Cyberoorlog 2025 augustus

Microsoft heeft een cyberespionagecampagne ontdekt, uitgevoerd door de Russische groep Secret Blizzard, gericht op diplomaten in Moskou. Deze groep maakt gebruik van de zogenaamde 'adversary-in-the-middle' (AiTM)-aanvalstechniek om kwaadaardige ApolloShadow-malware te verspreiden. Deze malware installeert een rootcertificaat op getroffen systemen, waardoor deze systemen kwaadaardige websites vertrouwen en de aanvaller toegang krijgt tot vertrouwelijke gegevens. Het doel van de aanvallers lijkt het verzamelen van inlichtingen van diplomaten. De aanval richt zich specifiek op gebruikers die internetverbindingen via lokale internetproviders in Rusland gebruiken, wat de kwetsbaarheid van diplomaten vergroot. Microsoft raadt organisaties aan om al het netwerkverkeer via versleutelde tunnels te leiden, een VPN te gebruiken en strikte toegangscontrolemaatregelen toe te passen om zich tegen dergelijke aanvallen te beschermen.

Bron

Z-PENTEST ALLIANCE heeft geclaimd de website van het Europese Defensieagentschap te hebben aangevallen. Momenteel is de website niet bereikbaar. Het Europese Defensieagentschap is gevestigd in Brussel en speelt een cruciale rol in de externe beleid en veiligheidsstrategieën van de Europese Unie. De melding van de aanval komt niet onverwachts, gezien de toenemende spanningen in de regio en de betrokkenheid van verschillende actoren bij cyberaanvallen. De situatie benadrukt de kwetsbaarheid van essentiële overheidsinfrastructuur en de impact van cyberdreigingen op nationale en internationale veiligheid.

Microsoft heeft bekendgemaakt dat ambassades in Moskou doelwit zijn van man-in-the-middle (MITM) aanvallen die via lokale internetproviders plaatsvinden. Deze aanvallen proberen systemen te infecteren met malware, waaronder ApolloShadow, die rootcertificaten installeert die lijken te komen van antivirusbedrijf Kaspersky. De aanvallers kunnen zo toegang krijgen tot gevoelige gegevens zoals inlogtokens en logingegevens. De aanval begint wanneer een systeem wordt misleid door een 'captive portal', waarna het slachtoffer een bestand aangeboden krijgt om een certificaatfout te verhelpen, wat de malware is. Deze aanvallen zijn al sinds 2024 gaande en richten zich voornamelijk op diplomatieke entiteiten. Microsoft adviseert om het internetverkeer via een versleutelde tunnel naar een vertrouwd netwerk te leiden of een VPN van een satellietprovider te gebruiken om de risico’s te minimaliseren.

In juli 2025 namen cyberdreigingen wereldwijd toe, met belangrijke gevolgen voor geopolitieke verhoudingen. De Verenigde Staten kregen te maken met verhoogde dreigingen van Iraanse hackers, gericht op kritieke infrastructuur, zoals energie en gezondheidszorg. Tegelijkertijd voerden Russische APT-groepen, waaronder Gamaredon, intensievere aanvallen uit op Oekraïense overheidsinstellingen. Ook pro-Russische hacktivisten voerden DDoS-aanvallen uit op Europese doelwitten, zoals overheidswebsites in Litouwen. De opkomst van nieuwe malwaretechnieken, zoals de AI-gestuurde LameHug-malware, maakte het voor cybersecurityspecialisten steeds moeilijker om aanvallen op te sporen. DDoS-aanvallen werden vaker gebruikt om vitale infrastructuren te verstoren, wat de kwetsbaarheid van Europese systemen blootlegde. Deze toename van digitale aanvallen benadrukt de noodzaak voor versterkte samenwerking tussen landen en organisaties om digitale veiligheid te waarborgen en de stabiliteit in de wereld te behouden.

Bron

Hackers hebben 9GB aan gestolen gegevens vrijgegeven van de computer van een vermeende Noord-Koreaanse hacker. De gegevens bevatten waardevolle operationele informatie, zoals aanvallogs, interne documentatie, broncode en gestolen inloggegevens. Het materiaal werd gedeeld tijdens DEF CON in Las Vegas via Phrack, een legendarisch hacker-publicatie. De betrokken hackers, bekend als Saber en cyb0rg, claimen toegang te hebben gekregen tot systemen die mogelijk verbonden zijn met de Noord-Koreaanse cybergroep Kimsuky, hoewel sommige analisten twijfels hebben over de oorsprong. De gelekte gegevens bieden zeldzaam inzicht in de tools en technieken van een geavanceerde dreigingsactor. Dit incident markeert een belangrijke onthulling van de interne werking van een cyber-spionage groep, maar blijft omgeven door onzekerheid over de werkelijke identiteit van de hacker.

