Cyberoorlog 2025 december

NATO overweegt een meer proactieve benadering in reactie op de steeds intensievere hybride aanvallen van Rusland. Deze aanvallen omvatten onder andere cyberaanvallen, sabotage-operaties en schendingen van het luchtruim. NATO-functionarissen hebben zelfs de mogelijkheid van een zogenaamde "preventieve aanval" op Russische doelwitten in overweging genomen.

Admiral Giuseppe Cavo Dragone, voorzitter van de militaire commissie van NATO, verklaarde in een interview met de Financial Times dat de alliantie haar traditionele reactieve houding heroverweegt, nu Europa wordt geconfronteerd met een toename van hybride incidenten die aan Rusland worden toegeschreven. Recente gevallen omvatten het doorsnijden van onderzeese kabels in de Baltische Zee, grootschalige cyberinbreuken over het continent en drone-activiteit nabij de grenzen van bondgenoten.

Dragone benadrukte dat hoewel een offensieve cyberreactie de eenvoudigste optie zou zijn, gezien veel lidstaten over dergelijke capaciteiten beschikken, het reageren op fysieke sabotage of drone-inbraken complexer zou zijn. Hij stelde dat een "preventieve aanval" onder bepaalde omstandigheden als een defensieve actie kan worden beschouwd, hoewel dit verder gaat dan de gebruikelijke manier van denken en handelen binnen NATO.

De zorgen over een te passieve benadering worden gedeeld door diplomaten, vooral uit Oost-Europa, die pleiten voor maatregelen die Rusland kosten zouden opleggen. Zij stellen dat als NATO alleen reactief blijft, Rusland wordt uitgenodigd om door te gaan met aanvallen. Tegelijkertijd wijst NATO op het succes van de operatie Baltic Sentry, die werd opgezet om vitale onderwaterinfrastructuur te beschermen. Deze gezamenlijke maritieme en luchtaanvallen hebben herhaling van de kabeldoorsnijdingsincidenten die in 2023 en 2024 plaatsvonden, voorkomen.

Bron 1, 2

De hacker-groep APT36, die wordt geassocieerd met Pakistan en ook wel bekend is onder de naam Transparent Tribe, heeft een geavanceerde cyberespionagecampagne opgezet gericht op Indiase overheidsinstanties. Deze campagne maakt gebruik van nieuwe, Python-gebaseerde ELF-malware, wat een significante stap vooruit betekent in de capaciteiten van de groep. De groep heeft een verfijnde aanvalsmethode ontwikkeld die specifiek is aangepast voor Linux-besturingssystemen, waarmee ze hun aanvallen kunnen uitbreiden naar een nieuw platform dat veel wordt gebruikt door de Indiase overheid.

De aanval werd uitgevoerd via spear-phishing e-mails, die wapens bevatten in de vorm van schadelijke Linux-snelkoppelingbestanden. Deze bestanden werden zodanig ontworpen dat, wanneer ze werden geopend, de malware in de achtergrond werd gedownload en uitgevoerd zonder dat de gebruiker zich bewust was van de infectie. De malware werd vervolgens geïnstalleerd via een complexe, meerlagige aanvalsmethode die de aanvallers in staat stelde hun aanwezigheid geheim te houden en tegelijkertijd permanente toegang te verkrijgen tot kritieke infrastructuur.

De keuze van APT36 om over te schakelen van Windows naar Linux markeert een strategische wijziging in hun werkwijze. Hoewel de groep eerder vooral gericht was op Windows-systemen, toont deze nieuwe campagne aan dat ze zich nu ook richten op het BOSS-besturingssysteem, dat veelvuldig wordt ingezet binnen Indiase overheidsorganisaties. Dit wijst op een evolutie van hun operationele doctrines, waarbij meerdere platformen worden benut om de effectiviteit van hun aanvallen te vergroten.

De malware maakt gebruik van .desktop-bestanden om de schadelijke payload te verbergen en zo traditionele beveiligingsmaatregelen te omzeilen. Het bestand wordt gepresenteerd als een legitiem Linux-bestand, maar bevat verborgen commando’s die de malware naar het systeem brengen. De malware zelf is een krachtige tool voor het verkrijgen van op afstand toegang, het uitvoeren van willekeurige commando’s, het maken van schermafbeeldingen en het exfiltreren van data. Door gebruik te maken van systemd-gebruikerservices kan de malware zichzelf persistent maken, zodat deze blijft draaien na herstarts van het systeem.

De malware werd verspreid via phishingcampagnes die gebruik maakten van onlangs geregistreerde domeinen en gecompromitteerde servers in verschillende landen. De specifieke domeinen en IP-adressen die werden gebruikt om de payload te leveren, wijzen op een goed geplande en gecoördineerde aanval. De Indiase overheidsinstanties worden geadviseerd om onmiddellijk beveiligingsmaatregelen te versterken, zoals verbeterde e-mailbeveiliging en strikte endpointbeveiliging, om deze voortdurende dreiging te kunnen afweren.

Bron 1

Rusland heeft door de eeuwen heen herhaaldelijk verdragen geschonden, van het Russische rijk tot de moderne Russische Federatie. Dit gedrag heeft niet alleen geopolitieke instabiliteit veroorzaakt, maar heeft ook invloed op de digitale veiligheid van landen over de hele wereld, inclusief Nederland en België. De recente ontwikkelingen in Oekraïne, waaronder de annexatie van de Krim en de steun voor separatisten in het oosten van Oekraïne, zijn voorbeelden van hoe Rusland zich niet houdt aan internationale verdragen, wat heeft bijgedragen aan verhoogde cyberdreigingen en hybride oorlogsvoering in Europa.

Met het toenemende gebruik van cyberaanvallen, desinformatiecampagnes en andere digitale aanvallen door Rusland, moeten Europese landen, waaronder Nederland en België, waakzaam blijven. De onbetrouwbaarheid van Rusland in het naleven van internationale afspraken heeft geleid tot een grotere dreiging voor kritieke infrastructuur en de veiligheid van digitale systemen, wat een directe invloed heeft op de dagelijkse bedrijfsvoering en persoonlijke veiligheid van Europese burgers.

De gevolgen van deze schendingen zijn duidelijk in de huidige geopolitieke context, waar Russische cyberaanvallen een steeds groter onderdeel vormen van de bredere strategie om landen te destabiliseren. Dit heeft niet alleen directe implicaties voor de nationale veiligheid, maar ook voor de bescherming van de digitale infrastructuur in Nederland en België.

Bron 1

Noord-Korea voert een ongekend inlichtingenoperatie uit waarbij ontwikkelaars worden verleid om hun identiteit te verhuren voor illegale fondsenwervingsdoeleinden. Het beruchte Chollima, een onderdeel van de staatsgesponsorde Lazarus-groep van Noord-Korea, staat bekend om zijn social engineering-campagnes waarmee het Westerse bedrijven infiltreert voor spionage en het genereren van inkomsten voor het regime. Deze groep heeft erin geslaagd recruiters te misleiden en banen te verkrijgen bij Fortune 500-bedrijven door gestolen identiteiten te gebruiken en een breed scala aan AI-technologie, waaronder deepfake-video's, in te zetten. Opmerkelijk is dat de betrokkenen niet fysiek aanwezig waren bij sollicitatiegesprekken, omdat zij gebruikmaakten van technieken die hen onzichtbaar hielden voor de camera's.

Een andere tactiek is om legitieme ingenieurs te rekruteren die als figuurlijke voorhoede optreden in de operaties van de Noord-Koreaanse agenten. Deze ingenieurs krijgen de taak om de interacties met bedrijven tijdens sollicitatiegesprekken te verzorgen, waarbij ze een percentage van het salaris ontvangen – tussen de 20% en 35% – gedurende de duur van het contract. Als de ingenieur bereid is om zijn computer aan de agenten ter beschikking te stellen, kan hij een hoger bedrag verdienen. De Noord-Koreaanse agenten gebruiken de computer en de ingenieur als proxy voor hun kwaadaardige activiteiten, zodat hun locatie en sporen niet traceerbaar zijn.

Mauro Eldritch, een hacker en specialist in dreigingsanalyse bij BCA LTD, legt uit dat de ingenieurs die hun identiteit verhuren alle risico’s dragen. Zij zullen verantwoordelijk zijn voor de schade die wordt aangericht, aangezien zij de identiteit hebben verhuurd aan de agenten. Eldritch heeft eerder verschillende ontmoetingen gedocumenteerd met Noord-Koreaanse agenten die op zoek waren naar ingenieurs of ontwikkelaars die snel geld wilden verdienen.

Onlangs ontdekte Eldritch meerdere GitHub-accounts die vol stonden met recruteringsberichten van Famous Chollima. Deze berichten nodigden ingenieurs uit om deel te nemen aan technische sollicitatiegesprekken, waarbij de recruiters een valse identiteit aanboden om de ingenieurs te helpen "effectief" te reageren op interviewers. De technici werden niet verplicht om de technische onderwerpen volledig te beheersen, omdat de recruiter hen zou ondersteunen bij het beantwoorden van vragen.

De onderzoekers gebruikten sandboxdiensten van ANY.RUN om een gesimuleerde laptopfarm te creëren waarmee ze de activiteiten in real-time konden opnemen en later analyseren. In dit gecontroleerde onderzoek reageerde García, een van de onderzoekers, als een beginnende ingenieur op het recruteringsaanbod, met als doel de strategieën en gebruikte tools van de Noord-Koreaanse agenten te ontdekken. Ze stelden vast dat de recruiter onder meer gebruikmaakte van AI-gestuurde extensies zoals AIApply en Final Round AI om sollicitaties in te vullen en real-time reacties tijdens interviews te genereren.

Naast deze AI-tools ontdekte men ook de toepassing van Google Remote Desktop en technieken voor systeemverkenning. In sommige gevallen werd er zelfs een VPN-dienst gebruikt, Astrill VPN, die populair blijkt te zijn onder de Noord-Koreaanse IT-werknemers die zich achter valse identiteiten verschuilen.

Het onderzoek biedt waardevolle inzichten in de tactieken en tools die door de Noord-Koreaanse hackers worden gebruikt om bedrijven te infiltreren en legitieme ingenieurs te misleiden. De gegevens die zijn verzameld kunnen bedrijven helpen zich voor te bereiden op mogelijke infiltratiepogingen, hun werkprocessen te verstoren en hun detectiemethoden te verbeteren, verder dan de traditionele methoden voor malwaredetectie.

Bron 1

Hackers die gelinkt worden aan de Iraanse staat hebben opnieuw toeslagen uitgevoerd op Israëlische entiteiten in verschillende sectoren, waaronder onderwijs, techniek, lokale overheden, productie, technologie, transport en nutsvoorzieningen. De aanvallen maken gebruik van een nieuwe backdoor, genaamd MuddyViper, en omvatten geavanceerde loaders en hulpmiddelen voor het stelen van inloggegevens.

Deze cyberaanvallen worden toegeschreven aan de hacker-groep MuddyWater, ook bekend als Mango Sandstorm of TA450. Deze groep wordt verondersteld verbonden te zijn met het Iraanse Ministerie van Inlichting en Veiligheid (MOIS). De aanvallen hebben niet alleen Israëlische doelwitten getroffen, maar ook een technologiebedrijf in Egypte. Volgens gegevens van de Israëlische Nationale Cyber-directoraat (INCD) richtte MuddyWater zich op verschillende kritieke sectoren, waaronder lokale overheden, civiele luchtvaart, toerisme, gezondheidszorg, telecommunicatie, informatietechnologie en kleine en middelgrote bedrijven.

De aanvalsketens beginnen vaak met spear-phishing en het misbruik van kwetsbaarheden in VPN-infrastructuur om netwerken binnen te dringen. Traditioneel maakt de groep gebruik van legitieme tools voor remote management, zoals Atera, Level, PDQ en SimpleHelp. Sinds mei 2024 bevatten de phishingcampagnes echter een nieuwe backdoor, genaamd BugSleep (ook wel MuddyRot).

De MuddyViper-backdoor maakt het de aanvallers mogelijk om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en inloggegevens van Windows en browserdata te stelen. Het C/C++-gebaseerde MuddyViper ondersteunt twintig verschillende commando’s om toegang en controle over besmette systemen te verkrijgen. Verschillende versies van de loader, genaamd Fooder, imiteren het klassieke Snake-spel en bevatten een vertraagde uitvoering om detectie te vermijden. Het gebruik van Fooder werd voor het eerst in september 2025 onder de aandacht gebracht door Group-IB.

Daarnaast worden andere tools gebruikt, zoals VAXOne, een backdoor die zich voordoet als Veeam, AnyDesk, Xerox en de OneDrive-updater, evenals CE-Notes, een browserdata-steler die probeert de app-gebonden encryptie van Google Chrome te omzeilen. Ook worden de Blub- en LP-Notes-tools ingezet om gebruikersnaam- en wachtwoordinloggegevens te stelen. MuddyWater’s gebruik van deze nieuwe componenten, zoals de Fooder-loader en de MuddyViper-backdoor, geeft aan dat de groep zijn tactieken heeft verbeterd om stealth, persistentie en het verzamelen van inloggegevens te optimaliseren.

De onthulling van deze aanvallen volgt op eerdere aanvallen van een andere Iraanse groep, APT42, die werd gekoppeld aan een espionagecampagne gericht op individuen en organisaties in Israël. Het blijkt dat de verschillende Iraanse hackinggroepen gebruik maken van dezelfde infrastructuur en doelwitten, wat wijst op een gecoördineerde inspanning door de Iraanse staat.

Bron 1

Aan Oekraïne gelinkte hackers hebben hun cyberaanvallen op de Russische luchtvaartindustrie en de bredere defensiesector geïntensiveerd. Dit gebeurt met behulp van op maat gemaakte malware en gerichte spear-phishing om gevoelige informatie zoals ontwerpen, planningen en interne e-mails te stelen. De campagne richt zich zowel op de belangrijkste aannemers als op kleinere leveranciers binnen de sector. Het primaire doel van de operatie is het in kaart brengen van productieketens en het blootleggen van kwetsbaarheden binnen de Russische oorlogsindustrie. De gestolen data, waaronder informatie van onderzoekslaboratoria, testlocaties en logistieke bedrijven die vliegtuigen, drones en raketsystemen ondersteunen, kan inzicht geven in onderdelentekorten, leveringsvertragingen en softwarefouten. Dit biedt Oekraïense planners een duidelijker beeld van de operationele gereedheid van Rusland.

De kwaadaardige software werd voor het eerst opgemerkt eind 2024 in de vorm van spear-phishing golven. Deze e-mails werden gericht verstuurd naar ingenieurs en projectmanagers die werkzaam zijn in avionica, geleidingssystemen en satellietverbindingen. De lokmiddelen bestonden uit valse vacatures, uitnodigingen voor conferenties of updates over contracten. De bijlagen in deze e-mails exploiteerden vaak verouderde kantoorsoftware op Windows-hosts. Na het openen van het bestand, plaatste het een kleine loader die onopgemerkt de weg vrijmaakte voor de hoofd-payload. Beveiligingsanalisten van Intrinsec identificeerden de malware nadat ze herhaaldelijk uitgaand verkeer hadden waargenomen vanuit een afgelegen kantoor van een defensie-integrator naar zeldzame commandoservers die werden gehost op robuuste infrastructuur. Het technische onderzoek toonde aan dat de aanvallers elke payload zorgvuldig hadden afgestemd op de rol van het slachtoffer, door het toevoegen van op maat gemaakte modules voor het verzamelen van e-mails, het stelen van documenten en het vastleggen van inloggegevens.

De infectieketen, hoewel eenvoudig, wordt als intelligent beschouwd. De eerste loader, vaak een kleine DLL, wordt alleen in het geheugen uitgevoerd en haalt een tweede-fase script op via een vooraf gedefinieerde URL. Dit script injecteert vervolgens de uiteindelijke payload in een vertrouwd proces, zoals explorer.exe, waardoor het moeilijker te onderscheiden is van normale gebruikersactiviteit. De payload maakt gebruik van een compacte commandolus om flexibel te blijven. Deze logica stelt de operator in staat om te schakelen tussen stille data-diefstal en handmatige controle. Ondanks het duidelijke ontwerp, vermijdt de malware opzichtige persistentietrucs. In plaats daarvan vertrouwt het op geplande taken en gekaapte updatetools om na herstarts terug te keren, terwijl het moeilijk te detecteren blijft. De gebruikte tools zijn fundamenteel eenvoudig, maar worden ingezet met precisie en planning.

Rapport downloaden

De Britse regering heeft nieuwe sancties opgelegd aan de Russische militaire inlichtingendienst GRU nadat een officieel onderzoek concludeerde dat de zenuwgasaanval in Salisbury in 2018 alleen kon zijn goedgekeurd door president Vladimir Poetin. De autoriteiten riepen de Russische ambassadeur op het matje en stelden dat de GRU verantwoordelijk werd gehouden voor meerdere risicovolle operaties, waaronder de poging om Sergej Skripal te doden.

Skripal en zijn dochter Yulia werden in maart 2018 ernstig ziek na blootstelling aan het zenuwgas Novichok. De stof was op de deurklink van de woning van Skripal aangebracht. Een politieman liep eveneens een vergiftiging op. Alle drie overleefden de aanval. Enkele maanden later werden Dawn Sturgess en Charlie Rowley blootgesteld aan Novichok nadat zij een weggegooide parfumfles hadden gevonden. Sturgess overleed, terwijl Rowley het incident overleefde.

Het onderzoek naar het overlijden van Sturgess werd geleid door voormalig opperrechter Anthony Hughes. Hij concludeerde dat de operatie moest zijn goedgekeurd op het hoogste niveau binnen de Russische staat. De familie van Sturgess stelde dat zij slachtoffer werd van een poging tot een gerichte moordoperatie en bekritiseerde de Britse autoriteiten voor onvoldoende risicobeoordeling rondom Skripal.

Het Verenigd Koninkrijk heeft drie vermeende GRU-agenten aangeklaagd, maar door het ontbreken van een uitleveringsverdrag met Rusland is vervolging onwaarschijnlijk. Novichok werd ontwikkeld door de Sovjet-Unie aan het einde van de Koude Oorlog. Westerse deskundigen gaan ervan uit dat de stof alleen in Rusland is geproduceerd, terwijl Moskou die conclusie ontkent.

De sancties richten zich ook op acht personen die volgens de Britse regering als cyberofficieren voor de GRU werkten. Zij zouden Yulia Skripal al jaren voor de aanval hebben proberen te infecteren met malware. De Britse premier Keir Starmer stelde dat de bevindingen van het onderzoek aantonen dat Rusland vijandige activiteiten uitvoert op Brits grondgebied en dat constante alertheid noodzakelijk is.

Bron 1

Rusland heeft beperkingen opgelegd aan FaceTime, de videobelservice van Apple, als onderdeel van een bredere strategie om de controle over internetgebruik en online communicatie te versterken. De Russische autoriteiten beschuldigen de dienst ervan te worden gebruikt voor "terroristische activiteiten" en andere criminele praktijken binnen het land. Dit besluit volgt op eerdere maatregelen die door Rusland zijn genomen om internetverkeer te controleren en te manipuleren.

Daarnaast werd ook de berichtenapp Snapchat geblokkeerd. De Russische internetregulator Roskomnadzor gaf aan dat de applicatie, net als FaceTime, wordt gebruikt voor criminele activiteiten. Hoewel de blokkering van Snapchat al op 10 oktober werd uitgevoerd, werd dit pas onlangs openbaar gemaakt. Deze maatregelen komen op het moment dat Rusland onder leiding van president Vladimir Putin strengere wetgeving heeft aangenomen om internetplatforms die niet voldoen aan de eisen van de overheid, te blokkeren.

De impact van dergelijke maatregelen is wereldwijd voelbaar. Hoewel FaceTime en Snapchat specifiek in Rusland worden beperkt, kunnen deze ontwikkelingen gevolgen hebben voor de manier waarop Europese landen, waaronder Nederland en België, omgaan met de controle en regulering van digitale communicatie. Het benadrukt de noodzaak voor een zorgvuldige afweging tussen nationale veiligheid en de bescherming van de privacy en communicatievrijheden van burgers. Experts wijzen erop dat, ondanks de mogelijkheid om beperkingen te omzeilen via VPN's, de trend van digitale censuur wereldwijd toeneemt, wat een belangrijke discussie oproept over de toekomst van internetvrijheid in Europa.

Bron 1

Roskomnadzor, de Russische telecomwaakhond, heeft besloten om de toegang tot het online gamingplatform Roblox te blokkeren. De reden voor deze blokkade is dat het platform volgens de Russische autoriteiten niet in staat is gebleken om de verspreiding van wat zij beschrijven als LGBT "propaganda" en extremistischer materiaal tegen te gaan. In een verklaring die op woensdag werd gepubliceerd, stelde Roskomnadzor dat Roblox verantwoordelijk is voor de massale en herhaalde verspreiding van materialen die extremistischer en terroristische activiteiten rechtvaardigen, oproepen tot gewelddadige illegale handelingen en de promotie van LGBT-onderwerpen.

De Russische autoriteiten wijzen op specifieke gevallen op het platform, waar gebruikers kunnen deelnemen aan terroristische acties, zoals schoolaanvallen, of deelnemen aan gokken. De opmerkingen van Roskomnadzor benadrukken de bezorgdheid over de schade die dergelijke activiteiten kunnen veroorzaken, met name voor kinderen die gebruikmaken van het platform.

Deze blokkade volgt op eerdere zorgen die in november naar voren kwamen. Roskomnadzor stelde destijds dat het Roblox-moderatieteam herhaaldelijk had aangegeven dat het platform niet in staat was om schadelijke materialen effectief te blokkeren. Roblox, dat wereldwijd door miljoenen gebruikers wordt gespeeld, heeft wereldwijd 1 miljard downloads op Android en meer dan 16 miljoen beoordelingen op iOS.

In reactie op de blokkade verklaarde een woordvoerder van Roblox dat het bedrijf de lokale wetten en regels respecteert en zich inzet voor het creëren van een veilige ruimte voor leren, creatie en betekenisvolle verbindingen. Roblox benadrukte ook zijn inspanningen om schadelijke inhoud op het platform te identificeren en te voorkomen.

De blokkade van Roblox is onderdeel van een bredere trend van Rusland om westerse platforms en apps te reguleren en te censureren. Roskomnadzor heeft eerder apps zoals WhatsApp, Viber en Signal geblokkeerd en de toegang tot buitenlandse private berichtendiensten in overheidsinstellingen verboden. Deze maatregelen komen voort uit de strijd van Rusland tegen wat het beschouwt als bedreigingen voor nationale veiligheid en anti-extremisme.

Bron 1

Op 4 december 2025 werd de website van de Staatsarchieven van België (arch.be) getroffen door een DDoS-aanval, uitgevoerd door de groep "BD Anonymous". Bij deze vorm van cyberaanval wordt de server van de doelwitwebsite overspoeld met verkeer, wat resulteert in een tijdelijke onbeschikbaarheid van de site. De groep "BD Anonymous" heeft de verantwoordelijkheid voor deze aanval opgeëist.

Hoewel DDoS-aanvallen in de cyberdreigingswereld relatief vaak voorkomen, is het opmerkelijk dat de Staatsarchieven van België als doelwit werden gekozen. De Staatsarchieven beheren belangrijke historische en administratieve gegevens, waardoor een verstoring van hun online diensten mogelijk impact kan hebben op toegang tot belangrijke documenten voor zowel burgers als overheidsinstanties.

Op dit moment zijn er geen meldingen van datalekken of schade aan de gegevens van de website. Er wordt verwacht dat de Belgische autoriteiten de aanval onderzoeken en passende maatregelen nemen om de veiligheid van de betrokken systemen te waarborgen.

Dergelijke aanvallen benadrukken de voortdurende dreiging van cybercriminaliteit gericht op overheidsinstellingen in België en andere Europese landen. Ze illustreren ook de kwetsbaarheid van belangrijke digitale infrastructuren voor verstoringen die kunnen leiden tot bredere maatschappelijke gevolgen.

Op 6 december 2025 heeft de Oekraïense militaire inlichtingendienst (HUR) een grootschalige cyberaanval uitgevoerd op het Russische logistieke bedrijf Eltrans+. De aanval, die werd uitgevoerd in samenwerking met de hackergroep BO Team, heeft de digitale infrastructuur van het bedrijf volledig verstoord. Deze operatie, die zorgvuldig werd getimed om samen te vallen met de Oekraïense Dag van de Strijdkrachten, illustreert het groeiende gebruik van cyberspace in geopolitieke conflicten.

Het bedrijf Eltrans+, een belangrijke speler in de Russische logistiek, had zijn systemen ernstig verstoord door de aanval, waarbij meer dan 700 computers en servers werden uitgeschakeld en meer dan 1.000 gebruikersaccounts werden gewist. Ongeveer 165 terabyte aan gegevens werd vernietigd of versleuteld, wat leidde tot een volledige onderbreking van hun bedrijfsvoering. Bovendien werden de toegangssystemen, videobewaking en netwerkinfrastructuur van het bedrijf uitgeschakeld, wat de schade vergrootte.

Deze cyberaanval benadrukt niet alleen de kwetsbaarheid van de Russische logistieke sector, maar ook de potentiële dreiging voor andere landen, waaronder Nederland en België. Gezien de internationale aard van de supply chains kunnen dergelijke aanvallen indirecte gevolgen hebben voor bedrijven in de Benelux, die mogelijk afhankelijk zijn van vergelijkbare infrastructuren of die zich blootstellen aan nieuwe technieken die in deze cyberoperatie zijn gebruikt.

Het is belangrijk op te merken dat deze cyberaanvallen deel uitmaken van een bredere campagne van de Oekraïense militaire inlichtingendienst. Eerder werd bijvoorbeeld de Russische internetinfrastructuur, zoals de telecomprovider Orion Telecom, getroffen, wat aantoonde hoe cyberoperaties steeds vaker worden ingezet om strategische doelen te bereiken in een conflict.

De impact van dergelijke aanvallen benadrukt de noodzaak voor bedrijven in Nederland en België om alert te blijven op de snel evoluerende dreigingen in cyberspace, aangezien de grens tussen traditionele oorlogvoering en digitale aanvallen steeds vager wordt.

Bron 1

Synergy University, de grootste privé-universiteit van Rusland, blijkt betrokken te zijn bij een wereldwijd opererend netwerk van essay mills dat naar schatting $25 miljoen heeft opgebracht. Dit netwerk, dat studenten in staat stelt academische werkstukken te kopen, blijkt meer te zijn dan een louter academische fraudeoperatie. Er is een verontrustende link met de ontwikkeling van drones die gebruikt worden in de Russische oorlog tegen Oekraïne.

Het essay mill netwerk, onder de naam Nerdify, biedt studenten de mogelijkheid om via sms opdrachten te laten maken door freelance schrijvers. Ondanks claims van ethisch gedrag blijkt Nerdify op grote schaal plagiaatvrije werkstukken aan te bieden die studenten direct kunnen inleveren als hun eigen werk. Dit netwerk heeft wereldwijd terrein gewonnen, met advertenties die ondanks de verboden van Google, goed zichtbaar zijn in zoekresultaten.

