Cyberaanvallen 2026 in Nederland en België

Het patiënten portaal van het Martini Ziekenhuis in Groningen is na een periode van drie weken weer volledig operationeel. Deze hersteloperatie volgt op een ransomware aanval die op 7 april ChipSoft trof, de leverancier van elektronische patiënten dossiers (EPD). ChipSoft speelt een cruciale rol in de Nederlandse gezondheidszorg, aangezien naar schatting zeventig procent van de Nederlandse ziekenhuizen gebruikmaakt van hun EPD systeem.

Als direct gevolg van de cyberaanval op ChipSoft besloten meerdere ziekenhuizen in Nederland uit voorzorg hun patiënten portalen offline te halen. Het Martini Ziekenhuis was een van de getroffen instellingen. Via de eigen website heeft het ziekenhuis nu bevestigd dat alle functies van Mijn Martini, het patiënten portaal, weer beschikbaar zijn voor patiënten.

Het ziekenhuis heeft benadrukt dat, ondanks het cyberincident bij ChipSoft, er geen patiëntgegevens zijn geraakt. Bovendien heeft de ChipSoft hack geen gevolgen gehad voor de geleverde zorg binnen het Martini Ziekenhuis. Deze mededeling biedt geruststelling aan patiënten en het ziekenhuispersoneel na de tijdelijke verstoring van de digitale dienstverlening. De snelle en effectieve reactie op de aanval, inclusief het offline halen van portalen en de daaropvolgende grondige controles, heeft bijgedragen aan het minimaliseren van de impact.

De ransomware aanval op een grote leverancier als ChipSoft onderstreept de kwetsbaarheid van de zorgsector voor cyberdreigingen. Dergelijke incidenten tonen het belang aan van robuuste beveiligingsmaatregelen en gedegen incident respons plannen, vooral wanneer kritieke systemen zoals EPD's betrokken zijn. Het feit dat het merendeel van de Nederlandse ziekenhuizen afhankelijk is van één leverancier, benadrukt tevens de potentiële systeemrisico's bij een succesvolle aanval op zo'n centrale speler. De situatie bij het Martini Ziekenhuis dient als een concrete herinnering aan de noodzaak van continue waakzaamheid en investering in cybersecurity om de continuïteit en veiligheid van de patiëntenzorg te waarborgen.

Bron: Martini Ziekenhuis

Onderzoekers verifieerden een tip die op 30 april 2026 binnenkwam via het tipformulier en bevestigde dat de website van het Nederlandse bedrijf Kanters Lieshout op het moment van schrijven is overgenomen door aanvallers. Op de homepage van www.kanters.nl staat enkel een afpersingsbericht waarin om 0,1 bitcoin wordt gevraagd in ruil voor herstel van bestanden, met daarbij een specifiek bitcoin adres en de instructie om een bericht naar Twitter te sturen met een unieke code. De originele inhoud van de website is op het moment van publicatie niet meer zichtbaar.

Kanters Lieshout is een Nederlandse waterspecialist gevestigd in Lieshout in Noord Brabant. Het bedrijf is actief in de agrarische sector en levert producten en kennis op het gebied van drinkwaterhygiëne, vloeibare voedingssupplementen, reinigingsmiddelen en desinfectiemiddelen voor waterleidingen, en hoefverzorging. De afnemers zijn voornamelijk veehouders in de melkvee, varkens en pluimveesector. Het bedrijf is zowel binnen Nederland als internationaal actief en presenteert zichzelf als kennispartner op het gebied van water in de veehouderij.

Het afpersingsbericht op de homepage is kort en in het Engels gesteld en bevat geen aanwijzing voor een bekende ransomware groep. De combinatie van een bitcoin adres en een Twitter contact suggereert een individueel of klein opererende aanvaller in plaats van een gevestigde ransomwaregroep met eigen lekplatform. Op het moment van publicatie waren er geen aanvullende publieke meldingen van Kanters zelf of van andere bronnen over de toedracht, de omvang van een mogelijke datalek of de getroffen systemen. Het bedrijf is nog niet bereikt voor een reactie.

Voor klanten en leveranciers van Kanters is het verstandig om alert te zijn op mogelijke vervolgactiviteiten zoals phishing namens het bedrijf, gewijzigde betaalverzoeken of andere social engineering pogingen die misbruik maken van de naam van het bedrijf zolang het incident loopt. Voor de bredere Nederlandse agrarische sector onderstreept dit incident dat ook gespecialiseerde mkb leveranciers van veehouderijen doelwit kunnen zijn van cybercriminelen, terwijl een verstoring van zo'n schakel impact kan hebben op de productieketen en voedselketen verderop. De redactie blijft de status van de website monitoren en zal het artikel actualiseren wanneer aanvullende informatie of een verklaring van het bedrijf beschikbaar komt.

Bron: Cybercrimeinfo onderzoek

Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data van Raptor Supplies heeft gepubliceerd. Raptor Supplies is een Britse leverancier van industriële en commerciële artikelen, met een Nederlandse vestiging in Wemeldinge (Raptor Supplies B.V., opgericht in 2020). Het bedrijf bedient klanten in het Verenigd Koninkrijk en heel Europa.

De claim van FulcrumSec circuleert in onderzoekskringen sinds december 2025. Op 1 mei 2026 zijn aanvullende bestanden online verschenen op een leksite waar criminele groepen buitgemaakte data dumpen. Eerdere analyses van onafhankelijke bronnen wijzen op misbruik van openstaande directories, met toegang tot databases en inloggegevens in omgevingen van Google Cloud, Zoho Workspace en Microsoft Exchange.

De gepubliceerde data zou onder meer klantfacturen, financiële administratie, e-mailberichten met bijlagen, paspoortscans, IBAN-gegevens en contactinformatie van militaire en overheidsklanten omvatten. Cybercrimeinfo kon op het moment van publicatie geen openbare reactie van Raptor Supplies achterhalen.

Voor organisaties met een leveranciersrelatie naar Raptor Supplies is het raadzaam recente correspondentie en factuurstromen te controleren op signalen van misbruik. Het wijzigen van wachtwoorden van gedeelde accounts en het inzetten van een wachtwoordmanager zoals MindYourPass beperkt de gevolgen van eerder gelekte inloggegevens.

Bron: Cybercrimeinfo darkweb-onderzoek, screenshot darkweb

Cybercrimeinfo ontdekte op een online markt voor cybercriminaliteit een dataset die naar eigen zeggen afkomstig is van Zalando. De dataset zou betrekking hebben op gebruikers in Nederland en België. De adverteerder claimt dat de verzameling ongeveer 530.000 records bevat met onder meer identificatie van gebruikers, e-mailadressen, gegevens van telefoons, adresgegevens, geschiedenis van producten, metadata van betalingen en informatie over fraudescores.

Zalando is een van de grootste online marktplaatsen voor mode in West-Europa en heeft een aanzienlijke klantenbasis in zowel Nederland als België. Eerder dit jaar zijn er al andere claims verschenen op forums voor cybercriminaliteit die zouden verwijzen naar data van Zalando. Het ging toen om een dataset met circa 21 miljoen records uit 25 Europese landen en een eerdere claim van 400.000 records specifiek voor de Belgische en Nederlandse markt.

Op dit moment kan niet onafhankelijk worden vastgesteld of de nu aangeboden dataset een nieuw datalek betreft, een herverpakking is van reeds bekende data, of volledig fictief is. Zalando heeft nog niet publiekelijk gereageerd op deze recente claim. De adverteerder presenteert de data als gestructureerd over zes met elkaar verbonden secties, die informatie over gebruikers, bestellingen, betalingen, producten en frauderegels zouden bevatten. Hoewel een steekproef van rijen met velden publiekelijk is gedeeld, is de authenticiteit ervan nog niet door derden bevestigd.

Een mogelijk lek van deze omvang brengt voor consumenten een verhoogd risico met zich mee op gerichte phishing, fraude met identiteiten, overname van accounts en manipulatie via sociale engineering. Klanten van Zalando wordt daarom geadviseerd om verdacht e-mailverkeer kritisch te beoordelen, authenticatie met meerdere factoren te activeren waar dit mogelijk is, en om wachtwoorden niet opnieuw te gebruiken voor diverse webwinkels.

Bron: Darkweb monitoring

Drinkwaterbedrijf Aquaduin, gevestigd in Koksijde, heeft een dringende waarschuwing uitgegeven voor een omvangrijke phishingcampagne die zich richt op haar klanten. Consumenten ontvangen momenteel valse e-mails en sms berichten die ogenschijnlijk afkomstig zijn van het waterbedrijf, maar in werkelijkheid bedoeld zijn om privégegevens te ontfutselen.

De recente golf van oplichtingspraktijken begon maandag, toen Aquaduin talrijke meldingen ontving van klanten die een valse nieuwsbrief hadden ontvangen met de misleidende titel "Nieuw document". Deze nieuwsbrief is een poging van oplichters om via een link of knop toegang te verkrijgen tot persoonlijke informatie van de ontvangers. Aquaduin benadrukt dat klanten nooit op dergelijke links of knoppen moeten klikken als zij twijfelen aan de authenticiteit van de afzender.

Het is niet de eerste keer dat waterbedrijven in de regio doelwit zijn van dergelijke aanvallen. Enkele weken geleden werden al veel meldingen gedaan van valse e-mails die de namen van De Watergroep of de Waterunie misbruikten. De huidige campagne richt zich echter specifiek op Aquaduin en haar klantenbestand in de Westkustregio, waar het bedrijf verantwoordelijk is voor de drinkwatervoorziening.

Om klanten te helpen valse communicatie te herkennen, heeft Aquaduin verschillende praktische tips gedeeld. Officiële e-mails van Aquaduin zijn altijd afkomstig van adressen die eindigen op "@aquaduin.be". Klanten dienen alert te zijn op subtiele afwijkingen in het e-mailadres van de afzender of een ongebruikelijke schrijfstijl. Een veelvoorkomende tactiek van oplichters is het creëren van een gevoel van urgentie, met zinnen als "Betaal onmiddellijk" of "Je account wordt geblokkeerd", om ontvangers onder druk te zetten snel te handelen.