Bron

De recente censuur in Rusland heeft geleid tot de blokkering van meer dan 25.000 websites, waaronder de Britse tabloid The Sun, het Franse nieuwsplatform L'Internaute en de website van de Oekraïense voetbalclub Dynamo Kyiv. Deze blokkades zijn onderdeel van de toenemende druk op internetbronnen die zich tegen de Russische regering verzetten. De Russische non-profitorganisatie Roskomsvoboda, die deze cijfers bijhoudt, merkt op dat de snelheid van blokkeringen is afgenomen, maar in het afgelopen jaar toch nog ongeveer 5.000 nieuwe websites werden geblokkeerd. Sinds de invoering van censuurwetten in 2022 kunnen mensen die ‘nepnieuws’ verspreiden of de Russische strijdkrachten ondermijnen, tot 15 jaar gevangenisstraf krijgen. Amnesty International heeft herhaaldelijk gepleit voor de afschaffing van deze repressieve wetten.

Bron

Een nieuwe groep cyberspionnen, Curly COMrades, heeft gebruik gemaakt van aangepaste malware die toegang biedt via een ogenschijnlijk inactieve geplande taak. De groep richt zich voornamelijk op overheids- en gerechtelijke instanties in Georgië en energiebedrijven in Moldavië. De malware, genaamd MucorAgent, is een complex .NET-gebaseerd instrument dat AES-versleutelde PowerShell-scripts uitvoert en de resulterende gegevens naar een server uploadt. De aanvallers gebruiken meerdere proxyagents en geavanceerde technieken om hun aanwezigheid te handhaven, waaronder het gebruik van het gereedschap curl.exe voor gegevensuitvoer en communicatie met de command-and-control server. Curly COMrades volgt de geopolitieke belangen van Rusland, hoewel er geen directe overlap is met bekende Russische APT-groepen. De onderzoekers merkten op dat de aanvallers herhaaldelijk probeerden gevoelige gegevens, zoals gebruikersreferenties en een NTDS-database, te exfiltreren. De detectie van deze geavanceerde aanvallen is echter mogelijk door moderne beveiligingstools.

Bron

De Russische overheid heeft aangegeven WhatsApp te willen blokkeren vanwege de versleutelde communicatie die de app biedt. WhatsApp, eigendom van Meta, blijft zich echter inzetten om versleutelde diensten in Rusland te behouden, ondanks de strengere censuurmaatregelen. De Russische toezichthouder, Roskomnadzor, beschuldigt de app van het faciliteren van fraude en afpersing, evenals van betrokkenheid bij subversieve activiteiten door middel van versleutelde communicatiekanalen. De beperkingen op de belfunctie van WhatsApp zijn onderdeel van bredere maatregelen die de Russische overheid neemt tegen buitenlandse techbedrijven. Dit alles heeft niet alleen gevolgen voor gebruikers in Rusland, maar ook voor het bredere debat over digitale privacy en de vrijheid van communicatie, wat zeker ook belangrijk is voor gebruikers in België en Nederland, waar WhatsApp veelvuldig wordt gebruikt.

Bron 1

Op 14 augustus 2025 werd bekend dat pro-Russische hackers in april de besturingssystemen van een waterkrachtcentrale in Noorwegen hadden geïnfiltreerd. Ze kregen toegang tot het systeem van de Bremanger-dam en openden de uitlaatkleppen, waardoor 7,2 miljoen liter water werd afgevoerd. Deze cyberaanval is gezien als een demonstratie van Rusland’s capaciteiten om kritieke infrastructuur op afstand aan te vallen, wat een duidelijke boodschap is voor andere landen, waaronder Nederland en België. De Noorse Politie Veiligheidsdienst (PST) benadrukte dat het niet om het veroorzaken van schade ging, maar om het tonen van de mogelijkheden van de hackers om invloed uit te oefenen en angst te zaaien. De hack werd uitgevoerd door pro-Russische cybercriminelen, die hun actie via een video op Telegram bevestigden. Dergelijke aanvallen zijn ook een waarschuwing voor landen als Nederland en België, waar de veiligheid van vitale infrastructuren eveneens kwetsbaar is voor cyberaanvallen met geopolitieke bedoelingen.

Bron 1, 2

Op 17 augustus 2025 claimde het hackercollectief Dark Storm Team verantwoordelijk te zijn voor meerdere DDoS-aanvallen op websites in Nederland. De groep beweerde dat de doelwitten de luchthavens Oostwold en Hoogeveen waren. Beide luchthavens werden getroffen door de aanvallen, die de toegang tot hun websites tijdelijk verstoren. De groep deelde de meldingen via hun Telegram-kanaal, met links naar controlepagina's van de getroffen servers. Deze incidenten benadrukken opnieuw de kwetsbaarheid van kritieke infrastructuren voor cyberaanvallen.

