Cyberoorlog 2025 november

De huidige technologie, bekend als kunstmatige intelligentie (AI), heeft enorme vooruitgangen geboekt, maar de ontwikkeling van kunstmatige algemene intelligentie (AGI) is slechts een paar jaar verwijderd. Terwijl AI specifieke taken uitvoert, zal AGI, wanneer het verschijnt, menselijke cognitieve capaciteiten nabootsen en taken op een breed scala van gebieden uitvoeren. Dit brengt aanzienlijke risico's met zich mee, zoals misbruik, ongelukken en maatschappelijke schade. In 2025 was er al bezorgdheid over de invloed van AI-chatbots op de geestelijke gezondheid, bijvoorbeeld het tragische geval in België waar een man zelfmoord pleegde na interactie met een AI. Daarnaast neemt de verspreiding van deepfakes – valse foto's, audio en video gegenereerd door AI – toe, wat ernstige gevolgen kan hebben, vooral in politiek en oorlog. De opkomst van AGI zou niet alleen de werkgelegenheid verstoren, maar ook de geopolitieke dynamiek veranderen, waarbij landen AI als een wapen kunnen gebruiken.

Bron 1

De hackercollectief NoName heeft aangekondigd verschillende websites in België te hebben aangevallen. De doelwitten omvatten onder andere citydev[.]brussels, het Parlement van Wallonië en VIVAQUA. Deze DDoS-aanvallen hebben voor tijdelijke verstoringen gezorgd. De groep heeft haar verantwoordelijkheid opgeëist via sociale media, maar de impact van de aanvallen is op dit moment nog niet volledig in kaart gebracht. Er wordt onderzocht of er andere doelwitten zijn getroffen en welke verdere schade er is veroorzaakt. De Belgische autoriteiten zijn bezig met het analyseren van de situatie en het versterken van de beveiligingsmaatregelen van de getroffen instellingen.

Locatiegegevens van miljoenen mobiele telefoons in België, inclusief die van EU-functionarissen, zijn online te koop. Het onderzoek toont aan dat de gegevens, die afkomstig zijn van datahandelaren, een ernstig risico op spionage en chantage met zich meebrengen. De verzamelde gegevens omvatten 2,6 miljoen telefoons en 278 miljoen coördinaten, waarvan een aanzienlijk aantal EU-functionarissen in Brussel en andere gevoelige EU-locaties betrof. Dankzij de gedetailleerde bewegingspatronen konden zelfs specifieke werkplekken en woonlocaties van EU-functionarissen achterhaald worden. De gegevens zijn bijzonder waardevol voor buitenlandse overheden die deze informatie kunnen gebruiken voor spionage. De handel in dergelijke locatiegegevens, die vaak niet anoniem is, wordt als een ernstig probleem in de wereld van de cybersecurity gezien. Privacy-adviseurs wijzen op de onrechtmatigheid van het verzamelen en verhandelen van dergelijke gegevens zonder geïnformeerde toestemming van de betrokkenen.

China heeft Nederland beschuldigd van het veroorzaken van verstoringen in de wereldwijde halfgeleiderproductie en de chipaanvoerketen. Dit zou zijn ontstaan doordat de Nederlandse overheid Nexperia, een dochteronderneming van het Chinese Wingtech, onder curatele heeft gesteld. Het Chinese ministerie van Handel heeft Nederland verzocht om zich niet meer in de interne zaken van bedrijven te mengen en een constructieve oplossing te vinden voor de situatie rondom Nexperia. Volgens China heeft de Nederlandse regering geen constructieve houding aangenomen, waardoor de wereldwijde crisis in de toeleveringsketen is verergerd, ondanks de redelijke eisen van China.

Bron 1

De Noord-Koreaanse hackergroep Famous Chollima heeft AI-deepfakes ingezet om zich voor te doen als software-engineers in valse sollicitatiegesprekken bij bedrijven in de cryptocurrency- en Web3-sector. De hackers stalen identiteiten van Mexicaanse ingenieurs en gebruikten AI-gegenereerde gezichtsfilters om hun ware uiterlijk te verbergen tijdens video-interviews. De opzet was om westerse bedrijven te infiltreren voor bedrijfsespionage en financiering. Bij twee identieke pogingen werden de deepfake-technologieën echter duidelijk misbruikt. De gezichten van de nep sollicitanten vertoonden onregelmatigheden, zoals een stilstaande mond tijdens het praten, wat de oplichting ontmaskerde. De kandidaten waren ook nerveus en vertoonden verdacht gedrag, wat verdere twijfel zaaide over hun geloofwaardigheid. Deze pogingen werden verbonden met de Aziatische VPN-dienst Astrill, wat aangeeft dat de hackers probeerden hun Noord-Koreaanse afkomst te verbergen door via Amerikaanse IP-adressen verbinding te maken. De hackers gaven snel hun LinkedIn-profielen op na de interviews.

Bron 1

De nieuwe operatie SkyCloak richt zich op Russische en Wit-Russische militaire doelen door middel van een geavanceerde multi-stage infectieketen. Deze cyberaanval maakt gebruik van Tor-gebaseerde infrastructuur om verborgen toegang tot de systemen te verkrijgen. De campagne richt zich specifiek op de Russische Luchtlandingstroepen en de Wit-Russische Speciale Eenheden, waarbij gebruik wordt gemaakt van legitieme OpenSSH-binaries en obfs4-bruggen om communicatiekanalen te maskeren. De aanvallen beginnen met phishingmails die zich voordoen als officiële militaire documenten en de besmetting wordt geïnitieerd door PowerShell-opdrachten. Het malwaremechanisme gebruikt verschillende lagen van codering en verbergt zich in verborgen mappen op geïnfecteerde systemen. Dit zorgt voor lange-termijn toegang en maakt het moeilijk om de aanval te detecteren. De operatie maakt ook gebruik van Tor's verborgen diensten voor communicatie, waarbij SSH en andere services via niet-standaard poorten beschikbaar worden gesteld.

Bron 1

In oktober 2025 ontdekten onderzoekers bij Cyble Research and Intelligence Labs een geavanceerde cyberaanval die gebruikmaakte van gemanipuleerde militaire documenten om een SSH-Tor backdoor te verspreiden. De aanvallen richtten zich specifiek op personeel in de defensiesector, met name binnen het Special Operations Command, gespecialiseerd in onbemande luchtvaartuigen. De kwaadaardige bestanden waren verpakt in een ZIP-bestand, dat werd vermomd als een Belarussisch militair document. Het malwarepakket maakte gebruik van OpenSSH voor Windows en een Tor-hided service met obfs4-verkeer, waardoor de aanvallers anonieme toegang kregen tot verschillende protocollen op de gecompromitteerde systemen. De techniek bevatte ook geavanceerde methoden om detectie te omzeilen, waaronder een meervoudige infectieketen en tegenanalysechecks. De aanval vertoonde overeenkomsten met eerdere campagnes van de Russische APT-groep UAC-0125, die sinds 2013 actief is in het aanvallen van Oekraïense militaire doelen.

Bron 1

De Verenigde Staten hebben sancties opgelegd aan een groep Noord-Koreaanse bankiers en financiële instellingen die beschuldigd worden van het witwassen van geld afkomstig van cybercriminaliteit. Het ministerie van Financiën meldt dat de betrokkenen verantwoordelijk zijn voor het witwassen van fondsen die zijn verkregen door malware-aanvallen en fraude met cryptocurrency. Dit geld zou gebruikt worden om het nucleaire wapenprogramma van Noord-Korea te financieren. De sancties zijn gericht op acht individuen en twee bedrijven, waaronder Noord-Koreaanse bankiers Jang Kuk Chol en Ho Jong Son. Tussen 2022 en 2025 zou Noord-Korea via cyberaanvallen meer dan 3 miljard dollar hebben gestolen, voornamelijk in digitale activa. De VS heeft eerder gewaarschuwd voor Noord-Koreaanse hackers die zich voordoen als IT-werkers om toegang te krijgen tot financiële netwerken en zo sancties te omzeilen.

Bron 1

De Russische hacker-groep Curly COMrades misbruikt Microsoft Hyper-V om malware in een virtuele Linux-machine te verbergen, waarmee ze traditionele endpoint detectie omzeilen. Door een Alpine Linux-gebaseerde VM te creëren, konden ze hun malware veilig uitvoeren zonder detectie door beveiligingssystemen. De malware bestaat uit twee tools: CurlyShell, die commando's uitvoert via HTTPS, en CurlCat, die wordt gebruikt voor het tunnelen van netwerkverkeer. Deze technieken maken gebruik van de Hyper-V virtualisatietechnologie in Windows om netwerkverkeer via de hostmachine te laten verlopen, zodat het lijkt alsof de communicatie van een legitiem systeem komt. Deze aanvallen zijn specifiek gericht op cyberespionage en sluiten aan bij de geopolitieke belangen van Rusland. De groep heeft eerder aanvallen uitgevoerd op overheids- en energiebedrijven in landen als Georgië en Moldavië.

Bron 1

NoName, een hacktivistische groep, heeft meerdere websites in België aangevallen, waaronder die van verschillende regionale en lokale overheden. De doelwitten omvatten onder andere de websites van Wallonië, de Brusselse lokale autoriteiten, de gemeente Burg-Reuland, de Provincie Luik en de Provincie Vlaams-Brabant. De aanval is uitgevoerd via een gedistribueerde denial-of-service (DDoS)-aanval, wat resulteerde in tijdelijke onbereikbaarheid van deze websites. NoName heeft de verantwoordelijkheid voor de aanval opgeëist, en het incident onderstreept de groeiende dreiging van dergelijke cyberaanvallen gericht op lokale overheidsinstellingen in België.

- Wallonia
- Bruxelles Pouvoirs Locaux
- Burg-Reuland Municipal Administration
- Province of Liège
- Provincie Vlaams-Brabant

De hacktivistische groepen NoName en Perun Swaroga hebben officieel een nieuwe alliantie aangekondigd. Deze samenwerking is significant voor de cyberdreigingslandschap, aangezien beide groepen bekend staan om hun betrokkenheid bij politieke en sociale doelstellingen via cyberaanvallen. De alliantie kan leiden tot een intensivering van aanvallen gericht op overheidsinstellingen, bedrijven en infrastructuur, met mogelijk bredere gevolgen voor de cybersecurity van landen die hun activiteiten als doelwit beschouwen. Deze ontwikkeling onderstreept de groeiende trend van samenwerkingen binnen hacktivistische groepen die zich steeds vaker organiseren om gezamenlijke doelstellingen te behalen.

Op 4 november 2025 heeft de hacker-groep NoName bekendgemaakt meerdere websites in België te hebben aangevallen. De getroffen doelwitten bevinden zich in verschillende regio's van het land, waaronder de provincie Limburg, de gemeentelijke administratie van Waimes, de provincie Brabant Wallon, de provincie Luxemburg en de stad Antwerpen. Deze DDoS-aanvallen (Distributed Denial of Service) verstoren de toegang tot de betreffende websites door ze te overspoelen met verkeer, wat kan leiden tot langdurige onbeschikbaarheid van online diensten. Het is nog onduidelijk welke verdere impact deze aanvallen hebben, maar het lijkt een gecoördineerde cyberoperatie te zijn gericht op publieke en administratieve instellingen. De Belgische autoriteiten zijn op de hoogte van de situatie en onderzoeken de zaak verder.

- Province of Limburg
- Waimes Municipal Administration
- Province du Brabant wallon
- Province de Luxembourg
- City of Antwerp

De hacktivistische groepen NoName en Heaven of the Slavs hebben een officiële alliantie aangekondigd. Deze samenwerking tussen de twee groepen benadrukt hun gezamenlijke focus op het uitvoeren van cyberaanvallen. De groepen, die al verantwoordelijk zijn voor verschillende gerichte aanvallen, bundelen hun middelen en expertise in een poging om hun impact te vergroten. De alliantie kan mogelijk leiden tot grotere en complexere aanvallen, met als doel om politieke en maatschappelijke systemen te verstoren. De samenwerking is een voorbeeld van hoe hacktivistische groepen zich steeds verder ontwikkelen, met nieuwe allianties die de dreiging in cyberspace versterken.

Duitsland heeft een Nationaal Veiligheidsberaad opgericht om de toenemende hybride dreigingen vanuit Rusland beter te coördineren. Het beraad brengt vertegenwoordigers van verschillende ministeries, veiligheidsdiensten en de private sector samen. De nadruk ligt op het ontwikkelen van een gezamenlijk actieplan om cyberaanvallen, desinformatie, sabotage en droneactiviteit rond gevoelige locaties te bestrijden. Aanleiding is de toename van vermoedelijk Russische drones boven Europa en de zorgen over kwetsbaarheden in kritieke infrastructuur. Het parlement heeft eerder al ingestemd met een wetswijziging die politie toestaat drones neer te halen wanneer deze een directe dreiging vormen. Tijdens de eerste bijeenkomst besprak het beraad ook afhankelijkheden van strategische grondstoffen en de noodzaak om de aanvoerketens hiervan te versterken. Daarnaast zal het beraad zich richten op spionage en bescherming van kritieke infrastructuur. Oekraïne heeft Duitsland bedankt voor aanvullende luchtafweersystemen.

Bron 1

Op 5 november 2025 meldde de cyberbeveiligingsgroep NoName dat het meerdere websites in België had aangevallen via DDoS-aanvallen. De getroffen organisaties omvatten grote bedrijven en publieke instellingen zoals C.P. Bourg, Scarlet, Telenet, Proximus en de stad Comines-Warneton. De aanvallen verstoren de normale werking van deze websites, waarbij de betrokkenen druk bezig zijn met herstel en mitigatie van de dreiging. NoName heeft eerder soortgelijke aanvallen uitgevoerd en blijft een prominente bedreiging voor de Belgische digitale infrastructuur. De zaak benadrukt de groeiende trend van georganiseerde DDoS-campagnes die gericht zijn op belangrijke sectoren en overheidsinstellingen.

Op woensdag 5 november 2025 voerden de pro-Russische hackers van NoName057 een DDoS-aanval uit op de websites van telecomproviders Proximus en Scarlet, evenals op het Universitair Ziekenhuis Gent (UZ Gent). De aanvallen hadden als doel de websites te overbelasten door massale verzoeken te sturen, waardoor deze tijdelijk onbereikbaar werden. Ondanks de overbelasting van de websites zijn er geen gegevens gestolen en bleven de diensten van Proximus en Scarlet operationeel. Het UZ Gent meldde dat er tussen 10 en 11 uur lichte storingen waren, maar dit had geen invloed op de zorgverlening. DDoS-aanvallen zijn in België relatief vaak, met grotere aanvallen op overheidsinstellingen en publieke diensten, zoals in 2023 en 2024. De hackersgroep richt zich op landen die Oekraïne ondersteunen, zoals blijkt uit een boodschap op sociale media.

Bron 1

De onbekende groep cybercriminelen 'SmudgedSerpent' heeft tussen juni en augustus 2025 meerdere cyberaanvallen uitgevoerd op academici en experts in buitenlands beleid, gericht op de situatie tussen Iran en Israël. De aanvallers gebruikten social engineering-technieken, zoals valse e-mails die eruit zagen als communicatie van invloedrijke Amerikaanse beleidsinstellingen. Ze probeerden zo slachtoffers te lokken naar schadelijke links die schadelijke software in de vorm van een MSI-installer verschaften. Deze software leek op Microsoft Teams, maar installeerde in werkelijkheid Remote Monitoring and Management (RMM) software zoals PDQ Connect. De aanvallers verzonden e-mails die zich voordeden als prominente figuren in de buitenlandse beleidswereld en probeerden zo vertrouwelijke informatie van hun doelwitten te verkrijgen. Het gebruik van gezondheid-gerelateerde domeinen en OnlyOffice wijst op een verbinding met eerdere aanvallen van Iraanse cybergroepen. Dit duidt op een evolutie in de samenwerking tussen Iraanse inlichtingendiensten en cybereenheden.

Bron 1

Een ransomware-aanval op de Amerikaanse staat Nevada, die 28 dagen lang systemen platlegde, begon met het downloaden van een besmette systeembeheertool door een ambtenaar. De tool werd gedownload vanaf een malafide website die zich voordeed als de legitieme bron. De aanvallers hadden al enkele maanden eerder toegang verkregen tot het netwerk van de staat. Via de malware werd een backdoor geïnstalleerd, waarna de aanvallers meer systemen binnen het netwerk compromitteerden. De ransomware werd uiteindelijk uitgerold op meerdere servers, waardoor vitale diensten tijdelijk offline gingen. De staat besloot geen losgeld te betalen en betaalde minstens 1,5 miljoen dollar aan herstelkosten. Dankzij externe hulp werd het grootste deel van de data hersteld, waarna de diensten weer online kwamen. In reactie op het incident heeft de staat besloten gedecentraliseerde beveiligingsdiensten stop te zetten en te kijken naar een meer gecentraliseerde aanpak.

Bron 1 (pdf)

De Russische hackergroep Sandworm heeft meerdere varianten van dataverwijderende malware ingezet in aanvallen op Oekraïense organisaties in de onderwijs-, overheids-, energie-, logistieke en graansectoren, de belangrijkste bron van inkomsten voor het land. Deze aanvallen vonden plaats in juni en september 2025 en vormen een voortzetting van de destructieve operaties van Sandworm. Het doel van de dataverwijderaars is het permanent vernietigen van gegevens, waardoor herstel vrijwel onmogelijk is. Eerder werden vergelijkbare aanvallen al uitgevoerd tegen Oekraïense infrastructuur, maar de graansector wordt nu nadrukkelijker aangevallen om de oorlogseconomie van Oekraïne te verzwakken. Sandworm blijft zijn aanvallen combineren met spionageactiviteiten, maar dataverwijderaars vormen nog steeds een kerncomponent van hun strategie tegen Oekraïense doelen.

