Cyberoorlog 2025 oktober

Op 1 oktober 2025 meldde de internationale Sumud Flotilla dat twee van hun boten, Alma en Sirius, getroffen waren door een cyberaanval. De Israëlische oorlogsschepen zouden verantwoordelijk zijn voor de aanval, die leidde tot het uitschakelen van alle communicatie- en navigatiesystemen aan boord van de boten. De cyberaanval heeft niet alleen de schepen, maar ook de veiligheid van civiele burgers uit meer dan veertig landen in gevaar gebracht. De Flotilla, die zich inzet voor vrede, was op dat moment actief in de Middellandse Zee. Deze aanval benadrukt de groeiende dreiging van cyberaanvallen als middel in geopolitieke conflicten, met gevolgen voor zowel civiele schepen als internationale veiligheid.

Bron 1

Tijdens een Europese top in Kopenhagen benadrukte de Franse president Emmanuel Macron de noodzaak voor een agressievere benadering van Rusland. Macron stelde voor drones die het Europese luchtruim binnendringen neer te schieten en schepen van de schaduwvloot die olie naar Rusland vervoeren, te boarden. Dit zou Rusland's oorlogsinspanningen verstoren door zijn energie-inkomsten te verminderen. Europese leiders spraken hun bezorgdheid uit over voortdurende drone-incidenten, sabotageacties en cyberaanvallen, wat de groeiende hybride oorlog tegen Europa onderstreept. Ze benadrukten dat het belangrijk is om Rusland geen gelegenheid te geven de grenzen te testen. De Deense premier Mette Frederiksen waarschuwde dat Rusland een bedreiging vormt voor heel Europa en niet alleen voor Oekraïne. Andere Europese leiders pleitten voor het verhogen van economische druk op Rusland en het versterken van de verdediging van Oekraïne.

Bron 1

Op 2 oktober 2025 hebben de hacktivistische groepen HIME666 en RUBICON officieel een nieuwe alliantie aangekondigd. Deze samenwerking werd gepromoot via sociale kanalen en heeft tot doel hun gezamenlijke krachten te bundelen in cyberaanvallen en activisme. De alliantie is een reactie op de groeiende digitale oorlogvoering en de invloed van hacktivisten binnen de bredere cyberdreigingslandschap. De groepen hebben verschillende doelen, waaronder het beïnvloeden van politieke besluitvorming en het uitvoeren van cyberoperaties die hun standpunten versterken. De oprichting van deze alliantie verhoogt de zorgen over de intensiteit van hacktivistische activiteiten wereldwijd, waarbij met name overheden en bedrijven potentieel doelwit kunnen worden van gezamenlijke aanvallen.

De hacktivistische groeperingen HIME666 en V for Vendetta Cyber Team hebben een nieuwe alliantie aangekondigd. Deze samenwerking komt te midden van groeiende cyberactivisme en wereldwijde cyberdreigingen. De alliantie heeft als doel om gezamenlijke cyberaanvallen te lanceren tegen specifieke doelwitten, wat wijst op een versterking van hun capaciteiten in de digitale strijd. Hacktivistengroepen zoals deze richten zich vaak op politieke, sociale of ethische kwesties, waarbij ze hun cyberaanvallen gebruiken om een boodschap over te brengen. De oprichting van deze alliantie kan de cyberdreigingen voor overheden en bedrijven verder doen escaleren, waarbij het risico op geopolitieke spanningen door cyberaanvallen toeneemt.

Inteid en OverFlame hebben op 2 oktober 2025 officieel een nieuwe hacktivistenalliantie aangekondigd. Deze samenwerking brengt twee groepen samen die zich richten op cyberaanvallen met ideologische motieven, waarbij ze digitale middelen inzetten om politieke of sociale doelen te bereiken. De alliantie is een reactie op toenemende mondiale spanningen en de opkomst van digitale activismegroepen die invloed proberen uit te oefenen op overheden en grote instellingen. Het doel van de alliantie is nog niet volledig openbaar, maar er wordt verwacht dat hun activiteiten zich zullen richten op zowel verstoorde digitale infrastructuren als het beïnvloeden van publieke opinie via cyberspace. Hacktivistenallianties zoals deze blijven een belangrijke uitdaging voor zowel nationale als internationale cybersecurityautoriteiten, aangezien de dreiging van cyberaanvallen in een geopolitieke context toeneemt.

De hacktivistische groepen V FOR VENDETTA CYBER TEAM en CLOBESELCTEAM hebben een nieuwe alliantie aangekondigd. Deze samenwerking, die officieel werd bekendgemaakt op 2 oktober 2025, versterkt hun gezamenlijke strijd in de cyberdreigingsruimte. Beide groepen hebben bekendheid verworven door hun activiteiten tegen overheidsinstellingen en bedrijven wereldwijd. De alliantie lijkt een strategische zet om hun capaciteit en bereik te vergroten, met de mogelijkheid van grotere en meer gecoördineerde cyberaanvallen. De betrokkenen hebben aangegeven dat de nieuwe samenwerking een intensivering van hun digitale acties zal inhouden, met mogelijk bredere implicaties voor de cyberveiligheid van bedrijven en overheden.

De Confucius-cybergroep, actief sinds 2013, heeft zijn aanvallen verfijnd van document-stealers naar Python-gebaseerde backdoors, waarmee ze geavanceerdere technieken toepassen in cyberespionage. De groep richt zich vooral op Zuid-Azië, met een focus op Pakistan. Eerder gebruikte Confucius spear-phishing en kwaadaardige documenten om toegang te verkrijgen, maar recent is de groep overgestapt naar het gebruik van Python RATs (Remote Access Trojans), zoals AnonDoor. Deze verandering toont hun vermogen om snel in te spelen op nieuwe technologieën en tactieken, waardoor ze moeilijker te detecteren zijn. In de nieuwste campagnes maakt Confucius gebruik van LNK-bestanden, PowerShell-loaders en obfuscatietechnieken om hun aanvallen te verbergen en zo langdurige toegang te krijgen tot getroffen systemen. De geavanceerde malwarefamilies en de strategische inzet van verschillende aanvalsmethoden benadrukken de complexiteit van deze staatsgerelateerde cyberoperaties.

Bron 1

De recente schendingen van het luchtruim in Europa, vooral in Denemarken, hebben de dringende behoefte benadrukt aan beschermende maatregelen tegen drones. Tijdens een informele EU-top in Kopenhagen werden plannen besproken voor een "drone muur", voorgesteld door de Europese Commissie, als antwoord op de toenemende dreiging van drones. Europese landen staan voor de uitdaging om effectieve verdediging tegen deze dreiging te ontwikkelen, waarbij sommige voorstellen zoals het inzetten van dronevloten en elektromagnetische verstoringsapparatuur ter discussie staan. Er wordt gepleit voor samenwerking met Oekraïne, dat ervaring heeft met dronebestrijding. Er is echter bezorgdheid over de afhankelijkheid van militaire middelen, aangezien cyberaanvallen en hybride oorlogsvoering steeds belangrijker worden. De discussie benadrukt de noodzaak voor Europa om haar verdediging aan te passen aan de veranderende aard van conflicten, met een sterke focus op snelle, schaalbare productiecapaciteiten.

Bron 1

De Nederlandse Defensie heeft een nieuwe Cyber Strategie 2025 gepresenteerd, waarin wordt benadrukt dat Nederland zich proactiever moet opstellen tegen digitale dreigingen, vooral vanuit Rusland. De strategie richt zich op het inzetten van cyberwapens en virussen om vijandelijke digitale aanvallen te verstoren en systemen plat te leggen. Minister Brekelmans benadrukt dat de verdediging al moet beginnen vóórdat een aanval plaatsvindt. De wetgeving zou waar nodig aangepast moeten worden om offensieve digitale acties mogelijk te maken. Dit komt na een reeks toegenomen cyberaanvallen op Nederland, waaronder aanvallen op de DigiD-dienst en gemeentelijke websites. Volgens Brekelmans is het essentieel dat Defensie zich digitaal sterker maakt om agressieve cyberactoren te verstoren en te voorkomen dat ze ongerept opereren. Er wordt gezocht naar meer digitaal vaardig personeel om de digitale strijdkracht van het leger te versterken.

Een nieuwe cyberaanval, uitgevoerd door een groep met overeenkomsten met YoroTrooper, heeft Russische overheidsinstanties en industrieën getroffen. De aanval, bekend als "Cavalry Werewolf", maakt gebruik van malwarefamilies zoals FoalShell en StallionRAT. De aanvallers verspreidden gerichte phishing-e-mails die zich voordeden als officiële communicatie van de overheid van Kirgizië. De hoofddoelen waren Russische staatsinstellingen, energiebedrijven en industriële ondernemingen. De malware stelt de aanvallers in staat om willekeurige commando's uit te voeren en gegevens te verzamelen via Telegram-bots. FoalShell en StallionRAT werden verspreid via RAR-archieven die schadelijke software bevatten. De aanval maakt deel uit van een breder patroon van aanvallen die gericht zijn op verschillende sectoren, waaronder commercie, financiën en onderwijs, waarbij vaak gevoelige gegevens worden gestolen van kwetsbare webapplicaties.

