Cyberoorlog 2025 september

Bulgarije stelt dat het gps-signaal rond de luchthaven waar Ursula von der Leyen zondag zou landen doelbewust is verstoord, en spreekt van een openlijke vorm van hybride oorlogsvoering. Het incident past volgens Sofia in een bredere trend van gps-jamming en spoofing in de regio, waarbij civiele en militaire navigatiesystemen tijdelijk onbetrouwbaar worden. Hoewel de afkeuring groot is, blijft optreden lastig: de dader aanwijzen is technisch en juridisch complex, bewijs is vaak indirect en de verstoringen blijven meestal net onder de drempel van een directe militaire escalatie. Luchtvaartmaatschappijen en luchtverkeersleiding schakelen in zulke situaties over op alternatieve procedures, maar de veiligheidsmarges komen onder druk te staan en vertragingen nemen toe. Europese instanties dringen aan op betere detectie, redundante navigatie en informatie-uitwisseling, maar erkenden grenzen aan afdwinging buiten eigen luchtruim. Het voorval onderstreept de groeiende zichtbaarheid van hybride tactieken die politieke signalen combineren met moeilijk te sanctioneren technische verstoringen.

Bron 1

De Navo beschouwt het verstoren van gps-signalen, zoals bij de vlucht van commissievoorzitter von der leyen, als een ernstige zaak. Volgens Navo-chef mark rutte werken bondgenoten “dag en nacht” aan maatregelen om herhaling te voorkomen, omdat dergelijke jamming potentieel grote veiligheidsrisico’s oplevert voor de luchtvaart. Het incident vond zondag plaats tijdens een vlucht van warschau naar plovdiv, waar rond de luchthaven het gps-signaal wegviel. De bulgaarse autoriteiten achten rusland de hoofdverdachte, al is daar nog geen officiële reactie op gekomen. Rutte plaatst het voorval in het bredere kader van cyber- en hybride dreigingen, waarbij staten proberen samenlevingen te ontwrichten zonder openlijk geweld. Binnen de Navo is beleid aangescherpt om effectiever te kunnen reageren op dit soort incidenten, onder meer door betere detectie, coördinatie en weerbaarheid van kritieke navigatiesystemen. Het voorval benadrukt de noodzaak van redundante navigatie en nauwe informatie-uitwisseling tussen lidstaten.

Bron 1

Onderzoekers koppelen het Oekraïense netwerk FDN3 (AS211736) aan grootschalige brute-force- en password-sprayingcampagnes op SSL-VPN- en RDP-systemen in juni en juli 2025, met een piek op 6–8 juli. FDN3 maakt volgens het onderzoek deel uit van een misbruikecosysteem met de Oekraïense netwerken VAIZ-AS (AS61432) en ERISHENNYA-ASN (AS210950) en het Seychelse TK-NET (AS210848). Deze autonome systemen wisselen IPv4-prefixen uit om blokkades te omzeilen en zijn gelinkt aan zogeheten bulletproof hostingpartijen, waaronder IP Volume Inc. en verschillende schijnbedrijven. Prefixhistorie wijst op overlap met Russische en Amerikaanse aanbieders (o.a. SibirInvest en Virtualine), wat duidt op één beheerder achter meerdere infrastructuren. De aanvallen functioneren als initiële toegang voor ransomware-as-a-servicegroepen zoals Black Basta, GLOBAL GROUP en RansomHub. Daarnaast werd een RPX-gebaseerd beheerplatform gezien dat vermoedelijk onderdeel is van de PolarEdge-botnetinfrastructuur of daarvoor wordt benut. De casus illustreert hoe offshore peering en prefixhosting malafide activiteiten faciliteren.

Bron 1

Een geavanceerde subgroep van Lazarus heeft de afgelopen maanden financiële en cryptobedrijven aangevallen met een strak gecoördineerde keten van drie RAT’s. Toegang begint via social engineering op Telegram, waarbij aanvallers zich voordoen als medewerkers van handelsfirma’s en slachtoffers naar nagemaakte vergaderwebsites (Calendly-/Picktime-klonen) lokken. Daar wordt mogelijk een Chrome-zero-day misbruikt om onopvallend code uit te voeren. Binnen het netwerk zet de groep eerst PondRAT in als loader, gevolgd door de uitsluitend in het geheugen draaiende ThemeForestRAT. Na verkenning en laterale beweging wissen ze sporen en plaatsen ze RemotePE voor duurzame toegang. De campagne gebruikt phantom DLL-hijacking via de Windows-service SessionEnv en een rollende XOR-versleuteling, wat detectie bemoeilijkt. De drie RAT’s ondersteunen bestandsmanipulatie, shellcode-injectie, RDP-sessiebewaking en beveiligde exfiltratie. Er zijn geen bevestigde Belgische of Nederlandse slachtoffers gemeld, maar de TTP’s zijn direct relevant voor organisaties in België en Nederland, vooral in finance/crypto en hun toeleveranciers.

Bron 1

Een groep Iraanse hackers heeft zich schuldig gemaakt aan een grootschalige spear-phishingcampagne, waarbij meer dan 100 gecompromitteerde e-mailaccounts van ambassades wereldwijd werden ingezet. Deze aanvallen waren gericht op diplomaten en overheidsmedewerkers, met het doel om gevoelige informatie te stelen. De aanvallers maakten gebruik van e-mails die zich voordeden als legitieme diplomatieke communicatie, vaak met betrekking tot de geopolitieke spanningen tussen Iran en Israël. De e-mails bevatten schadelijke Microsoft Word-documenten die een macro uitvoerden om malware te installeren zodra ontvangers deze inschakelden. De aanval richtte zich vooral op Europese en Afrikaanse ambassades, maar ook andere regio's werden getroffen. Het doel van de aanval was om persistente toegang te verkrijgen en systeeminformatie te verzamelen. Dit soort cyberespionage benadrukt de toenemende dreiging van Iran-gebonden cyberactiviteiten, vooral tijdens perioden van geopolitieke instabiliteit.

Bron 1

ERROR T4U51F en Red Wolf Cyber Team hebben officieel een samenwerking aangekondigd. Deze alliantie heeft als doel hun gezamenlijke inspanningen te versterken, hun bereik uit te breiden en nieuwe kansen te creëren. Beide groepen, die bekend staan om hun cyberactiviteiten, zullen samenwerken om hun invloed in de digitale wereld te vergroten. De samenwerking werd gepresenteerd met een visueel bericht dat de twee groepen als partners toont, versterkt door het gezamenlijke logo en de boodschap van hun nieuwe alliantie. Dit markeert een nieuwe fase in hun cyberoperaties en benadrukt de groeiende trend van samenwerking tussen hacktivistische groepen.

De Amerikaanse overheid heeft een beloning van maximaal 10 miljoen dollar uitgeloofd voor informatie over drie Russische medewerkers van de Federale Veiligheidsdienst (FSB), die betrokken zijn bij cyberaanvallen op Amerikaanse kritieke infrastructuur. De hackers zijn onderdeel van de militaire eenheid van de FSB en werden eerder al beschuldigd van aanvallen op Amerikaanse overheidsinstellingen en energiebedrijven, waaronder een kerncentrale in Kansas. Het trio heeft tevens wereldwijd meer dan 500 energiebedrijven in 135 landen aangevallen. De FSB-hackers hebben in recente aanvallen gebruikgemaakt van de CVE-2018-0171 kwetsbaarheid in Cisco-apparatuur om bedrijven in de VS en daarbuiten te infiltreren. De Amerikaanse overheid biedt deze beloning via het programma "Rewards for Justice" voor degene die helpt de hackers te identificeren of aan te houden.

Bron 1

Chinese APT-groepen, zoals Salt Typhoon en OPERATOR PANDA, gebruiken kwetsbaarheden in routers om langdurig toegang te krijgen tot telecommunicatie- en overheidsnetwerken wereldwijd. Ze richten zich voornamelijk op provider edge (PE) en customer edge (CE) routers van gerenommeerde leveranciers, waarbij ze openbare CVE’s misbruiken voor toegang. De aanvallen zijn complex, waarbij meerdere exploits worden gecombineerd om detectie te omzeilen. Ze beginnen vaak met het injecteren van een webcomponent en eindigen met het vastleggen van netwerkpakketten. Bij de aanvallen worden kwetsbaarheden zoals CVE-2024-21887 in Ivanti Connect Secure en CVE-2024-3400 in Palo Alto Networks PAN-OS GlobalProtect misbruikt voor remote code execution. Eenmaal binnen worden de aanvallers steeds verder doorgedrongen, waarbij oudere kwetsbaarheden worden benut om hun aanwezigheid te verankeren en gegevens zoals inloggegevens te verzamelen via aangepaste scripts. Dit stelt hen in staat om langdurig ongemerkt toegang te behouden tot netwerken.

Bron 1

De Amerikaanse autoriteiten hebben drie Russische mannen beschuldigd van aanvallen op meer dan vijfhonderd energiebedrijven verspreid over 136 landen. De mannen zouden voor de Russische geheime dienst FSB werken en onderdeel zijn van een groep die bekendstaat als "Dragonfly", "Energetic Bear" en "Crouching Yeti". De FBI en Cisco hebben onlangs gewaarschuwd voor misbruik van een zeven jaar oud lek in Cisco-software, dat door de aanvallers wordt gebruikt om vitale infrastructuren aan te vallen. Ze zouden duizenden netwerkconfiguratiebestanden van Amerikaanse entiteiten hebben verzameld, waarvan sommige ook werden aangepast om toegang te behouden. De Amerikaanse regering heeft een beloning van 10 miljoen dollar uitgeloofd voor informatie die leidt tot de identificatie van de verdachten. Dit komt na eerdere waarschuwingen en beloningen voor informatie over de aanvallers, die wereldwijd malware op meer dan 17.000 apparaten zouden hebben geïnstalleerd.

Bron 1

De Chinese hackersgroep 'Salt Typhoon' heeft een grootschalige cyberspionagecampagne uitgevoerd die wereldwijd tot in de telecomsector, overheden, transport en militaire infrastructuur reikte. De groep, die vermoedelijk ondersteund wordt door de Chinese staat, was al sinds 2019 actief en richtte zich op tachtig landen, waaronder de Verenigde Staten en Nederland. De aanval had als doel data te stelen, waarbij zelfs gegevens van bijna alle Amerikaanse burgers werden buitgemaakt. Het gebruik van kwetsbaarheden in netwerken stelde de hackers in staat om diep in systemen door te dringen, waarbij ze bijvoorbeeld sms-berichten konden afluisteren om verificatiecodes te verkrijgen. Experts waarschuwen dat de omvang van de operatie de digitale spionagecapaciteiten van China gelijkstelt aan die van de Verenigde Staten. In Nederland werden vooral kleinere telecomproviders aangevallen, zoals blijkt uit onderzoeken van de MIVD en AIVD.

Bron 1

De cyberdreiging NoisyBear richt zich op de Kazachse energie-infrastructuur, specifiek op KazMunaiGas (KMG), het nationale olie- en gasbedrijf. De groep maakt gebruik van geavanceerde phishingcampagnes die zich voordoen als interne communicatie over salarisroosters en beleidsupdates. De aanvallen bevatten gemanipuleerde ZIP-bestanden, die PowerShell-gebaseerde aanvalsketens activeren. Deze bestanden, die vaak worden gepresenteerd als HR-gerelateerde documenten, maken gebruik van vertrouwenssystemen en authenticiteit om medewerkers te misleiden. De malware wordt verder geïnstalleerd via PowerShell-scripts die verschillende bypasstechnieken gebruiken om beveiligingsmaatregelen te omzeilen. Het doel van deze aanvallen is niet alleen datadiefstal, maar ook het langdurig verkrijgen van toegang tot kritieke netwerken. De Russische oorsprong van de aanvallen wordt vermoed, gezien de gebruikte taal in de code en de geopolitieke focus op Centraal-Aziatische energiebronnen. De aanvallen hebben ernstige implicaties voor de nationale energie-infrastructuur en economische stabiliteit.