Wat betreft sms berichten, verstuurt Aquaduin deze uitsluitend via het officiële nummer 8686. Elk sms bericht dat van een ander nummer afkomstig is, moet als verdacht worden beschouwd. Bovendien zal Aquaduin nooit via sms om bankgegevens of persoonlijke codes vragen. Een belangrijke waarschuwing is ook dat Aquaduin nooit berichten via WhatsApp verstuurt; alle WhatsApp berichten die zogenaamd van het bedrijf afkomstig zijn, zijn vals.

Aquaduin heeft de politie inmiddels op de hoogte gebracht van de phishingcampagne. Het bedrijf raadt iedereen die denkt het slachtoffer te zijn geworden van deze oplichting aan onmiddellijk contact op te nemen met de politie.

Bron: Drinkwaterbedrijf Aquaduin

De gemeente Epe heeft vooralsnog geen concrete plannen bekendgemaakt om slachtoffers van een eerder dit jaar plaatsgevonden datalek financieel te vergoeden. Dit meldt De Stentor. Wel zijn er specifieke maatregelen getroffen voor inwoners van wie een kopie van het identiteitsbewijs is buitgemaakt.

In maart van dit jaar werden de persoonsgegevens van bijna alle inwoners van Epe gestolen als gevolg van een aanval via ClickFix. Bij ongeveer duizend van deze inwoners is tevens een kopie van het identiteitsbewijs in handen van criminelen gevallen.

Voor deze specifieke groep inwoners heeft de gemeente Epe een regeling getroffen. Zij kunnen op kosten van de gemeente een nieuw identiteitsbewijs aanvragen. Daarnaast vergoedt de gemeente een bedrag van tien euro voor de benodigde nieuwe pasfoto's.

De betrokken inwoners, van wie een kopie van het identiteitsbewijs is gestolen, zullen uiterlijk 8 mei een persoonlijke brief ontvangen. In deze brief wordt gedetailleerd uitgelegd hoe zij te werk moeten gaan om een nieuw identiteitsdocument aan te vragen. Een woordvoerder van de gemeente verklaarde dat deze communicatie niet eerder kon plaatsvinden, omdat eerst de geldigheid van de betreffende identiteitsbewijzen gecontroleerd moest worden en de adresgegevens van de houders moesten worden opgevraagd. Vervolgens moesten de brieven worden opgesteld, geprint en verstuurd.

Wat betreft bredere schadevergoedingen heeft de gemeente nog geen algemene plannen. De woordvoerder gaf aan: "Als mensen zich zorgen maken of aantoonbare schade hebben geleden door deze hack kunnen ze contact opnemen met de gemeente. Dan zoeken we samen naar een oplossing."

Dit incident onderstreept de kwetsbaarheid van digitale systemen en de potentiële gevolgen voor burgers bij datalekken, waarbij persoonsgegevens en gevoelige documenten zoals identiteitsbewijzen in verkeerde handen kunnen vallen. De gemeente Epe blijft in gesprek met getroffen inwoners om individuele situaties te beoordelen.

Bron: De Stentor

In april 2026 is de videodienst Vimeo het slachtoffer geworden van een datalek, waarbij gegevens van ongeveer 119.200 gebruikers zijn gecompromitteerd. De ShinyHunters-extortiegroep claimde verantwoordelijkheid voor het incident en plaatste Vimeo op hun afpersingsportaal als onderdeel van hun "pay or leak"-campagne. Vervolgens publiceerde de groep honderden gigabytes aan data.

De gelekte data bestond voornamelijk uit videotitels, technische data en metadata. Belangrijk is dat de dataset ook 119.000 unieke e-mailadressen bevatte, soms vergezeld van namen van gebruikers. Vimeo heeft de blootstelling van deze gegevens toegeschreven aan een inbreuk bij Anodot, een externe leverancier van analyseoplossingen die door Vimeo werd gebruikt.

Vimeo benadrukt dat de inbreuk geen toegang heeft verschaft tot gevoelige informatie zoals de daadwerkelijke video-inhoud van gebruikers, geldige login-gegevens of betaalkaartinformatie. Dit geeft aan dat de impact voornamelijk ligt bij de blootstelling van contactgegevens en gerelateerde metadata.

De databreach is op 5 mei 2026 toegevoegd aan de Have I Been Pwned (HIBP) database, wat gebruikers in staat stelt te controleren of hun e-mailadres bij het lek betrokken is. Voor Nederlanders adviseert Veiliginternetten.nl, een samenwerking van publieke en private organisaties, basistips voor online veiligheid.

Gebruikers die mogelijk getroffen zijn, wordt geadviseerd om onmiddellijk hun wachtwoorden te wijzigen op alle accounts waar het getroffen wachtwoord werd gebruikt. Daarnaast wordt sterk aangeraden om overal waar mogelijk tweefactorauthenticatie in te schakelen als een extra beveiligingslaag. Het gebruik van een wachtwoordbeheerder om sterke, unieke wachtwoorden te genereren en op te slaan voor alle accounts is een verdere aanbevolen actie om de online veiligheid te verbeteren.

De incidenten met ShinyHunters onderstrepen het voortdurende risico van aanvallen via de toeleveringsketen, waarbij kwetsbaarheden bij externe leveranciers leiden tot datalekken bij grotere organisaties. Dit incident bij Vimeo via Anodot is een duidelijk voorbeeld van hoe afhankelijkheden in de digitale infrastructuur kunnen worden uitgebuit door cybercriminelen.

Bron: Vimeo | Bron 2: veiliginternetten.nl

Het Amerikaanse moederbedrijf Instructure, bekend van de onderwijssoftware Canvas, is slachtoffer geworden van een cyberaanval. De aanval is opgeëist door de hackersgroep ShinyHunters, die eerder dit jaar ook achter de cyberaanval op Odido zat. Bij de aanval op Instructure zouden gegevens van maar liefst 275 miljoen studenten, docenten en medewerkers zijn buitgemaakt.

De hackersgroep ShinyHunters heeft de verantwoordelijkheid voor de aanval opgeëist en claimt dat wereldwijd negenduizend scholen zijn geraakt. Er is een duidelijke boodschap afgegeven aan Instructure: 'betalen of lekken'. Het bedrijf heeft tot 6 mei de tijd gekregen om aan de eisen van de hackers te voldoen.

Instructure heeft in een verklaring bevestigd dat bij de inbraak namen, e-mailadressen, studentnummers en berichten die tussen gebruikers zijn uitgewisseld, zijn gestolen. Het bedrijf benadrukt echter dat er tot op heden geen bewijs is gevonden dat wachtwoorden, geboortedata, overheidsidentificatienummers of financiële informatie zijn betrokken bij het datalek.

De impact van deze cyberaanval strekt zich ook uit tot Nederland. Een lijst met getroffen instellingen, die door ShinyHunters op het darkweb is vrijgegeven en ingezien door BNR Nieuwsradio, toont aan dat 44 Nederlandse onderwijsinstellingen zijn getroffen. Deze lijst omvat een breed scala aan hogescholen en universiteiten, verspreid over het hele land. Voorbeelden zijn beide universiteiten in Amsterdam, de hogescholen van Windesheim en Den Haag, het Deltion College in Zwolle en het Grafisch Lyceum in Haarlem. Dit incident volgt op de eerdere, omvangrijke cyberaanval van ShinyHunters op telecomprovider Odido, waarbij data van miljoenen mensen werd gelekt.

Bron: Instructure

Amerikaanse en Nederlandse universiteiten hebben hun studenten gewaarschuwd voor een datalek bij Instructure, de leverancier van het online onderwijsplatform Canvas. Rutgers University in de Verenigde Staten spreekt in dit kader van een 'landelijk beveiligingsincident'. Ook diverse Nederlandse universiteiten maken gebruik van het veelgebruikte platform.

Bij de aanval zijn persoonsgegevens buitgemaakt, waaronder namen, e-mailadressen, student ID nummers en berichten die door Canvas gebruikers zijn uitgewisseld. Volgens Instructure zijn er op dit moment geen aanwijzingen dat wachtwoorden, financiële gegevens of gegevens van identiteitsbewijzen zijn gestolen. Het bedrijf heeft aangegeven dat het eventuele verdere bevindingen zal communiceren.

De aanval is volgens de berichtgeving uitgevoerd door de groepering ShinyHunters, dezelfde groep die eerder verantwoordelijk was voor de hack bij het Nederlandse telecombedrijf Odido. ShinyHunters claimde via hun eigen website dat zij maar liefst 3,65 terabyte aan gegevens van Instructure hebben verkregen. Volgens de cybercriminelen betreft dit data van bijna negenduizend onderwijsinstellingen en ongeveer 275 miljoen personen, waaronder zowel studenten als docenten.

Na de claims van ShinyHunters bevestigde Instructure zelf dat het getroffen was door een security incident waarbij persoonsgegevens zijn gestolen. De exacte methode of kwetsbaarheid die de aanval mogelijk maakte, is door Instructure niet openbaar gemaakt. Wel heeft het bedrijf laten weten dat het onmiddellijk actie heeft ondernomen door credentials en access tokens van de getroffen systemen in te trekken. Daarnaast zijn er patches uitgerold om de systeembeveiliging te versterken, zijn bepaalde sleutels geroteerd en is de monitoring op alle platforms uitgebreid.