Bron 1

De Amerikaanse Congressional Budget Office (CBO) heeft bevestigd dat het slachtoffer is geworden van een cyberaanval, vermoedelijk uitgevoerd door buitenlandse hackers. De aanval leidde mogelijk tot de blootstelling van gevoelige gegevens. CBO-gemachtigde Caitlin Emma meldde dat het incident snel werd geïdentificeerd, waarna maatregelen werden genomen om de aanval te beperken. Extra beveiligingsmaatregelen en monitoring zijn ingevoerd om toekomstige aanvallen te voorkomen. Het CBO biedt wetgevers economische analyses en kostenramingen voor wetsvoorstellen. De aanval zou documenten zoals conceptrapporten en interne communicatie kunnen hebben blootgesteld. Hoewel het incident vroeg werd gedetecteerd, zijn er zorgen over de blootstelling van e-mails en communicatie tussen CBO-analisten en congresleden. Dit incident komt na eerdere aanvallen op andere Amerikaanse overheidsinstellingen, waaronder het ministerie van Financiën, waar de Chinese APT-groep Silk Typhoon van betrokken werd. Het onderzoek naar het incident is nog gaande.

Bron 1

De cyberaanval van TwoNet richtte zich op meerdere websites in België. De aanvallen betroffen de gemeentelijke websites van Beveren, Berlaar en Lochristi, waarbij TwoNet beweerde verantwoordelijk te zijn voor de verstoring. DDoS-aanvallen, die de betrokken websites overbelasten met verkeer, kunnen aanzienlijke schade veroorzaken, zowel op technisch als op financieel vlak. Het is nog onduidelijk of er gegevens zijn gestolen of dat er andere vormen van schade zijn aangericht. Dergelijke aanvallen vormen een voortdurende bedreiging voor de digitale infrastructuur van zowel overheidsinstellingen als andere organisaties. De impact van deze cyberaanvallen benadrukt het belang van robuuste beveiligingsmaatregelen en de noodzaak voor bedrijven en overheden om zich goed voor te bereiden op dergelijke dreigingen.

Op 6 november 2025 beweert de hacker-groep NoName meerdere websites in België te hebben aangevallen met een DDoS-aanval. De getroffen websites omvatten grote organisaties zoals ENGIE Electrabel, Elia Group, het Directoraat-Generaal voor Statistiek België, de Haven van Antwerpen-Brugge en de Brusselse Intercommunale Vervoermaatschappij. Deze aanval maakt deel uit van een breder patroon van cyberaanvallen gericht op vitale infrastructuur en overheidsinstellingen in België. NoName heeft de verantwoordelijkheid voor de aanvallen opgeëist, wat wijst op de groeiende dreiging van dergelijke cyberaanvallen in de regio. De gevolgen van de DDoS-aanvallen kunnen variëren van tijdelijke verstoringen van de diensten tot schade aan de reputatie van de getroffen organisaties.

Het Russische hackerscollectief NoName heeft een unieke manier bedacht om cyberaanvallen te stimuleren. Door online vrijwilligers te ronselen en hen te belonen op basis van hun aanvallen, wordt cyberterrorisme gepromoot als een soort wedstrijd. Het collectief houdt scoreborden bij waarop de deelnemers worden gerangschikt op het aantal succesvolle DDoS-aanvallen dat zij hebben uitgevoerd. De leider van de ranglijst, ZephyrKA, heeft maar liefst 339 miljoen aanvallen uitgevoerd. NoName heeft zijn invloed ook in België gevoeld, met verstoringen op websites van bedrijven zoals Proximus, Scarlet en UZ Gent. De tactiek van het hackerscollectief is ontworpen om mensen aan te moedigen om meer en langer aan te vallen, waarbij ze de daden van sabotage of verstoring in de vorm van een spel presenteren. Het collectief staat bekend om zijn pro-Russische standpunten en operaties in een globale context.

Bron 1

Een recent rapport onthult hoe de Noord-Koreaanse hackergroep Kimsuky, actief sinds 2012, gebruik maakt van JavaScript- gebaseerde malware via VS Code-extensies om systemen binnen te dringen. De malware is ontworpen om command-and-control-infrastructuur op te zetten en wordt ingezet voor spionage en supply chain-aanvallen. De aanvallen beginnen met een eenvoudig JavaScript-bestand, genaamd Themes.js, dat wordt gebruikt als een dropper. Na initiële infectie verstuurt het bestand een verzoek naar een command-and-control-server om meer systemen te infecteren. Het malwarepakket voert gedetailleerde informatieverzameling uit over het doelapparaat, inclusief hardware- en netwerkconfiguraties. De malware is ontworpen om onopgemerkt te blijven door gebruik te maken van legitieme Windows-tools voor persistente toegang. De campagne lijkt gericht op langdurige infiltratie, wat wijst op de verfijning van de aanvallen door Kimsuky.

Bron 1

Op 4 november 2025 werd een database van FSUE RADON, een staatsbedrijf uit Rusland dat zich bezighoudt met het beheer van radioactief afval, gelekt. De database bevatte gevoelige informatie, zoals e-mailadressen, telefoonnummers, bedrijfsnamen, tester-informatie, rapportcommentaren en statistieken van tests. Ook werden interne gebruikers-ID's en gegevens over de staat van systemen onthuld. De gegevens werden gepubliceerd door een onbekende dreigingsactor, die bewijs van de inbraak deelde, inclusief een fragment van de database en een link naar het volledige SQL-bestand. FSUE RADON is verantwoordelijk voor het transport, de behandeling en de opslag van radioactief afval, en levert ook stralingsveiligheidsdiensten. Het lek heeft aanzienlijke bezorgdheid gewekt vanwege de mogelijke gevolgen voor de betrokken organisaties en hun systemen.

Tijdens de WINWIN Summit in Kyiv werd een visionair plan gepresenteerd om Oekraïne de eerste "agentische staat" te maken, een overheid aangedreven door kunstmatige intelligentie (AI) die niet alleen reageert op verzoeken van burgers, maar deze proactief anticipeert. Oekraïne streeft ernaar om tegen 2030 tot de top drie landen te behoren in de integratie van AI in de publieke sector. Dit ambitieuze plan is geboren uit de digitale transformatie die is versneld door de oorlog, waarbij Oekraïne al indrukwekkende vooruitgangen heeft geboekt, zoals het digitale platform Diia en digitale ID’s voor vluchtelingen. Partnerschappen met techgiganten zoals Google, NVIDIA, en OpenAI ondersteunen Oekraïne in deze AI-transformatie. Dit plan gaat verder dan software, met focus op technologische soevereiniteit en infrastructuur, waaronder een eigen AI-model in de Oekraïense taal en de ontwikkeling van de halfgeleiderindustrie.

Bron 1

Op 7 november 2025 claimde de hackergroep SERVER KILLERS meerdere DDoS-aanvallen op verschillende websites in België. De doelwitten omvatten onder andere de federale overheidswebsite FPS Economy, de telecombedrijven VOO en edpnet, evenals financiële instellingen zoals Banque CPH en Europabank. Ook de Rijksdienst voor Sociale Zekerheid, D'Ieteren Group, Elia Group en de haven van Zeebrugge werden getroffen. Deze aanvallen veroorzaken verstoringen in de beschikbaarheid van de getroffen diensten. De grootschalige aanval heeft gevolgen voor zowel de publieke als de private sector in België.

NoName, een bekende cyberdreigingsgroep, heeft verklaard websites in België en Zweden te hebben aangevallen via gedistribueerde denial-of-service (DDoS) aanvallen. De getroffen sites in België omvatten de Antwerp Low Emission Zone (LEZ), het platform Slim naar Antwerpen, LEZ Brussels, de gemeente Linkebeek en de stad Lo-Reninge. Ook de Zweedse website Alimak werd doelwit. DDoS-aanvallen worden vaak gebruikt om websites tijdelijk offline te halen door een overbelasting van verkeer te veroorzaken, wat de getroffen organisaties belemmert in hun online activiteiten. Er zijn momenteel geen meldingen van ernstige schade of gegevensverlies, maar de aanvallen kunnen aanzienlijke verstoringen veroorzaken voor zowel overheids- als commerciële diensten. Het is nog niet duidelijk of NoName andere doelwitten in de regio heeft getroffen.

Op 7 november 2025 heeft de groepering HEZI RASH beweerd de website van het Belgische Office national de Sécurité sociale (onss.be) te hebben aangevallen met een DDoS-aanval. Ondanks de claim is de website op het moment van berichtgeving nog steeds actief en operationeel. Deze melding komt op een moment dat de website geen zichtbare verstoringen vertoont, maar de dreiging van DDoS-aanvallen blijft een relevante kwestie voor de beveiliging van overheidswebsites en publieke diensten.

Op 6 november 2025 heeft het pro-Russische hackerscollectief NoName057 een DDoS-aanval uitgevoerd op de websites van de Belgische militaire inlichtingendienst ADIV. De aanval werd diezelfde dag opgeëist via een bericht op Telegram. De hackers verwezen naar uitspraken van de Belgische defensieminister over Rusland, wat mogelijk de motivatie voor de aanval was. Het doel van de aanval was om de websites onbereikbaar te maken door servers te overbelasten met verzoeken. De impact was echter beperkt, en er werden geen gegevens gestolen of gevoelige informatie benaderd. De websites waren kortstondig onbereikbaar, maar zijn inmiddels weer volledig operationeel. Defensie bevestigde de aanval, maar meldde dat er geen verdere schade was. Er wordt verwacht dat NoName057 in de toekomst meer aanvallen zal uitvoeren, aangezien ze aangeven een nieuwe campagne tegen België te zijn gestart.

Bron 1

Nederland overweegt om zijn controle over de Chinese chipmaker Nexperia op te heffen, mits de leveringen van essentiële chips uit China weer op gang komen. Dit besluit zou de gespannen verhouding met China kunnen de-escaleren, die de wereldwijde autoproductie beïnvloedt. Het ministerie van Economische Zaken verklaarde dat het ministerieel besluit dat de Nederlandse overheid invloed gaf op Nexperia mogelijk wordt opgeschort als de chipexport naar Europa herstart. Dit besluit volgde op een machtsconflict tussen Nederland en China over de controle van het bedrijf. De levering van Nexperia’s chips, essentieel voor autofabrikanten zoals BMW en Volkswagen, werd belemmerd door een exportverbod vanuit China. De hoop is dat de levering van chips snel hersteld kan worden, wat de druk op de autofabrikanten vermindert.

Bron 1

China-geassocieerde hackers hebben in april 2025 meerdere CVE-kwetsbaarheden misbruikt om langdurige toegang te verkrijgen tot netwerken van een Amerikaanse non-profitorganisatie. Dit maakte onderdeel uit van bredere aanvallen gericht op organisaties die betrokken zijn bij Amerikaanse overheidsbeleid. De aanvallen werden uitgevoerd met bekende kwetsbaarheden zoals CVE-2021-44228 (Apache Log4j) en CVE-2022-26134 (Atlassian), die gebruikmaakten van massale scantechnieken om toegang te verkrijgen. Na toegang werden er programma's geïnstalleerd om toegang te behouden, waaronder een zelfgemaakte loader die mogelijk een remote access trojan (RAT) activeerde. Deze aanvallen zijn een voorbeeld van China's voortdurende cyberactiviteiten om mondiale doelen te ondersteunen via geavanceerde cyberinfiltraties en tools zoals TOLLBOOTH en Mimikatz. Dergelijke aanvallen benadrukken de geavanceerde en persistente methoden van Chinese hackers, die wereldwijd opereren met diverse malwaretechnieken.

Bron 1

In juli 2025 voerde de hacker-groep Cavalry Werewolf een gerichte campagne uit tegen Russische overheidsinstellingen door middel van phishing-aanvallen. Het doel was het verkrijgen van persistente netwerktoegang, het stelen van gevoelige gegevens en het handhaven van langdurige controle over de getroffen systemen. De aanvallen werden geïdentificeerd door beveiligingsanalisten van Dr.Web, nadat een overheidsorganisatie verdachte e-mailverkeer detecteerde. De aanvallers gebruikten verschillende malwarevarianten, waaronder backdoors en trojans voor gegevensdiefstal, die via een multi-stage infectieproces werden verspreid. De malware werd vaak geïnstalleerd via geëncrypteerde e-mailbijlagen die als officiële documenten vermomd waren. Deze geavanceerde aanvalsmethoden maakten gebruik van open-source tools en legitieme systeemtools om onopgemerkt te blijven en de operationele beveiliging te handhaven. De aanval werd beschouwd als een escalatie in de methoden van de groep, die hun toolkit steeds verder uitbreiden.

Bron 1

België is een steeds vaker doelwit van cyberaanvallen, voornamelijk uitgevoerd door natiestaten zoals Rusland. Dit blijkt uit het jaarlijkse rapport van Microsoft over cybercriminaliteit. Van alle aanvallen wereldwijd die Rusland werd toegeschreven, was 5 procent gericht op België. Vorige week werden onder andere Proximus, Scarlet en het UZ Gent getroffen door aanvallen. Hackers, waaronder ‘hacktivisten’, voeren veelal DDoS-aanvallen uit, waarbij ze systemen overbelasten zonder toegang te krijgen tot interne gegevens. Deze aanvallen dienen niet alleen om de economie te verstoren, maar ook om politieke boodschappen uit te dragen. Daarnaast blijkt dat AI steeds vaker wordt ingezet door cybercriminelen, bijvoorbeeld om phishingmails te verbeteren en gerichter te maken, wat de dreiging vergroot. Microsoft raadt aan om veiligheidsmaatregelen zoals tweestapsverificatie en het up-to-date houden van software te hanteren om dergelijke aanvallen te voorkomen.

Bron 1

Een complex netwerk van tussenpersonen, variërend van Russische geheime agenten tot kleine criminelen, speelt een cruciale rol in drone-incidenten. Deze tussenpersonen fungeren als schakel tussen opdrachtgevers, waaronder staten en criminelen, en de uiteindelijke uitvoerders van de dreigingen. Het artikel onderzoekt hoe deze schimmige keten van bemiddelaars niet alleen militaire en politieke conflicten beïnvloedt, maar ook de opkomst van illegale drone-activiteiten in Europa, waar dergelijke drones gebruikt worden voor spionage en sabotage. Er wordt opgeroepen tot een internationale samenwerking om deze keten van tussenpersonen te identificeren en te verstoren.

Bron 1

Noord-Korea heeft gedreigd agressievere militaire acties te ondernemen als reactie op de beveiligingsgesprekken tussen de Verenigde Staten en Zuid-Korea. De Noord-Koreaanse minister van Defensie, No Kwang Chol, verklaarde dat het land sterker zal reageren op de "bedreigingen" van de VS, met als doel de veiligheid te waarborgen en de vrede te verdedigen. No reageerde op de komst van een nucleair aangedreven vliegdekschip van de VS naar de haven van Busan in Zuid-Korea, wat volgens hem de spanningen op het Koreaanse schiereiland verhoogde. Hij bekritiseerde ook het gezamenlijke bezoek van de Amerikaanse en Zuid-Koreaanse defensieministers aan de gedemilitariseerde zone. Deze kritiek volgt op de lancering van een ballistische raket door Noord-Korea, nadat de VS nieuwe sancties hadden opgelegd aan Noord-Koreaanse individuen die betrokken waren bij cybercriminaliteit.

Bron 1

Op 8 november 2025 heeft de hackercollectief HEZI RASH bekendgemaakt dat het meerdere websites in België heeft aangevallen. De getroffen sites omvatten onder andere de Water Service Company, WaaS, AquaFlanders, het Biosafety Advisory Council (BAC) en het Citizen Dialogue platform in Oost-België. De aanvallen betroffen Distributed Denial of Service (DDoS) aanvallen, waarbij de websites tijdelijk onbereikbaar waren door overbelasting van het netwerkverkeer. DDoS-aanvallen zijn een veelgebruikte tactiek bij cyberaanvallen, waarbij servers worden overspoeld met verzoeken om de toegang tot een website te verstoren. Er zijn nog geen meldingen van schade aan gevoelige gegevens of systemen. De aanval komt op een moment waarop cyberdreigingen in België een groeiende zorg zijn.

In maart 2024 werd een loods in Londen in brand gestoken door Dylan Earl, een kleine crimineel die via Telegram werd gerekruteerd door de Wagnergroep, een paramilitaire organisatie die wordt gecontroleerd door Rusland. Earl ontving een betaling van 10.000 euro voor de brandstichting, een voorbeeld van hoe Rusland gebruik maakt van zogenaamde 'disposable agents'. Deze agents, vaak onwetend over de Russische betrokkenheid, worden voor kleine taken ingezet, zoals het besturen van drones voor sabotageacties. De criminele netwerken die dit mogelijk maken, gebruiken cryptomunten om de anonimiteit van de opdrachtgevers te waarborgen. Europese inlichtingendiensten hebben vastgesteld dat Russische veiligheidsdiensten vaker criminele netwerken inzetten voor deze hybride oorlogsvoering, met als doel angst te zaaien en besluitvormingsprocessen in Europa te beïnvloeden.

Bron 1

Van Russische geheim agenten tot kleine criminelen: de schimmige keten van tussenpersonen achter drone-incidenten
De vele drone-incidenten in ons land (B) zijn het werk van Moskou. Daar lijken analisten, beleidsmakers en inlichtingendiensten het over eens. Maar hoe? Wie voert uit, wie trekt aan de touwtjes? Een verhaal van motorbendes, cryptomunten en een eindeloze reeks tussenpersonen.

In de nacht van 20 maart van vorig jaar reed Dylan Earl, een kleine drugdealer met nood aan cash, samen met drie handlangers die hij inderhaast bijeen had geraapt, in een rode Kia Picanto richting Cromwell Industrial Estate, een industriepark in het noordoosten van Londen. Ze parkeerden hun auto, namen een jerrycan benzine en klommen over een muur. De loods die ze viseerden, werd gebruikt door een bedrijf dat materiaal naar Oekraïne stuurt. Meer dan een miljoen euro aan communicatieapparatuur ging in vlammen op.