Bron 1

Het Russische hackercollectief APT28 heeft een nieuwe Outlook-backdoor genaamd NotDoor geïntroduceerd. Deze backdoor richt zich op bedrijven in NAVO-landen en maakt gebruik van een VBA-macro in Outlook om binnenkomende e-mails te monitoren en specifieke trefwoorden te detecteren. Wanneer een e-mail met een gezochte trigger wordt gevonden, stelt het de aanvaller in staat om gegevens te stelen, bestanden te uploaden en commando's uit te voeren op het geïnfecteerde systeem. De malware wordt via een techniek genaamd DLL-side-loading via Microsoft OneDrive geïnstalleerd. Het creëert een verborgen folder op het systeem om gestolen gegevens naar een ProtonMail-adres te sturen. Daarnaast ondersteunt NotDoor vier commando’s, waaronder het uitvoeren van opdrachten en het exfiltreren van bestanden. De gebruikte technieken maken het moeilijk om de aanval te detecteren, wat de dreiging vergroot.

Bron 1

In de afgelopen maanden is er een toename van cyberaanvallen door Noord-Koreaanse dreigingsactoren, die gebruikmaken van geavanceerde social engineering-technieken. Hun campagne, genaamd "Contagious Interview", richt zich op professionals in de cryptocurrency-industrie. De slachtoffers worden misleid door een sollicitatieprocedure voor fictieve bedrijven, die hen vervolgens dwingt schadelijke scripts uit te voeren. Deze actoren onderhouden een groot netwerk van infrastructuur en vervangen snel gecompromitteerde domeinen om detectie te vermijden. Dit gebeurt door het registreren van nieuwe domeinen en het creëren van websites die slachtoffers ertoe aanzetten kwaadaardige shell-opdrachten uit te voeren. Het resultaat is een volledige compromittering van hun systemen, waarbij inloggegevens worden gestolen. De operatie is zeer geautomatiseerd en goed georganiseerd, waarbij gebruik wordt gemaakt van platforms zoals Slack voor coördinatie. Deze tactieken zijn een indicatie van de verfijning en doorzettingsvermogen van Noord-Koreaanse actoren in hun cyberaanvallen.

Bron 1

Rusland heeft een lijst gepubliceerd van lokaal ontwikkelde apps die tijdens internetblackouts operationeel blijven, waaronder sociale media, taxi-apps en online overheidsdiensten. Deze blackouts worden regelmatig ingezet om Oekraïense drone-aanvallen te verstoren. De lijst bevat onder andere de Mir-betaalsystemen en de staats gesteunde berichtenapp MAX, maar sluit buitenlandse diensten zoals WhatsApp van Meta uit. De Russische regering verklaarde dat lokale apps verder kunnen functioneren dankzij een "speciale technische oplossing". Het doel is de impact van internetuitval te verminderen voor burgers, zonder expliciete vermelding van Oekraïne of drones. Rusland probeert zijn controle over het lokale internet verder te versterken en buitenlandse apps te beperken, wat de al bestaande spanning tussen Moskou en buitenlandse techbedrijven sinds de Oekraïne-oorlog verergert. Dit is een onderdeel van een bredere strategie om de afhankelijkheid van buitenlandse technologieën te verminderen.

Bron 1

Defecte internetkabels in de Rode Zee hebben geleid tot verstoringen in de internetverbindingen van India, Pakistan en de Verenigde Arabische Emiraten. Microsoft meldde dat hun clouddienst Azure vertragingen vertoonde door het beschadigen van twee belangrijke glasvezelkabels die van Marseille naar Singapore en Mumbai lopen. Deze kabels zijn essentieel voor het internetverkeer tussen Europa en Azië. Het incident, dat plaatsvond in de buurt van de Saudische havenstad Jeddah, veroorzaakte trager internetverkeer, maar lijkt inmiddels opgelost te zijn. Er is nog onduidelijkheid over de oorzaak van de schade, waarbij sabotage of een ongeluk niet uitgesloten zijn. Eerdere incidenten, zoals de beschuldigingen tegen de Houthi’s voor het vernielen van internetkabels in 2024, werpen een schaduw over de kwetsbaarheid van deze belangrijke infrastructuur. De gevolgen van de verstoringen voor de gebruikers en Microsoft zelf zijn momenteel niet volledig bekend.

Bron 1

De Lazarus APT-groep, bekend om zijn cyberaanvallen, heeft zijn aanvallen verder geavanceerd door de ClickFix-techniek te integreren. Deze techniek maakt gebruik van sociale manipulatie waarbij slachtoffers valse technische problemen voorgeschoteld krijgen, waarna ze door een “oplossing” worden geleid die uiteindelijk schadelijke software installeert. De groep, die wordt gekoppeld aan Noord-Korea, heeft de ClickFix-techniek toegepast in hun bestaande infrastructuur voor valse wervingscampagnes. Hierdoor wordt malware verspreid, waaronder de BeaverTail informatie-stealer, via vervalste vacaturesites. De aanvallen richten zich zowel op Windows- als macOS-systemen, waarbij aangepaste kwaadaardige code wordt uitgevoerd afhankelijk van het besturingssysteem. De malware zorgt voor persistente toegang tot de getroffen systemen door bestanden in het opstartregister te plaatsen, zodat de aanvallen bij herstart van de systemen kunnen doorgaan. Deze aanvallen zijn een voorbeeld van de verfijnde manieren waarop Lazarus nu gebruik maakt van technische misleiding om toegang te krijgen tot waardevolle gegevens.

Bron 1

De hacktivistische groepen Hider_Nex en Digital Ghost hebben een nieuwe alliantie aangekondigd. Deze samenwerking kan leiden tot een verhoogde cyberactiviteit, waarbij de groepen gezamenlijk doelen kunnen aanvallen, mogelijk als reactie op politieke of sociale kwesties. Hacktivisme, waarbij cyberaanvallen worden uitgevoerd uit ideologische motieven, heeft wereldwijd steeds meer aandacht getrokken door de groei van grootschalige cyberoperaties. De samenwerking van deze twee groepen vergroot de dreiging voor organisaties en overheden die doelwitten kunnen worden van hun acties. De nadruk ligt op het versterken van de capaciteiten van hacktivisten om wereldwijd een impact te maken door middel van digitale aanvallen.

In september 2025 leidde een groot datalek, geassocieerd met de hackergroep "Kim", tot de onthulling van geavanceerde aanvallen door Kimsuky (APT43). Het lek, dat onder andere terminalgeschiedenissen, phishingdomeinen en rootkits omvat, toont een gerichte campagne gericht op Zuid-Koreaanse PKI-systemen en Taiwanese academische netwerken. De gegevens onthullen hoe Kimsuky gebruik maakt van geavanceerde technieken zoals shellcode-ontwikkeling en real-time TLS proxies voor het onderscheppen van inloggegevens. De cybercriminelen benutten open-source tools en creëerden gepersonaliseerde rootkits om persistentie te behouden in systemen. Dit gebruik van zowel oude als nieuwe technieken benadrukt een evolutie in hun aanpak, met een combinatie van traditionele rootkits en complexe phishinginfrastructuur. De aanval richtte zich niet alleen op Zuid-Korea, maar ook op Taiwan, waarbij gevoelige informatie zoals cryptografische sleutels werd gestolen. Dit benadrukt de groeiende geavanceerdheid van Kimsuky in cyberaanvallen.

Bron 1

HugBunter heeft recent aangekondigd dat hij een nieuwe golf van DDoS-aanvallen (Distributed Denial of Service) heeft gelanceerd. Deze aanvallen zouden gericht zijn op verschillende doelen binnen de darkwebgemeenschap. Ondanks deze aanvallen, heeft HugBunter benadrukt dat DrugHub, een marktplaats op Dread, niet in gevaar is en dat er op dit moment geen dreiging voor de site bestaat. De verklaring lijkt bedoeld om ongerustheid onder gebruikers van DrugHub te verminderen, die zich mogelijk zorgen maakten over de gevolgen van de aanhoudende aanvallen. De aanvalsgolven zijn echter een indicatie van de gespannen situatie binnen de darkweb-marktplaatsen, waar rivaliteit en cyberaanvallen een veelvoorkomend probleem zijn.

Ruimtevaart heeft zich de afgelopen jaren steeds meer gemanifesteerd als een strategisch element in de defensie-industrie. Satellieten spelen een cruciale rol in militaire operaties, zoals communicatie en navigatie. Hierdoor dreigt er een wapenwedloop in de ruimte, vooral tussen de Verenigde Staten, China en Rusland. Tijdens de "Outer Space Security Conference" in Genève wordt gesproken over de groeiende bezorgdheid rondom militaire toepassingen van ruimtevaarttechnologie. Ondanks de spanningen is er echter nog hoop om de vrede in de ruimte te bewaren, met de nadruk op het principe van vreedzaam gebruik van ruimte, zoals vastgelegd in het internationaal recht. De aanwezigheid van commerciële spelers, zoals SpaceX, roept vragen op over de wenselijkheid van hun invloed in geopolitieke conflicten, vooral gezien hun rol in de oorlog tussen Rusland en Oekraïne. Het debat over de controle van commerciële bedrijven in de ruimte wordt steeds relevanter.

Bron 1

Een recente analyse heeft 45 tot nu toe niet gemelde domeinen blootgelegd die verband houden met de Salt Typhoon cyberespionage-groep, actief sinds 2019 en vermoedelijk gefinancierd door China. Deze groep heeft verschillende telecomdiensten, vooral in de VS, doelwit gehad. De domeinen dateren terug tot mei 2020 en bevestigen dat Salt Typhoon al eerder actief was dan de bekend geworden aanvallen van 2024. De ontdekte infrastructuur vertoont overlap met een andere China-gerelateerde groep, UNC4841, die bekend staat om het misbruiken van kwetsbaarheden in Barracuda-apparatuur. De oudste van de geïdentificeerde domeinen werd in mei 2020 geregistreerd en wees op cyberespionagecampagnes van China. De ontdekte gegevens suggereren dat organisaties die mogelijk doelwit zijn van deze groep hun DNS-logboeken van de afgelopen vijf jaar moeten doorzoeken op verdachte activiteiten van deze domeinen.

Bron 1

In 2024 begonnen onderzoekers een geavanceerde cyberaanval te volgen die gericht was op zowel overheids- als bedrijfsnetwerken wereldwijd. De aanvallers, bekend als Salt Typhoon en UNC4841, gebruikten gedeelde infrastructuur en overlappende tactieken om onopgemerkt toegang te krijgen en langdurig in systemen aanwezig te blijven. De aanvallen maakten gebruik van ongedichte kwetsbaarheden voor remote code execution (RCE) in servers die openbaar toegankelijk waren. De aanvallers introduceerden op maat gemaakte backdoors, waaronder Demodex, en gebruikten daarna tools zoals Snappybee en Ghostspider om zich te verbergen binnen legitiem netwerkverkeer. De infectie begon vaak via een zero-day kwetsbaarheid in e-mailgateways, waarna de aanvallers hun toegang consolideerden met rootkits en andere persistentie-mechanismen. Beide hackergroepen deelden infrastructuur en gebruikten identieke domeinen, wat duidt op een gecoördineerde samenwerking. Organisaties wordt geadviseerd om hun netwerkverkeer en WHOIS-gegevens te controleren om verdachte activiteiten vroegtijdig te detecteren.

Bron 1

APT37, een Noord-Koreaanse cyberdreiging, heeft zijn aanvalstechnieken versterkt met nieuwe malware die gericht is op Windows-systemen. Dit hackercollectief, actief sinds 2012, heeft zijn arsenaal uitgebreid met de Rust-gebaseerde Rustonotto backdoor en Python-gebaseerde injectieaanvallen die het surveillance-instrument FadeStealer uitvoeren. Deze aanvallen beginnen met spear-phishing e-mails die kwaadaardige Windows snelkoppelingen of CHM-bestanden bevatten. Zodra gecompromitteerd, wordt een reeks malwarecomponenten geïnstalleerd via een enkele command-and-control server. De groep gebruikt de Rust-taal voor de ontwikkeling van lichte backdoors die multi-platform-aanvallen mogelijk maken. FadeStealer voert uitgebreide surveillance uit, waaronder keylogging en het nemen van schermafbeeldingen. De meest geavanceerde injectie technieken maken gebruik van Process Doppelgänging en TransactedHollowing, waardoor de malware moeilijker te detecteren is. Deze voortdurende verfijning van sociale engineering en technische methoden onderstreept de toegenomen dreiging van APT37.