De melding van Instructure heeft geleid tot waarschuwingen van tal van universiteiten wereldwijd. De Tilburgse universiteit liet weten: "Op 4 mei is een beveiligingsincident gemeld bij de ontwikkelaar van Canvas, Instructure. Op dit moment wordt onderzocht wat er precies is gebeurd en welke systemen zijn geraakt. Het is nog niet bevestigd of gegevens van studenten en medewerkers van Tilburg University zijn getroffen." Ook de Universiteit Maastricht heeft haar studenten gewaarschuwd voor de mogelijke impact van het datalek. In de Verenigde Staten hebben onder andere de University of Massachusetts, de University of Virginia, de University of Texas en Rutgers University soortgelijke waarschuwingen uitgegeven. Alle waarschuwende universiteiten benadrukken dat de omvang van de impact op hun eigen studenten en medewerkers nog onduidelijk is.

Bron: Instructure | Bron 2: canvas.virginia.edu | Bron 3: tech.utexas.edu

ShinyHunters heeft de volledige lijst vrijgegeven van naar eigen zeggen 9.000 scholen die zijn getroffen door de dataschending bij onderwijssoftwarebedrijf Instructure. De publicatie van de lijst dient als drukmiddel, met als deadline 7 mei 2026 voor betaling, waarna de groep dreigt alle gestolen data openbaar te maken.

De groep claimt in totaal 275 miljoen gebruikersvermeldingen te bezitten van studenten, docenten en medewerkers verbonden aan de getroffen instellingen. Eerder werd bevestigd dat 44 Nederlandse instellingen zijn getroffen. Instructure heeft de inbreuk bevestigd maar de door ShinyHunters geclaimde omvang niet geverifieerd. Het bedrijf stelt dat wachtwoorden, geboortedata en financiele gegevens niet zijn buitgemaakt.

Betrokkenen bij getroffen instellingen worden geadviseerd waakzaam te zijn voor gerichte phishingberichten die gebruikmaken van persoonlijke gegevens uit het lek. Nederlandse instellingen kunnen contact opnemen met het NCSC voor aanvullend advies.

Bron: Cybercrimeinfo

Zeven Nederlandse universiteiten zijn getroffen door een cyberaanval gericht op Instructure, het bedrijf dat de onderwijssoftware Canvas levert. De koepelorganisatie Universiteiten van Nederland (UNL) heeft gemeld dat de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, de Erasmus Universiteit Rotterdam, Tilburg University, de Technische Universiteit Eindhoven, Universiteit Maastricht en Universiteit Twente zijn geraakt.

De aanval is opgeëist door de cybercriminele groep ShinyHunters. Details over de aard van de aanval op Instructure en de specifieke impact op de data van de universiteiten zijn niet verder gespecificeerd in de melding. Het is nog onduidelijk welke gegevens precies zijn gecompromitteerd of welke gevolgen dit heeft voor studenten en medewerkers van de getroffen instellingen.

Bron: Universiteiten van Nederland (UNL)

Het Belgische bedrijf European Truck Trailer Parts (ETTP), gevestigd in Roeselare, is op 6 mei 2026 het slachtoffer geworden van een ransomwareaanval. Cybercrimeinfo ontdekte de claim van de ransomwaregroep Safepay via het darkweb.

ETTP is gespecialiseerd in originele Volvo en Renault onderdelen voor trucks en trailers, en is actief in meer dan 76 landen. Via de website ettp.be biedt het bedrijf OEM en aftermarket onderdelen aan voor vrachtwagens, aanhangers, bussen en bouwvoertuigen.

De ransomwaregroep Safepay staat erom bekend bedrijfsdata te stelen en vervolgens systemen te versleutelen. Slachtoffers worden geconfronteerd met een eis tot losgeld in ruil voor een decryptiesleutel en de belofte gestolen data niet openbaar te maken. Details over de omvang van de aanval of de hoeveelheid gestolen data zijn op dit moment niet bekendgemaakt.

Bron: Darkweb monitoring

ETS Fabritius SPRL, een Belgisch familiebedrijf actief in de productie van temperatuurmeetapparatuur, is op 6 mei 2026 het slachtoffer geworden van een ransomwareaanval. Cybercrimeinfo ontdekte de claim van de ransomwaregroep The Gentleman via het darkweb. De aanval zelf wordt geschat op 29 april 2026.

Fabritius heeft wortels die teruggaan tot 1945 en is al drie generaties lang actief in het produceren van thermokoppels en weerstandsthermometers. Het bedrijf is online te vinden via fabritius.be. De productiesector is een veelgekozen doelwit voor ransomwaregroepen, mede door de kritieke aard van productieprocessen waarbij stilstand hoge kosten met zich meebrengt.

The Gentleman staat erom bekend na een succesvolle inbraak in bedrijfsnetwerken gevoelige data te stelen en systemen te versleutelen, gevolgd door een eis tot losgeld. Details over de omvang van de aanval of de gestolen data zijn op dit moment niet verder bekendgemaakt.

Bron:Darkweb monitoring

C2O Architects, een Belgisch architecten en stedenbouwkundig bureau gevestigd in Asse (Vlaams-Brabant), is op 6 mei 2026 het slachtoffer geworden van een ransomwareaanval. Cybercrimeinfo ontdekte de claim van de ransomwaregroep The Gentleman via het darkweb.

C2O Architects bv is opgericht in 2000 en werkt aan uiteenlopende projecten, van kleine renovaties tot grootschalige publieke werken. Het multidisciplinaire team bestaat uit architecten, een civiel ingenieur architect, een stedenbouwkundige en een interieurarchitect. Het bureau maakt gebruik van driedimensionale modellering via Revit BIM.

De ransomwaregroep The Gentleman hanteert een werkwijze waarbij gevoelige bedrijfsdata gestolen wordt, waarna systemen en bestanden worden versleuteld. Het bureau is bereikbaar via c2o-architects.be. Details over de omvang van de aanval zijn op dit moment niet bekendgemaakt door de aanvallers.

Bron: Darkweb monitoring

Een Belgische sport en fitnessketen, bekend onder de merknaam Animo, mogelijk het slachtoffer is geworden van een datalek. Een dreigingsactor, opererend onder de naam Shabat, beweert een database met klantgegevens van het bedrijf te verkopen op het darkweb. De database zou ongeveer 105.000 records van klanten bevatten, inclusief zeer gevoelige IBAN bankgegevens.

De dreigingsactor biedt de dataset aan in JSON-formaat en hanteert een getrapte prijsstelling. De kosten bedragen $90 voor elke 1.000 records van klanten, of $8.500 voor de volledige database. De claim van deze dataverkoop verscheen op 6 mei 2026. De gelekte gegevens omvatten een breed scala aan persoonlijke en financiële informatie van de klanten van de Belgische sportketen.

De gestolen data omvatten persoonlijke identificatiegegevens zoals het ID en het nummer van de klant, de voornaam, achternaam, geboortedatum, leeftijd en het geslacht van de klanten. Daarnaast bevat de database informatie over de status van de klant, hun kaartnummer, en volledige contactgegevens, waaronder straatnaam, huisnummer, postcode en stad. Ook zijn e-mailadressen en zowel privé- als mobiele telefoonnummers opgenomen in de gelekte set.

Op financieel gebied zijn het accountbedrag, het verbruikskrediet en het later verkooptegoed buitgemaakt. Eveneens is de tijd van de laatste check-in van de klant in de systemen van Animo opgenomen in de gelekte informatie. Van bijzonder kritieke aard is de aanwezigheid van volledige IBAN en BIC bankgegevens, samen met de naam van de rekeninghouder en het BTW-nummer. Deze combinatie van gegevens vormt een aanzienlijk risico voor de financiële privacy van de getroffen individuen en kan aanleiding geven tot identiteitsfraude en financiële oplichting. Tot slot bevat de gelekte informatie ook namen van campagnes en URL's van afbeeldingen, wat duidt op een brede omvang van de gecompromitteerde database. Dit incident benadrukt opnieuw de kwetsbaarheid van bedrijven die grote hoeveelheden persoonlijke en financiële gegevens van klanten beheren.

Bron: Darkweb

Verschillende Belgische hogescholen en universiteiten zijn het slachtoffer geworden van een cyberaanval op het leerplatform Canvas, waarbij mogelijk persoonsgegevens van duizenden studenten en medewerkers zijn gelekt. Onder de getroffen instellingen bevinden zich de Vrije Universiteit Brussel (VUB), Thomas More, Arteveldehogeschool, Erasmushogeschool en CVO Gent. Het incident werd gemeld door onder meer VRT en De Telegraaf.

De bekende hackersgroep Shinyhunters wordt door De Telegraaf aangewezen als de mogelijke dader achter de aanval. De kwaadwillenden wisten het leerplatform Canvas binnen te dringen. Het platform heeft inmiddels maatregelen genomen en is weer volledig operationeel.

De exacte aantallen Belgische studenten en medewerkers die getroffen zijn, zijn nog niet bekendgemaakt. Wereldwijd zouden volgens De Telegraaf meer dan 275 miljoen gebruikers zijn getroffen door de groep Shinyhunters. In Nederland zijn 44 onderwijsinstellingen getroffen.

De impact van de hack verschilt per instelling. De VUB heeft laten weten dat er in hun geval geen persoonlijke gegevens van studenten of medewerkers zijn buitgemaakt. Echter, de Arteveldehogeschool in Gent meldt wel dat er privégegevens zijn gestolen, waaronder namen, e-mailadressen en volgnummers.

Naar aanleiding van dit datalek is het van cruciaal belang dat de getroffen studenten en medewerkers extra waakzaam zijn voor verdachte communicatie. Gestolen informatie kan door cybercriminelen worden misbruikt voor gerichte aanvallen, zoals phishing, om zo toegang te krijgen tot accounts of verdere gegevens te ontfutselen. Dit incident volgt op een eerdere cyberaanval op een school in Berchem enkele maanden geleden, waarbij losgeld werd geëist.

Bron: ITdaily.be | Bron 2: telegraaf.nl

De pornosite Motherless, die tienduizenden verdachte video's met misbruik host, draait al minstens sinds 2024 op servers van het Nederlandse bedrijf Nforce, gevestigd in Steenbergen, Noord-Brabant. Dit blijkt uit onderzoek van NOS en Nieuwsuur, gepubliceerd op 7 mei 2026. Nforce stond in 2020 bovenaan de ranglijst van de TU Delft als Nederlandse hosting provider met de meeste gedetecteerde materiaal van kindermisbruik (CSAM).