Twee weken geleden werd Dylan Earl veroordeeld tot zeventien jaar cel voor de brandstichting. Hem was 9.000 pond – een goeie 10.000 euro – beloofd voor de job. Hij werd gerekruteerd via de berichtendienst Telegram, door een account dat leidde naar de Wagnergroep, de paramilitaire organisatie die gecontroleerd wordt door de Russische staat. Earl was, zoals Kenneth Lasoen, expert inlichtingendiensten (Universiteit Antwerpen), het benoemt, een disposable agent. Een wegwerpagent.

Als deze week opnieuw drones zoemen boven Zaventem en Kleine-Brogel, als die luchtverkeer lamleggen en defensieministers in hoogste staat van alertheid brengen, om dan te verdwijnen in de nacht, dan is hetzelfde mechanisme aan het werk, meent Lasoen, en met hem veel collega-analisten en westerse inlichtingendiensten. Voor de goede orde: we weten vooralsnog niet wie de bewuste drones bestuurt, en er zijn nog geen harde bewijzen dat die dronebestuurders orders krijgen vanuit Moskou.

Wegwerpagenten:

“Maar dit is helemaal hun modus operandi”, zegt Lasoen. “We stellen vast dat de Russische geheime diensten steeds vaker gebruik maken van disposable agents. Mensen die benaderd worden met het voorstel om een cent bij te verdienen. Die – in dit geval – de opdracht krijgen om een drone in ontvangst te nemen en die op een bepaald moment en op een bepaalde plek de lucht in te sturen. Die aangestuurd worden via een complex web van tussenschakels en die betaald worden met cryptomunten, met de bedoeling dat die opdracht nooit kan getraceerd worden tot Moskou.”

De Europese politiedienst Europol wees er afgelopen voorjaar nog op dat Rusland vaker en vaker beroep doet op criminele netwerken om sabotageacties uit te voeren. En het Internationaal Centrum voor Contraterrorisme (ICCT) in Den Haag bracht in september over dat Russische gevaar een lijvig rapport uit met als titel ‘Criminaliteit als instrument van hybride oorlogsvoering in Europa’. Het schrijft daarin dit. “Moskou wendt zich in toenemende mate tot disposable agents of wegwerpagenten. Burgers die, vaak onwetend over de Russische rol als organisator, online gerekruteerd worden en eenvoudige taken krijgen waarvoor ze kleine bedragen krijgen.” Het rapport heeft het over acties die gaan van anti-NAVO-graffiti spuiten tot brand stichten.

En dus ook het laten overvliegen van drones bij kritieke infrastructuren in Europa, zegt oud-kolonel en defensie-expert Roger Housen. “In de voorbije drie jaar zijn er meer dan 100 drone-incidenten geweest, in zowat elk Europees land. Zowel de Nederlandse als de Duitse, de Deense en de Britse inlichtingendiensten zeggen voldoende robuuste indicaties te hebben om naar Moskou te kunnen wijzen. Op basis van het continue afspeuren van het internet, ook van het darkweb, van het volgen van de communicatie in wel en niet versleutelde chatgroepen, van afgeluisterde gesprekken en van getuigenissen van menselijke bronnen, ook in Moskou, krijgt men een idee van wie er achter die sabotageacties zit. Het patroon dat zich aftekent: telkens zijn de uitvoerders freelancers.”

Makkelijk geld:

Housen wijst, net als Lasoen, naar het complexe web van tussenschakels. Naar de schier eindeloze keten die zit tussen opdrachtgever en uitvoerder. “En nee, we kunnen die keten niet reconstrueren van bij een dronepiloot in België helemaal tot bij Poetin. Het Kremlin beslist niet: nu gaan we eens boven Marche-en-Famenne of Kleine-Brogel vliegen. Maar de topmensen van het Russische leger, van de veiligheidsdienst FSB en van de militaire inlichtingendienst GRU hebben wel de latitude – de vrijheid van handelen – om dit soort operaties op te zetten.”

“Iemand binnen die diensten besluit dus om een drone-operatie in België uit te voeren, en geeft die orders aan een ondergeschikte. Uiteindelijk wordt in ons land een betrouwbare tussenpersoon aangesproken. Iemand van wie men weet dat die Russisch-gezind is. Iemand die in het verleden nog opdrachten heeft uitgevoerd. Die speurt in zijn kennissenkring naar iemand die hij vertrouwt. Die spreekt op zijn beurt een persoon of een groep aan waarvan hij weet dat ze in staat zijn om de opdracht uit te voeren. Een crimineel. Een drugs- of motorbende. Die laatste opdrachtgever in de rij krijgt ook nog de boodschap mee: werk met nog twee of drie extra tussenpersonen. Men plaatst zoveel tussenschotten dat de uiteindelijke uitvoerders niet te weten kunnen komen wie de eerste opdrachtgever is.”

“Voor pakweg de lokale chapter van een motorbende is dat een makkelijke manier om extra geld te verdienen. Reken op enkele tienduizenden euro’s. En het risico is klein. Ze moeten nergens fysiek inbreken, ze moeten niemand neerschieten. Alleen ergens, pakweg in het grensgebied tussen België en Nederland, midden in de nacht, op een discrete manier aan een bosrand zijn, om er enkele drones op uit te sturen. Geen huis-tuin-en-keuken-drones, maar wel dingen die je commercieel kan kopen. En je moet echt geen raketgeleerde zijn om er mee te vliegen, zeker niet als je wat handig bent in gaming.”

Zeppelin scare:

“Voor de onderaannemers draait dit enkel om centen”, zegt Housen. Maar voor de opdrachtgever spelen natuurlijk andere motieven. “Dit is psychologische oorlogsvoering. Als de Russen er inderdaad achter zitten, is het omdat ze angst willen verspreiden, onrust creëren, besluitvormingsprocessen beïnvloeden. Doordat dit soort incidenten hier plaatsvinden, zullen we hier ook sneller en meer investeren in systemen van detectie en interceptie van drones. Dat zijn in zekere zin ook luchtafweersystemen, die we dan niet meer aan Oekraïne kunnen geven.”

“Als Moskou hier achter zit, is het om onrust te zaaien”, zegt ook Peter Wijninga, oud-kolonel van de Nederlandse luchtmacht en analist bij het Haags Centrum voor Strategische Studies (HCSS). Alleen wil hij een duidelijke slag om de arm houden. “We zijn absoluut niet zeker. Om dit te dirigeren vanuit Moskou, om die hele keten van agenten en sympathisanten en onderaannemers aan te sturen: dat is een behoorlijke operatie. Als die operatie wordt blootgelegd, neemt de antipathie van de West-Europese bevolking tegenover Rusland alleen maar toe. Ik kan me voorstellen dat Rusland zegt: daar wagen we ons niet aan. Misschien zijn er andere lui met beschikking over professionele drones, die graag opschudding veroorzaken door te gaan vliegen boven een militaire basis waarvan iedereen weet dat er Amerikaanse kernwapens zijn opgeslagen. Het kunnen mensen zijn die net aansturen op meer striktere beveiliging rond zulke plekken.”

“Ik ben dan vreselijk aan het speculeren, natuurlijk. Wat ik wil zeggen is dit. Het enige wat we met zekerheid weten, is: iemand wil ons angst aanjagen. En dat lukt aardig. Het doet me wat denken aan de zeppelin scare. In de Eerste Wereldoorlog zetten de Duitsers zeppelins in voor bombardementen. Plots zag iedereen zeppelins vliegen. Nu ziet iedereen drones vliegen. Dat wil niet zeggen dat de waarnemingen niet echt zijn. Maar er is wel een soort drone scare. En we mogen inderdaad beseffen dat we kwetsbaar zijn. Dat we onze vlieghavens – civiel en militair – misschien beter moeten beschermen tegen dit soort incidenten. Dat kan een positief gevolg zijn van al deze drone-incidenten.”

De hackergroep NoName heeft aangegeven meerdere websites in België en Zweden te hebben aangevallen met DDoS-aanvallen. De getroffen organisaties in België zijn ENGIE Electrabel, STIB-MIVB, de LEZ van Brussel, het Directoraat-Generaal voor Statistiek, de Alimak Group en de stad Antwerpen. In Zweden waren vergelijkbare aanvallen gericht op verschillende bedrijfswebsites. Deze acties maken deel uit van een bredere campagne van NoName, die al meerdere keren Europese infrastructuren heeft getroffen. De gevolgen van de aanval kunnen leiden tot verstoringen in de werking van essentiële diensten en een verstoring van de online beschikbaarheid van de getroffen systemen.

Begin november 2025 werd bekend dat de Chinese cybersecurityfirma Knownsec slachtoffer werd van een grote datalek, waarbij meer dan 12.000 vertrouwelijke documenten werden blootgesteld. De documenten onthulden gedetailleerde informatie over staatsgesponsorde cyberoperaties, waaronder cyberwapens, interne hackingtools en een lijst van wereldwijde doelwitten. Het lek bevatte ook technische documentatie over de samenwerking van Knownsec met verschillende Chinese overheidsinstanties, evenals gegevens over al 80 buitenlandse doelwitten die al gecompromitteerd zouden zijn. De documenten, waaronder gestolen gegevens van Indiaanse immigratiedossiers, telefoongesprekken van LG U Plus in Zuid-Korea en planinformatie uit Taiwan, werden snel verwijderd van platforms zoals GitHub, maar niet voordat ze zich uitgebreid binnen de cybersecuritygemeenschap verspreidden. Het incident werpt licht op de technische capaciteiten en de geopolitieke omvang van staatsgesponsorde cyberoperaties.

Bron 1

Advanced persistent threat (APT) groepen, gesteund door staten zoals China, Rusland, Iran en Noord-Korea, richten zich steeds vaker op de bouwsector. De digitale transformatie van de sector, die sterk afhankelijk is van derde partijen, biedt aanvallers kansen om inloggegevens voor systemen zoals Remote Desktop Protocol (RDP), Secure Shell (SSH) en Citrix te stelen. Deze systemen fungeren als toegangspoorten naar gevoelige gegevens, zoals projectinformatie en financiële documenten. Phishingaanvallen en kwetsbaarheden in de toeleveringsketen worden ingezet om toegang te krijgen tot netwerken. Zodra aanvallers binnen zijn, kunnen zij zich lateraal verplaatsen en waardevolle informatie stelen, waaronder contracten en persoonlijke gegevens van medewerkers en klanten. De groeiende ondergrondse marktplaatsen voor gestolen inloggegevens vergemakkelijken de toegang tot netwerken van bouwbedrijven, waardoor cybercriminelen snel hun operaties kunnen opschalen. De situatie benadrukt de noodzaak voor bouwbedrijven om robuuste beveiligingsmaatregelen te implementeren.

Bron 1

De Europese Unie werkt aan een pakket maatregelen om de media en verkiezingen te beschermen tegen buitenlandse inmenging, met name door Rusland. In een conceptdocument beschuldigt de EU Moskou ervan wantrouwen in democratische systemen te zaaien door desinformatie en vervalsing van historische feiten. Het document noemt als voorbeeld de Roemeense presidentsverkiezingen van november 2024, die werden geannuleerd na beschuldigingen van Russische inmenging. De EU wil de financiering van vrije media verhogen en fusies van nieuwsorganisaties beter monitoren om pluralisme te bevorderen. Ook wordt voorgesteld om een Europees centrum op te richten voor het coördineren van de bestrijding van buitenlandse inmenging. De commissie noemt verkiezingen nu als "kritieke infrastructuur" en benadrukt de groeiende dreiging van cyberaanvallen en kunstmatige intelligentie. Mediawaakhond Reporters Without Borders roept de EU op ambitieuze maatregelen te nemen om de zichtbaarheid van betrouwbare media te vergroten.

Bron 1

Hackers van de Noord-Koreaanse groep APT37 maken misbruik van de Google Find Hub-tool om de GPS-locatie van hun slachtoffers te volgen en op afstand fabrieksinstellingen van Android-apparaten te resetten. De aanvallen richten zich voornamelijk op Zuid-Koreanen en beginnen via de populaire berichtendienst KakaoTalk. De aanvallers gebruiken een kwaadaardig bestand dat zich voordoet als een stressverlichtingsprogramma en, zodra uitgevoerd, toegang biedt tot de slachtoffers' apparaten. Na infectie halen de hackers gevoelige gegevens uit Google- en Naver-accounts en gebruiken vervolgens Find Hub om Android-apparaten te wissen. Dit wordt gedaan om slachtoffers te isoleren, aanvalsporen te verwijderen en het herstel te vertragen. De slachtoffers verliezen toegang tot hun apparaten, terwijl de aanvallers hun KakaoTalk-account gebruiken om kwaadaardige bestanden naar de contacten van het slachtoffer te verspreiden. Het wordt aanbevolen om multi-factor-authenticatie in te schakelen om dergelijke aanvallen te voorkomen.

Bron 1, 2

De hacktivistische groeperingen NoName en PalachPro hebben aangekondigd samen te werken in een nieuwe alliantie. De samenwerking werd officieel bekendgemaakt op 11 november 2025 en markeert een belangrijke stap in de gezamenlijke activiteiten van deze twee groepen. Beide groeperingen zijn bekend om hun betrokkenheid bij cyberaanvallen die gericht zijn op het destabiliseren van overheden en bedrijven, met name door middel van DDoS-aanvallen en andere digitale verstoringen. De alliantie benadrukt de groeiende kracht van hacktivistische netwerken die invloed willen uitoefenen op politieke en maatschappelijke processen wereldwijd. Het is nog onduidelijk wat de concrete doelen van de nieuwe alliantie zijn, maar het wordt verwacht dat de groepen gezamenlijk nieuwe cyberaanvallen zullen uitvoeren.

De cybercriminelen van de groep NoName hebben meerdere websites in België aangevallen met gedistribueerde denial-of-service (DDoS) aanvallen. De getroffen websites behoren tot onder andere de stad Antwerpen, Proximus Group, de gemeente Waimes, de stad Bastogne, en verschillende andere gemeentelijke en bedrijfswebsites zoals C.P. Bourg en Telenet Group. De aanvallen zijn gericht op het verstoren van de toegang tot deze sites, wat mogelijk ernstige operationele verstoringen heeft veroorzaakt. NoName heeft de verantwoordelijkheid voor de aanvallen opgeëist. DDoS-aanvallen zijn een veelgebruikte tactiek van cybercriminelen om systemen te overbelasten en offline te halen, wat leidt tot schade aan de infrastructuur van getroffen organisaties.

In de Russische regio Ulyanovsk is het mobiele internet permanent uitgeschakeld, een maatregel die van kracht blijft "tot het einde van de oorlog tegen Oekraïne". Lokale autoriteiten gaven aan dat de federale regering de beslissing had genomen en dat regionale functionarissen hier geen invloed op hadden. De internetblokkade geldt voor woonwijken, sociale instellingen en kantoren in de regio. Om de impact te verzachten, is een zogenaamde "witte lijst" geïntroduceerd, waarop goedgekeurde Russische websites, zoals staatsdiensten en social media platforms, toegankelijk blijven. Ondanks deze maatregelen blijft het voor veel inwoners moeilijk om verbonden te blijven, vooral voor diegenen die afhankelijk zijn van mobiel internet. De beslissing maakt deel uit van bredere federale veiligheidsmaatregelen die de communicatie in gebieden nabij strategische objecten moeten beschermen.

Bron 1

Leiders in de Britse cybersecurity roepen de regering op om het startup-gedreven model van Israël te volgen en Britse cybersecurity-bedrijven te steunen in plaats van afhankelijk te blijven van grote Amerikaanse techbedrijven. In een open brief aan de Britse regering wordt gepleit voor meer overheidssteun om een onafhankelijk cyber-ecosysteem op te bouwen dat vergelijkbaar is met dat van Israël. Het voorstel benadrukt het belang van het aankopen van technologie van opkomende Britse startups en het invoeren van belastingvoordelen voor organisaties die Britse cybersecuritytools testen. Daarnaast wordt er gepleit voor de oprichting van een Britse versie van Israël's elite cybereenheid, Unit 8200, die als motor fungeert voor het succes van veel technologiebedrijven. Deze oproep is een reactie op eerdere gesprekken tussen investeerders, oprichters en overheidspersoneel, die zich zorgen maken over de beperkte samenwerking tussen de overheid en startups.

Bron 1, 2

De Iraans gelinkte APT-groep Ferocious Kitten richt zich sinds 2015 op Perzisch-sprekende doelwitten, voornamelijk dissidenten en activisten. De groep gebruikt politiek geladen documenten om slachtoffers te misleiden en schadelijke bestanden uit te voeren. Het belangrijkste instrument is de MarkiRAT-malware, die uitgebreide gegevensverzamelcapaciteiten biedt, waaronder het vastleggen van toetsaanslagen, klembordgegevens, screenshots en wachtwoordinzamelingen. De aanvallen worden uitgevoerd via spearphishing-campagnes waarbij gemanipuleerde Microsoft Office-documenten worden verzonden met ingebedde macros. Zodra een slachtoffer een document opent, wordt de malware uitgevoerd, waarmee een persistentie wordt gevestigd. MarkiRAT maakt gebruik van verschillende techniek om detectie te omzeilen, waaronder het manipuleren van bestandsnamen om schadelijke bestanden als onschuldige media te verbergen. De malware verzamelt niet alleen gevoelige informatie maar richt zich ook specifiek op wachtwoorden en versleutelde bestanden, wat de dreiging verder vergroot.

Bron 1

Volgens Chef Defensie Frederik Vansina lijkt België momenteel het doelwit te zijn van een verhoogde hybride dreiging. Hij wees op recente incidenten met drones boven luchthavens en militaire domeinen, cyberdreigingen, en de verhoogde aanwezigheid van schepen voor de kust. Daarnaast wordt er een groeiende "assertieve retoriek" op sociale media waargenomen, mogelijk aangestoken door buitenlandse actoren. Vansina benadrukte dat dergelijke hybride dreigingen in heel Europa zichtbaar zijn, met aanwijzingen dat Rusland betrokken zou zijn, onder andere bij sabotages van onderzeese kabels en cyberaanvallen. De generaal riep op tot versnelling van defensie-investeringen en technologieën om deze dreigingen tegen te gaan, zoals het tegengaan van drones. De internationale situatie, zoals de oorlog in Oekraïne en de technologische vooruitgang, maakt de dreiging in Europa steeds complexer.