Bron 1

In het huidige conflict tussen Rusland en Oekraïne zijn datingapps meer dan een platform voor romantiek geworden; ze dienen als een spionagetool. Oekraïense vrouwen maken gebruik van nepprofielen om Russische soldaten te misleiden en gevoelige informatie te verkrijgen die naar de Oekraïense inlichtingendiensten wordt doorgestuurd. Dit heeft geleid tot oproepen in de Russische Doema om strengere regels te hanteren voor deze apps, mogelijk met een staatsversie, gelinkt aan het Russische DigiD-systeem. Tegelijkertijd wordt in Oekraïne geen verbod op datingapps overwogen, ondanks dat ook Rusland dergelijke tactieken toepast om Oekraïense soldaten te manipuleren. Het gebruik van datingapps voor spionage maakt de digitale oorlog complexer en werpt vragen op over de effectiviteit van deze methoden. De voortdurende afhankelijkheid van smartphones door Russische soldaten voor communicatie, ondanks de risico’s, speelt hierbij een cruciale rol in de tactieken van beide landen.

Bron 1

Een hacker groep, gelinkt aan China, heeft op 7 september 2025 een serie phishing-aanvallen uitgevoerd op Amerikaanse handelsfunctionarissen en organisaties die betrokken zijn bij de diplomatieke onderhandelingen tussen de VS en China. Deze aanvallen zijn vermoedelijk uitgevoerd door de APT41-groep, die bekendstaat om zijn cyberespionagecampagnes. De aanvallers gebruikten e-mails die afkomstig leken van congreslid John Robert Moolenaar, een criticus van het Chinese regime, om slachtoffers te misleiden. De bijgevoegde bestanden bevatten malware die toegang verschafte tot gevoelige gegevens en systemen. Het doel van de aanvallen was het stelen van waardevolle informatie, mogelijk om strategische voordelen te behalen in de handelsoverleggen. De Amerikaanse overheid heeft deze aanvallen als een voortzetting van de staatsgesponsorde cyberoperaties van China beschouwd, die gericht zijn op het beïnvloeden van Amerikaanse beleidsbeslissingen.

Bron 1, 2

De afgelopen jaren is de dreiging van hacktivisme en geopolitieke APT-groepen die Russische organisaties aanvallen, steeds groter geworden. Dit rapport onderzoekt de tactieken, technieken en procedures (TTP's) van deze groepen, die sterk zijn verbonden met de lopende geopolitieke conflicten, met name de oorlog in Oekraïne. Er wordt gesignaleerd dat hacktivisten zich steeds vaker verbinden met financieel gemotiveerde groepen, wat leidt tot gezamenlijke aanvallen. Deze samenwerking heeft verstrekkende gevolgen, niet alleen voor bedrijven, maar ook voor burgers, doordat het de veiligheid van financiële systemen, persoonlijke gegevens en essentiële diensten ondermijnt. Het rapport categoriseert de betrokken groepen in drie clusters, elk met eigen tactieken en doelstellingen. Deze bevindingen kunnen wereldwijd worden gebruikt om beter voorbereid te zijn op toekomstige aanvallen, en worden gedeeld als waardevolle informatie voor beveiligingsprofessionals.

Bron 1

Op 11 september 2025 hebben de hacktivistengroepen OverloadX Team Hacker en CyberVolk officieel een nieuwe alliantie aangekondigd. Deze samenwerking heeft als doel om gezamenlijke cyberaanvallen uit te voeren tegen doelwitten die zij beschouwen als vijanden van hun ideologieën. De groepen richten zich voornamelijk op organisaties en instellingen die volgens hen verantwoordelijk zijn voor verschillende mondiale conflicten en mensenrechtenschendingen. De alliantie wordt gezien als een versterking van hun krachten op het gebied van cyberaanvallen en politieke invloed. Hacktivisme blijft een groeiend fenomeen, waarbij deze groepen hun cybercapaciteiten gebruiken om zowel digitale schade aan te richten als politieke boodschappen over te brengen.

De Koninklijke Landmacht heeft een nieuw bataljon opgericht dat zich richt op cyberoorlogvoering. Het 101 CEMA-bataljon zal vanaf deze week officieel operationeel zijn, met als doel de militaire capaciteiten in de digitale sfeer te versterken. Hackers worden ingezet om digitale aanvallen van vijanden te neutraliseren en strategisch voordeel te behalen in moderne conflicten. Volgens de commandant van het bataljon zijn traditionele militaire middelen zoals tanks niet voldoende om digitale dreigingen aan te pakken. Het gebruik van hackers wordt daarom essentieel in de strijd om de controle over de informatiestromen en netwerken van de vijand. Het bataljon zal naar verwachting in toekomstige missies actief zijn en is een belangrijk onderdeel van de bredere militaire innovatiestrategie van Nederland.

Bron 1

Een Chinese APT-groep heeft de Filipijnen aangevallen met een onbekend type malware, genaamd EggStreme. Deze malware is fileless, wat betekent dat de kwaadaardige code direct in het geheugen wordt geladen zonder sporen achter te laten op de harde schijf. Het wordt gebruikt om op een subtiele manier langdurige spionage mogelijk te maken, door eerst systeeminformatie te verzamelen en later via verschillende stadia de aanval te escaleren. Het belangrijkste component, EggStremeAgent, fungeert als een backdoor en kan data stelen door onder andere toetsaanslagen te registreren. Deze aanval sluit aan bij eerdere Chinese hackpogingen tegen de Filipijnen, wat deels wordt verklaard door de geopolitieke spanningen rondom de Zuid-Chinese Zee. Door gebruik te maken van geavanceerde technieken zoals DLL-side-loading en meerdere C2-servers, is de malware moeilijk te detecteren en blijft het een persistente dreiging voor de getroffen systemen.

Bron 1

CyberVolk ransomware, die in mei 2024 opdook, richt zich op overheidsinstellingen en kritieke infrastructuur in landen die als vijandig tegenover Russische belangen worden beschouwd. De malware gebruikt een geavanceerd dual-laag versleuteling proces en heeft aanzienlijke verstoringen veroorzaakt in wetenschappelijke instellingen en publieke diensten in Japan, Frankrijk en het Verenigd Koninkrijk. De aanvallers communiceren via Telegram en eisen een losgeld van $20.000 in Bitcoin, met de dreiging om gegevens te vernietigen als er geprobeerd wordt bestanden te herstellen. De aanvallen beginnen vaak met phishing of het misbruiken van beheerderswachtwoorden, waarna de ransomware via verhoogde rechten toegang krijgt. Het versleutelen van bestanden wordt uitgevoerd met een complexe combinatie van AES-256 en ChaCha20-Poly1305, waarbij een fout in het decryptieproces slachtoffers misleidt om losgeld te betalen zonder dat gegevens kunnen worden hersteld.

Bron 1

Op 11 september 2025 werd bekendgemaakt dat de hacktivistische groepen BD Anonymous Team en SnowSec een formele alliantie zijn aangegaan. Deze samenwerking heeft als doel gezamenlijke cyberoperaties uit te voeren en hun invloed in de cyberdreigingsruimte te versterken. Beide groepen hebben een geschiedenis van betrokkenheid bij verschillende cyberaanvallen en -operaties, vaak met politieke motieven. De alliantie markeert een versterking van de hacktivistische beweging, die steeds vaker wordt ingezet voor cyberaanvallen met sociale en politieke doeleinden. Deze ontwikkeling heeft belangrijke implicaties voor de wereld van cybersecurity, aangezien het de complexiteit van dreigingen vergroot en de noodzaak voor strengere verdediging vergroot.

Een voormalige medewerker van de Moldavische Informatie- en Veiligheidsdienst is op 8 september 2025 in Roemenië gearresteerd na beschuldigingen van het doorspelen van staatsgeheimen aan de Belarusische geheime dienst. De man had van 2024 tot 2025 regelmatig vertrouwelijke informatie overgedragen aan Belarusische agentschappen, in ruil voor een onbekend bedrag. Hij had toegang tot hooggeheime documenten door zijn eerdere leidinggevende functie. De arrestatie volgde op een gezamenlijke operatie van de politiediensten van Roemenië, Tsjechië en Hongarije, met de steun van Europol en Eurojust. Deze zaak benadrukt het belang van internationale samenwerking bij het onderzoeken van cybercriminaliteit en spionage. De verdachte had tijdens ontmoetingen in Boedapest in 2024 en 2025 gevoelige informatie gedeeld, wat een ernstige bedreiging voor de nationale veiligheid van Roemenië vormde.

Bron 1

De hacktivistische groepen OverloadX Team Hacker en TEAM FEARLESS hebben officieel hun samenwerking aangekondigd. Deze nieuwe alliantie is bedoeld om hun gezamenlijke hacktivistische doelen te bevorderen, waarbij ze waarschijnlijk gebruik gaan maken van elkaar's expertise en middelen. De focus van de groepen ligt op digitale aanvallen die politieke en sociale kwesties ondersteunen. Aangezien hacktivisme vaak wordt ingezet tegen overheden of organisaties die als tegenstanders van hun ideologie worden gezien, wordt verwacht dat deze alliantie zich zal richten op een breed scala aan doelwitten. Het blijft voorlopig onduidelijk welke specifieke aanvallen of campagnes de alliantie op de planning heeft staan, maar de oprichting van deze samenwerking onderstreept de groeiende invloed van georganiseerde hacktivistische groepen.

De hacktivistische groepen BD Anonymous en MR_M44Z hebben op 12 september 2025 een nieuwe alliantie aangekondigd, gericht op gezamenlijke cyberaanvallen. Deze samenwerking zal naar verwachting de digitale dreigingen in de komende maanden verergeren. BD Anonymous en MR_M44Z, bekend om hun eerdere hacktivistische acties tegen overheden en bedrijven, bundelen hun krachten om hun invloed in de cyberwereld te vergroten. De alliantie kan de gevolgen voor kritieke infrastructuren versterken, aangezien beide groepen zich richten op gevoelige doelen. De aankondiging komt in een tijd waarin hacktivistische groepen steeds actiever worden in hun digitale campagnes, vaak met politieke en sociale doelen als drijfveren. De hacktivistische beweging lijkt sterker dan ooit, met deze nieuwe samenwerking als een mogelijke aanwijzing voor een intensivering van hun activiteiten in de nabije toekomst.

In mei 2025 legde de Europese Unie sancties op tegen de eigenaren van Stark Industries Solutions, een hostingbedrijf dat verbonden is met cyberaanvallen en desinformatiecampagnes van Rusland. Ondanks de sancties blijkt het bedrijf zich effectief te hebben herkend door rebranding en de overdracht van zijn assets naar andere entiteiten. Het oorspronkelijke hostingbedrijf Stark Industries werd omgedoopt tot the.hosting en ondergebracht bij een Nederlandse entiteit, WorkTitans BV. De verhuizing naar een nieuwe Moldavische entiteit, PQ Hosting Plus, zou ook een poging zijn om de herkomst van de infrastructuur te verbergen. Ondanks de sancties blijft de operatie vrijwel ongestoord doorgaan, wat de effectiviteit van dergelijke maatregelen in twijfel trekt. Een ander belangrijk aspect van de operatie blijkt de Nederlandse hostingprovider MIRhosting te zijn, die nauw verbonden is met de hergebruikte infrastructuur van Stark.

Bron 1

De Sidewinder hacker groep, ook bekend als APT-C-24, heeft haar aanvalsmethodes verfijnd door gebruik te maken van LNK-bestanden in phishingcampagnes. Deze aanvallen richten zich voornamelijk op overheids-, energie-, militaire- en mijnbouwsectoren in Zuid-Azië. In plaats van de traditionele Microsoft Office-exploitatie, maakt de groep nu gebruik van LNK-bestanden, die een misleidende naam hebben om eruit te zien als documentbestanden, zoals "file 1.docx.lnk." Bij uitvoering wordt via het Microsoft HTML Application Host (MSHTA) een kwaadaardig script gedownload van een extern command-and-control-server. Het script voert verschillende omgevingscontroles uit om te bepalen of de aanval op een legitiem doel wordt uitgevoerd en niet in een sandbox. Zodra de controles zijn geslaagd, wordt een zwaar gecodeerde downloader geactiveerd die probeert beveiligingssoftware te detecteren voordat de aanval verder wordt uitgevoerd.