Directeur Simon Shlomi Elimelech ontkent verantwoordelijkheid en stelt dat Nforce alleen infrastructuur levert. Een analyse van NOS van 20.000 video's die tussen 1 en 7 mei 2026 op Motherless verschenen, toonde aan dat 'incest' de op twee na populairste tag was, na 'teen' en 'amateur', met samen 60 miljoen views in één week.

Expertise bureau Offlimits ontving in 2026 al 142 meldingen over 12.000 video's, waarvan 25 gevallen materiaal van kindermisbruik betroffen. De site trekt 62 miljoen maandelijkse bezoekers en is nog steeds online. De Nederlandse toezichthouder Autoriteit Consument en Markt (ACM) noemt de situatie 'zorgwekkend', maar geeft aan zelf geen content offline te kunnen halen. Het Openbaar Ministerie heeft een lopend onderzoek noch bevestigd noch ontkend. Moedermaatschappij Kick Online Entertainment S.A. uit Luxemburg werd in februari 2026 beboet door de Britse toezichthouder Ofcom wegens ontbrekende verificatie van leeftijd.

Bron: NOS

Het onderwijsplatform Canvas is wederom het doelwit geworden van de cybercriminele groepering ShinyHunters. Studenten die gebruikmaken van het platform kregen gisterenavond binnen de Canvas-omgeving een melding te zien waarin de aanvallers claimen de leverancier van Canvas, Instructure, opnieuw te hebben gecompromitteerd. Dit incident volgt op een eerdere aanval waarbij dezelfde groep de gegevens van miljoenen studenten wist te stelen. Na de melding is het platform offline gehaald, wat gevolgen had voor studenten die op dat moment bezig waren met examens.

Canvas is een web-gebaseerd Learning Management System (LMS) dat onderwijsinstellingen in staat stelt lesmateriaal aan te bieden en studenten te faciliteren bij het indienen van werk, het uitwisselen van berichten en samenwerking. Instructure, de leverancier van Canvas, stelt dat wereldwijd zevenduizend onderwijsinstellingen van het platform gebruikmaken en dat het meer dan tweehonderd miljoen gebruikers telt.

ShinyHunters beweert nu de gegevens in handen te hebben van bijna negenduizend onderwijsinstellingen en 275 miljoen personen, waaronder zowel studenten als docenten. Belangrijk is dat deze claim ook Nederlandse onderwijsinstellingen omvat. De criminelen dreigen de gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. In de boodschap die gisterenavond in de Canvas-omgeving werd getoond, werd tevens aangegeven dat onderwijsinstellingen ook individueel losgeld kunnen betalen om te voorkomen dat hun specifieke Canvas-data op internet verschijnt. De deadline voor Instructure is verlengd tot 12 mei. Instructure heeft tot op heden nog niet gereageerd op dit meest recente incident.

Bron: Onderwijsplatform Canvas opnieuw

Eind april zijn hackers ingebroken bij Instructure, het Amerikaanse bedrijf achter het wereldwijd gebruikte onderwijsplatform Canvas. De aanval, die plaatsvond op 30 april, resulteerde in het buitmaken van maar liefst 3,65 terabyte aan data van ongeveer 275 miljoen gebruikers. Onder de getroffen organisaties bevinden zich duizenden onderwijsinstellingen wereldwijd, waaronder minstens acht Belgische en 44 Nederlandse hogescholen en universiteiten.

De verantwoordelijkheid voor de cyberaanval wordt geclaimd door de criminele groep ShinyHunters, een bekende actor die eerder al data stal van grote bedrijven zoals Ticketmaster en AT&T. De groep beweert toegang te hebben gehad tot de systemen van bijna 9.000 onderwijsinstellingen.

De gelekte data omvat namen, e-mailadressen, studenten ID-nummers en de inhoud van privéberichten die via Canvas tussen studenten en docenten zijn uitgewisseld. Indien studenten een persoonlijk e-mailadres hadden ingevoerd in Canvas, is ook dit adres gelekt. Instructure heeft bevestigd dat wachtwoorden, financiële gegevens en geboortedata niet zijn buitgemaakt.

In Nederland zijn onder andere de Universiteit van Amsterdam en de Vrije Universiteit getroffen. Op de lijst die de hackers online publiceerden, staan ook meerdere Belgische instellingen, waaronder de Vrije Universiteit Brussel, Thomas More, Arteveldehogeschool, Karel de Grote Hogeschool, CVO Gent en de Erasmushogeschool Brussel.

De Erasmushogeschool Brussel heeft haar studenten per e-mail geïnformeerd over het datalek en bevestigd dat hun naam, voornaam, e-mailadres en de inhoud van Canvas-berichten effectief zijn gelekt. De hogeschool heeft aangifte gedaan bij de Gegevensbeschermingsautoriteit en het Centrum voor Cybersecurity België. Studenten wordt geadviseerd de komende weken extra waakzaam te zijn voor verdachte e-mails en geen links of bijlagen te openen die vragen om in te loggen of gegevens door te sturen. Canvas zou inmiddels weer veilig zijn voor gebruik.

ShinyHunters heeft Instructure een ultimatum gesteld, als het bedrijf niet betaalt vóór 8 mei, worden alle gestolen gegevens openbaar gemaakt. Dit is de tweede grote hack voor Instructure in acht maanden tijd; in september wist ShinyHunters al binnen te dringen via een aanval op de Salesforce omgeving van het bedrijf.

Bron: Instructure

De ransomwaregroep ShinyHunters heeft op 09 mei 2026 laten weten geen verdere uitspraken te zullen doen over de recente hack van Canvas LMS. Deze mededeling komt na een cyberaanval die potentieel impact heeft gehad op gebruikers van het educatieve platform.

Een opvallende ontwikkeling hierbij is dat Instructure, het moederbedrijf van Canvas, niet vermeld staat op het "Pay or Leak" afpersingsportaal van ShinyHunters. Het ontbreken van Instructure op deze leksite kan duiden op verschillende scenario's. Een mogelijke verklaring is dat er achter de schermen een schikking is bereikt tussen de getroffen organisatie en de cybercriminelen, waarbij een losgeldbetaling is gedaan om publicatie van gestolen gegevens te voorkomen. Een andere mogelijkheid is dat ShinyHunters een afwijkende strategie hanteert die niet inhoudt dat de naam van Instructure publiekelijk wordt vermeld op hun gebruikelijke afpersingskanaal. De precieze reden voor de afwezigheid op het portaal is echter niet bevestigd.

Voor Nederlandse en Belgische universiteiten die gebruikmaken van Canvas en die mogelijk getroffen zijn door de hack, is het van belang om de situatie nauwlettend te blijven monitoren. Ondanks de stilte van ShinyHunters en de afwezigheid van Instructure op de leksite, blijft waakzaamheid geboden om eventuele risico's adequaat te kunnen beheren.

Bron: Cybercrimeinfo

Het Nederlandse bedrijf VeriCon is het recente slachtoffer geworden van een aanval met ransomware, uitgevoerd door de dreigingsactor die bekendstaat als 'thegentlemen'. De aanval werd op 9 mei 2026 ontdekt, waarbij VeriCon's website, vericon.nl, direct in verband wordt gebracht met het incident.

Ransomwaregroepen zoals thegentlemen hanteren een beproefde tactiek die aanzienlijke schade kan toebrengen aan getroffen organisaties. Deze methode omvat doorgaans het stelen van gevoelige bedrijfsdata, gevolgd door het versleutelen van kritieke systemen en bestanden. Na de succesvolle compromittering wordt losgeld geëist van het slachtoffer, vaak onder dreiging van publicatie van de gestolen gegevens op het darkweb of permanente ontoegankelijkheid van de versleutelde informatie.

De ontdekking van deze ransomware aanval op VeriCon, zoals gemonitord door Cybercrimeinfo op het darkweb, benadrukt de voortdurende dreiging die uitgaat van cybercriminelen, die zich richten op bedrijven in diverse sectoren. Voor organisaties in Nederland en België blijft het essentieel om proactieve maatregelen te nemen ter bescherming tegen dergelijke aanvallen, waaronder robuuste back-upstrategieën, regelmatige beveiligingsupdates en bewustzijnstrainingen voor medewerkers. Cybercrimeinfo blijft de activiteiten van thegentlemen en andere ransomwaregroepen nauwlettend volgen om bedrijven en professionals te informeren over de nieuwste ontwikkelingen in het dreigingslandschap.

Bron: Cybercrimeinfo

Op een cybercrimeforum werd een advertentie geplaatst voor een dataset genaamd "Belgium Old People Phone Data". Een dreigingsactor beweert te beschikken over persoonsgegevens die gerelateerd zijn aan telefoons van oudere Belgen. De actor biedt via ondergrondse kanalen toegang aan tot een sample van deze data. De exacte omvang, de actualiteit en de precieze inhoud van de dataset zijn op dit moment onbevestigd.

Het aanbieden van dergelijke datasets op het darkweb vormt een aanzienlijk risico, vooral wanneer deze gericht zijn op kwetsbare groepen zoals ouderen. De beschikbare informatie kan misbruikt worden voor diverse vormen van fraude. Specifieke risico's omvatten telefoonfraude, vishing (phishing via de telefoon), bankimpersonatie, medische fraude en SMS phishing. Deze methoden kunnen leiden tot financiële schade of identiteitsdiefstal bij de getroffen senioren. De impact van een dergelijk datalek strekt zich uit tot de Belgische senioren wiens gegevens zijn gelekt, en indirect ook tot hun familie en naasten die mogelijk doelwit kunnen worden van gerelateerde oplichtingspraktijken.