Bron 1

De Franse president Emmanuel Macron heeft gewaarschuwd dat toekomstige oorlogen in de ruimte zullen beginnen en beschuldigde Rusland van spionageactiviteiten in de ruimte sinds de invasie van Oekraïne in 2022. Volgens Macron observeren Russische satellieten Franse ruimteobjecten, worden GPS-signalen op grote schaal verstoord en vinden er cyberaanvallen plaats op ruimtegerelateerde infrastructuur. Hij noemde ook de Russische dreiging om kernwapens in de ruimte te plaatsen “schokkend” vanwege de wereldwijde risico’s. Frankrijk verhoogt daarom de militaire ruimtebegroting met 4,2 miljard euro tot 2030 en investeert in herbruikbare draagraketten en Europese ruimtewaarnemingssystemen, waaronder het Aurore-radarsysteem. Macron benadrukte dat Frankrijk, samen met Duitsland, zijn waarschuwingscapaciteiten uitbreidt en onafhankelijk wil blijven van grote buitenlandse spelers en commerciële ruimtebedrijven.

Bron 1

In 2025 bleek uit meerdere industriële rapporten dat 50-61% van de nieuw ontdekte kwetsbaarheden binnen 48 uur na publicatie wordt gemanipuleerd door aanvallers. Dit heeft geleid tot een nieuwe cyberstrijd waarin de snelheid van exploitatie en patching cruciaal is. Cybercriminelen hebben hun processen volledig geautomatiseerd, waarbij AI en geautomatiseerde scripts worden ingezet om snel exploitcode te ontwikkelen en te verspreiden. Dit creëert een gap tussen de snelheid van aanvallen en de vaak langzamere reacties van beveiligingsteams, die afhankelijk zijn van manuele patchcyclusmethodes. De efficiëntie van aanvallers ligt in hun vermogen om te werken met grote volumes, waarbij ze snelheid en automatisering benutten. Organisaties moeten hun benadering van cyberbeveiliging herzien, waarbij automatisering en snelle actie centraal staan om de strijd tegen deze steeds snellere dreigingen aan te gaan. De toekomst van cybersecurity is afhankelijk van de snelheid waarmee verdedigers reageren op kwetsbaarheden.

Bron 1

Onderzoekers van het Amerikaanse bedrijf Anthropic hebben een cyberoperatie ontdekt waarbij kunstmatige intelligentie werd ingezet om delen van een hackcampagne te automatiseren. Volgens Anthropic is dit de eerste gedocumenteerde aanval waarbij AI zelfstandig digitale inbraken aanstuurt. De operatie, die wordt gelinkt aan de Chinese overheid, richtte zich op ongeveer dertig personen werkzaam bij technologiebedrijven, financiële instellingen, chemische ondernemingen en overheidsorganisaties. Hoewel de aanval beperkt bleef in omvang, beschouwen de onderzoekers het als een zorgwekkende ontwikkeling vanwege de snelheid waarmee AI-gestuurde aanvallen zich ontwikkelen. De betrokken AI-systemen werden gebruikt om processen binnen de aanvallen te optimaliseren en taken zonder menselijke tussenkomst uit te voeren. Anthropic, bekend van de chatbot Claude, wist de campagne in september te verstoren en de betrokken partijen te waarschuwen. De bevinding onderstreept hoe kunstmatige intelligentie cyberdreigingen steeds effectiever maakt.

Bron 1

Het demissionaire kabinet van Nederland maakt zich zorgen over de rol van kunstmatige intelligentie (AI) voor zowel de nationale als internationale veiligheid. Minister van Buitenlandse Zaken, David van Weel, benadrukte dat AI wereldwijd steeds belangrijker wordt, wat een integrale aanpak vereist binnen het buitenlandbeleid van Nederland en Europa. In zijn toespraak tijdens de AI Summit Brainport 2025 stelde Van Weel dat de overheid via de EU, de NAVO en de VN zal pleiten voor effectieve wet- en regelgeving rondom AI. Hij benadrukte ook dat landen zoals China AI gebruiken voor grootschalige surveillantie, wat in strijd is met de Europese normen van privacy en mensenrechten. Het kabinet wil dat Nederland een actieve rol speelt in de ontwikkeling van AI, maar op een manier die aansluit bij de Europese waarden van privacy en individuele rechten.

Bron 1

De Duitse politieke partij Alternative für Deutschland (AfD) heeft een reeks vragen gesteld in de parlementen van de deelstaten waarin zij zich hard maken voor een positie die lijkt te sympathiseren met de Russische belangen. Tino Chrupalla, leider van de AfD, uitte twijfels over de dreiging die Rusland voor Duitsland zou vormen. Deze vragen richten zich op onderwerpen die Moskou als belangrijk beschouwt, zoals de relatie van Duitsland met de NAVO en het buitenlandse beleid ten aanzien van Rusland. De partij lijkt hiermee te spelen op de retoriek van Moskou, wat de situatie in Duitsland verder polariseert. Deze ontwikkeling komt op een moment dat de spanning tussen Rusland en de Europese landen, waaronder Duitsland, aanhoudt door de geopolitieke situatie. De AfD lijkt te trachten de publieke opinie te beïnvloeden met pro-Russische sentimenten in het politieke debat.

Bron 1

De Iraanse hacker-groep APT42 heeft een nieuwe spionagecampagne gelanceerd met de codenaam 'SpearSpecter', gericht op defensie- en overheidsfunctionarissen. De aanval maakt gebruik van sociale-engineeringtechnieken om doelwitten, waaronder belangrijke figuren binnen de Islamitische Revolutionaire Garde (IRGC), te misleiden. In deze campagne worden doelwitten uitgenodigd voor prestigieuze evenementen of belangrijke vergaderingen, waarbij ook familieleden van de doelwitten onder druk worden gezet om toegang te verkrijgen tot gevoelige informatie. De aanvallers gebruiken de TAMECAT-malware, die meerdere kanalen zoals HTTPS, Discord en Telegram gebruikt voor commando- en controle (C2), waarmee ze langdurige toegang verkrijgen tot geïnfecteerde systemen. De malware verzamelt gegevens, steelt informatie uit webbrowsers en maakt screenshots, terwijl de exfiltratie via HTTPS of FTP plaatsvindt. Deze campagne toont de geavanceerde capaciteiten van APT42 in cyberaanvallen gericht op langdurige spionage.

Bron 1, 2

Op 14 november 2025 kwamen de defensieministers van Duitsland, Frankrijk, Groot-Brittannië, Italië en Polen samen in Berlijn om het eenjarig bestaan van de "Groep van Vijf" (GoF) te markeren. In een gezamenlijke verklaring herbevestigden zij hun commitment om Europa's defensiecapaciteiten te versterken en Oekraïne verder te ondersteunen in de strijd tegen de Russische agressie. Er werd een versnelling van de productiecapaciteit van de Europese defensie-industrie besproken, evenals samenwerking tussen Europese en Oekraïense bedrijven. De ministers benadrukten het belang van luchtverdedigingssystemen voor Oekraïne, vooral gezien de recente verhevigde Russische luchtaanvallen. Ze gaven ook prioriteit aan het versterken van de strijd tegen hybride dreigingen, zoals cyberaanvallen en desinformatie. De groep blijft zich inzetten voor continue militaire steun aan Oekraïne, waarbij de EU een cruciale rol speelt in de versterking van de Euro-Atlantische veiligheid.

Bron 1

Anthropic heeft onlangs beweerd dat een door China gesponsorde dreigingsgroep, aangeduid als GTG-1002, een cyberespionage-operatie uitvoerde die grotendeels werd geautomatiseerd via misbruik van hun Claude Code AI-model. Volgens Anthropic was dit de eerste gedocumenteerde aanval waarbij AI vrijwel autonoom handelde in het uitvoeren van een cyberaanval. De aanval zou 30 doelwitten hebben getroffen, waaronder grote technologiebedrijven, financiële instellingen, chemische producenten en overheidsinstanties. Het AI-model zou de meeste fasen van de cyberaanval zelf hebben uitgevoerd, van het scannen van netwerken en het ontdekken van kwetsbaarheden, tot het exploiteren en verzamelen van inlichtingen.

De beweringen van Anthropic stuitten echter op veel scepsis binnen de cybersecuritygemeenschap. Veel onderzoekers beschouwen de rapporten als overdreven of zelfs verzonnen. Er werd kritiek geuit op het ontbreken van gedetailleerde technische informatie, zoals indicatoren van compromittering (IoC's), en de afwezigheid van concrete bewijzen voor de effectiviteit van de aanval. Desondanks stelde Anthropic dat de AI slechts in de beginfase werd ingegrepen door menselijke operators, en dat Claude in staat was om zelfstandig toegang te verkrijgen tot waardevolle doelwitten.

Deze aanval, die in september 2025 werd verstoord, werd gekarakteriseerd als een experiment waarbij AI werd ingezet voor penetratietests en exploitatie van kwetsbaarheden, met behulp van zowel open-source tools als een door AI gegenereerd aanvalsinfrastructuur. Hoewel de aanval slechts gedeeltelijk succesvol was, werd de operatie gepresenteerd als een belangrijke stap in de ontwikkeling van AI-gestuurde cyberaanvallen. De skeptici wijzen echter op de onrealistische verwachtingen van de huidige AI-technologieën en waarschuwen voor de overdrijving van de capaciteiten van AI in cyberaanvallen.

Bron 1, 2, 3, Anthropic

Download rapport Anthropic

Vijf personen, waaronder vier Amerikanen en één Oekraïner, hebben zich schuldig verklaard aan het faciliteren van Noord-Koreaanse spionageoperaties in de Verenigde Staten. Ze werkten mee aan een programma waarin Noord-Koreanen onder valse identiteit solliciteerden naar ICT-posities bij Amerikaanse techbedrijven, om zo toegang te verkrijgen tot bedrijfsnetwerken en systemen. Deze spionnen werkten op afstand, wat hun activiteiten moeilijker traceerbaar maakte.

Het Amerikaanse ministerie van Justitie heeft vastgesteld dat de spionnen zich vaak verhulden via tussenpersonen die internetverbindingen via Amerikaanse IP-adressen verschaften, evenals vervalste identiteitsdocumenten. Bovendien werden zogenaamde 'laptop-farms' ontdekt, ruimtes waar meerdere laptops op afstand werden aangestuurd vanuit Noord-Korea. Dit netwerk van spionnen werd ingezet om informatie te verzamelen en financiële middelen door te sluizen naar Noord-Korea.

Deze operatie is een voorbeeld van de toenemende dreiging van digitale infiltratie, waarbij technologiebedrijven onbewust betrokken raken bij cyberinlichtingenoperaties. Dit incident benadrukt de risico's van insider threats en de uitdagingen voor bedrijven om hun systemen te beschermen tegen onopgemerkte spionage. Het incident is onderdeel van een bredere trend waarin staten zich bedienen van geavanceerde digitale methoden om gevoelige informatie te verkrijgen.

Bron 1

Polen onderzoekt een explosie op de spoorlijn tussen Warschau en Lublin die volgens de regering het gevolg is van doelbewuste sabotage. Premier Donald Tusk bevestigde dat een explosief het spoor op meerdere locaties heeft beschadigd en noemde het een ernstige aantasting van de nationale veiligheid. De autoriteiten zien geen verband met ongevallen en beschouwen coördinatie als aannemelijke mogelijkheid. Er zijn geen gewonden gemeld.

De sabotage wordt door de Poolse regering geplaatst in een patroon van hybride activiteiten dat de afgelopen periode zichtbaar is geworden. Het land rapporteert vaker over droneincidenten, verstoringen aan de grens met Belarus en oplopende cyberaanvallen die volgens Warschau passen binnen een bredere strategie om Europese lidstaten te destabiliseren. Tusk stelt dat deze combinatie van digitale en fysieke acties de druk op Europese veiligheidsstructuren vergroot. Hij benadrukt dat samenwerking binnen de NAVO en versterking van de Europese defensieve capaciteit noodzakelijk blijven om dergelijke incidenten het hoofd te bieden. Bron 1

De Duitse minister van Defensie Boris Pistorius waarschuwt dat Rusland binnen enkele jaren opnieuw over voldoende militaire slagkracht kan beschikken om de Europese veiligheid te ondermijnen. Volgens militaire en inlichtingenanalyses zou Moskou rond 2028 of 2029 in staat kunnen zijn om rechtstreeks druk uit te oefenen op de oostflank van de NAVO. Deze ontwikkeling wordt geplaatst in een bredere context van hybride strategieën waarin digitale aanvallen, sabotage en desinformatie een centrale rol spelen.

Pistorius benadrukt dat de voortdurende modernisering van de Russische strijdkrachten gepaard gaat met intensivering van activiteiten die ook het civiele domein raken, zoals cyberaanvallen en verstorende operaties in diverse Europese landen. De recente droneincidenten in onder meer Polen, Denemarken en Duitsland worden door verschillende analisten gezien als signalen dat Moskou de grenzen van de Europese defensie en digitale weerbaarheid blijft testen.

Hoewel de NAVO zijn afschrikking volgens Pistorius op peil heeft, vraagt de combinatie van conventionele opbouw en digitale druk om versnelde versterking van zowel fysieke defensie als cybercapaciteit. De Duitse analyse maakt duidelijk dat Europa rekening moet houden met een langere periode van verhoogde hybride dreiging, waarin nieuwe technologieën snel worden ingezet op het slagveld en in het digitale domein.

Bron 1

De Nederlandse overheid heeft een informatiecampagne gelanceerd om burgers voor te bereiden op langdurige stroomuitval en andere crisis-situaties. Experts waarschuwen dat het slechts een kwestie van tijd is voordat Nederland te maken krijgt met een scenario waarin de infrastructuur dagenlang ontwricht is. Langdurige stroomstoringen, mogelijk als gevolg van cyberaanvallen op het elektriciteitsnet, worden als reële dreigingen beschouwd. De campagne 'Denk vooruit' richt zich niet alleen op fysieke noodsituaties, maar benadrukt ook de noodzaak voor zelfredzaamheid in het geval van cyberincidenten, zoals hackaanvallen op kritieke infrastructuur.

Vanaf 25 november ontvangen alle huishoudens een informatieboekje waarin wordt uitgelegd hoe men zich kan voorbereiden op een situatie waarin de overheid tijdelijk niet in staat is hulp te bieden. De boodschap is duidelijk: burgers moeten de eerste 72 uur na een crisis zelf kunnen overleven, door bijvoorbeeld een noodpakket en een communicatieplan op te stellen.

Het onderzoek van Mark Levels, hoogleraar sociologie, benadrukt de veranderende veiligheidssituatie in Nederland en Europa, waarbij de dreiging van cyberaanvallen en hybride oorlogsvoering, waaronder desinformatie en digitale sabotage, steeds groter wordt. Het is belangrijk dat burgers zich niet alleen voorbereiden op fysieke rampen, maar ook op de mogelijkheid van aanvallen op vitale systemen zoals elektriciteit en communicatie.

Met deze campagne wil de overheid de weerbaarheid van de samenleving versterken, zodat men in geval van een crisis niet afhankelijk is van externe hulp. De focus ligt daarbij niet alleen op fysieke noodmaatregelen, maar ook op het versterken van digitale veiligheid en weerbaarheid tegen cyberdreigingen.

Bron 1

De Europese Unie kampt met de toenemende afhankelijkheid van technologie van buitenlandse partijen, met name uit de Verenigde Staten en China. Dit creëert veiligheidsrisico’s voor kritieke infrastructuur en Europese digitale soevereiniteit. Om deze afhankelijkheid te verkleinen, neemt de EU serieuze stappen door de oprichting van strategische initiatieven en samenwerkingen te bevorderen.

Een recente bijeenkomst in Berlijn bracht vertegenwoordigers van EU-lidstaten, het bedrijfsleven en academische instellingen samen om de technologische autonomie van Europa te versterken. Onderwerpen als de inzet van opensource software, digitale identificatie, en de oprichting van 'EU Inc.' werden besproken om bedrijven binnen de EU te helpen gemakkelijker over landsgrenzen heen te opereren zonder extra kosten. Deze initiatieven kunnen de veerkracht van de Europese digitale infrastructuur tegen cyberdreigingen verbeteren.

Daarnaast investeert het moederbedrijf van supermarktketen Lidl 11 miljard euro in een datacenter in Berlijn om de rekenkracht te vergroten en toekomstige ontwikkelingen op het gebied van kunstmatige intelligentie beter te ondersteunen, zonder afhankelijk te zijn van Amerikaanse of Chinese technologie.

Deze stappen zijn een reactie op de groeiende geopolitieke druk, waarbij de invloed van buitenlandse techbedrijven op de Europese cyberspace steeds groter wordt. De EU wil haar digitale autonomie vergroten om de veiligheid van haar digitale netwerken en kritieke infrastructuren te waarborgen. Hoewel veel van deze initiatieven nog in een beginstadium verkeren, is het duidelijk dat de EU nu serieus werk maakt van het versterken van haar digitale soevereiniteit.

Sinds medio 2024 voert de Iraans gesteunde hacker groep UNC1549 gerichte aanvallen uit op organisaties in de luchtvaart-, luchtvaart- en defensiesector wereldwijd. De groep maakt gebruik van een geavanceerde benadering die zowel phishing-aanvallen als de uitbuiting van vertrouwde connecties tussen de primaire doelwitten en hun derde leveranciers combineert. Deze strategie blijkt bijzonder effectief tegen goed beveiligde organisaties zoals defensiecontractanten, die vaak hun leveranciers als zwakkere schakels in het netwerk gebruiken, wat hen tot de eerste doelwitten maakt voor inbreuken.