De oprichters van dit netwerk, Alexey Pokatilo en Filip Perkon, hebben ook banden met Synergy University. Deze universiteit, die zichzelf de grootste privé-instelling van Rusland noemt, heeft een geschiedenis van misleiding van internationale studenten, met name uit Afrikaanse landen, die hoge studiebetalingen deden, maar nooit de beloofde visa of toegang tot het onderwijs kregen.

Daarnaast is Synergy University niet alleen betrokken bij frauduleuze activiteiten, maar ook bij de ontwikkeling van militaire technologieën. De universiteit zou bijdragen aan de Russische oorlogsinspanningen door drones te ontwikkelen die ingezet worden in de strijd tegen Oekraïne, ondanks de internationale sancties die gericht zijn op het blokkeren van militaire technologie.

Deze zaak benadrukt de gevaren van onethische netwerken die zich mengen in zowel de academische wereld als de geopolitieke arena. Het biedt een alarmerende blik op hoe fraude en militaire technologieën verbonden kunnen zijn, met grote gevolgen voor de veiligheid en stabiliteit in Europa.

Bron 1

De westerse perceptie van de oorlog tussen Rusland en Oekraïne als een strijd over kleine territoriale gebieden is een misverstand. In plaats van te vechten om 30 tot 50 kilometer grond in de Donbas, zoals vaak wordt gesuggereerd, heeft Rusland als doel de politieke onderwerping van Oekraïne. Dit blijkt uit de lange termijnstrategie van het Kremlin, die begon met de uitspraken van president Vladimir Putin in 2007 tijdens de Veiligheidsconferentie van München. Hier maakte hij zijn intentie bekend om de Russische invloedssfeer te herstellen en Europa’s veiligheidsarchitectuur te verwerpen.

De Russische inval in Oekraïne in 2022 was geen impulsieve reactie op territoriale geschillen, maar een voortzetting van een meer dan tien jaar durende campagne om Oekraïne van zijn soevereiniteit te beroven en een pro-Russische regering in Kiev te installeren. Dit heeft zijn wortels in de verstoorde relatie tussen Rusland en Oekraïne, die begon toen Oekraïne zijn weg begon te zoeken naar een onafhankelijkere koers, vooral na de Oranjerevolutie en de Euromaidan-beweging. Het conflict escaleerde toen Rusland zich realiseerde dat Oekraïne zich losmaakte van de Russische invloedssfeer.

De focus van de westerse landen op de territoriale verliezen van Oekraïne leidt tot een beperkte visie op het bredere geopolitieke doel van Rusland. Het Kremlin voert een “salami-slicing” strategie, waarbij het langzaam maar zeker Oekraïne ontmantelt en destabiliseert. Dit gebeurt niet alleen via militaire middelen, maar ook door middel van hybride operaties zoals cyberaanvallen, sabotage en desinformatiecampagnes. De aanval op Oekraïne is in wezen een strijd om de politieke autonomie van Oekraïne te ondermijnen en het terug te brengen onder Russische invloed, iets wat Rusland sinds de val van de Sovjetunie actief probeert te herstellen.

De westerse landen, met name de Verenigde Staten, blijven vasthouden aan de overtuiging dat de oorlog alleen om territorium gaat. Dit leidt tot een misverstand van de werkelijke doelen van Rusland. De Kremlin-leiding heeft duidelijk gemaakt dat het niet alleen om grondgebied gaat, maar om het herstel van de Russische invloedssfeer in Europa, wat ook gepaard gaat met een bredere destabilisatie van de regio.

De westerse strategieën om de Russische agressie te stoppen, zoals het aanbieden van onderhandelingen, zijn tot nu toe niet effectief gebleken. De verschuiving in de Amerikaanse benadering van Rusland en de misverstanden over de werkelijke doelen van het Kremlin maken de situatie nog complexer. Oekraïne’s verdediging is niet alleen een kwestie van militaire strijd, maar ook een politieke strijd om zijn onafhankelijkheid en soevereiniteit tegen een macht die vastbesloten is om zijn invloed in de regio te herstellen.

Bron 1

Polen heeft een verzoek ingediend bij Interpol om een "Red Notice" uit te geven voor twee Oekraïners die verdacht worden van betrokkenheid bij een sabotagedaad op het Poolse spoorwegsysteem. Deze actie, die plaatsvond in november 2025, richtte zich op de strategische spoorlijn tussen Warschau en Lublin, een belangrijke verbinding voor zowel lokaal vervoer als humanitaire hulp naar Oekraïne. De verdachten, Yevhenii Ivanov (41 jaar) en Oleksandr Kononov (39 jaar), zouden in opdracht van de Russische militaire inlichtingendienst hebben gehandeld. Na de incidenten zouden zij naar Wit-Rusland zijn gevlucht.

Polen heeft stappen ondernomen om de verdachten te vervolgen, waaronder het uitvaardigen van een Europees Arrestatiebevel. Interpol kan geen directe arrestaties afdwingen, maar een Red Notice waarschuwt wereldwijd de politie van de 196 lidstaten, waaronder Rusland en Wit-Rusland, dat de verdachten gezocht worden. Dit vergroot de kans dat de verdachten uiteindelijk terechtgesteld worden, mocht een andere staat hen aanhouden.

De sabotagedaden werden als een ernstige bedreiging voor de nationale veiligheid beschouwd. De eerste aanval betrof een explosie in de buurt van Mika, zo'n 90 kilometer ten zuidoosten van Warschau, waarbij een poging werd gedaan om een trein te ontsporen. Het tweede incident gebeurde verderop in de regio Lublin, waar sporen werden beschadigd en een stroomlijn werd doorgesneden. Beide incidenten konden de werking van het transportnetwerk ernstig verstoren, wat de geopolitieke spanningen in de regio verder verhoogde.

Deze aanval maakt deel uit van de bredere trend van hybride oorlogsvoering, waarbij Rusland steeds vaker gebruikmaakt van cyberaanvallen, sabotage en desinformatie om landen in Europa te destabiliseren. Polen beschreef de sabotage als "staatsterrorisme," wat de ernst van deze aanvallen benadrukt.

Een Red Notice van Interpol kan bijdragen aan de wereldwijde opsporing van de verdachten, hoewel de uiteindelijke arrestatie afhangt van de beslissing van de autoriteiten in de lidstaten. De zaak benadrukt de noodzaak van verhoogde aandacht voor hybride dreigingen in Europa, inclusief Nederland en België, die kwetsbaar kunnen zijn voor soortgelijke operaties.

Bron 1

Een grondig onderzoek naar illegale goknetwerken in Indonesië heeft de onthulling van een uitgebreid cybercriminaliteitsnetwerk aan het licht gebracht, dat al meer dan veertien jaar actief is. Onderzoekers hebben een enorm ecosysteem ontdekt, met honderden duizenden domeinen, duizenden kwaadaardige mobiele apps en wereldwijde domeinhoofding van overheids- en bedrijfsinfrastructuren.

Het netwerk, dat vanaf minstens 2011 in werking is, vertoont de kenmerken van staatsgesponsorde dreigingsactoren, wat typisch is voor hooggespecialiseerde cyberoperaties in plaats van de reguliere cybercriminelen. Waar het aanvankelijk begon als lokale gokactiviteiten, is het geëvolueerd tot een complexe infrastructuur die gokoperaties, manipulatie van zoekmachine-optimalisatie, verspreiding van malware en technieken voor langdurige overname van websites combineert.

De dreigingsactoren controleren wereldwijd ongeveer 328.000 domeinen, waarvan een aanzienlijk aantal gehackte en gecompromitteerde domeinen. Dit netwerk wordt gebruikt om gebruikers door te sturen naar illegale gokplatforms. Het gebruik van geavanceerde technieken, zoals het inzetten van Android-malware en het compromitteren van overheidsdomeinen, toont de capaciteiten van de aanvallers en de schaal van hun operatie.

Er werd vastgesteld dat duizenden schadelijke Android-applicaties werden verspreid via publieke Amazon Web Services S3-buckets. Deze applicaties fungeerden als ‘droppers’, die de apparaten van gebruikers compromitteerden en aanvullende schadelijke bestanden installeerden. Het netwerk maakt gebruik van Google's Firebase Cloud Messaging-service om op afstand instructies naar besmette apparaten te sturen, wat de traditionele methoden van command-and-control verkeer vermijdt.

Dit netwerk laat zien hoe cybercriminelen wereldwijd betrouwbare infrastructuren kunnen misbruiken, waarbij ze hun operaties afschermen door middel van domeindiversiteit en geavanceerde ontwijkingsmechanismen.

Bron 1

Op 8 december 2025 heeft de cybercriminele groepering NoName de verantwoordelijkheid opgeëist voor een reeks Distributed Denial of Service (DDoS)-aanvallen gericht op verschillende websites van overheidsinstanties in België. Een DDoS-aanval heeft als doel een online dienst onbereikbaar te maken door deze te overspoelen met een enorme hoeveelheid verkeer.

De beweringen van NoName betreffen een gerichte actie tegen meerdere bestuursniveaus in het land. Specifiek werden de websites van de Stad Antwerpen, de Provincie Limburg, de Provincie Luik en de Provincie Vlaams-Brabant als doelwit genoemd. Daarnaast stelde de groepering ook de regio Wallonië te hebben aangevallen.

De exacte impact en de duur van eventuele verstoringen op de genoemde websites door deze aanvallen zijn op dit moment onderwerp van onderzoek en worden gemonitord door de betrokken partijen. De claim van NoName impliceert een gecoördineerde campagne tegen publieke diensten in België.

De Britse regering investeert miljoenen in een nieuwe technologische strategie om de dreiging van sabotage van onderzeese kabels door Rusland te bestrijden. Het Ministerie van Defensie (MoD) heeft het "Atlantic Bastion"-programma aangekondigd, waarin autonome vaartuigen en kunstmatige intelligentie (AI) worden gecombineerd met oorlogsschepen en vliegtuigen om een geavanceerde hybride verdedigingsmacht te creëren. Het doel is om onderzeese kabels en pijpleidingen te beschermen tegen de toenemende risico’s van Russische onderzeese activiteiten, zoals gesaboteerde kabels en pijpleidingen, die cruciaal zijn voor de communicatie en gegevensoverdracht van het VK.

Het hybride navalebeschermingssysteem zal gebruikmaken van AI-gestuurde akoestische detectietechnologie om schepen, onderzeeërs, vliegtuigen en onbemande vaartuigen met elkaar te verbinden, waardoor ze in een digitaal doelwitsysteem kunnen worden geïntegreerd. Dit netwerk van wapensystemen maakt het mogelijk om snel beslissingen te nemen op het slagveld en bedreigingen in een breed gebied te lokaliseren en te neutraliseren. Volgens het MoD zal het Atlantic Bastion-programma bijdragen aan een meer robuuste verdediging tegen aanvallen die de kritieke infrastructuur van het VK zouden kunnen beschadigen.

De recente dreiging van Rusland, vooral door de toenemende activiteit van Russische onderzeeërs en spionageschepen zoals de Yantar, heeft geleid tot een versnelling van de ontwikkeling van deze hybride verdedigingsstrategie. Het VK is bijzonder kwetsbaar voor aanvallen op onderzeese kabels, aangezien 99% van zijn gegevens via deze kabels worden verzonden. In reactie hierop heeft de Royal Navy eerder dit jaar een onderwaterrobot geïntroduceerd die dieper kan duiken en langer onder water kan blijven dan menselijke duikers, wat het mogelijk maakt om onderwaterbommen en saboteurs te detecteren en onschadelijk te maken.

Het programma krijgt steun van de particuliere sector, met een initiële investering van 14 miljoen pond voor testen en ontwikkeling van nieuwe technologieën. Tot nu toe hebben 26 bedrijven uit het VK en Europa voorstellen ingediend voor de ontwikkeling van technologieën om onderzeese dreigingen te detecteren, met een vier-op-een verhouding van publieke en private investeringen.

Het Atlantic Bastion-programma is een directe reactie op de heropleving van de Russische onderzeese activiteiten, die een groeiend risico vormen voor de mondiale cyberbeveiliging en de stabiliteit van onderzeese communicatie-infrastructuur. De samenwerking tussen overheden en de particuliere sector is essentieel voor het versterken van de verdediging tegen deze specifieke dreigingen.

Bron 1

Het 'Kitten' Project is ontstaan als een gecoördineerd platform voor hacktivistische campagnes, waarbij verschillende groepen samenwerken om aanvallen en doxxing-campagnes uit te voeren tegen Israëlische doelen. Dit initiatief vertegenwoordigt een verschuiving in de manier waarop cybergroepen hun operaties organiseren, van geïsoleerde aanvallen naar een gecentraliseerde infrastructuur die communicatie, hulpbronnen en gecoördineerde acties mogelijk maakt.

Het platform, dat toegankelijk is via de website thekitten.group, fungeert als een knooppunt waar meerdere hacktivistische groepen samenwerken. Deze groeperingen richten zich op een breed scala aan doelen, van het blootstellen van gegevens, zoals informatie over Israëlische soldaten, tot meer geavanceerde pogingen tegen kritieke infrastructuur, inclusief industriële besturingssystemen (ICS) en programmeerbare logische controllers (PLC). De aanvallen worden gecoördineerd via privéberichtkanalen, waarbij tools, technieken en documentatie gedeeld worden tussen de deelnemende groepen.

De deelnemende groepen onder het 'Kitten' Project omvatten bekende collectieven zoals de Handala Hacking Group, KilledByIsrael en CyberIsraelFront. De infrastructuur van het project lijkt ontworpen om meerdere groepen tegelijkertijd te ondersteunen, met een gedeeld operationeel centrum. Analyse van VECERT-beveiligingsanalisten heeft aangetoond dat de technische infrastructuur van het project oorspronkelijk afkomstig is van servers in Iran, wat suggereert dat er verbindingen zijn met gevestigde Iraanse cyberbeveiligingsbedrijven. De servers die deze infrastructuur ondersteunen, worden beheerd door Pars Parva Systems, een bedrijf geregistreerd in Iran.

Technisch gezien maakt het 'Kitten' Project gebruik van een zorgvuldig gestructureerd API-systeem om multimedia-inhoud te delen en gebruikersauthenticatie te ondersteunen. De backend van het platform is opgebouwd met behulp van PHP en maakt gebruik van DirectoryIterator-functies om afbeeldingen en video's efficiënt te beheren en te verspreiden. De platformbeveiliging omvat mechanismen zoals inputvalidatie via reguliere expressies en het beperken van bestandsnamen om aanvalsmethoden, zoals directory traversal-aanvallen, te voorkomen. De gebruikersauthenticatie vereist een unieke 64-cijferige tracking-ID en een gekoppeld e-mailadres, wat toegang verleent tot de berichtensecties van het platform.

De infrastructuur van het 'Kitten' Project biedt een dynamische inhoudsgeneratie, waardoor de platformbeheerders in staat zijn complexe backend-operaties uit te voeren die de gecoördineerde activiteiten van hacktivistische groepen ondersteunen.

Hoewel de aanvallen momenteel gericht zijn op Israël, kunnen dergelijke gecoördineerde hacktivistische campagnes ook in de toekomst Europese landen, waaronder Nederland en België, treffen. De schaal en de methoden die door deze groepen worden gebruikt, kunnen een bredere dreiging vormen voor de veiligheid van kritieke infrastructuren wereldwijd.

Bron 1

Adrian Nish, directeur van BAE Systems voor Europa Oost, heeft onlangs een oproep gedaan aan getalenteerde cyberverdedigers om hun vaardigheden in te zetten voor de opkomende uitdaging van het onderscheppen van drones. Tijdens een presentatie op de CyberThreat-conferentie in het Chelsea Football Stadium in Londen, georganiseerd door het SANS Instituut in samenwerking met het National Cyber Security Centre, benadrukte Nish de urgentie van het ontwikkelen van robuuste verdedigingen tegen kwaadaardige drones.

Volgens Nish zijn drones tegenwoordig niet alleen een technologische innovatie, maar ook een gevaarlijke vorm van cyberdreiging. Hij vergeleek drones die voor malafide doeleinden worden gebruikt met malware, waarbij de fysieke drones fungeren als vliegende computers. Het werd duidelijk dat de drone-industrie snel evolueert, en dat het belangrijk is om cybersecurity-expertise in te zetten voor de bescherming tegen deze nieuwe dreigingen.

Nish verwees naar de verschuiving in carrièrepaden van sommige cybersecurity-experts, zoals Mikko Hyppönen, die zich van antivirusonderzoek naar de drone-industrie heeft verplaatst, als een teken dat cyberverdedigers zich steeds meer richten op luchtruimbeveiliging. De presentatie ging verder in op de ontdekking dat BAE Systems al methoden heeft ontwikkeld om drones te hacken, waaronder het extraheren en reverse-engineeren van de firmware van veelgebruikte drones voor inlichtingen, surveillance en verkenning (ISR).

In zijn toespraak identificeerde Nish verschillende typen drones die als bedreigingen kunnen fungeren. Ongeveer 80% van de drones die wereldwijd in omloop zijn, zijn commerciële modellen die gemakkelijk online te verkrijgen zijn, zoals de DJI Phantom en DJI Mavic. Daarnaast worden steeds vaker op maat gemaakte drones gebruikt voor specifieke missies, van het ontwijken van detectie tot het vervoeren van zware ladingen. De hoogste dreiging komt echter van militaire systemen, zoals de Orlan-10 van Rusland en de Shahed-136 van Iran, die vaak worden ingezet in conflicten zoals in Oekraïne.

De verdediging tegen drones blijft echter een grote uitdaging. Hoewel elektronische oorlogsvoering kan helpen om signalen van drones te verstoren, is dit vaak ineffectief tegen op maat gemaakte drones die onvoorspelbare frequenties gebruiken. Kinetische interventies, zoals raketten of geweren, zijn duur en niet ontworpen voor het uitschakelen van kleine, goedkope drones. Nish stelde voor dat cybersecurity-experts het verschil zouden kunnen maken, aangezien drones in wezen computers zijn met motoren en hun interne architecturen vaak kwetsbaar blijken te zijn. Er is geen sprake van firewalls of andere beveiligingsmaatregelen op drones, wat hen tot relatief gemakkelijke doelwitten maakt voor hackers.

BAE Systems heeft bijvoorbeeld een methode ontwikkeld om de firmware van ISR-drones te hacken door gebruik te maken van cryptografische fouten in de AES-128-encryptie van de gebruikte hardware. Dit stelde de onderzoekers in staat om de communicatie van de drone te onderscheppen en zelfs over te nemen, een techniek die in de toekomst essentieel zou kunnen zijn voor het veiligstellen van luchtruimen tegen kwaadaardige drones.

Nish voorspelt dat de dreiging van drones zal blijven toenemen, vooral met de opkomst van laag-aardse satellieten en 5G-verbindingen die langeafstandsbediening van drones mogelijk maken. Ook dronezwermen, gecoördineerd via mesh-radiosystemen, vormen een nieuwe bedreiging die het cyberlandschap verandert en kan worden vergeleken met botnets. Daarnaast zullen militaire drones, maritieme drones en zelfs humanoïde robots naar verwachting ook een grotere rol gaan spelen in de dreiging die uitgaat van autonome systemen.

De huidige dreigingen maken het belangrijker dan ooit om digitale forensische technieken te ontwikkelen die het mogelijk maken om de systemen van gecrashte drones te onderzoeken en om kwetsbaarheden verantwoord te melden. Dit biedt niet alleen kansen voor de verdediging tegen kwaadwillende drones, maar kan ook helpen om te zorgen voor de veiligheid van burgers en kritieke infrastructuur.

Bron 1

De inzet van onbemande grondrobots (UGV’s) in Oekraïne heeft geleid tot opmerkelijke technologische vooruitgangen, maar roept ook belangrijke vragen op over de beveiliging van deze systemen tegen cyberdreigingen. Deze robots, die worden ingezet voor logistieke taken en gevechtsdoelen, maken gebruik van geavanceerde technologieën, zoals Starlink voor communicatie, wat hen minder kwetsbaar maakt voor traditionele vormen van elektronische verstoring. Echter, de afhankelijkheid van satellietverbindingen maakt ze niet immuun voor cyberaanvallen die gericht zijn op het verstoren van communicatiesystemen of het manipuleren van de operationele capaciteit van de robots.

In Europa, waaronder Nederland en België, is de discussie over de veiligheid van militaire technologieën, zoals drones en UGV’s, steeds relevanter geworden. Hoewel deze technologieën in eerste instantie bedoeld zijn voor defensie, kunnen ze ook het doelwit worden van cybercriminelen of staatsactoren die proberen gevoelige informatie te verkrijgen of militaire operaties te verstoren. De snelle inzet van UGV’s in Oekraïne toont aan hoe belangrijk het is om na te denken over de beveiliging van dergelijke technologieën, zowel op het slagveld als in de bredere geopolitieke context.

De productie en inzet van deze robots in Oekraïne geeft inzicht in de technische en organisatorische uitdagingen die gepaard gaan met de implementatie van autonome systemen in een gevechtsomgeving. Dit biedt waardevolle lessen voor de manier waarop soortgelijke technologieën in de toekomst mogelijk worden ingezet, zowel voor militaire als civiele toepassingen, met een groeiende focus op de beveiliging van deze systemen tegen cyberdreigingen.

Bron 1

Op 8 december 2025 ontmoette de Britse minister van Buitenlandse Zaken Yvette Cooper haar Amerikaanse ambtgenoot Marco Rubio in Washington, waar ze de voortdurende samenwerking tussen de VS en het VK voor een duurzame vrede tussen Rusland en Oekraïne benadrukten. Deze boodschap kwam te midden van zorgen binnen de Europese diplomatie over de recente pogingen van president Trump om tot een vredesakkoord te komen, dat door velen als gunstig voor Moskou wordt beschouwd. De hernieuwde druk vanuit de Amerikaanse regering is een reactie op de voortdurende oorlog in Oekraïne, waarbij Trump in zijn tweede ambtstermijn een snelle oplossing voorstelt, die veel Europese diplomaten als schadelijk voor Oekraïne beschouwen.

Het voornaamste probleem is dat Trump zijn plan voor een vredesovereenkomst steeds verder heeft verlengd, ondanks zijn eerdere belofte om de oorlog binnen de eerste 100 dagen te beëindigen. Dit heeft geleid tot een situatie waarin Oekraïne mogelijk gedwongen wordt concessies te doen die het niet wil, vooral als het gaat om het opgeven van grondgebied. Europese leiders zoals de Britse premier Keir Starmer, de Franse president Emmanuel Macron en de Duitse kanselier Friedrich Merz benadrukken echter dat Oekraïne niet kan overleven zonder de steun van het Westen. De stabiliteit van Europa wordt volgens hen in wezen bedreigd door de situatie in Oekraïne, aangezien de gevolgen van de oorlog zich niet alleen beperken tot Oekraïne, maar de bredere Europese veiligheid raken.

Tegelijkertijd wijzen Britse officials op een opkomende nieuwe dimensie in de Russische oorlogsinspanningen, namelijk de toename van cyberaanvallen en desinformatiecampagnes die gericht zijn tegen westerse democratieën. In haar toespraak na haar bezoek aan de VS zal Cooper de nadruk leggen op deze hybride dreigingen die bedoeld zijn om de kritieke infrastructuur van landen te ondermijnen en de democratische processen te verstoren. Het VK heeft, net als andere Europese landen, te maken gehad met aanzienlijke cyberaanvallen, waarvan velen worden toegeschreven aan Rusland, China en Noord-Korea.

In Washington groeit de bezorgdheid over het vredesplan van Trump, met kritiek van Amerikaanse wetgevers zoals senator Chris Van Hollen. Hij waarschuwt dat de Amerikaanse benadering te veel in het voordeel van Rusland zou kunnen zijn, vooral als het Oekraïense standpunt wordt ondermijnd. Europese diplomaten maken zich zorgen dat de VS zich teveel terugtrekt uit het conflict, terwijl Europa alleen niet in staat zal zijn om Rusland af te schrikken zonder de steun van de VS.

Binnen de Europese diplomatie wordt de komende dagen als cruciaal gezien. Oekraïne heeft een tegenvoorstel op basis van Europese steun voorbereid en zal dit binnenkort naar Washington sturen. De vraag blijft of de VS in staat zal zijn om de ambitieuze plannen van president Trump te balanceren zonder de alliantie te ondermijnen die Europa al decennia lang heeft geholpen in zijn strijd voor veiligheid en stabiliteit.

Bron 1

Een geavanceerde malwarecampagne, Operation FrostBeacon, richt zich op de Russische financiële en juridische sectoren. De campagne maakt gebruik van phishingaanvallen en geïnfecteerde bijlagen om de Cobalt Strike-malware te verspreiden, een krachtig hulpmiddel voor externe toegang en het uitvoeren van opdrachten op gecompromitteerde systemen. Deze dreiging is bijzonder gericht op organisaties die omgaan met gevoelige bedrijfsinformatie en transacties.

De aanvallers gebruiken op maat gemaakte e-mails die vaak zakelijke termen en zorgen over contractbetalingen, juridische geschillen en schuldincasso bevatten om vertrouwen op te bouwen bij de slachtoffers. Deze e-mails lijken legitiem, vooral in de context van de logistiek, financiën en toeleveringsketens, waar dergelijke zorgen gangbaar zijn. Zodra de slachtoffers de malafide bestanden openen, wordt Cobalt Strike geïnstalleerd via meerdere fasen van infectie.

De eerste fase van de infectie omvat het gebruik van een archiefbestand met een kwaadaardig snelkoppelingbestand dat zich voordoet als een PDF. Bij het openen van dit bestand worden PowerShell-commando’s uitgevoerd die verbinding maken met een extern serveradres. De tweede fase maakt gebruik van Word-documenten die oudere kwetsbaarheden, zoals CVE-2017-0199 en CVE-2017-11882, misbruiken om toegang te krijgen tot systemen en de schadelijke code uit te voeren.

Een van de meest opvallende kenmerken van deze campagne is de gebruikte techniek om de malware moeilijk detecteerbaar te maken. Zodra de kwaadaardige bestanden zijn uitgevoerd, wordt een HTML-toepassing (HTA) gestart die een gzip-gecomprimeerd PowerShell-script rekonstrueert uit meerdere Base64-gecodeerde blokken. Deze scriptimplementatie maakt gebruik van drie lagen van obfuscatie, waaronder Gzip-compressie, Base64-codering en XOR-encryptie, waarmee de malware wordt verborgen in het geheugen van het systeem zonder bestanden op de schijf achter te laten.

De gebruikte technieken tonen de geavanceerde capaciteiten van de dreigingsactoren, die diepgaande kennis hebben van afweermechanismen en hoe ze die kunnen omzeilen. De Cobalt Strike-beacon, die als loader fungeert, maakt verbinding met command-and-control-servers die zich voordoen als reguliere jQuery-bestanden, wat de detectie verder bemoeilijkt.