Bron 1

München luchthaven hervatte zijn vluchten nadat eerdere drone-waarnemingen de operaties stillegden, waardoor zo'n 6.500 passagiers werden getroffen. Delen van de luchthavens in Kopenhagen en Oslo waren ook tijdelijk gesloten door drone-inbreuken, die zowel civiele als militaire luchtruimen beïnvloedden. In reactie op deze incidenten verklaarde de Deense premier dat een ‘hybride oorlog’ met Rusland gaande is, wat als de gevaarlijkste situatie sinds de Tweede Wereldoorlog wordt beschouwd. De Deense overheid heeft de inwoners aangespoord om voor drie dagen in hun eigen energiebehoeften en voedsel te voorzien. De autoriteiten in België onderzoeken ook meerdere drone-waarnemingen boven een militair terrein nabij de Duitse grens. De recente dronestrijd in Europa roept bredere zorgen op over de veiligheid van luchthavens en andere kritieke infrastructuren.

Bron 1, 2

De hacktivistische groepen UNIT 2012022023 en V For Vendetta Cyber Team hebben op 6 oktober 2025 officieel een nieuwe samenwerking aangekondigd. Deze alliantie zou de krachten bundelen om hun cyberoperaties te versterken, wat kan leiden tot een toename van gerichte aanvallen en cyberoperaties. Hacktivisme is een steeds grotere bedreiging voor de cybersecuritysector, met dergelijke allianties die het moeilijker maken om aanvallen te voorspellen of te voorkomen. De groepen hebben verschillende ideologische doelen en doelen, wat hun acties in cyberspace verder complex maakt. De impact van deze samenwerking kan variëren, maar het is duidelijk dat de alliantie de wereldwijde cyberdreigingen verder zal beïnvloeden, vooral in gebieden waar politieke of sociale instabiliteit heerst.

De hacktivistengroepen CLOBELSECTEAM en TwoNet hebben op 6 oktober 2025 een nieuwe alliantie aangekondigd. Deze samenwerking markeert een versterking van hun gezamenlijke cyberoperaties en zal waarschijnlijk leiden tot nieuwe cyberdreigingen. De groepen staan bekend om hun gerichte aanvallen op overheidsinstellingen en bedrijven, waarbij ze zowel digitale verstoringen veroorzaken als gevoelige informatie lekken. De nieuwe alliantie vergroot hun bereik en capaciteit om verschillende soorten cyberaanvallen uit te voeren, wat voor zowel bedrijven als overheden een grotere dreiging vormt. Hacktivisme blijft een belangrijk onderdeel van de hybride oorlogsvoering, waarbij ideologische motieven de acties van deze groepen aandrijven.

Een recent rapport heeft het Chinese bedrijf Beijing Institute of Electronics Technology and Application (BIETA) gelinkt aan de Chinese Ministerie van Staatsveiligheid (MSS). Dit blijkt uit bewijs dat ten minste vier medewerkers van BIETA mogelijk banden hebben met MSS-functionarissen en de Universiteit voor Internationale Betrekkingen, die banden heeft met MSS. BIETA en haar dochteronderneming CIII zijn betrokken bij de ontwikkeling van technologieën voor inlichtingen-, tegeninlichtingen- en militaire missies die relevant zijn voor de nationale veiligheid van China. Hun werk omvat onder andere steganografie voor covert communicatie, malware-distributie en het ontwikkelen van forensisch onderzoeksmateriaal. De technologieën van BIETA ondersteunen vermoedelijk de operaties van het MSS en worden gebruikt door staatsveiligheidsdiensten en hun onderaannemers.

Bron 1

Nog dit jaar wordt een pilot gestart voor de inrichting van noodsteunpunten in alle 25 Nederlandse veiligheidsregio’s. Deze steunpunten, die in brandweerkazernes als centrale commandoposten zullen fungeren, moeten dienen als informatiesites voor crisissituaties zoals overstromingen, cyberaanvallen en stroomuitval. De bedoeling is om in 2026 de pilot volledig te implementeren. Naast de centrale posten komen er op lokaal niveau ondersteuningspunten, bijvoorbeeld in voetbalkantines en buurthuizen, waar mensen terechtkunnen bij noodgevallen. Het Veiligheidsberaad, bestaande uit de burgemeesters van de veiligheidsregio’s, wil uiteindelijk duizend hoofdsteunpunten en 3600 lokale steunpunten oprichten. Het kabinet ondersteunt het initiatief, waarbij de noodsteunpunten ook ingezet moeten worden in geval van grootschalige cybercrises, hybride aanvallen of zelfs een militair conflict. De pilot zal de effectiviteit van deze steunpunten in het vergroten van de weerbaarheid testen.

Bron 1

De hacktivistische groepen NoName057(16) en Hider_Nex hebben officieel aangekondigd een alliantie te vormen. Deze samenwerking komt te midden van toenemende cyberdreigingen en geopolitieke spanningen, waarbij de twee groepen zich richten op het uitvoeren van cyberaanvallen ter ondersteuning van hun politieke doelstellingen. De alliantie versterkt de capaciteit van beide groepen, die zich eerder hebben bewezen met verschillende gerichte aanvallen op overheidsinstanties en kritieke infrastructuur. Dit samenwerkingsverband kan een significante impact hebben op de cyberdreigingen die gericht zijn op landen met strategische belangen voor de betrokken actoren.

Noord-Koreaanse hackers hebben in 2025 naar schatting meer dan $2 miljard aan cryptocurrency gestolen, wat het hoogste jaarlijkse totaal ooit is. Dit brengt het totale bedrag dat door deze hackers is gestolen op meer dan $6 miljard. Volgens de Verenigde Naties en overheidsinstanties worden de gestolen fondsen gebruikt om de ontwikkeling van nucleaire wapens te ondersteunen. De diefstal is bijna drie keer zoveel als in 2024 en overtreft het vorige record van $1,35 miljard in 2022, grotendeels veroorzaakt door aanvallen op de Ronin Network en Harmony Bridge. De grootste aanval in 2025 was de hack van Bybit in februari, waarbij $1,46 miljard werd gestolen. Dit jaar werden 30 cryptoheists aan Noord-Koreaanse hackers toegeschreven. Elliptic, een blockchain-expert, benadrukt dat de werkelijke cijfers waarschijnlijk hoger zijn, aangezien veel incidenten niet gerapporteerd worden.

Bron 1

De hacktivistische groeperingen KAL EGY 319 en DigitalStormSec hebben officieel aangekondigd een nieuwe alliantie te vormen. Deze samenwerking vergroot hun gezamenlijke capaciteit om cyberaanvallen uit te voeren, wat de bredere cyberbeveiliging beïnvloedt. De twee groepen hebben een aantal gemeenschappelijke doelen en zijn bekend om hun betrokkenheid bij cyberaanvallen met politieke en sociale doeleinden. Het is nog niet duidelijk welke specifieke doelen de alliantie in de toekomst zal aanvallen, maar de impact op zowel particuliere als overheidsdoelen kan significant zijn. De oprichting van deze alliantie benadrukt de groeiende trend van samenwerking tussen hacktivisten en hun toegenomen aanwezigheid op de internationale cyberdreigingskaart.

De hacktivistische groepen ClawSec Team en BDAnonymous hebben een nieuwe alliantie aangekondigd. Deze samenwerking heeft tot doel hun cyberaanvallen verder te coördineren en uit te breiden. Beide groepen hebben zich in het verleden al onderscheiden door het uitvoeren van digitale aanvallen gericht op zowel overheidsinstellingen als particuliere organisaties. De officiële aankondiging benadrukt hun gezamenlijke inzet voor het uitvoeren van "digitale acties" met een politieke agenda, hoewel de specifieke doelwitten voor toekomstige aanvallen niet volledig worden gedeeld. Deze alliantie kan mogelijk leiden tot een toename van cyberdreigingen, met name voor landen die als doelwit worden gezien door hacktivistische groeperingen. De ontwikkeling is belangrijk voor zowel nationale als internationale beveiligingsdiensten die moeten inspelen op de dynamiek van deze nieuwe coalitie van digitale activisten.

In de nacht van 10 september 2025 werd Polen overspoeld door een enorme hoeveelheid pro-Russische desinformatie op sociale media, gelijktijdig met de insluiting van 19 Russische drones in Pools luchtruim. Veel berichten beschuldigden Oekraïne of de NAVO, terwijl ze de drones aanvielen als een “buitenlandse provocatie” die Polen in een wereldconflict zou moeten trekken. Cybersecurity-experts gaven aan dat ongeveer 200.000 berichten in slechts enkele uren werden geteld, wat resulteerde in een “tsunami van desinformatie”. Berichten beweerden dat de Poolse strijdkrachten en NAVO machteloos waren ondanks hun enorme middelen en beschuldigden de autoriteiten ervan de waarheid voor het publiek te verbergen. De desinformatiecampagne breidde zich ook uit naar sociale netwerken in Frankrijk, Duitsland en Roemenië. De omvang van deze campagne roept bezorgdheid op over de strategie van Rusland om twijfel te zaaien over de betrouwbaarheid van de NAVO en publieke steun voor militaire uitgaven te ondermijnen.