UNC1549 heeft zijn methoden in de loop van de tijd verfijnd en toont een aanzienlijke mate van operationele en tactische complexiteit. De aanvallers gebruiken zorgvuldig samengestelde phishing e-mails, die specifiek gericht zijn op de rollen van de slachtoffers, om aanvankelijk toegang te verkrijgen tot netwerken. Zodra de hackers toegang hebben verkregen, maken ze gebruik van creatieve technieken voor laterale beweging, waaronder het stelen van broncode van slachtoffers om spear-phishing campagnes op te zetten met lookalike-domeinen die beveiligingsproxies kunnen omzeilen. Daarnaast misbruiken ze interne ticketingsystemen om inloggegevens van nietsvermoedende medewerkers te verkrijgen.

Google Cloud-analisten hebben vastgesteld dat UNC1549 aangepaste tools inzet die speciaal zijn ontworpen om detectie te omzeilen en forensisch onderzoek te bemoeilijken. Elk exploitatiepayload dat tijdens de onderzoeken werd geïdentificeerd, had een unieke hash, zelfs wanneer meerdere exemplaren van dezelfde achterdeurvariant binnen een enkel slachtoffer netwerk werden aangetroffen. Deze mate van aanpassing benadrukt de aanzienlijke middelen en de toewijding van de groep aan operationele beveiliging.

Een van de meest technisch significante aspecten van de operaties van UNC1549 betreft hun gebruik van search order hijacking voor malwarepersistentie. Deze techniek houdt in dat kwaadaardige DLL-bestanden in legitieme software-installatiemapjes worden geplaatst, zodat aanvallers blijvende uitvoering kunnen verkrijgen wanneer beheerders of gebruikers de legitieme software uitvoeren.

De groep heeft met succes deze kwetsbaarheid geëxploiteerd in veelgebruikte bedrijfsoplossingen zoals FortiGate, VMWare, Citrix, Microsoft en NVIDIA uitvoerbare bestanden. Bij het verkrijgen van initiële toegang installeren de aanvallers opzettelijk legitieme software om misbruik te maken van deze zoekvolgorde-hijacking mogelijkheid.

De TWOSTROKE backdoor, een aangepaste C++-achterdeur, is een voorbeeld van deze technische verfijning. Het communiceert via SSL-versleutelde TCP-verbindingen op poort 443, wat het moeilijk maakt om het van legitiem verkeer te onderscheiden. TWOSTROKE genereert een unieke slachtoffer-ID door de volledig gekwalificeerde DNS-computernaam op te halen en deze via XOR-encryptie om te zetten naar een bot-ID.

UNC1549’s campagne is gericht op langdurige persistente toegang en anticipeert op de reacties van onderzoekers. Ze implementeren strategisch achterdeuren die maandenlang inactief blijven, waarbij ze alleen worden geactiveerd nadat slachtoffers pogingen ondernemen om de situatie te verhelpen. Dit, gecombineerd met het uitgebreide gebruik van reverse SSH-shells en domeinen die de industrieën van de slachtoffers nabootsen, creëert een complexe omgeving voor verdedigers om zich tegen te beschermen.

Bron 1

De Lazarus APT-groep, gelieerd aan de Noord-Koreaanse overheid, heeft een nieuwe versie van hun Remote Access Trojan (RAT) geïntroduceerd, genaamd ScoringMathTea. Dit malwareprogramma maakt deel uit van een bredere cyberaanval, bekend als Operation DreamJob, en richt zich met name op bedrijven die technologieën voor onbemande luchtvaartuigen (UAV) leveren aan Oekraïne. Het doel van deze aanvallen is het stelen van gevoelige productiekennis en intellectueel eigendom.

ScoringMathTea is geavanceerd opgebouwd en kan op verschillende manieren schade aanrichten. Het biedt aanvallers volledige controle over geïnfecteerde systemen, waarmee ze op afstand opdrachten kunnen uitvoeren en malware kunnen laden zonder sporen achter te laten. Het malwareprogramma maakt gebruik van meerdere technische mechanismen, zoals dynamische API-resolutie en encryptie via meerdere lagen, om detectie te omzeilen. Door gebruik te maken van technieken zoals polymorfe vervorming en een gepersonaliseerd substitutiecijfer wordt het extreem moeilijk om de code te analyseren.

Een van de meest geavanceerde kenmerken van ScoringMathTea is de mogelijkheid om plugins in het geheugen te laden en uit te voeren. Dit maakt het voor aanvallers mogelijk om hun code volledig in het geheugen te draaien, zonder dat er bestanden op de harde schijf van de geïnfecteerde machine worden achtergelaten. Dit biedt een langdurige toegang tot de systemen van de slachtoffers, wat het malware bijzonder gevaarlijk maakt voor bedrijven die kwetsbaar zijn voor deze aanvallen.

Deze nieuwe vorm van RAT benadrukt de evolutie van Lazarus’ aanvallen, waarbij steeds geavanceerdere technologieën worden ingezet om vertrouwelijke informatie te stelen en de werking van doelwitten te verstoren. Beveiligingsexperts waarschuwen dat deze malware een aanzienlijke bedreiging vormt, niet alleen vanwege de geavanceerde technieken, maar ook vanwege het specifieke doelwit van de aanval: bedrijven die kritieke technologie leveren aan Oekraïne in het kader van de voortdurende conflicten.

Bron 1

De Britse veiligheidsdienst MI5 heeft een belangrijke waarschuwing afgegeven met betrekking tot Chinese spionage-inspanningen via LinkedIn. Twee personen van de Chinese inlichtingendienst zouden actief parlementsleden en andere belangrijke afgevaardigden benaderen via de netwerkwebsite LinkedIn. Deze nep-headhunters zijn bezig met het verkrijgen van vertrouwelijke en gevoelige informatie door contact te leggen met individuen in politieke en economische sectoren, waaronder medewerkers van denktanks.

MI5 waarschuwt de betrokkenen voor aanbiedingen die ogenschijnlijk onschuldige voordelen beloven, zoals volledig betaalde reizen naar China, maar in werkelijkheid gericht zijn op het verkrijgen van insider-informatie. Naast het aanbieden van reizen, worden er ook betalingen gedaan via contant geld of cryptovaluta als beloning voor de verstrekte informatie. De veiligheidsdienst heeft bevestigd dat de LinkedIn-accounts van de betreffende individuen onder beheer staan van de Chinese veiligheidsdienst.

Dit incident komt op het moment dat er al eerder zorgen waren over Chinese spionage via LinkedIn, waarbij vrouwelijke agenten werden ingezet om contact te leggen met duizenden Britten die werkzaam zijn in gevoelige sectoren. De MI5 benadrukt dat deze pogingen gericht zijn op het verzamelen van waardevolle informatie die kan worden ingezet voor politieke en economische invloed. De Britse overheid heeft dan ook herhaaldelijk gewaarschuwd voor het risico van spionage via sociale netwerken en de rol van digitale platforms in moderne spionageactiviteiten.

Bron 1

Twee Oekraïense staatsburgers worden verdacht van betrokkenheid bij sabotageacties op Poolse spoorlijnen die gebruikt worden voor de transport van voorraden naar Oekraïne. Dit werd bekendgemaakt door de Poolse premier Donald Tusk. De incidenten, die tussen zaterdag en maandag plaatsvonden, beschadigden een cruciale spoorlijn, die zowel militaire als humanitaire leveringen naar Oekraïne mogelijk maakt. Tusk benadrukte dat de verdachten al langer samenwerkten met Russische inlichtingendiensten.

De sabotage maakt deel uit van een bredere hybride oorlogvoering van Rusland, die fysieke aanvallen combineert met digitale operaties, en vormt een serieuze bedreiging voor de nationale veiligheid van Polen, dat een belangrijke strategische rol speelt in de steun aan Oekraïne. De explosie die een deel van de Warschau-Lublin spoorlijn vernietigde, wordt gezien als een gerichte aanval op de Poolse infrastructuur. Ondanks dat er geen gewonden vielen, werd er aanzienlijke schade aangericht. Onderzoekers ontdekten later extra schade op dezelfde route.

Dit incident benadrukt de groeiende dreiging van hybride aanvallen, waarbij digitale en fysieke aanvallen door staten worden ingezet om kwetsbaarheden in andere landen te exploiteren. Het vormt een belangrijk voorbeeld van de evoluerende aard van cyberoorlogvoering, waarin traditionele infrastructuur steeds vaker doelwit wordt van zowel digitale als fysieke aanvallen.

Bron 1

De demissionair minister van Economische Zaken, Vincent Karremans, heeft besloten de ingreep bij de chipmaker Nexperia op te schorten. Deze ingreep had tot doel belangrijke beslissingen bij het bedrijf tegen te houden die de chipproductie in Europa in gevaar zouden kunnen brengen. Het opschorten van de maatregel is bedoeld om de relatie met China te verbeteren. Karremans had in september de maatregel genomen na zorgen over de Chinese directeur van Nexperia, die de chipproductie in Nederland zou kunnen verplaatsen naar China. Dit zou leiden tot verstoringen in de productie van belangrijke componenten voor de Europese auto-industrie.

Het conflict ontstond nadat China de export van chips uit Nexperia’s fabriek in China blokkeerde als reactie op de ingreep van de Nederlandse overheid. Dit leidde tot politieke spanningen tussen Nederland en China. Inmiddels heeft China aangegeven uitzonderingen te maken op het exportverbod, wat de situatie heeft verbeterd. Karremans vertrouwt erop dat China de exportvergunningen voor de Nexperia-chips zal blijven verlenen, waardoor de noodzaak voor verdere overheidsingrepen voorlopig is vervallen.

Hoewel de ingreep is opgeschort, betekent dit niet dat de maatregel volledig is teruggedraaid. Karremans kan de ingreep in de toekomst opnieuw laten ingaan als de situatie verslechtert. Dit besluit is genomen na overleg met Chinese autoriteiten en de toezegging dat de benodigde chips blijven geleverd worden voor de Europese automobielsector. Het is nog onduidelijk welke gevolgen dit heeft voor de langere termijn, aangezien de belangen tussen Nederland, Europa en China complex blijven.

Bron 1, 2

Rusland zet hybride tactieken in om de stabiliteit van Polen en andere Europese landen te ondermijnen, waarbij cyberaanvallen, desinformatie en sabotage een sleutelrol spelen. Volgens Tomasz Siemoniak, voormalig Poolse minister van Binnenlandse Zaken en momenteel coördinator van speciale diensten, is de uiteindelijke doelstelling van Rusland destabilisatie en het verstoren van de solidariteit tussen westerse landen. De recente Russische aanvallen omvatten niet alleen fysieke sabotages, zoals de inzet van drones in het Poolse luchtruim, maar ook gerichte cyberoperaties en pogingen tot desinformatieverspreiding.

Een van de meest opvallende incidenten was de aanval met Russische drones in september 2025, waarbij meer dan twintig drones het Poolse luchtruim binnendrongen. Hoewel de drones niet bewapend waren, benadrukt het voorval de kwetsbaarheid van Europese infrastructuur voor cyber- en hybride aanvallen, die steeds complexer en schadelijker worden. Dit soort incidenten zijn indicatief voor de steeds grotere rol die digitale en cyberaanvallen spelen in geopolitieke conflicten, en het belang van robuuste cyberbeveiliging binnen de EU.

Siemoniak wijst erop dat Rusland een breed scala aan digitale middelen inzet, waaronder cyberaanvallen, desinformatiecampagnes en manipulatie van de publieke opinie, om de steun voor Oekraïne te verzwakken en verdeeldheid te zaaien binnen de EU. Het doel is niet alleen fysieke schade aanrichten, maar ook sociaal-politieke instabiliteit creëren door online en offline chaos te veroorzaken. Cybercriminelen en hackers die mogelijk in dienst staan van de Russische staat worden vaak ingezet om gevoelige informatie te stelen of verspreiding van valse informatie te bevorderen.

Polen reageerde adequaat op deze dreigingen, zowel met militaire middelen als door het activeren van NAVO-leden om gezamenlijke veiligheid te waarborgen. Desondanks heeft de inzet van cyberaanvallen en desinformatie een bredere strategische impact, die de Europese landen herinnert aan de noodzaak van een gezamenlijke, robuuste verdediging tegen digitale dreigingen. Dit voorval onderstreept de urgentie voor verdere versterking van de digitale weerbaarheid van Europa tegen hybride dreigingen, die de stabiliteit van naties wereldwijd kunnen ondermijnen.

Bron 1

Polen heeft aangekondigd het Russische consulaat in Gdańsk te sluiten als reactie op sabotage-aanvallen op de belangrijke spoorlijn tussen Warschau en Lublin, een incident dat door de Poolse autoriteiten als "staatsterrorisme" wordt bestempeld. De aanval richtte zich op kritieke infrastructuur en wordt gekoppeld aan Russische inlichtingenactiviteiten, waarbij de aanvallers volgens de autoriteiten samenwerkten met Oekraïense nationals die naar Belarus zijn gevlucht. De sabotage werd uitgevoerd door explosieven en het saboteren van spoorrails en elektriciteitsvoorzieningen.

Dit incident is onderdeel van een bredere trend waarin fysieke en digitale aanvallen door staten worden ingezet om strategische doelen te bereiken. De actie benadrukt de toenemende dreiging van hybride oorlogsvoering, waarbij zowel traditionele als cyberaanvallen worden gebruikt om nationale veiligheid te ondermijnen. Polen, als belangrijke doorvoerroute voor wapenleveranties aan Oekraïne, heeft te maken met een verhoogd risico op dergelijke operaties. De sluiting van het consulaat markeert een escalatie van de diplomatieke spanningen, waarbij Polen zich niet alleen voorbereidt op diplomatieke reacties, maar ook op de versterking van zijn nationale veiligheidsmaatregelen tegen digitale dreigingen en sabotage.

Bron 1

Minister Karremans heeft de maatregel om in te grijpen bij chipbedrijf Nexperia opgeschort, in een poging om de diplomatieke verhoudingen met China te verbeteren. De maatregel werd eerder ingevoerd nadat de Chinese directeur van Nexperia verdacht werd van het leegtrekken van het bedrijf, wat de productie van essentiële chips in Europa zou kunnen bedreigen. Door deze ingreep moest Nexperia toestemming aanvragen voor belangrijke beslissingen, waaronder de export van chips naar Europa, wat vooral van invloed was op de technologie- en auto-industrie.

De opschorting van deze maatregel heeft de levering van Nexperia-chips, essentieel voor veel digitale toepassingen, opnieuw op gang gebracht. De blokkade door China had geleid tot productieonderbrekingen, vooral in sectoren die sterk afhankelijk zijn van halfgeleiders. Ondanks de opschorting blijft de situatie fragiel, en Nederland houdt de mogelijkheid open om de maatregel opnieuw in te voeren als het risico op verlies van technologie en productie naar China opnieuw dreigt.

Deze kwestie benadrukt de kwetsbaarheid van de Europese digitale infrastructuur en de risico’s die verbonden zijn aan geopolitieke spanningen over strategische technologie. De handel in halfgeleiders en de controle over productiecapaciteiten in verschillende landen kunnen invloed hebben op de cyberveiligheid van bedrijven en overheden wereldwijd. De situatie onderstreept de noodzaak voor meer robuuste strategieën om de digitale infrastructuur te beschermen tegen geopolitieke invloeden en de risico’s van buitenlandse controle over kritieke technologieën.

Bron 1

Een geavanceerde cyberespionagecampagne, uitgevoerd door de China-Nexus APT-groep, richt zich sinds begin 2025 op overheids- en mediageorganisaties in Zuidoost-Azië, met een specifieke focus op landen rondom de Zuid-Chinese Zee. De aanval maakt gebruik van de DLL-sideloading techniek en exploiteert een kwetsbaarheid in WinRAR (CVE-2025-8088) om toegang te krijgen tot de doelwitten.

De aanvallen beginnen met een ogenschijnlijk legitiem bestand, genaamd "Proposal_for_Cooperation_3415.05092025.rar", dat een kwetsbaarheid in WinRAR uitbuit wanneer slachtoffers proberen de inhoud te extraheren. Dit stelt de aanvallers in staat een persistentiescript in de opstartmap van de gebruiker te installeren via een paddoorsteken en een Alternatieve Gegevensstroomtechniek. De campagne maakt gebruik van vier verschillende stadia om de infectie te verspreiden, waarbij elke fase is ontworpen om detectie te vermijden.

In het tweede stadium wordt gebruik gemaakt van een gewijzigde versie van de legitieme OBS-browser, die een aangepaste libcef.dll-bestand laadt om kwaadaardige code uit te voeren. De aanvallers communiceren met hun command-and-control servers via Telegram en hebben toegang tot functies zoals shell-executie, het maken van screenshots en het uploaden van bestanden. In de derde fase wordt Adobe's Creative Cloud Helper misbruikt om een kwaadaardig CRClient.dll bestand te laden, dat versleutelde payloads decrypteert met een eenvoudige XOR-techniek.

De uiteindelijke backdoor biedt uitgebreide mogelijkheden voor remote toegang via HTTPS, waarbij het netwerkverkeer wordt versleuteld om detectie door traditionele beveiligingssystemen te bemoeilijken. De backdoor ondersteunt verschillende commando’s, waaronder het uitvoeren van opdrachten, het laden van DLL-bestanden en het manipuleren van bestanden.

Deze cyberaanvallen richten zich op cruciale infrastructuren in de overheids- en mediasectoren, wat hen tot waardevolle doelen maakt vanwege hun invloed op beleid, publieke opinie en internationale strategische afstemming.

Bron 1

Hackgroepen met banden met Iran hebben geavanceerde cyberoperaties uitgevoerd om fysieke aanvallen te faciliteren, waarbij ze informatie verzamelden via het Automatic Identification System (AIS) van schepen. Deze digitale verkenning was onderdeel van een bredere cyberstrategie om real-world missielanceringen te ondersteunen. Dit toont de toenemende vervaging van de grenzen tussen cyberaanvallen en traditionele militaire operaties, wat nieuwe risico's met zich meebrengt voor de beveiliging van maritieme infrastructuren.