De infrastructuuranalyse van de malwarecampagne wijst op domeinen die in Rusland zijn geregistreerd en via lokale providers opereren, waarbij het verkeer van command-and-control wordt verborgen binnen legitiem ogende webverzoeken. Dit toont aan dat de aanvallers een goed georganiseerde en technisch bekwame groep zijn, met als doel financieel gewin.

Bron 1

Een door China gesteunde hackgroep heeft een gerichte aanval uitgevoerd op Japanse scheepvaart- en transportbedrijven door kritieke kwetsbaarheden in Ivanti Connect Secure (ICS) uit te buiten. Deze campagne, die in april 2025 werd ontdekt, maakt gebruik van twee ernstige kwetsbaarheden om toegang te verkrijgen tot doelnetwerken en verschillende PlugX-malwarevarianten te implementeren, waaronder de nieuw geïdentificeerde MetaRAT en Talisman PlugX.

De aanval begint met het compromitteren van ICS-systemen via de kwetsbaarheden CVE-2024-21893 en CVE-2024-21887. Nadat de aanvallers toegang hebben verkregen, installeren ze malware op de getroffen apparaten. Vervolgens voeren ze gedetailleerde verkenning uit om het netwerk van de doelwitten in kaart te brengen en systeemreferenties van de gecompromitteerde systemen te verzamelen.

Door middel van gestolen referenties, met name informatie van actieve directory-beheerdersaccounts, bewegen de aanvallers zich lateraal door de netwerkinfrastructuur van de doelorganisaties. Ze implementeren systematisch verschillende PlugX-varianten op meerdere interne servers om persistentie te behouden en hun controle over de gecompromitteerde systemen uit te breiden.

De multi-fase-aanval toont aan dat de aanvallers zorgvuldig te werk gaan en goed begrijpen hoe de netwerkinfrastructuren van ondernemingen zijn opgebouwd. Beveiligingsanalisten van LAC Watch ontdekten de malware na forensisch onderzoek van de gecompromitteerde Ivanti-systemen. Ze vonden foutlogbestanden met de code ERR31093, die verschijnen wanneer ICS ongeldige SAML-payloads verwerkt in verband met de exploitatie van CVE-2024-21893. Daarnaast onthulde de Integrity Checker Tool verdachte bestanden die overeenkwamen met eerder gedocumenteerde malwarehandtekeningen zoals LITTLELAMB, WOOLTEA, PITSOCK en PITFUEL.

MetaRAT vertegenwoordigt een nieuwe evolutie in de PlugX-familie van remote access trojans. Dit variant was al sinds 2022 aanwezig, maar werd tot nu toe niet bij naam genoemd. MetaRAT maakt gebruik van DLL side-loading, een techniek die legitieme Windows-processen benut om kwaadaardige code in te laden. Het loadercomponent, genaamd mytilus3.dll, laadt een versleuteld shellcodebestand, genaamd materoll, dat wordt gedecrypt met XOR-bewerkingen en vervolgens uitgevoerd in het geheugen. Het shellcode voert nog een AES-256-ECB-decryptie uit op het daadwerkelijke MetaRAT-payload, dat vervolgens wordt gecomprimeerd met LZNT1.

De gedecodeerde MetaRAT malware wordt uitgevoerd via geëxporteerde functies, wat de detectie voor beveiligingssoftware aanzienlijk bemoeilijkt door de gelaagde encryptie- en compressietechnieken. MetaRAT maakt gebruik van API-hashing om de benodigde Windows API-functies te verkrijgen en implementeert anti-debuggingmechanismen die de decryptiesleutels vernietigen wanneer een debugger wordt gedetecteerd.

Organisaties die gebruik maken van de getroffen versies van Ivanti Connect Secure moeten onmiddellijk beveiligingspatches toepassen en hun systemen controleren op tekenen van compromittering. Verdachte registraties van diensten, zoals “sihosts”, of registersleutels met de naam “matesile” kunnen wijzen op actieve MetaRAT-infecties. Daarnaast kan het controleren op keylog-bestanden met de naam “VniFile.hlp” in de directory %ALLUSERSPROFILE%\mates\ helpen om getroffen systemen te identificeren.

Bron 1

Op 9 december 2025 heeft de cybercriminelen-groep NoName meerdere websites in België aangevallen met DDoS-aanvallen. Volgens berichten die in de dreigingsinformatie werden gedeeld, heeft de groep doelwitten gekozen die variëren van onderwijsinstellingen tot commerciële en openbare organisaties. Onder de getroffen websites bevinden zich prominente namen zoals KU Leuven, Regioleverancier, Bruxelles-Propreté, SABCA, Credendo en AGZ Port Services.

Deze aanvallen zijn typisch voor DDoS-incidenten, waarbij een hoge hoeveelheid verkeer naar de doelwebsites wordt gestuurd, waardoor ze overbelast raken en onbereikbaar worden voor legitieme gebruikers. Dit soort aanvallen kunnen ernstige verstoringen veroorzaken voor de getroffen organisaties en hun klanten, evenals reputatieschade.

De NoName-groep heeft zichzelf al eerder geprofileerd door soortgelijke aanvallen uit te voeren op websites van overheidsinstanties en bedrijven. Het is niet duidelijk wat de specifieke motivatie voor de aanvallen op deze Belgische websites is, maar het is duidelijk dat DDoS-aanvallen een steeds vaker voorkomend probleem zijn voor zowel publieke als private sectoren.

De getroffen organisaties hebben geen gedetailleerde informatie gedeeld over de impact van de aanvallen, maar het is te verwachten dat de hersteloperaties voor de getroffen websites en servers enige tijd zullen duren. Dit incident benadrukt opnieuw de kwetsbaarheid van veel systemen voor dergelijke aanvallen, die kunnen worden uitgevoerd door relatief beperkte middelen.

Op 9 december 2025 werd gemeld dat de website van de Belgische regio Wallonië, wallonie.be, het doelwit was van een DDoS-aanval (Distributed Denial of Service). De aanval werd opgeëist door een hackercollectief, dat verantwoordelijk is voor het verstoren van de toegang tot de website door deze te overspoelen met ongewenst verkeer. Dit type aanval heeft als doel de werking van de getroffen website te verstoren, waardoor deze tijdelijk onbereikbaar is voor reguliere gebruikers.

De aard van de aanval en de impact ervan zijn nog niet volledig duidelijk. DDoS-aanvallen worden vaak ingezet om overheidswebsites of andere belangrijke infrastructuren tijdelijk plat te leggen, wat kan leiden tot verstoringen in de dienstverlening. Tot nu toe zijn er geen meldingen van datadiefstal of verdere schade aan de infrastructuur van de getroffen site. De Belgische autoriteiten hebben nog geen officiële reactie gegeven over de vervolgstappen in verband met deze cyberaanval.

Een nieuwe vorm van malware, EtherRAT, is ontdekt, die gebruik maakt van de React2Shell-kwetsbaarheid om Linux-systemen te infecteren. Het malwareprogramma maakt gebruik van vijf verschillende mechanismen om zich vast te zetten op het systeem en gebruik te maken van Ethereum smart contracts voor communicatie met de aanvallers. Onderzoekers van cloudbeveiligingsbedrijf Sysdig ontdekten de EtherRAT-malware kort na de onthulling van de React2Shell-kwetsbaarheid, die is geclassificeerd als CVE-2025-55182.

EtherRAT werd gedetecteerd op een geïnfecteerde Next.js-toepassing, slechts twee dagen na de openbaarmaking van de kwetsbaarheid. De malware maakt gebruik van geavanceerde technieken, waaronder blockchain-gebaseerde command-and-control (C2) communicatie en meerdere lagen van persistentie op Linux-systemen. Het maakt ook gebruik van een Node.js-runtime die via een legitieme bron wordt gedownload, waarna de malware wordt gedecodeerd en uitgevoerd. Dit maakt EtherRAT moeilijk te detecteren en zorgt voor een complexe aanvalsketen.

De aanvallen die gebruik maken van de React2Shell-kwetsbaarheid hebben wereldwijd impact gehad, met minstens 30 getroffen organisaties die slachtoffers werden van credential-stealing, cryptomining en de inzet van standaard backdoors. De kwetsbaarheid zelf betreft een deserialisatieprobleem in de React Server Components "Flight"-protocol, waarmee aanvallers op afstand ongeauthenticeerde code kunnen uitvoeren via speciaal gemaakte HTTP-aanvragen.

EtherRAT biedt een hogere mate van persistentie op geïnfecteerde systemen door gebruik te maken van verschillende technieken zoals cron jobs, bashrc-injecties, XDG-autostart, systemd-gebruikerservices en profielinvoegingen. Dit zorgt ervoor dat de malware zichzelf opnieuw installeert na een herstart van het systeem of onderhoud.

De malware heeft daarnaast de mogelijkheid om zichzelf te updaten door het verzenden van zijn broncode naar een API-endpoint, waarmee de malware zichzelf vervangt met nieuwe versies die zijn gecodeerd met andere technieken om detectie te voorkomen. Dit maakt EtherRAT een geavanceerd hulpmiddel voor cyberaanvallers, vooral gezien het gebruik van Ethereum smart contracts voor de communicatie tussen de infectie en de aanvallers.

Deze recente aanvallen benadrukken de ernst van de React2Shell-kwetsbaarheid, die al snel werd uitgebuit door verschillende hackersgroepen, waaronder de Noord-Koreaanse Lazarus-groep. Het wordt aanbevolen dat systeembeheerders onmiddellijk de veilige versies van React/Next.js installeren om verdere aanvallen te voorkomen.

Bron 1

In een recente verklaring heeft Reporters Without Borders (RSF) aangekondigd dat een groep, gelinkt aan de Russische federale veiligheidsdienst FSB, verantwoordelijk is voor een mislukte cyberaanval op de organisatie eerder dit jaar. De Franse non-profitorganisatie, die zich inzet voor de bescherming van journalisten en de persvrijheid, ontdekte de aanval na een maandenlange interne en externe onderzoeksperiode, ondersteund door het Franse cybersecuritybedrijf Sekoia.

De aanval vond plaats in maart 2025, toen een werknemer van RSF doelwit was van een phishingaanval. De medewerker ontving een e-mail die leek te komen van een legitieme bron, met daarin een geïnfecteerd document of een schadelijke link. De medewerker gaf het bericht echter door aan het cybersecurityteam van RSF, dat het incident vervolgens doorstuurde naar Sekoia voor verdere analyse. De bevindingen gaven aan dat de Calisto-groep, ook bekend als ColdRiver of Star Blizzard, achter de aanval zat. Deze groep wordt al sinds 2017 in verband gebracht met de Russische inlichtingendienst FSB en is verantwoordelijk voor verschillende gerichte cyberoperaties.

RSF is vaker het doelwit van digitale aanvallen vanwege haar werk voor de vrijheid van de pers en het recht op betrouwbare informatie, met name in Rusland. De organisatie heeft eerder te maken gehad met aanvallen die gericht waren op haar IT-systemen en haar reputatie. In augustus 2025 werd RSF officieel door de Russische overheid aangemerkt als een "ongewenste organisatie," wat de organisatie en haar medewerkers blootstelt aan juridische vervolging in Rusland.

De cyberaanval in maart 2025 is een onderdeel van een bredere trend van aanvallen op onafhankelijke media en persorganisaties die kritisch staan tegenover het Russische regime. Het doel van deze aanvallen is vaak om de toegang tot informatie te belemmeren en de activiteiten van organisaties zoals RSF te verstoren. De betrokkenheid van de FSB benadrukt de verregaande invloed van de Russische overheid in digitale operaties die gericht zijn op het ondermijnen van vrije pers en het straffen van dissidenten.

Dit incident is een van de vele voorbeelden van de voortdurende digitale strijd voor persvrijheid en de bescherming van journalisten wereldwijd. In de context van de geopolitieke spanningen blijft de bescherming van kritische infrastructuren en de vrijheid van informatie een centraal thema in de strijd tegen autoritaire regimes.

Bron 1

Gelekte documenten onthullen dat Rusland, ondanks zware westerse sancties, blijft vertrouwen op buitenlandse technologie om zijn nieuwste militaire vliegtuigen te produceren. De documenten tonen aan dat de Russische luchtvaartsector, inclusief het PAK DA strategische bommenwerperprogramma en de Su-57 jager, afhankelijk is van geïmporteerde CNC-machines, die via omzeilingskanalen afkomstig zijn uit landen als Taiwan en Servië.

De fabrikant OKBM, die verantwoordelijk is voor het produceren van cruciale onderdelen voor de gevechtsvliegtuigen, ondervindt aanzienlijke problemen door het gebrek aan binnenlandse productiecapaciteit. De gelekte documenten bevestigen dat Rusland de technologieën die nodig zijn voor de productie van de zogenaamde 'vijfde generatie' straaljagers niet volledig zelf kan ontwikkelen. De afhankelijkheid van buitenlands gereedschap, zoals nauwkeurige CNC-machines, vormt een ernstige uitdaging voor het land, dat al sinds 2022 verlies van toegang heeft tot veel westerse leveranciers.

Deze situatie onderstreept de kwetsbaarheid van de Russische defensie-industrie, die ondanks de groeiende productiecapaciteit blijft worstelen met technologische tekortkomingen en vertragingen door de sancties. De documenten die recent openbaar werden, bieden een zeldzaam kijkje in de manier waarop Rusland zijn militaire programma’s in stand houdt, ondanks de internationale druk en beperkingen.

Op 23 oktober 2025 voegde de Europese Unie OKBM toe aan haar sanctielijst, vanwege de rol die het bedrijf speelt in de ontwikkeling van geavanceerde wapensystemen. Deze maatregel is een direct gevolg van de onthullingen over de manier waarop Rusland buitenlandse technologie blijft gebruiken, ondanks de formele embargo’s.

Deze ontwikkelingen hebben aanzienlijke implicaties voor de geopolitieke stabiliteit, met name in het licht van de voortdurende spanningen in Oekraïne en de bredere relatie tussen Rusland en het Westen. Voor experts op het gebied van geopolitiek en technologie is het duidelijk dat de technologische afhankelijkheid van Rusland een cruciale rol speelt in de effectiviteit van de opgelegde sancties.

Bron 1

Het Verenigd Koninkrijk heeft sancties aangekondigd tegen verschillende Russische mediakanalen en organisaties die betrokken zouden zijn bij informatieoorlogvoering. Buitenlandse Zakenminister Yvette Cooper verklaarde dat de sancties gericht zijn op het Telegramkanaal Rybar, de Russische ultranationalistische denktank Centrum voor Geopolitieke Expertise, en de organisatie Pravfond, die door de Estse inlichtingendienst als een dekmantel voor de Russische militaire inlichtingendienst GRU wordt beschouwd. Deze organisaties worden beschuldigd van het verspreiden van desinformatie en het ondermijnen van westerse democratieën.

Daarnaast werden twee Chinese bedrijven, i-Soon en de Integrity Technology Group, getroffen door de sancties. Cooper benadrukte dat deze bedrijven verantwoordelijk worden gehouden voor cyberactiviteiten die gericht zijn tegen het VK en zijn bondgenoten. Ze stelde dat het VK samen met zijn bondgenoten te maken heeft met toenemende hybride dreigingen, waaronder fysieke aanvallen en desinformatiecampagnes die sociale media overspoelen met gemanipuleerde video's en generatieve AI-inhoud, bedoeld om de steun voor Oekraïne in de westerse wereld te ondermijnen.

De Britse minister legde de nadruk op de noodzaak voor Westerse landen om hun verdediging tegen dergelijke aanvallen te versterken. Dit werd benadrukt tijdens haar toespraak ter gelegenheid van de honderdste verjaardag van de ondertekening van de Locarno-overeenkomsten, die vrede in Europa na de Eerste Wereldoorlog moesten waarborgen. Cooper gaf aan dat internationale samenwerking essentieel blijft, ondanks de recente veranderingen in de wereldpolitiek, zoals de onzekere positie van de VS binnen de NAVO onder president Donald Trump.

De sancties tegen de genoemde Russische en Chinese entiteiten zijn een onderdeel van een bredere strategie van het VK om hybride dreigingen te bestrijden die gericht zijn op het verzwakken van nationale infrastructuren en het verstoren van democratische processen. Het VK maakt duidelijk dat het zich blijft verdedigen tegen deze vormen van informatieoorlogvoering.

Bron 1

De voormalige NAVO-opperbevelhebber generaal Philip Breedlove heeft in een interview met de Kyiv Post gewaarschuwd dat de Verenigde Staten niet in staat zijn zichzelf alleen te verdedigen tegen opkomende bedreigingen, waaronder cyberaanvallen en hybride oorlogvoering. Breedlove benadrukt dat de veiligheid van zowel Europa als de VS afhangt van een voortdurende samenwerking, waarbij de rol van de VS cruciaal is voor de verdediging van Europa tegen geavanceerde dreigingen, inclusief cyberaanvallen.

Breedlove wijst op de recente Amerikaanse nationale veiligheidsstrategie die een de-prioritisering van Europa lijkt te bevatten. Dit staat in schril contrast met de visie van Rusland, die duidelijk stelt dat Europa een strategische doelstelling is. De voormalige generaal maakt zich zorgen dat deze benadering een bevestiging zou kunnen zijn van de geopolitieke visie van Moskou, wat kan leiden tot een verslechtering van de veiligheid in Europa, zowel op conventioneel als digitaal gebied.

Hoewel de Amerikaanse politiek fluctueert, blijft de steun van het Amerikaanse publiek voor de NAVO en de verdediging van Oekraïne sterk, wat een stabiliserende factor is voor de relaties tussen de VS en Europa. Breedlove benadrukt dat dit publieke sentiment geruststelling biedt voor Europese partners, maar dat de landen in Europa zich moeten voorbereiden op een hernieuwde dreiging van Rusland. Rusland heeft immers al aangegeven niet klaar te zijn met zijn ambities in Europa, wat de dreiging van een grootschalige cyberoorlog en hybride aanvallen vergroot.

Breedlove pleit voor een versnelde versterking van de Europese defensiecapaciteiten, vooral op het gebied van luchtverdediging, inlichtingen, logistiek en cyberbeveiliging. Europa moet zich voorbereiden op een toekomst waarin de dreiging van Russische lucht- en cyberaanvallen niet afneemt, en waar landen zoals Nederland en België niet alleen afhankelijk kunnen zijn van de VS voor bescherming. De recente cyberaanvallen tegen Oekraïne, en de daarbij gebruikte technieken zoals drones en ransomware, dienen als waarschuwing voor Europa om de defensiecapaciteiten snel op te voeren.

Bovendien waarschuwt Breedlove dat de Europese landen meer verantwoordelijkheid moeten nemen voor hun eigen verdediging. Het signaal naar de VS moet duidelijk zijn: Europa moet laten zien dat het serieus is over het versterken van de eigen defensie-infrastructuur, zowel op het gebied van fysieke als digitale verdediging. Dit is essentieel om de samenwerking met de VS in stand te houden en om een toekomstig machtvacuüm te vermijden dat door vijandige staten zou kunnen worden benut.

De oproep van Breedlove om de Europese capaciteit op het gebied van cyberbeveiliging en nationale verdediging te versterken heeft directe implicaties voor landen als Nederland en België. Beide landen moeten niet alleen hun samenwerking met de VS voortzetten, maar ook eigen maatregelen nemen om zich voor te bereiden op de groeiende dreigingen, zowel fysiek als digitaal.

Bron 1

Een recente datalek van de door de Iraanse staat gesteunde groep Charming Kitten, ook wel bekend als APT35, heeft belangrijke interne documenten blootgelegd die de operaties van de groep onthullen. Deze gegevens bevatten informatie over sleutelfiguren binnen de groep, frontbedrijven die de activiteiten ondersteunen, en duizenden systemen die wereldwijd zijn gecompromitteerd. De gelekte bestanden bieden inzicht in de langlopende intrusiecampagnes van Iran’s Departement 40, onderdeel van de IRGC Intelligence Organization, die zich richt op cyber-espionage en gerichte operaties.

De gelekte documenten bevatten gedetailleerde informatie over de operaties van Charming Kitten, waaronder salarisstroken van de “Sisters Team” en de “Brothers Team,” die aantonen hoe de financiële structuren van de groep functioneren. De documenten onthullen ook hoe malware, verspreid via spear-phishing en vervalste documenten, systemen infecteert. De malware krijgt toegang tot e-mailservers, VPN-gateways en andere netwerkinfrastructuur van overheidskantoren, universiteiten en telecombedrijven, wat de omvang van de aanval benadrukt.

Naast de technologische details over de gebruikte infectiemechanismen, zoals PowerShell-scripts die de malware downloaden, worden in de gelekte gegevens ook doelwitlijsten en taakopdrachten voor de malware-aanvallen onthuld. Dit wijst erop dat Charming Kitten specifiek gericht is op diplomatieke, energie- en civiele netwerken, wat de strategische aard van de operaties benadrukt.

De malware, vaak verspreid via spear-phishing e-mails met vervalste inlogpagina's of malafide bijlagen, maakt gebruik van zogenoemde 'lures' om slachtoffers te misleiden. Zodra de gebruiker op de verleidingspoging in gaat, wordt toegang verkregen tot de systemen van het slachtoffer, wat leidt tot gegevensdiefstal en volledige controle over de apparaten.

De gelekte gegevens bieden nu een duidelijker beeld van hoe de aanvallers opereren en welke systemen ze targeten, wat een waardevol inzicht biedt in de manier waarop geld, management en malware samenkomen in cyber-espionagecampagnes van deze omvang.

Bron 1

Op 11 december 2025 heeft de hacktivistische groep NoName aangekondigd dat zij meerdere websites van Belgische gemeenten heeft aangevallen. De getroffen gemeenten zijn Bever, Drogenbos, Kraainem, Linkebeek, Mesen en Ronse. Het doel van deze cyberaanvallen was vermoedelijk om de online diensten van deze steden en gemeenten tijdelijk buiten gebruik te stellen door middel van Distributed Denial of Service (DDoS)-aanvallen.

DDoS-aanvallen zijn ontworpen om de servers van een doelwit te overspoelen met een enorme hoeveelheid verkeer, waardoor legitieme gebruikers geen toegang meer krijgen tot de getroffen websites. Deze vorm van cyberaanvallen wordt vaak gebruikt door hacktivistische groepen om politieke boodschappen over te brengen of om overheidsinstanties of bedrijven te destabiliseren. Het is op dit moment nog niet bekend welke specifieke doelstellingen de groep met deze aanvallen wilde bereiken, maar dergelijke aanvallen kunnen aanzienlijke gevolgen hebben voor de werking van publieke diensten.

Het is belangrijk dat lokale overheden en bedrijven alert blijven op dergelijke dreigingen, aangezien DDoS-aanvallen de continuïteit van essentiële diensten kunnen verstoren. De Belgische autoriteiten zijn inmiddels op de hoogte van de situatie en zullen de ontwikkelingen blijven volgen om verdere schade te voorkomen.

Duitsland heeft de Russische ambassadeur opgeroepen na beschuldigingen van sabotage, cyberaanvallen en inmenging in de verkiezingen. De Duitse regering heeft Moskou ook beschuldigd van het uitvoeren van desinformatiecampagnes. Volgens de Duitse woordvoerder van het ministerie van Buitenlandse Zaken, Martin Giese, is het doel van deze Russische aanvallen duidelijk: het is bedoeld om de samenleving te verdelen, wantrouwen op te wekken, afkeer te zaaien en het vertrouwen in democratische instellingen te ondermijnen.

Deze gerichte manipulatie van informatie is onderdeel van een breder scala aan activiteiten die door Rusland worden uitgevoerd om het vertrouwen in democratische processen in Duitsland te ondermijnen. Giese verwees naar eerdere beschuldigingen dat Rusland hybride oorlogvoering zou gebruiken om Europa te destabiliseren. De Russische militaire inlichtingendienst GRU wordt beschuldigd van een cyberaanval op de Duitse luchtverkeersleiding in 2024, uitgevoerd door de hackercollectief APT28, ook wel bekend als Fancy Bear. De GRU, die in verschillende landen gesanctioneerd is, wordt ook in verband gebracht met de bemoeienis bij de Amerikaanse verkiezingen in 2016, waar ze werden beschuldigd van het lekken van e-mails van de Democratische Partij.

Daarnaast meldde Giese dat de Duitse inlichtingendiensten geloven dat de GRU geprobeerd heeft de Duitse federale verkiezingen van februari 2025 te destabiliseren via een campagne genaamd “Storm 1516.” Deze campagne verspreidde kunstmatig gegenereerd pseudo-onderzoek, deepfake-beelden, valse journalistieke websites en gefabriceerde getuigenverklaringen op verschillende platforms.

De Duitse regering heeft aangekondigd dat er tegenmaatregelen zullen volgen voor deze hybride oorlogsvoering. Ze benadrukten dat de herhaalde en onaanvaardbare aanvallen door door de staat gecontroleerde Russische actoren met de sterkst mogelijke woorden worden veroordeeld. Duitsland blijft ook zijn steun aan Oekraïne versterken en zijn afschrikking en verdediging verder opbouwen.

Bron 1

Het Verenigd Koninkrijk heeft een nieuwe stap gezet in het versterken van zijn militaire inlichtingencapaciteiten door alle inlichtingendiensten te verenigen binnen één organisatie. Dit gebeurde met de oprichting van een nieuw hoofdkantoor voor militaire inlichtingendiensten in Wyton, Cambridgeshire. Het doel van deze centralisatie is het versnellen van het verzamelen, analyseren en delen van inlichtingen. De nieuwe eenheid, onder de Britse krijgsmacht, brengt militaire inlichtingen van de Koninklijke Marine, het Britse Leger en de Koninklijke Luchtmacht samen, en heeft als doel om een snellere en effectievere reactie op dreigingen mogelijk te maken. De oprichting van deze eenheid valt samen met een periode van toenemende dreigingen voor het VK, waaronder cyberaanvallen, gedestabiliseerde satellieten, maritieme dreigingen en desinformatie.

Deze ontwikkeling komt op het moment dat de NAVO-Secretaris-Generaal Mark Rutte een waarschuwing afgaf over de verslechterende veiligheidssituatie in Europa. Tijdens de Veiligheidsconferentie in München stelde hij dat Europa zich in een oorlogssituatie bevindt met Rusland, waarbij een aanval op een NAVO-lidstaat binnen vijf jaar waarschijnlijk is. Hij wees op de aanzienlijke toename van Russische militaire activiteiten, waaronder de lancering van duizenden drones en raketten tegen Oekraïne, en het opzetten van een productiecapaciteit voor duizenden aanvalsdrone per maand. De NAVO roept Europa op zich voor te bereiden op een oorlog van dezelfde omvang als de wereldoorlogen van de vorige eeuw. De NAVO's eigen verdedigingscapaciteiten kunnen volgens Rutte momenteel standhouden, maar de dreiging van Rusland blijft groot.

