Cyberoorlog juli 2025: Hoe digitale dreigingen de wereldorde herschikken

Vandaag hebben Amerikaanse cyberagentschappen, de FBI en de NSA een dringende waarschuwing uitgegeven over mogelijke cyberaanvallen van Iraans-affiliate hackers die gericht zijn op de kritieke infrastructuur van de VS. De waarschuwing is afkomstig uit bezorgdheid over de oplopende spanningen in het Midden-Oosten en eerdere cyberaanvallen die aan Iran gekoppeld kunnen worden. Vooral bedrijven in de defensie-industrie, met nauwe banden met Israël, worden als verhoogd risico beschouwd. Daarnaast worden sectoren zoals energie, water en gezondheidszorg ook als potentiële doelen aangeduid. De hackers zouden kwetsbaarheden in onbeschermde systemen kunnen uitbuiten of standaardwachtwoorden gebruiken om toegang te verkrijgen. Er zijn al voorbeelden van eerdere aanvallen, zoals een hack op een waterfaciliteit in Pennsylvania. De autoriteiten adviseren organisaties om strengere beveiligingsmaatregelen te nemen, waaronder het isoleren van kritieke systemen, het versterken van wachtwoorden en het uitvoeren van regelmatige software-updates.

Bron

In 2024 heeft de Russische APT-groep Gamaredon haar focus volledig gelegd op Oekraïense overheidsinstellingen, en haar cyberaanvallen flink geïntensiveerd. De groep breidde haar spearphishingcampagnes uit, die nu frequenter en omvangrijker zijn, met nieuwe technieken zoals het gebruik van schadelijke hyperlinks en LNK-bestanden die PowerShell-aanvallen vanuit Cloudflare-servers uitvoeren. Gamaredon introduceerde zes nieuwe malwaretools, waaronder PowerShell- en VBScript-downloaders, die gericht zijn op stealth, persistentie en laterale bewegingen binnen netwerken. Bovendien werden bestaande tools aanzienlijk geüpdatet, met verbeterde technieken voor het verbergen van sporen en het exfiltreren van data. De groep heeft haar Command-and-Control (C&C)-infrastructuur verder geoptimaliseerd door deze achter Cloudflare-tunnels te verbergen. Deze evolutie in de aanvalsmethoden maakt Gamaredon een nog moeilijker te detecteren en te bestrijden dreiging, die Oekraïne blijft targeten zolang het conflict voortduurt.

Download rapport

Sinds de start van de oorlog in Oekraïne zijn pro-Russische hacktivisten steeds actiever geworden, waarbij ze DDoS-aanvallen uitvoeren, websites vervalsen en gestolen gegevens verspreiden om politieke invloed uit te oefenen. In 2025 heeft de grootschalige #OpLithuania campagne plaatsgevonden, waarbij zeven hacktivistische groeperingen, zoals Dark Storm Team en ServerKillers, aanvielen op financiële netwerken en overheidswebsites. Deze aanvallen zijn vaak een reactie op politieke verklaringen, zoals de uitspraken van de Litouwse minister van Buitenlandse Zaken. De groep NoName057(16) en andere nieuwe groeperingen, zoals de IT Army of Russia, richten zich ook op Oekraïne en westerse landen, met name op kritieke digitale infrastructuren in Europa. Er is veel speculatie over de vraag of deze hacktivisten daadwerkelijk ondersteund worden door de Russische staat, mede doordat sommige groeperingen nauw lijken samen te werken met Russische inlichtingendiensten.

Later meer hierover in een uitgebreid artikel op ccinfo

In juni 2025 veroorzaakten cyberaanvallen belangrijke verschuivingen in de geopolitieke verhoudingen, vooral rondom de NAVO-top in Den Haag. Cybercriminelen gebruikten phishingaanvallen om toegang te krijgen tot kritieke systemen, waarbij vooral thuiswerkers kwetsbaar waren. Staatsgebonden hackers richtten zich op spionage en sabotage, wat de geopolitieke spanningen versterkte. Tijdens deze periode nam de hacktivistische groep NoName de verantwoordelijkheid voor een reeks DDoS-aanvallen op doelwitten in Nederland, waaronder de NAVO-vestiging en vitale organisaties. Deze aanvallen hadden als doel de stabiliteit van de samenleving te verstoren.