De groep Imperial Kitten, gelinkt aan de Iraanse Revolutionaire Garde (IRGC), voerde tussen december 2021 en januari 2024 digitale verkenning uit op maritieme systemen, met als doel toegang te krijgen tot scheepsinformatie en infrastructuur. Via hacks op de AIS-systemen en CCTV-camera’s van schepen konden de hackers real-time gegevens verzamelen die later werden gebruikt voor gerichte raketaanvallen, zoals de mislukte aanval op 27 januari 2024.

Deze incidenten onderstrepen de geavanceerde technieken die door nation-state actor groepen worden ingezet, waarbij cyberoperaties worden gebruikt om fysieke aanvallen te verbeteren. Dit werpt nieuwe vragen op over de effectiviteit van traditionele cybersecuritymaatregelen en de noodzaak van geïntegreerde strategieën voor zowel cyberbeveiliging als fysieke beveiliging van kritieke infrastructuren wereldwijd.

Bron 1

Google heeft de onthulling gedaan van een malware genaamd BadAudio, die al drie jaar wordt ingezet door APT24, een hackercollectief met banden in China. Deze groep heeft BadAudio gebruikt in een langdurige spionagecampagne die recent is geëvolueerd naar geavanceerdere aanvalsmethoden. APT24 verspreidde de malware via verschillende aanvallen, waaronder spearphishing, supply-chain compromissen en watering hole-aanvallen. De malware werd vaak verspreid via valse software-updates en misbruik van legitieme websites, waarbij JavaScript werd geïnjecteerd om slachtoffers te identificeren en hen naar een kwaadaardige pop-up te leiden.

Vanaf 2024 breidde de groep haar tactieken uit door herhaaldelijk een marketingbedrijf in Taiwan te compromitteren, dat JavaScript-bibliotheken levert aan duizenden andere websites. APT24 injecteerde hierbij malafide JavaScript in veel gebruikte bibliotheken, waardoor meer dan duizend domeinen werden getroffen. In parallelle aanvallen werden ook spearphishing-e-mails gebruikt, die zich voordeden als berichten van dierenreddingsorganisaties en waarbij diensten zoals Google Drive en OneDrive werden misbruikt om de malware te verspreiden.

De BadAudio-malware maakt gebruik van geavanceerde obfuscatie-technieken, waaronder DLL hijacking en een methode genaamd control flow flattening, waardoor het erg moeilijk is voor analisten om de malware te detecteren of te reverse-engineeren. Zodra de malware is uitgevoerd op een slachtoffercomputer, verzamelt het systeeminformatie en stuurt deze versleuteld naar de aanvallers. Vervolgens wordt een payload gedownload en uitgevoerd via een techniek die bekendstaat als DLL sideloading, waardoor het moeilijker is voor beveiligingssoftware om de bedreiging te detecteren.

Deze spionagecampagne is opmerkelijk omdat het de duur van drie jaar overspant en ondanks de opkomst van steeds geavanceerdere detectiemethoden, bleef BadAudio grotendeels onopgemerkt. Slechts een klein aantal samples werd door antivirussoftware opgemerkt, wat de effectiviteit van de aanvalstechnieken van APT24 benadrukt.

Hackers met vermoedelijke Chinese steun maken gebruik van een kritieke kwetsbaarheid in Microsoft Windows Server Update Services (WSUS) om de geavanceerde malware ShadowPad te verspreiden. Deze malware is een backdoor die eerder in verband is gebracht met meerdere door staten gesponsorde groepen. De aanvallen maken gebruik van de kwetsbaarheid CVE-2025-59287, een remote code execution (RCE) fout die aanvallers systeemtoegang geeft tot kwetsbare servers. Sinds de publieke release van een proof-of-concept code in oktober 2025, hebben cybercriminelen deze kwetsbaarheid snel geadopteerd om netwerken van bedrijven met een WSUS-infrastructuur te compromitteren.

De aanval begint wanneer de hackers Windows-servers met WSUS inschakelen en gebruikmaken van de kwetsbaarheid om systeemtoegang te verkrijgen. Nadat ze toegang hebben, implementeren ze PowerCat, een open-source PowerShell-gebaseerd hulpmiddel dat hen direct toegang tot de command shell van het getroffen systeem biedt. Dit eerste toegangspunt stelt de aanvallers in staat om verdere opdrachten uit te voeren voor het installeren van de malware. Tijdens de aanval wordt ShadowPad gedownload en geïnstalleerd met behulp van legitieme Windows-hulpmiddelen zoals certutil en curl, waardoor de kans op detectie wordt verminderd.

ShadowPad maakt gebruik van een techniek genaamd DLL-sideloading, waarbij het niet als een zelfstandige executable draait, maar in plaats daarvan een legitiem Windows-programma zoals ETDCtrlHelper.exe wordt misbruikt om een kwaadaardige DLL te laden. Deze DLL fungeert als een loader voor de ShadowPad-backdoor, die volledig in het geheugen draait. De malware blijft persistent door het maken van services, registerinstellingen en geplande taken, en communiceert met command-and-control-servers via HTTP en HTTPS, waarbij het verkeer wordt gemaskeerd met standaard Firefox-browserheaders.

Organisaties die WSUS gebruiken, wordt dringend geadviseerd om de beveiligingsupdate van Microsoft voor CVE-2025-59287 onmiddellijk toe te passen en serverlogboeken te monitoren op verdachte PowerShell-, certutil- en curl-uitvoeringspatronen om mogelijke pogingen tot compromis te detecteren.

Bron 1

De Noord-Koreaanse hackercollectieven Kimsuky en Lazarus hebben hun krachten gebundeld om een gecoördineerde cyberaanval uit te voeren die organisaties wereldwijd bedreigt. Deze samenwerking markeert een belangrijke verschuiving in de werkwijze van staatsgesponsorde dreigingsactoren, die nu van geïsoleerde aanvallen overgaan naar zorgvuldig geplande en gecoördineerde operaties. Het gezamenlijke doel van deze groepen is het stelen van gevoelige inlichtingen en cryptocurrency, met behulp van een systematische aanpak die sociale manipulatie en zero-day-exploits combineert.

Het aanvallingsproces begint met Kimsuky, dat via phishingmails gericht op academische conferenties of verzoeken om samenwerking informatie verzamelt. Deze e-mails bevatten kwaadaardige bijlagen in HWP- of MSC-formaten die, zodra ze worden geopend, de FPSpy backdoor activeren. Na installatie van deze backdoor wordt een keylogger genaamd KLogEXE geactiveerd, die wachtwoorden, e-mailinhoud en systeeminformatie vastlegt. Dit stelt de aanvallers in staat om het netwerk van de doelwitten te verkennen en waardevolle informatie in kaart te brengen.

Vervolgens neemt Lazarus de controle over de getroffen systemen en maakt gebruik van zero-day-kwetsbaarheden om diepere toegang te verkrijgen. Het exploiteert de CVE-2024-38193, een privilege escalation-bug in Windows, om kwaadaardige Node.js-pakketten te implementeren die op het eerste gezicht legitiem lijken. Zodra deze pakketten worden uitgevoerd, verkrijgen de aanvallers systeemniveau toegang en installeren ze de InvisibleFerret backdoor. Deze malware maakt gebruik van geavanceerde technieken om endpoint-detectie te omzeilen, waardoor het voor beveiligingsteams bijzonder moeilijk is om de activiteit op te sporen.

De InvisibleFerret backdoor is bijzonder geavanceerd, aangezien het netwerkverkeer als reguliere HTTPS-webverzoeken wordt gemaskeerd. Dit maakt het uiterst moeilijk om kwaadaardige activiteit te detecteren door middel van verkeersanalyse. De malware richt zich specifiek op blockchain-wallets door systeemberichten te scannen op privé-sleutels en transactiegegevens die in browserextensies en desktopapplicaties zijn opgeslagen. In een gedocumenteerd geval wisten de aanvallers binnen 48 uur $32 miljoen aan cryptocurrency te verplaatsen zonder beveiligingswaarschuwingen te activeren.

Na het voltooien van hun aanvallen werken de groepen samen om bewijs van hun aanwezigheid te verwijderen door gebruik te maken van gedeelde infrastructuur. Ze overschrijven kwaadaardige bestanden met legitieme systeemprocessen en wissen aanvallogs. Organisaties in de sectoren defensie, financiën, energie en blockchain lopen de grootste risico's van deze dreiging.

Bron 1

Oekraïne speelt niet alleen een cruciale rol in de verdediging van Europa tegen de Russische agressie, maar heeft zich ook gepositioneerd als een technologisch strategisch instrument tegen China’s groeiende invloed wereldwijd. In de huidige geopolitieke context heeft Oekraïne, met zijn snel ontwikkelende militaire technologie, de mogelijkheid om indirect druk uit te oefenen op Chinese proxy-netwerken, wat een belangrijke rol speelt in de bredere mondiale machtsstrijd.

De snelle technologische vooruitgang van Oekraïne heeft het land in staat gesteld om geavanceerde militaire technologieën, zoals drones en elektronische oorlogsvoering, te ontwikkelen en in te zetten. Deze innovaties stellen Oekraïne niet alleen in staat zichzelf te verdedigen, maar ook om digitale en fysieke netwerken te verstoren die de Russische strategie ondersteunen, waaronder die met Chinese connecties.

De inzet van Oekraïne in de ‘grijze zone’, waar het land zonder directe escalatie strategische aanvallen uitvoert, biedt waardevolle inzichten in de inzet van cybertechnologie in hybride conflicten. Oekraïne heeft bijvoorbeeld cyberoperaties uitgevoerd die gericht zijn op de ondermijning van Chinese logistieke netwerken in Latijns-Amerika en Azië, gebieden die traditioneel moeilijk toegankelijk zijn voor westerse landen.

De strategische inzet van technologie door Oekraïne vormt een belangrijk voorbeeld van hoe cyberoperaties kunnen worden ingezet tegen mondiale dreigingen. Deze acties versterken niet alleen de veiligheid van Oekraïne, maar dragen ook bij aan de bredere cyberveiligheidsagenda van westerse landen, door indirect de invloed van China en Rusland wereldwijd te verminderen.

Oekraïne’s benadering biedt een waardevolle les in het gebruik van digitale middelen als een krachtig hulpmiddel in geopolitieke conflicten, wat relevant is voor zowel cyberveiligheidsexperts als beleidsmakers.

Bron 1

Op 21 november 2025 werden meerdere drones gesignaleerd boven de strategisch belangrijke vliegbasis Volkel in Noord-Brabant, een locatie die onder andere F-35-gevechtsvliegtuigen huisvest. De drones, die verboden zijn boven militaire bases, werden tussen 19.00 en 21.00 uur opgemerkt door bewakingspersoneel. Als reactie werd door de Koninklijke Luchtmacht wapens ingezet om de drones uit de lucht te halen.

Dit incident volgt op een reeks soortgelijke gevallen in Europa, waarbij drones vaker worden ingezet bij luchthavens en andere kritieke infrastructuur. Drones kunnen gebruikt worden voor uiteenlopende doeleinden, waaronder spionage, het verstoren van operaties of zelfs cyberaanvallen door middel van het uitlekken van informatie of verstoren van netwerken. De inzet van wapens tegen de drones is een signaal dat dergelijke activiteiten niet worden getolereerd, maar roept ook vragen op over de kwetsbaarheid van onze vitale infrastructuur voor dergelijke technologieën.

Hoewel het onduidelijk is wie er achter de drones zit, wordt het incident onderzocht door de Koninklijke Marechaussee en de politie. De aanwezigheid van kernwapens op Volkel maakt dit voorval extra gevoelig, en de inzet van drones in deze context zou kunnen wijzen op een grotere dreiging voor nationale en internationale veiligheid. Defensie werkt aan nieuwe technologieën, zoals netten en geavanceerde wapens, om drones effectief uit de lucht te halen, waarmee ze zich voorbereiden op de voortdurende toename van drone-gerelateerde risico’s.

De ontwikkeling van datacenters in de ruimte neemt snel toe, en de markt kan tegen 2030 een waarde van 535 miljard euro bereiken, aldus een rapport van het European Space Policy Institute (ESPI). Deze ontwikkelingen brengen aanzienlijke voordelen met zich mee, zoals het gebruik van zonne-energie voor een duurzamere werking, maar ook nieuwe cyberveiligheidsuitdagingen. De Europese Unie wordt aangespoord om snel een strategie te ontwikkelen, anders dreigt Europa achter te blijven op dit gebied.

Commerciële bedrijven, vooral uit de ruimtevaart- en AI-sector, zijn actief bezig met het realiseren van ruimte-datacenters. Deze technologie belooft aanzienlijke energievoordelen, maar tegelijkertijd ontstaan er vraagstukken over de bescherming van gegevens en systemen in de ruimte. Het beheren van zulke gedistribueerde netwerken brengt nieuwe uitdagingen met zich mee op het gebied van privacy en databeveiliging, aangezien de kwetsbaarheden die normaal in aardse datacenters worden aangepakt, nu moeten worden geëxtrapoleerd naar de ruimte.

Daarnaast vormen de stijgende aantallen satellieten en het risico op botsingen in de ruimte een nieuw terrein voor cybersecurity. Een toenemend aantal botsingen kan leiden tot schade aan satellieten, met mogelijke gevolgen voor de integriteit van gegevensstromen en communicatiekanalen. De opkomst van ruimte-datacenters vraagt dus niet alleen om innovatieve technische oplossingen, maar ook om robuuste cybersecuritymaatregelen die in staat zijn om deze nieuwe digitale infrastructuren te beschermen tegen zowel traditionele als opkomende dreigingen.

Bron 1

APT31, een geavanceerde persistente dreiging (APT) die vaak wordt gekoppeld aan China, heeft tussen 2024 en 2025 doelgerichte cyberaanvallen uitgevoerd op de Russische IT-sector. Deze aanvallen werden gekarakteriseerd door het gebruik van legitieme cloudservices, waaronder de veelgebruikte Yandex Cloud, als command-and-control (C2)-infrastructuur en voor data-exfiltratie. Het gebruik van deze cloudservices diende om de aanvallen te camoufleren en detectie te vermijden door zich als normaal netwerkverkeer voor te doen.

De aanvallen richtten zich vooral op Russische IT-bedrijven die werkten als contractanten en integratoren voor overheidsinstanties. De cyberaanvallers bleven lange tijd onopgemerkt, met sommige aanvallen die al in 2022 begonnen en later escaleerden. In sommige gevallen werden versleutelde opdrachten en schadelijke payloads via sociale media, zowel binnenlandse als buitenlandse, verspreid. Deze techniek werd ook gebruikt tijdens het weekend en op feestdagen om het risico van ontdekking te minimaliseren.

In een voorbeeld uit december 2024 stuurden de aanvallers een spear-phishing e-mail die een RAR-archief bevatte. Dit archief opende een Windows Shortcut (LNK), die een Cobalt Strike-loader genaamd CloudyLoader activeerde via DLL side-loading. Dit illustreert de verfijning van de gebruikte technieken en de lange tijd dat de aanvallers in de netwerken van hun slachtoffers actief bleven.

APT31 maakt gebruik van zowel openbaar beschikbare als aangepaste tools om toegang te verkrijgen en hun aanwezigheid te handhaven binnen de systemen van de slachtoffers. De groep zet onder andere software zoals Yandex Disk en Google Chrome in voor persistente toegang, en maakt gebruik van een breed scala aan tools om gevoelige informatie te verzamelen, zoals wachtwoorden en interne berichten van de getroffen organisaties.

De groep heeft bovendien geavanceerde tunnelingtechnieken toegepast, zoals het gebruik van Microsoft OneDrive en andere cloudservices voor command-and-control, wat hen in staat stelde om hun infrastructuur efficiënt te beheren en nieuwe payloads naar besmette systemen te sturen. Deze strategieën hebben ertoe bijgedragen dat APT31 in staat is gebleven om gedurende lange periodes onopgemerkt te blijven, terwijl het tegelijkertijd cruciale gegevens exfiltreerde van de getroffen netwerken.

Bron 1

China vergroot zijn spionage-inspanningen in Europa door middel van steeds geavanceerdere en langdurige netwerken die zowel menselijke bronnen als zakelijke en academische connecties combineren. Dr. Marcin Grabowski, directeur van het Centrum voor Internationale Studies en Ontwikkeling aan de Jagiellonische Universiteit, merkt op dat de Chinese spionage steeds meer gebruik maakt van digitale en fysieke kanalen om toegang te krijgen tot gevoelige informatie binnen Europese instellingen. Deze activiteiten zijn vaak minder zichtbaar dan traditionele cyberaanvallen, maar ze maken gebruik van netwerken in de academische wereld, het bedrijfsleven en diplomatieke kanalen om Europese besluitvormers en technologische capaciteiten te beïnvloeden.

Hoewel cyberespionage vaak de aandacht trekt, blijkt uit recente gevallen dat China zijn focus steeds meer legt op de inzet van menselijke bronnen. Dit gebeurt door middel van subtiele relaties die vaak via onderzoekers, studenten, en zakelijke vertegenwoordigers worden opgebouwd. Deze methoden vormen een subtiele dreiging, waarbij persoonlijke contacten en langdurige netwerken worden ingezet om toegang te krijgen tot strategische kennis en informatie die van belang zijn voor de technologische en geopolitieke machtspositie van China. De recente gevallen in Groot-Brittannië, waarbij nep-headhunters parlementair personeel benaderden, wijzen op de toenemende complexiteit van deze spionagestrategieën.

Hoewel de spionage van China vaak niet hetzelfde politieke stigma heeft als de Russische activiteiten vanwege de oorlog in Oekraïne, is de dreiging evenzeer aanwezig. Grabowski benadrukt dat spionage steeds meer een ingeburgerd onderdeel is van internationale politiek, en dat Europa zich bewust moet worden van de blijvende en uitbreidende aanwezigheid van Chinese inlichtingendiensten.

