingen van Rusland sinds de grootschalige invasie van Oekraïne in 2022 zijn toegenomen en dat de EU en haar lidstaten alle beschikbare middelen zullen blijven inzetten om deze dreigingen te voorkomen en tegen te gaan.

Bron 1, 2

Op 16 december 2025 ontkende het Kremlin dat een Oekraïense onderwaterdrone-aanval, uitgevoerd op een Russische onderzeeboot in de haven van Novorossiysk, ernstige schade had veroorzaakt. De Russische Defensie beweerde dat de aanval geen effect had gehad en dat alle onderzeeboten in de Zwarte Zeevloot zonder problemen hun operaties voortzetten. Echter, bewijsmateriaal van onafhankelijke bronnen wijst op aanzienlijke schade aan de getroffen onderzeeboot, wat de potentie van nieuwe technologieën zoals onbemande onderwatervoertuigen (UUV) in moderne conflicten benadrukt.

De aanval, uitgevoerd door de Oekraïense veiligheidsdienst SBU met behulp van een op afstand bestuurde kamikazeboot, werd gepresenteerd met bewijs in de vorm van een video, waarin de explosie en de nasleep van de aanval op de Varshavyanka-klasse onderzeeboot duidelijk te zien zijn. Dit incident, waarbij voor het eerst een UUV werd ingezet om een onderzeeboot aan te vallen, markeert een belangrijke ontwikkeling in de inzet van technologie in militaire operaties. De gebruikte drone kan zich volledig onder water verplaatsen, wat het vermogen heeft om conventionele barrières te omzeilen, zoals boeien of drijvende barrières.

Satellietbeelden van de getroffen locatie ondersteunen de claims van de Oekraïense autoriteiten, met bewijs van beschadigingen aan de kade en de onderzeeboot, evenals de aanwezigheid van patrouilleboten die de schadegebied afzochten. Experts, waaronder het Institute for the Study of War (ISW), hebben bevestigd dat de aanval aanzienlijke schade aan de onderzeeboot heeft veroorzaakt, wat de kwetsbaarheid van maritieme militaire technologie in de Zwarte Zee verder blootlegt.

Dit incident heeft niet alleen een geopolitieke impact, maar biedt ook belangrijke inzichten in de evolutie van cyberbeveiliging en militaire technologie. De inzet van onbemande systemen in aanvallen zal naar verwachting meer invloed hebben op de manier waarop digitale en fysieke aanvallen zich ontwikkelen in toekomstige conflicten. Bovendien zou dit incident kunnen wijzen op de groeiende rol van cyberdreigingen en hybride aanvallen, waarbij technologie zoals drones, robots en hackingtechnieken steeds meer worden geïntegreerd in militaire strategieën.

De ontwikkelingen rondom deze aanval geven aan dat de technologische innovaties, zoals het gebruik van drones in combinatie met cyberinfrastructuur, zowel het militaire als het civiele domein kunnen beïnvloeden. Dit benadrukt de noodzaak voor landen, inclusief Nederland en België, om zich voor te bereiden op de implicaties van dergelijke hybride dreigingen in toekomstige conflicten.

Bron 1

Tijdens een toespraak in de Tweede Kamer op 16 december 2025 benadrukte de Oekraïense president Volodymyr Zelensky de cruciale rol van voortdurende steun van Nederland in de strijd tegen de Russische invasie. Hij stelde dat de steun van westerse landen, met name in militaire, financiële en politieke zin, nu net zo belangrijk is als aan het begin van de oorlog. Terwijl de diplomatieke onderhandelingen over een mogelijk vredesakkoord steeds intenser worden, waarschuwde Zelensky dat de druk op de internationale gemeenschap om Oekraïne te steunen niet mag afnemen. De Oekraïense verdediging is volgens hem in deze fase van de oorlog even beslissend als tijdens de eerste maanden van de oorlog.

Zelensky sprak na uitgebreide gesprekken met de Amerikaanse en Europese bondgenoten, waaronder de Nederlandse premier Dick Schoof. Hij benadrukte dat Oekraïne afhankelijk is van blijvende internationale steun om zowel de verdediging van het land voort te zetten als om gerechtigheid te verkrijgen voor de door Rusland veroorzaakte verwoestingen. De Oekraïense president bedankte Nederland voor zijn voortdurende hulp en hoopte in de toekomst terug te keren om de bijdrage aan de vrede te waarderen.