NoName, een hackergroep, heeft aangekondigd meerdere websites in België te hebben aangevallen. De gerichte websites zijn onder andere ENGIE Electrabel, de Rijksdienst voor Sociale Zekerheid, het Algemeen Christelijk Vakverbond (ACV), en Citydev.brussels. Andere doelwitten zijn ook vermeld, zoals het Parlement van Wallonië en het International Centre for Research and Information on the Public, Social and Cooperative Economy. De aanvallen leidden tot onbereikbaarheid van deze websites, wat aangeeft dat de cyberdreiging in België toeneemt.

Z-ALLIANCE beweert de website van Port Oostende (portfoostende.be) te hebben aangevallen met een DDoS-aanval. Op dit moment is de site niet bereikbaar. Z-ALLIANCE heeft de aanval opgeëist en gebruikt daarbij de hashtag #OpBelgium. De aanval wordt gepresenteerd als een vorm van vergelding, met andere verwijzingen naar de #TimeOfRetribution en #FuckEastwood. Het is nog onduidelijk wat de impact van de aanval is op de operaties van de haven van Oostende, die zich richt op visserij, veerbootvervoer en mariene energie.

De pro-Russische hacktivisten van NoName hebben op maandag verschillende Oekraïense overheidsinstanties aangevallen in aanloop naar de belangrijke vergadering tussen de Amerikaanse president Donald Trump en zijn Oekraïense collega Volodymyr Zelensky. De aanvallen werden uitgevoerd via gedistribueerde denial-of-service (DDoS) aanvallen, waarbij de websites van de doelwitten tijdelijk offline werden gehaald. De gehackte Oekraïense instanties omvatten commissies voor nationale veiligheid, recht, en energie, evenals het bedrijf Ferrexpo, dat een grote speler is in de Oekraïense industriële sector.

NoName richt zich niet alleen op Oekraïne, maar heeft in het verleden ook NAVO-lidstaten en andere landen die zich tegen Rusland keren aangevallen. Zo werden er DDoS-aanvallen uitgevoerd op verschillende gevoelige doelen in Brussel, waaronder het Belgische Sociale Zekerheidsbureau en onderzoekscentra, wat de bredere impact van cyberaanvallen op de Europese infrastructuur benadrukt.

De activiteiten van NoName zijn een waarschuwing voor België en Nederland, die beide belangrijke partners zijn in de Europese Unie en de NAVO. Cyberaanvallen op kritieke infrastructuur kunnen niet alleen storingen veroorzaken, maar ook zorgen voor aanzienlijke economische schade en verstoring van de dagelijkse werking van overheidsinstellingen. De focus van deze hacktivisten op westerse landen maakt het extra relevant voor bedrijven en overheden in Nederland en België om hun digitale beveiliging voortdurend te evalueren en te versterken.

Een door de staat gesponsorde spionagecampagne heeft zich gericht op buitenlandse ambassades in Zuid-Korea om de XenoRAT-malware te verspreiden via kwaadaardige GitHub-repositories. Deze campagne, die sinds maart van dit jaar actief is, heeft ten minste 19 spearphishing-aanvallen uitgevoerd op diplomatieke doelen van hoge waarde. De aanvallen werden uitgevoerd in drie fasen, waarbij de aanvallers zich voordeden als diplomaten en e-maillures gebruikten zoals valse vergaderuitnodigingen en officiële brieven, verstuurd in verschillende talen, waaronder Engels, Frans en Koreaans. Ondanks dat de aanvallen zich richten op Zuid-Korea, kunnen dergelijke technieken en infrastructuren ook een bedreiging vormen voor Belgische en Nederlandse diplomaten en overheidsinstanties, die mogelijk soortgelijke methoden tegenkomen.

De XenoRAT-malware biedt aanvallers de mogelijkheid om toetsenborden en schermen vast te leggen, bestanden over te dragen en op afstand toegang te verkrijgen tot geïnfecteerde computers, wat kan leiden tot ernstige beveiligingsrisico’s. Belgische en Nederlandse ambassades en overheidsinstanties dienen dergelijke dreigingen te monitoren, aangezien cyberaanvallen op diplomatieke missies wereldwijd steeds vaker voorkomen. Het is belangrijk dat er aandacht is voor de gebruikte tactieken en de mogelijkheid dat dergelijke campagnes zich uitbreiden naar andere doelwitten in de regio.

Bron 1

Een nieuwe cyberaanval uitgevoerd door Russische hackers, die zich opnieuw richtten op een kleine waterkrachtcentrale in Polen. De aanval had als doel de besturingssystemen van de centrale te verstoren, wat de operationele werking beïnvloedde. Dit markeert de tweede aanval van dit jaar op dezelfde locatie, na een eerdere inbraak in mei. De hackers lieten via een video zien hoe ze het systeem manipuleerden, wat leidde tot ongewone gegevens van de turbine, waaronder onverklaarbare veranderingen in de snelheid en het vermogen. De impact op de operatie werd duidelijk zichtbaar in pieken van turbine snelheid en waterniveaus, wat de ernst van de verstoring aantoont. Dit incident is een onderdeel van een bredere trend van cyberaanvallen op industriële systemen in Polen, die mogelijk ook impact kunnen hebben op de infrastructuur in nabijgelegen landen, zoals België en Nederland, gezien de kwetsbaarheid van vergelijkbare systemen in de regio.