Bron: Cybercrimeinfo

Verschillende universiteiten en onderwijsinstellingen voeren gesprekken met de criminele groepering ShinyHunters over het betalen van losgeld. Het doel hiervan is om publicatie te voorkomen van gestolen data van studenten en docenten. Deze informatie is gemeld door persbureau Reuters en IT-journalist Brian Krebs, die zich baseren op anonieme bronnen. De groep wist in te breken op het onderwijsplatform Canvas, geleverd door Instructure, en heeft hierbij naar verluidt gegevens van 275 miljoen gebruikers buitgemaakt.

Canvas is een webgebaseerd Learning Management System (LMS) dat onderwijsinstellingen gebruiken om lesmateriaal aan studenten aan te bieden. Via dit platform kunnen studenten werk indienen, berichten uitwisselen en samenwerken. Nadat de data was gestolen, eisten de cybercriminelen losgeld. Zij dreigden de gestolen informatie anders via hun eigen website openbaar te maken. ShinyHunters meldde op hun website dat Instructure zelf niet bereid was tot onderhandelingen. Daarop riep de groep onderwijsinstellingen op om individueel met hen te onderhandelen om zo publicatie van de data te voorkomen. De criminelen slaagden er zelfs in om een melding met deze oproep te tonen aan gebruikers die wilden inloggen op de Canvas omgeving.

Instructure heeft op een informatiepagina aangegeven dat voor de inbraak misbruik is gemaakt van een kwetsbaarheid met betrekking tot support tickets in hun "Free for Teacher"-omgeving. Deze specifieke omgeving is inmiddels uitgeschakeld. Verdere details over de aard van de kwetsbaarheid zijn niet bekendgemaakt. Instructure heeft wel aangekondigd Indicators of Compromise (IOC's) met haar klanten te zullen delen. Na kritiek van klanten erkent Instructure dat het sneller en met meer informatie had moeten komen. Het bedrijf bleef dagenlang stil, waardoor klanten onzeker waren over de situatie. Instructure heeft beloofd dit in de toekomst anders aan te pakken. Als reactie op het incident hebben Nederlandse universiteiten hun Canvas omgeving preventief offline gehaald.

Bron: Reuters

Autofabrikant Skoda heeft recentelijk een datalek ontdekt in het online shopsysteem, waardoor persoonlijke gegevens van klanten mogelijk zijn blootgesteld. Na de ontdekking van de inbraak werd de webwinkel direct offline gehaald. Het datalek betreft gevoelige informatie zoals namen, adresgegevens, e-mailadressen, telefoonnummers, bestelgegevens en wachtwoordhashes.

Skoda heeft via een melding op de eigen website laten weten dat het door de aard van de bestaande protocollen niet met terugwerkende kracht kan vaststellen welke specifieke gegevens door de aanvallers zijn ingezien en gekopieerd. De autofabrikant kan echter niet uitsluiten dat cybercriminelen toegang hebben verkregen tot klantgegevens. De aanvallers wisten binnen te dringen via een niet nader gespecificeerde kwetsbaarheid in de gebruikte shopsoftware. Dit probleem is inmiddels verholpen. Het datalek is tevens gemeld bij de betreffende privacytoezichthouder.

Klanten van Skoda die eenzelfde of een soortgelijk wachtwoord voor de shop van Skoda elders gebruiken, worden dringend geadviseerd deze wachtwoorden onmiddellijk te wijzigen. Het is van cruciaal belang om voor elke online dienst een uniek en sterk wachtwoord te gebruiken om de impact van dergelijke incidenten te minimaliseren. Daarnaast adviseert Skoda klanten om extra alert te zijn op verdachte e-mails en andere berichten die betrekking hebben op bestellingen in de shop van Skoda. Dergelijke berichten kunnen pogingen tot phishing zijn, waarbij aanvallers proberen om verdere persoonlijke informatie te ontfutselen. De officiële melding over het datalek is verschenen op de Duitse website van Skoda, maar in het bericht wordt niet expliciet vermeld dat het incident uitsluitend Duitse klanten betreft. Dit impliceert dat klanten buiten Duitsland, waaronder mogelijk die in Nederland en België, eveneens getroffen kunnen zijn.

Bron: Skoda

De cyberaanval op de Citrix-omgeving van het Openbaar Ministerie (OM) vorig jaar heeft geleid tot aanzienlijke operationele verstoringen, waaronder een achterstand van duizenden rechtszaken en een merkbare stijging in het ziekteverzuim van medewerkers. Deze bevindingen zijn vandaag door de organisatie zelf bekendgemaakt bij de presentatie van het Jaarbericht 2025.

Op 17 juli vorig jaar nam het Openbaar Ministerie uit voorzorg het besluit om zijn interne systemen los te koppelen van het internet. Deze maatregel volgde op een waarschuwing van het Nationaal Cyber Security Centrum (NCSC) dat er mogelijk misbruik werd gemaakt van een kwetsbaarheid in de Citrix software. Deze software werd door het OM gebruikt om medewerkers op afstand te laten werken. Als direct gevolg van de ontkoppeling moest het werk gedurende meerdere maanden worden voortgezet via noodprocessen.

Rinus Otte, voorzitter van het College van procureurs-generaal, beschrijft de situatie als een terugval naar werkwijzen van dertig jaar geleden. Waar informatie voorheen met een muisklik beschikbaar was, kostte het nu uren of zelfs dagen om deze te verkrijgen, vaak via vele handmatige handelingen. Medewerkers waren genoodzaakt dossiers te printen en konden alleen nog op kantoor werken. Informatie-uitwisseling met ketenpartners verliep via post, koeriersdiensten of werd handmatig door medewerkers overgebracht, waarna de gegevens opnieuw in systemen moesten worden ingevoerd.

De gevolgen van deze hack waren aan het einde van vorig jaar nog niet volledig weggewerkt. Het jaar 2025 werd afgesloten met een resterende achterstand van ongeveer 9000 lichtere misdrijfzaken, veelal zonder slachtoffer, die nog moesten worden opgepakt. Naast de operationele achterstanden had de hack van Citrix ook een impact op het welzijn van het personeel. Het ziekteverzuim, dat in de eerste helft van 2025 een voortschrijdend jaargemiddelde van 5,4 procent bedroeg, steeg in de periode van augustus tot en met december naar percentages tussen de 6 en 7,7 procent. Het gemiddelde ziekteverzuim over heel 2025 kwam daarmee uit op 6,2 procent.

Bron: Openbaar Ministerie

De Akira ransomwaregroep heeft twee nieuwe slachtoffers toegevoegd aan haar portaal op het darkweb, zo is ontdekt door Cybercrimeinfo. Onder de geclaimde organisaties bevindt zich Nijborg Staal, een bedrijf gevestigd in Nederland. Daarnaast claimt de groep ook Circle U Foods, Inc., een onderneming uit de Verenigde Staten, te hebben getroffen.

De Akira ransomwaregroep staat bekend om haar agressieve tactieken, waarbij doorgaans data wordt versleuteld en gestolen van getroffen systemen. De groep eist vervolgens losgeld in ruil voor de decryptiesleutel en het niet publiceren van de gestolen gegevens. Het toevoegen van organisaties aan hun portaal op het darkweb is een veelgebruikte methode om druk uit te oefenen op slachtoffers om aan de losgeldeisen te voldoen.

In dit specifieke geval heeft de ransomwaregroep de namen van de bedrijven openbaar gemaakt als bewijs van hun claims. Details over de aard van de aanval, de omvang van de eventueel gestolen data, of de impact op de bedrijfsvoering van Nijborg Staal en Circle U Foods, Inc. zijn op dit moment niet bekendgemaakt door de aanvallers of de getroffen bedrijven. Het is belangrijk te benadrukken dat het hier gaat om claims van de ransomwaregroep, die niet onafhankelijk zijn bevestigd door de getroffen partijen.

Bron: Darkweb

Op een ondergronds forum is een vermeende database van de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW.nl) te koop aangeboden. Een dreigingsactor claimt dat de dataset meer dan 60 miljoen records bevat van gebruikers van een academische en onderzoeksinstelling. De beweerdelijk aanwezige velden omvatten gebruikers ID's, e-mailadressen, titels en initialen, achternamen, telefoonnummers, vakdisciplines en afdelingen, organisatieverbanden, fysieke adressen, postcodes, steden, landen, rollen, laatste inlogtijdstempels, aanmaakdatums van accounts en wachtwoord hashes in SHA formaat. De data wordt verspreid in CSV formaat.

Cybercrimeinfo plaatst kanttekeningen bij het opgegeven aantal records. Het ongewoon hoge aantal van 60 miljoen suggereert mogelijk een samenvoeging van meerdere bronnen, de aanwezigheid van duplicaten, het gebruik van historische datasets of een overdrijving van de omvang. De claims van de dreigingsactor zijn op dit moment niet onafhankelijk bevestigd.

De KNAW is eerder betrokken geweest bij cyberincidenten. In november 2025 werd de instelling getroffen door een phishingincident waarbij e-mailadressen van medewerkers uitlekten. Ook in juli 2024 was er een kleinere inbreuk, waarbij 37.000 records met wachtwoord hashes openbaar werden. Betrokkenen bij de KNAW wordt aangeraden hun wachtwoorden te wijzigen en extra alert te zijn op phishingpogingen om verdere schade te voorkomen.

Bron: Cybercrimeinfo

Telecombedrijf Odido heeft pas twee dagen na de daadwerkelijke diefstal van klantgegevens, en na een directe melding van de hackersgroep, ontdekt dat miljoenen klantgegevens waren gestolen. Dit heeft topvrouw Tisha van Lammeren van Odido laten weten. De aanval vond begin februari plaats, waarbij de conclusie van een intern onderzoek op de dag van de hack was dat er geen gegevens waren ontvreemd.