Bron 1

Russische hackers hebben kunstmatige intelligentie (AI) ingezet in hun cyberaanvallen op Oekraïne, met een significant stijgende trend in 2025. In de eerste helft van 2025 werden 3.018 cyberincidenten geregistreerd, een toename ten opzichte van het tweede halfjaar van 2024. De aanvallen richten zich niet alleen op phishing, maar ook op geavanceerde malware die waarschijnlijk met AI is gegenereerd. Bekende aanvallers, zoals UAC-0219 en UAC-0226, verspreiden kwaadaardige software via phishingcampagnes gericht op de Oekraïense defensie en kritieke infrastructuur. Daarnaast werden kwetsbaarheden in populaire webmailsoftware zoals Roundcube en Zimbra misbruikt voor zero-click-aanvallen, waarmee aanvallers toegang kregen tot gevoelige gegevens. De inzet van legitieme online diensten, zoals Google Drive en Telegram, voor het hosten van malware, is een groeiende trend. Deze aanvallen zijn onderdeel van een bredere hybride oorlogsvoering waarbij cyberaanvallen en fysieke militaire operaties worden gecombineerd.

Bron 1

Ursula von der Leyen, voorzitter van de Europese Commissie, waarschuwde in een toespraak voor de toenemende dreiging van Russische cyberaanvallen en saboteurs als onderdeel van een hybride oorlog tegen Europa. Ze noemde recente incidenten, zoals schendingen van het Estse luchtruim en drones in verschillende EU-landen, als onderdeel van een zorgwekkend patroon van dreigingen. Von der Leyen benadrukte dat deze aanvallen geen toevalligheden zijn, maar deel uitmaken van een gecoördineerde campagne om de EU te destabiliseren. Ze drong aan op een gezamenlijke Europese strategie om snel te reageren op dergelijke dreigingen. In haar speech benadrukte ze de noodzaak van een nieuwe mindset en het ontwikkelen van strategische capaciteiten, in nauwe samenwerking met NAVO, om Europa tegen deze hybride oorlog te beschermen.

Bron 1

APT35, een aan de Iraanse Revolutionaire Garde (IRGC) gelinkt hackercollectief, heeft zijn aanvallen sinds de jaren 2010 voortdurend aangepast. Aanvankelijk gericht op phishing-campagnes voor het verzamelen van inloggegevens, heeft de groep nu een geavanceerd toolkit ontwikkeld voor netwerkdoorbraak en langdurige spionage. De aanvallen beginnen met zorgvuldig samengestelde spear-phishing berichten, die kwetsbaarheden in Office-macro's misbruiken om achterdeurtjes te installeren. De gebruikte toolset bevat zowel op maat gemaakte als publieke componenten, waarmee de onderzoekers unieke codevingerafdrukken kunnen volgen, zelfs bij veranderingen in payloads. De groep maakt gebruik van .NET-gebaseerde implantaten en technieken zoals in-memory uitvoering om forensisch onderzoek te bemoeilijken. Gecompromitteerde netwerken hebben te maken gehad met gegevensdiefstal, waaronder diplomatieke communicatie en strategische informatie. APT35 gebruikt open-source intelligence (OSINT) voor het maken van overtuigende lures en blijft via versleutelde kanalen onopgemerkt opereren.

Bron 1

Een Russische hacktivistengroep, TwoNet, heeft zich in minder dan een jaar tijd van DDoS-aanvallen naar aanvallen op kritieke infrastructuur verplaatst. Recent claimden ze een aanval op een waterzuiveringsinstallatie, maar deze bleek een honeypot, opgezet door onderzoekers om aanvallers te monitoren. De aanval, die in september plaatsvond, onthulde dat TwoNet binnen 26 uur van initiële toegang overging tot verstorende acties. De hackers wisten toegang te krijgen via standaardwachtwoorden, en gebruikten een oude kwetsbaarheid om meldingen op de HMI (Human Machine Interface) te triggeren, met als boodschap "Hacked by Barlati". Ze verstoorden processen door real-time updates uit te schakelen en wijzigingen aan te brengen in de PLC-instellingen. Forescout, het onderzoeksbedrijf dat de aanval volgde, waarschuwt kritieke infrastructuurorganisaties voor zwakke authenticatie en blootstelling aan het openbare internet.

Bron 1

Een recente onthulling heeft aangetoond dat de regering van Viktor Orbán in Hongarije betrokken zou zijn bij een spionagenetwerk in Brussel, waarbij geprobeerd werd invloed uit te oefenen op de hoogste niveaus van buitenlandse regeringen. Het netwerk zou opereren onder de leiding van Orbán en gericht zijn op het vergaren van inlichtingen en het beïnvloeden van besluitvormingsprocessen binnen de EU en NAVO. Critici stellen dat de EU dringend een mechanisme moet ontwikkelen om deze spionageactiviteiten aan te pakken, met harde straffen voor degenen die schuldig worden bevonden aan landverraad of andere schadelijke activiteiten tegen de veiligheid van de EU. De zaak heeft al geleid tot een breed debat over de mogelijke uitsluiting van Hongarije uit belangrijke internationale organisaties, waaronder de EU en NAVO.

Bron 1

Polen heeft aangegeven dat de hoeveelheid cyberaanvallen door Rusland op kritieke infrastructuur aanzienlijk is gestegen. Het Ministerie van Digitale Zaken meldde dat de militaire inlichtingendiensten van Rusland hun middelen voor dergelijke aanvallen dit jaar hebben verdrievoudigd. Van de 170.000 cyberincidenten die dit jaar tot nu toe zijn geregistreerd, wordt een groot aantal toegeschreven aan Russische actoren. Polen ervaart dagelijks tussen de 2.000 en 4.000 incidenten, waarvan 700 tot 1.000 serieuze dreigingen zijn. Naast water- en rioleringssystemen richt de Russische cyberaanval zich ook steeds meer op de energiesector. Deze toename van Russische cyberactiviteiten komt overeen met fysieke aanvallen, zoals de drone-aanval van 10 september. De Poolse regering beschouwt Rusland als een serieuze bedreiging voor haar nationale veiligheid, vooral gezien de steun van Polen aan Oekraïne en de voortdurende spanningen met Moskou.

Bron 1

Noord-Korea heeft duizenden IT-werknemers wereldwijd ingezet om via vervalste identiteiten te infiltreren in bedrijven. Deze werknemers opereren voornamelijk vanuit landen als China, Rusland en Zuid-Oost Azië, en gebruiken VPN's, virtuele servers en "laptop farms" om hun herkomst te verbergen. Ze verkrijgen freelance- of fulltimebanen via platforms zoals LinkedIn, Upwork en GitHub, waarbij ze gestolen of gehuurde identiteiten en AI-gegenererde profielfoto’s gebruiken. Eenmaal binnen kunnen ze malware verspreiden, data stelen of afpersing uitvoeren, terwijl ze tevens hun salarissen naar het regime doorsluizen. Microsoft heeft deze operaties gelabeld als "Jasper Sleet" en "Moonstone Sleet", met meer dan 10.000 actieve operaties wereldwijd. De dreiging breidt zich uit naar niet-IT-sectoren, zoals architectuur en industrieel ontwerp, waar toegang tot gevoelige infrastructuur kan leiden tot grotere risico's, waaronder spionage en de omzeiling van sancties.

Bron 1

Europa is sterk afhankelijk van Amerikaanse techbedrijven zoals Microsoft, Google en Apple voor essentiële digitale diensten. Deze afhankelijkheid werd pijnlijk duidelijk toen Microsoft op last van voormalig president Donald Trump de mailbox van de hoofdaanklager van het Internationaal Strafhof (ICC) uitzetten, wat de kwetsbaarheid van Europa benadrukt. Als de VS besluit deze bedrijven te verbieden diensten te leveren aan Europese overheden, bedrijven en burgers, zou de Europese digitale infrastructuur ernstig worden verstoord. Er zijn weinig Europese alternatieven voor deze diensten, wat de situatie bemoeilijkt. Europese leiders erkennen nu de noodzaak om digitale soevereiniteit na te streven, maar dit kan slechts op lange termijn worden gerealiseerd. Het gebrek aan zelfvoorziening in digitale technologieën heeft Europese landen kwetsbaar gemaakt voor externe invloeden, vooral gezien de strategische rol van technologie in geopolitieke kwesties.

Bron 1

De oorlog in Europa is geen toekomstig scenario meer, maar de harde realiteit. Van Oekraïne tot de Baltische Staten worden de strijdvelden gekarakteriseerd door drones, cyberaanvallen en nucleaire dreigingen. Rusland heeft zijn aanvallen uitgebreid met onder andere het schenden van NAVO-luchtruim, radardemping, en het uitvoeren van cyberaanvallen. De strategie van president Vladimir Poetin is om de druk op te voeren door op meerdere fronten tegelijk te escaleren. Het Westen, inclusief de NAVO, lijkt onvoldoende voorbereid op de dreiging van drones, die steeds vaker worden ingezet. Ook het gebruik van olie- en vrachtschepen door Rusland voor oorlogsinspanningen vergroot de complexiteit van de situatie. Europa wordt geconfronteerd met een hybride oorlog waarbij conventionele strijd wordt gecombineerd met moderne technologieën en nucleaire intimidatie, wat de geopolitieke stabiliteit verder onder druk zet.