De oprichting van de nieuwe inlichtingeneenheid in het VK is een belangrijke stap in het versterken van de militaire capaciteiten van het land en het verbeteren van de samenwerking binnen de vijfde ogen-partners (Verenigde Staten, VK, Canada, Australië en Nieuw-Zeeland). Het nieuwe centrum is uitgerust met geavanceerde technologieën en een fusion centre ter grootte van een voetbalveld om informatie te verwerken en te analyseren. De Britse regering benadrukt dat de nieuwe structuur sneller en effectiever kan reageren op de groeiende dreigingen in de regio.

De oprichting van deze centrale inlichtingeneenheid komt bovendien op het moment dat de militaire inlichtingen in het VK te maken hebben met een stijging van vijandige inlichtingenactiviteiten, die meer dan 50% is toegenomen. De Britse strijdkrachten verwachten dat dit soort dreigingen in de komende jaren zullen blijven toenemen, gezien de geostrategische situatie en de voortdurende spanningen met Rusland.

Bron 1, 2

Hudson Rock heeft recent onthuld hoe de Lazarus Group, een Noord-Koreaanse APT-groep, gebruik heeft gemaakt van een netwerk voor desinformatie in Jemen, oorspronkelijk opgezet in 2019, om hun eigen cyberaanvallen uit te voeren. Het netwerk, bestaande uit valse nieuwswebsites zoals alnagm-press.com, werd in eerste instantie gebruikt voor het verspreiden van pro-Houthi-narratieven en valse informatie, waaronder nepverhalen over de dood van Israëlische beroemdheden. De websites waren ontworpen om verwarring te zaaien en politieke invloed uit te oefenen.

In 2020 werd een computer in Jemen besmet met de RedLine Stealer, een infostealer die toegang verkreeg tot beheerderswachtwoorden van de betrokken nieuwswebsites. Deze gestolen inloggegevens werden later aangekocht door de Lazarus Group, die gebruik maakte van deze bestaande infrastructuur voor hun eigen cyberoperaties. Door de gehackte websites als onderdeel van hun command-and-control-infrastructuur te gebruiken, verbergden ze hun kwaadaardige activiteiten, waaronder het hosten van phishingpagina's en het verspreiden van malware.

De Lazarus Group staat bekend om het gebruik van bestaande infrastructuren, zoals oude websites, om zich te verschuilen voor detectie door beveiligingssystemen. Dit incident toont aan hoe een eenvoudige infectie door een infostealer kan leiden tot een grootschalige cyberaanval, waarbij bestaande middelen worden ingezet voor spionage en cybercriminaliteit. Het benadrukt de gevaren van de "Infostealer naar APT-pijplijn", waarbij aanvallers gebruikmaken van gestolen gegevens om hun operaties op te schalen.

Dit voorval heeft bredere implicaties voor de wereldwijde cyberbeveiliging en vormt een waarschuwingssignaal voor de ernst van de dreigingen die ook Nederland en België kunnen beïnvloeden. Het onderstreept de noodzaak om bestaande infrastructuren te monitoren en te beschermen tegen kwaadaardige hergebruik door cybercriminelen.

Bron 1

De pro-Russische hacktivistengroep CyberVolk is terug met een nieuwe variant van hun ransomware genaamd VolkLocker, waarmee ze zowel Linux- als Windows-systemen aanvallen. Deze aanval volgt op een periode van inactiviteit in 2025, nadat de groep eerder werd gedwongen stil te zijn door handhavingsmaatregelen op Telegram. De terugkeer van de groep werd aangekondigd in augustus 2025, toen ze een geavanceerd ransomware-as-a-service (RaaS) platform introduceerden, dat zowel encryptiemogelijkheden als Telegram-gebaseerde automatiseringstools bevat.

De VolkLocker ransomware vertegenwoordigt een evolutie in de aanvalscapaciteiten van CyberVolk. Het platform is ontworpen om zowel Linux- als Windows-omgevingen aan te vallen, wat de aanvalspopulatie aanzienlijk vergroot. De ransomware is geschreven in Golang en biedt een cross-platform aanpak, wat het voor de groep mogelijk maakt om uiteenlopende infrastructuren van organisaties aan te vallen. Dit verhoogt de kans op succesvolle aanvallen, aangezien de malware in staat is om diverse besturingssystemen te compromitteren.

De basisversies van de ransomware bevatten geen obfuscatie, en de groep moedigt de operators aan om de UPX-packing techniek te gebruiken voor extra bescherming, in plaats van de cryptingskenmerken die normaal gesproken aanwezig zijn in concurrerende ransomware-aanbiedingen. Deze aanpak onthult een combinatie van snelle groei en operationele onvolwassenheid, waarbij de malware testartifacten bevat die wijzen op een gehaaste ontwikkeling. Dit geeft slachtoffers mogelijkheden voor herstel, aangezien de ransomware enkele zwakke plekken vertoont die kunnen worden geëxploiteerd.

Een van de opvallende kenmerken van VolkLocker is het gebruik van geavanceerde privilege escalation-technieken. Zodra de malware wordt uitgevoerd, probeert het verhoogde beheerdersrechten te verkrijgen via een manipulatie van het Windows-register. Door het "ms-settings" User Account Control-bypassmechanisme te gebruiken, kan de ransomware zich uitvoeren met administratorrechten, waardoor het toegang krijgt tot beveiligde systeemdirectories en bestanden. Het gebruik van deze techniek maakt het mogelijk om doelwitomgevingen te compromitteren zonder dat waarschuwingen voor de gebruiker worden geactiveerd.

Daarnaast voert de malware een uitgebreide omgevingsscan uit, waarbij het bekende virtualisatietools zoals VirtualBox, VMware en QEMU detecteert. Dit stelt de malware in staat om sandboxomgevingen te vermijden en zich uitsluitend te richten op productieomgevingen, waar de schade aanzienlijk kan zijn.

Organisaties worden aangespoord om robuuste detectiemechanismen en privileges te implementeren, evenals monitoring van toegang tot het register, om zich te beschermen tegen de geavanceerde aanvalsmethoden van VolkLocker. De groep blijkt met deze nieuwe ransomware zowel zijn bereik als zijn aanvalstechnieken te hebben uitgebreid, wat aangeeft dat CyberVolk zijn operaties heeft geprofessionaliseerd, hoewel de software nog steeds enkele grote zwakke punten vertoont die voor beveiligingsonderzoekers kansen bieden om deze aanvallen te stoppen.

Bron 1

Het hacktivistische groep CyberVolk is terug, en deze keer gebruiken ze Telegram-bots om hun ransomware-aanvallen te beheren. Oorspronkelijk afkomstig uit India, heeft de groep zich gepositioneerd als pro-Russisch, maar hun activiteiten vertonen steeds meer overeenkomsten met die van een middelgrote onderneming. Dit keer ligt de focus niet alleen op de verspreiding van ransomware, maar ook op de geautomatiseerde manier waarop ze hun tools verkopen en ondersteunen.

CyberVolk biedt ransomware-as-a-service (RaaS) aan onder de naam VolkLocker, en deze service is toegankelijk via Telegram-bots. In plaats van te vertrouwen op traditionele webdashboards of verborgen services, heeft de groep Telegram-kanalen en bots opgezet om het hele proces te automatiseren. Dit maakt het voor affiliates gemakkelijker om de ransomware te gebruiken, besmettingen te beheren, en slachtoffers te benaderen zonder de noodzaak voor ingewikkelde technische infrastructuren.

Het gebruik van Telegram heeft verschillende voordelen voor CyberVolk. Het stelt hen in staat om snel affiliates te werven, hun ransomware te verkopen, en de benodigde ondersteuning te bieden. Bovendien kunnen ze via deze kanalen ook hun marketingactiviteiten uitvoeren, waarbij ze prijzen, bundelaanbiedingen en nieuwe malwarefuncties promoten. Telegram biedt ook de mogelijkheid om met slachtoffers te communiceren via een eenvoudige chatinterface, wat de interactie met de slachtoffers vergemakkelijkt.

De prijsstelling voor hun RaaS-diensten varieert, afhankelijk van het type systeem dat wordt aangevallen. Zo kan een enkele licentie voor een besturingssysteem tussen de $800 en $1.100 kosten, terwijl een gecombineerde versie voor zowel Linux als Windows kan oplopen tot $2.200. Daarnaast bieden ze ook standalone tools aan, zoals RAT’s (Remote Access Tools) en keyloggers, die voor $500 per stuk te koop zijn.

Ondanks deze professionele aanpak vertoont de ransomware VolkLocker enkele zwaktes. Zo blijkt uit onderzoek dat de encryptiesleutel lokaal op het geïnfecteerde systeem wordt opgeslagen en niet wordt verwijderd, wat betekent dat slachtoffers hun bestanden mogelijk zelf kunnen herstellen zonder te betalen. Dit blijkt een kritieke fout in de implementatie te zijn, die vermoedelijk voortkomt uit de snelle ontwikkeling van de ransomware.

CyberVolk blijft groeien, ondanks deze technische gebreken. De groep lijkt zich snel aan te passen aan de automatiseringsmogelijkheden die Telegram biedt, wat hen in staat stelt hun activiteiten op te schalen zonder veel technische overhead. Het lijkt er echter op dat de groep moeite heeft om de kwaliteit van hun ransomware consistent te houden, aangezien testbestanden en andere artefacten soms aanwezig blijven in de live-deployments. Dit duidt op een gebrek aan kwaliteitscontrole bij het snel werven van nieuwe affiliates met beperkte vaardigheden.

Deze ontwikkelingen laten zien dat de dreiging van ransomware steeds geavanceerder en geautomatiseerder wordt, waarbij cybercriminelen hun operaties steeds efficiënter en met minder technische kennis kunnen uitvoeren.

Bron 1

Op 12 december 2025 heeft de hacker-groep NoName bekendgemaakt dat zij meerdere websites in België en Zweden hebben aangevallen via een Distributed Denial of Service (DDoS)-aanval. De getroffen websites behoren tot verschillende prominente organisaties, waaronder de Proximus Group, Telenet Group, ENGIE Electrabel, en het Directoraat-generaal Statistiek van België. Ook de websites van Alimak, de stad Lo-Reninge, de gemeente Linkebeek, en de politieke partij Mouvement Réformateur werden het doelwit van deze cyberaanvallen.

DDoS-aanvallen worden vaak ingezet om systemen te overbelasten door een grote hoeveelheid verkeer naar de doelwebsite te sturen, waardoor de website niet meer toegankelijk is voor legitieme gebruikers. Deze aanvallen kunnen ernstige verstoringen veroorzaken in de dienstverlening van de getroffen organisaties en leiden tot aanzienlijke schade aan hun reputatie en infrastructuur.

Het is onduidelijk wat de exacte motivatie van NoName is achter deze specifieke aanvallen. DDoS-aanvallen kunnen zowel politieke als financiële motieven hebben, en het is mogelijk dat deze actie verband houdt met de bredere context van geopolitieke spanningen of hacktivisme. Gezien de betrokkenheid van zowel overheidsinstellingen als bedrijven, is het ook mogelijk dat de aanvallen bedoeld zijn om aandacht te vestigen op specifieke kwesties of om de stabiliteit van digitale infrastructuur in deze landen te verstoren.

Dergelijke incidenten benadrukken de kwetsbaarheid van zowel publieke als private sectoren voor dit type cyberdreiging. Aanvallen zoals deze kunnen de afhankelijkheid van betrouwbare en veilige digitale platforms in gevaar brengen en bedrijven en overheden dwingen om hun cyberbeveiligingsmaatregelen voortdurend te versterken.

Duitsland heeft Rusland beschuldigd van het uitvoeren van een cyberaanval op het nationale luchtverkeersleidingssysteem en van pogingen om in de federale verkiezingen van februari 2025 in te grijpen. Volgens een woordvoerder van het Duitse ministerie van Buitenlandse Zaken is de Russische militaire inlichtingendienst verantwoordelijk voor de cyberaanval op het luchtverkeersleidingssysteem in augustus 2024. De aanval zou hebben als doel gehad de stabiliteit van het land te ondermijnen en de betrouwbaarheid van vitale infrastructuren aan te tasten.

Daarnaast wordt Rusland ervan beschuldigd via een desinformatiecampagne geprobeerd te hebben de verkiezingsuitslag te beïnvloeden. De campagne, die de naam Storm 1516 kreeg, richtte zich onder meer op belangrijke politieke figuren zoals Robert Habeck van de Groenen en Friedrich Merz, de huidige bondskanselier van Duitsland. Duitse inlichtingen zouden hebben aangetoond dat de campagne gebruik maakte van deepfakebeelden, vervalste onderzoeksresultaten en gefingeerde getuigenverklaringen, die verspreid werden via verschillende digitale platforms.

De beschuldigingen worden ondersteund door bewijs dat direct wijst naar de Russische militaire inlichtingendienst GRU, die eerder in verband werd gebracht met de hack van de Democratische Nationale Commissie in de Verenigde Staten in 2016. Duitsland heeft verklaard over "absoluut solide bewijzen" te beschikken, maar houdt verdere details achter om lopende inlichtingenoperaties niet in gevaar te brengen.

In reactie op de beschuldigingen heeft de Russische ambassade in Berlijn de beschuldigingen afgedaan als "grondloos, ongefundeerd en absurd", en ontkend dat Russische staatsstructuren of gerelateerde hackergroepen bij de aanvallen betrokken waren.

Als reactie op de aanvallen kondigde Duitsland aan een reeks tegenmaatregelen te nemen, waaronder het ondersteunen van nieuwe sancties tegen de betrokken hybride actoren. Vanaf januari 2026 zullen de EU-lidstaten de bewegingen van Russische diplomaten binnen de Schengenzone intensiever monitoren om de uitwisseling van inlichtingen te verbeteren en de veiligheid te waarborgen.

De situatie is een duidelijk voorbeeld van de steeds verder escalerende hybride oorlogvoering van Rusland, waarin cyberaanvallen en desinformatie worden ingezet als strategische wapens om politieke onrust te veroorzaken en democratische instellingen te ondermijnen.

Bron 1

Op 13 december 2025 heeft de hackergroep NoName meerdere DDoS-aanvallen opgeëist op verschillende websites in België. De doelwitten van deze aanvallen omvatten onder andere de stad Antwerpen, de provincie Luik, de provincie Limburg, de provincie Vlaams-Brabant, Wallonië, de regioleverancier, SABCA, KU Leuven, de belastingwebsite tax-on-web.be, de Allocated Bullion Exchange (ABX) en het Parlement van Wallonië.

De DDoS-aanvallen, die gericht zijn op het verstoren van de beschikbaarheid van websites door deze te overspoelen met verkeer, zijn een ernstige bedreiging voor de getroffen organisaties en de bredere digitale infrastructuur van België. DDoS-aanvallen kunnen aanzienlijke economische schade veroorzaken door de stillegging van belangrijke online diensten, wat bedrijven en overheidsinstellingen belet om hun taken efficiënt uit te voeren.

De NoName-groep is bekend om haar deelname aan cyberaanvallen, waarbij de groep vaak gebruik maakt van DDoS-technieken om websites en digitale diensten van grote organisaties plat te leggen. Deze incidenten benadrukken de toenemende dreiging van cyberaanvallen tegen zowel publieke als private sectoren in België.

Een recente cyberaanval heeft het Russische rekruteringssysteem ernstig verstoord, waardoor het mogelijk maandenlang niet functioneel zal zijn. Het systeem, dat wordt gebruikt om Russische mannen tussen de 18 en 30 jaar oud voor militaire dienst te rekruteren, bevat gegevens van meer dan 30 miljoen mensen. De hackers die de aanval uitvoerden hebben niet alleen toegang gekregen tot de data, maar ook tot de broncode, technische gegevens en interne communicatie van de softwareontwikkelaar Micord, het bedrijf dat verantwoordelijk is voor het systeem.

De aanval heeft grote gevolgen voor de Russische militaire rekrutering, aangezien het systeem de primaire manier was om willekeurig mannen op te roepen voor dienstplicht. Het ministerie van Defensie in Rusland heeft de hack echter ontkend, en benadrukt dat de rekrutering normaal doorgaat. Volgens de Russische anti-oorlogsactivist Grigory Sverdlin, die de stichting Idite Lesom leidt, kunnen de Russische autoriteiten nu geen nieuwe rekruten inzetten, wat een aanzienlijke verstoring van het rekruteringsproces betekent.

Het rekruteringssysteem had ook als doel om maatregelen te nemen tegen mannen die het leger probeerden te ontvluchten, zoals het opleggen van reisbeperkingen. Dit wordt gezien als een van de redenen waarom Rusland kampt met een aanzienlijke uitstroom van jonge mannen die proberen te ontsnappen aan militaire dienst. De aanval, die het systeem tijdelijk uitschakelt, heeft daardoor niet alleen invloed op de rekrutering van nieuwe soldaten, maar ook op de controle over degenen die proberen te ontvluchten.

De Russische overheid blijft de aanval ontkennen, maar onafhankelijke bronnen, zoals het onderzoeksplatform IStories, bevestigen dat de hack daadwerkelijk heeft plaatsgevonden en dat Micord betrokken is bij de ontwikkeling van het rekruteringssysteem. De komende maanden zullen dus een enorme uitdaging vormen voor de Russische militaire infrastructuur, waarbij de afwezigheid van het systeem mogelijk invloed heeft op de algehele operationele capaciteit.

Bron 1

Op 14 december 2025 heeft de hackercollectief NoName aangekondigd dat het verschillende websites in België heeft aangevallen met een gecoördineerde DDoS-aanval. De getroffen websites behoren tot verschillende Belgische gemeenten en bedrijven, waaronder de gemeenten Bever, Drogenbos, Kraainem, Linkebeek, Mesen, Ronse en Sint-Genesius-Rode. Ook de stad Lo-Reninge en andere organisaties zoals de Telenet-groep, ENGIE Electrabel en de Belgische directie-generaal voor statistieken werden getroffen.

DDoS-aanvallen, ofwel Distributed Denial of Service-aanvallen, worden vaak uitgevoerd met het doel de doelwebsites tijdelijk onbereikbaar te maken door hen te overstelpen met een overvloed aan verkeer. Het is nog onduidelijk of er enige schade is aangericht of dat er gegevens zijn gestolen tijdens de aanvallen.

De NoName-groep, die bekend staat om het uitvoeren van DDoS-aanvallen op overheidsinstellingen en bedrijven, heeft zich herhaaldelijk gericht op strategisch belangrijke infrastructuren in verschillende landen. Er zijn geen aanwijzingen dat de aanvallen een specifiek politiek of ideologisch doel hadden, maar dergelijke aanvallen kunnen aanzienlijke verstoringen veroorzaken voor de getroffen entiteiten, vooral in tijden van verhoogde cyberdreigingen.

De getroffen organisaties en gemeenten hebben aangegeven maatregelen te nemen om de aanval te mitigeren en de diensten zo snel mogelijk te herstellen. Verdere details over de omvang van de aanval en de gevolgen worden momenteel onderzocht door de Belgische autoriteiten.

In 2024 kreeg een Russische hackgroep toegang tot het besturingssysteem van een openbare waterfontein in Nederland. De aanval, die aanvankelijk onopgemerkt bleef, werd later onthuld door cyberbeveiligingsexperts. De hackers wisten via het kwetsbare besturingssysteem de controle over de fontein over te nemen. De groep, die bekend staat om haar cyberoperaties tegen kritieke infrastructuur, probeerde uiteindelijk toegang te krijgen tot meer systemen binnen de stad. Deze aanval maakt deel uit van een bredere trend van steeds vaker geavanceerde cyberaanvallen die niet alleen gericht zijn op financiële systemen, maar ook op openbare en vitale infrastructuren.

Het incident werd onderzocht door de relevante Nederlandse autoriteiten, die vaststelden dat de hack slechts in beperkte mate schade veroorzaakte. Desondanks wordt de aanval gezien als een waarschuwing voor de kwetsbaarheid van zogenaamde "smart" publieke voorzieningen, zoals digitale installaties die steeds vaker worden ingezet in steden. De incidenten zoals deze benadrukken de noodzaak van robuuste cyberbeveiliging voor al deze systemen. Gezien de geopolitieke context en de betrokkenheid van een Russische groep, heeft deze aanval ook bredere implicaties voor de nationale veiligheid en de bescherming van infrastructuur.

Bron 1

De toename van cyberdreigingen zette zich in 2025 door, waarbij het aantal DDoS-aanvallen in de eerste helft van het jaar aanzienlijk steeg, zowel qua omvang als intensiteit. Het Link11 European Cyber Report 2025 meldde dat digitale infrastructuren in Europa steeds meer onder druk staan door grootschalige aanvallen. In Nederland werd in het Cybersecuritybeeld Nederland 2025 een soortgelijke trend vastgesteld, waarbij de nadruk lag op de kwetsbaarheid van zowel publieke als private netwerken. Incidenten zoals datalekken, storingen bij bevolkingsonderzoeken en netwerkverstoringen door ongebruikelijke activiteiten lieten zien dat menselijke fouten en technische zwakheden organisaties zwaar kunnen treffen.

Link11 voorspelt voor 2026 vijf belangrijke trends die de beveiligingsagenda zullen domineren. Allereerst verwacht men dat DDoS-aanvallen steeds vaker als afleidingsmanoeuvre zullen worden ingezet. Cybercriminelen zullen deze aanvallen gebruiken om de aandacht van beveiligingsteams af te leiden terwijl ze tegelijkertijd complexere aanvallen uitvoeren, zoals datadiefstal of het installeren van malware. Het rapport benadrukt het belang van een geïntegreerde incidentrespons, waarbij niet alleen het verkeer, maar ook interne logs worden geanalyseerd, om dergelijke gecombineerde aanvallen tijdig te herkennen.

Daarnaast wordt de toename van API-first architecturen als een significant risico voor 2026 genoemd. API’s, die essentieel zijn voor moderne digitale diensten, vergroten de kans op misconfiguraties en andere kwetsbaarheden zoals scraping en credential stuffing. Vooral slecht beveiligde API’s vormen toegangspunten voor aanvallers, wat leidt tot verhoogde risico’s op datalekken en misbruik van bedrijfslogica. Organisaties die sterk afhankelijk zijn van API-integraties lopen een groter risico op dergelijke aanvallen.

De derde trend is de verschuiving naar meer geïntegreerde beveiligingstechnologieën. Waar voorheen losse oplossingen zoals WAF’s of DDoS-filters voldoende waren, zullen moderne aanvallen in 2026 steeds complexer worden. Link11 ziet daarom de opkomst van WAAP-platformen (Web Application and API Protection), die DDoS-mitigatie, WAF’s, botmanagement en API-beveiliging combineren. Deze geïntegreerde aanpak stelt beveiligingsteams in staat sneller afwijkingen te detecteren en effectief te reageren.

Met de groei van IoT-botnets en geautomatiseerde infrastructuren wordt de vierde trend gevormd door de noodzaak voor AI-gedreven mitigatie. DDoS-aanvallen zullen steeds groter, sneller en complexer worden, waardoor traditionele regelsystemen vaak niet voldoende zijn om nieuwe aanvalspatronen te herkennen. Link11 stelt dat alleen AI-gestuurde detectie en autonome mitigatie in staat zullen zijn om de snelheid en schaal van moderne aanvallen bij te benen.

De laatste voorspelling betreft de groeiende druk die nieuwe regelgeving op organisaties zal uitoefenen. De uitbreiding van wereldwijde cybersecuritywetgeving, zoals NIS2, vereist dat organisaties in 2026 sneller en aantoonbaar moeten rapporteren over incidenten. Dit omvat meldplichten binnen 72 uur en verplichtingen voor softwareleveranciers om veilig ontworpen software te leveren, evenals eisen rond de transparantie van softwarecomponenten, zoals Software Bills of Materials (SBOMs).

Link11 benadrukt dat de toename van DDoS-aanvallen als afleidingsmanoeuvre niet alleen een bedrijfsrisico vormt, maar ook een maatschappelijk probleem kan zijn, omdat het de beschikbaarheid van vitale digitale diensten in gevaar kan brengen. Samenwerking tussen overheden, bedrijven en securityleveranciers is volgens hen essentieel om de weerbaarheid van de digitale samenleving te versterken.

Bron 1

De Europese Unie heeft recent een nieuw sanctiepakket tegen Rusland aangekondigd, met een nadruk op de oliehandel en de Russische schaduwvloot. Dit pakket omvat echter ook sancties tegen specifieke individuen, waaronder John Mark Dougan, een voormalige hulpsheriff uit Palm Beach County, Florida. Dougan, die in 2009 zijn functie verloor na verschillende interne incidenten, waaronder misbruik van pepperspray en ongepaste gedragingen, heeft zijn toevlucht gezocht in Rusland, waar hij politiek asiel kreeg.

Sinds zijn verhuizing naar Rusland heeft Dougan zich aangesloten bij de Russische buitenlandse inlichtingendienst GROe en heeft hij zich gepositioneerd als een sleutelfiguur in de Russische cyberoorlog. Hij staat bekend om zijn betrokkenheid bij de verspreiding van desinformatie en propaganda, waarbij hij een netwerk van valse nieuwswebsites beheert die met behulp van artificiële intelligentie worden gevuld. Deze websites dragen bij aan de verspreiding van Russische propaganda en valse informatie, specifiek gericht op het zwartmaken van Oekraïne. Deze ‘nieuwsartikelen’ hebben in de afgelopen jaren miljoenen keren de wereld rond gereisd.

Dougan wordt gezien als een belangrijke speler in de Russische desinformatiecampagnes en zijn werk wordt geprezen door de Russische regering, die hem volgens rapporten heeft geëerd voor zijn bijdrage aan hun strategische doelstellingen. De EU-sancties tegen Dougan zijn een reactie op zijn rol in deze operaties en vormen een onderdeel van de bredere inspanningen om de Russische invloed in de digitale sfeer te beknotten.

Bron 1

Noord-Koreaanse hackers hebben meer dan $300 miljoen gestolen door zich voor te doen als vertrouwde crypto-figuren tijdens nep Zoom- en Microsoft Teams-vergaderingen. Deze aanvallen maken deel uit van een bredere trend waarbij social engineering-methoden worden gebruikt om crypto-bestuurders te misleiden. De hackers kapen Telegram-accounts, gebruiken herhaalde beelden van echte interviews en creëren technische storingen om slachtoffers zover te krijgen dat ze kwaadaardige software installeren.

De tactiek begint meestal met het hacken van een Telegram-account van een vertrouwde bron, bijvoorbeeld een investeerder of iemand die het slachtoffer eerder op een conferentie heeft ontmoet. De aanvallers sturen een nep-Calendly-link die het slachtoffer naar een Zoom- of Teams-vergadering leidt. Gedurende de vergadering zien slachtoffers wat lijkt op een live videobeeld van hun contactpersoon, maar in werkelijkheid is dit vaak een herhaald beeld van bijvoorbeeld een podcast of een publieke toespraak.