Bron 1

De hacktivistische groepen CLOBELSECTEAM en INDOHAXSEC hebben een nieuwe alliantie aangekondigd. Dit partnerschap heeft tot doel gezamenlijke cyberaanvallen en digitale operaties uit te voeren. De twee groepen hebben hun krachten gebundeld om hun activiteiten te versterken en de impact van hun aanvallen te vergroten. Er wordt verwacht dat deze alliantie de dreiging van hacktivisme in de komende periode zal vergroten, aangezien de groepen toegang hebben tot verschillende netwerken en technologieën. De nieuwe samenwerking onderstreept de voortdurende toename van samenwerking tussen hacktivisten wereldwijd, wat een grotere uitdaging vormt voor cybersecurityprofessionals en overheden.

De FBI heeft een waarschuwing uitgegeven over twee cybercriminele groepen, UNC6040 en UNC6395, die recent Salesforce-platforms hebben aangevallen. Deze groepen maakten gebruik van verschillende aanvallingsmethoden om toegang te krijgen tot de systemen, waaronder vishing en misbruik van OAuth-tokens. UNC6395 werd in augustus 2025 geassocieerd met een grote datadiefstal via de Salesloft Drift-applicatie, die mogelijk werd vergemakkelijkt door een eerdere inbraak in de GitHub-account van Salesloft. In reactie heeft Salesloft maatregelen genomen, zoals het isoleren van de Drift-infrastructuur en het implementeren van strengere beveiligingsmaatregelen. UNC6040, actief sinds oktober 2024, heeft phishingtactieken gebruikt om toegang te verkrijgen en grote hoeveelheden data te stelen. De FBI heeft ook de betrokkenheid van de ShinyHunters-groep bij afpersingsactiviteiten gemeld. Ondanks recente arrestaties blijven deze groepen een serieuze dreiging vormen, waarbij eerdere activiteiten de kans geven dat de aanvallers opnieuw actief worden.

Bron 1

Op 14 september 2025 kondigden de hacktivistische groepen Fire Wire en Dark Storm Team officieel hun samenwerking aan. De nieuwe alliantie lijkt gericht te zijn op het versterken van hun gezamenlijke activiteiten in de digitale wereld, waaronder cyberaanvallen en andere hacktivistische acties. Deze fusie van krachten maakt het waarschijnlijker dat de twee groepen gezamenlijk grotere operaties zullen uitvoeren. De aankondiging van deze alliantie heeft de aandacht getrokken van cybersecurity-experts, die de gevolgen van deze samenwerking voor zowel bedrijven als overheden nauwlettend volgen. De rol van hacktivisme in de cyberdreigingen blijft toenemen, wat benadrukt hoe belangrijk het is voor organisaties om zich goed voor te bereiden op potentiële aanvallen van dergelijke groepen.

Op 14 september 2025 werd bekendgemaakt dat de hacktivistische groeperingen CLOBELSECTEAM en Inteid een formele alliantie zijn aangegaan. Deze samenwerking markeert een versterking van hun gezamenlijke inspanningen in cyberoperaties, waarbij ze zich richten op het uitvoeren van aanvallen met een ideologisch doel. De alliantie zal waarschijnlijk nieuwe aanvallen en strategieën ontwikkelen, die mogelijk gerichte acties tegen zowel bedrijven als overheden omvatten. Het is niet duidelijk welke specifieke doelen of regio’s de groep nu op het oog heeft, maar de trend van groeiende samenwerking tussen hacktivistische groepen kan de dreiging voor digitale veiligheid in de toekomst verder verhogen. De oprichting van deze alliantie komt op een moment dat hacktivisme steeds vaker als een belangrijke factor in de wereldwijde cyberdreigingen wordt gezien.

Op de Unified Voting Day van 2025 in Rusland werd de Centrale Verkiezingscommissie (CEC) het doelwit van een ongekende reeks cyberaanvallen. Volgens CEC-voorzitter Ella Pamfilova werden er ongeveer 290.000 aanvallen geregistreerd, waarbij het vooral ging om Distributed Denial of Service (DDoS)-aanvallen. Deze cyberaanvallen waren gericht op het verstoren van de systemen van de commissie, wat een aanzienlijke impact had op de verkiezingsprocessen. De aanval is een voorbeeld van de groeiende dreiging van cyberaanvallen in politieke processen, waarbij DDoS-aanvallen vaak worden ingezet om systemen tijdelijk onbereikbaar te maken.

Op 15 september 2025 kondigden de hacktivistische groepen CLOBELSECTEAM en NULLSEC PHILIPPINES een nieuwe alliantie aan. Deze samenwerking tussen de twee groepen kan een versterking van hun cyberaanvallen betekenen. De alliantie is een duidelijke boodschap naar de cyberbeveiligingsgemeenschap, aangezien hacktivistische groepen steeds vaker samenwerken om hun doelen te bereiken. De combinatie van deze twee groepen verhoogt de kans op gecoördineerde aanvallen die gericht kunnen zijn op zowel overheids- als private sectoren. Dit soort allianties benadrukt de steeds complexer wordende dreigingen in cyberspace, waarin hackers vaker samenwerken voor grotere impact.

De Rijksoverheid is sinds een week het doelwit van een grootschalige DDoS-aanval, waarbij de ict-infrastructuur van de overheid zwaar wordt belast. De aanval heeft vooral invloed op de thuiswerkfaciliteiten van circa 57.000 ambtenaren, aangezien de VPN-verbindingen niet goed functioneren. Op kantoor zelf kunnen medewerkers wel normaal werken. De aanvallen vinden hoofdzakelijk buiten kantooruren plaats en zijn tot nu toe nog niet geëindigd, wat ongebruikelijk is voor dergelijke aanvallen. Het Nationaal Cyber Security Centrum onderzoekt de kwestie, maar tot op heden heeft niemand de verantwoordelijkheid voor de aanval opgeëist. De aanval richt zich op de systemen van SSC-IC, de interne ict-leverancier van de Rijksoverheid, waardoor meerdere ministeries getroffen zijn.

Op 15 september werd een storing in de satellietdienst Starlink gemeld, die de Oekraïense strijdkrachten opnieuw heeft getroffen. De uitval van het communicatieplatform beïnvloedde niet alleen de Oekraïense legereenheden, maar had ook gevolgen voor de troepen aan het front. Volgens berichten is de storing inmiddels gedeeltelijk verholpen en is Starlink geleidelijk weer beschikbaar voor gebruik. Dit is niet de eerste keer dat Oekraïne te maken heeft met storingen bij Starlink, aangezien een soortgelijk probleem zich eerder in juni voordeed. De toegang tot satellietinternet is essentieel voor Oekraïne in de strijd tegen Rusland, aangezien het zowel de communicatie tussen commandoposten als de werking van drones ondersteunt. SpaceX werkt momenteel aan een oplossing om herhaling van de storing te voorkomen.

Bron 1

Een pro-Russische cybercriminelen groep, SectorJ149 (ook wel bekend als UAC-0050), heeft zich gepositioneerd als een serieuze bedreiging voor de wereldwijde kritieke infrastructuur. De groep richt zich op bedrijven in de energie-, halfgeleider- en productie-industrie in verschillende landen. De aanvallen worden gedreven door geopolitieke motieven en zijn gekoppeld aan de bredere belangen van de Russische staat, vooral gezien de huidige conflicten met Oekraïne. SectorJ149 maakt gebruik van op maat gemaakte malware, gekocht op dark web marktplaatsen, en voert gecoördineerde aanvallen uit over meerdere continenten. De groep heeft doelwitten in onder andere Zuid-Korea en Oekraïne aangevallen, met een focus op bedrijven die betrokken zijn bij secundaire batterijproductie en de energie-infrastructuur. De aanvallen maken gebruik van geavanceerde social engineering en malware die moeilijk te detecteren is, wat wijst op een hoge technische vaardigheid en strategische planning.

Bron 1

In 2025 ontdekte Sekoia.io een nieuwe cyberoperatie van APT28, gericht op de Oekraïense militaire administratie, waarbij geavanceerde technieken werden gebruikt voor spionage. De operatie, genaamd "Phantom Net Voxel," maakt gebruik van kwaadaardige Office-documenten die verborgen macros bevatten om schadelijke DLL-bestanden te laden, die via een PNG-bestand shellcode uitvoeren. APT28 gebruikt ook de open-source Covenant framework en cloud-opslagdiensten zoals Koofr en Icedrive voor command-and-control (C2) communicatie. De infectieketen omvat meerdere fasen, waarbij gegevens via deze cloud-diensten worden geüpload en gedownload, en waarbij bestanden gecodeerd worden met behulp van AES en ChaCha20-Poly1305 encryptie. De analyse laat zien hoe APT28 zich heeft aangepast en steeds verfijndere methoden gebruikt om zijn operaties te verbergen. Dit markeert een stap vooruit in de technieken van de groep, die nu open-source tools en legitieme cloudinfrastructuur combineert voor langdurige toegang en stealth-operaties.

Europol heeft Enrique Arias Gil, een Spaanse universiteitsprofessor, toegevoegd aan haar Most Wanted-lijst. Arias Gil wordt beschuldigd van het helpen van de pro-Russische hacktivistengroep NoName057(16) door informatie te verzamelen over de kritieke infrastructuur van Spanje en leden van de veiligheidsdiensten, wat cyberaanvallen zou vergemakkelijken. Daarnaast wordt hij beschuldigd van het bedreigen van journalisten en zakenlieden die Oekraïne openlijk steunden. Arias Gil, die zich momenteel in Rusland zou bevinden, wordt gezocht op beschuldigingen van computersabotage, het verheerlijken van terrorisme en lidmaatschap van een criminele organisatie. Ondanks een internationaal arrestatiebevel is de samenwerking met Rusland onwaarschijnlijk. Arias Gil zou eerder een boodschap hebben geplaatst op zijn Telegramkanaal, waarin hij dreigde informatie over corrupte functionarissen te onthullen als de aanklachten niet werden ingetrokken. NoName057(16) heeft na de arrestatie van enkele van haar leden in Spanje aangekondigd met een golf van DDoS-aanvallen te zullen reageren.

Bron 1, 2, 3

Polen heeft zijn cybersecuritybudget verhoogd naar een recordbedrag van 1 miljard euro, als reactie op de toegenomen cyberaanvallen vanuit Rusland. Deze aanvallen richtten zich onder andere op ziekenhuizen en de watervoorziening van grote steden. In een van de incidenten werd geprobeerd toegang te krijgen tot de IT-systemen van de watervoorziening, maar de aanval werd op tijd gestopt. Desondanks zijn er al meerdere gevallen van verstoringen van waterzuiveringsinstallaties geweest. De aanvallen op ziekenhuizen hebben geleid tot tijdelijke onderbrekingen van operaties en de diefstal van medische gegevens. Ondanks dat Polen ongeveer 99% van de aanvallen weet te blokkeren, blijven de hackers een constante bedreiging vormen, met dagelijks tussen de 20 en 50 pogingen. De regering heeft extra maatregelen getroffen, waaronder een investering van 80 miljoen euro in de bescherming van kritieke infrastructuren.

Bron 1

Op 17 september 2025 werd de administratie van het Sobinsky District in de regio Vladimir, Rusland, aangevallen door een onbekende hacker-groep. De groep heeft naar verluidt een district-brede database gestolen en eist een losgeldbedrag van 8.000 dollar voor de teruggave van de gegevens. De aanval brengt de kwetsbaarheid van lokale overheidsinstellingen in de regio aan het licht en benadrukt de toenemende dreiging van cybercriminaliteit in Rusland. Het incident toont ook de risico’s van het bewaren van gevoelige gegevens in onvoldoende beveiligde systemen. Er is nog geen bericht over de respons van de autoriteiten of of er al stappen zijn ondernomen om de gegevens te herstellen.