Bron 1

De Nederlandse regering heeft ingegrepen bij de chipmaker Nexperia uit Nijmegen wegens ernstige bestuurlijke tekortkomingen. Als gevolg daarvan is de topman, Zhang Xuezheng, voorlopig geschorst. Het ministerie van Economische Zaken greep in op basis van de Wet beschikbaarheid goederen, die de regering toestaat maatregelen te nemen in geval van bedreigingen voor cruciale producten, zoals de chips van Nexperia die worden gebruikt in consumentenelektronica en auto's. De regering stelt dat de bestuurlijke fouten de continuïteit en de technologische capaciteit van Nederland en Europa in gevaar zouden kunnen brengen. Het moederbedrijf Wingtech uit China bekritiseerde het ingrijpen van de overheid, en beschuldigde Nederland van geopolitieke vooringenomenheid. Het beheer van Nexperia’s activa is tijdelijk overgedragen aan een andere partij.

Bron 1

De recente explosie in Tennessee bij Accurate Energetic Systems, op 10 oktober 2025, maakt deel uit van een zorgwekkende toename van incidenten bij Amerikaanse en Duitse defensiefaciliteiten, die belangrijke leveranciers zijn van militair materieel te midden van de oorlog in Oekraïne. De Verenigde Staten hebben te maken met operationele ongelukken, terwijl Duitsland wordt geconfronteerd met vermoedelijke Russische sabotage. In de VS zijn de incidenten de afgelopen achttien maanden verdubbeld, met een brand in Pennsylvania en een explosie in Tennessee, terwijl Duitsland drie verdachte incidenten ervaarde, waaronder brandstichting en een cyberaanval. De Duitse autoriteiten onderzoeken deze gevallen als sabotage, en er worden links gelegd naar Russische invloed. De incidenten benadrukken de kwetsbaarheden in de defensieve toeleveringsketens van de NAVO en roepen op tot verbeterde veiligheid en tegenmaatregelen.

Bron 1

In 2025 is hacktivisme een wereldwijde dreiging die zowel de surface web als het dark web beïnvloedt. Onderzoek naar meer dan 11.000 berichten van meer dan 120 hacktivistische groepen toont aan dat hun operaties vaak openbaar worden gecoördineerd, vooral via platforms zoals Telegram en X (voorheen Twitter). Hashtags spelen een cruciale rol in de campagnes van hacktivisten, dienen als politieke leuzen, coördineren aanvallen en claimen verantwoordelijkheid voor acties. In 2025 werden 2063 unieke hashtags geïdentificeerd, waarvan de meeste kortstondig waren. DDoS-aanvallen bleken de meest voorkomende cyberaanvallen. De timing van dreigementen, vaak met korte-termijnacties, maakt open-channeldetectie nuttig voor vroege waarschuwingen. Bedrijven moeten prioriteit geven aan DDoS-mitigatie, voortdurende monitoring en snel reageren op bedreigingen die via deze openbare kanalen circuleren.

Bron 1

In de Russische cybercriminaliteit is een belangrijke verschuiving gaande. Marktplaatsen en cybercriminelen stappen over van het verkopen van gecompromitteerde RDP-toegang naar het verhandelen van malware-stealer logs. Deze verandering in tactieken heeft wereldwijd impact, aangezien deze logs belangrijke gegevens bevatten, zoals opgeslagen wachtwoorden, cookies, crypto-walletdetails en sessietokens. Stealer malware zoals RedLine, Raccoon en Vidar heeft deze trend versterkt, waarbij aanvallers steeds meer gebruikmaken van deze logs om toegang te krijgen tot systemen en accounts, vaak met grotere stealth en efficiëntie dan traditionele methoden. Deze logs worden snel verhandeld op forums, waarbij aanvallers direct in staat zijn om slachtoffers te imiteren en accounts over te nemen, wat de risico's voor gegevensdiefstal vergroot. Cyberbeveiligingsprofessionals moeten zich aanpassen door real-time logmonitoring en versnelde incidentrespons in te zetten om deze geautomatiseerde dreigingen te bestrijden.

Chinese staats-hackers hebben meer dan een jaar lang onopgemerkt toegang gehad tot een doelwit door een component van de ArcGIS geo-mapping tool om te vormen tot een webshell. Ze gebruikten geldige beheerdersreferenties om in te loggen op een publieke ArcGIS-server die verbonden was met een interne server. Via deze toegang uploadden ze een kwaadaardige Java SOE, die als webshell fungeerde en commando’s uitvoerde zonder detectie. De hackers gebruikten de webshell om SoftEther VPN Bridge te installeren, wat een beveiligde verbinding opbouwde naar hun server, waardoor ze verder konden opereren in het netwerk. Deze VPN bleef actief, zelfs als de webshell verwijderd werd. Het aanvallende Flax Typhoon-groep heeft eerder bekendheid verworven door spionagecampagnes en heeft tactieken gebruikt om langdurige toegang tot netwerken te verkrijgen. Esri, de ontwikkelaar van ArcGIS, heeft bevestigd dat dit de eerste keer is dat een SOE op deze manier is misbruikt.

Bron 1

NoName057(16) en AnonGhost Official hebben officieel een nieuwe alliantie aangekondigd. Beide hacktivistische groepen, die bekendstaan om hun cyberaanvallen op overheidsinstellingen en kritieke infrastructuren, bundelen hun krachten. De alliantie wordt als een nieuwe stap in de wereld van hacktivisme gepresenteerd, waarbij beide groepen hun activiteiten en middelen delen. Deze samenwerking kan leiden tot een intensivering van cyberaanvallen die gericht zijn op zowel nationale als internationale doelen. De betrokkenheid van deze groepen kan de complexiteit van geopolitieke spanningen en digitale dreigingen verder vergroten, aangezien hacktivisten steeds meer invloed uitoefenen in de digitale strijd. Het is nog niet duidelijk welke specifieke doelen deze alliantie zal gaan aanvallen, maar de bekendmaking is een waarschuwing voor een mogelijke opschaling van cyberactiviteiten.

Vladimir V. en Aleksei Z., twee Russische ondernemers, werkten met hun bedrijf GlobalNet in Amsterdam, dat onder andere Telegram-servers beheerde. Het bedrijf heeft sinds 2016 telecomdiensten geleverd aan Voentelekom, een provider van het Russische leger, en sinds 2024 aan een onderzoeksinstituut voor kernenergie. In hun functie hebben zij zakelijke contacten onderhouden met de Russische geheime dienst, de FSB. Terwijl ze ontkennen Europese sancties te hebben geschonden, blijkt uit onderzoek dat het bedrijf mogelijk in strijd is met de wetgeving door zaken te doen met gesanctioneerde Russische bedrijven. Telegram heeft ontkend ooit zaken te hebben gedaan met GlobalNet, maar bevestigt dat het bedrijf in het verleden wel telecomdiensten voor Telegram heeft geleverd. Vladimir V. beweert dat hij nooit toegang heeft gehad tot gebruikersdata van Telegram. Dit alles komt naar voren in een BNR-onderzoek, waarbij vragen rijzen over de rol van Nederlandse bedrijven in deze activiteiten.

Bron 1

Mysterious Elephant is een geavanceerde bedreigingsgroep die sinds 2023 actief is en zich richt op overheidsinstellingen en diplomatieke sectoren in de Aziatisch-Pacifische regio. De groep maakt gebruik van op maat gemaakte en open-source tools, zoals BabShell en MemLoader, om gevoelige informatie te stelen. De recente campagnes, gestart in 2025, tonen een verschuiving in hun technieken, waarbij ze spear phishing en kwaadaardige documenten gebruiken om toegang te krijgen. Een opvallend aspect van hun aanvallen is het gebruik van WhatsApp-specifieke exfiltratie-tools, waarmee ze documenten, afbeeldingen en andere gevoelige gegevens van besmette systemen stelen. De groep is bijzonder gericht op landen zoals Pakistan, Bangladesh en Sri Lanka, waarbij ze specifieke slachtofferorganisaties aanvallen met op maat gemaakte malware. Gezien de geavanceerde methoden en het constante aanpassingsvermogen, blijft Mysterious Elephant een belangrijke bedreiging voor de nationale veiligheid.

Bron 1

Op 7 oktober 2025 lanceerde een pro-Russische hacktivistengroep een grootschalige cyberaanval gericht op Israël en geallieerde landen. De campagne omvatte 57 gecoördineerde DDoS-aanvallen in één dag, een recordaantal vergeleken met de maand ervoor. De aanval was het hoogtepunt van een bredere strategie, waarbij verschillende hacktivistengroepen samenwerkten, waaronder Arabian Ghosts, Keymous+, OpIsrael, en NoName057(16). Deze samenwerking tussen verschillende ideologische groeperingen benadrukte de grenzen die vervagen in cyberoorlogvoering. De aanvallen richtten zich op overheidswebsites, financiële instellingen en e-commerceplatforms, maar ook op sectoren zoals onderwijs, gezondheidszorg, productie en retail. De aanvallers gebruikten geavanceerde propaganda- en coördinatietools, waaronder Telegram en sociale media, om aanvallen te orkestreren en de zichtbaarheid te vergroten. Dit weerspiegelt een toenemende verfijning van de tactieken en het gebruik van vrijwilligersnetwerken voor de uitvoering van de cyberaanvallen.