Na een zogenaamd technisch probleem stellen de aanvallers voor om de verbinding te herstellen door een bepaald script of software development kit (SDK) te downloaden. Het bestand bevat echter kwaadaardige software, die de hacker via een Remote Access Trojan (RAT) volledige controle geeft over het systeem. Hierdoor kunnen crypto-wallets worden leeggehaald en gevoelige gegevens zoals interne veiligheidsprotocollen worden gestolen. Deze gegevens kunnen vervolgens worden gebruikt om andere slachtoffers in het netwerk aan te vallen.

De aanval maakt gebruik van psychologische tactieken, waarbij de aanvallers vertrouwen winnen door zich voor te doen als betrouwbare zakelijke contacten. Onderzoekers waarschuwen dat elke vraag om software te downloaden tijdens een zakelijke videovergadering nu als een potentieel alarmsignaal voor een cyberaanval moet worden beschouwd.

Deze specifieke methode is onderdeel van een bredere aanvalsgolf van groepen die verbonden zijn met Noord-Korea, die naar schatting meer dan $2 miljard hebben gestolen uit de crypto-sector in het afgelopen jaar. Dit omvat onder andere de hack van Bybit.

Bron 1

De Duitse onderneming Quantum Systems en de Oekraïense Frontline Robotics hebben op 15 december 2025 een belangrijke stap gezet in hun samenwerking door een gezamenlijke productie van Oekraïense drones te lanceren in Duitsland. Deze drones, die specifiek zijn ontworpen voor de Oekraïense strijdkrachten, worden op industriële schaal geproduceerd in een nieuwe fabriek, Quantum Frontline Industries (QFI), die volledig geautomatiseerd zal werken.

De productie van drones in Duitsland, die al zijn getest op het slagveld, zal plaatsvinden onder de 'Build with Ukraine'-initiatief. Deze samenwerking stelt de Oekraïense strijdkrachten in staat om drones op grote schaal te ontvangen, waarbij 100% van de geproduceerde systemen naar Oekraïne zal gaan, zoals bepaald door het Ministerie van Defensie van Oekraïne.

Hoewel deze productie zich richt op de Oekraïense defensie, heeft dit project implicaties voor de bredere cybersecurity-situatie. De massaproductie van geavanceerde drones kan namelijk ook een potentieel doelwit vormen voor cyberaanvallen. Drones, die vaak verbonden zijn met netwerken en communicatiesystemen, kunnen kwetsbaar zijn voor digitale aanvallen, waardoor zowel de productieprocessen als de operaties van deze drones onder druk kunnen komen te staan. Dit geldt zowel voor de beveiliging van de productiefaciliteiten als voor de bescherming van de drones zelf tegen hacking en sabotage.

De partners in dit project benadrukken dat de samenwerking niet alleen Oekraïense innovatie en Duitse industriële capaciteiten combineert, maar ook werkgelegenheid creëert, zowel in Duitsland als voor Oekraïense arbeiders. Deze ontwikkeling markeert een belangrijke stap in de Europese drone-industrie, waarbij de technologieën die eerst op het slagveld werden getest, nu op industriële schaal worden geproduceerd.

Gegeven de geopolitieke context en de mogelijke risico’s voor de beveiliging van deze technologieën, is het van belang om ook aandacht te besteden aan de risico’s die gepaard gaan met de digitale beveiliging van dergelijke geavanceerde systemen. De veiligheid van zowel de productie als de inzet van drones moet onder strenge digitale controle blijven, aangezien deze technologieën steeds vaker een doelwit zijn voor cyberaanvallen.

Bron 1

De nieuwe chef van de Britse inlichtingendienst MI6 heeft in haar eerste openbare toespraak een ernstige waarschuwing gegeven over de toenemende dreiging die Rusland vormt. Volgens de MI6-hoofd, Blaise Metreweli, is de vastberadenheid van president Vladimir Putin om chaos wereldwijd te exporteren een strategisch kenmerk van Rusland's benadering van internationale betrekkingen. Metreweli benadrukt dat de gevolgen hiervan verstrekkend zijn, aangezien het de regels van conflicten herschrijft en nieuwe beveiligingsuitdagingen creëert voor landen zoals het Verenigd Koninkrijk.

Metreweli, die in september het leiderschap van MI6 overnam, waarschuwde dat de wereld zich moet voorbereiden op de voortzetting van deze chaos totdat Putin zijn benadering heroverweegt. Ze benadrukte ook dat technologische deskundigheid en menselijke inlichtingen cruciaal zijn om hybride dreigingen, zoals die van Rusland, effectief te bestrijden. MI6-agenten moeten zowel bedreven zijn in programmeercodes als in het omgaan met menselijke bronnen, aldus Metreweli.

Haar toespraak komt te midden van een bredere internationale bezorgdheid over de hybride dreiging van landen zoals Rusland, Iran en China. Deze landen maken steeds meer gebruik van cybertools, spionage en beïnvloedingsoperaties die volgens westerse autoriteiten een bedreiging vormen voor de wereldwijde stabiliteit. De recente sancties van het VK tegen Russische mediakanalen en Chinese technologiebedrijven, die worden beschuldigd van grootschalige cyberactiviteiten, benadrukken deze trend.

Metreweli's toespraak is een onderdeel van een serie waarschuwingen van westerse defensie- en veiligheidsautoriteiten over de groeiende dreiging van staten die hybride oorlogvoering toepassen. De situatie wordt steeds complexer en onvoorspelbaarder, wat vraagt om een versnelde en gecoördineerde respons van de internationale gemeenschap.

Bron 1

De Franse minister van Binnenlandse Zaken heeft op vrijdag bevestigd dat het ministerie het slachtoffer is geworden van een cyberaanval, waarbij de e-mailservers van de organisatie zijn gecompromitteerd. De aanval werd tussen donderdag 11 december en vrijdag 12 december 2025 ontdekt en heeft mogelijk toegang verschaft tot enkele documenten. Hoewel het nog niet duidelijk is of er gegevens zijn gestolen, heeft het ministerie onmiddellijke maatregelen genomen door de beveiligingsprotocollen te verscherpen en de toegangsbeveiliging van de informatiesystemen van het ministerie te versterken.

De Franse autoriteiten hebben een onderzoek geopend om de oorsprong en omvang van de aanval te achterhalen. Minister Laurent Nuñez gaf aan dat de onderzoekers verschillende mogelijkheden onderzoeken, waaronder buitenlandse inmenging, activisten die de kwetsbaarheden in de systemen willen aantonen, of cybercriminaliteit. Het Franse ministerie van Binnenlandse Zaken heeft de verantwoordelijkheid over de politiediensten en de interne veiligheid, waardoor het een aantrekkelijke doelwit is voor zowel staatsgeoriënteerde hackers als cybercriminelen.

In april van dit jaar wees Frankrijk een grootschalige hackcampagne toe aan de APT28-hackgroep, die banden heeft met de Russische militaire inlichtingendienst GRU. Deze groep had in de afgelopen jaren meerdere Franse entiteiten aangevallen, wat de geopolitieke gevoeligheid van de recente aanval benadrukt. Gezien de aard van de betrokkenheid van staatsgeoriënteerde hackers bij eerdere aanvallen, blijft het onduidelijk of deze aanval eveneens aan een nationaal conflict is gerelateerd. De Franse autoriteiten zetten hun inspanningen voort om de zaak grondig te onderzoeken.

Bron 1

In de afgelopen dagen heeft het threat intelligence-team van Google vijf nieuwe Chinese hackinggroepen gelinkt aan aanvallen die gebruik maken van de React2Shell-kwetsbaarheid. Deze kwetsbaarheid, met de naam CVE-2025-55182, wordt beschouwd als een van de meest kritieke beveiligingslekken in de React open-source JavaScript-bibliotheek. De kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige code uit te voeren in React- en Next.js-applicaties met een enkele HTTP-aanroep, zonder dat er een gebruiker hoeft in te loggen.

React2Shell heeft zich snel verspreid nadat het lek werd ontdekt, met aanvallen die gericht zijn op versies van React die recent zijn uitgebracht, namelijk 19.0, 19.1.0, 19.1.1 en 19.2.0. In de weken na de bekendmaking van de kwetsbaarheid meldden verschillende beveiligingsorganisaties, waaronder Palo Alto Networks, dat tientallen organisaties werden getroffen. Dit omvatte incidenten die vermoedelijk door door de staat gesteunde Chinese dreigingsactoren werden uitgevoerd.

Naast de eerder genoemde groepen, zoals Earth Lamia en Jackpot Panda, heeft Google nu vijf extra groepen geïdentificeerd: UNC6600, UNC6586, UNC6588, UNC6603 en UNC6595. Deze groepen hebben diverse aanvallen uitgevoerd, waaronder het inzetten van malware zoals MINOCAT-tunnelingsoftware en het COMPOOD-backdoor-payload. De kwetsbaarheid is met name zorgwekkend vanwege de brede toepasbaarheid in populaire frameworks zoals Next.js, die React Server Components gebruiken.

Ondertussen is de Shadowserver Internet Watchdog begonnen met het volgen van meer dan 116.000 kwetsbare IP-adressen, waarvan een groot aantal zich in de Verenigde Staten bevindt. Organisaties wereldwijd worden aangemoedigd om hun systemen bij te werken en zich bewust te zijn van de wereldwijde dreiging die React2Shell met zich meebrengt. Het gebruik van deze kwetsbaarheid wordt ook gepromoot op verschillende ondergrondse forums, waar aanvallers scan-tools en proof-of-concept code delen.

In een andere ontwikkeling heeft Cloudflare een wereldwijde website-uitval gekoppeld aan noodmaatregelen die werden genomen om React2Shell-aanvallen te mitigeren. Deze aanvallen benadrukken de kritieke noodzaak voor een snelle reactie en patchbeheer binnen de ontwikkelgemeenschap, vooral gezien het feit dat aanvallers snel gebruik maken van kwetsbaarheden zodra deze openbaar worden gemaakt. De dreiging blijft actief en de achterliggende hackinggroepen blijven hun technieken verfijnen en uitbreiden.

Bron 1, 2

Onderzoekers in de cybersecurity hebben details vrijgegeven van een actieve phishingcampagne die gericht is op een breed scala aan sectoren in Rusland, met name de financiële en aanverwante sectoren. De aanvallen maken gebruik van phishing-e-mails met ISO-bestanden die de Phantom Stealer-malware verspreiden. De campagne, die de codenaam Operation MoneyMount-ISO heeft gekregen, richt zich vooral op financiële en boekhoudkundige instellingen. Secundaire doelwitten zijn onder meer bedrijven in de inkoop-, juridische en salarisverwerkingssectoren.

De aanvallen beginnen met een phishing-e-mail die zich voordoet als een legitieme financiële communicatie. De ontvangers worden aangespoord om een recente bankoverboeking te bevestigen. De e-mail bevat een ZIP-archief dat beweert aanvullende details te bevatten, maar in plaats daarvan een ISO-bestand bevat. Wanneer dit ISO-bestand wordt geopend, wordt het gemount als een virtuele cd-drive en wordt de Phantom Stealer-malware uitgevoerd via een ingebouwde DLL ("CreativeAI.dll").

Phantom Stealer is in staat om gegevens te stelen uit cryptocurrency-wallet-extensies in op Chromium gebaseerde browsers en desktopwallet-apps. Daarnaast kan de malware bestanden, Discord-authenticatietokens, wachtwoorden, cookies en creditcardgegevens van de browser onderscheppen. Het bewaakt ook het klembord, legt toetsaanslagen vast en voert controles uit om virtuele omgevingen of sandboxes te detecteren. Als dergelijke omgevingen worden gedetecteerd, stopt de malware zijn uitvoering. De gestolen gegevens worden via een Telegram-bot of een Discord-webhook naar de aanvaller gestuurd, en daarnaast worden bestanden overgedragen naar een FTP-server.

In de afgelopen maanden zijn ook Russische organisaties, met name afdelingen voor personeelsbeheer en salarisadministratie, doelwit geworden van phishing-e-mails die beloven bonussen of interne financiële regelingen te bevestigen. Deze aanvallen gebruiken een implantaat, DUPERUNNER, dat een open-source command-and-control-framework (AdaptixC2) laadt. Deze aanvallen zijn gelinkt aan het bedreigingscluster UNG0902.

Andere phishingcampagnes richten zich op sectoren zoals de juridische en luchtvaartindustrie in Rusland, waarbij tools zoals Cobalt Strike en Formbook worden ingezet om gegevens te stelen en controle over de systemen te krijgen. De e-mailservers van gecompromitteerde Russische bedrijven worden gebruikt om de spear-phishingberichten te versturen.

De waakzaamheid en verdediging tegen dergelijke gerichte aanvallen is cruciaal, vooral voor organisaties die met gevoelige financiële gegevens werken.

Bron 1

Op 15 december 2025 werd een waarschuwing voor DDoS-aanvallen (Distributed Denial of Service) gemeld, waarbij de hacker-groep SERVER KILLERS beweerde meerdere websites in België te hebben aangevallen. De getroffen bedrijven zijn onder andere Eneco België, Elia Transmission België, Luminus, Mega, Aspiravi Energy, Belpower, Comfort Energy en Ecopower. Deze aanvallen verstoren de werking van de betrokken websites en kunnen leiden tot verstoringen in de dienstverlening, hoewel de impact op de gebruikerservaring op dit moment nog niet volledig is vastgesteld. DDoS-aanvallen, die gericht zijn op het tijdelijk onbereikbaar maken van websites door ze te overspoelen met verkeer, zijn een veelgebruikte tactiek van cybercriminelen om organisaties onder druk te zetten. Het is niet bekend of er specifieke eisen zijn gesteld door de aanvallers, maar de keuze voor energiebedrijven wijst mogelijk op strategische doelstellingen.

De Europese Unie heeft recentelijk haar sancties tegen Rusland aangescherpt in reactie op de voortgaande hybride oorlogsvoering die het land voert. De nieuwe maatregelen richten zich specifiek op personen en entiteiten die betrokken zijn bij desinformatiecampagnes, cyberaanvallen en elektronische oorlogsvoering die gericht zijn op het destabiliseren van Europa. De Europese Raad beschrijft deze acties als een reactie op Rusland’s voortdurende inzet van buitenlandse informatiebeïnvloeding en cyberaanvallen, die volgens de EU gericht zijn op het ondermijnen van democratische instituties en kritieke systemen in Europa.

Onder de nieuwe sancties bevinden zich 12 individuen en 2 entiteiten die volgens de Europese Raad verantwoordelijk zijn voor het verspreiden van pro-Kremlin propaganda en het uitvoeren van schadelijke cyberoperaties. De sancties zijn een directe reactie op de dreiging die de Russische hybride oorlogvoering vormt voor de stabiliteit van de Europese Unie, haar lidstaten en haar partners.

De nieuwe maatregelen richten zich op een breed scala aan betrokkenen, waaronder buitenlandse beleidsanalisten die verbonden zijn aan instituties, denktanks en universiteiten die nauw samenwerken met het Kremlin, evenals online beïnvloeders die beschuldigd worden van het verspreiden van valse informatie en complottheorieën over de oorlog in Oekraïne. Een van de genoemde individuen is Diana Panchenko, een Oekraïens-geboren mediafiguur die wordt beschuldigd van het verspreiden van anti-Oekraïense en pro-Kremlin boodschappen. Haar content wordt vaak gelinkt aan cyberaanvallen die door Rusland zijn uitgevoerd, waarbij traditionele uitzendingen werden verstoord.

Ook worden in de sancties een aantal Russische militaire eenheden genoemd, waaronder het 142e Separate Electronic Warfare Battalion, dat verantwoordelijk wordt gehouden voor het verstoren van communicatie en GPS-signalen in verschillende EU-lidstaten. Daarnaast worden er drie leden van de Russische militaire inlichtingendienst GRU genoemd, die betrokken zouden zijn bij cyberaanvallen op Oekraïense overheidsinstellingen en die gericht waren op het verkrijgen van gevoelige informatie om politieke systemen te destabiliseren.

Als gevolg van de sancties worden de betrokkenen getroffen door bevriezing van activa en reisverboden, wat hen verhindert om in de EU te opereren. Tot nu toe zijn 59 individuen en 17 entiteiten getroffen door de EU-sancties die verband houden met Rusland’s destabiliserende activiteiten. De EU heeft de intentie om deze maatregelen voort te zetten en uit te breiden, om zo de effectiviteit van haar reactie op de Russische hybride dreigingen te versterken.

De Europese Commissie heeft aangegeven dat de hybride dreigingen van Rusland sinds de grootschalige invasie van Oekraïne in 2022 zijn toegenomen en dat de EU en haar lidstaten alle beschikbare middelen zullen blijven inzetten om deze dreigingen te voorkomen en tegen te gaan.

Bron 1, 2

Op 16 december 2025 ontkende het Kremlin dat een Oekraïense onderwaterdrone-aanval, uitgevoerd op een Russische onderzeeboot in de haven van Novorossiysk, ernstige schade had veroorzaakt. De Russische Defensie beweerde dat de aanval geen effect had gehad en dat alle onderzeeboten in de Zwarte Zeevloot zonder problemen hun operaties voortzetten. Echter, bewijsmateriaal van onafhankelijke bronnen wijst op aanzienlijke schade aan de getroffen onderzeeboot, wat de potentie van nieuwe technologieën zoals onbemande onderwatervoertuigen (UUV) in moderne conflicten benadrukt.

De aanval, uitgevoerd door de Oekraïense veiligheidsdienst SBU met behulp van een op afstand bestuurde kamikazeboot, werd gepresenteerd met bewijs in de vorm van een video, waarin de explosie en de nasleep van de aanval op de Varshavyanka-klasse onderzeeboot duidelijk te zien zijn. Dit incident, waarbij voor het eerst een UUV werd ingezet om een onderzeeboot aan te vallen, markeert een belangrijke ontwikkeling in de inzet van technologie in militaire operaties. De gebruikte drone kan zich volledig onder water verplaatsen, wat het vermogen heeft om conventionele barrières te omzeilen, zoals boeien of drijvende barrières.

Satellietbeelden van de getroffen locatie ondersteunen de claims van de Oekraïense autoriteiten, met bewijs van beschadigingen aan de kade en de onderzeeboot, evenals de aanwezigheid van patrouilleboten die de schadegebied afzochten. Experts, waaronder het Institute for the Study of War (ISW), hebben bevestigd dat de aanval aanzienlijke schade aan de onderzeeboot heeft veroorzaakt, wat de kwetsbaarheid van maritieme militaire technologie in de Zwarte Zee verder blootlegt.

Dit incident heeft niet alleen een geopolitieke impact, maar biedt ook belangrijke inzichten in de evolutie van cyberbeveiliging en militaire technologie. De inzet van onbemande systemen in aanvallen zal naar verwachting meer invloed hebben op de manier waarop digitale en fysieke aanvallen zich ontwikkelen in toekomstige conflicten. Bovendien zou dit incident kunnen wijzen op de groeiende rol van cyberdreigingen en hybride aanvallen, waarbij technologie zoals drones, robots en hackingtechnieken steeds meer worden geïntegreerd in militaire strategieën.

De ontwikkelingen rondom deze aanval geven aan dat de technologische innovaties, zoals het gebruik van drones in combinatie met cyberinfrastructuur, zowel het militaire als het civiele domein kunnen beïnvloeden. Dit benadrukt de noodzaak voor landen, inclusief Nederland en België, om zich voor te bereiden op de implicaties van dergelijke hybride dreigingen in toekomstige conflicten.

Bron 1

Tijdens een toespraak in de Tweede Kamer op 16 december 2025 benadrukte de Oekraïense president Volodymyr Zelensky de cruciale rol van voortdurende steun van Nederland in de strijd tegen de Russische invasie. Hij stelde dat de steun van westerse landen, met name in militaire, financiële en politieke zin, nu net zo belangrijk is als aan het begin van de oorlog. Terwijl de diplomatieke onderhandelingen over een mogelijk vredesakkoord steeds intenser worden, waarschuwde Zelensky dat de druk op de internationale gemeenschap om Oekraïne te steunen niet mag afnemen. De Oekraïense verdediging is volgens hem in deze fase van de oorlog even beslissend als tijdens de eerste maanden van de oorlog.

Zelensky sprak na uitgebreide gesprekken met de Amerikaanse en Europese bondgenoten, waaronder de Nederlandse premier Dick Schoof. Hij benadrukte dat Oekraïne afhankelijk is van blijvende internationale steun om zowel de verdediging van het land voort te zetten als om gerechtigheid te verkrijgen voor de door Rusland veroorzaakte verwoestingen. De Oekraïense president bedankte Nederland voor zijn voortdurende hulp en hoopte in de toekomst terug te keren om de bijdrage aan de vrede te waarderen.

In zijn toespraak legde Zelensky de nadruk op het belang van gerechtigheid in een vredesregeling. Hij stelde dat Oekraïne geen vrede kan accepteren zonder verantwoordelijkheid van Rusland voor de schade die het heeft aangericht, waarbij hij onder andere verwees naar de neerhalingen van vlucht MH17, waarbij in 2014 298 mensen omkwamen, veelal Nederlandse staatsburgers. Dit benadrukte de noodzaak voor een internationaal schadevergoedingprogramma voor de slachtoffers van de Russische agressie.

Ondanks een staande ovatie van de meerderheid van de parlementariërs, weigerden sommige leden, waaronder van de PVV en de BBB, te applaudisseren. PVV-leider Geert Wilders herhaalde na de toespraak dat Nederland volgens hem de steun aan Oekraïne zou moeten stoppen, waarbij hij tevens verklaarde dat Oekraïne nooit lid van de EU of de NAVO zou moeten worden. De partij Forum voor Democratie was volledig afwezig bij de toespraak, verwijzend naar het evenement als een "gemaskerde vertoning van steun" voor Zelensky.

Zelensky’s bezoek vond plaats in de bredere context van de Nederlandse nadruk op internationale allianties en collectieve veiligheid. De Nederlandse regering heeft aangegeven dat de oorlog in Oekraïne een directe impact kan hebben op de nationale veiligheid van Nederland en heeft gewaarschuwd dat een escalatie van het conflict zou kunnen leiden tot de inwerkingtreding van Artikel 5 van de NAVO, wat de verplichting tot militaire bijstand aan andere lidstaten inhoudt. In dit verband benadrukte Zelensky dat de strijd van Oekraïne tegen de Russische agressie onlosmakelijk verbonden is met de bredere veiligheid van Europa, en dat blijvende solidariteit essentieel blijft naarmate de oorlog een kritiek punt bereikt.

Bron 1

NoName057(16), een pro-Russische hackerorganisatie, heeft zich gepositioneerd als een aanzienlijke bedreiging voor NAVO-lidstaten en Europese organisaties. De groep, ook wel bekend als 05716nnm of NoName05716, is sinds maart 2022 actief en voert gedistribueerde denial-of-service (DDoS) aanvallen uit, voornamelijk gericht op landen die zich verzetten tegen Russische geopolitieke belangen. De aanvallen worden uitgevoerd met de DDoSia-botnet, een crowdsourced netwerk van computers dat via Telegram-kanalen vrijwilligers werft om deel te nemen aan de aanvallen.

De DDoSia-tool onderscheidt zich van traditionele botnets doordat het een gebruiksvriendelijke aanvalsmethode biedt, waarmee individuen met weinig technische kennis ook in staat zijn om grootschalige aanvallen uit te voeren. De deelnemers worden beloond met cryptocurrency voor hun bijdrage, wat het model bijzonder effectief maakt voor het schalen van aanvallen. De groep heeft de capaciteit om dagelijks ongeveer 50 unieke doelwitten aan te vallen, met een sterke focus op overheidsinstellingen, transport en telecommunicatie, wat 41% van de doelwitten uitmaakt.

De operationele infrastructuur van DDoSia maakt gebruik van een robuust, gelaagd systeem dat ontworpen is om detectie en mitigatie te voorkomen. Het eerste niveau van het systeem bestaat uit publieke command-and-control servers die communiceren met DDoSia-klanten, waarvan de levensduur gemiddeld negen dagen is, maar die vaak dagelijks worden gewisseld. Het tweede niveau bestaat uit backend-servers die de kernlogica en doelwitten bevatten, waarvan de toegang strikt wordt gecontroleerd.

De meeste aanvallen maken gebruik van TCP-floods en technieken op applicatielaag, waarbij poorten 443 en 80 verantwoordelijk zijn voor 66% van het verkeer. Landen zoals Oekraïne, Frankrijk, Italië, Zweden en Duitsland worden het vaakst getroffen, waarbij Oekraïne het grootste aandeel van de aanvallen vertegenwoordigt (29,47%). De activiteit van de groep is te relateren aan Russische werktijden, wat suggereert dat de aanvallen gecoördineerd worden door Russische belangen.

Bron 1

Armenië heeft recentelijk de Europese Unie om steun gevraagd om "kwade invloeden" in haar aankomende verkiezingen te bestrijden. De oproep komt te midden van een verergerende situatie in de regio, waarin buitenlandse inmenging, waaronder desinformatiecampagnes, cyberaanvallen en illegale financiering, steeds vaker voorkomt. De EU heeft Armenië aangeboden om de nodige ondersteuning te bieden, vergelijkbaar met de steun die aan Moldavië werd verleend bij de parlementsverkiezingen van september 2025. Deze steun richt zich op het versterken van de cyberbeveiliging en het beschermen van de democratische processen tegen externe bedreigingen.

Kaja Kallas, de hoogste diplomaat van de EU, benadrukte dat Armenië te maken heeft met dezelfde vormen van buitenlandse inmenging als Moldavië, waarbij de EU zich inzet voor de detectie en reactie op desinformatie en cyberdreigingen. Deze steun kan als een model dienen voor andere Europese landen die zich ook bedreigd voelen door hybride dreigingen, waaronder Nederland en België. In een tijd van groeiende geopolitieke spanningen en hybride oorlogsvoering, is het essentieel voor EU-lidstaten om dergelijke bedreigingen gezamenlijk aan te pakken.

Met de recente verschuivingen in de betrekkingen van Armenië met Rusland, dat traditioneel een strategische partner was, zoekt het land steeds vaker samenwerking met westerse democratieën. De EU biedt niet alleen politieke en diplomatieke steun, maar ook concrete hulp bij het versterken van de weerbaarheid tegen cyberaanvallen en andere vormen van buitenlandse inmenging. Dit benadrukt de cruciale rol van de EU in het beschermen van de integriteit van verkiezingsprocessen binnen Europa.

De situatie in Armenië en de steun van de EU kunnen ook van belang zijn voor Nederland en België, aangezien de dreiging van cyberaanvallen en desinformatie steeds groter wordt, vooral met het oog op de komende verkiezingen in deze landen. Het versterkt de boodschap dat cyberbeveiliging en het bestrijden van desinformatie belangrijke aandachtspunten blijven voor alle Europese landen.