Het Chinese hackingcollectief TA415 heeft in de zomer van 2025 phishingcampagnes uitgevoerd, gericht op de Amerikaanse regering, denktanks en academische organisaties die zich bezighouden met Amerikaanse-China-economische betrekkingen. De aanvallers deden zich voor als de voorzitter van de Commissie voor Strategische Concurrentie tussen de VS en de Chinese Communistische Partij, evenals de VS-China Business Council. Door middel van e-mails die deze organisaties imiteerden, werden slachtoffers aangezet om op links in de berichten te klikken, die een malwarebestand bevatten. Deze malware maakt gebruik van een Python loader genaamd WhirlCoil, die op afstand toegang verleent via Visual Studio Code-remote tunnels. Het doel was spionage op Amerikaanse handelsbesprekingen en het verzamelen van gevoelige gegevens van experts op het gebied van internationale handel en economisch beleid.

Bron 1

De Liverpool City Council heeft bekendgemaakt dat het al twee jaar herhaaldelijk wordt aangevallen door de Russische hacktivistengroep Noname057(16). Deze groep, die doorgaans westerse overheden, militaire organisaties en gezondheidszorgsystemen aanvalt, maakt gebruik van bots om de systemen van de stad te infiltreren of uit te schakelen. De aanvallen zijn voornamelijk gericht op het verstoren van de infrastructuur via DDoS-aanvallen, waarbij een grote botnet wordt ingezet. Liverpool heeft maatregelen getroffen, waaronder anti-DDoS-diensten op ISP-niveau, firewalls en andere beveiligingssystemen om de impact te beperken. Andere Britse steden ondervinden eveneens vergelijkbare aanvallen. Noname057(16) richtte zich oorspronkelijk op Oekraïne, maar heeft sinds de oorlog haar aanvallen uitgebreid naar landen die Oekraïne steunen, waaronder het Verenigd Koninkrijk. De groep wordt sinds juli verder verstoord door Europol’s operaties, die resulteerden in de arrestatie van individuen en de vernietiging van servers.

Bron 1

Nullsec Philippines en Digital Ghost hebben op 18 september 2025 officieel een nieuwe alliantie aangekondigd. Deze samenwerking tussen de twee hacktivistische groepen versterkt hun gezamenlijke inspanningen op het gebied van cyberaanvallen. Beide groepen staan bekend om hun betrokkenheid bij cyberoperaties die vaak politieke en sociale doelen ondersteunen. De alliantie heeft de potentie om de capaciteit van beide groepen aanzienlijk te vergroten en kan leiden tot nieuwe dreigingen op het gebied van cyberspace. De aangekondigde samenwerking benadrukt de groeiende invloed van hacktivistische groepen, die steeds vaker hun acties inzetten als reactie op geopolitieke kwesties en maatschappelijke onrust. De alliantie kan ook nieuwe strategische operaties lanceren die de beveiliging van zowel overheids- als particuliere systemen in gevaar kunnen brengen.

Een geavanceerde campagne van een Noord-Koreaanse staatshacker heeft een nieuwe versie van de BeaverTail-malware verspreid. Deze malware wordt via valse vacaturesites en social engineering-technieken zoals ClickFix verspreid. Sinds mei 2025 richt de campagne zich op marketingprofessionals, crypto-traders en personeel in de detailhandel, in plaats van de traditionele softwareontwikkelaars. De kwaadaardige sites, waaronder businesshire[.]top, presenteren zich als legitieme wervingsplatformen, maar vragen sollicitanten om schadelijke systeemcommando’s uit te voeren als onderdeel van het sollicitatieproces. De malware is geoptimaliseerd voor verschillende besturingssystemen, waaronder macOS, Windows en Linux, en kan eenvoudig belangrijke gegevens zoals wachtwoorden en cryptocurrency-wallets stelen. De techniek omvat geavanceerde vermijdingsmechanismen en dynamische gebruikersagentverificatie om infectie te verbergen.

Bron 1

Cybersecurity-onderzoekers hebben ontdekt dat de Russische hackinggroepen Gamaredon en Turla sinds februari 2025 samenwerken om de Kazuar-backdoor te installeren op Oekraïense doelwitten. De samenwerking werd opgemerkt toen Gamaredon’s tools werden gebruikt om Turla’s Kazuar-malware te activeren op systemen in Oekraïne. Kazuar, een veelgebruikte malware voor cyberespionage, wordt geleverd via een keten van tools, waaronder PteroGraphin en PteroOdd. Beide groepen worden in verband gebracht met de Russische FSB en hebben Oekraïense instellingen, vooral in de defensieve sector, als doelwit. Het gebruik van Kazuar is sinds 2016 gedocumenteerd, en de nieuwste versies van de malware zijn geüpdatet om nieuwe transportmethoden te ondersteunen. De aanvallen wijzen op een gerichte inzet van malware, waarbij Gamaredon toegang verschaft voor Turla’s Kazuar om diepgaande gegevens te verzamelen en te exfiltreren.

Bron 1

Het Russische invloednetwerk CopyCop heeft zijn desinformatiecampagne fors uitgebreid door meer dan 200 nieuwe nepmediawebsites op te zetten. Sinds maart 2025 richt CopyCop zich met kunstmatige intelligentie op democratische landen zoals de VS, Canada en Frankrijk, met als doel de informatieomgeving te vergiftigen. Het netwerk bestaat uit valse nieuwswebsites en factcheck-organisaties, die gebruikt worden om pro-Russische en anti-Westerse propaganda te verspreiden. CopyCop maakt gebruik van zelfgehoste, ongetemde taalmodellen gebaseerd op Meta's Llama 3-architectuur, wat hen in staat stelt om grote hoeveelheden content te genereren zonder afhankelijk te zijn van westerse AI-diensten. De infrastructuur is geavanceerd en omvat verschillende regionale subdomeinen, zoals voor Swahili en Turks, waarmee ze hun bereik vergroten. Dit markeert een strategische uitbreiding van hun operaties naar nieuwe gebieden zoals Canada, Armenië en Moldavië.

Bron 1

Een dreigingsactor met het alias N4t0x heeft een dataset gelekt die naar verluidt persoonlijke gegevens bevat van Spaanse politici, wetshandhavers, inlichtingendiensten en hun families. De gegevens zouden zijn verkregen met een tool genaamd SpainData, die toegang biedt tot nationale ID-nummers, telefoonnummers, adressen, e-mails, geboortedata en familiebanden van de gehele Spaanse bevolking. De aanval heeft geleid tot zorgen over de veiligheid van gevoelige informatie van hooggeplaatste overheidsfunctionarissen in Spanje. Het lek heeft de aandacht getrokken van zowel de autoriteiten als de cybersecuritygemeenschap, die proberen vast te stellen hoe deze gegevens in handen van de aanvaller zijn gekomen en welke maatregelen nodig zijn om verdere schade te voorkomen.

De Iraanse cyberespionagegroep UNC1549 heeft 34 apparaten bij 11 telecombedrijven gehackt. De aanvallen werden uitgevoerd via een nep-vacaturecampagne op LinkedIn, waarbij de MINIBIKE-malware werd verspreid. De groep, die mogelijk gelieerd is aan de Iraanse Revolutionaire Garde (IRGC), richtte zich op bedrijven in verschillende landen, waaronder Canada, Frankrijk, de Verenigde Arabische Emiraten, het Verenigd Koninkrijk en de Verenigde Staten. Het malwarepakket verzamelt systeeminformatie en wacht op extra payloads om gegevens te stelen, zoals inloggegevens van Microsoft Outlook en webbrowserdata. UNC1549 maakt gebruik van Azure-cloudinfrastructuur om detectie te omzeilen en zijn toegang te behouden, met als doel gevoelige informatie van telecom- en defensiebedrijven te stelen voor strategische spionage.

Bron 1

De Britse geheime dienst MI6 heeft een beveiligde website gelanceerd op het darkweb om nieuwe spionnen te rekruteren, met een specifieke focus op Rusland. Deze site maakt gebruik van de Tor-browser, die anonieme toegang biedt, en wordt gepromoot als een manier om potentiële spionnen wereldwijd te benaderen. Het platform, genaamd Silent Courier, is ontworpen om de nationale veiligheid te versterken door het proces van rekrutering te vergemakkelijken. De Britse buitenlandminister Yvette Cooper benadrukte dat de inlichtingendienst haar technologie-inspanningen uitbreidt om een stap voor te blijven op tegenstanders, vooral nu de wereldwijde dreigingen toenemen. De lancering van deze site werd aangekondigd door het vertrekkende hoofd van MI6, Sir Richard Moore, en zal naar verwachting de inzet van de Britse geheime dienst vergroten in de strijd tegen geopolitieke en veiligheidsrisico’s.

Bron 1

De hacktivistische groepen BD Anonymous en Rubicon H4cker hebben een nieuwe alliantie aangekondigd. Deze samenwerking kan leiden tot nieuwe cyberdreigingen en aanvallen die door beide groepen gezamenlijk zullen worden uitgevoerd. BD Anonymous is bekend om zijn activistische doelen, terwijl Rubicon H4cker zich richt op geavanceerde cyberaanvallen. De twee groepen werken nu samen om hun invloed in de digitale wereld te vergroten. Dit vormt een potentieel risico voor bedrijven en overheden die zich moeten voorbereiden op mogelijke aanvallen. De samenwerking wordt gevolgd door experts in de cyberbeveiligingsgemeenschap, aangezien de implicaties voor de digitale veiligheid aanzienlijk kunnen zijn.

Op 20 september 2025 hebben de hacktivistische groepen Garda Squad en NullWeb officieel aangekondigd dat ze een alliantie zijn aangegaan. Deze samenwerking kan nieuwe dreigingen met zich meebrengen, aangezien beide groepen eerder betrokken waren bij verschillende cyberaanvallen en hacktivistische activiteiten. De alliantie tussen deze groepen kan leiden tot een intensivering van cyberaanvallen, gericht op politieke en ideologische doelen. Deze ontwikkeling heeft mogelijke gevolgen voor zowel organisaties als overheden wereldwijd, die extra maatregelen moeten treffen om zich tegen dergelijke bedreigingen te wapenen. De details over de gezamenlijke activiteiten van de groepen zijn nog beperkt, maar experts wijzen op de verhoogde risico's van cyberdreigingen in de nabije toekomst.

Op 20 september 2025 werd Brussels Airport, Berlijn Airport en Heathrow Airport getroffen door een cyberaanval die de check-ins en boardingprocessen stillegde. De aanval leidde tot aanzienlijke vertragingen en annuleringen van vluchten. De hackers richtten zich op Collins Aerospace, een belangrijke leverancier die onlangs een contract had gewonnen van de NAVO voor de levering van software voor Elektronische Oorlogsvoering. Doordat de systemen van de dienstverlener werden verstoord, moesten de luchthavens overstappen op handmatige procedures, wat leidde tot chaos en verstoringen van de vluchtoperaties.

Op Brussels Airport heeft een cyberaanval geleid tot aanzienlijke verstoringen. Zeker negen vluchten werden geschrapt en vijftien waren vertraagd. Door de aanval kan er alleen handmatig ingecheckt en geboard worden, wat resulteert in langere wachttijden en annuleringen. De luchthaven verwacht vandaag 35.000 vertrekkende passagiers en adviseert reizigers om eerst bij hun luchtvaartmaatschappij te controleren of de vlucht doorgaat. Ondanks de verstoringen in Brussel, melden de luchthavens van Schiphol en Rotterdam The Hague Airport dat er geen problemen zijn opgetreden. Ook op luchthavens in Londen en Berlijn zijn er langere wachttijden door de aanval op een IT-dienstverlener die verantwoordelijk is voor check-in en boarding. De getroffen dienstverlener werkt aan een oplossing. Passagiers wordt geadviseerd om ruim op tijd aanwezig te zijn.

Brussels Airport wordt getroffen door een cyberaanval die de check-in- en boardingsystemen van de luchthaven beïnvloedt. De aanval heeft ook invloed op andere Europese luchthavens, zoals Londen Heathrow, waar technische problemen worden aangegeven door de derde partij die de systemen beheert. Vanwege de aanval kunnen passagiers alleen nog handmatig inchecken en boarden. Dit heeft geleid tot vertragingen en annuleringen van vluchten. Luchtvaartmaatschappijen raden aan om de vluchtstatus voor vertrek te controleren en extra tijd in te plannen op de luchthaven. De serviceprovider werkt hard om het probleem snel op te lossen, maar de gevolgen blijven voorlopig merkbaar.