De criminele groep ShinyHunters was verantwoordelijk voor de hack bij Odido, die ook leidde tot de diefstal van klantgegevens van telecomprovider Ben. Nadat Odido weigerde losgeld te betalen, publiceerde ShinyHunters de gegevens van ruim zes miljoen mensen op het darkweb. Van Lammeren beschreef deze dag als "een donkere dag" voor het bedrijf. Dit is de eerste keer dat de directie van Odido in de media terugblikt op het incident. De topvrouw erkent ook dat de communicatie rondom de aanval beter had gekund, aangezien klanten het bedrijf de stilte kwalijk namen.

Odido heeft inmiddels een gedetailleerd beeld van de gebeurtenissen. Een hacker van ShinyHunters benaderde een medewerker van de Odido klantenservice, zich voordoend als iemand van de IT-afdeling. De hacker wist de medewerker te overtuigen om in te loggen op een valse versie van de werkomgeving, waardoor de inloggegevens van de medewerker werden gestolen. Hoewel Odido het gecompromitteerde account binnen een uur blokkeerde, bleek dit te laat. Binnen die korte tijd waren de gegevens van miljoenen klanten al gedownload. De snelheid van de aanval kwam als een verrassing voor het bedrijf.

De inbraak in het systeem werd destijds wel opgemerkt, maar de diefstal van de gegevens zelf niet. Er ging geen alarm af toen de gegevens op 5 februari werden gedownload. Zowel Odido als een ingeschakeld cybersecuritybedrijf concludeerden na onderzoek op die dag dat er geen gegevens waren gestolen. Pas toen ShinyHunters op 7 februari een bericht stuurde met de claim dat zij klantgegevens hadden gestolen, werd de omvang van de situatie duidelijk. Van Lammeren gaf aan dat de hackers geavanceerde technieken gebruikten om de diefstal op de achtergrond te laten plaatsvinden, waardoor deze onopgemerkt bleef.

Ook de volledige omvang van de diefstal bleef lange tijd onduidelijk. Pas begin maart, nadat ShinyHunters alle gegevens op het darkweb had gepubliceerd, ontdekte Odido dat ook gegevens van zakelijke klanten waren gestolen. Aanvankelijk dacht het bedrijf dat alleen consumenten van Ben en Odido waren getroffen. Onder de gestolen informatie bevonden zich ook gevoelige aantekeningen over kwetsbare klanten.

De topvrouw verklaart dat de lange periode van onduidelijkheid de reden was voor de beperkte communicatie naar de miljoenen klanten. Ze noemt dit de belangrijkste les van de cyberinbraak. Enkele dagen na de hack verstuurde Odido 6,2 miljoen berichten naar (oud-)klanten van Odido en Ben met de melding dat hun gegevens mogelijk waren gestolen, en plaatste het bedrijf informatie op de website. Achteraf gezien had Odido eerder en vaker moeten communiceren, ook over de onbekende aspecten. Het bedrijf heeft vandaag zijn informatiepagina over de hack aangevuld, inclusief de reden waarom besloten werd geen losgeld te betalen, een besluit waar Odido nog steeds achter staat.

Momenteel lopen er nog twee onderzoeken door toezichthouders naar de inbraak, gericht op de beveiliging van het klantensysteem en de naleving van bewaartermijnen voor klantgegevens. De duur van deze onderzoeken is nog onbekend. Odido streeft ernaar het vertrouwen van klanten te herwinnen, aangezien dit door het incident is geschaad.

Bron: ster.nl

Klanten van de Nederlandse telecomprovider Odido zijn momenteel het actieve doelwit van cybercriminelen. Deze aanvallen maken misbruik van eerder gelekte data, wat de ernst van de situatie benadrukt. De criminelen gebruiken de verkregen informatie om specifieke klanten te benaderen, mogelijk via phishing, smishing of andere social engineering-technieken, hoewel de exacte methoden niet gespecificeerd zijn in de alert. De focus ligt op het feit dat de gelekte data nu daadwerkelijk wordt ingezet voor criminele activiteiten.

De impact van deze actieve targeting is aanzienlijk voor de getroffen Odido-klanten. De situatie heeft reeds geleid tot concrete juridische stappen. Zo heeft de Consumentenbond (CUIC) een collectieve actie ingesteld om de belangen van de gedupeerden te behartigen en compensatie te eisen voor de geleden schade.

Daarnaast heeft het Openbaar Ministerie (OM) in Nederland een strafrechtelijk onderzoek geopend naar de incidenten. Dit onderzoek richt zich op de criminele activiteiten die voortkomen uit het misbruik van de gelekte data. De betrokkenheid van het OM onderstreept de juridische en maatschappelijke implicaties van het datalek en het daaropvolgende misbruik. Het onderzoek zal naar verwachting de verantwoordelijken identificeren en vervolgen, en de omvang van de schade verder in kaart brengen. Deze ontwikkelingen benadrukken de langetermijngevolgen van datalekken, waarbij gelekte informatie zelfs na geruime tijd nog kan worden misbruikt voor nieuwe criminele offensieven.

Bron: Cybercrimeinfo

De Nederlandse telecomprovider Odido is op 5 en 6 februari jongstleden het doelwit geweest van een succesvolle phishing aanval via de telefoon, uitgevoerd door de bekende dreigingsgroep ShinyHunters. Bij deze aanval hebben de cybercriminelen zich voorgedaan als personeel van de IT-afdeling om toegang te krijgen tot de systemen van Odido. Salesforce is een veelgebruikt platform voor klantrelatiebeheer (CRM), waarin vaak gevoelige klantgegevens en bedrijfsinformatie worden opgeslagen. De analyse vermeldt dat ShinyHunters erin geslaagd is om deze Salesforce-omgeving "tot de laatste druppel" leeg te halen, wat duidt op een grootschalige data-exfiltratie. De methode van phishing via de telefoon, ook wel voice phishing genoemd, toont de aanhoudende dreiging van social engineering. Hierbij proberen aanvallers via mondelinge communicatie slachtoffers te manipuleren om gevoelige informatie prijs te geven of specifieke acties uit te voeren. Door zich te presenteren als legitiem personeel van de IT-afdeling, konden de aanvallers het vertrouwen winnen en zo de benodigde toegangsgegevens of privileges verkrijgen. De gevolgen van het "leegtrekken" van een CRM-systeem zoals Salesforce kunnen aanzienlijk zijn. Dit kan leiden tot het stelen van klantgegevens, verkoopgegevens, communicatiegeschiedenis en andere bedrijfskritische informatie. Hoewel de exacte aard en omvang van de gestolen data niet gespecificeerd zijn in de alert, impliceert de formulering "tot de laatste druppel" een grondige compromittering van de data binnen het platform. Dit incident onderstreept het belang van robuuste beveiligingsmaatregelen tegen social engineering aanvallen, inclusief regelmatige training van personeel en de implementatie van multifactorauthenticatie (MFA) om ongeautoriseerde toegang te bemoeilijken, zelfs als inloggegevens via phishing zijn verkregen.

Bron: Cybercrimeinfo

Søren Abildgaard, de CEO van de Nederlandse telecomprovider Odido, heeft recentelijk een standpunt ingenomen over het datalek dat in februari van dit jaar plaatsvond. Abildgaard heeft aangegeven dat Odido geen compensatie zal verstrekken aan de maar liefst 6,2 miljoen klanten die getroffen werden door dit beveiligingsincident. Het lek wordt toegeschreven aan de cybercriminele groep ShinyHunters en heeft geleid tot de blootstelling van klantgegevens op grote schaal.

De verklaring van de Odido CEO benadrukt een beleid waarbij, ondanks de enorme impact en de potentiële risico's voor miljoenen individuen, het bedrijf afziet van financiële vergoedingen. In plaats van concrete compensatie heeft Abildgaard gesteld dat Odido "zal leren van deze ervaring". Deze uitspraak komt in de nasleep van een van de grootste recente cyberincidenten die de Nederlandse telecomsector en de privacy van een significant deel van de Nederlandse bevolking heeft geraakt.

Het datalek, dat zich in februari voltrok en waarbij de ShinyHunters betrokken waren, heeft bij de gedupeerde klanten onvermijdelijk vragen opgeroepen over de integriteit en veiligheid van hun persoonlijke informatie. De beslissing om geen compensatie aan te bieden, ondanks de omvang van 6,2 miljoen getroffen klanten, kan een breed debat veroorzaken over de verantwoordelijkheid die grote bedrijven dragen na grootschalige beveiligingsincidenten. Hoewel de intentie om te leren van de situatie op zich positief kan lijken, staat dit in schril contrast met de directe en indirecte gevolgen die een datalek kan hebben voor de betrokken personen, variërend van identiteitsdiefstal tot phishingpogingen.

De proportionaliteit van de reactie van Odido, waarbij geen financiële tegemoetkoming wordt geboden aan gedupeerden van een dergelijk massaal incident, zal naar verwachting onder een vergrootglas komen te liggen. Het benadrukt de complexiteit van het bepalen van passende maatregelen na een cyberaanval en de verwachtingen van consumenten ten aanzien van bescherming en genoegdoening. De uitspraak van de Odido CEO zal ongetwijfeld de discussie voeden over de ethische en juridische verplichtingen van bedrijven in de digitale economie, en hoe zij de belangen van hun klanten dienen te waarborgen na een inbreuk op hun gegevens. Dit incident onderstreept nogmaals de constante dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun cyberbeveiligingsstrategieën continu te evalueren en te verbeteren.

Bron: Cybercrimeinfo

Tisha van Lammeren, commercieel directeur bij het Nederlandse telecombedrijf Odido, heeft haar excuses aangeboden voor een recent datalek dat de organisatie heeft getroffen. In een reactie op het incident verklaarde Van Lammeren dat medewerkers van Odido persoonlijk zijn bedreigd als gevolg van het datalek. Deze bedreigingen onderstrepen de ernstige impact die dergelijke cyberincidenten kunnen hebben, niet alleen op de getroffen klanten, maar ook op het personeel van een organisatie.