Bron 1

Op 16 december 2025 werd de eerste Oostflank-top gehouden in Helsinki, waar de leiders van Polen, Finland, Zweden, de Baltische staten, Bulgarije en Roemenië bijeenkwamen. De regionale veiligheid stond centraal in de gesprekken, vooral met het oog op de aanhoudende dreiging van Rusland voor de Europese stabiliteit en veiligheid. De leiders waarschuwden dat Rusland een 'bufferzone' wil creëren, van de Arctische regio tot de Middellandse Zee, wat volgens hen een directe en langdurige dreiging vormt voor de Europese veiligheid.

Deze ontwikkelingen zijn van belang voor de digitale veiligheid van de regio. De verschuiving in de geopolitieke situatie kan leiden tot verhoogde cyberdreigingen, waaronder aanvallen op kritieke infrastructuur, zoals energie- en communicatiesystemen. De Oostflanklanden benadrukten dat de bescherming van hun grenzen niet alleen een nationale verantwoordelijkheid is, maar een gezamenlijke Europese taak, die ook versterking van cybercapaciteiten vereist.

In hun gezamenlijke verklaring benadrukten de leiders de noodzaak van gecoördineerde actie en samenwerking tussen de NAVO en de EU. Naast de traditionele militaire initiatieven wordt ook de versterking van digitale defensie als essentieel beschouwd. Dit geldt bijvoorbeeld voor de versterking van de Oostelijke Schild van Polen en de Baltische Defensielijn, die belangrijke maatregelen bevatten om digitale en fysieke aanvallen vanuit Rusland tegen te gaan.

Het belang van een stevige cyberverdediging wordt steeds duidelijker, vooral als de regio zich voorbereidt op een eventuele escalatie van cyberaanvallen. De leiders van de Oostflanklanden gaven aan dat deze maatregelen niet alleen gericht moeten zijn op fysieke grenzen, maar ook op digitale grenzen, waar een gecoördineerde Europese inspanning vereist is.

Bron 1

Amazon heeft recent actief ingegrepen in een campagne van Russische hackers die aan de militaire inlichtingendienst GRU zijn verbonden. De hackers richtten zich op de cloudinfrastructuur van klanten van Amazon, waarbij ze aanvielen via netwerkrandapparaten. Deze aanvallen werden voornamelijk gericht op kritieke infrastructuur in het Westen, met een focus op de energiesector, en vonden plaats vanaf 2021.

Aanvankelijk maakte de dreigingsactor gebruik van bekende kwetsbaarheden en zero-days om toegang te verkrijgen. Later evolueerden de aanvallen en richtten ze zich meer op verkeerd geconfigureerde netwerkrandapparaten, zoals routers, VPN-gateways en netwerkbeheersystemen, voor toegang. Dit bleek een strategische zet te zijn om persistent toegang te verkrijgen tot vitale netwerken en inloggegevens te verzamelen voor verdere toegang tot online diensten van de slachtoffers.

Volgens CJ Moses, de Chief Information Security Officer van Amazon Integrated Security, is het gebruik van kwetsbaarheden afgenomen in 2025. In plaats daarvan concentreerden de aanvallers zich steeds meer op verkeerd geconfigureerde apparaten bij klanten, die vaak blootgestelde beheerdersinterfaces hadden. Dit stelde de hackers in staat om met minimale middelen toegang te krijgen tot de netwerken van hun slachtoffers en laterale bewegingen te maken binnen die netwerken.

De evolutie van deze aanvallen geeft aan dat de dreigingsactoren hun tactieken hebben aangepast om efficiënter te werk te gaan, zonder daarbij de uiteindelijke doelstellingen te veranderen: het stelen van inloggegevens en het behouden van toegang tot vitale infrastructuren. Amazon vermoedt dat de betrokken hackers deel uitmaken van de groep Curly COMrades, die eerder in verband werd gebracht met de Russische GRU en die een bredere operatiestrategie heeft, inclusief post-compromis activiteiten.

Amazon heeft onmiddellijk actie ondernomen nadat de aanvallen werden gedetecteerd. Ze beschermden de getroffen AWS EC2-instanties en waarschuwden de getroffen klanten. Verder deelden ze hun bevindingen met de getroffen leveranciers en industriële partners. Ondanks dat de aanvallen geen zwakheden in de AWS-diensten zelf exploiteerden, adviseerde Amazon specifieke maatregelen om verder misbruik van deze aanvallen te voorkomen, zoals het isoleren van beheerdersinterfaces en het verbeteren van het beveiligingsbeheer in de netwerkinstellingen van klanten.

Bron 1

De diefstal van cryptovaluta heeft in 2025 een nieuwe recordhoogte bereikt, waarbij Noord-Koreaanse actoren een centrale rol spelen. In totaal werd er dit jaar voor meer dan 3,4 miljard dollar aan digitale activa ontvreemd. Een aanzienlijk deel van dit bedrag, ongeveer 2,02 miljard dollar, is toe te schrijven aan hackers uit de Democratische Volksrepubliek Korea (DPRK). Dit betekent een stijging van 51 procent ten opzichte van het voorgaande jaar en brengt het cumulatieve totaal aan door Noord-Korea gestolen cryptofondsen op minstens 6,75 miljard dollar.

Opvallend is dat de stijging in buit gepaard gaat met een afname in het aantal bevestigde incidenten. Noord-Koreaanse hackers richten zich steeds effectiever op grote doelwitten om met minder operaties een grotere impact te maken. Een belangrijke methode hierbij is het infiltreren van cryptodiensten door IT-medewerkers die onder valse voorwendselen worden aangenomen. Deze medewerkers verschaffen zichzelf geprivilegieerde toegang tot interne systemen. Daarnaast worden geavanceerde social-engineeringtechnieken ingezet, waarbij hackers zich voordoen als recruiters voor vooraanstaande web3- of AI-bedrijven. Tijdens fictieve sollicitatiegesprekken worden slachtoffers verleid om gevoelige inloggegevens of broncodes te delen onder het mom van een technische test.

De diefstalpatronen in 2025 laten een extreme concentratie zien. De drie grootste hacks van het jaar waren verantwoordelijk voor 69 procent van alle verliezen bij cryptodiensten. De diefstal bij Bybit in februari 2025, waarbij 1,5 miljard dollar werd ontvreemd, vormde hierin een uitschieter. De kloof tussen de omvang van de grootste hacks en de gemiddelde diefstal is groter dan ooit; de waarde van de grootste incidenten ligt inmiddels meer dan 1.000 keer hoger dan de mediaan van alle geregistreerde diefstallen.

Naast grootschalige aanvallen op gecentraliseerde beurzen en bewaardiensten is er een sterke toename zichtbaar in het aantal compromissen van individuele wallets. In 2025 vonden er 158.000 incidenten plaats waarbij persoonlijke wallets betrokken waren, met in totaal 80.000 unieke slachtoffers. Hoewel de totale waarde van deze individuele diefstallen met 713 miljoen dollar lager lag dan in 2024, blijft het een substantieel deel van de totale markt uitmaken. Bij gecentraliseerde diensten blijven vooral het beheer van privésleutels een zwakke plek, ondanks de inzet van professionele beveiligingsteams.

Op het gebied van witwassen vertonen Noord-Koreaanse groepen specifieke voorkeuren. Zij maken veelvuldig gebruik van Chinees-talige witwasdiensten, bridge-protocollen en mixing-services om de herkomst van de fondsen te verhullen. Gemiddeld wordt er een cyclus van 45 dagen gehanteerd om gestolen activa wit te wassen na een grote diefstal. Ondanks de stijging in de totale waarde van gestolen activa, blijven de verliezen binnen de gedecentraliseerde financiële sector (DeFi) relatief beheersbaar in vergelijking met eerdere jaren, wat duidt op een mogelijke verbetering van de beveiligingsstandaarden binnen die specifieke protocollen.

Bron

Een gezamenlijk onderzoek van Hunt.io en de Acronis Threat Research Unit heeft een uitgebreid netwerk van door de Noord-Koreaanse staat gesponsorde infrastructuur in kaart gebracht. Uit de analyse blijkt dat er nieuwe verbindingen bestaan tussen de operaties van de hackersgroepen Lazarus en Kimsuky. De ontdekking biedt inzicht in hoe deze actoren toegang behouden tot systemen en hun aanvallen gelijktijdig op meerdere doelen coördineren door gebruik te maken van actieve staging-servers, omgevingen voor diefstal van inloggegevens en specifieke tunneling-knooppunten.

Een centraal onderdeel van de bevindingen is de identificatie van een nieuwe Linux-variant van de Badcall-backdoor. Deze malwarefamilie werd eerder waargenomen tijdens de supply chain-aanval op 3CX. De bijgewerkte versie beschikt over verbeterde logboekmogelijkheden waarbij inzendingen met tijdstempels worden weggeschreven naar een specifiek tijdelijk bestand. Door gebruik te maken van korte numerieke codes kunnen de aanvallers de uitvoering van de malware controleren en het gedrag tijdens inbraken nauwgezet volgen. Analisten stelden vast dat deze variant wordt gehost op infrastructuur die voorheen aan Lazarus-campagnes werd gekoppeld, wat duidt op voortdurende ontwikkeling van hun aanvalsinstrumenten.

De infrastructuur onthult consistente operationele patronen bij de verschillende subgroepen uit Noord-Korea. Open mappen fungeren als snelle verzamelpunten voor het uitrollen van tools voor diefstal van inloggegevens en tunnels op identieke poorten over meerdere VPS-hosts. Onderzoekers ontdekten diverse actieve knooppunten, waaronder een server die een toolkit van meer dan honderd megabyte ontsloot met programma's zoals MailPassView en ChromePass. Een andere server hostte een omgeving voor de Quasar RAT met een aanzienlijke hoeveelheid tooling. De meest significante ontdekking betrof een server die bijna twee gigabyte aan operationele data blootstelde, inclusief offensieve beveiligingstools, binaries voor privilege-escalatie en ontwikkelingsartefacten.

Naast de staging-servers werden acht FRP-tunneling-knooppunten aangetroffen die draaiden op poort 9999, verspreid over VPS-hosts in China en de APAC-regio. De uniformiteit van de binaire bestanden suggereert dat deze voorzieningen geautomatiseerd worden uitgerold in plaats van handmatig geconfigureerd. Deze knooppunten fungeren als omleidingspunten tussen gecompromitteerde hosts en de servers van de aanvallers, wat zorgt voor betrouwbare toegang zelfs als traditionele communicatiekanalen worden geblokkeerd.

Verder koppelden analisten via certificaatanalyse twaalf IP-adressen aan een specifiek digitaal certificaat, waarvan het merendeel direct geassocieerd wordt met malware van Lazarus op poort 443. Dit hergebruik van certificaten maakt het mogelijk om clusters van infrastructuur te identificeren voordat deze actief worden ingezet in campagnes. Het infectiemechanisme van de malware start met het verwerken van command-line argumenten, waarna het zichzelf op de achtergrond uitvoert om primaire operaties te starten.

Verdedigers kunnen deze activiteiten detecteren door te scannen op blootgestelde mappen met specifieke tools, tunneling-activiteiten op bepaalde poorten en het hergebruik van certificaten op hosts met RDP-toegang. Deze signalen bieden een vroege waarschuwing voor activiteiten uit Noord-Korea terwijl de infrastructuur wordt opgezet. Het onderzoek toont aan dat analyse van de infrastructuur vaak betrouwbaardere detectiemogelijkheden biedt dan enkel het onderzoeken van de payload, aangezien de operationele gewoonten van deze actoren consistent blijven.

Bron

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zal in het komende jaar de focus leggen op het actief verstoren en publiekelijk maken van cyberoperaties. Dit voornemen staat beschreven in het Jaarplan MIVD 2026, dat door demissionair minister Brekelmans is gepresenteerd. De bewindsman benadrukt dat deze strategie noodzakelijk is om de nationale veiligheid van Nederland te waarborgen tegen aanhoudende digitale dreigingen.

Uit de analyse van de inlichtingendienst blijkt dat de dreiging vanuit het digitale domein onverminderd groot is en zich richt op diverse onderdelen van de samenleving. Zowel overheidsinstellingen als het bedrijfsleven en andere organisaties zijn doelwit van digitale aanvallen. Een specifieke ontwikkeling die de minister hierbij signaleert, is de toenemende verwevenheid tussen statelijke actoren en niet-statelijke groeperingen, zoals cybercriminelen. Deze groeiende overlap maakt het dreigingslandschap complexer en vereist een aangepaste aanpak van de veiligheidsdiensten.

Veel van deze digitale aanvallen blijven voor het grote publiek onzichtbaar en vinden onder de oppervlakte plaats, maar vormen volgens Brekelmans wel degelijk een substantiële dreiging. De aantrekkingskracht voor kwaadwillenden ligt met name in de complexiteit van duiding en attributie bij cyberaanvallen. Doordat het vaak technisch ingewikkeld is om onomstotelijk vast te stellen wie er achter een aanval zit, wordt het cyberdomein een veelgebruikt middel voor actoren die schade willen aanrichten zonder direct risico op vergelding.

Om deze dynamiek te doorbreken, kiest de MIVD voor een strategie die zich nadrukkelijk richt op interventie. Het doel voor 2026 is niet alleen het waarnemen van dreigingen, maar ook het daadwerkelijk verstoren van de operaties en het openbaren van de activiteiten van zowel statelijke als niet-statelijke aanvallers. Naast deze actieve tegenmaatregelen zal de dienst ook de ondersteuning van getroffen partijen uitbreiden. De MIVD gaat slachtoffers van cyberaanvallen informeren en voorzien van advies over de specifieke maatregelen die zij kunnen nemen om hun beveiliging te herstellen en te versterken.

Bron

De Deense regering heeft aangekondigd de Russische ambassadeur te ontbieden naar aanleiding van beschuldigingen over betrokkenheid bij verschillende digitale aanvallen op Deense doelwitten. Volgens de Deense militaire inlichtingendienst (DDIS) zit Moskou achter twee significante cyberaanvallen die worden omschreven als destructief en ontregellend. De eerste aanval vond plaats in 2024 en was gericht op een waterleidingbedrijf in de havenstad Køge. De tweede reeks aanvallen bestond uit een golf van digitale overbelastingen op websites van politieke partijen en publieke instellingen tijdens de verkiezingen van vorige maand.

Bij de aanval op de watervoorziening in Køge slaagden hackers erin de controle over te nemen van de pompsystemen. Door de druk in de leidingen doelbewust te manipuleren, ontstonden er drie leidingbreuken. De inlichtingendienst schrijft deze actie toe aan de pro-Russische groepering Z-Pentest. De recente aanvallen op overheidswebsites en politieke organisaties worden gelinkt aan de groep NoName057, die nauwe banden zou onderhouden met de Russische staat. Volgens Thomas Ahrenkiel, directeur van de DDIS, worden dergelijke groepen door Rusland ingezet als instrumenten in een hybride oorlogsvoering tegen westerse landen.

De Deense minister van Defensie, Troels Lund Poulsen, kwalificeert de incidenten als onacceptabel bewijs dat de hybride oorlogsvoering in Europa een nieuwe fase heeft bereikt. Hoewel de fysieke schade bij de recente verkiezingen beperkt bleef, benadrukken Deense bewindslieden dat de kwetsbaarheid van essentiële maatschappelijke diensten hiermee pijnlijk zichtbaar is geworden. De aanvallen zouden volgens de inlichtingendienst tot doel hebben om onzekerheid te zaaien en landen te straffen die actieve steun verlenen aan Oekraïne.

Naast cyberaanvallen heeft Denemarken de afgelopen maanden te maken gehad met andere vormen van hybride dreigingen. In september werden onbekende drones waargenomen boven verschillende militaire locaties en vliegvelden, wat leidde tot tijdelijke sluitingen van het luchtruim boven Kopenhagen. De Deense premier Mette Frederiksen heeft in reactie op deze aanhoudende incidenten opgeroepen tot een krachtig Europees antwoord op Russische sabotageacties. Denemarken blijft ondertussen een van de nauwste bondgenoten van Oekraïne en is onlangs gestart met de bouw van een productiefaciliteit voor brandstof ten behoeve van Oekraïense raketten.

Bron

Tijdens de jaarlijkse fintech-conferentie UAFIN.TECH in Kyiv hebben internationale experts op 12 december 2025 de snelle opmars van embedded finance geanalyseerd. Deze technologische ontwikkeling, waarbij financiële diensten zoals betalingen, leningen en verzekeringen direct worden geïntegreerd in niet-financiële platforms en applicaties, wordt niet langer als een tijdelijke trend maar als een nieuwe realiteit beschouwd. Voor de cybersecurity-sector betekent dit een fundamentele verschuiving in hoe financiële transacties worden beveiligd en waar de risico's zich concentreren binnen digitale ecosystemen.

Vertegenwoordigers van de Wereldbank en de International Finance Corporation (IFC) benadrukten dat digitale financiering essentieel is voor de economische stabiliteit, zeker in conflictgebieden zoals Oekraïne. Echter, de integratie van financiële producten in externe platforms via API's (Application Programming Interfaces) brengt nieuwe uitdagingen met zich mee op het gebied van data-integriteit en fraudepreventie. Uit marktdata gepresenteerd door Mastercard blijkt dat inmiddels 47% van de niet-bancaire e-commercepartijen van plan is om embedded finance te integreren. Dit vergroot de afhankelijkheid van de beveiligingsprotocollen van deze tussenpartijen, die vaak de primaire interface met de consument worden.

Experts wijzen op de groeiende rol van open banking en 'agent artificial intelligence' bij het vormgeven van deze diensten. Hoewel deze technologieën zorgen voor een naadloze gebruikerservaring, waarschuwen toezichthouders dat de complexiteit van de keten toeneemt. Hierdoor worden transacties 'onzichtbaar' voor de gebruiker, wat risico's op het gebied van cybersecurity en financiële transparantie met zich meebrengt. De wereldwijde markt voor embedded finance groeit naar verwachting tot 2030 met gemiddeld 33% per jaar, wat een evenredige toename van de druk op de digitale beveiligingsinfrastructuur en de naleving van regelgeving impliceert.

Bron

De Britse regering heeft op vrijdag bevestigd dat er een onderzoek loopt naar een cyberincident bij het ministerie van Buitenlandse Zaken, Gemenebest en Ontwikkelingszaken. Deze mededeling volgt op mediaberichten waarin wordt gesteld dat hackers met banden met de Chinese overheid toegang zouden hebben gekregen tot duizenden vertrouwelijke documenten. Volgens handelsminister Chris Bryant is het onderzoek naar de digitale inbreuk al in oktober van dit jaar gestart.

De bewindsman verklaarde tegenover de BBC dat de overheid momenteel inschat dat het risico op het lekken van persoonlijke informatie van individuen vrij laag is. De berichtgeving in de krant The Sun suggereerde dat een hackersgroep genaamd Storm 1849 mogelijk gegevens heeft ingezien die gerelateerd zijn aan tienduizenden visumaanvragen. Bryant typeerde dergelijke specifieke details als speculatie en benadrukte dat het nog niet officieel vaststaat dat de aanval direct aan China kan worden toegeschreven.

De onthulling over het incident komt op een politiek gevoelig moment voor de verhoudingen tussen Londen en Peking. De regering onder leiding van premier Keir Starmer streeft naar het herstellen van diplomatieke en economische banden die de afgelopen jaren onder druk zijn komen te staan door zorgen over spionage en mensenrechten. Starmer heeft voor eind januari een bezoek aan China op de agenda staan, wat het eerste bezoek van een Britse premier aan het land zou zijn sinds 2018.

Tegelijkertijd kampt de Britse overheid met interne discussies over de bouw van een nieuwe, grote Chinese ambassade in Londen. Besluitvorming hierover is vertraagd door zorgen dat de locatie gebruikt zou kunnen worden voor inlichtingenactiviteiten. Minister Bryant voegde toe dat Groot-Brittannië een pragmatische koers vaart waarbij wordt gezocht naar samenwerking op bepaalde dossiers, terwijl Peking op andere punten kritisch wordt benaderd met de nodige waakzaamheid.

Bron

Onderzoekers van beveiligingsbedrijf ESET hebben een nieuwe, aan China gelieerde dreigingsgroep geïdentificeerd die verantwoordelijk wordt gehouden voor een reeks cyberaanvallen op overheidsinstanties in Zuidoost-Azië en Japan. Deze groep, die de naam LongNosedGoblin heeft gekregen, richt zich primair op cyberspionage en is volgens de analyse sinds ten minste september 2023 actief. Een opvallend kenmerk van de werkwijze van deze groep is het gebruik van het Windows Group Policy-mechanisme om malware binnen gecompromitteerde netwerken te verspreiden en te beheren.

De aanvallers maken gebruik van een gespecialiseerde set instrumenten, hoofdzakelijk gebaseerd op C# en .NET. Een van de centrale onderdelen is NosyDoor, een backdoor die legitieme clouddiensten zoals Microsoft OneDrive, Google Drive en in sommige gevallen Yandex Disk gebruikt voor de communicatie met de aanvallers. Hiermee kunnen de daders op afstand bestanden exfiltreren, verwijderen en systeemopdrachten uitvoeren op de getroffen computers. Daarnaast hanteert de groep specifieke tools voor het verzamelen van browsergegevens, waaronder NosyHistorian voor het uitlezen van de browsegeschiedenis en NosyStealer voor het stelen van data uit Google Chrome en Microsoft Edge.

ESET constateerde de eerste activiteiten in februari 2024 bij een overheidsinstantie in Zuidoost-Azië. De exacte methode waarmee de aanvallers in eerste instantie toegang kregen tot de netwerken is nog niet vastgesteld, omdat de infiltratie op het moment van ontdekking al in een gevorderd stadium was. Wel is duidelijk dat de aanvallers zeer gericht te werk gaan. Hoewel een grote groep slachtoffers werd getroffen door malware die browsergeschiedenis verzamelt, kreeg slechts een select deel te maken met de meer geavanceerde NosyDoor-backdoor. In sommige gevallen bevat de gebruikte software zelfs beveiligingsmechanismen die ervoor zorgen dat de malware alleen functioneert op specifieke, vooraf gedefinieerde systemen van de doelwitten.

Naast de genoemde backdoors en stealer-software maakt LongNosedGoblin gebruik van hulpmiddelen voor het opnemen van audio en video, evenals loaders voor Cobalt Strike en proxy-tools om netwerkverkeer om te leiden. Er zijn aanwijzingen dat de gebruikte malware mogelijk wordt gedeeld of gelicentieerd tussen verschillende aan China gelieerde actoren. De onderzoekers troffen namelijk een variant van NosyDoor aan bij een organisatie in een land binnen de Europese Unie, waarbij de tactieken en gebruikte clouddiensten afweken van de Aziatische incidenten. Hoewel er gelijkenissen zijn met andere bekende dreigingsgroepen zoals ToddyCat en Erudite Mogwai, is er vooralsnog geen hard bewijs voor een directe samenwerking of fusie tussen deze entiteiten.

Bron

Iraanse staatshackers die bekendstaan onder de naam Prince of Persia zijn na een passieve periode van drie jaar teruggekeerd met een geavanceerde cyberspionagecampagne. Deze Advanced Persistent Threat (APT) richt zich op wereldwijde netwerken van kritieke infrastructuur en private organisaties. De aanvallers maken gebruik van vernieuwde malwarevarianten en stealth-technieken om gevoelige informatie buit te maken en toegang te behouden tot gecompromitteerde systemen.

De huidige operaties vertonen een aanzienlijke technische evolutie vergeleken met eerdere campagnes van de groep, die al sinds het begin van de jaren 2000 actief is. Een opvallende verschuiving is het gebruik van kwaadaardige Microsoft Excel-bestanden met ingebedde executables in plaats van de voorheen gebruikelijke macro's. Deze bestanden worden vermomd als administratieve updates of regionaal nieuws om detectie door standaard antivirussoftware te omzeilen. Zodra een gebruiker het bestand opent, wordt een zelfuitpakkend archief geactiveerd dat de Foudre-backdoor installeert.

Onderzoek door analisten van SafeBreach wijst uit dat de groep nu gebruikmaakt van de malwarefamilies Foudre v34 en Tonnerre v50. Deze varianten bevatten verbeterde functies voor persistentie en datadiefstal. Het infectieproces van Foudre v34 verloopt via meerdere fasen waarbij een loader-DLL een specifieke functie aanroept die een vermomd bestand uitvoert. Dit bestand is vaak gecamoufleerd als een MP4-videobestand om zowel menselijke gebruikers als geautomatiseerde beveiligingssystemen te misleiden.

De communicatie met de command-and-control (C2) servers is gedecentraliseerd en maakt gebruik van een Domain Generation Algorithm (DGA). Dit algoritme genereert unieke hostnames op basis van een tijdgebonden checksum, waardoor het voor beveiligers lastiger is om de infrastructuur van de aanvallers te blokkeren. Bovendien introduceert de Tonnerre-variant een mechanisme waarbij commando's worden ontvangen via een Telegram-bot in plaats van traditionele FTP-protocollen.

De infrastructuur van de campagne lijkt centraal te worden beheerd door een persoon die opereert onder het pseudoniem Ehsan. De aanvallers gebruiken specifieke HTTP-verzoeken om informatie over de geïnfecteerde machine en de gebruiker naar de server te sturen. Deze gedetailleerde controle stelt de hackers in staat om malware op afstand te updaten of te verwijderen, afhankelijk van de waarde van het doelwit en de noodzaak om onopgemerkt te blijven.

Bron

Op 19 december 2025 is een geraffineerde spionagecampagne aan het licht gekomen die gericht is op Indiase entiteiten. De aanval wordt toegeschreven aan de SideWinder APT-groep, ook wel bekend als Rattlesnake of APT-C-17. De actoren maken gebruik van misleidende lokmiddelen die inspelen op belastinginspecties om slachtoffers te verleiden. Hierbij wordt de website van de Indiase belastingdienst nagebootst om kwaadaardige bestanden te verspreiden onder organisaties in sectoren zoals de dienstverlening, detailhandel, telecommunicatie en gezondheidszorg.

De aanvalsketen begint vaak met phishing-e-mails die een link bevatten naar een URL-verkorter. Via deze omweg worden gebruikers naar een frauduleuze website geleid waar een ZIP-bestand met de naam "Inspection" kan worden gedownload. Dit bestand bevat legitieme Microsoft-bestanden die worden misbruikt voor een techniek genaamd DLL side-loading. In dit specifieke geval wordt een ondertekend uitvoerbaar bestand van Microsoft Defender gebruikt om een kwaadaardige bibliotheek genaamd MpGear.dll in het geheugen te laden. Hierdoor lijkt de schadelijke activiteit voor veel beveiligingssoftware op een routinematige handeling van het besturingssysteem.

Een opvallend kenmerk van deze campagne is het gebruik van geofencing om de doelgroep strikt te beperken. De malware controleert de tijdzone van het systeem via publieke API's zoals worldtimeapi.org. Alleen systemen die ingesteld zijn op de tijdzone van Zuid-Azië (UTC+5:30) zetten de infectie voort. Dit onderstreept de regionale focus van de operatie. Om detectie op basis van reputatie te omzeilen, maken de aanvallers gebruik van publieke cloudopslagdiensten zoals GoFile voor het hosten van hun payloads.