Bron 1

De Oekraïense inlichtingendienst HUR heeft opnieuw een cyberaanval uitgevoerd op de Russische internetprovider Orion Telecom, waarbij de schade meer dan 66 miljoen roebel (ongeveer $840.000) bedraagt. Het incident vond plaats als onderdeel van een bredere campagne door HUR om de digitale infrastructuur van Rusland te verstoren. De aanval leidde tot een datalek, waarbij persoonlijke gegevens van gebruikers werden blootgesteld. Orion Telecom had eerder een klacht ingediend bij de Russische politie en vroeg om een strafrechtelijk onderzoek. De cyberoperatie werd in juni al ingezet, en sinds die tijd zijn verschillende systemen van de provider verstoord, met als gevolg uitval van internet en televisie in meerdere regio's, waaronder een gesloten stad die gespecialiseerd is in uraniumwinning. HUR heeft ook andere Russische netwerken en platforms aangevallen in eerdere operaties, wat de voortdurende digitale strijd tussen de twee landen weerspiegelt.

Bron 1

De Chinese hacker groep 'Jewelbug' heeft zich maandenlang stilletjes toegang verschaft tot een Russisch IT-dienstverleningsbedrijf, van januari tot mei 2025. De groep maakte gebruik van Microsoft-hulpmiddelen en heeft gegevens geëxfiltreerd via Yandex Cloud. De aanvallen werden onderzocht door het bedrijf Symantec, dat Jewelbug koppelt aan andere bekende Chinese bedreigingsactoren. De inbraak heeft de toegang verschaft tot belangrijke code repositories en softwarebuildsystemen, wat de mogelijkheid creëert voor toekomstige supply chain-aanvallen. Bij de aanval werd een aangepaste versie van Microsoft Console Debugger gebruikt, wat het mogelijk maakte om beveiligingsmaatregelen te omzeilen en schadelijke code te draaien. Het gebruik van cloudservices en legitieme tools toont de voorkeur van Jewelbug voor een subtiele en langdurige aanwezigheid op slachtoffernetwerken, wat de detectie bemoeilijkt. Dit incident benadrukt de voortdurende dreiging van Chinese cyberoperaties, zelfs tegenover landen met sterkere diplomatieke banden met China.

Bron 1

Rusland, China, Iran en Noord-Korea maken steeds meer gebruik van kunstmatige intelligentie (AI) om online misleiding te verspreiden en cyberaanvallen uit te voeren op de Verenigde Staten. Microsoft ontdekte in juli 2025 meer dan 200 gevallen van buitenlandse tegenstanders die AI gebruikten voor het creëren van valse content, een verdubbeling ten opzichte van het jaar ervoor. Deze landen en andere kwaadwillende actoren gebruiken AI om cyberaanvallen te automatiseren, desinformatie te verspreiden en gevoelige systemen te penetreren. De aanvallen richten zich vaak op overheden, bedrijven en kritieke infrastructuur, zoals ziekenhuizen en vervoersnetwerken. AI maakt het mogelijk om phishing-e-mails te verbeteren en digitale kloons van regeringsfunctionarissen te creëren. Microsoft waarschuwt dat bedrijven en organisaties hun cyberbeveiliging moeten versterken, aangezien AI de dreigingen in cyberspace versnelt.

Bron 1

Noord-Koreaanse hackers hebben de EtherHiding-techniek geïntroduceerd, waarmee ze malware kunnen verbergen in slimme contracten op publieke blockchains zoals Ethereum en Binance Smart Chain. Deze methode, die sinds februari 2025 door de DPRK wordt gebruikt, maakt het mogelijk om kwaadaardige scripts te hosten en te distribueren zonder dat er zichtbare transacties zijn, waardoor de aanvallen moeilijker te detecteren zijn. De hackers richten zich voornamelijk op softwareontwikkelaars door middel van valse sollicitatiegesprekken, waarbij de slachtoffers schadelijke code uitvoeren die vervolgens malware downloadt. De eerste fase van de infectie gebruikt een downloader, gevolgd door een tweede fase waarbij gegevens zoals inloggegevens en crypto-wallet-informatie worden gestolen. EtherHiding biedt anonimiteit, lage kosten en de mogelijkheid om payloads te updaten, waardoor de aanvallen zeer flexibel en moeilijk te traceren zijn.

Bron 1

De Britse binnenlandse inlichtingendienst MI5 staat onder druk door de toenemende dreigingen van Rusland, Iran en China. MI5-directeur Ken McCallum meldde een stijging van 35% in het aantal personen die worden onderzocht voor staatsdreigingen. Volgens McCallum is de organisatie in 2025 geconfronteerd met een grotere en gevarieerdere dreiging van zowel terroristen als statelijke actoren dan ooit tevoren. Hij benadrukte dat landen zoals Rusland, Iran en China steeds vaker “de agressieve methoden” gebruiken die MI5 eerder alleen in terreurzaken tegenkwam. McCallum verwees ook naar de voortdurende online campagnes van Rusland die gericht zijn op het testen van de kwetsbaarheden binnen de Britse samenleving. Daarnaast waarschuwde hij voor de toenemende cyberspionage vanuit China en de pogingen van Iran om critici het zwijgen op te leggen. MI5 blijft waakzaam om deze dreigingen tegen te gaan.

Bron 1

Noord-Koreaanse hackers hebben een nieuwe informatie-steler verspreid via een gemanipuleerde Node.js applicatie genaamd Chessfi. Deze malware maakt gebruik van twee bestaande tools, BeaverTail en OtterCookie, die samen een complex JavaScript-payload vormen. Het slachtoffer wordt misleid door valse werkgelegenheidsaanbiedingen en gevraagd de applicatie te installeren onder het mom van een codeerbeoordeling. Eenmaal geïnstalleerd, worden inloggegevens, cryptowallets en gebruikersactiviteiten gestolen. Cisco Talos ontdekte de campagne toen ze ongebruikelijke netwerkactiviteit op een gecompromitteerd systeem onderzochten. De malware creëert een verbinding met een command-and-control server en kan bestanden stelen, shell-opdrachten uitvoeren en keylogging-acties uitvoeren. Daarnaast worden regelmatig screenshots gemaakt en gegevens van het klembord geüpload naar de server. Het infectiemechanisme is complex en ontwijkt detectie door een meerfasige infectieketen en verborgen processen.

Bron 1

Cybercriminelen die geassocieerd worden met de Noord-Koreaanse groep WaterPlum hebben een geavanceerde nieuwe malware, OtterCandy, gelanceerd. Deze malware, die fungeert als een platformonafhankelijke RAT (Remote Access Trojan) en gegevensdief, maakt gebruik van de ClickFake Interview-campagne. Deze sociale-engineeringaanval verbergt zich als een legitiem sollicitatieproces in de blockchain- en cryptocurrencysectoren. Aanvallers creëren geloofwaardige nepwebsites, zoals BlockForgeX, die als sollicitatie- en interviewplatforms dienen, waarbij slachtoffers worden verleid om schadelijke software te downloaden onder het mom van instructies voor camera-instellingen of stuurprogramma-updates. De malware is sinds juli 2025 actief op Windows, macOS en Linux-systemen en biedt geavanceerde functies zoals het stelen van wachtwoorden, systeeminformatie en cryptocurrency-portemonneegegevens. OtterCandy heeft een verbeterd zelfbehoudsmechanisme, waardoor het blijft draaien, zelfs na pogingen tot detectie.

Bron 1

Noord-Koreaanse hackers zijn steeds actiever en vormen een grote dreiging voor Europese bedrijven en instellingen, vooral in strategische sectoren zoals defensie, lucht- en ruimtevaart, en energie. Volgens analisten heeft het land zijn cybercapaciteiten aanzienlijk versterkt, niet alleen voor financieel gewin, maar ook voor spionage. Noord-Korea steelt steeds vaker geheime informatie, gericht op zowel commerciële als overheidsdoelen in Europa. De staatshackers gebruiken verschillende methoden, van ransomware-aanvallen tot het verkrijgen van toegang tot vitale infrastructuur via valse IT-werknemers. Noord-Korea's cyberoperaties zijn vaak financieel gemotiveerd, maar dragen bij aan het regime's bredere doelen, zoals kernwapenontwikkeling. Analisten benadrukken dat Noord-Korea niet langer gezien moet worden als de kleinere speler in het oosten, maar als een serieuze geopolitieke dreiging die het Westen serieus moet nemen. Het land werkt ook nauw samen met Russische cybercriminaliteit om zijn doelen te bereiken.

Bron 1

Een nieuwe cyberaanval is gericht op de Russische auto- en e-commerce sector met behulp van een onbekende .NET malware, genaamd CAPI Backdoor. De aanvallen verspreiden zich via phishing e-mails die een ZIP-bestand bevatten, dat een vals belastingdocument en een Windows-snelkoppeling bevat. Wanneer de snelkoppeling wordt uitgevoerd, installeert de malware zich via het legitieme programma "rundll32.exe." De backdoor kan gegevens stelen van webbrowsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox, en maakt screenshots. Het kan ook systeeminformatie verzamelen en bestanden exfiltreren naar een externe server. Daarnaast probeert de malware persistentie te behouden door een geplande taak in te stellen en een snelkoppeling in de opstartmap van Windows te maken. Onderzoekers vermoeden dat de aanvallen gericht zijn op de Russische auto-industrie vanwege een specifiek domein dat zich voordoet als een legitieme site.