Verder werd de dreiging van Chinese cyberaanvallen op elektriciteitsnetwerken in Westerse landen steeds groter, evenals het gebruik van AI-gegenereerde nepvideo’s in de conflictgebieden tussen Iran en Israël. Deze digitale aanvallen benadrukken de groeiende rol van cyberspace in geopolitieke conflicten. Voor de toekomst wordt een toename van digitale aanvallen verwacht, waarbij samenwerking tussen overheden en bedrijven essentieel zal zijn voor het versterken van de digitale weerbaarheid.

Bron

Sinds maart 2025 heeft Kaspersky een toename van besmettingen met de Batavia spyware geconstateerd, gericht op Russische bedrijven. Deze spyware verspreidt zich via e-mails die valse contractbestanden bevatten. Wanneer gebruikers op de link klikken, wordt een schadelijk VBS-script gedownload, dat het systeem verder infecteert. In de tweede fase wordt het bestand WebView.exe uitgevoerd, dat informatie verzamelt van het apparaat en documenten steelt. De laatste fase van de infectie betreft het bestand javav.exe, dat extra bestanden verzamelt en deze naar de aanvallers stuurt. Batavia richt zich voornamelijk op industriële organisaties en exfiltreert gevoelige bedrijfsinformatie. Dit type aanval benadrukt de noodzaak voor bedrijven om hun netwerken goed te beveiligen en hun medewerkers bewust te maken van phishingdreigingen. Het gebruik van meerdere beveiligingsmaatregelen en regelmatige training van medewerkers kan helpen om dit soort aanvallen te voorkomen.

Bron

Rusland heeft zijn cyberaanvallen verlegd van de VS naar het Verenigd Koninkrijk. Dit komt doordat president Putin probeert de Amerikaanse president Trump niet te provoceren, terwijl de VS onder Trump een minder harde lijn tegen Rusland voert dan onder zijn voorganger. Het VK, een critici van het Kremlin, wordt nu het belangrijkste doelwit van Russische cyberaanvallen en spionage. Sinds januari zijn er meerdere hybride aanvallen geweest, waaronder cyberaanvallen en sabotages die zich richten op belangrijke infrastructuur van het VK. Dit komt deels door de toenemende internationale rol van de Britse premier Keir Starmer. Britse inlichtingendiensten hebben gewaarschuwd voor de aanhoudende dreiging van Russische cyberaanvallen. Het VK heeft de afgelopen jaren duizenden aanvallen weerstaan, waaronder het hacken van telefoons van politici en een data-inbreuk bij het ministerie van Defensie. De Nationale Audit Office waarschuwt voor de snelle toename van cyberdreigingen tegen de Britse overheid.

Bron

Onderzoekers hebben ontdekt dat Noord-Koreaanse hackers 67 kwaadaardige pakketten hebben geplaatst in de Node Package Manager (npm) om een nieuwe malwareloader genaamd XORIndex te verspreiden. De pakketten, die meer dan 17.000 keer zijn gedownload, maken deel uit van een lopende campagne, genaamd Contagious Interview, die gericht is op ontwikkelaars. De hackers gebruiken nep-sollicitaties om slachtoffers te misleiden en hen schadelijke code te laten draaien. De malware verzamelt systeemgegevens en stuurt deze naar een extern commando- en controleadres. Via dit adres worden er extra schadelijke payloads, zoals backdoors, uitgevoerd. De gebruikte methoden zijn een combinatie van oude en nieuwe tools die moeilijk te detecteren zijn. Experts adviseren ontwikkelaars om altijd de bron van pakketten zorgvuldig te controleren, bekende en betrouwbare projecten te gebruiken en nieuwe bibliotheken eerst in een veilige omgeving te testen.

Bron

NoName057(16) is een pro-Russische hacktivistische groep die sinds maart 2022 DDoS-aanvallen uitvoert tegen landen die Oekraïne steunen. Deze aanvallen, gericht op overheidsinstellingen, bedrijven en vitale infrastructuur, verstoren systemen en zaaien paniek. De groep opereert gedecentraliseerd, wat het moeilijk maakt om haar volledig uit te schakelen. Dankzij gamificatie en het gebruik van de DDoS-software DDoSia weet de groep snel vrijwilligers te werven.