Brussels Airport biedt reizigers verschillende check-inmogelijkheden, waaronder online inchecken via de app of website van luchtvaartmaatschappijen, mobiele boardingpassen en self-service kiosken op de luchthaven. Daarnaast zijn er balies beschikbaar voor express- en businessclasspassagiers. Het centrale systeem dat hiervoor wordt ingezet is het Multi-User System Environment (MUSE) van Collins Aerospace. Dit platform maakt het mogelijk dat meerdere luchtvaartmaatschappijen dezelfde infrastructuur gebruiken voor inchecken, boarding en bagageafhandeling. Onlangs werd duidelijk dat een cyberaanval op Collins Aerospace dit systeem tijdelijk heeft verstoord. Daardoor moesten incheck- en boardingprocedures op Brussels Airport handmatig worden uitgevoerd, wat leidde tot vertragingen en verstoringen. Hoewel niet publiekelijk is bevestigd dat alle luchtvaartmaatschappijen op Brussels Airport uitsluitend met MUSE werken, wordt het door de meerderheid van de maatschappijen gebruikt. Daarmee vormt het een cruciaal onderdeel van de dagelijkse operatie en de continuïteit van passagiersstromen.

Zie 'Slachtoffers cyberaanval België en Nederland' voor vervolg nieuws over dit onderwerp.

Estland, als digitaal voortrekker in Europa, staat voor grote uitdagingen door de toegenomen cyberdreigingen vanuit Rusland. Het land wordt regelmatig geconfronteerd met digitale aanvallen die het online ecosysteem en de veiligheid van staatsinstellingen bedreigen. De Estse regering heeft zich voorbereid op een nieuwe golf van Russische cyberaanvallen, waarbij zowel overheidssystemen als bedrijven het doelwit zijn. De Estse digitale infrastructuur wordt beschouwd als een model voor andere Europese landen, maar het blijft kwetsbaar voor geavanceerde cyberaanvallen. In reactie hierop heeft Estland zijn verdediging versterkt door internationale samenwerking en investeringen in cyberbeveiliging te vergroten. De situatie illustreert hoe digitale kwetsbaarheid en geopolitieke spanningen elkaar steeds vaker overlappen, met Estland in de frontlinie van deze strijd.

Op 21 september 2025 hebben de hacktivistische groepen Chameleon Cyber Squad en TEAM FEARLESS officieel aangekondigd dat ze een nieuwe alliantie hebben gevormd. Deze samenwerking markeert een strategische stap in hun gezamenlijke activiteiten, die naar verwachting gericht zullen zijn op verschillende digitale en cyber-gerelateerde doelwitten. Er is nog geen gedetailleerde informatie over specifieke doelwitten of de bredere impact van deze alliantie, maar het vormt een nieuwe ontwikkeling in de wereld van cyberdreigingen, vooral met het oog op hacktivistische bewegingen.

Op 21 september 2025 kondigden de hacktivistische groepen BD Anonymous en Chameleon Cyber Squad officieel een nieuwe alliantie aan. Deze samenwerking heeft tot doel gezamenlijk cyberaanvallen uit te voeren, waarbij ze hun middelen en expertise bundelen. De twee groepen zijn bekend om hun betrokkenheid bij verschillende digitale aanvallen tegen zowel overheden als bedrijven wereldwijd. De samenwerking kan een verhoogde dreiging betekenen voor de digitale veiligheid, met name voor organisaties die zich in hun richtingen bevinden. Aangezien beide groepen bekend staan om hun gebruik van geavanceerde aanvallen en manipulatie van digitale infrastructuren, wordt verwacht dat deze alliantie de cyberdreiging in de komende periode kan versterken.

De discussie over het afschaffen van het luchtalarm, die al meer dan tien jaar gaande is, wordt aangescherpt door de oorlogsdreiging in Europa en de kwetsbaarheid van NL-Alert. Het luchtalarm, dat ver over zijn technische levensduur heen is, wordt steeds minder gebruikt sinds de komst van NL-Alert in 2012. Toch vrezen veel leden van de Tweede Kamer dat in het geval van een militaire aanval, het elektriciteits- en communicatienetwerk als eerste uitvalt, waardoor NL-Alert niet meer zou werken. Ministerie van Justitie en Veiligheid onderzoekt samen met Defensie en TNO de risico’s van stroomstoringen en de rol van het luchtalarm. Dit onderzoek, waarvan de resultaten voor de zomer van 2025 werden verwacht, moet helpen bij het maken van een weloverwogen beslissing over de toekomst van het luchtalarm. De dreiging van oorlog en eerdere storingen in mobiele netwerken in buurlanden hebben deze discussie nieuw leven ingeblazen.

Download rapport

Op 19 september 2025 werd een cyberaanval gericht op Collins Aerospace, een leverancier van inchecksoftware voor Europese luchthavens. De aanval veroorzaakte verstoringen op luchthavens zoals Brussels Airport, Berlin Airport en Heathrow, wat resulteerde in vluchtannuleringen en vertragingen. Brussels Airport vroeg luchtvaartmaatschappijen om de helft van de geplande vluchten te annuleren. Collins Aerospace werkt samen met de getroffen luchthavens om de software te herstellen, en heeft aangegeven dat de laatste updates bijna gereed zijn. De aard van de cyberaanval is niet openbaar gemaakt, maar het Britse National Cyber Security Centre (NCSC) is betrokken bij het onderzoek en herstel. De situatie blijft zorgen voor verstoringen op de luchthavens.

Bron 1, 2

Op 22 september 2025 hebben de hacktivistische groepen Inteid en Eye of Sauron officieel aangekondigd samen te werken in een nieuwe alliantie. Deze samenwerking is gericht op cyberaanvallen en het uitvoeren van digitale operaties met als doel politieke en maatschappelijke kwesties onder de aandacht te brengen. De groepen hebben aangegeven dat hun gezamenlijke operaties zich zullen richten op specifieke doelen en systemen die als symbolisch worden beschouwd binnen hun ideologieën. Deze alliantie komt op een moment waarop hacktivisme steeds vaker wordt ingezet als middel om invloed uit te oefenen op de publieke opinie en beleidsbeslissingen.

Op 22 september 2025 werd bekendgemaakt dat de hacktivistische groepen Hider_Nex en Inteid een officiële alliantie hebben gevormd. Deze samenwerking markeert een significante stap in de cyberdreigingen van hacktivisten, aangezien deze groepen bekend staan om hun geavanceerde aanvallen en politieke motivatie. De alliantie versterkt hun gezamenlijke capaciteiten om cyberaanvallen uit te voeren en zou kunnen leiden tot een toename van activiteiten gericht op het verstoren van systemen en het behalen van politieke doelstellingen. De impact van deze samenwerking op de wereldwijde cyberbeveiliging wordt nog afgewacht, maar het vormt een belangrijk aandachtspunt voor professionals in de cyberbeveiligingssector.

Op 22 september 2025 maakten de hacktivistische groepen H3C4KEDZ en HellR00ters Team bekend dat zij een nieuwe alliantie zijn aangegaan. Dit samengaan van twee prominente hacktivistische groepen vergroot hun gezamenlijke capaciteit om cyberaanvallen uit te voeren. De samenwerking wordt gezien als een versterking van hun positie in de wereld van cyberdreigingen, waarbij beide groepen hun expertise combineren om grotere, meer geavanceerde aanvallen uit te voeren. De onthulling van deze alliantie heeft bezorgdheid gewekt bij zowel bedrijven als overheden die zich moeten voorbereiden op mogelijk verhoogde dreigingen van deze en vergelijkbare groepen. De impact van deze samenwerking op toekomstige cyberveiligheid en de implicaties voor doelwitten in verschillende sectoren moeten goed worden gevolgd.

MR M44Z en TEAM FEARLESS, twee bekende hacktivistische groepen, hebben op 22 september 2025 officieel aangekondigd samen te werken in een nieuwe alliantie. Deze samenwerking heeft tot doel de krachten te bundelen tegen digitale doelen, zoals overheden en grote bedrijven, en de zichtbaarheid van hun acties op een internationale schaal te vergroten. Beide groepen zijn al langer actief in de cyberspace, waarbij ze vooral bekend zijn geworden door hun deelname aan verschillende cyberaanvallen gericht op politieke en maatschappelijke systemen. De alliantie kan de dreiging van hacktivistische aanvallen in de toekomst versterken, vooral gezien de strategische capaciteiten van deze groepen en hun netwerken. De bekendmaking van deze alliantie benadrukt de groeiende invloed van hacktivisten in de wereld van cyberbeveiliging en -dreigingen.

Nimbus Manticore, een Iraanse cyberaanvaller, heeft zijn activiteiten recent gericht op West-Europa, met een specifieke focus op defensie, telecommunicatie en de luchtvaart. Dit gebeurt via gerichte phishingcampagnes waarbij slachtoffers worden gelokt naar valse sollicitatieportalen. Door gebruik te maken van unieke URL’s en inloggegevens voor elke doelgroep, kan de aanvaller slachtoffers nauwkeurig volgen. De malware gebruikt een geavanceerde techniek van multi-stage DLL side-loading, waarbij een legitiem proces wordt misleid om een kwaadaardige DLL te laden. De toolset van Nimbus Manticore bevat de MiniJunk-backdoor en MiniBrowse-stealer, die met behulp van geavanceerde obfuscatie en code-signing pogingen ontwijken om gedetecteerd te worden. Deze cyberoperatie benadrukt de verhoogde mogelijkheden van de groep, die gebruik maakt van cloudinfrastructuur en malware-signing om detectie te verminderen. De aanvallen zijn gericht op strategische sectoren in Europa en sluiten aan bij bredere geopolitieke doelstellingen van Iran.

Bron 1

De hacktivistische groepen BD Anonymous en Hitman CyberSquad hebben op 23 september 2025 officieel een alliantie aangekondigd. De samenwerking tussen de twee groepen markeert een nieuwe ontwikkeling in de wereld van cyberdreigingen, waarbij ze hun krachten bundelen voor gezamenlijke cyberoperaties. De groepen staan bekend om hun betrokkenheid bij verschillende cyberaanvallen, die doorgaans gericht zijn op het verstoren van systemen van overheden en bedrijven. Deze alliantie kan potentieel grotere en meer gecoördineerde aanvallen betekenen, wat gevolgen kan hebben voor zowel privé- als publieke sectoren. De betrokkenheid van deze groepen benadrukt de groeiende dreiging van hacktivisme, waarbij ideologische motieven en politieke doelen vaak de drijfveren zijn voor cyberaanvallen.

De Moldavische president Maia Sandu heeft gewaarschuwd voor de groeiende Russische dreiging die de soevereiniteit en onafhankelijkheid van het land in gevaar brengt. Sandu benadrukt dat Rusland miljoenen euro's uitgeeft om verkiezingsresultaten te manipuleren, met de bedoeling Moldavië als springplank voor een aanval op Oekraïne te gebruiken. In aanloop naar de parlementsverkiezingen van komende zondag hebben de autoriteiten al meer dan 250 huiszoekingen uitgevoerd en 74 verdachten opgepakt voor het organiseren van onrust. De Moldavische veiligheidsdienst wijst naar de Russische inlichtingendiensten als de drijvende kracht achter deze destabilisatiepogingen. Daarnaast is er een grootschalige desinformatiecampagne aan de gang, die de reputatie van Sandu probeert te ondermijnen. Sandu waarschuwt dat als de Russische inmenging slaagt, de gevolgen voor Moldavië en de regio ernstig kunnen zijn, met destabilisatie van de Transnistrische regio en een mogelijke invasie van Oekraïne.

Bron 1

Op 22 september 2025 veroorzaakten drones chaos op de luchthavens van Kopenhagen en Oslo, die urenlang gesloten waren. De drones, die vanuit verschillende richtingen aanvlogen en daarna verdwenen, worden mogelijk gelinkt aan Rusland, hoewel Moskou de betrokkenheid ontkent. De Deense premier Mette Frederiksen noemde de aanval de ernstigste op de Deense kritieke infrastructuur tot nu toe. De incidenten hebben de bezorgdheid in Europa doen oplaaien, met vragen over de mogelijke dreiging voor andere luchthavens, zoals die in Brussel. Defensie-expert Roger Housen waarschuwde dat een aanval op luchthavens de economie ernstig kan schaden en dat Europa zich moet voorbereiden op deze nieuwe vorm van dreiging.