Bron 1, 2, 3

China heeft de Amerikaanse Nationale Veiligheidsdienst (NSA) beschuldigd van het uitvoeren van cyberaanvallen op het nationale tijdcentrum van China. Volgens de beschuldigingen heeft de NSA in 2022 kwetsbaarheden in de berichtenservices van een buitenlandse mobiele telefoonmerk misbruikt om gevoelige gegevens van medewerkers van het tijdcentrum te stelen. Tussen 2023 en 2024 zou de NSA ook geprobeerd hebben om toegang te krijgen tot kritieke tijdsystemen. Het tijdcentrum is verantwoordelijk voor het genereren en distribueren van de officiële tijd van China en levert tijdsynchronisatie aan sectoren zoals communicatie, financiën, energie, transport en defensie. De Chinese regering beweert bewijs te hebben van de aanval, maar heeft dit niet openbaar gedeeld. Deze beschuldiging zou de spanningen tussen de VS en China verder kunnen verergeren, bovenop de bestaande handel, technologie en Taiwankwesties.

Bron 1

De AIVD en MIVD delen sinds het aantreden van Donald Trump minder informatie met hun Amerikaanse tegenhangers, vooral vanwege zorgen over de politisering van inlichtingen en schendingen van mensenrechten in de VS. De diensten bekijken per geval of informatie gedeeld kan worden, en stellen dat ze alert zijn op mogelijke misbruik van inlichtingen. Desondanks blijven de banden met de CIA en NSA goed, maar de nadruk ligt nu meer op samenwerking met Europese landen, waaronder Noord-Europa, Groot-Brittannië, Duitsland, en de Scandinavische landen. De toegenomen Russische cyberdreiging heeft deze Europese samenwerking versterkt, aangezien Rusland jaarlijks meerdere succesvolle hacks uitvoert in Nederland. Akerboom en Reesink benadrukken dat de afname in samenwerking met de VS een gevolg is van politieke veranderingen in Amerika en de veranderende aard van internationale dreigingen.

Bron 1

Russische hackers hebben toegang gekregen tot de gegevenssystemen van het Britse Ministerie van Defensie en gestolen documenten die gevoelige informatie bevatten over militaire bases, waaronder RAF Lakenheath, waar de F-35-jets van de Amerikaanse luchtmacht zijn gestationeerd. Ongeveer 272.000 personeelsleden van de strijdkrachten zouden getroffen zijn. De cybercriminelen kregen tijdelijk toegang tot het systeem van een onderhouds- en bouwcontractor, de Dodd Group, via ransomware. Er werd bevestigd dat persoonlijke gegevens, zoals namen, bankgegevens en adressen, van militair personeel en veteranen zijn gepubliceerd. Het ministerie van Defensie is een onderzoek gestart naar het incident en bevestigde dat er gegevens op het Dark Web zijn verschenen. Dit volgt op eerdere datalekken, waaronder een incident in 2022 waarin vertrouwelijke informatie over de Afghanistan Response Route werd blootgesteld.

Bron 1

Hackers, vermoedelijk gelieerd aan de Chinese cyberespionagegroep Salt Typhoon, hebben in juli 2025 geprobeerd toegang te krijgen tot een Europees telecombedrijf. Ze exploiteerden een kwetsbaarheid in een Citrix NetScaler Gateway-apparaat om hun aanval te starten. Na het verkrijgen van toegang gebruikten de aanvallers de Citrix Virtual Delivery Agent (VDA) om hun positie verder te verstevigen, met behulp van SoftEther VPN om hun oorsprong te verbergen. Tijdens de aanval werd de Snappybee-malware geïntroduceerd, vermoedelijk een opvolger van ShadowPad-malware die eerder door dezelfde groep werd gebruikt. Deze malware werd via een techniek genaamd DLL-side-loading geïntroduceerd, waarbij legitieme antivirussoftware werd misbruikt om de kwaadaardige code uit te voeren. De aanval werd echter op tijd opgemerkt en verholpen voordat er ernstige schade ontstond.

Bron 1

Google Threat Intelligence heeft drie nieuwe malwarefamilies geïdentificeerd, gelinkt aan de Russische hacker groep COLDRIVER. Deze malware, genaamd NOROBOT, YESROBOT en MAYBEROBOT, werd ontwikkeld vanaf mei 2025 en vertoont een versneld ontwikkeltempo. De aanvallen van COLDRIVER hebben zich ontwikkeld van de eerder gebruikte LOSTKEYS malware naar de nieuwe "ROBOT" families. De nieuwe malware werd verspreid via zogenaamde ClickFix-lures die gebruikers misleiden tot het uitvoeren van schadelijke PowerShell-opdrachten. De aanvallen lijken gericht te zijn op het verzamelen van inloggegevens van belangrijke doelwitten, zoals NGO-medewerkers en beleidsadviseurs. Het gebruik van NOROBOT en MAYBEROBOT is opvallend flexibel en werd snel ingezet na de publieke onthulling van de eerdere malware. Google benadrukt dat de hackers voortdurend de malware aanpassen om detectie te vermijden en gerichte spionageactiviteiten voort te zetten. Dit volgt op de arrestatie van drie jonge mannen in Nederland, verdacht van het verlenen van diensten aan een buitenlandse overheid.

Bron 1, 2, 3, 4, 5

De door de Russische staat gesteunde hacker groep Star Blizzard heeft zijn aanvallen geïntensiveerd met nieuwe, voortdurend evoluerende malwarefamilies, waaronder NoRobot en MaybeRobot. Deze malware wordt ingezet via complexe leveringsketens, beginnend met social engineering-aanvallen via ClickFix. De groep, ook bekend als ColdRiver, UNC4057 en Callisto, is overgestapt van de eerder gebruikte LostKeys malware, minder dan een week na publieke bekendmaking van de kwetsbaarheid. De aanvallen beginnen vaak met valse CAPTCHA-pagina's die slachtoffers misleiden om schadelijke software uit te voeren. Sinds juni heeft de groep verschillende versies van NoRobot ingezet, die zijn geoptimaliseerd voor stealth en effectiviteit. De operatie wordt toegeschreven aan de Russische inlichtingendienst FSB, en de aanvallen richten zich op spionage, waarbij gevoelige gegevens van doelwitten zoals overheidsinstanties en journalisten worden gestolen.

Bron 1

HEZI RASH heeft een DDoS-aanval geclaimd op meerdere websites, waaronder die van het Belgische parlement. De aanval is gericht op het verstoren van de toegankelijkheid van de site, wat de werking van de betrokken instellingen kan belemmeren. Hoewel andere doelwitten, zoals de Turkse Defensie en het Istanbul Expo Center, ook werden aangevallen, is de impact op België het meest opvallend, aangezien het parlement een belangrijk doelwit was. De details over de schade zijn op dit moment nog niet volledig bekend, maar de aanval benadrukt de kwetsbaarheid van overheidswebsites voor dergelijke cyberaanvallen.

Op 8 oktober 2025 werd een gerichte spearphishingaanval uitgevoerd tegen leden van de Oekraïense regionale overheidsadministratie en organisaties die cruciaal zijn voor de oorlogshulp in Oekraïne, waaronder het Internationale Rode Kruis, UNICEF en verschillende NGO’s. De aanval, genaamd PhantomCaptcha, gebruikte valse Cloudflare CAPTCHA-verificaties om slachtoffers te misleiden en hen te dwingen een PowerShell-opdracht uit te voeren, wat resulteerde in de installatie van een WebSocket Remote Access Trojan (RAT). Deze malware stelt aanvallers in staat om op afstand commando’s uit te voeren en gegevens te exfiltreren. De aanvallen waren beperkt tot één dag, maar de gebruikte infrastructuur was al sinds maart 2025 in voorbereiding. De onderzoekers vermoeden dat de aanvallen mogelijk in verband staan met Russische actoren. Bron 1

Tussen mei en augustus 2025 werd een gerichte dreigingscampagne waargenomen waarbij de Cavalry Werewolf APT-groep, ook bekend als YoroTrooper en Silent Lynx, verschillende vitale sectoren in Rusland aanvalt. De groep maakt gebruik van op maat gemaakte malware, zoals FoalShell en StallionRAT, via phishing-aanvallen die officiële correspondentie van de overheid nabootsen. De aanvallen richten zich voornamelijk op de energie-, mijnbouw- en productiesectoren. De malware is ontworpen voor langdurige toegang en uitvoering van commando's op geïnfecteerde systemen. De gebruikte phishing-e-mails, vermomd als communicatie van de Kyrgyzse overheid, bevatten schadelijke RAR-archieven die de malware bevatten. Deze aanvallen zijn bijzonder verfijnd en maken gebruik van verschillende programmeertalen om detectie te omzeilen, wat de dreiging vergroot. Er zijn aanwijzingen dat de groep zich mogelijk richt op andere regio’s, waaronder Tajikistan en het Midden-Oosten.

Bron 1

Noord-Koreaanse hackers hebben miljarden dollars gestolen door in te breken op cryptocurrency-exchanges en valse identiteiten te creëren om op afstand technische banen bij buitenlandse bedrijven te verkrijgen. Deze activiteiten worden uitgevoerd om het nucleaire wapenprogramma van het land te financieren, volgens een internationaal rapport over Noord-Korea's cybercapaciteiten. De cyberaanvallen hebben zich gericht op buitenlandse bedrijven en organisaties, waarbij malware werd gebruikt om netwerken te verstoren en gevoelige gegevens te stelen. Het rapport geeft aan dat Noord-Korea, ondanks zijn kleine omvang, grote investeringen heeft gedaan in offensieve cybercapaciteiten en nu een bedreiging vormt voor buitenlandse overheden, bedrijven en individuen. Noord-Korea heeft ook cryptocurrency gebruikt om geld wit te wassen en militaire aankopen te doen, waarmee het probeert de internationale sancties te omzeilen die het land opgelegd zijn vanwege zijn nucleaire programma.