De internationale gemeenschap reageerde op de dreiging met Operatie Eastwood, waarbij meer dan 100 servers werden uitgeschakeld en huiszoekingen plaatsvonden in verschillende landen. Deze operatie verstoorde de activiteiten van de groep, maar de dreiging blijft bestaan, gezien de flexibiliteit van haar gedecentraliseerde structuur. De toekomst van cyberdreigingen zoals NoName057(16) benadrukt het belang van internationale samenwerking en versterking van digitale verdediging.

Bron

De Oekraïense geheime dienst heeft samen met lokale cybergroepen een verwoestende cyberaanval uitgevoerd op Gaskar Integration, een van de grootste Russische producenten van drones. Deze aanval verlamde de operatie van het bedrijf volledig. Meer dan 47 terabyte aan gevoelige informatie werd gestolen, inclusief documentatie over de productie van drones. De servers van het bedrijf werden vernietigd, evenals 10 terabyte aan back-updata, wat leidde tot het onherstelbaar verlies van cruciale infrastructuur. De aanval had ook fysieke gevolgen, waarbij interne deuren op afstand werden vergrendeld, waardoor medewerkers gedwongen werden via nooduitgangen te evacueren. Oekraïense officials melden dat gestolen gegevens, waaronder technische informatie en personeelsdossiers, nu worden geanalyseerd voor mogelijk strategisch gebruik. Dit incident benadrukt een verschuiving naar actieve, digitale oorlogsvoering en de capaciteiten om vitale toeleveringsketens aan te vallen.

Screenshot

Chinese hackers hebben hun aanvallen op de Taiwanese halfgeleiderindustrie versterkt, zo blijkt uit recent onderzoek. Deze cyberaanvallen, die tussen maart en juni 2025 plaatsvonden, zijn uitgevoerd door verschillende hacker-groepen die verbonden zijn met China. Het doel is voornamelijk het stelen van gegevens over de Taiwanese chipindustrie, die cruciaal is voor de wereldwijde technologievoorziening. De aanvallen richtten zich onder andere op kleinere bedrijven, financiële analisten en grote multinationals. De onderzoekers meldden dat de hackers vaak gebruik maakten van phishing-technieken, zoals het verzenden van kwaadaardige e-mailbijlagen die afkomstig leken van vertrouwde bronnen, zoals universiteiten. Deze aanvallen komen op een moment van verhoogde spanningen tussen de VS en China, waarbij de export van geavanceerde Amerikaanse chips naar China wordt beperkt. De onderzoekers wijzen erop dat de chipindustrie, vooral de toeleveringsketen, een constante doelwit is voor Chinese cyberoperaties.

De groep Z-ALLIANCE heeft naar verluidt de website van de European Cyber Security Organisation (ECSO) aangevallen met een DDoS-aanval. De website is momenteel offline en niet meer actief. Deze aanval benadrukt de voortdurende dreiging van DDoS-aanvallen die organisaties wereldwijd treffen, waaronder belangrijke cyberbeveiligingsinstellingen. DDoS-aanvallen zijn bedoeld om websites onbereikbaar te maken door ze te overspoelen met een enorme hoeveelheid verkeer. Dit incident is een duidelijk voorbeeld van de kwetsbaarheid van zelfs goed beveiligde organisaties tegen dergelijke aanvallen. De European Cyber Security Organisation speelt een cruciale rol in het bevorderen van cybersecurity binnen Europa, en de impact van de aanval kan de organisatie tijdelijk verzwakken in haar missie om cyberdreigingen aan te pakken.

De veranderende wereldorde creëert meer onzekerheid voor Nederland, dat steeds vaker geconfronteerd wordt met dreigingen van statelijke actoren. Deze landen maken gebruik van macht om hun eigen belangen te beschermen, wat leidt tot meer geopolitieke spanning en toenemende sabotage. Digitale aanvallen, zoals cyberdreigingen, hebben een steeds grotere impact op de samenleving en kunnen vitale infrastructuren verstoren, zoals elektriciteit en internet. De economische invloed is ook sterk merkbaar, aangezien strategische afhankelijkheden worden ingezet als drukmiddel. Dit alles maakt Nederland kwetsbaar voor maatschappelijke ontwrichting en economische schade. De AIVD benadrukt dat het essentieel is om de weerbaarheid van zowel de overheid als de samenleving te versterken. Dit vereist een gezamenlijke inspanning van de overheid, bedrijven en burgers om Nederland tegen deze dreigingen te beschermen en de vitale infrastructuur te waarborgen.