Bron 1

Recent heeft de hackersgroep NoName een reeks DDoS-aanvallen uitgevoerd op verschillende websites in België, waaronder belangrijke organisaties zoals Wallex en D'Ieteren Group. Deze aanvallen illustreren de groeiende dreiging van cybercriminaliteit in de regio en benadrukken de noodzaak voor zowel bedrijven als individuen om alert te zijn op hun digitale veiligheid. DDoS-aanvallen kunnen de toegang tot diensten verstoren en leiden tot aanzienlijke economische schade, wat de impact van deze cyberaanvallen des te relevanter maakt voor lezers in België en Nederland. Het is essentieel voor organisaties in beide landen om proactief hun beveiligingsmaatregelen te evalueren en aan te passen, zodat zij beter voorbereid zijn op dergelijke bedreigingen. Blijf geïnformeerd en neem de juiste stappen om je online omgeving te beschermen.

Op 21 augustus 2025 beweerde de hacker-groep Z-ALLIANCE de website van Fluxys, de operator van het belangrijkste gasleidingsnetwerk in België, te hebben aangevallen. Het netwerk van Fluxys is verantwoordelijk voor het transporteren van gas naar verschillende distributeurs. Op het moment van de aanval was de website van Fluxys tijdelijk offline. Z-ALLIANCE heeft de verantwoordelijkheid opgeëist voor deze DDoS-aanval (Distributed Denial of Service). Dit soort aanvallen kan de toegang tot een website blokkeren door een enorme hoeveelheid verkeer naar de server te sturen, waardoor de dienst tijdelijk onbereikbaar wordt.

Op 21 augustus 2025 claimt de groep NoName verschillende websites in België te hebben aangevallen. De doelwitten zijn onder andere de gemeenten Waimes, Burg-Reuland en Kelmis, evenals de provincies Luik, Oost-Vlaanderen en Vlaams-Brabant. De DDoS-aanvallen zorgden ervoor dat de websites onbereikbaar werden, zoals te zien is in de bijgevoegde afbeeldingen met foutmeldingen van de getroffen sites.

Op basis van berichten op het Russische Telegram-kanaal Mash claimen de hacker-groepen Killnet, Palach Pro, User Sec en Beregini verantwoordelijk te zijn voor de inbraak in het netwerk van de Oekraïense Generaal Staf. De hackers zouden een eigen malware genaamd “Nuance” hebben gebruikt om toegang te krijgen. Ze beweren verschillende terabytes aan gegevens te hebben gestolen, waaronder statistieken over slachtoffers, persoonlijke gegevens van 1,7 miljoen doden of vermiste soldaten, en gegevens over buitenlandse wapenleveringen van 2022 tot 2025. De Oekraïense regering, via het Ministerie van Defensie, ontkent de beweringen en beschouwt de documenten die door Mash zijn gedeeld als propaganda. Het incident heeft de aandacht getrokken in zowel militaire als publieke kringen, waarbij er twijfels zijn over de geloofwaardigheid van de beweringen.

Op 22 augustus 2025 beweerde de cybergroep NoName verantwoordelijk te zijn voor meerdere DDoS-aanvallen op Belgische websites. Onder de doelwitten bevinden zich bekende namen zoals Sabena, het Directoraat-generaal voor Statistiek België, Automatic Systems, C.P. Bourg, Scarlet, Telenet Group en Proximus Group. De aanvallen veroorzaakten verschillende foutmeldingen, zoals "HTTP Status 404 - Not Found" en "Bad Gateway", waardoor de toegang tot de getroffen websites werd belemmerd. De groep claimde dat deze actie een vorm van vergelding was, met de hashtag #TimeOfRetribution. Dit incident benadrukt de groeiende dreiging van DDoS-aanvallen tegen belangrijke infrastructuren in België.

Een nieuwe Android-malware, die zich voordoet als antivirussoftware, is ontdekt en wordt vermoedelijk door de Russische Federal Security Service (FSB) gebruikt om Russische bedrijfsleiders te targeten. Het malwareprogramma, genaamd 'Android.Backdoor.916.origin', kan gesprekken afluisteren, camera’s streamen, toetsinvoer registreren en communicatiegegevens van messenger-apps verzamelen. De malware wordt verspreid via valse apps die zich voordoen als beveiligingstools, zoals 'GuardCB' en 'SECURITY_FSB'. Ondanks de schijn van een antivirusfunctie, is het doel van de software duidelijk: gegevensdiefstal en spionage. De malware is vooral gericht op Russische gebruikers, wat blijkt uit de exclusieve Russische taaloptie en branding. Het kan ook verscheidene permissies op een apparaat verkrijgen, zoals toegang tot locatie, sms-berichten en de camera. Analisten hebben verschillende versies van de malware geïdentificeerd, wat wijst op voortdurende ontwikkeling.