Het datalek heeft geleid tot aanzienlijke onvrede onder de klanten van Odido. Een organisatie die zich richt op het initiëren van massaclaims heeft laten weten niet tevreden te zijn met de reactie van Odido op het incident. Deze organisatie bereidt een massaclaim voor, waarbij naar verluidt bijna een half miljoen mensen compensatie eisen voor de geleden schade of ongemakken als gevolg van het datalek. De omvang van deze potentiële claim wijst op een breed scala aan getroffen individuen en de ernst van de situatie. Details over de aard van het datalek en welke specifieke data zijn buitgemaakt, worden in de beschikbare informatie niet nader toegelicht, maar de focus ligt duidelijk op de gevolgen en de publieke reactie.

Bron: Odido verontschuldigt zich

Minister Sterk van Langdurige Zorg, Jeugd en Sport heeft laten weten dat zij niet kan aangeven wanneer de diverse onderzoeken naar de cyberaanval op Clinical Diagnostics zullen zijn afgerond. De samenwerking tussen Bevolkingsonderzoek Nederland en het laboratorium is na het incident nog altijd opgeschort. Bij de hack, die vorig jaar plaatsvond, werden de persoonlijke gegevens van een aanzienlijk aantal mensen gestolen.

Het datalek betrof de gegevens van 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker, evenals patiënten van privéklinieken en huisartsen. Clinical Diagnostics heeft destijds losgeld betaald aan de cybercriminelen in een poging publicatie van de gestolen data te voorkomen. De exacte oorzaak en de wijze waarop de aanval mogelijk was, zijn tot op heden niet openbaar gemaakt.

Na de hack kondigden de Inspectie Gezondheidszorg en Jeugd (IGJ), de Autoriteit Persoonsgegevens (AP) en het Openbaar Ministerie (OM) aan onderzoek te zullen doen. Diverse Kamerleden in de Tweede Kamer hebben de minister bevraagd over de voortgang van deze onderzoeken. Minister Sterk gaf aan dat zij, gezien de onafhankelijke positie van deze instanties, niet op de hoogte is van de verwachte afrondingsdatum van hun bevindingen.

Begin dit jaar sprak Bevolkingsonderzoek Nederland de wens uit de samenwerking met Clinical Diagnostics te hervatten. De minister bevestigde dat de samenwerking met Clinical Diagnostics (CD) is opgeschort sinds de bekendmaking van de hack en dat dit tot op heden nog steeds het geval is. Volgens Sterk is Clinical Diagnostics momenteel bezig met het verbeteren van de beveiliging van de informatie, gebaseerd op een eerder rapport. De minister benadrukt dat Bevolkingsonderzoek Nederland de samenwerking met het laboratorium pas zal hervatten wanneer de veiligheid van de gegevens van de deelnemers onafhankelijk is vastgesteld.

Bevolkingsonderzoek Nederland heeft een extern onderzoek laten uitvoeren naar de beveiliging van informatie bij Clinical Diagnostics. Dit onderzoek moest inzicht geven in de stand van zaken van de beveiliging van informatie van het laboratorium, om de veiligheid van de verwerking van bijzondere persoonsgegevens in relatie tot de dienstverlening aan Bevolkingsonderzoek Nederland te kunnen beoordelen. Het onderzoek omvatte een analyse van het operationele proces, de systemen van IT, de datastromen en de onderliggende infrastructuur van IT van Clinical Diagnostics. Voormalig staatssecretaris Tielen voor Jeugd, Preventie en Sport gaf eerder dit jaar al aan dat er op alle onderzochte punten tekortkomingen waren geconstateerd. Zij kon geen specifieke details over de onderzoeksbevindingen verstrekken, om openbaarmaking van gevoelige en vertrouwelijk verstrekte bedrijfsgegevens te voorkomen, maar liet wel weten "geschrokken" te zijn van de geconstateerde gebreken.

Bron: Tweede Kamer

Het Instituut voor de Nederlandse Taal (INT) heeft recentelijk besloten om diverse van zijn websites offline te halen, volgend op een cyberaanval die het instituut op 5 mei trof. Het INT, dat fungeert als kennisinstituut voor de Nederlandse taal en een breed scala aan taalsites beheert, heeft hierover een officiële melding op zijn eigen website geplaatst. Tevens is er een melding gedaan bij de Autoriteit Persoonsgegevens, zoals vereist bij incidenten waarbij persoonsgegevens mogelijk in gevaar zijn gekomen.

De exacte aard van de aanval is door het INT niet nader gespecificeerd in de verklaring. Wel heeft het instituut aangegeven dat het bezig is met de wederopbouw van zijn systemen, waarbij gebruik wordt gemaakt van beschikbare back-ups. De impact van de hack is aanzienlijk, het INT is momenteel niet bereikbaar via e-mail en alle websites en andere diensten blijven offline totdat het onderzoek volledig is afgerond en de systemen hersteld zijn.

De lijst van getroffen websites omvat alle domeinen die eindigen op -ivdnt.org, naast specifieke websites zoals ciplnet.com, etymologiebank.nl, kennisbank-begrijpelijketaal.nl, nederlandsedialecten.org, neerlandistiek.nl, overtaal.be, taaladvies.net, termtreffer.org, jiddischwoordenboek.nl en transcriptor.nl. Deze maatregel is genomen om verdere schade te voorkomen en de integriteit van de data en systemen te waarborgen.

Bron: Instituut voor de Nederlandse Taal

De Watergroep, een Belgisch drinkwaterbedrijf, waarschuwt klanten voor een nieuwe vorm van factuurfraude. Oplichters manipuleren legitieme facturen nadat deze in de mailbox van het slachtoffer zijn afgeleverd. Hierbij wordt het correcte rekeningnummer vervangen door een rekeningnummer dat toebehoort aan de fraudeurs. Deze methode van oplichting is enkel mogelijk wanneer de aanvallers toegang hebben verkregen tot de mailbox van het slachtoffer, wat duidt op een gecompromitteerd e-mailaccount.

Deze specifieke vorm van fraude is lastig te detecteren, omdat het geen valse phishingmail betreft. De ontvangen factuur ziet er authentiek uit; uitsluitend het rekeningnummer is aangepast. Gebruikers dienen daarom extra alert te zijn bij het controleren van facturen voordat zij tot betaling overgaan.

**Herkenning en preventie**

Om deze fraude te herkennen, adviseert De Watergroep om altijd kritisch te kijken naar het rekeningnummer op een factuur. Let op de volgende signalen:

*   Een rekeningnummer dat u niet herkent of dat niet automatisch wordt herkend door de bankapplicatie.

*   Een factuur die niet overeenkomt met de informatie in de officiële online klantenzone van De Watergroep.

*   Een rekeningnummer dat is weergegeven in een afwijkend lettertype of een andere opmaak dan de rest van de factuur.

Bij twijfel over een factuur van De Watergroep wordt geadviseerd om de factuur te controleren via de online klantenzone van het bedrijf of telefonisch contact op te nemen met de klantendienst via het officiële nummer op hun website. Betaal niet zolang er twijfel bestaat en maak geen gebruik van contactgegevens die in een mogelijk verdachte e-mail of bijlage staan. Deze voorzorgsmaatregelen gelden ook voor facturen van andere organisaties.

**Acties bij een gehackte mailbox**

Aangezien deze oplichtingspraktijk afhankelijk is van toegang tot de mailbox van het slachtoffer, is het van cruciaal belang om de beveiliging van het e-mailaccount onmiddellijk te herstellen. De volgende stappen dienen te worden ondernomen:

1.  Verander direct het wachtwoord van het e-mailaccount. Kies een sterk en uniek wachtwoord dat nergens anders wordt gebruikt.

2.  Activeer tweestapsverificatie (2FA) voor extra beveiliging.

3.  Controleer of er geen automatische doorstuurregels zijn ingesteld in de mailbox die e-mails doorsturen naar onbekende adressen.

4.  Controleer of er geen vreemde filters of regels actief zijn die e-mails verplaatsen of verbergen.

5.  Kijk na of er nog andere verdachte berichten in de mailbox aanwezig zijn.

6.  Verwittig contacten indien er vanuit het gehackte e-mailadres verdachte berichten zijn verstuurd.

7.  Indien hetzelfde wachtwoord ook op andere websites wordt gebruikt, dient dit daar eveneens te worden gewijzigd.

Wie slachtoffer is geworden van deze oplichting, wordt geadviseerd onmiddellijk actie te ondernemen en de richtlijnen van Safeonweb te volgen.

Bron: Safeonweb | Bron 2: dewatergroep.be

Cybercrimeinfo heeft op een ondergronds forum de claim van een dreigingsactor ontdekt over een dataset met persoonsgegevens van inwoners uit Nederland, België en Spanje. De actor beweert dat de data is verdeeld in bestanden die specifiek zijn voor elk land. Voor Nederland zou de dataset ongeveer 1,33 miljoen records bevatten, voor België circa 566.000 records en voor Spanje ongeveer 320.000 records, wat neerkomt op een totaal van meer dan 2 miljoen records.

De vermeende dataset zou een breed scala aan gevoelige informatie omvatten, waaronder volledige namen, geboortedata, geslacht, woonadressen, postcodes, telefoonnummers en e-mailadressen. Daarnaast worden ook bankgerelateerde gegevens genoemd, zoals IBAN en andere bankgegevens, evenals verwijzingen die gerelateerd zijn aan het BSN. De claim omvat tevens informatie over ouders en voogden, metadata over school en onderwijs, en inloggegevens.

De combinatie van identiteits en bankgegevens in één dataset brengt aanzienlijke risico's met zich mee voor de getroffen personen. Het verhoogt de kans op financiële fraude, identiteitsfraude, phishing en social engineering aanvallen, waarbij aanvallers de verkregen informatie kunnen misbruiken om slachtoffers te benaderen.