Bron 1

De Iraanse hackergroep MuddyWater, ook wel bekend als Static Kitten, Mercury en Seedworm, heeft meer dan 100 overheidsinstellingen aangevallen met de Phoenix-backdoor. Deze groep richt zich voornamelijk op overheids- en particuliere organisaties in het Midden-Oosten. De aanvallen begonnen op 19 augustus met een phishingcampagne, waarbij kwaadaardige e-mails werden verzonden met besmette Word-documenten. Het document bevatte een VBA-macro die de 'FakeUpdate'-loader op de systemen installeerde, wat leidde tot de invoering van versie 4 van de Phoenix-backdoor. De malware verzamelt systeeminformatie, maakt verbinding met een command-and-controlserver en stelt aanvallers in staat om bestanden te downloaden, up te daten en gegevens te exfiltreren. MuddyWater gebruikte ook een aangepaste infostealer om gegevens van webbrowsers zoals Chrome, Opera en Edge te stelen. De aanvallen zijn duidelijk gelinkt aan de groep door de gebruikte technieken en doelwitten.

Bron 1

De documentaire "Midnight in the War Room," geproduceerd door Semperis, biedt een diepgaand kijkje in de hedendaagse cyberoorlog tussen nationale staten, criminele groepen en verdedigers. De film, die in 2026 zal verschijnen, belicht de menselijke kant van cyberoorlog, met getuigenissen van experts zoals Grace Cassy, voormalig Brits diplomaat, en voormalig CIA-directeur David Petraeus. De documentaire werpt een licht op de impact van cyberdreigingen op economieën en samenlevingen, en benadrukt de constante dreiging voor vitale infrastructuren zoals water- en energiesystemen. Ook de versnelling van AI, quantumtechnologie en biotech wordt besproken in relatie tot cyberverdediging. De film biedt een belangrijk perspectief op de technologische innovaties en de groeiende dreigingen vanuit zowel staatsactoren als criminele groepen. De productie heeft tot doel het bewustzijn over de ernst van cyberdreigingen te vergroten.

Bron 1

In oktober 2025 werd de cyberespionagecampagne van de groepering TransparentTribe geanalyseerd, die gericht was op Indiase militaire organisaties. De aanval begon met een phishingcampagne, gevolgd door het verspreiden van DeskRAT, een op Golang gebaseerde Remote Access Trojan (RAT). Het kwaadaardige bestand werd verspreid via een ZIP-archief, dat een DESKTOP-bestand bevatte. Bij uitvoering downloadde het bestand een bas64-gecodeerd payload en installeerde DeskRAT, dat via een WebSocket-verbinding met een command-and-control-server (C2) communiceerde. DeskRAT bevat verschillende functies, waaronder het verzamelen van bestanden, het uitvoeren van opdrachten en het onderhouden van persistentie via meerdere technieken. De aanval was gericht op het BOSS-besturingssysteem, dat veel gebruikt wordt door de Indiase overheid. De geïnfecteerde documenten bevatten valse informatie over militaire operaties en werden gebruikt als lokmiddel om de slachtoffers te misleiden.

Bron 1

De Europese Commissie verwelkomt de intensivering van de digitale samenwerking tussen Moldavië en de EU, met als doel de cyberbeveiliging te verbeteren, desinformatie te bestrijden en Moldavië op te nemen in de EU-roamingzone. De goedkeuring van het gebruik van het EU Cybersecurity Reserve voor Moldavië is een belangrijke stap in de regionale beveiliging en de digitale samenwerking tussen de EU en Moldavië onder de Cyber Solidarity Act. Dit akkoord markeert de eerste succesvolle cyberovereenkomst onder het Deense voorzitterschap en biedt steun bij het aanpakken van ernstige cyberincidenten. Daarnaast zal Moldavië deelnemen aan het ‘Roam Like at Home’-initiatief, waardoor Moldavische burgers en EU-reizigers zonder extra kosten kunnen bellen, sms'en en mobiele data gebruiken. Verder werd een nieuwe hub van de European Digital Media Observatory opgericht om de veerkracht tegen buitenlandse inmenging en desinformatie te versterken.

Bron 1

De Bitter APT-groep, ook bekend als APT-Q-37 of 蔓灵花 in China, heeft een geavanceerde cyberespionagecampagne gelanceerd. Deze richt zich op overheidsinstanties, militaire installaties en kritieke infrastructuur in China en Pakistan. De groep maakt gebruik van gemanipuleerde Microsoft Office-documenten die een onbekende zero-day kwetsbaarheid in WinRAR uitbuiten. Dit leidt tot de installatie van een op maat gemaakte C#-backdoor op de getroffen systemen. De aanval wordt uitgevoerd via twee methoden: een Excel-bestand met VBA-macro’s en een WinRAR-paddoorbreking die de kwetsbaarheid voor versie 7.11 en eerder uitbuit. De backdoor stelt de aanvallers in staat om gevoelige gegevens te exfiltreren en op afstand commando’s uit te voeren. Het incident werd in oktober 2024 ontdekt door Qianxin-analisten die abnormale netwerkverkeerpatronen detecteerden.

Bron 1

De SideWinder hackinggroep heeft een geavanceerde aanvalstechniek ontwikkeld die gebruik maakt van ClickOnce-applicaties om StealerBot malware te verspreiden. In september 2025 werden gerichte aanvallen gedetecteerd tegen diplomatieke en overheidsinstellingen in Zuid-Azië, waaronder Sri Lanka, Pakistan, Bangladesh en India. Deze aanvallen vormen een belangrijke verschuiving in de tactieken van de groep, waarbij de traditionele Microsoft Word-exploits vervangen zijn door een complexere infectieketen via PDF's en ClickOnce-applicaties. De aanvallen werden uitgevoerd via zorgvuldig samengestelde spear-phishing e-mails, die slachtoffers ertoe brachten om een ogenschijnlijk legitiem Adobe Reader-updatebestand te downloaden. Door middel van DLL side-loading van legitieme MagTek binaries wisten de aanvallers beveiligingswaarschuwingen van Windows te omzeilen. De malware, eenmaal geactiveerd, voert geavanceerde spionage-operaties uit, waaronder het verzamelen van systeeminformatie en het exfiltreren van gevoelige data.

Bron 1

Een Noord-Koreaanse hackersgroep richt zich op Europese bedrijven die werken aan drone-technologie. De aanvallen, die plaatsvonden in Centraal- en Zuidoost-Europa, maken deel uit van een grootschalige cyberspionagecampagne uitgevoerd door de 'Lazarus-groep', een aan Noord-Korea gelieerde cyberaanvallers. Deze groep is al bekend door eerdere aanvallen, zoals het hacken van Sony en het stelen van cryptovaluta. De aanvallen zijn gericht op het verkrijgen van technische informatie over droneontwerpen, welke mogelijk kunnen bijdragen aan de Noord-Koreaanse droneproductie, die zich richt op het ontleden en nabouwen van bestaande technologie. De hackers gebruiken social engineering om medewerkers van bedrijven te verleiden op schadelijke bestanden te klikken. Bedrijven die betrokken zijn bij de productie van drones, waaronder defensiebedrijven, zijn risicovol doelwit van deze spionage.

Bron 1

Kaspersky heeft de ForumTroll APT-campagne gekoppeld aan de commercieel ontwikkelde Dante spyware, geproduceerd door Memento Labs (voorheen Hacking Team). Het onderzoek onthult een geavanceerde phishing-aanval, waarbij slachtoffers via gepersonaliseerde links naar een kwaadaardige website werden geleid. Deze aanvallen, gericht op media, universiteiten en financiële instellingen in Rusland en Wit-Rusland, werden uitgevoerd met behulp van een zero-day-exploit in Google Chrome. De malware werd geanalyseerd en blijkt deel uit te maken van een serie van gerichte aanvallen met als doel spionage. Kaspersky ontdekte ook dat de Dante spyware, die gebruik maakt van geavanceerde anti-analysetechnieken, in andere aanvallen werd ingezet, waarbij het gerelateerd werd aan eerdere malware van Hacking Team. Het onderzoek biedt belangrijke inzichten in de werkwijze van APT-groepen en de evolutie van commerciële spyware.

Bron 1

In Warschau komen NAVO-parlementsleden bijeen om te spreken over de groeiende dreiging van cyber- en hybride aanvallen, vooral vanuit Rusland en China. Experts waarschuwen dat bedrijven in Nederland onvoldoende voorbereid zijn op dergelijke aanvallen. Vooral vitale infrastructuren zoals energievoorziening, telecommunicatie en transport zijn kwetsbaar. Een hybride dreiging, zoals de recente drones die Europese luchthavens plaagden, is een voorbeeld van de destabiliserende tactieken die worden ingezet. Er wordt een gebrek aan bewustzijn gezien bij bedrijven, die zich vaak meer richten op aandeelhouders dan op voorbereid zijn op een conflict. Het versterken van de digitale weerbaarheid bij toeleveranciers van vitale bedrijven is essentieel om de keten te beschermen. De NAVO-parlementariërs zullen naar verwachting met weinig concrete oplossingen komen, aangezien hybride aanvallen moeilijk te voorkomen zijn, maar wel sneller op te sporen.