Bron 1, 2

Op 24 augustus 2025 werd bekendgemaakt dat de hacktivistische groepen Dark Storm en Hider_Nex een alliantie zijn aangegaan. De twee groepen benadrukken in hun verklaring dat zij gezamenlijk een kracht zullen vormen die niet te stoppen is, met de intentie om wereldwijd invloed uit te oefenen. Hoewel deze groeperingen geen specifieke doelen voor België of Nederland noemen, wijst hun boodschap op de mogelijkheid van wereldwijde cyberdreigingen. Hacktivistische groepen richten zich vaak op vitale infrastructuren, en het is te verwachten dat ook Belgische en Nederlandse organisaties zich in de toekomst kunnen vinden op hun lijst van potentiële doelwitten. Deze nieuwe alliantie is een waarschuwing voor de stijgende dreiging van georganiseerde cyberaanvallen, die ook de cyberveiligheid in de Benelux-regio kunnen beïnvloeden. Het is essentieel om waakzaam te blijven en voorbereid te zijn op mogelijke cyberaanvallen die door dergelijke groepen kunnen worden uitgevoerd.

Hider_Nex en KGB hebben een nieuwe alliantie aangekondigd, waarbij beide groepen hun krachten bundelen onder de naam "Ragnarok". Ze beloven samen onstuitbaar te zijn en gerechtigheid te behalen. De alliantie wordt gepresenteerd als een krachtige samenwerking die de wereld zal schokken. Het bericht benadrukt dat, door deze samenwerking, de groepen ervan overtuigd zijn dat ze hun doelen kunnen bereiken en invloed kunnen uitoefenen op de wereld.

De hacktivistische groepen Dark Storm en de KGB hebben een officiële samenwerking aangekondigd, wat betekent dat ze zich verenigen in een nieuwe alliantie. Deze samenwerking wordt gepromoot als een kracht die "niets kan stoppen" en die zich richt op het bereiken van "rechtvaardigheid." De aankondiging is vergezeld van krachtige uitspraken zoals "Win us over, and our alliance WILL SHAKE UP THE WORLD." De visuele elementen van de afbeelding benadrukken de verbondenheid van beide groepen, met een agressieve en dreigende uitstraling. De boodschap is duidelijk: de alliantie tussen Dark Storm en KGB is bedoeld om de wereld te verstoren en een krachtige aanwezigheid te vestigen in de digitale ruimte.

Op 24 augustus 2025, de 34ste verjaardag van Oekraïne's onafhankelijkheid, hebben pro-Oekraïense hackers, vermoedelijk de Belarussische Cyber-Partizanen, de Russische tv-zenders gekaapt. Ze vervingen het reguliere programma met drie uur aan verontrustende beelden van de frontlinie, waarin de werkelijke situatie van de oorlog werd getoond. De beelden toonden onder andere de verliezen van het Russische leger, een brandstofcrisis in bezette gebieden van Donetsk en Oekraïense aanvallen op olie-installaties. De uitzending was te zien op 116 tv-kanalen, die 50.000 huishoudens bereikten. Deze cyberaanval was een duidelijk voorbeeld van hoe cyberoorlogvoering nu deel uitmaakt van de bredere geopolitieke conflicten, wat ook voor landen zoals Nederland en België belangrijke implicaties heeft in de context van digitale veiligheid en mogelijke dreigingen. De hacktivisten zijn niet officieel tot de aanval geëist, maar de betrokkenheid van de Belarussische Cyber-Partizanen wordt sterk vermoed, gezien hun eerdere acties tegen Russische doelwitten. Deze actie benadrukte de voortdurende strijd van Oekraïne voor onafhankelijkheid, terwijl het Russische leger blijft stagneren.

Bron 1

De groepen Hider_Nex en DieNet hebben een officiële alliantie aangekondigd, wat kan duiden op een versterkte samenwerking in cyberoperaties. De aankondiging werd gepromoot met de boodschap "NEW ALLIANCE", wat meestal een waarschuwing is voor mogelijke verhoogde activiteiten in cyberdreigingen, zoals aanvallen of datadiefstal. De visuele elementen in de aankondiging benadrukken de kracht van de samenwerking.

Hoewel er geen directe aanwijzingen zijn dat deze alliantie zich richt op België of Nederland, is het belangrijk om dergelijke ontwikkelingen in de gaten te houden. Groepen zoals Hider_Nex en DieNet kunnen zich snel uitbreiden naar andere regio’s, dus is het belangrijk om waakzaam te blijven voor mogelijke risico’s.