Deze ontwikkelingen hebben aanzienlijke gevolgen voor de digitale veiligheid in Europa, vooral op het gebied van onderzoeks- en technologische samenwerking. Het is belangrijk dat Europese landen zich voorbereiden op een breder scala aan spionagedreigingen, niet alleen in de vorm van cyberaanvallen, maar ook door fysieke infiltratie en langdurige relaties die toegang geven tot gevoelige informatie.

Bron 1

In oktober 2025 lekte een aanzienlijke hoeveelheid interne documenten van de cyberaanvalsgroep APT35, ook wel bekend als Charming Kitten, een van de cyber-eenheden binnen de Iraanse Islamitische Revolutionaire Garde. Deze documenten onthullen gedetailleerde informatie over de georganiseerde en gestructureerde manier waarop de groep cyber-espionage uitvoert, gericht op overheden en bedrijven in het Midden-Oosten en Azië.

De gelekte documenten bevatten duizenden pagina’s met rapporten, technische handleidingen en operationele verslagen die een duidelijk beeld geven van de werkwijze van APT35. De documenten onthullen dat de groep opereert als een traditioneel militaire eenheid, compleet met prestatiebeoordelingen, takenlijsten en rapporten die naar supervisors worden gestuurd. Dit toont aan dat APT35 veel meer een professionele organisatie is dan een informele hacker-groep.

De operaties richten zich voornamelijk op Microsoft Exchange-servers, waarbij de groep gebruikmaakt van ProxyShell-exploitaties en kwetsbaarheden in de Autodiscover- en EWS-diensten om gegevens uit Global Address Lists te extraheren. Deze gegevens worden vervolgens ingezet voor gerichte phishing-aanvallen, die worden uitgevoerd om inloggegevens te stelen. Na het verkrijgen van toegang, gebruikt APT35 geavanceerde op maat gemaakte tools, zoals technieken die vergelijkbaar zijn met Mimikatz, om verdere gegevens uit de systeemgeheugens van de slachtoffers te stelen. De gestolen informatie stelt de aanvallers in staat om lateraal door netwerken te bewegen en langdurige toegang te behouden.

De documenten geven ook inzicht in de geografische reikwijdte van de aanvallen. De doelwitten omvatten overheidsinstanties, telecombedrijven, douaneagentschappen en energiebedrijven in landen zoals Turkije, Libanon, Koeweit, Saoedi-Arabië, Zuid-Korea en Iran. De operationele documenten bevatten gedetailleerde lijsten van doelwitten, inclusief aantekeningen over geslaagde en mislukte aanvallen, evenals webshell-paden die werden gebruikt om toegang te behouden.

Deze gelekte gegevens benadrukken de strategische focus van APT35, die zich richt op het verkrijgen van diplomatieke communicatie, telecominfrastructuur en toegang tot de energie-industrie. Deze informatie wordt vermoedelijk gebruikt voor geopolitieke onderhandelingen en risicoanalyse. De mate van organisatie en de bureaucratische structuur van de groep tonen de ernst van deze cyberoperaties, die een directe impact kunnen hebben op de nationale veiligheid van de getroffen landen.

Het lek van deze interne documenten biedt waardevolle inzichten in de methoden en de werking van APT35 en vormt een waarschuwing voor de kwetsbaarheden binnen kritieke infrastructuren die voortdurend doelwit zijn van geavanceerde, staat-gesponsorde cyberaanvallen.

Bron 1

De Moldavische parlementsverkiezingen van september 2025 stonden in het teken van een aanzienlijke buitenlandse inmenging. Igor Grosu, voorzitter van het Moldavische parlement en leider van de pro-Europese Actie en Solidariteitspartij (PAS), verklaarde dat Rusland bijna €400 miljoen had geïnvesteerd om de verkiezingen te beïnvloeden. Dit gebeurde via een combinatie van cyberaanvallen, grootschalige desinformatiecampagnes en andere digitale manipulatiepogingen.

Moldavië, dat zich positioneert tussen Rusland en de Europese Unie, werd doelwit van Russische hybride oorlogsvoering. Moskou zou geavanceerde cyberaanvallen hebben uitgevoerd om de verkiezingsinfrastructuur te verstoren, informatie te manipuleren en valse narratives te verspreiden via sociale media. Daarnaast werden er pogingen ondernomen om straatgeweld aan te wakkeren als middel om de politieke situatie te destabiliseren.

Ondanks deze digitale aanvallen en de poging van Rusland om politieke steun te verkrijgen voor pro-Kremlin partijen, behield de pro-Europese PAS een meerderheid van de zetels in het parlement. Het resultaat werd gezien als een overwinning voor de digitale veerkracht van het land en het vermogen om zich tegen cyberdreigingen te verzetten, waarmee Moldavië zijn koers naar de Europese Unie bevestigde.

Bron 1

De afgelopen periode is er een toename van drone-incidenten in Europa, wat ernstige zorgen oproept over de beveiliging van luchtruimen en strategische locaties. Recent zijn in Roemenië gevechtsvliegtuigen ingezet om drones nabij de grens met Oekraïne te volgen. Ook in Nederland werden drones gesignaleerd bij de militaire vliegbasis Volkel, wat leidde tot verstoringen in het vliegverkeer rondom Eindhoven Airport. Dergelijke incidenten zijn niet uniek en worden steeds vaker gemeld in landen als België, Frankrijk, Duitsland en Zweden.

Deze ontwikkelingen hebben geleid tot een versterkte inzet van middelen door het ministerie van Defensie. In reactie op de dreiging wordt er tussen de 1,25 en 3 miljard euro geïnvesteerd in de verbetering van de Nederlandse antidronecapaciteit. Dit omvat de aanschaf van geavanceerde technologieën, zoals antidronekanonsystemen en onderscheppingsdrones, evenals investeringen in de bescherming van marineschepen tegen drone-aanvallen. De eerste van deze nieuwe systemen, waaronder de Skyranger 30, wordt pas in 2028 verwacht.

Deze maatregelen zijn noodzakelijk geworden door de moeilijkheden die gepaard gaan met het onderscheppen van drones, die een steeds grotere uitdaging vormen voor de nationale en Europese veiligheid. Het ministerie van Defensie benadrukt dat het effectief inzetten van dronesystemen een 'kat-en-muisspel' is, waarbij snelle innovaties vereist zijn om de dreiging te neutraliseren.

Voor Nederland en België is het van groot belang dat de impact van deze nieuwe dreiging goed begrepen wordt, vooral gezien de mogelijkheid dat drones ook gebruikt kunnen worden voor cyberaanvallen of spionage.

Het Nederlandse bedrijfsleven is kwetsbaar voor verstoringen van essentiële voorzieningen, zoals stroomuitval, communicatie-uitval of andere ICT-diensten. Volgens het onderzoek van de Amsterdam Business School, gepubliceerd in de Nederlandse Innovatiemonitor, kan een bedrijf al na een halve dag zonder deze vitale voorzieningen niet meer functioneren. Gezien de toename van cyberdreigingen, zoals DDoS-aanvallen en ransomware, is deze afhankelijkheid van ICT-diensten problematisch. Bedrijven die onvoldoende voorbereid zijn op dergelijke verstoringen, kunnen ernstige operationele problemen ondervinden.

De monitor toont aan dat langdurige verstoringen, zoals een week zonder essentiële voorzieningen, het functioneren van bedrijven in Nederland vrijwel onmogelijk maken. Het is opvallend dat minder dan de helft van de ondervraagde bedrijven zich zorgen maakt over de geopolitieke risico’s die kunnen leiden tot verstoringen van vitale infrastructuren. Dit gebrek aan bewustzijn onder bedrijven over de impact van geopolitieke conflicten en cyberdreigingen kan de bedrijfscontinuïteit ernstig bedreigen.

Ondanks de kritieke rol die ICT- en communicatiediensten spelen in de bedrijfsvoering, heeft een op de vijf bedrijven geen voorzorgsmaatregelen getroffen voor het geval deze voorzieningen uitvallen. Het onderzoek benadrukt dat bedrijven meer actie moeten ondernemen om zich beter voor te bereiden op cyberincidenten en andere verstoringen van vitale infrastructuren.

Henk Volberda, hoogleraar strategie en innovatie aan de Universiteit van Amsterdam, noemt de bevindingen zorgwekkend. Hij wijst erop dat de overheid weliswaar maatregelen neemt om burgers voor te bereiden op noodsituaties, maar dat bedrijven veel minder aandacht schenken aan hun eigen kwetsbaarheid voor cyberaanvallen en geopolitieke risico’s.

Het onderzoek benadrukt verder dat bedrijven in Nederland zich meer moeten richten op hun digitale veerkracht, waaronder het versterken van hun cyberbeveiliging en het nemen van maatregelen tegen potentiële stroom- en communicatiestoringen die door geopolitieke conflicten kunnen worden veroorzaakt. Bedrijven die zich onvoldoende voorbereiden op dergelijke risico’s, kunnen geconfronteerd worden met ernstige gevolgen voor hun operaties.

Bron 1

Deze herfst werd een Amerikaans ingenieursbedrijf het doelwit van een cyberaanval, vermoedelijk uitgevoerd door hackers die werken voor de Russische inlichtingendienst. De aanval werd uitgevoerd omdat het bedrijf betrokken was bij een project voor een Amerikaanse stad die een zusterstad heeft in Oekraïne. Dit incident onderstreept de steeds geavanceerdere tactieken van de Russische cyberoorlog en laat zien dat Rusland zijn aanvallen uitbreidt naar een bredere groep doelwitten, waaronder overheden, organisaties en privébedrijven die, al is het maar indirect, Oekraïne ondersteunen.

De aanval werd geïdentificeerd door het Amerikaanse cybersecuritybedrijf Arctic Wolf, dat in september waarschuwde voor de aanval voordat het de operaties van het ingenieursbedrijf zou kunnen verstoren. Het bedrijf zelf had geen directe betrokkenheid bij de Russische invasie van Oekraïne, maar de hackergroep achter de aanval, bekend als RomCom, richt zich regelmatig op organisaties die Oekraïne ondersteunen, zowel op civiel als defensief vlak.

Volgens Ismael Valenzuela, vicepresident van Arctic Wolf, richt de groep zich doorgaans op organisaties die direct betrokken zijn bij het ondersteunen van Oekraïense instellingen, het leveren van diensten aan Oekraïense gemeenten, of het ondersteunen van civiele, defensieve of overheidsfuncties van Oekraïne. Deze aanval volgt kort na een waarschuwing van de FBI over de activiteiten van hackers die banden met Rusland hebben en die proberen toegang te krijgen tot Amerikaanse netwerken, met als doel belangrijke systemen in gevaar te brengen of kritieke infrastructuur te verstoren.

Het is duidelijk dat de Russische hackers meerdere motieven hebben, variërend van het verstoren van de humanitaire en militaire steun aan Oekraïne tot het bestraffen van bedrijven met banden met Oekraïne of het stelen van militaire of technologische geheimen. Dit incident toont aan hoe de digitale dreiging in de context van geopolitieke conflicten steeds breder en complexer wordt.

Bron 1

De demissionair minister van Justitie en Veiligheid, Van Oosten, heeft bevestigd dat het op de Europese markt verboden is om producten aan te bieden met verborgen 'kill-switches'. Deze beslissing volgt op een motie die in juni door de Tweede Kamer werd aangenomen, waarin werd gepleit voor wetgeving tegen de integratie van deze technologie in consumentenapparatuur zoals zonnepanelen, omvormers, laadpalen en warmtepompen. De motie, ingediend door de Kamerleden Six Dijkstra en Postma, waarschuwde voor de risico's die verbonden zijn aan het gebruik van apparaten die op afstand kunnen worden uitgeschakeld via verborgen functionaliteiten.

Volgens de minister is het verboden om producten te verkopen die niet volledig transparant zijn over hun technische specificaties, met name als het gaat om software- of hardwarecomponenten die de mogelijkheid bieden om apparaten op afstand aan of uit te zetten. Dit geldt niet alleen voor producten die binnen de Europese Unie worden geproduceerd, maar ook voor producten afkomstig van fabrikanten buiten de EU, zodra ze op de Europese markt worden geïntroduceerd.

Deze wetgeving is een reactie op de bezorgdheid dat veel zonnepanelen en omvormers in Europa zijn uitgerust met dergelijke functionaliteiten die centraal kunnen worden aangestuurd, vaak vanuit leveranciers in landen als China. De Kamerleden benadrukten de potentiële gevaren voor de energievoorziening in Nederland en andere Europese landen, waar een "hack of politiek decreet" ernstige verstoringen zou kunnen veroorzaken. De minister ziet echter geen noodzaak voor aanvullende wetgeving tegen kill-switches, aangezien de bestaande Europese regels deze praktijken al verbieden.

Noord-Korea heeft zijn wereldwijde cyberoperaties geïntensiveerd en schendt systematisch de resoluties van de Veiligheidsraad van de Verenigde Naties door grootschalige cyberaanvallen, diefstal van cryptovaluta en grensoverschrijdende witwaspraktijken. Volgens een recent rapport van het Multilaterale Sancties Monitoring Team (MSMT) hebben Noord-Koreaanse hackers in 2024 ten minste 1,19 miljard dollar aan cryptovaluta gestolen, en in de eerste negen maanden van 2025 kwam daar nog eens 1,65 miljard dollar bij. Dit brengt het totaal op ongeveer 2,8 miljard dollar.

De cybercapaciteiten van Noord-Korea hebben bijna het niveau van supermachten bereikt, met verschillende Advanced Persistent Threat (APT)-groepen die gecoördineerde aanvallen uitvoeren binnen de cryptovaluta-industrie. Deze operaties dienen om het regime van financiering te voorzien voor massavernietigingswapens en ballistische raketprogramma's. De inbraak van februari 2025 bij de in Dubai gevestigde Bybit-exchange, waarbij bijna 1,5 miljard dollar werd gestolen, geldt als de grootste cryptodiefstal in de geschiedenis.

Andere belangrijke slachtoffers zijn onder meer de Japanse DMM Bitcoin en het Indiase WazirX. Beveiligingsanalisten van SlowMist hebben vastgesteld dat Noord-Koreaanse dreigingsactoren geavanceerde malware inzetten via social engineering-campagnes die zich voordoen als sollicitatiegesprekken. De "Contagious Interview"-campagne richt zich specifiek op softwareontwikkelaars door hen uit te nodigen voor online sollicitaties, waarna hen wordt gevraagd om kwaadaardige softwarepakketten te downloaden.

Bij uitvoering verzamelt de BeaverTail-malware de gegevens van cryptowallets en creditcardinformatie die in browsers zijn opgeslagen, terwijl de InvisibleFerret-backdoor stiekem wordt geïnstalleerd voor persistente toegang op afstand. Deze aanvalstechnieken tonen de geavanceerde technische bekwaamheid van de aanvallers, die zich door middel van valse sollicitatiewebsites toegang verschaffen tot doelwitsystemen. Zodra slachtoffers de nepwebsites bezoeken, worden ze misleid om kwaadaardige stuurprogramma's te downloaden die hun systemen compromitteren.

Noord-Koreaanse IT-werknemers ondersteunen deze cyberoperaties door infiltratie van bedrijven wereldwijd via freelanceplatforms zoals Upwork, Freelancer en Fiverr. Deze werknemers maken gebruik van door AI gegenereerde valse gezichten en vervalste documenten om identiteitsverificatie te omzeilen. Ze verdienen maandelijks gemiddeld 10.000 dollar, waarvan een groot deel naar het regime wordt doorgestuurd. Het MSMT-rapport bevestigt de inzet van Noord-Koreaanse IT-werknemers in landen als China, Rusland, Laos en verschillende Afrikaanse landen.

Het witwassen van gestolen cryptovaluta volgt een meervoudig proces, waarbij token-swaps worden uitgevoerd via gedecentraliseerde beurzen, mengdiensten zoals Tornado Cash en Wasabi Wallet, en blockchain-bruggen, voordat de valuta uiteindelijk in fiatgeld wordt omgezet via over-the-counter-brokers. Dit systematische proces van sanctie-omzeiling vormt een toenemende bedreiging voor het wereldwijde financiële ecosysteem, waarvoor een gecoördineerde internationale reactie noodzakelijk is.

Bron 1

In de Verenigde Staten hebben hackers recentelijk radioapparatuur gekaapt, waardoor valse noodwaarschuwingen en obscene berichten werden uitgezonden via het Emergency Alert System (EAS). Dit systeem, dat normaal gesproken gebruikt wordt om belangrijke waarschuwingen voor bijvoorbeeld natuurrampen te communiceren, werd misbruikt voor het verspreiden van ongepaste inhoud. De aanvallers wisten via slecht beveiligde apparatuur van het Zwitserse bedrijf Barix de controle over te nemen en vervalste noodsignalen en ongepaste berichten uit te zenden.

Hoewel dit incident plaatsvond in de VS, wijst het op een groter probleem met de beveiliging van systemen die gebruikt worden voor publieke communicatie. Dit kan ook relevant zijn voor Nederland en België, waar overheidsinstanties en andere organisaties dezelfde kwetsbaarheden kunnen ervaren. De FCC (Federal Communications Commission) heeft radiozenders aangespoord om basale beveiligingsmaatregelen te treffen, zoals het wijzigen van standaardwachtwoorden en het regelmatig updaten van apparatuur.

Dit incident onderstreept de kwetsbaarheid van communicatie-infrastructuren en de noodzaak voor goede beveiliging van apparaten die in kritieke systemen worden gebruikt. In Nederland en België moeten organisaties zich ervan bewust zijn dat dergelijke aanvallen ook in Europa kunnen plaatsvinden, en daarom is het essentieel om continue waakzaamheid te behouden en goede beveiligingspraktijken te volgen.

Bron 1

Sinds oktober 2025 zijn er aanwijzingen dat Noord-Koreaanse staatshackers, opererend onder de codenaam "Contagious Interview", kwaadaardige software verspreiden via npm, GitHub en Vercel. Deze hackers maken gebruik van typosquatting-aanvallen om ontwikkelaars wereldwijd te misleiden en de OtterCookie-malware te installeren. Deze malware is een geavanceerd infostealer en remote access trojan die in staat is om gegevens van besmette systemen te stelen en op afstand te communiceren met de command-and-control-infrastructuur van de aanvallers.