De aanvallers hebben hun gereedschapskist verder ontwikkeld door Chinese bedrijfssoftware na te bootsen, wat wijst op een poging om forensisch onderzoek te bemoeilijken. Omdat de kwaadaardige code vrijwel volledig in het werkgeheugen wordt uitgevoerd zonder directe sporen op de harde schijf achter te laten, is de detectie ervan complex voor traditionele endpoint-beveiliging. De verbinding met de commando-en-controleserver van de aanvallers vindt plaats nadat de initiële infectie succesvol is afgerond, waarbij legitieme webtrajecten worden misbruikt om de communicatie te verhullen.

Bron

In de periode voorafgaand aan de Europese top van december is België geconfronteerd met een significante stijging van het aantal cyberaanvallen. Tussen 2 en 18 december registreerde cyberbeveiligingsbedrijf Secutec 1.249 DDoS-aanvallen, wat neerkomt op een toename van ruim 190 procent in vergelijking met de voorgaande maand. Deze bevindingen komen voort uit de monitoring van de nationale kritieke infrastructuur in opdracht van het Cybersecurity Centrum België.

De aanvallen richten zich niet langer uitsluitend op overheidsinstellingen, maar vertonen een verschuiving naar de energie- en nucleaire sector. Zo werd de website van de Kamer van Volksvertegenwoordigers veertig keer geviseerd en het Waalse parlement dertig keer. Ook provinciale websites van Limburg en Antwerpen waren doelwit. Opvallender zijn de tientallen aanvallen op het Brusselse energiebedrijf Sibelga en de nucleaire toeleverancier ASCO Industries. Experts spreken van een geavanceerde campagne die tijdens de wintermaanden specifiek is ontworpen voor een grote nationale impact.

De verantwoordelijkheid voor deze acties wordt toegewezen aan DDoSia, een pro-Russische hackersgroep die vaker landen viseert die steun verlenen aan Oekraïne. De timing van de escalatie valt samen met Europese beraadslagingen over het gebruik van geblokkeerde Russische tegoeden. Hoewel de Europese Unie uiteindelijk besloot deze tegoeden niet direct aan te spreken, maar in plaats daarvan een lening van 90 miljard euro aan Oekraïne te verstrekken, blijft de digitale dreiging aanhouden.

Bij een DDoS-aanval wordt een website overspoeld met massaal internetverkeer, waardoor de bereikbaarheid tijdelijk wegvalt. Hoewel dergelijke acties technisch gezien relatief eenvoudig zijn, is de verstoring van essentiële diensten en de verschuiving naar de energiesector een bron van zorg voor de betrokken veiligheidsinstanties. Alle relevante data over deze incidenten zijn inmiddels gedeeld met het Belgische cybersecuritycentrum en de cyberagentschappen van de NAVO en de Europese Unie.

De Russische hackersgroep BlueDelta, die nauw verbonden is met de militaire inlichtingendienst van de Russische Federatie, voert een grootschalige aanval uit op gebruikers van UKR.NET. Deze populaire Oekraïense webmail- en nieuwsdienst wordt door miljoenen mensen gebruikt, waardoor het een strategisch doelwit vormt voor spionage. BlueDelta, ook bekend onder de namen APT28 en Fancy Bear, richt zich met deze campagne specifiek op het stelen van inloggegevens om toegang te krijgen tot gevoelige informatie van overheidsinstanties, militaire aannemers en burgers.

De aanvallers maken gebruik van verfijnde phishingtechnieken om slachtoffers te misleiden. Tussen juni 2024 en april 2025 zijn talloze valse inlogpagina's opgezet die visueel identiek zijn aan het officiële portaal van UKR.NET. Om deze pagina's te verspreiden, versturen de hackers PDF-bestanden via e-mail die links bevatten naar de kwaadaardige websites. Door deze methode te hanteren, slagen de aanvallers er vaak in om automatische beveiligingssystemen en scanners te omzeilen die normaal gesproken verdachte links in de tekst van een e-mail detecteren.

Zodra een gebruiker op de link klikt en zijn gegevens invoert op de vervalste pagina, worden de gebruikersnaam, het wachtwoord en zelfs codes voor tweestapsverificatie onderschept. De hackers maken gebruik van aangepaste scripts om deze data direct door te sturen naar hun eigen servers. Opvallend is dat de groep haar infrastructuur heeft aangepast nadat eerdere operaties door internationale opsporingsdiensten werden verstoord. In plaats van gecompromitteerde routers te gebruiken, maken ze nu op grote schaal gebruik van proxy-tunnelingdiensten zoals ngrok en Serveo om hun werkelijke locatie te verhullen.

Onderzoekers hebben vastgesteld dat de infrastructuur achter deze aanvallen zeer complex is opgebouwd. Er worden tot wel zes verschillende lagen gebruikt tussen het slachtoffer en de uiteindelijke server van de aanvallers. Dit omvat onder meer het gebruik van gratis webdiensten zoals Mocky en diverse linkverkorters. In latere stadia van de campagne voegden de hackers specifieke code toe om waarschuwingen van browsers over onveilige verbindingen te onderdrukken, waardoor de valse pagina's nog geloofwaardiger overkomen. Met meer dan veertig geïdentificeerde aanvalsketens onderstreept deze operatie de aanhoudende inspanningen om vitale informatie binnen Oekraïne te verzamelen.

Bron

De aanhoudende discussie over de invloed van het Kremlin op het Amerikaanse politieke landschap werpt licht op geavanceerde methoden van cognitieve oorlogsvoering die wereldwijd worden ingezet. Analisten wijzen op een patroon waarbij beleidskeuzes en publieke uitingen van invloedrijke figuren in de Verenigde Staten opvallend vaak parallel lopen met de strategische doelstellingen van Moskou. Dit fenomeen wordt door experts op het gebied van inlichtingenoperaties toegeschreven aan een jarenlange beïnvloedingscampagne die gebruikmaakt van de psychologische kwetsbaarheden en het wereldbeeld van specifieke doelwitten.

Een centraal concept in deze Russische strategie is reflexieve controle. Dit is een techniek waarbij informatie subtiel wordt gedoseerd om een tegenstander te verleiden tot het nemen van beslissingen die hij zelf als voordelig beschouwt, maar die in werkelijkheid de agenda van de initiator dienen. In plaats van directe dwang te gebruiken, wordt de perceptie van de werkelijkheid gevormd door middel van gefabriceerde narratieven en alternatieve feiten. Hierdoor handelt de tegenstander als het ware als een verlengstuk van de beïnvloeder, zonder zich daarvan bewust te zijn.

Deze tactieken maken deel uit van een bredere traditie van actieve maatregelen. In de moderne digitale context vertaalt dit zich naar hybride oorlogsvoering waarbij de grens tussen informatievoorziening en manipulatie vervaagt. Inlichtingenexperts benadrukken dat het doel van dergelijke operaties is om democratische samenlevingen van binnenuit te verzwakken door wantrouwen te zaaien in instituten zoals inlichtingendiensten, de rechtspraak en de vrije pers. Door kritieke rapporten stelselmatig als onwaarheden of hoaxes te bestempelen, wordt de publieke opinie gepolariseerd en de nationale weerbaarheid ondermijnd.

De documentatie van talrijke interacties tussen campagneteams en buitenlandse tussenpersonen onderstreept de effectiviteit van deze methoden. In de inlichtingenwereld wordt gesproken van het creëren van leverage of kompromat, waarbij economische belangen en persoonlijke grieven worden geëxploiteerd om een politiek klimaat te scheppen dat gunstig is voor de agressor. Deze vorm van beïnvloeding vormt een fundamentele uitdaging voor de nationale veiligheid, omdat het de traditionele verdedigingsmechanismen van een staat omzeilt door direct in te grijpen op het menselijk oordeel en de politieke besluitvorming.

Bron

De veiligheid van vitale onderwaterinfrastructuur, waaronder datakabels en energieverbindingen, staat onder toenemende druk. Commandeur Arjen Warnaar waarschuwt na een eenjarige NAVO-missie in de Oostzee en de Noorse Zee voor een veranderde realiteit waarin fysieke sabotage en cyberincidenten hand in hand gaan. Volgens de vlagofficier is er sprake van een grijs gebied: "Er is op zee geen oorlog, maar ook geen vrede."

Kwestbaarheid fysieke internetinfrastructuur
Tijdens de operaties met het vlaggenschip Zr.Ms. Van Amstel constateerde Warnaar dat onderwaterinfrastructuur in de Oostzee daadwerkelijk beschadigd is geraakt. De dreiging is divers en lastig te attribueren. Warnaar wijst specifiek op de aanwezigheid van een zogenoemde 'schaduwvloot': veelal goedkope olie- en vrachtschepen die officieel civiel opereren, maar in de praktijk worden ingezet voor bijkluswerk zoals spionage of sabotage.

De strategische betekenis van het hoge noorden neemt toe door het smelten van zee-ijs, waardoor nieuwe routes ontstaan. Dit vergroot echter ook de kwetsbaarheid van de verbindingen in dit gebied.

Hybride dreiging: Drones en Cyber
Naast de fysieke dreiging voor kabels op de zeebodem, schetst Warnaar een beeld van een brede hybride dreiging. Deze uit zich op meerdere domeinen tegelijk:

Cyberincidenten: Digitale verstoringen maken deel uit van de strategie om onrust te stoken zonder direct een militair conflict te ontketenen.

Drones: Er worden regelmatig drones waargenomen boven zowel land als zee. Warnaar refereert hierbij specifiek aan een incident tijdens de Europese top in Kopenhagen in oktober.

Grijs gebiedsgedrag: Doordat actoren zich in een schemergebied bewegen, is het lastig om duidelijke regels af te dwingen.

Escalatiegevaar
Hoewel het gedrag tussen maritieme eenheden doorgaans professioneel blijft, waarschuwt de commandeur voor de risico’s van deze onduidelijke verantwoordelijkheden. In combinatie met menselijke fouten kan de huidige situatie snel escaleren. De maritieme veiligheid is volgens Warnaar niet langer een kwestie van alleen conventionele oorlogsvoering, maar een complexe mix van conventionele, onderzeese en hybride dreigingen.

Bron

Na een periode van bijna vijf jaar waarin nauwelijks activiteit werd waargenomen, is de Iraanse dreigingsactor bekend als Infy, ook wel aangeduid als Prince of Persia, opnieuw opgedoken. Beveiligingsonderzoekers hebben recente operaties blootgelegd waarbij de groepering gebruikmaakt van gemoderniseerde malwarevarianten en een veerkrachtige infrastructuur. Deze hernieuwde activiteit richt zich op doelwitten in diverse regio’s, waaronder Europa, Canada, India en het Midden-Oosten, en toont aan dat de groep ondanks de stilte zijn capaciteiten aanzienlijk heeft doorontwikkeld.

Achtergrond en modus operandi

Infy wordt beschouwd als een van de oudste Advanced Persistent Threat (APT) actoren die nog steeds operationeel is, met sporen die terugleiden tot december 2004. In tegenstelling tot andere Iraanse groeperingen zoals Charming Kitten of MuddyWater, die vaak luidruchtiger en destructiever te werk gaan, kenmerkt Infy zich door een focus op stealth en spionage op de lange termijn. De groep wist jarenlang onder de radar te blijven terwijl zij slachtoffers maakte in landen als Zweden, Turkije en Nederland. De recente ontdekkingen door onderzoekers van SafeBreach bevestigen dat de ogenschijnlijke inactiviteit sinds 2022 schijn was en dat de groep zijn technische arsenaal in het geheim heeft verbeterd.

Technische evolutie van de malware

De kern van de operaties wordt gevormd door twee specifieke malwarefamilies die samenwerken om systemen te compromitteren en data te exfiltreren. De eerste component is Foudre, een downloader en profiler die wordt verspreid via phishing-e-mails. Zodra Foudre een systeem heeft geïnfecteerd en als waardevol heeft bestempeld, wordt de tweede component, genaamd Tonnerre, binnengehaald. Tonnerre fungeert als de daadwerkelijke spionagesoftware waarmee gegevens worden gestolen. Uit de recente analyse blijkt dat de aanvallers inmiddels gebruikmaken van versie 34 van Foudre en versies 12 tot en met 50 van Tonnerre, waarbij de laatste variant in september 2025 werd gedetecteerd.

Een opvallende verschuiving in de tactiek is de manier waarop de initiële infectie plaatsvindt. Waar voorheen veelal gebruik werd gemaakt van Microsoft Excel-bestanden met kwaadaardige macro's, embedden de aanvallers nu vaak direct een uitvoerbaar bestand in de documenten om Foudre te installeren. Daarnaast zijn er oudere varianten en nevenprojecten geïdentificeerd, zoals de trojan MaxPinner die zich specifiek richtte op het bespioneren van Telegram-content, en malware vermomd als nieuwsapplicaties.

Infrastructuur en communicatie

De infrastructuur die Infy gebruikt voor Command and Control (C2) is complex opgezet om detectie en offline halen te voorkomen. De groep maakt gebruik van een Domain Generation Algorithm (DGA), waarmee automatisch nieuwe domeinnamen worden gegenereerd voor communicatie. Om te voorkomen dat onderzoekers of beveiligingsbedrijven de controle overnemen, bevat de malware een verificatiemechanisme. Foudre en Tonnerre downloaden een specifiek, met een RSA-sleutel ondertekend bestand om de authenticiteit van de C2-server te valideren voordat er data wordt verzonden.

In de mappenstructuur van de servers is bewijs gevonden voor geavanceerde communicatiemethoden. De nieuwste versies van Tonnerre kunnen communiceren via Telegram. Er is een mechanisme aangetroffen waarmee de malware contact zoekt met een specifieke Telegram-groep en bot om commando's te ontvangen en data te versturen. Deze functionaliteit wordt echter selectief ingezet en lijkt alleen geactiveerd te worden voor specifieke slachtoffers op basis van hun unieke ID.

Bureaucratische precisie

De heropleving van Infy past in een breder beeld van Iraanse cyberoperaties die steeds professioneler en bureaucratischer worden georganiseerd. Uit lekken en analyses van gerelateerde groepen blijkt dat deze actoren vaak functioneren als overheidsafdelingen, met een strikte scheiding van taken en administratieve precisie. De terugkeer van Infy, met zijn focus op specifieke doelwitten en zorgvuldige validatie van infrastructuur, onderstreept dat deze spionagecampagnes langdurig en strategisch van aard zijn.

Bron

De integratie van onbemande systemen en robotica in de samenleving zal tegen 2035 leiden tot nieuwe en complexe vormen van criminaliteit. Europol waarschuwt in een recent rapport voor de verregaande impact van deze technologieën op de rechtshandhaving. De ontwikkelingen worden gedreven door de convergentie van kunstmatige intelligentie, de groei van de robotica-industrie en innovaties die voortkomen uit moderne oorlogsvoering. Deze trends creëren scenario's waarin criminelen en extremistische groeperingen gebruikmaken van autonome systemen voor spionage, smokkel, massale intimidatie en fraude.

Een specifiek risico vormt het gebruik van sociale robots. Naarmate deze machines vaker in de fysieke leefomgeving aanwezig zijn, kunnen zij worden ingezet om menselijke empathie te misbruiken. Dit opent de deur voor manipulatie, desinformatie en grooming van kwetsbare personen. Doordat mensen nauwe banden opbouwen met dergelijke robots, krijgen deze systemen toegang tot zeer gevoelige persoonlijke informatie. Tegelijkertijd neemt de privacy af door de alomtegenwoordigheid van kleine, AI-gestuurde drones die vrijwel overal onopgemerkt toezicht kunnen houden.

Naast de inzet van robots voor criminele doeleinden, ontstaan er vragen over juridische aansprakelijkheid. Wanneer een autonoom systeem schade veroorzaakt of de wet overtreedt, is het momenteel onduidelijk of de eigenaar, de producent, de programmeur of het systeem zelf verantwoordelijk moet worden gehouden. Politiediensten worden geconfronteerd met nieuwe uitdagingen, zoals het onderzoeken van incidenten met zelfrijdende auto's en het vaststellen van de 'intentie' achter de acties van een humanoïde robot.

Parallel aan deze toekomstige dreigingen manifesteren zich actuele kwetsbaarheden in communicatiemiddelen en databeheer. Er is een tool publiekelijk beschikbaar gekomen die in staat is om miljarden gebruikers van WhatsApp en Signal in realtime te volgen via hun telefoonnummer. Hiermee kunnen aanvallers dagelijkse routines in kaart brengen, zoals slaappatronen en aanwezigheid in de woning. Bovendien kan deze software de batterij en datalimieten van apparaten ongemerkt uitputten.

De schaal van datalekken blijft eveneens toenemen. Recentelijk zijn meer dan vier miljard records uit leadgeneratie-datasets blootgesteld, waaronder een groot aantal LinkedIn-profielen. Ook de financiële sector is getroffen, waarbij klantgegevens van grote instellingen op Wall Street toegankelijk werden na een lek bij een externe leverancier. Deze incidenten onderstrepen de noodzaak voor zowel overheden als bedrijven om beveiliging integraal mee te nemen bij de adoptie van nieuwe technologieën.

Bron

De Roemeense nationale waterbeheerautoriteit, Administrația Națională Apele Române, is afgelopen weekend getroffen door een grootschalige ransomware-aanval. Volgens de National Cyber Security Directorate zijn ongeveer duizend computersystemen bij de nationale autoriteit en tien van de elf regionale kantoren aangetast. De aanval heeft geleid tot het versleutelen van servers die verantwoordelijk zijn voor geografische informatiesystemen, databases, e-mail en webdiensten. Ook werkstations en domeinnaamservers binnen de organisatie zijn door de incidenten getroffen.

Ondanks de omvang van de digitale inbreuk melden de autoriteiten dat de operationele technologie die de waterinfrastructuur aanstuurt niet is aangetast. De werking van hydrotechnische installaties blijft gewaarborgd doordat deze lokaal worden beheerd door personeel en de coördinatie verloopt via meldkamers met gebruik van spraakcommunicatie zoals telefoon en radio. Ook de activiteiten rondom voorspellingen en bescherming tegen overstromingen ondervinden geen hinder van de aanval.

Onderzoekers van verschillende Roemeense veiligheidsdiensten, waaronder het National Cyberint Center van de Roemeense inlichtingendienst, zijn momenteel bezig met het indammen van de impact en het uitvoeren van forensisch onderzoek. De aanvallers hebben gebruikgemaakt van BitLocker, een ingebouwde beveiligingsfunctie van Windows, om bestanden op de aangetroffen systemen te vergrendelen. Er is een losgeldbrief achtergelaten waarin wordt geëist dat er binnen zeven dagen contact wordt opgenomen.

De exacte methode waarmee de aanvallers toegang hebben gekregen tot het netwerk is op dit moment nog niet vastgesteld. Hoewel de nationale kritieke IT-infrastructuur de waterautoriteit voorheen niet volledig beschermde, wordt er nu gewerkt aan een volledige integratie in de beschermingssystemen van het National Cyberint Center. Er is tot op heden geen officiële toeschrijving gedaan aan een specifieke groepering, al wijzen eerdere waarschuwingen van internationale veiligheidsinstanties op een verhoogde dreiging voor kritieke infrastructuur door diverse hacktivistengroepen.

Deze aanval staat niet op zichzelf in de recente geschiedenis van Roemenië. Het land is de afgelopen jaren vaker het doelwit geweest van cybercriminaliteit. Zo werd vorig jaar de Electrica Group, een belangrijke energieleverancier, getroffen door de Lynx-ransomwaregroep en moesten in februari 2024 meer dan honderd ziekenhuizen hun systemen offline halen na een aanval met de Backmydata-ransomware. De autoriteiten zetten de werkzaamheden voort om de getroffen systemen bij de waterautoriteit veilig te herstellen.

Bron

In Frankrijk zijn de online diensten van het nationale postbedrijf La Poste en diverse grote bankinstellingen getroffen door een grootschalige cyberaanval. De verstoring vond plaats op de maandagochtend voorafgaand aan de kerstdagen, een periode waarin het postverkeer en de financiële transacties traditioneel hun jaarlijkse piek bereiken. Volgens de eerste schattingen ondervinden miljoenen Franse burgers directe hinder van de aanval.

La Poste heeft in een officiële verklaring bevestigd dat het gaat om een ddos-aanval. Bij een dergelijke aanval worden de servers van een organisatie overspoeld met enorme hoeveelheden internetverkeer, waardoor de systemen overbelast raken en onbereikbaar worden voor legitieme gebruikers. Het postbedrijf benadrukt dat er vooralsnog geen aanwijzingen zijn dat er klantgegevens zijn buitgemaakt. De aanval heeft echter wel grote gevolgen voor de logistieke operatie. Klanten maken via sociale media melding van het feit dat zij hun kerstpost en pakketten niet online kunnen volgen, terwijl de bezorging door de technische storing vertraging oploopt.

Naast het postbedrijf zijn ook verschillende financiële instellingen het doelwit geworden. La Banque Postale, de bankdivisie van het postbedrijf, kampt met aanzienlijke problemen in de digitale dienstverlening. Gebruikers kunnen momenteel geen betalingen goedkeuren via de mobiele applicatie. De bank heeft een alternatieve procedure via sms opgesteld voor het overboeken van geld, en laat weten dat fysieke betalingen met bankpassen bij betaalautomaten nog wel mogelijk zijn.

De technische problemen beperken zich niet tot één bank. Lokale media in Frankrijk melden dat ook klanten van de banken Caisse d'Epargne en Banque Populaire hinder ondervinden van de aanval. De gelijktijdige uitval van diensten bij deze instellingen zorgt voor een aanzienlijke druk op de Franse digitale infrastructuur op een moment dat consumenten veelvuldig gebruikmaken van internetbankieren voor hun kerstaankopen.

Bron

Techgigant Amazon heeft meer dan achttienhonderd sollicitaties geblokkeerd die afkomstig waren van vermoedelijke Noord-Koreaanse agenten. De casus, die naar buiten werd gebracht door een topfunctionaris van het bedrijf, blootlegt de aanhoudende pogingen van het regime in Pyongyang om via IT-vacatures op afstand (remote work) valuta te genereren en westerse bedrijven te infiltreren.

Volgens de verantwoordelijke voor de beveiliging bij Amazon betrof het sollicitanten die doelbewust zochten naar functies waarbij fysieke aanwezigheid op kantoor niet vereist is. De omvang van de pogingen neemt toe; Amazon rapporteerde over het afgelopen jaar een stijging van bijna dertig procent in sollicitaties vanuit deze hoek.

Misbruik van LinkedIn en gestolen identiteiten
De modus operandi van de agenten leunt zwaar op identiteitsfraude en accountovernames. De beveiligingschef meldt op LinkedIn dat de sollicitanten gebruikmaakten van gestolen of vervalste identiteiten. Een specifiek uitgelichte tactiek is het overnemen van inactieve LinkedIn-profielen.

Aanvallers maken hierbij gebruik van inloggegevens die beschikbaar zijn gekomen via eerdere datalekken (leaked credentials). Door toegang te krijgen tot bestaande, maar slapende accounts van legitieme gebruikers, kunnen de Noord-Koreaanse actoren met een geloofwaardige dekmantel reageren op vacatures.

Financiering wapenprogramma
Het primaire doel van deze infiltratiepogingen is financieel gewin. De strategie is erop gericht om aangenomen te worden op IT-posities en het verkregen salaris direct door te sluizen naar Noord-Korea. Volgens de functionaris worden deze inkomsten specifiek aangewend ter financiering van de wapenprogramma's van het regime.

Context: Laptop farms en eerdere waarschuwingen
De onthulling van Amazon staat niet op zichzelf en bevestigt eerdere waarschuwingen van autoriteiten in de Verenigde Staten en Zuid-Korea over de digitale werkwijze van Noord-Korea.

In juni van dit jaar maakte het Amerikaanse ministerie van Justitie (DOJ) al melding van de ontmanteling van zogenoemde 'laptop farms'. Dit betreft locaties binnen de Verenigde Staten waar grote aantallen computers zijn opgesteld. Deze machines maken verbinding via Amerikaanse internetproviders, maar worden op afstand bestuurd door IT-medewerkers vanuit het buitenland.

Bij deze operatie, waarbij 29 locaties werden opgerold, bleek dat Noord-Koreaanse IT-medewerkers via gestolen identiteiten van Amerikaanse burgers illegaal werkzaamheden verrichtten. Volgens het DOJ wisten de actoren hiermee meer dan 17 miljoen dollar (circa 14,5 miljoen euro) aan illegale inkomsten te genereren voor Pyongyang.

Bron

De Amerikaanse Federal Communications Commission (FCC) heeft een officieel verbod ingesteld op het gebruik en de verkoop van drones en kritieke componenten die in het buitenland zijn vervaardigd. De maatregel is gebaseerd op de National Defense Authorization Act (NDAA) van 2025 en is ingegeven door vastgestelde risico's voor de nationale veiligheid, surveillance-dreigingen en de veiligheid van het luchtruim. Door deze beslissing worden drones van fabrikanten zoals het Chinese DJI en Autel Robotics effectief uitgesloten van de Amerikaanse markt.

De beperkingen hebben betrekking op onbemande luchtvaartuigen (UAS) en specifieke technische onderdelen die zijn toegevoegd aan de zogeheten Covered List. Dit is een lijst van technologieën die volgens de Amerikaanse overheid een onaanvaardbaar risico vormen. Het verbod omvat een breed scala aan hardware, waaronder vluchtcontrollers, datacommunicatiesystemen, grondstations, navigatiesystemen, motoren en slimme batterijen. Ook communicatie- en videobewakingsapparatuur die verbonden is met deze systemen valt onder de nieuwe regelgeving.

De aanleiding voor dit besluit is een diepgaande evaluatie door een interdepartementaal orgaan van de Amerikaanse uitvoerende macht. Dit onderzoek concludeerde dat drones en onderdelen uit specifieke buitenlandse regio's de mogelijkheid bieden voor persistente surveillance, diefstal van gevoelige data en destructieve operaties boven Amerikaans grondgebied. De FCC stelt dat het uitsluiten van deze technologie essentieel is voor de bescherming van burgers en de soevereiniteit van het luchtruim, met name met het oog op toekomstige grootschalige evenementen zoals de FIFA World Cup 2026 en de Olympische Zomerspelen 2028.

De nieuwe richtlijnen schrijven voor dat UAS en hun kritieke componenten in de Verenigde Staten moeten worden geproduceerd om de kans op directe aanvallen of spionage te minimaliseren. Desondanks zijn er beperkte uitzonderingen mogelijk indien het Department of Homeland Security (DHS) vaststelt dat specifieke apparatuur geen direct gevaar vormt. Voor huidige bezitters van de betreffende drones heeft het verbod geen onmiddellijke gevolgen voor het gebruik van hun huidige toestellen, en retailers mogen voorraden verkopen die eerder dit jaar zijn goedgekeurd.