Let op, hoewel er momenteel geen bewijs is dat deze alliantie direct invloed heeft op onze regio, zou het verstandig zijn om alert te blijven voor nieuwe dreigingen.

De Koerdische hacktivistengroep Hezi Rash en Anonymous Russia hebben een officiële samenwerking aangekondigd. Beide groepen willen hun middelen, kennis en netwerken combineren om gezamenlijke cyberaanvallen uit te voeren. Hoewel er nog geen concrete doelen zijn genoemd, maakt de alliantie duidelijk dat hacktivisten steeds vaker internationale samenwerkingsverbanden aangaan om hun slagkracht te vergroten. Dit vergroot het risico dat ook NAVO-landen en Europese instellingen in de toekomst doelwit worden van gecoördineerde campagnes. Voor België en Nederland is dit vooral relevant in de bredere context van dreigingsbewustzijn: dergelijke internationale allianties versterken de positie van hacktivisten en maken hun acties moeilijker te voorspellen of af te slaan. Het nieuws onderstreept dat digitale dreigingen zich niet beperken tot één regio, maar in toenemende mate grensoverschrijdend zijn en daarmee ook West-Europa kunnen raken.

Mustang Panda, een geavanceerde APT-groep uit China, is al actief sinds 2014 en richt zich op overheden, non-profitorganisaties en religieuze instellingen wereldwijd. De groep voert doelgerichte spear-phishingaanvallen uit, gebruikmakend van geopolitieke en lokale taalomstandigheden om slachtoffers te lokken. Hun arsenaal omvat een reeks malwarefamilies, waaronder gevestigde tools zoals PlugX en Poison Ivy, evenals nieuwere varianten zoals FDMTP en PTSOCKET, die zijn ontworpen om moderne beveiligingssystemen te omzeilen. Mustang Panda is bijzonder effectief in het gebruik van legitieme Windows-hulpprogramma's zoals Msiexec.exe voor het uitvoeren van kwaadaardige payloads zonder detectie, evenals steganografische technieken om hun aanwezigheid te verbergen. Hun campagnes richten zich voornamelijk op langdurige inlichtingenverzameling, wat hen tot een blijvende bedreiging maakt voor kritieke infrastructuren wereldwijd. De groep breidt hun tactieken voortdurend uit en vormt een significante uitdaging voor de wereldwijde cyberbeveiliging.

Bron 1

De inlichtingendiensten van de VS, het VK en meer dan tien andere landen hebben de wereldwijde hackcampagnes van Salt Typhoon in verband gebracht met drie Chinese technologiebedrijven. Deze bedrijven zouden producten en diensten hebben geleverd aan het Chinese Ministerie van Staatsveiligheid en het Volksbevrijdingsleger, waarmee grootschalige cyberspionage mogelijk werd. Sinds 2021 richt Salt Typhoon zich op overheidsinstellingen, telecombedrijven, transport, defensie en de hotelbranche. Vooral telecommunicatiebedrijven zijn doelwit om privécommunicatie wereldwijd te onderscheppen.

De aanvallen maken gebruik van bekende, vaak al gepatchte kwetsbaarheden in netwerkapparatuur van onder meer Ivanti, Palo Alto en Cisco. Deze systemen worden ook veel gebruikt door organisaties in Nederland en België, wat dit onderwerp direct relevant maakt. Via internationale telecomnetwerken kunnen ook lokale bedrijven en instellingen indirect getroffen worden. Autoriteiten benadrukken daarom dat organisaties prioriteit moeten geven aan patchbeheer, strengere configuraties en monitoring om misbruik te voorkomen.

Bron 1, 2

Nederland is getroffen door de wereldwijde cyberspionagecampagne van de Chinese hackgroep Salt Typhoon. Dat bevestigen de MIVD en AIVD, die eigen informatie hebben verzameld naast het eerdere Amerikaanse onderzoek. De campagne richtte zich internationaal vooral op de telecomsector, maar in Nederland werden kleinere internet- en hostingproviders als doelwit geïdentificeerd. Uit onderzoek blijkt dat de hackers toegang kregen tot routers van deze organisaties, maar geen verdere penetratie in de interne netwerken konden realiseren. De AIVD, MIVD en het Nationaal Cyber Security Centrum hebben betrokken organisaties gewaarschuwd en dreigingsinformatie gedeeld. Volgens de diensten toont dit incident opnieuw de toenemende dreiging vanuit China, waarbij de geavanceerde technieken van dergelijke staatsgesteunde groepen blijvende aandacht en inzet vereisen. Het volledig uitsluiten van risico’s is volgens de diensten niet mogelijk, waardoor de digitale weerbaarheid van Nederland voortdurend onder druk staat.