Later meer hierover in een uitgebreid artikel op ccinfo

De Chinese hackersgroep Salt Typhoon, die mogelijk gelieerd is aan de Chinese inlichtingendienst, heeft tussen maart en december 2024 ongezien het netwerk van de Amerikaanse National Guard binnengedrongen. Gedurende deze negen maanden heeft de groep netwerkconfiguratiebestanden en beheerderswachtwoorden gestolen, die gebruikt kunnen worden om andere overheidsnetwerken aan te vallen. Salt Typhoon is bekend om zijn aanvallen op telecommunicatiebedrijven wereldwijd, waaronder AT&T en Verizon. De gestolen gegevens, zoals netwerkdiagrammen en toegangscodes, stellen de aanvallers in staat om andere netwerken van overheidsinstellingen te infiltreren. De aanval werd pas ontdekt door het Amerikaanse ministerie van Binnenlandse Veiligheid, die waarschuwde voor de mogelijkheid van verdere inbreuken door deze gestolen informatie. De hackers hebben eerder gebruik gemaakt van verouderde kwetsbaarheden in netwerkinfrastructuurapparatuur, zoals routers van Cisco, om toegang te krijgen tot gevoelige systemen.

Bron

De wereldorde verandert, met een verschuiving van een unipolaire naar een multipolaire wereld. Landen als Rusland, China en Iran spelen een grotere rol in de geopolitiek, wat gevolgen heeft voor de veiligheid van Nederland. Door zijn open samenleving en strategische positie is Nederland kwetsbaar voor cyberdreigingen, zoals digitale sabotage en spionage van statelijke actoren. Rusland richt zich met digitale aanvallen op vitale infrastructuur, terwijl China en Iran digitale middelen gebruiken voor spionage en politieke invloed. Nederland moet zich aanpassen aan deze nieuwe wereldorde door zijn digitale weerbaarheid te versterken. Dit kan door het verbeteren van de cyberbeveiliging van kritieke infrastructuur en het bevorderen van samenwerking met internationale partners. Ook is het van belang dat Nederland zijn economische en technologische onafhankelijkheid vergroot om zich te beschermen tegen strategische afhankelijkheden en economische druk van andere landen.

Bron

Een nieuwe malwarefamilie, LameHug, maakt gebruik van een groot taalmodel (LLM) om commando's te genereren die uitgevoerd worden op besmette Windows-systemen. Deze malware werd ontdekt door het Oekraïense CERT-UA en wordt toegeschreven aan de Russische hacker-groep APT28. LameHug is in staat om dynamisch commando's te genereren die gebruikt worden voor systeemonderzoek en datadiefstal. De malware communiceert via de Hugging Face API en maakt gebruik van een open-source LLM dat code genereert op basis van natuurlijke taalbeschrijvingen. LameHug is de eerste malware die deze technologie benut voor cyberaanvallen, wat de aanvalsmethoden van cybercriminelen flexibeler en moeilijker detecteerbaar maakt. Het gebruik van AI-gebaseerde commando's kan ervoor zorgen dat malware langer onopgemerkt blijft, wat het risico op succesvolle aanvallen vergroot. De malware werd verspreid via kwaadaardige e-mails die werden verzonden vanuit gehackte accounts van overheidsfunctionarissen.

Bron

De Russische alcoholretailer WineLab heeft zijn winkels gesloten na een cyberaanval die de bedrijfsvoering verstoorde en aankoopproblemen voor klanten veroorzaakte. Het moederbedrijf, Novabev Group, meldde dat hackers op 14 juli een grootschalige cyberaanval hadden uitgevoerd, die leidde tot tijdelijke verstoringen van de IT-systemen. Hierdoor waren bepaalde diensten en tools van het bedrijf niet beschikbaar. De aanvallers eisten een losgeldbetaling, maar Novabev weigerde te betalen. De website van WineLab is momenteel offline, en aankopen via de mobiele app worden waarschijnlijk ook beïnvloed. Hoewel het bedrijf geen aanwijzingen heeft dat klantgegevens zijn gecompromitteerd, is het onderzoek nog gaande. WineLab is een van de grootste alcoholretailers in Rusland, met duizenden winkels en een sterke online aanwezigheid.