In zijn toespraak legde Zelensky de nadruk op het belang van gerechtigheid in een vredesregeling. Hij stelde dat Oekraïne geen vrede kan accepteren zonder verantwoordelijkheid van Rusland voor de schade die het heeft aangericht, waarbij hij onder andere verwees naar de neerhalingen van vlucht MH17, waarbij in 2014 298 mensen omkwamen, veelal Nederlandse staatsburgers. Dit benadrukte de noodzaak voor een internationaal schadevergoedingprogramma voor de slachtoffers van de Russische agressie.

Ondanks een staande ovatie van de meerderheid van de parlementariërs, weigerden sommige leden, waaronder van de PVV en de BBB, te applaudisseren. PVV-leider Geert Wilders herhaalde na de toespraak dat Nederland volgens hem de steun aan Oekraïne zou moeten stoppen, waarbij hij tevens verklaarde dat Oekraïne nooit lid van de EU of de NAVO zou moeten worden. De partij Forum voor Democratie was volledig afwezig bij de toespraak, verwijzend naar het evenement als een "gemaskerde vertoning van steun" voor Zelensky.

Zelensky’s bezoek vond plaats in de bredere context van de Nederlandse nadruk op internationale allianties en collectieve veiligheid. De Nederlandse regering heeft aangegeven dat de oorlog in Oekraïne een directe impact kan hebben op de nationale veiligheid van Nederland en heeft gewaarschuwd dat een escalatie van het conflict zou kunnen leiden tot de inwerkingtreding van Artikel 5 van de NAVO, wat de verplichting tot militaire bijstand aan andere lidstaten inhoudt. In dit verband benadrukte Zelensky dat de strijd van Oekraïne tegen de Russische agressie onlosmakelijk verbonden is met de bredere veiligheid van Europa, en dat blijvende solidariteit essentieel blijft naarmate de oorlog een kritiek punt bereikt.

Bron 1

NoName057(16), een pro-Russische hackerorganisatie, heeft zich gepositioneerd als een aanzienlijke bedreiging voor NAVO-lidstaten en Europese organisaties. De groep, ook wel bekend als 05716nnm of NoName05716, is sinds maart 2022 actief en voert gedistribueerde denial-of-service (DDoS) aanvallen uit, voornamelijk gericht op landen die zich verzetten tegen Russische geopolitieke belangen. De aanvallen worden uitgevoerd met de DDoSia-botnet, een crowdsourced netwerk van computers dat via Telegram-kanalen vrijwilligers werft om deel te nemen aan de aanvallen.

De DDoSia-tool onderscheidt zich van traditionele botnets doordat het een gebruiksvriendelijke aanvalsmethode biedt, waarmee individuen met weinig technische kennis ook in staat zijn om grootschalige aanvallen uit te voeren. De deelnemers worden beloond met cryptocurrency voor hun bijdrage, wat het model bijzonder effectief maakt voor het schalen van aanvallen. De groep heeft de capaciteit om dagelijks ongeveer 50 unieke doelwitten aan te vallen, met een sterke focus op overheidsinstellingen, transport en telecommunicatie, wat 41% van de doelwitten uitmaakt.

De operationele infrastructuur van DDoSia maakt gebruik van een robuust, gelaagd systeem dat ontworpen is om detectie en mitigatie te voorkomen. Het eerste niveau van het systeem bestaat uit publieke command-and-control servers die communiceren met DDoSia-klanten, waarvan de levensduur gemiddeld negen dagen is, maar die vaak dagelijks worden gewisseld. Het tweede niveau bestaat uit backend-servers die de kernlogica en doelwitten bevatten, waarvan de toegang strikt wordt gecontroleerd.

De meeste aanvallen maken gebruik van TCP-floods en technieken op applicatielaag, waarbij poorten 443 en 80 verantwoordelijk zijn voor 66% van het verkeer. Landen zoals Oekraïne, Frankrijk, Italië, Zweden en Duitsland worden het vaakst getroffen, waarbij Oekraïne het grootste aandeel van de aanvallen vertegenwoordigt (29,47%). De activiteit van de groep is te relateren aan Russische werktijden, wat suggereert dat de aanvallen gecoördineerd worden door Russische belangen.

Bron 1