Bron 1

De FBI heeft bekendgemaakt dat de door China gesteunde hackgroep Salt Typhoon bij zeker tweehonderd Amerikaanse organisaties en bedrijven in tachtig andere landen is binnengedrongen. Ook Nederlandse internet- en hostingproviders behoren tot de slachtoffers, zo bevestigden de AIVD en MIVD. Volgens de FBI gaat het om een grootschalige en ongebruikelijke campagne, omdat betrokken Chinese bedrijven zelf doelwitten mochten kiezen. Dit leidde tot een groot aantal slachtoffers verspreid over uiteenlopende sectoren, waaronder telecom, overheid, transport, defensie en hotelketens. De aanvallers maakten misbruik van bekende kwetsbaarheden in routers, waarbij organisaties vaak nalieten tijdig updates te installeren. Het gaat volgens de FBI niet slechts om traditionele cyberspionage, maar om bredere en willekeurige aanvallen tegen vitale infrastructuur wereldwijd. Daarmee vormt Salt Typhoon een serieuze dreiging die internationale samenwerking en verscherpte beveiligingsmaatregelen noodzakelijk maakt.

Bron 1

Het Amerikaanse ministerie van Financiën heeft nieuwe sancties ingesteld tegen twee personen en twee bedrijven die betrokken zijn bij Noord-Koreaanse IT-werknemersnetwerken. Deze netwerken plaatsen technici met valse of gestolen identiteiten bij Amerikaanse bedrijven, waarbij hun inkomsten naar Pyongyang vloeien ter financiering van het Noord-Koreaanse wapenprogramma. Naast het afromen van salarissen worden ook gevoelige gegevens gestolen of malware geïnstalleerd.

Een Russische tussenpersoon, Vitaliy Andreyev, zou bijna 600.000 dollar hebben witgewassen via cryptovaluta, terwijl de Noord-Koreaanse diplomaat Kim Ung Sun hielp bij het doorsluizen van deze gelden. Ook werden een Chinees dekmantelbedrijf en de Korea Sinjin Trading Corporation, gelieerd aan het Noord-Koreaanse leger, gesanctioneerd. De maatregelen bevriezen alle Amerikaanse tegoeden en verbieden transacties door Amerikaanse burgers en bedrijven.

Met deze stap wil Washington niet alleen de financiële netwerken van Noord-Korea verstoren, maar ook buitenlandse partijen afschrikken om zaken te doen met dit soort schijnbedrijven.

Bron 1, 2

Amazon heeft een digitale aanvalscampagne van de Russische hackergroep APT29 verstoord. Deze groep, ook bekend als Cozy Bear en gelinkt aan de Russische inlichtingendienst SVR, gebruikte zogeheten watering hole-aanvallen. Daarbij werden legitieme websites gecompromitteerd om bezoekers ongemerkt door te sturen naar kwaadaardige domeinen die leken op Cloudflare-pagina’s. Ongeveer tien procent van de bezoekers werd hierdoor misleid. Het doel was slachtoffers zover te krijgen dat zij een legitieme Microsoft device code invoerden, waarmee de aanvallers toegang tot hun accounts en gegevens konden verkrijgen.

De campagne maakte gebruik van verbergtechnieken zoals Base64-codering, cookies om herhaalde redirects te voorkomen en het snel wisselen van infrastructuur. Ondanks pogingen om uit te wijken naar andere cloudproviders wist Amazon de activiteiten te blijven volgen en blokkeren. Het incident onderstreept de voortdurende verfijning van APT29 in het verzamelen van inloggegevens en het uitvoeren van spionageactiviteiten. APT29 heeft in het verleden ook West-Europese en Nederlandse doelwitten aangevallen, zoals ministeries en onderzoeksinstellingen, waardoor de gebruikte methoden ook in onze regio risico’s met zich meebrengen.

Bron 1

Onderzoekers hebben vastgesteld dat Noord-Koreaanse IT-werkers steeds vaker populaire codeplatforms zoals GitHub en CodeSandbox gebruiken om geloofwaardige profielen op te bouwen. Deze accounts bevatten ogenschijnlijk legitieme open-source projecten, maar blijken vaak verborgen malware mee te leveren. Het doel is zowel financieel gewin als toegang tot internationale bedrijven via schijnbaar onschuldige opdrachten op afstand. In werkelijkheid dienen deze projecten als toegangspoort voor geavanceerde cyberaanvallen.

De aanvallers maken gebruik van moderne technologieën zoals React.js, Node.js en Docker om vertrouwen te wekken bij potentiële opdrachtgevers. In werkelijkheid bevatten sommige pakketten gemaskeerde modules die remote access trojans installeren. Bedrijven die dergelijke pakketten integreren, riskeren dat hun netwerken en cloudomgevingen ongemerkt worden overgenomen. In een concreet geval werd een bibliotheek gebruikt om via WebSocket-verbindingen inloggegevens buit te maken.

Ook Belgische en Nederlandse organisaties lopen risico, aangezien open-source pakketten en CI/CD-platforms hier intensief worden gebruikt. Dit onderstreept de noodzaak van grondige controles van afhankelijkheden en installatie-scripts om supply-chain aanvallen te voorkomen.