Bron

Het Britse National Cyber Security Centre (NCSC) heeft de 'Authentic Antics' malware officieel gelinkt aan de Russische militaire inlichtingendienst (GRU), via de cyberdreigingsgroep APT28, ook wel bekend als Fancy Bear. Deze malware is ontworpen om inloggegevens en OAuth 2.0-tokens van slachtoffers te stelen, waardoor toegang kan worden verkregen tot e-mailaccounts, zoals die van Microsoft 365. Authentic Antics is moeilijk te detecteren doordat het gebruik maakt van legitieme diensten en geen externe command-and-control servers vereist. De malware verbergt zijn werking door het versturen van gestolen data via de Outlook-account van het slachtoffer, zonder de verzonden berichten op te slaan. De Britse regering heeft als reactie drie GRU-eenheden en 18 Russische individuen gesanctioneerd. De NCSC benadrukt de toegenomen complexiteit van de cyberaanvallen van de GRU en de inzet van deze geavanceerde malware voor spionage.

Bron

Hackers met banden met de Chinese overheid hebben recentelijk wereldwijd organisaties aangevallen door misbruik te maken van een zero-day kwetsbaarheid in Microsoft SharePoint. Deze aanval, genaamd "ToolShell", heeft een reeks van beveiligingslekken (CVE-2025-49706 en CVE-2025-49704) gebruikt om systemen binnen te dringen en toegang te krijgen tot interne netwerken. Tot nu toe zijn er minstens 54 getroffen organisaties, waaronder multinationals en overheidsinstanties. Microsoft heeft inmiddels updates uitgebracht om de kwetsbaarheden te verhelpen, maar hackers blijven actief met het misbruiken van de lekken, mede doordat Proof of Concept (PoC) exploits openbaar zijn gemaakt. Het is belangrijk dat bedrijven die SharePoint lokaal draaien snel de benodigde patches toepassen om verdere schade te voorkomen. CISA heeft de kwetsbaarheid toegevoegd aan haar lijst van bekend misbruikte kwetsbaarheden.

Bron: anoniem

Er zijn sterke aanwijzingen dat Rusland betrokken zou kunnen zijn bij de recente hack van het Openbaar Ministerie (OM) in Nederland. Cybersecurity-expert Dave Maasland stelt dat Rusland het vermogen en de interesse heeft om zulke aanvallen uit te voeren. De hack zou wekenlang toegang hebben gegeven tot de systemen van het OM, waarbij mogelijk gevoelige informatie is gestolen. Maasland wijst op eerdere Russische cyberaanvallen, zoals de inbraak in het systeem van de politie, en benadrukt dat spionage een waarschijnlijke motief is. Rusland zou bijvoorbeeld documenten over lopende onderzoeken, zoals die rondom MH17, willen verkrijgen. Daarnaast zou de aanval ook kunnen dienen om de Nederlandse overheid te beïnvloeden en angst te zaaien, door de kwetsbaarheid van belangrijke instanties zoals het OM bloot te stellen. Het is nog onduidelijk wanneer de systemen van het OM weer volledig operationeel zullen zijn.

Op 24 juli 2025 ondervonden gebruikers van Starlink, het satellietinternet van SpaceX, wereldwijd verbindingsproblemen. Vanaf ongeveer half tien Nederlandse tijd was de dienst niet meer beschikbaar, wat leidde tot veel meldingen van gebruikers in onder andere de VS, Europa, Afrika, Azië en Australië. Starlink bevestigde de storing via sociale media en gaf aan actief bezig te zijn met een oplossing. De oorzaak van de storing is nog onbekend, maar het bedrijf werkt aan maatregelen om herhaling te voorkomen. Het is ook onduidelijk wat de impact is op andere diensten die gebruik maken van Starlink, zoals T-Mobile's T-Satellite-dienst of militaire gebruikers, waaronder het Oekraïense leger. Er gingen geruchten dat ook het Oekraïense leger getroffen zou zijn, wat zorgde voor bezorgdheid over de operationele gevolgen.