De aanvallen maken gebruik van nep-pakketten op npm, een platform voor JavaScript-pakketten, die zich voordoen als legitieme bibliotheken. Wanneer ontwikkelaars deze pakketten installeren, wordt er automatisch een postinstall-script uitgevoerd, waarmee de malware wordt gedownload en uitgevoerd. Dit stelt de hackers in staat om controle over de systemen van de slachtoffers te krijgen en gevoelige informatie, zoals inloggegevens en cryptocurrency-wallets, te stelen.

De OtterCookie-malware is in staat om gegevens van verschillende besturingssystemen te verzamelen, waaronder Windows, macOS en Linux. Het heeft geavanceerde mechanismen om detectie te omzeilen, zoals het controleren of het slachtoffer zich op een virtuele machine bevindt, en het zorgt ervoor dat de malware alleen actief wordt op echte ontwikkelaarsmachines, niet op omgevingen die door onderzoekers worden gebruikt. Eenmaal geïnstalleerd, kan de malware op verschillende manieren persistent blijven op geïnfecteerde systemen, zoals door het aanmaken van geplande taken en het aanpassen van systeemregisterinstellingen.

De campagne maakt gebruik van goed georkestreerde aanvallen, waarbij nep-GitHub-accounts en Vercel-hosting worden ingezet om de malware te distribueren. Deze infrastructuur lijkt specifiek gericht op ontwikkelaars in de Web3- en cryptocurrency-sector. Het is opvallend dat de malware niet alleen gericht is op het stelen van inloggegevens van webapplicaties, maar ook het verzamelen van gegevens van meer dan 40 verschillende cryptocurrency-wallet extensies, waaronder populaire wallets als MetaMask en Phantom.

Deze aanval benadrukt de gevaren van supply chain-aanvallen, waarbij aanvallers misbruik maken van vertrouwde platforms en software om kwaadaardige code te verspreiden. Ontwikkelaars wordt aangeraden om waakzaam te blijven bij het installeren van externe pakketten en om beveiligingsmaatregelen te treffen om dergelijke aanvallen te voorkomen.

Bron 1

Zuid-Korea onderzoekt de recente hack van de cryptocurrency-exchange Upbit, waarbij 44,5 miljard won (ongeveer 30,4 miljoen dollar) werd gestolen. De Zuid-Koreaanse autoriteiten vermoeden dat een hackersteam, verbonden aan de Noord-Koreaanse spionagedienst, de Lazarus-groep, verantwoordelijk is voor de inbraak. De aanval werd gekarakteriseerd als een "abnormale opname" van cryptocurrencies.

Upbit, de grootste cryptocurrency-exchange van Zuid-Korea, heeft bevestigd dat er een aanzienlijke hoeveelheid geld is gestolen en heeft aangegeven dat het de oorzaak en de omvang van de vermissing onderzoekt. De aanval vond plaats vlak voor de aankondiging van de overname van Upbit door internetgigant Naver. De Lazarus-groep, die al eerder werd gelinkt aan andere crypto-diefstallen, staat bekend om zijn geavanceerde cyberaanvallen. De Amerikaanse FBI heeft Noord-Korea's cyberoperaties aangemerkt als een van de meest geavanceerde en blijvende dreigingen.

Zuid-Koreaanse wetshandhavers zijn momenteel bezig met een onderzoek, maar hebben verder geen details vrijgegeven. Er wordt verwacht dat de situatie verdere gevolgen kan hebben voor de beveiliging van cryptocurrency-exchanges wereldwijd.

Bron 1

Noord-Korea heeft recent aangekondigd dat de Russische taal vanaf het vierde leerjaar verplicht wordt in de scholen van het land, een stap die deel uitmaakt van een bredere versterking van de banden tussen Noord-Korea en Rusland. Deze ontwikkeling heeft niet alleen geopolitieke implicaties, maar vergroot ook de risico's op cyberaanvallen voor landen in Europa, waaronder Nederland en België.

De samenwerking tussen Noord-Korea en Rusland is in de afgelopen jaren versterkt, vooral op het gebied van cybercriminaliteit. Twee van de meest actieve door staten ondersteunde cybercrimegroepen, Rusland’s Gamaredon en Noord-Korea’s Lazarus, hebben hun middelen en tactieken gedeeld, wat wijst op een ongekende samenwerking tussen de twee landen op het gebied van geavanceerde cyberaanvallen. Dit kan de digitale veiligheid van Europese landen, waaronder Nederland en België, bedreigen, vooral als het gaat om langdurige en gecoördineerde cyberaanvallen die door staatsactoren worden uitgevoerd.

Deze ontwikkelingen komen op een moment dat Rusland en Noord-Korea al hun samenwerking in andere domeinen, zoals militaire en economische zaken, hebben verdiept. Dit zou kunnen betekenen dat de gezamenlijke digitale dreigingen van deze landen steeds sterker zullen worden, met mogelijk verregaande gevolgen voor de wereldwijde cyberveiligheid en de beveiliging van kritieke infrastructuren in Europa.

De intensivering van deze samenwerking, vooral in de digitale ruimte, benadrukt de noodzaak voor Europese landen om alert te blijven op de groeiende risico's van staatsgeoriënteerde cyberdreigingen. De gevolgen van deze versterkte samenwerking voor Nederland en België kunnen aanzienlijk zijn, vooral als de cybercriminelen gebruik maken van nieuwe middelen en tactieken die door Rusland en Noord-Korea worden gedeeld.

Bron 1

Onlangs zijn er gelekte telefoongesprekken gepubliceerd tussen Steve Witkoff, de Amerikaanse speciale gezant voor Oekraïne, en Yuri Ushakov, de Russische buitenlandadviseur. De gesprekken werden vrijgegeven zonder specifieke informatie over de bron, wat heeft geleid tot een stroom van speculaties over wie achter de lekken zit. Russische president Vladimir Putin heeft gereageerd op de controverse door te suggereren dat de gesprekken mogelijk vervalst zijn, en verweerde zich tegen de beschuldigingen dat Witkoff te veel sympathie voor Rusland zou hebben.

De oorsprong van de gelekte gesprekken is onzeker. Diverse inlichtingendiensten hebben hun vermoedens gedeeld over de bron van het lek, met sommige bronnen die suggereren dat een buitenlandse inlichtingendienst toegang had tot een onveilige mobiele lijn van Ushakov, terwijl andere denken dat de lekken mogelijk uit de VS afkomstig zijn. Dit incident werpt een schijnwerper op de kwetsbaarheid van vertrouwelijke communicatie en de risico's van digitale spionage in geopolitieke onderhandelingen.

Het lek komt op een moment van verhoogde spanningen in de wereldpolitiek, vooral in het kader van de Oekraïense oorlog, en benadrukt de rol van digitale spionage en cyberdreigingen in geopolitieke processen. Dit is een belangrijk voorbeeld van hoe digitale informatiebeveiliging en inlichtingendiensten invloed hebben op internationale relaties, en het benadrukt de noodzaak van robuuste beveiliging tegen digitale dreigingen, een thema dat ook in Nederland en België van groot belang is.

Bron 1

De recente spanningen tussen Nederland en China, veroorzaakt door het conflict rondom chipmaker Nexperia, werpen een schaduw over de wereldwijde toeleveringsketen van halfgeleiders. Nexperia heeft het Chinese moederbedrijf gevraagd om de leveringsproblemen op te lossen, aangezien de dreiging van productiestops in diverse sectoren steeds groter wordt. Deze situatie kan niet alleen de productie in de auto-industrie verstoren, maar ook gevolgen hebben voor de cybersecurity van bedrijven die afhankelijk zijn van deze kritieke technologieën.

Geopolitieke geschillen zoals deze kunnen de wereldwijde supply chains voor digitale producten kwetsbaar maken, wat leidt tot verhoogde risico’s voor cyberaanvallen die gericht zijn op onderbreking van de productie of diefstal van intellectueel eigendom. Aangezien Nederland zich steeds meer positioneert als een technologisch knooppunt in Europa, is het essentieel dat bedrijven zich bewust zijn van de impact van deze geopolitieke ontwikkelingen op hun digitale infrastructuren en de beveiliging daarvan.

Bron 1

De Handala hacker groep heeft recent een gerichte aanval gelanceerd op professionals werkzaam in de Israëlische high-tech en lucht- en ruimtevaartsectoren. Deze aanval is niet alleen zorgwekkend voor Israël, maar heeft bredere implicaties voor Europese landen, waaronder Nederland en België, waar de high-techsector sterk vertegenwoordigd is.

De groep publiceerde een lijst van doelwitten, waarvan zij de persoonlijke en professionele informatie op hun dark web platform deelden. Deze gegevens werden vergezeld van beschrijvingen die de doelwitten ten onrechte als criminelen afschilderden. De publicatie werd gevolgd door een beloningssysteem voor aanvullende informatie over deze doelwitten, wat de dreiging vergroot door crowdsourcing van inlichtingen.

Trustwave-beveiligingsonderzoekers ontdekten de aanval en merkten op dat de gepubliceerde dataset grotendeels is gebaseerd op LinkedIn-profielen. Echter, het bleek dat de gegevens onnauwkeurig waren, met profielen van personen die al jarenlang niet meer werkten bij de genoemde bedrijven en informatie die mogelijk was gemanipuleerd om de lijst te versterken.

Deze praktijken, waarbij publiek toegankelijke gegevens worden verzameld en gemanipuleerd voor vijandige doeleinden, benadrukken de risico’s voor bedrijven en professionals in de high-techsector. De dreiging van dergelijke aanvallen kan ook gevolgen hebben voor de privacy, veiligheid en reputatie van werknemers in Europese landen, waar de technologische sector in toenemende mate het doelwit is van geopolitieke aanvallen.

Het is cruciaal voor Nederlandse en Belgische organisaties in deze sectoren om zich bewust te zijn van de risico's die gepaard gaan met dergelijke aanvallen en de gevolgen van het onterecht openbaar maken van persoonlijke gegevens. De Handala hacker groep laat zien hoe ver een dreiging kan gaan, van publieke beschuldigingen tot het verzamelen van inlichtingen voor verder gebruik in cyberaanvallen.

Bron 1

De Lazarus Group, een hackinggroep die wordt gesteund door de Noord-Koreaanse overheid, wordt verdacht van het stelen van 45 miljard won (ongeveer 30 miljoen dollar) aan cryptocurrency van de Zuid-Koreaanse cryptobeurs Upbit. De Zuid-Koreaanse autoriteiten onderzoeken de zaak, waarbij wordt aangenomen dat de groep dezelfde methoden heeft gebruikt als bij een eerdere aanval in 2019, waarbij zo’n 40 miljoen dollar aan Ethereum (ETH) werd gestolen. Deze aanvallen zijn een voorbeeld van de groeiende dreiging van geavanceerde hackinggroepen die cryptocurrency-exchanges wereldwijd aanvallen.

Zeker voor Nederlandse en Belgische gebruikers van cryptoplatforms, is het van belang om bewust te zijn van de risico’s die dergelijke aanvallen met zich meebrengen. Lazarus, die bekendstaat om zijn connecties met de Noord-Koreaanse staat, maakt gebruik van gedecentraliseerde netwerken om gestolen crypto-activa anoniem te verplaatsen en wit te wassen, wat het traceren van de gestolen middelen bemoeilijkt. Dit toont de dreiging die cybercriminelen vormen voor zowel de crypto-industrie als voor bedrijven die in digitale valuta handelen.

Het incident onderstreept de noodzaak voor strengere beveiligingsmaatregelen, niet alleen voor cryptoplatforms, maar ook voor hun gebruikers wereldwijd. De aanvallen op platforms zoals Upbit zijn slechts een van de vele voorbeelden van hoe cybersecuritydreigingen de digitale economie beïnvloeden. De Lazarus Group wordt sinds 2017 gelinkt aan de diefstal van meer dan 6 miljard dollar aan crypto-activa, wat de omvang van deze cyberdreiging benadrukt.

Bron 1

Europese landen onderzoeken nieuwe manieren om gezamenlijk op te treden tegen hybride aanvallen die aan Rusland worden toegeschreven. Volgens berichten overwegen meerdere lidstaten offensieve cyberoperaties uit te voeren, gecoördineerd via Europese of NAVO kanalen. Deze mogelijke aanpak richt zich op digitale systemen die van strategisch belang zijn voor de Russische oorlogsvoering. De plannen maken deel uit van een bredere discussie over het versterken van het collectieve antwoord op digitale sabotage, desinformatie, GPS verstoringen en fysieke aanvallen op kritieke infrastructuur in Europa.

Sinds het uitbreken van de oorlog in Oekraïne is het Europese dreigingsbeeld aanzienlijk veranderd. Hoewel het militaire conflict zich vooral afspeelt op Oekraïens grondgebied, ervaren verschillende Europese landen een toename van digitale en hybride activiteiten die worden gezien als pogingen om democratische instellingen te ondermijnen. Daarbij worden onder meer sabotage, grensprovocaties en digitale spionage genoemd. De grens tussen digitale oorlogsvoering en fysieke risico’s wordt volgens Europese diplomatieke bronnen steeds dunner.

Binnen de NAVO groeit de aandacht voor asymmetrische maatregelen als onderdeel van de strategische communicatie en afschrikking. Europese regeringen verkennen de mogelijkheid van snelle, gezamenlijke reactieprocedures, waaronder het direct publiek toeschrijven van digitale aanvallen aan een tegenstander. Daarbij wordt gesproken over het versnellen van de besluitvorming en het verbeteren van de informatie-uitwisseling tussen lidstaten om nauwkeuriger te kunnen reageren op cyberaanvallen en hybride acties.

Latvia en Italië hebben voorstellen ingediend voor verdergaande militaire en digitale coördinatie, waaronder een permanent Europees centrum voor hybride dreigingen en een gezamenlijke cybermacht gericht op offensieve capaciteiten. Daarnaast wordt gesproken over de inzet van specialisten op het gebied van kunstmatige intelligentie en geavanceerde data-analyse, waarmee de detectie en attributie van aanvallen sneller moet verlopen.

De discussie laat zien dat digitale oorlogsvoering een structureel onderdeel is geworden van de veiligheidsstrategie van Europa. Het versterken van digitale weerbaarheid en de mogelijkheid tot gezamenlijke offensieve respons vormen toekomstige kernpunten van Europees veiligheidsbeleid.

Bron 1

De Russische telecomwaakhond Roskomnadzor heeft opnieuw gedreigd met een volledige blokkade van WhatsApp, tenzij het platform voldoet aan de eisen van de Russische wetgeving. Deze dreiging volgt op eerdere beperkingen die werden opgelegd aan WhatsApp en Telegram, waarbij Rusland beschuldigt dat deze platforms niet genoeg meewerken met de wetshandhaving, vooral bij zaken van fraude en terrorisme.

Deze situatie benadrukt de groeiende controle van Rusland over digitale communicatiekanalen, waarbij apps zoals WhatsApp steeds vaker het doelwit zijn van overheidsmaatregelen. WhatsApp zelf heeft verklaard dat dit beleid de toegang tot veilige communicatie voor miljoenen Russen kan ondermijnen. Het conflict heeft al geleid tot de volledige blokkade van andere berichtenplatformen zoals Signal en Viber in 2024. De Russische autoriteiten steunen ook hun eigen berichtenapp MAX, waarvan wordt gevreesd dat deze wordt gebruikt om gebruikersgedrag te monitoren, hoewel deze beschuldigingen door staatsmedia worden ontkend.

De ontwikkelingen in Rusland hebben een bredere implicatie voor digitale communicatie wereldwijd, omdat ze een trend weerspiegelen waarbij overheden meer controle willen uitoefenen over de platforms die de digitale interactie van hun burgers vormen. Dit is een ontwikkeling waar zowel Europese landen, waaronder Nederland en België, mogelijk mee te maken krijgen, vooral in het licht van de groeiende bezorgdheid over privacy en digitale rechten in een steeds meer gecentraliseerde online omgeving.

Bron 1

Een recent wetenschappelijk onderzoek gepubliceerd in Science heeft aangetoond hoe het algoritme van het sociale-mediaplatform X (voorheen Twitter) bijdraagt aan de vergroting van polarisatie onder gebruikers. Het onderzoek, uitgevoerd onder 1000 gebruikers, toont aan dat de gepersonaliseerde 'For You'-feed van het platform de blootstelling aan polariserende en antidemocratische standpunten vergroot, wat leidt tot een versnelde polarisatie van opvattingen binnen slechts een week. Dit proces is bijzonder relevant voor digitale veiligheid, omdat het de dynamiek van desinformatie en de versterking van extremistische opvattingen kan beïnvloeden, wat ook gevolgen heeft voor cyberdreigingen en de online weerbaarheid van gebruikers.

In Nederland en België, waar sociale-mediaplatforms een belangrijke rol spelen in de verspreiding van informatie, zou het manipuleren van de gebruikerservaring via algoritmes kunnen bijdragen aan een verstoorde informatie-omgeving. Het onderzoek wijst op de kracht van algoritmes om niet alleen de publieke opinie te beïnvloeden, maar ook de risico's van manipulatie door kwaadwillende actoren te vergroten. Dergelijke technologieën kunnen dienen als platformen voor desinformatiecampagnes, wat in de context van cyberdreigingen en hybride oorlogvoering een ernstig risico vormt.

Hoewel de resultaten van het onderzoek suggereren dat platforms de polarisatie kunnen verminderen door hun algoritmes aan te passen, benadrukt het ook de verantwoordelijkheid van platformen zoals X om hun algoritmes transparanter te maken en misbruik van dergelijke technologieën te voorkomen. Dit is essentieel voor het beschermen van de digitale soevereiniteit en de veiligheid van gebruikers in een tijd van toenemende digitale dreigingen.

Bron 1