Bron 1

De hacktivistische groepen Fire Wire en Keymous Plus hebben aangekondigd een nieuwe alliantie te vormen. In hun gezamenlijke verklaring benadrukken zij dat de samenwerking gebaseerd is op vertrouwen, kracht en een gedeelde missie. Door hun krachten te bundelen willen beide groepen hun positie binnen de hacktivistische gemeenschap versterken en effectiever optreden tegen hun doelwitten. Hoewel de precieze plannen en acties van deze alliantie nog niet duidelijk zijn, onderstreept de aankondiging dat er sprake is van een bewuste strategie om de invloed van beide teams te vergroten. Dit soort samenwerkingen kan leiden tot een toename in gecoördineerde cyberaanvallen, wat de dreiging voor organisaties en instellingen wereldwijd verder vergroot. De ontwikkeling laat zien dat hacktivistische groepen steeds vaker netwerken vormen om hun slagkracht en zichtbaarheid te vergroten.

De Chinese ambassadeur in België, Fei Shengchao, stelt in een interview dat Taiwan onlosmakelijk deel uitmaakt van China en dat hereniging een kwestie van tijd is. Hij benadrukt de sterke economische band met België, maar hekelt Europese beperkingen op technologie-export en verzet zich tegen extra EU-heffingen op Chinese elektrische auto’s. Over beschuldigingen van cyberspionage en Huawei zegt hij dat er geen hard bewijs of veroordelingen zijn en dat lopende dossiers, zoals het Barracuda-lek, niet op voorhand mogen worden toegewezen aan China. Met betrekking tot Oekraïne noemt hij China officieel neutraal: handel met zowel Rusland als Oekraïne maakt snelle vredesbesprekingen wenselijk; ‘dual-use’ leveringen zouden ook uit het Westen komen. Over de Oeigoeren verwerpt hij meldingen van heropvoedingskampen als desinformatie. Tot slot pleit hij voor meer uitwisseling tussen Europa en China om misverstanden en stereotypen te doorbreken en benadrukt hij dat China “open for business” is.

Waarom dit interview ook voor ons van belang is

De uitspraken van de Chinese ambassadeur raken direct aan Belgische en Nederlandse belangen. In België loopt een gerechtelijk onderzoek naar Chinese hackers die vertrouwelijke documenten van de staatsveiligheid zouden hebben gestolen. Daarnaast is de economische band sterk: België is de zevende handelspartner van China binnen de EU, met een handelsvolume van ongeveer 100 miljoen dollar per dag. Ook Nederland wordt geraakt door Europese maatregelen tegen Chinese elektrische auto’s en de afhankelijkheid van zeldzame aardmetalen, cruciaal voor de Europese industrie. Tenslotte spelen zorgen over Chinese technologie, zoals Huawei en omvormers voor zonnepanelen, in beide landen een rol. Dit maakt het interview niet enkel een geopolitieke kwestie, maar ook een concreet thema dat onze regio direct beïnvloedt.

Bron 1

De hacktivistische groepen Meduza Cyber Force en CyTZero hebben aangekondigd een officiële alliantie te vormen. Beide groepen staan bekend om hun digitale aanvallen met politieke en ideologische motieven, en door hun samenwerking willen ze hun slagkracht vergroten. Volgens de verklaring markeert dit partnerschap het begin van een nieuw tijdperk in hacktivisme, waarbij gezamenlijke acties en gecoördineerde campagnes de impact van hun aanvallen moeten versterken. Voor België en Nederland is dit relevant omdat hacktivistische groepen in het verleden al West-Europese overheden, bedrijven en maatschappelijke instellingen hebben geviseerd. Door deze alliantie neemt de kans toe dat ook organisaties in onze regio met complexere en beter georganiseerde aanvallen te maken krijgen. Deze ontwikkeling past binnen een bredere trend waarbij hacktivistische groepen vaker strategische samenwerkingen aangaan om hun doelen te realiseren.

In de dynamische wereld van cyberdreigingen is het essentieel om altijd up-to-date te blijven. Elke dag brengen nieuwe aanvallen, kwetsbaarheden en geopolitieke ontwikkelingen nieuwe risico's voor bedrijven, overheden en individuen in België en Nederland. Het Dagelijks Cyber Journaal van Cybercrimeinfo biedt jou de kans om snel de belangrijkste gebeurtenissen van de afgelopen dag te volgen, met een focus op de regio. Dit journaal verschijnt dagelijks tussen 12:00 en 14:00 uur, behalve op zondag. Of je nu een professional bent die zijn beveiliging wil versterken of gewoon geïnteresseerd bent in de laatste trends, met dit journaal ben je altijd goed geïnformeerd. Ontdek het nu en blijf voorbereid op alles wat de digitale wereld te bieden heeft.

👉 https://www.ccinfo.nl/het-cyber-journaal