Meer dan de helft van het Europese elektriciteitsnet is kwetsbaar voor grootschalige stroomuitval, zo blijkt uit een recent onderzoek van energiedenktank Ember. Het onderzoek wijst uit dat 55% van het net vooral kwetsbaar is doordat de import van stroom in bepaalde gebieden moeilijk is. Dit vergroot het risico op langdurige stroomstoringen, zoals die in Spanje en Portugal in april. Internationale netverbindingen, waarbij landen stroom uit andere landen kunnen importeren, hebben in het verleden geholpen om stroomuitval te voorkomen, zoals in Polen en Oekraïne. Experts wijzen op de noodzaak van verdere investeringen in Europese samenwerking en netverbindingen om een stabieler stroomnet te garanderen. Geopolitieke spanningen, zoals de oorlog in Oekraïne, hebben de kwetsbaarheid van de energie-infrastructuur vergroot, en sabotage en cyberaanvallen zijn een groeiend risico.

Bron 1

Brickstorm-malware, vermoedelijk ingezet door Chinese hackers, werd meer dan een jaar lang gebruikt om gegevens te stelen van Amerikaanse organisaties in de technologie- en juridische sectoren. De malware fungeerde als een backdoor, die in staat was om bestanden te manipuleren, webverkeer te genereren, en als commando- en controlecentrum (C2) te opereren. Onderzoekers van Google ontdekten dat de aanvallen gericht waren op organisaties zonder endpoint-detectie en -respons (EDR), wat de kans op detectie verkleinde. De malware werd geïnstalleerd op apparaten die geen EDR-ondersteuning bieden, zoals VMware vCenter/ESXi, en de aanvallers gebruikten geavanceerde technieken om hun sporen te verbergen. Het primaire doel was het exfiltreren van e-mailgegevens via Microsoft Entra ID. Deze aanvallen worden toegeschreven aan de UNC5221-activiteitengroep, die eerder ook bekend was van andere gerichte aanvallen op overheidsinstellingen.

Bron 1

De Oekraïense militaire inlichtingendienst heeft de servers van de Russische proxyautoriteiten in bezet Crimea gehackt en meer dan 100 terabyte aan vertrouwelijke gegevens bemachtigd. De hack onthulde onder andere officiële correspondentie van Sergey Aksyonov, de leider van de Russische bezettingsautoriteiten, en interne documenten tussen verschillende bezettingsministeries en -diensten. Een van de belangrijkste bevindingen was het blootleggen van gegevens over de illegale ontvoering van Oekraïense kinderen uit bezette gebieden, waaronder Donetsk, Luhansk, Kherson en Zaporizhzhia. De gegevens bevatten lijsten van kinderen die naar Rusland en bezet Crimea werden gebracht, met persoonlijke informatie over de kinderen en hun voogden. De hack onthulde ook informatie over de Russische militaire staf en de gevolgen van Oekraïense drone-aanvallen op Russische olie-infrastructuur. Deze gegevens zijn doorgestuurd naar wetshandhavingsinstanties voor verdere onderzoeken naar oorlogsmisdaden.

Bron 1

Een nieuwe Russische desinformatiecampagne is opgedoken, gericht op de komende parlementsverkiezingen in Moldavië op 28 september 2025. Cybersecurity-onderzoekers ontdekten deze campagne in april 2025, toen ze een cluster van nieuwe websites ontdekten die bevooroordeelde nieuwsartikelen publiceerden in het Roemeens en Russisch. Deze websites maakten gebruik van dezelfde templates en infrastructuur als eerdere Russische propaganda-initiatieven, wat wijst op een gecoördineerde poging om verdeeldheid te zaaien tijdens een cruciaal moment in het democratische proces van Moldavië. De campagne maakte gebruik van geavanceerde technieken, zoals het verbergen van de oorsprong van de domeinen en het manipuleren van sociale-mediabots om de inhoud te verspreiden. Deze technieken zorgden ervoor dat de campagne moeilijk te detecteren was en konden voortduren ondanks pogingen om de sites offline te halen.

Bron 1

Microsoft heeft besloten de toegang van een eenheid van het Israëlische leger tot zijn AI- en cloudcomputingdiensten te verminderen. Dit besluit werd genomen na een intern onderzoek waarbij werd vastgesteld dat de producten van Microsoft werden gebruikt voor massale surveillance van Palestijnen in Gaza. Het Israëlische leger gebruikte de Azure-platformen van Microsoft om gegevens van telefoongesprekken en tekstberichten te verzamelen, die vervolgens werden geanalyseerd met AI-systemen voor luchtstrike-doelen. Dit gebeurde in de nasleep van de aanval van Hamas op 7 oktober 2023, waarbij de militaire inzet van Microsoft-producten aanzienlijk toenam. Microsoft had eerder al erkend dat haar producten werden gebruikt om Israël te ondersteunen in de oorlog, maar beweerde dat er geen bewijs was dat deze middelen werden ingezet om mensen te schaden. De beslissing om toegang te beperken betreft echter slechts een specifiek onderdeel van het Israëlische leger.

Bron 1

De militaire inlichtingendienst van Oekraïne (HUR) heeft aangekondigd een cyberaanval te hebben uitgevoerd op het Russische "Systeem van Snelle Betalingen" (SBP), een platform dat veel gebruikt wordt voor digitale geldtransfers, waaronder donaties voor de Russische oorlogsvoering in Oekraïne. De aanval, een grootschalige Distributed Denial of Service (DDoS)-aanval, verstoorde betalingen en leidde tot online transacties die niet konden worden afgerond in verschillende regio's van Rusland. De schade wordt voorlopig geschat op maximaal $30 miljoen. De aanval had ook invloed op het telecombedrijf TransTeleCom, waardoor internet- en televisiediensten werden verstoord voor honderden duizenden abonnees. De Russische autoriteiten hebben nog geen officiële reactie gegeven op het incident.

Bron 1

Denemarken heeft bevestigd dat de recente dronevluchten boven verschillende luchthavens in het land het werk zijn van een “professionele actor” en deel uitmaken van een hybride aanval. Deze incidenten veroorzaakten verstoringen op meerdere luchthavens, waarbij Aalborg tijdelijk werd gesloten. De incidenten vonden plaats na soortgelijke aanvallen in Polen, Roemenië en Estland, en volgen op Russische luchtruimschendingen. De Deense minister van Justitie verklaarde dat het doel van dergelijke aanvallen is om angst te zaaien en verdeeldheid te creëren. Denemarken werkt samen met de inlichtingendiensten en krijgsmacht om de drones te detecteren en onschadelijk te maken. Premier Mette Frederiksen noemde de aanval op de Kopenhagense luchthaven de ernstigste tot nu toe. Denemarken bereidt zich voor op de Europese top in Kopenhagen, die volgende week plaatsvindt.

Bron 1

Op 26 september 2025 werd bekendgemaakt dat de hacktivistische groepen NoName057(16) en CLOBELSECTEAM een officiële alliantie zijn aangegaan. Deze samenwerking tussen de twee groepen kan de dreiging van cyberaanvallen verhogen, vooral in de context van hacktivisme, waarbij politieke of ideologische motieven vaak de drijfveer zijn. Beide groepen hebben eerder betrokkenheid getoond bij verschillende gerichte aanvallen op overheids- en bedrijfsdoelen. De formele aankondiging van deze alliantie kan de impact van hun gezamenlijke acties vergroten, wat mogelijk leidt tot een verhoogd risico voor organisaties wereldwijd. De exacte aard van hun gezamenlijke doelstellingen en de gevolgen voor de cyberbeveiliging blijven echter onduidelijk, maar het is duidelijk dat deze ontwikkeling de cyberdreigingen verder versterkt.

Israël heeft jarenlang miljoenen telefoongesprekken van Palestijnse burgers afgeluisterd en opgeslagen op cloudservers van Microsoft. Deze data werden in datacenters in Nederland bewaard, wat naar voren kwam na onderzoek door The Guardian. Microsoft ondernam actie na de publicatie en ontzette Israël van zijn clouddiensten. De opgeslagen data, zo'n 8000 terabyte, werd vermoedelijk gescand met AI om dreigingen voor Israël te identificeren. Het is opmerkelijk dat deze activiteit niet in strijd was met de Nederlandse wetgeving, aangezien er geen regels zijn over het gebruik van servers voor dergelijke doeleinden. Nederland was zich niet bewust van de specifieke inhoud van de opgeslagen data, wat benadrukt dat er beperkte controle is over wat er met gegevens in datacenters gebeurt. Israël verplaatste de data uiteindelijk naar Amazon zodra het schandaal aan het licht kwam.

Bron 1

Een nieuwe phishingcampagne richt zich op Oekraïense overheidsinstanties, waarbij SVG-bestanden worden gebruikt om de CountLoader malware te verspreiden. Deze malware installeert vervolgens Amatera Stealer, een type datasteler, en PureMiner, een .NET cryptocurrency miner. De aanvallen maken gebruik van schadelijke SVG-bestanden die de slachtoffers misleiden om een ZIP-bestand te downloaden, wat leidt tot de installatie van de malware via een CHM-bestand. CountLoader fungeert als distributieplatform voor verschillende malwarevarianten, waaronder Cobalt Strike en PureHVNC RAT. Tegelijkertijd is er een soortgelijke campagne in Vietnam gaande, waarbij PXA Stealer wordt verspreid via phishingmails met een copyright-inbreuksthema, waarna PureRAT wordt gedropt. Deze aanvallen tonen de evolutie van een amateuristische malwaregroep naar een meer geavanceerde actor, met gebruik van PureRAT, een modulair achterdeurtje dat volledige controle over besmette systemen biedt.

Bron 1, 2

Hackers hebben een phishingcampagne opgezet die zich voordoet als officiële berichten van de Nationale Politie van Oekraïne. De aanvallen richten zich op Windows-systemen en verspreiden twee soorten malware: Amatera Stealer en PureMiner. De aanvallen beginnen met een e-mail die een schadelijk SVG-bestand bevat. Wanneer dit bestand wordt geopend, wordt de gebruiker misleid met een valse laadscreen en gedwongen om een zipbestand te downloaden. Binnen dit bestand zit een HTML Help-bestand dat de schadelijke CountLoader-scripts activeert, die op hun beurt de malware verspreiden. Amatera Stealer richt zich op het stelen van gebruikersgegevens, waaronder inloggegevens van browsers en cryptowallets, terwijl PureMiner het systeem misbruikt voor cryptomining. Dit maakt de aanval ernstig, aangezien het zowel gegevensdiefstal als het kapen van computerbronnen mogelijk maakt.

In de tweede helft van 2024 begon een nieuwe golf van cyberespionage, waarbij de Chinese hackersgroep Salt Typhoon zich richtte op de wereldwijde telecominfrastructuur. Deze groep viel routers, firewalls, VPN-gateways en wettige onderscheppingssystemen van telecomaanbieders aan, met als doel het verzamelen van communicatiemetadata, VoIP-configuraties en abonneeprofielen. De aanvallers maakten gebruik van gepersonaliseerde firmware-implanten en leefden van bestaande systemen om toegang te behouden, wat hen in staat stelde langdurig gegevens te exfiltreren. De aanvallen exploiteerden kwetsbaarheden in netwerkapparaten en misconfiguraties in beheerdersinterfaces. De groep gebruikte een aangepaste rootkit, Demodex, die zelfs na herstarts van het apparaat actief bleef en detectie ontwijkte. Deze operaties helpen China bij het verzamelen van inlichtingen en bereiden potentiële disruptieactiviteiten voor tijdens geopolitieke crisissen. De langdurige toegang tot belangrijke netwerkapparaten stelt de aanvallers in staat om communicatie te verstoren of te manipuleren.