Bron

De recente cyberaanval op het Openbaar Ministerie in Nederland, vermoedelijk uitgevoerd door Russische hackers, benadrukt de kwetsbaarheid van digitale systemen, zelfs met geavanceerde beveiliging. De aanval via een zwakte in de Citrix NetScaler software stelt de vraag of zulke digitale aanvallen als gewapende aanvallen kunnen worden beschouwd, wat mogelijk artikel 5 van het NAVO-verdrag activeert. Dit artikel stelt dat een aanval op een NAVO-lidstaat een aanval op alle lidstaten is, maar het blijft onduidelijk of een cyberaanval voldoende schade aanricht om dit als zodanig te beschouwen. De complexiteit van cyberaanvallen maakt het moeilijk om de verantwoordelijke staat snel te identificeren. De NAVO erkent echter de dreiging en werkt aan een versterking van haar cybercapaciteiten. De vraag is wanneer cyberaanvallen een fysieke oorlog kunnen doen ontbranden, gezien hun potentieel om vitale infrastructuur te verstoren en nationale veiligheid te ondermijnen.

Bron

De Russische lucht- en defensie-industrieën zijn recent doelwit geworden van een cyberespionagecampagne die de EAGLET-backdoor inzet voor datadiefstal. Deze operatie, genaamd CargoTalon, is gelinkt aan de onbekende dreigingsgroep UNG0901. De aanval begint met een spear-phishing-e-mail die zich voordoet als een document met vrachtinformatie, maar in werkelijkheid een kwaadaardig bestand bevat. Dit bestand installeert de EAGLET-backdoor, waarmee de aanvallers toegang krijgen tot systeeminformatie en verbinding maken met een externe server voor verdere commando’s. EAGLET ondersteunt functies zoals bestandsoverdracht en toegang op afstand, maar het is nog onduidelijk wat de volgende stap van de aanval precies inhoudt. Er worden ook overeenkomsten opgemerkt met eerdere aanvallen door andere dreigingsgroepen zoals Head Mare. Deze nieuwe aanval komt te midden van een verhoogde activiteit van Russische staatsactoren die ook andere doelwitten in Oekraïne aanvallen.

Bron

Op 25 juli 2025 heeft de groep NoName aangekondigd meerdere belangrijke websites in België te hebben aangevallen met een DDoS-aanval (Distributed Denial of Service). Doelen van deze cyberaanval waren onder andere het Parlement van Wallonië, de Directie-Generaal Statistieken (Statistiek België), ENGIE Electrabel, de Rijksdienst voor Sociale Zekerheid, de haven van Antwerpen-Brugge, de luchthaven van Charleroi en de LEZ-regelgeving van Brussel. DDoS-aanvallen verstoren de toegang tot websites door ze te overspoelen met een enorme hoeveelheid verkeer, waardoor ze onbereikbaar worden. Het is nog onduidelijk of deze aanvallen significante schade hebben veroorzaakt, maar de betrokken organisaties hebben maatregelen getroffen om de impact te minimaliseren. Dergelijke aanvallen zijn een groeiend probleem in de wereld van cybercriminaliteit.

Screenshot

De Russische luchtvaartmaatschappij Aeroflot heeft meer dan 50 vluchten geannuleerd na een cyberaanval die haar informaticasystemen verstoorde. Twee pro-Oekraïense hackersgroepen, Silent Crow en de Cyberpartisans BY, hebben de verantwoordelijkheid opgeëist. De aanval zou een vergelding zijn voor de oorlog in Oekraïne. De hackers beweerden al meer dan een jaar toegang te hebben tot het netwerk van Aeroflot en dat het bedrijf nog op het verouderde Windows XP werkte, een systeem dat niet meer ondersteund wordt. Volgens de hackers is er een enorme hoeveelheid vertrouwelijke informatie gelekt, waaronder passagiersgegevens en interne documenten. Ze dreigen deze gegevens de komende maanden openbaar te maken. De aanval heeft niet alleen geleid tot chaos op de luchthaven, maar heeft ook de luchtvaartsector in Rusland verder verstoord.

Bron