Dit besluit volgt kort op de bekrachtiging van de National Defense Authorization Act voor het fiscale jaar 2026 door de Amerikaanse president. Deze wetgeving bevat aanvullende instrumenten om het luchtruim te beveiligen tegen onbemande systemen die een bedreiging vormen voor de openbare veiligheid. Het beleid sluit aan bij eerdere stappen van de Amerikaanse overheid om buitenlandse invloeden in de technologische infrastructuur te beperken, zoals het eerdere verbod op beveiligingssoftware van Kaspersky in juli 2024.

Bron, 2

Overzicht producten

De Russische telecomtoezichthouder Roskomnadzor heeft officieel bevestigd dat het maatregelen heeft genomen om de werking van WhatsApp in Rusland te verstoren. Gebruikers in diverse regio’s, met een concentratie in Moskou, maken melding van aanzienlijke vertragingen en uitval van de berichtendienst. Deze actie volgt op een ultimatum waarin de toezichthouder dreigde met een volledige blokkade. De juridische grondslag die Roskomnadzor hiervoor aanvoert, is het vermeende gebrek aan medewerking van WhatsApp bij het delen van informatie met de politie in dossiers die betrekking hebben op fraude en terrorismebestrijding.

De beperkingen reiken verder dan alleen WhatsApp; ook Telegram wordt gehinderd en diensten zoals Facebook, Snapchat en YouTube kampen al langer met verstoringen of volledige blokkades. Sinds de zomer van 2025 heeft de toezichthouder de belfuncties binnen WhatsApp en Telegram reeds onklaar gemaakt. Als reactie op de censuurmaatregelen is het gebruik van Virtual Private Networks in Rusland explosief gestegen. Uit onderzoek onder de bevolking blijkt dat meer dan 90 procent van de internetgebruikers VPN-diensten inzet om de blokkades te omzeilen, waarbij een grote meerderheid kiest voor betaalde varianten om de toegang tot versleutelde communicatie te waarborgen.

De Russische overheid stimuleert ondertussen de overstap naar 'Max', een binnenlands communicatieplatform dat onder direct toezicht van de staat staat. WhatsApp waarschuwt dat het dwingen van burgers naar dergelijke onveiligere alternatieven de privacy en veiligheid van miljoenen gebruikers ernstig ondermijnt. Opvallend is dat de blokkades ook de Russische autoriteiten zelf hinderen. Lokale gouverneurs in grensgebieden maken intensief gebruik van Telegram voor crisiscommunicatie en het verspreiden van luchtalarmen bij droneaanvallen. De verstoring van de digitale infrastructuur leidt hierdoor tot een spanningsveld tussen nationale censuurdrang en de noodzaak voor effectieve overheidscommunicatie.

Bron

Op 25 december 2025 zijn diverse Belgische overheidsdiensten en publieke instellingen getroffen door gecoördineerde cyberaanvallen. De incidenten zijn opgeëist door het Dark Storm team, een groepering die bekendstaat om het uitvoeren van Distributed Denial of Service-aanvallen. Bij deze methode worden websites onbereikbaar gemaakt door de servers te overbelasten met een enorme hoeveelheid gelijktijdig internetverkeer.

De aanvallers beweren verschillende specifieke doelwitten te hebben geraakt binnen de federale structuur van België. Een van de genoemde slachtoffers is de website van de Federale Overheidsdienst Binnenlandse Zaken, met een focus op het onderdeel dat de verkiezingen faciliteert. De verstoring van dergelijke portalen kan directe gevolgen hebben voor de digitale informatievoorziening aan burgers en de transparantie van bestuurlijke processen.

Naast de politiek-administratieve sites meldt het Dark Storm team dat ook het Asbestfonds is aangevallen. Dit fonds is verantwoordelijk voor de financiële tegemoetkoming aan slachtoffers van asbestgerelateerde ziekten. Een onbeschikbaarheid van deze dienst belemmert de toegang tot essentiële sociale voorzieningen voor een kwetsbare groep burgers.

Een derde cruciaal doelwit in deze golf van aanvallen is het Federaal Agentschap voor Nucleaire Controle. Als onafhankelijke toezichthouder op de nucleaire veiligheid in België is de digitale bereikbaarheid van dit agentschap van belang voor de publieke communicatie over veiligheidsprotocollen en stralingsbescherming. Hoewel een DDoS-aanval de interne veiligheidssystemen van nucleaire installaties doorgaans niet direct in gevaar brengt, zorgt het onbereikbaar maken van de publieke website voor onrust en desinformatie.

De claims van de aanvallende groepering worden momenteel onderzocht door cybersecurity-experts en de bevoegde autoriteiten. Er wordt gekeken naar de omvang van de downtime en de herkomst van het kwaadaardige verkeer. Voor professionals in de sector dient dit incident als een bevestiging dat publieke infrastructuren een permanent doelwit blijven voor ideologisch of politiek gemotiveerde hacktivisten.

Op 27 december 2025 is een melding gepubliceerd over een cyberaanval gericht op de digitale infrastructuur van het Federaal Agentschap voor Nucleaire Controle (FANC) in België. De groepering BD Anonymous claimt verantwoordelijk te zijn voor het uitvoeren van een Distributed Denial of Service-aanval (DDoS). De actie is specifiek gericht tegen de website telerad.fgov.be, het portaal van het Belgische meetnetwerk voor de automatische meting van radioactiviteit.

Het Federaal Agentschap voor Nucleaire Controle is de instantie die toeziet op de nucleaire veiligheid en de bescherming van de bevolking tegen de gevaren van ioniserende straling. De geclaimde DDoS-aanval heeft als doel de beschikbaarheid van de website te verstoren door de servers te overbelasten met een grote hoeveelheid internetverkeer. Hierdoor kan de toegang tot actuele meetgegevens en publieke informatie over radioactiviteit voor externe gebruikers worden belemmerd.

De informatie over deze aanval is gebaseerd op de claim van de actoren en is geregistreerd door systemen voor dreigingsanalyse. Er zijn in de bron geen technische details vermeld over de huidige operationele status van de website of de mate waarin de achterliggende meetsystemen zijn beïnvloed. De claim richt zich uitsluitend op de verstoring van de webinterface van de betreffende overheidsdienst.

De geopolitieke koers van de Belgische regering onder leiding van Bart De Wever is eind 2025 het onderwerp van scherpe veiligheidsanalyses. Militaire experts wijzen op de kwetsbaarheden binnen de nationale strategie die door externe actoren, in het bijzonder de Russische Federatie, kunnen worden geëxploiteerd. Terwijl de militaire dreiging in Oost-Europa aanhoudt, wordt de politieke en economische stabiliteit in West-Europa in toenemende mate beïnvloed door hybride strategieën die gericht zijn op het ondermijnen van de Europese eenheid.

Een cruciaal aandachtspunt voor veiligheidsdiensten is de bescherming van de nationale besluitvorming tegen buitenlandse beïnvloeding. Het risico bestaat dat beleidskeuzes met betrekking tot defensiebudgetten en internationale steun worden vertraagd of afgezwakt door politieke druk en desinformatie. In de huidige context wordt de stabiliteit van de Belgische regering gezien als een vitale factor in de collectieve beveiliging van de Europese Unie en het NAVO-hoofdkwartier.

De rol van België als logistieke draaischijf voor energie blijft een strategisch pijnpunt. Gedurende 2025 bereikte de import van Russisch vloeibaar aardgas (LNG) via de terminal in Zeebrugge recordhoogtes. Deze voortdurende economische afhankelijkheid creëert een potentieel drukmiddel voor externe mogendheden om invloed uit te oefenen op het nationale beleid. Veiligheidsexperts waarschuwen dat dergelijke economische verstrengelingen de strategische autonomie beperken en een risico vormen voor de integriteit van de vitale infrastructuur.

Analisten benadrukken dat hybride oorlogsvoering niet alleen digitale of militaire aanvallen omvat, maar ook het strategisch uitbuiten van politieke en economische afhankelijkheden. De uitdaging voor de Belgische veiligheidsarchitectuur aan het einde van 2025 is het verhogen van de weerbaarheid tegen deze geraffineerde vormen van druk. Het waarborgen van een onafhankelijke koers en het effectief beveiligen van de energie- en informatie-infrastructuur zijn daarbij essentieel om de nationale veiligheid op lange termijn te garanderen.

Bron

De geopolitieke koers van Rusland onder president Poetin vormt de kern van de aanhoudende instabiliteit in Europa. Uit officiële documenten en de door het Kremlin gepubliceerde ideologische essays blijkt dat het conflict in Oekraïne niet voortkomt uit een acute militaire dreiging van de NAVO, maar uit een fundamentele ontkenning van de Oekraïense soevereiniteit. In het essay van juli 2021 zette Poetin uiteen dat hij de vorming van de moderne Oekraïense staat beschouwt als een historisch foutieve afscheiding van het Russische rijk.

De bewering dat de uitbreiding van de NAVO de invasie noodzakelijk maakte, wordt weersproken door de feitelijke staat van de Europese defensie in de jaren voorafgaand aan 2022. De defensie-uitgaven in West-Europa waren historisch laag en legers waren nagenoeg teruggebracht tot een minimumcapaciteit. De recente toetreding van Finland en Zweden tot het bondgenootschap is een direct gevolg van de Russische militaire acties en niet de oorzaak daarvan. Rusland heeft daarnaast aangetoond bereid te zijn om soevereine staten via zowel fysieke als digitale weg te destabiliseren.

Voor de veiligheid in Nederland en België is deze Russische strategie van direct belang. De dreiging beperkt zich niet tot het fysieke front, maar omvat operaties gericht op het ondermijnen van de westerse stabiliteit. Inlichtingen- en veiligheidsdiensten, waaronder de MIVD, constateren dat Rusland de zwakheden in de Europese digitale infrastructuur gebruikt om druk uit te oefenen. Dit uit zich in spionage en voorbereidingshandelingen voor de sabotage van vitale processen, zoals energievoorzieningen en communicatieverbindingen in de Noordzee.

De internationale politiek en mogelijke verschuivingen in de Amerikaanse steun onder een nieuwe administratie veranderen de aard van de Russische motivaties niet. Een vrede die de levensvatbaarheid van de Oekraïense staat ondermijnt, wordt door analisten gezien als een tijdelijke pauze die door Moskou gebruikt kan worden voor toekomstige interventies. De continuïteit van deze strategie onderstreept de noodzaak voor een blijvende focus op nationale weerbaarheid tegen statelijke actoren die de Europese veiligheidsarchitectuur trachten te ontregelen.

Bron

Het jaar 2025 markeert een omslag in het veiligheidsbewustzijn, waarbij de scheidslijnen tussen digitale en fysieke dreigingen steeds verder vervagen. Deskundigen constateren dat de geopolitieke situatie zich in een grijs gebied tussen vrede en oorlog bevindt, wat zorgt voor een structurele onzekerheid binnen de samenleving. De aandacht verschuift hierbij van abstracte risico's naar concrete scenario's waarbij digitale aanvallen leiden tot fysieke uitval van vitale processen. Met name de kwetsbaarheid van het elektriciteitsnet en de watervoorziening voor cyberoperaties en sabotage wordt gezien als een reëel risico dat een kettingreactie aan maatschappelijke problemen kan veroorzaken.

Binnen het cyberdomein is een zorgwekkende trend zichtbaar waarbij de grenzen tussen criminele hackers en statelijke actoren verdwijnen. Waar cybercriminaliteit voorheen voornamelijk financieel gedreven was, raken deze netwerken nu verweven met geopolitieke belangen. Statelijke actoren maken vaker gebruik van criminele groeperingen om spionage of sabotage uit te voeren, waardoor zij hun directe betrokkenheid plausibel kunnen ontkennen. Deze ontwikkeling wordt versterkt door de inzet van kunstmatige intelligentie, die het steeds moeilijker maakt om desinformatie van feiten te onderscheiden en daarmee de maatschappelijke stabiliteit verder onder druk zet.

Om deze complexe dreigingen het hoofd te bieden, wordt vanuit de crisisbeheersing benadrukt dat technische beveiliging en individuele noodpakketten alleen niet volstaan. De aanhoudende spanning en het veelvuldige gebruik van oorlogsterminologie leiden tot maatschappelijke vermoeidheid. Experts stellen dat de weerbaarheid van de samenleving tijdens grootschalige cyberincidenten of hybride conflicten in hoge mate afhankelijk is van sociale cohesie. Het versterken van onderlinge netwerken en het overbruggen van polarisatie worden beschouwd als essentiële voorwaarden om de impact van toekomstige crises op te vangen.

Bron

De grootste op steenkool gebaseerde energieproducent van Roemenië, Complexul Energetic Oltenia, is tijdens de kerstdagen getroffen door een cyberaanval. Het bedrijf, dat verantwoordelijk is voor circa dertig procent van de nationale elektriciteitsproductie, zag op Tweede Kerstdag zijn IT-infrastructuur uitvallen door toedoen van ransomware. Hoewel diverse bedrijfsprocessen zijn verstoord, waaronder de website, e-maildiensten en interne beheersystemen, is de werking van het nationale energienetwerk volgens de organisatie niet in gevaar gekomen.

De aanval wordt toegeschreven aan de Gentlemen-ransomwaregroep, een actor die sinds augustus van dit jaar actief is. Uit technisch onderzoek blijkt dat de aanvallers bestanden hebben versleuteld en voorzien van de extensie .7mtzhh. Op de getroffen systemen zijn digitale notities achtergelaten met de bestandsnaam README-GENTLEMEN.txt, waarin instructies voor de slachtoffers staan. Deze specifieke ransomwaregroep staat erom bekend dat zij veelal binnendringen via gecompromitteerde inloggegevens en door misbruik te maken van services die direct aan het internet zijn gekoppeld.

In reactie op het incident zijn de IT-teams van het energiebedrijf gestart met het herbouwen van de getroffen omgevingen op een nieuwe infrastructuur, waarbij gebruik wordt gemaakt van aanwezige back-ups. Er loopt momenteel nog een onderzoek om vast te stellen of de aanvallers data hebben ontvreemd voordat de systemen werden versleuteld. Op het moment van schrijven is de organisatie nog niet vermeld op de publieke lek-sites van de criminele groep, wat kan duiden op een vroege fase van het incident of lopende onderhandelingen.

Het voorval past in een recente reeks aanvallen op de Roemeense vitale infrastructuur en overheidsdiensten. Twee weken voorafgaand aan dit incident werd de nationale waterbeheerautoriteit eveneens slachtoffer van gijzelsoftware, waarbij een groot deel van de computersystemen werd geraakt. De autoriteiten, waaronder het directoraat voor de bestrijding van georganiseerde misdaad en terrorisme (DIICOT) en de nationale cyberveiligheidsdienst, zijn ingeschakeld voor verder onderzoek.

Bron

Op 29 december 2025 is een gerichte aanval gemeld op de digitale beschikbaarheid van de Belgische gemeente Weismes (Waimes). De aanval richt zich op de officiële website waimes.be en is opgeëist door de groepering BD Anonymous. De claim werd in de ochtend, omstreeks 10:22 uur, verspreid via kanalen die gespecialiseerd zijn in het monitoren van dreigingsinformatie en activiteiten van actoren in de cybersector.

De gehanteerde methode betreft een Distributed Denial of Service-aanval (DDoS). Hierbij wordt getracht de server van de gemeente te overbelasten door een excessieve hoeveelheid gelijktijdig internetverkeer te genereren. Het doel van dergelijke acties is het onbereikbaar maken van de website voor burgers en de publieke dienstverlening te verstoren. Bij dit type aanvallen is doorgaans geen sprake van ongeautoriseerde toegang tot gevoelige databases of diefstal van persoonsgegevens, maar ligt de nadruk op het veroorzaken van operationele hinder.

Dit incident volgt op een reeks vergelijkbare acties tegen Belgische overheidsinstanties in de maand december. Lokale en provinciale infrastructuren blijken momenteel vaker het doelwit van hacktivistische groepen. Hoewel de exacte status van de website gedurende de dag kan fluctueren, dient de claim als een indicator voor de aanhoudende druk op de digitale weerbaarheid van gemeentelijke instellingen binnen de Benelux.

De aard van moderne conflicten verandert door een nieuwe vorm van digitale verstoring waarbij hacktivistische groeperingen steeds vaker opereren als strategische instrumenten voor statelijke druk. Deze actoren lanceren gecoördineerde aanvallen die nauwkeurig zijn afgestemd op geopolitieke gebeurtenissen, zoals de aankondiging van sancties en verklaringen omtrent militaire steun. In tegenstelling tot traditionele cybercriminaliteit of geïsoleerd digitaal activisme, volgen deze operaties een consistent en herhaalbaar patroon dat duidt op een bewuste orkestratie in plaats van spontane verontwaardiging.

Geopolitieke triggers activeren deze campagnes met opmerkelijke precisie. Wanneer overheden economische sancties opleggen, militaire steun aankondigen of diplomatieke verklaringen afleggen, ondergaan de communicatiekanalen van hacktivisten snelle verschuivingen in hun berichtgeving. Binnen enkele dagen volgen golven van verstoringen die zich richten op overheidsportalen, financiële diensten, transportsystemen en mediaorganisaties, waarbij de publieke infrastructuur wordt overweldigd.

Deze operaties vertrouwen op technieken met een lage complexiteit, waaronder distributed denial-of-service aanvallen, het bekladden van websites en geclaimde datalekken om maximale zichtbaarheid en publieke impact te genereren. De strategische waarde ligt hierbij niet in technische verfijning, maar in de mogelijkheid tot ontkenning en de specifieke timing. Hacktivistische groepen opereren als niet-statelijke actoren die ideologische motivaties claimen, waardoor gelieerde staten kunnen profiteren van de verstoring zonder directe verantwoordelijkheid te hoeven nemen.

De aanvallen exploiteren een fundamentele asymmetrie in de cybereconomie, aangezien het lanceren van aanvallen aanzienlijk minder kost dan het verdedigen ertegen, terwijl publieke verklaringen de psychologische impact vergroten tot ver buiten de daadwerkelijke technische schade. Analisten hebben opgemerkt dat deze operaties duidelijke kenmerken vertonen die hen onderscheiden van traditioneel activisme of financieel gemotiveerde cybercriminaliteit. Het onderzoek identificeerde consistente activeringssequenties, prioriteitstelling van doelwitten in lijn met strategische doelstellingen en gecontroleerde de-escalatie zodra de signaleringsdoelen zijn bereikt.

De aanvalsinfrastructuur onthult het operationele ontwerp, waarbij groepen bewust gebruikmaken van openbaar beschikbare tools, gedeelde botnets en veelgebruikte technieken om technisch ononderscheidbaar te blijven van routineuze cybercriminele activiteiten. Deze aanpak dient tweeledige doelen, namelijk het mogelijk maken van snelle schaalvergroting door deelname van vrijwilligers en het vertroebelen van attributiepaden die diplomatieke reacties zouden kunnen uitlokken. Real-time publieke versterking via sociale media en berichtenplatforms transformeert zelfs beperkte technische successen in waargenomen overwinningen die organisatorische middelen onder druk zetten en het institutionele vertrouwen schaden.

De cumulatieve impact strekt zich uit over operationele, psychologische en strategische dimensies. Hoewel individuele aanvallen zelden permanente technische schade veroorzaken, dwingt hun clustering tijdens politiek gevoelige periodes organisaties in reactieve defensieve posities. Herhaalde verstoringen met lage intensiteit leiden beveiligingspersoneel af van kernprioriteiten, putten incident response-teams uit en creëren een aanhoudende reputatiedruk die vaak de daadwerkelijke operationele gevolgen overtreft. Voor beheerders van kritieke infrastructuur en overheidsinstellingen blijft het primaire risico niet zozeer catastrofaal falen, maar de aanhoudende druk die kosten opstapelt terwijl deze onder de escalatiedrempels blijft.

Bron

Onderzoekers hebben een nieuwe aanvalsmethode geïdentificeerd waarbij de ToneShell-backdoor wordt verspreid via een kernel-mode loader. Deze campagne wordt toegeschreven aan de hackersgroep Mustang Panda, die zich richt op het bespioneren van overheidsinstanties. De aanval maakt gebruik van een specifiek stuurprogramma dat op kernel-niveau opereert, waardoor de malware diep in het besturingssysteem kan doordringen en reguliere beveiligingsmechanismen kan ontwijken.

De technische basis van de aanval rust op een mini-filter driver met de naam ProjectConfiguration.sys. Dit type driver wordt normaal gesproken gebruikt door legitieme antivirus- of back-upsoftware om bestandsoperaties te inspecteren. In dit geval wordt de driver echter misbruikt als rootkit. Om de installatie op Windows-systemen mogelijk te maken, is het bestand ondertekend met een gestolen of gelekt digitaal certificaat dat oorspronkelijk toebehoorde aan een technologiebedrijf.

Eenmaal actief op een systeem, voert de rootkit verschillende acties uit om onzichtbaar te blijven. Het blokkeert pogingen om eigen bestanden te hernoemen of te verwijderen en beschermt de bijbehorende registersleutels. Bovendien manipuleert de malware de configuratie van de WdFilter-driver, een cruciaal onderdeel van Microsoft Defender, waardoor deze beveiligingsoplossing niet correct wordt geladen. Hierdoor ontstaat een blinde vlek voor de antivirussoftware, terwijl de rootkit ondertussen kwaadaardige payloads in het werkgeheugen injecteert en afschermt voor monitoring.

De backdoor die wordt ingezet, een nieuwe variant van ToneShell, vertoont eveneens technische verbeteringen. De malware gebruikt nu netwerkobfuscatie met valse TLS-headers om de communicatie met de servers van de aanvallers te maskeren als legitiem webverkeer. Via deze verbinding kunnen de hackers op afstand opdrachten uitvoeren, zoals het maken van tijdelijke bestanden, het downloaden van gegevens en het openen van een remote shell. Gezien de complexe integratie in de systeemkern is deze vorm van malware enkel effectief te detecteren door middel van diepgaand geheugenonderzoek.

Bron 1, 2

De Iraanse hackersgroep Handala claimt succesvol te zijn binnengedrongen in de smartphone van Tzachi Braverman, de stafchef van de Israëlische premier Benjamin Netanyahu. De aanval, door de actoren aangeduid als "Bibi Gate", zou hebben geleid tot de exfiltratie van gevoelige documenten, contactlijsten en persoonlijke communicatie. De hackers hebben inmiddels een document van 107 pagina’s met contactgegevens en screenshots van chats gepubliceerd als bewijslast voor de inbreuk.

Naast de stafchef van de premier was ook voormalig premier Naftali Bennett doelwit van deze campagne. Hoewel Bennett ontkent dat zijn fysieke toestel is gehackt, bevestigde hij wel dat ongeautoriseerde toegang was verkregen tot zijn Telegram-account. De hackers beweren echter over een aanzienlijke hoeveelheid data te beschikken, variërend van financiële gegevens tot beveiligingsprotocollen die werden opgesteld tijdens eerdere escalaties in 2025.

Het bureau van de premier heeft verklaard dat er momenteel een onderzoek loopt naar de claims. Tot dusver stelt de officiële Israëlische lezing dat er geen directe inbreuk op de beveiligde overheidssystemen is geconstateerd. De publicatie van privégegevens van hooggeplaatste functionarissen duidt echter op een gerichte psychologische en informatie-operatie die de digitale veiligheid van de politieke top direct raakt.

Bron 1

Op 31 december 2025 is een digitale aanval gemeld op de online infrastructuur van de Belgische financiële instelling CPH Bank. Volgens gegevens van een gespecialiseerd platform voor dreigingsinformatie is de website van de bank het doelwit geworden van een Distributed Denial of Service-aanval. De actie, specifiek gericht op het domein cph.be, wordt geclaimd door het collectief BD Anonymous.

De aard van deze aanval betreft het opzettelijk overbelasten van de webserver met een excessieve hoeveelheid dataverkeer. Dit proces is erop gericht de online diensten van de bank onbereikbaar te maken voor legitieme gebruikers. Bij dergelijke incidenten wordt de externe toegang tot de digitale omgeving bemoeilijkt, wat directe gevolgen kan hebben voor de beschikbaarheid van de online dienstverlening van de bank in België.

De groep BD Anonymous profileert zich met het uitvoeren van dit soort verstorende activiteiten tegen organisaties binnen de kritieke infrastructuur. Deze specifieke melding onderstreept de aanhoudende dreiging voor de bancaire sector. Voor experts en professionals in de cyberveiligheid dient dit voorval als een feitelijke weergave van de actuele operationele risico's waarmee financiële instellingen in de Benelux worden geconfronteerd op het gebied van beschikbaarheid en continuïteit.

De verificatie van militaire operaties in het huidige conflict tussen Oekraïne en Rusland leunt in toenemende mate op de analyse van openbare digitale bronnen en beeldmateriaal. Recente gegevens bevestigen dat Oekraïense eenheden een preventieve aanval hebben uitgevoerd op Russische lanceerlocaties voor langeafstands-drones. Waar de defensieve strategie voorheen vooral gericht was op het onderscheppen van drones in het luchtruim, verschuift de focus nu naar het uitschakelen van de systemen en de bemanning voordat de toestellen worden gelanceerd.

De aanval, uitgevoerd door het 1ste Speciale Centrum van de Unmanned Systems Forces (USF), vond plaats op de luchthaven van Donetsk en bij een munitiedepot nabij Manhush. Hierbij werd gebruikgemaakt van golven van FP-2 kamikazedrones. Digitale analyse van vrijgegeven beelden door de onderzoeksgroep CyberBoroshno bevestigt de geolocatie van de doelwitten op het luchthaventerrein. De beelden tonen aan dat specifieke gebouwen, zoals onderhoudsfaciliteiten en opslagplaatsen voor drone-onderdelen, herhaaldelijk en nauwkeurig zijn geraakt.

De technische infrastructuur die het doelwit vormde, is essentieel voor de grootschalige inzet van Shahed- en Geran-drones. Sinds september 2022 zijn er naar schatting 40.000 tot 50.000 van dit type drones gelanceerd vanuit een netwerk van 15 tot 25 locaties. De recente operatie slaagde erin om niet alleen de fysieke lanceerplatforms te raken, maar ook de bemanning en de logistieke keten, waaronder een trainingscentrum voor piloten en een opslagplaats voor de kernkoppen van deze toestellen.

Analisten wijzen op de precisie van de aanvallen, waarbij videobeelden van de drones in hun eindfase aantonen dat specifieke toegangsdeuren en secties van gebouwen werden geviseerd. Ondanks Russische verklaringen dat operaties aan het front volgens plan verlopen, bevestigen onafhankelijke bronnen en lokale media in de bezette gebieden de intensiteit van de explosies en de aanzienlijke schade aan de drone-faciliteiten. Deze ontwikkeling markeert een significante stap in de inzet van onbemande systemen voor het neutraliseren van vijandelijke luchtdreigingen aan de bron.

Bron 1