Bron 1

Twee 17-jarige Nederlandse jongens werden deze week opgepakt op verdenking van spionage voor Rusland. Ze zouden met een "wifisniffer", een tool om draadloos netwerkverkeer te analyseren, een route hebben gelopen langs belangrijke locaties in Den Haag, zoals Europol en de Canadese ambassade. Of de jongens daadwerkelijk spioneerden of enkel voorbereidingen voor een hack maakten, wordt nog onderzocht. Ze zouden via Telegram benaderd zijn door een pro-Russische hacker. Experts benadrukken dat jongeren vaak via hun nieuwsgierigheid naar technologie en gamen in contact komen met criminele activiteiten. Ze kunnen door simpele interesse in hacken terechtkomen op forums of in groepen die hen verder in de criminaliteit trekken. Ouders wordt aangeraden om gesprekken aan te gaan over de online activiteiten van hun kinderen, aangezien het moeilijk is om dit gedrag te herkennen zonder de juiste kennis.

Drones kunnen aanzienlijke schade veroorzaken boven luchthavens, ondanks hun relatief lage kosten. Experts stellen dat de kosten door overlast van drones op luchthavens snel kunnen oplopen tot miljoenen euro's. Onlangs werd het vliegverkeer op Europese luchthavens, zoals in Aalborg, tijdelijk stilgelegd door de aanwezigheid van drones, wat de veiligheid in gevaar bracht. Als dergelijke incidenten plaatsvinden tijdens drukke periodes, zoals op luchthavens als Schiphol, kunnen de verliezen snel oplopen. Dit gebeurt door uitwijkvluchten, vertragingen, en extra kosten voor brandstof en personeel. Luchtvaartmaatschappijen hoeven geen compensatie te bieden voor vertragingen door drones, maar de gevolgen voor de planning kunnen wekenlang merkbaar zijn. Ook luchthavens lijden schade door gemiste inkomsten van vliegtuigen en passagiers. In sommige gevallen kan de verstoring leiden tot extra kosten voor hotels en vervoer van passagiers.

De Europese Unie heeft een nieuw sanctiepakket aangekondigd tegen Rusland, gericht op energie, banken, cryptomarkten en de 'schaduwvloot'. Oekraïne waarschuwt voor een Russische aanval op Kupjansk. Cyberaanvallen hebben luchthavens in Brussel, Berlijn en Londen platgelegd. Rusland heeft zijn Cold War-erfgoed weer tot leven gebracht als culturele wapens. De mensenrechten in Rusland worden zwaar bekritiseerd door een VN-expert, terwijl drone-aanvallen ook de luchthavens van Denemarken en Noorwegen hebben verstoord. Donald Trump heeft een felle toespraak gehouden op de VN, waarin hij Rusland als een 'papieren tijger' noemde. De Russische reactie is dat het land een 'beer' is, niet een papieren tijger. Volodymyr Zelensky daagde de VN uit en riep op tot steun voor Moldavië. De Oekraïense president zegt klaar te zijn om af te treden na de oorlog.

Bron 1

Moldavië werd getroffen door grootschalige cyberaanvallen gericht op de verkiezingen van het land, waardoor zo'n 4.000 websites tijdelijk buiten werking werden gesteld. De aanvallen, die gericht waren op het verstoren van het verkiezingsproces, werden door de Moldavische premier bevestigd. Er wordt onderzoek gedaan naar de daders en de impact van de aanvallen op het verkiezingsresultaat. Hoewel er geen directe aanwijzingen zijn voor buitenlandse inmenging, wordt de situatie nauwlettend gevolgd door lokale autoriteiten en internationale veiligheidsdiensten. De cyberaanvallen vormen een nieuwe uitdaging voor de digitale infrastructuur van het land en de veiligheid van verkiezingsprocessen wereldwijd.

Bron 1

Op 28 september 2025 behaalde de pro-Europese partij van Moldavië, geleid door de Actie- en Solidariteitspartij (PAS), een meerderheid in de parlementaire verkiezingen, wat de koers van het land naar de Europese Unie bevestigt. Dit belangrijke resultaat werd behaald te midden van een ongekende destabiliseringscampagne door Rusland, die werd gekarakteriseerd als een "hybride oorlog" om het land terug in de invloedssfeer van Moskou te trekken. De PAS behaalde 50,03% van de stemmen en won 55 van de 101 zetels in het parlement, terwijl de pro-Russische oppositie slechts 24,26% van de stemmen kreeg. De verkiezingscampagne werd gekenmerkt door desinformatie, cyberaanvallen en zelfs bedreigingen van bommeldingen op stembureaus, wat wijst op de groeiende invloed van Rusland in de regio. Ondanks de overwinning blijft de dreiging van Russische inmenging in Moldavië en andere Europese landen aanwezig.

Bron 1

In Denemarken en Noorwegen zijn opnieuw drones van onbekende herkomst waargenomen in de nabijheid van luchthavens en militaire installaties. De Deense regering stelde hierop een tijdelijk verbod in op civiele drones en modelvliegtuigen, mede vanwege een geplande EU-top in Kopenhagen. Europese media bespreken hoe om te gaan met dergelijke hybride dreigingen. Volgens De Volkskrant tonen de incidenten aan dat Rusland structureel provocaties inzet en een oorlogseconomie onderhoudt. Binnen de EU en de NAVO bestaat verdeeldheid over de juiste reactie. Terwijl Polen militaire vergeldingsacties tegen Russische vliegtuigen overweegt, waarschuwt Duitsland voor escalatie. Daarnaast benadrukken analisten dat de dreiging niet alleen militair van aard is, maar ook betrekking heeft op desinformatie en politieke beïnvloeding binnen Europa. De situatie versterkt het beeld dat Oost-Europese NAVO-landen zich aan de frontlinie bevinden, terwijl discussies oplaaien over de balans tussen veiligheid, eenheid en maatschappelijke kosten.

Bron 1

De hacktivistengroepen NoName057(16) en AbyssRoot313 hebben officieel bekendgemaakt dat zij een nieuwe alliantie vormen. Beide groepen staan bekend om hun digitale aanvallen met een politiek of ideologisch motief en hebben in het verleden meerdere campagnes uitgevoerd tegen overheidsinstellingen, bedrijven en kritieke infrastructuur in verschillende landen. De samenwerking kan leiden tot een bundeling van middelen en expertise, wat hun capaciteit voor gecoördineerde cyberaanvallen kan vergroten. NoName057(16) heeft zich de afgelopen jaren vooral gericht op digitale verstoringsacties, vaak in de vorm van DDoS-aanvallen op Westerse doelen. AbyssRoot313 is minder zichtbaar geweest, maar wordt in verband gebracht met activiteiten op fora waar aanvalstools en gelekte gegevens worden gedeeld. Het samengaan van beide groepen kan de dreiging voor organisaties en overheden vergroten, vooral in de context van aanhoudende geopolitieke spanningen. Deze ontwikkeling onderstreept de dynamiek en samenwerking binnen hacktivistische netwerken.

De hacktivistische groeperingen OverFlame en Eye of Sauron hebben bekendgemaakt een formele alliantie te vormen. Beide groepen staan al langer bekend om digitale acties met politieke en ideologische motieven, waaronder aanvallen op organisaties en instellingen die zij beschouwen als tegenstanders van hun doelstellingen. De aankondiging van de samenwerking werd publiekelijk gedaan via sociale mediakanalen en is bedoeld om hun activiteiten krachtiger en gecoördineerder te maken. Het is nog onduidelijk welke concrete acties zij op korte termijn zullen ondernemen, maar doorgaans richt dit soort allianties zich op het delen van middelen, kennis en aanvalsinfrastructuur. De vorming van een dergelijke samenwerking kan leiden tot een grotere frequentie en intensiteit van cyberaanvallen, afhankelijk van de doelwitten die de groepen gezamenlijk kiezen. Voorlopig is er geen directe link gelegd met specifieke landen of sectoren, maar de ontwikkeling wordt nauwlettend gevolgd door de internationale cybergemeenschap.

Twee hacktivistische groepen, PalachPro en Z-Alliance, hebben officieel bekendgemaakt dat zij een nieuw bondgenootschap aangaan. Dit partnerschap heeft als doel hun inspanningen te bundelen en gezamenlijke acties uit te voeren op het gebied van digitale aanvallen en informatiecampagnes. Beide groepen staan bekend om hun online aanwezigheid en eerdere betrokkenheid bij cyberactiviteiten met een politieke of ideologische achtergrond. Het nieuwe samenwerkingsverband kan leiden tot een toename van gecoördineerde operaties, waarbij zowel technische aanvallen als propagandavormen via sociale media en andere online kanalen worden ingezet. Hoewel er nog geen specifieke doelwitten zijn genoemd, kan de combinatie van middelen en expertise van de twee groepen de impact van hun activiteiten vergroten. Het nieuws over dit bondgenootschap wordt gezien als een signaal dat hacktivistische allianties blijven groeien en zich steeds professioneler organiseren binnen het wereldwijde cyberdreigingslandschap.

Twee hacktivistengroepen, S-A-S Cyber Squad en KillServer Team, hebben officieel aangekondigd dat zij een nieuwe alliantie vormen. Beide groepen zijn bekend in de wereld van digitale activistische aanvallen en hebben eerder los van elkaar operaties uitgevoerd gericht op overheden, bedrijven en kritieke infrastructuur. Door hun krachten te bundelen, vergroten zij hun slagkracht en toegang tot middelen, wat kan leiden tot meer gecoördineerde en grootschalige acties. Zulke samenwerkingen tussen hacktivistencollectieven worden vaak gebruikt om internationale aandacht te trekken en politieke of ideologische boodschappen kracht bij te zetten. De aankondiging onderstreept de voortdurende trend van samenwerkingen in het cyberdomein, waarbij groepen hun kennis en netwerken delen om meer invloed uit te oefenen. Hoewel nog onduidelijk is welke doelen zij concreet zullen aanvallen, benadrukt deze ontwikkeling de dynamiek en veranderende verhoudingen binnen de hacktivistenscene.

Phantom Taurus is een nieuw beschreven, aan China gelinkte spionagegroep die de afgelopen tweeënhalf jaar overheids- en telecomorganisaties in Afrika, het Midden-Oosten en Azië heeft aangevallen. Volgens Unit 42 richt de groep zich op ministeries van Buitenlandse Zaken, ambassades en militaire informatie, met als doel langdurige inlichtingenvergaring. Opvallend is het gebruik van een op .NET ontwikkelde malwaresuite, NET-STAR, die internet-facing IIS-servers treft via drie webgebaseerde backdoors (waaronder IIServerCore en twee varianten van AssemblyExecuter) met in-memory uitvoering, AMSI/ETW-omzeiling en timestomping. Voor initiële toegang werden eerder bekende kwetsbaarheden in IIS en Microsoft Exchange misbruikt, zoals ProxyLogon en ProxyShell. Daarnaast verschuift de datadiefstal van e-mail naar gerichte database-extractie via WMI-gestuurde batchscripts die SQL Server-gegevens exporteren. De infrastructuur vertoont overlap met groepen als APT41 en Mustang Panda, maar met operationele compartimentering. De timing van operaties sluit regelmatig aan bij geopolitieke gebeurtenissen. Bron 1

De Iraans-geaffilieerde hackersgroep APT35 voert sinds begin 2025 een grootschalige campagne uit die gericht is op overheids- en militaire organisaties wereldwijd. Onderzoekers constateerden dat de aanvallen gebruikmaken van spear-phishingmails met kwaadaardige HTML-bijlagen en gemanipuleerde Microsoft Office-documenten die misbruik maken van de kwetsbaarheid CVE-2023-23397. Na opening wordt een meertraps malwareketen gestart die via PowerShell aanvullende modules ophaalt van een command-and-controlserver. Deze malware nestelt zich diep in legitieme processen en haakt in op de Windows Security Support Provider Interface om NTLM-inloggegevens te onderscheppen. Op deze manier werden binnen defensienetwerken accounts gecompromitteerd zonder detectie door traditionele beveiligingssystemen. De aanvallen tonen de toenemende verfijning van APT35, dat zich richt op het langdurig binnendringen in systemen en het stelen van inloggegevens voor toegang tot gevoelige communicatie. Deskundigen waarschuwen dat alleen geavanceerde gedragsanalyse en continue monitoring dergelijke indringers tijdig kan opsporen. Bron 1