Bron 1

De hacktivistische groepen TwoNet en NoName057(16) hebben een officiële alliantie aangekondigd. Dit nieuws heeft geleid tot bezorgdheid in de cybersecuritygemeenschap, aangezien beide groepen bekend staan om hun cyberaanvallen op doelwitten die als politiek of ideologisch gevoelig worden beschouwd. De nieuwe samenwerking kan de dreiging voor zowel overheden als bedrijven wereldwijd vergroten. Experts waarschuwen voor de mogelijke versterking van hun cyberaanvallen, waarbij ze gebruik maken van gezamenlijke middelen en expertise. De alliantie kan ook de tactieken en strategieën van beide groepen verbeteren, wat leidt tot complexere aanvallen die moeilijker te voorspellen en te voorkomen zijn.

De Noord-Koreaanse Chollima-groep, gelinkt aan het Reconnaissance General Bureau, heeft zijn aanvalscapaciteiten versterkt door de integratie van twee nieuwe malwarestammen: BeaverTail en OtterCookie. Deze evolutie richt zich met vernieuwde verfijning op de cryptocurrency- en blockchainsectoren, waarbij gebruik wordt gemaakt van een combinatie van sociale-engineeringtactieken en technische supply chain-exploitatie. De campagne, genaamd Contagious Interview, maakt gebruik van legitieme jobplatforms en wervingskanalen om trojan-geïnfecteerde sollicitatie-applicaties te verspreiden. Het malware-pakket infiltreert systemen via schijnbaar onschuldige supply chain-vectoren, zoals een cryptocurrency-thema schaakplatform. De geavanceerde malware is ontworpen om browserprofielen te scannen en cryptocurrency-wallets te stelen, specifiek gericht op MetaMask, Phantom en Solflare extensies. De malware omvat ook anti-analysemethoden, waaronder foutafhandelings- en omgevingcontrolemechanismen, en bevat een keyloggermodule die gegevens van toetsaanslagen en schermafbeeldingen opvangt.

Bron 1

Peter Williams, voormalig directeur van L3Harris’ cyberdivisie Trenchant, is aangeklaagd voor het stelen van bedrijfsgeheimen met de intentie deze aan een Russische koper te verkopen. Volgens het Amerikaanse ministerie van Justitie heeft Williams tussen april 2022 en juni 2025 zeven bedrijfsgeheimen van twee anonieme bedrijven verkregen, wetende dat deze buiten de VS verkocht zouden worden, specifiek aan een koper in de Russische Federatie. De aanklacht beschrijft hoe Williams zonder toestemming de bedrijfsgeheimen heeft gekopieerd, gedownload, geüpload, en verstuurd. De details van de gestolen geheimen zijn onbekend, maar de bedrijven L3Harris en Trenchant worden niet beschuldigd van enige misdaad. Indien schuldig bevonden, eist de aanklager dat Williams al zijn eigendommen verliest, inclusief luxe goederen en cryptocurrency, met een schadevergoeding van 1,3 miljoen dollar.

Bron 1, 2, 3

De Predatory Sparrow-groep, een hacktivistenorganisatie die vermoedelijk banden heeft met Israëlische belangen, heeft zich gepositioneerd als een van de meest destructieve cyberaanvalsgroepen die kritieke infrastructuur in het Midden-Oosten aanvallen. De groep richt zich voornamelijk op Iraanse en Syrische doelen, waaronder spoorwegen, staalfabrieken en financiële instellingen. De campagnes van de groep kenmerken zich door opzettelijke vernietiging van data, verstoring van operaties en het uitzenden van provocerende berichten om psychologische schade te veroorzaken. Sinds 2019 heeft de groep steeds geavanceerdere technieken gebruikt, zoals het gebruik van de “Meteor”-wiper-malware, waarmee ze grote verstoringen veroorzaakten in de Iraanse spoorwegsector. Recent heeft Predatory Sparrow ook financiële infrastructuren aangevallen, waaronder de Bank Sepah en Nobitex, waar ze miljoenen aan cryptocurrency vernietigden. De groep maakt gebruik van geavanceerde malware en aanvalstechnieken, waaronder versleutelde configuratiebestanden en batchscripts om systemen volledig te saboteren.

Bron 1

Russische hackers hebben verschillende Oekraïense organisaties aangevallen met behulp van 'Living-Off-the-Land' (LotL) tactieken, waarbij ze minimale malware gebruiken om hun activiteiten verborgen te houden. De aanvallen werden uitgevoerd tegen een grote zakelijke dienstverlener en een lokale overheidsinstantie in Oekraïne. De hackers maakten gebruik van webshells op publieke servers, die waarschijnlijk via niet-gepatchte kwetsbaarheden werden ingezet. Een van de gebruikte webshells, LocalOlive, werd eerder in verband gebracht met de Sandworm-groep. Gedurende de aanvallen werd onder andere PowerShell gebruikt om bestanden te enumereren en processen te monitoren, terwijl tools zoals OpenSSH en RDP werden ingezet om toegang te verkrijgen tot de systemen. Ondanks de beperkte inzet van malware, is het gebruik van legitieme software door de aanvallers een teken van geavanceerde kennis van Windows-systemen. De aanvallen vertonen overeenkomsten met eerdere Sandworm-campagnes.

Bron 1, 2

Polen heeft nieuwe overeenkomsten gesloten met de Amerikaanse technologiebedrijven Palantir en Anduril om de militaire capaciteiten te versterken met data, AI en cybertechnologie. Dit besluit komt kort nadat bekend werd dat Palantir-systemen, ontwikkeld voor het Amerikaanse leger, ernstige beveiligingsproblemen vertoonden. Desondanks tekende het Poolse ministerie van Defensie intentieverklaringen voor samenwerking op het gebied van slagveldanalyse en logistiek. De Poolse wapenproducent PGZ SA zal daarnaast met Anduril werken aan de productie van Barracuda-500M kruisraketten met een bereik van ruim 900 kilometer. Critici wijzen op politieke motieven achter de deals, aangezien Palantir nauwe banden heeft met invloedrijke Amerikaanse politici. De Amerikaanse strijdkrachten hebben intussen aangegeven dat de gemelde tekortkomingen in de Palantir-systemen zijn verholpen, maar details over de Poolse contracten blijven onbekend.

Bron 1

De Canadese overheid heeft gewaarschuwd dat vitale infrastructuren in het land het doelwit zijn geworden van hacktivisten. Industriële controlesystemen van een olie- en gasbedrijf, waterbedrijf en een graandroogsilo zijn aangevallen. Bij het waterbedrijf konden de aanvallers de waterdrukwaarden manipuleren, wat leidde tot een verminderde dienst. Bij het olie- en gasbedrijf werd een Automated Tank Gauge-systeem gemanipuleerd, wat voor een vals alarm zorgde. De graandroogsilo werd aangevallen waarbij de aanvallers temperatuur- en luchtvochtigheidniveaus aanpasten, wat gevaarlijke situaties had kunnen veroorzaken. De getroffen bedrijven zijn anoniem, maar het Canadese cybercentrum adviseert vitale organisaties om hun systemen achter een VPN te plaatsen en gebruik te maken van tweefactorauthenticatie (2FA). Ook worden uitgebreide monitoring en penetratietests aangeraden. De aanvallen lijken opportunistisch, met hacktivisten die zich richten op vanaf internet toegankelijke industriële systemen.

Bron 1

Een Chinese hackinggroep maakt gebruik van een zero-day kwetsbaarheid in Windows om Europese diplomaten te bespioneren. De aanvallen richten zich op diplomaten in landen zoals Hongarije, België en andere Europese landen. De aanvallen beginnen met spearphishing-e-mails die leiden naar schadelijke LNK-bestanden die een Windows-kwetsbaarheid (CVE-2025-9491) uitbuiten. Deze bestanden installeren de PlugX-remote access trojan (RAT) malware, waarmee de aanvallers toegang krijgen tot systemen en gevoelige gegevens kunnen stelen. De aanvallen zijn toegeschreven aan de Chinese APT-groep UNC6384, ook bekend als Mustang Panda, die eerder betrokken was bij spionagecampagnes gericht op diplomatieke doelwitten in Zuidoost-Azië. Het gebruik van de kwetsbaarheid is wereldwijd verspreid, met meerdere staten en cybercriminelen die deze kwetsbaarheid actief uitbuiten. Microsoft heeft tot nu toe geen officiële patch voor de zero-day uitgebracht, ondanks eerdere waarschuwingen.

Bron 1, 2, 3

De hacktivistische groepen OverFlame en М.О.L.О.Т., beide afkomstig uit Rusland, hebben hun nieuwe alliantie aangekondigd, waarmee zij hun krachten bundelen voor gezamenlijke cyberaanvallen. De twee groepen hebben een lange geschiedenis van aanvallen op zowel commerciële als overheidsinstellingen, en de samenwerking tussen hen zal waarschijnlijk leiden tot een verhoogd aantal cyberaanvallen. Dit nieuwe bondgenootschap kan de dreiging voor organisaties wereldwijd vergroten, aangezien beide groepen bekend staan om hun geavanceerde aanvalsmethoden en politieke doelstellingen. De aankondiging van de alliantie werd via sociale kanalen gedeeld, en er wordt verwacht dat de samenwerking strategisch gericht zal zijn op het verstoren van infrastructuren en het destabiliseren van systemen die zij als vijandig beschouwen.