De herkomst en authenticiteit van de data die op het darkweb wordt aangeboden, zijn op dit moment niet bevestigd. Tevens zijn er op het moment van publicatie geen officiële meldingen gedaan door getroffen organisaties of autoriteiten die de claim kunnen onderschrijven.

Bron: Cybercrimeinfo

Het Centrum voor Cybersecurity België (CCB) heeft recentelijk een potentieel zorgwekkend bericht op het darkweb onderschept. In dit bericht wordt beweerd dat een onbekende partij in het bezit is van telefoongegevens van oudere personen die woonachtig zijn in België. Hoewel de authenticiteit van deze gegevens, de exacte herkomst en het precieze aantal potentieel betrokken personen nog onbevestigd zijn, nemen de autoriteiten deze melding serieus. Dergelijke beweringen verschijnen met enige regelmaat op criminele fora en onderstrepen een aanhoudende trend waarbij oudere personen steeds vaker het specifieke doelwit van gespecialiseerde online oplichters.

Naar aanleiding van deze darkweb-claim roept het CCB op tot extra waakzaamheid voor telefonische fraude, ook wel vishing genoemd, en smishing, fraude via sms. Oplichters hanteren diverse tactieken om hun slachtoffers te misleiden. Ze doen zich vaak voor als betrouwbare instanties, zoals een bank, een overheidsdienst, de politie, een telecombedrijf, een ziekenfonds, of zelfs als een familielid. Het doel is om het vertrouwen te winnen of om druk uit te oefenen, zodat slachtoffers snel en ondoordacht reageren.

De methoden van deze oplichters omvatten onder meer het beweren dat er een verdachte betaling op de rekening van het slachtoffer staat, dat de bankkaart of het account geblokkeerd zal worden, of dat er dringend geld moet worden overgemaakt. Ook kunnen ze beweren dat een computer of telefoon besmet is met malware, dat er een probleem is met het ziekenfonds, de verzekering of de administratie, of dat een familielid dringend hulp nodig heeft. Een veelvoorkomende tactiek is het vragen om een code door te geven via telefoon of sms om iets te "bevestigen" of te "beveiligen". Het CCB benadrukt dat betrouwbare organisaties nooit zullen vragen om pincodes of geheime codes telefonisch of via sms door te geven.

Deze waarschuwing is van bijzonder belang voor oudere personen, maar ook voor hun familieleden, mantelzorgers en zorgverleners. Iedereen die oudere familieleden helpt met bankzaken, administratie of digitale toestellen, en iedereen die onverwacht wordt opgebeld met een dringend verhaal, dient extra alert te zijn.

Om zich te beschermen tegen deze vormen van oplichting, adviseert het CCB om altijd zelf het officiële nummer van de betreffende bank, het bedrijf of de organisatie te bellen bij twijfel. Verdachte berichten dienen doorgestuurd te worden naar verdacht@safeonweb.be en daarna verwijderd te worden. Het is cruciaal om over dit onderwerp te praten met de omgeving, zoals ouders, grootouders, buren of andere mensen die minder bekend zijn met digitale oplichting. Een eenvoudige afspraak, zoals het nooit doorgeven van codes via telefoon of sms, zelfs als de situatie urgent lijkt, kan veel problemen voorkomen.

Bron: Centrum voor Cybersecurity België (CCB)

In de Tweede Kamer zijn vragen gesteld aan ministers Van Weel van Justitie en Veiligheid en Letschert van Onderwijs naar aanleiding van een omvangrijk datalek bij het onderwijsplatform Canvas. Naar verluidt hebben criminelen gegevens van 275 miljoen gebruikers van het platform gestolen, waaronder ook die van Nederlandse studenten. Eerder deze week heeft Instructure, de leverancier van Canvas, bekendgemaakt een overeenkomst te hebben gesloten met de verantwoordelijke criminelen, die logs zouden hebben gedeeld waaruit de vernietiging van de gestolen gegevens zou blijken.

Kamerleden El Boujdaini en Rooderkerk van D66 eisen opheldering van de bewindslieden. Zij willen onder meer weten hoeveel studenten, docenten en onderwijsmedewerkers van Nederlandse onderwijsinstellingen zijn getroffen en welke specifieke soorten persoonsgegevens daarbij zijn buitgemaakt. Daarnaast vragen de Kamerleden welke ondersteuning en informatie de getroffen personen ontvangen om misbruik van hun persoonsgegevens te voorkomen.

De D66 Kamerleden benadrukken ook het belang van duidelijkheid over de verwerking van persoonsgegevens via onderwijsplatformen zoals Canvas. Ze willen weten of voor studenten, docenten en onderwijsmedewerkers voldoende transparant is welke gegevens worden verwerkt, met welke externe partijen deze gegevens worden gedeeld en hoe deze gegevens worden beveiligd. Tot slot verwachten de Kamerleden van ministers Van Weel en Letschert een uiteenzetting over de lessen die uit dit incident worden getrokken en hoe de hack van Canvas wordt meegenomen bij de ontwikkeling van een helder handelingskader voor slachtoffers van datalekken. De ministers hebben een termijn van drie weken om de vragen te beantwoorden.

Bron: Instructure | Bron 2: tweedekamer.nl

Het medisch laboratorium Clinical Diagnostics voldeed ten tijde van een cyberaanval vorig jaar niet aan de wettelijk verplichte NEN 7510-norm voor informatiebeveiliging in de zorg. Dit heeft de Inspectie Gezondheidszorg en Jeugd (IGJ) vandaag bekendgemaakt na onderzoek naar de informatiebeveiliging van het lab.

De aanval vond plaats via een gehackt gebruikersaccount dat toegang verkreeg tot een legacy omgeving van het laboratorium via een verbinding via remote desktop. Voor dit gecompromitteerde account was geen multifactorauthenticatie (MFA) ingeschakeld. Hoe aanvallers toegang tot het account hebben verkregen, kon Clinical Diagnostics niet achterhalen.

Bij de hack werden de persoonlijke gegevens van 850.000 vrouwen gestolen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker, evenals patiëntgegevens van privéklinieken en huisartsen. Clinical Diagnostics betaalde uiteindelijk losgeld aan de cybercriminelen om publicatie van de gestolen gegevens te voorkomen.

Tijdens de inbraak kregen de aanvallers toegang tot data in een legacy omgeving die nog niet was gemigreerd naar een centrale omgeving. Hoewel de gehele infrastructuur van Clinical Diagnostics werd gemonitord door het Security Operations Center (SOC) van de internationale Eurofins-organisatie, vond er een menselijke fout plaats. Het SOC ging onterecht uit van de veronderstelling dat de betreffende legacy omgeving niet langer actief was, waardoor de monitoring hiervan werd uitgeschakeld. Hierdoor werden afwijkende patronen in de logboeken niet opgemerkt.

Clinical Diagnostics liet de inspectie weten dat het gehackte account was beveiligd met een wachtwoord van zestien karakters. Hoewel voor het getroffen account op dat moment geen MFA werd gebruikt, zou het op de omgeving waarbinnen het account zich bevond wel actief zijn geweest, en zou MFA in het verleden voor het account ingeschakeld zijn geweest.

Verder bleek uit het onderzoek dat Clinical Diagnostics geen onafhankelijke audit op informatiebeveiliging had uitgevoerd. Ook had het bedrijf de risico's bij het verwerken van gegevens niet periodiek in kaart gebracht. Volgens de IGJ kon het lab hierdoor niet bepalen welke maatregelen nodig waren voor databeveiliging. De inspectie constateerde dat Clinical Diagnostics zowel tijdens de hack als bij het inspectiebezoek niet aan de NEN 7510-norm voldeed.

De IGJ concludeert dat Clinical Diagnostics LCPL en NMDL, gezien de grote omvang en gevoelige aard van de verwerkte gegevens, hun verantwoordelijkheid hadden moeten nemen. De wettelijke plicht om volgens NEN 7510 te werken, is er juist om dergelijke risico's te beperken. De inspectie heeft Clinical Diagnostics verzocht op korte termijn aantoonbaar aan de norm te voldoen. De IGJ kan op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) geen bestraffende maatregelen opleggen. De Autoriteit Persoonsgegevens kan dit wel doen op basis van de Algemene Verordening Gegevensbescherming (AVG).

Bron: Inspectie Gezondheidszorg en Jeugd

Op het darkweb portaal van de The Gentlemen ransomwaregroep is op 14 mei 2026 bekendgemaakt dat zij vier nieuwe slachtoffers claimen te hebben gemaakt. Onder de geclaimde organisaties bevindt zich het Instituut voor de Nederlandse Taal uit Nederland. Dit markeert een directe impact op een Nederlandse instelling.

Naast de Nederlandse organisatie claimt de groep ook verantwoordelijk te zijn voor cyberaanvallen op Digiprint in Polen, Ponisch Abogados in Mexico en Grupo Alvorada in Brazilië. De aard van de aanvallen en de omvang van een eventueel datalek zijn op dit moment nog niet publiekelijk bevestigd door de getroffen organisaties.

De melding door The Gentlemen ransomwaregroep volgt hun gebruikelijke modus operandi, waarbij zij namen van slachtoffers publiceren op hun darkweb site om druk uit te oefenen voor betaling van losgeld. De claims dienen nog onafhankelijk geverifieerd te worden, maar de aanwezigheid van een Nederlandse organisatie op de lijst is een zorgwekkende ontwikkeling voor de cybersecurity in Nederland.

Bron: Darkweb

Een dreigingsactor heeft op een ondergronds forum beweerd dat het Belgische medische platform cabinetmedical.be is gecompromitteerd. De aanval zou zijn uitgevoerd door misbruik te maken van een verouderde SQL kwetsbaarheid in de website van het platform. Volgens de claim zijn ongeveer 10.000 gegevenspunten buitgemaakt. Deze data omvat naar verluidt een reeks gevoelige persoonlijke informatie van patiënten en gebruikers die het platform gebruiken.

De gestolen informatie zou specifiek bestaan uit namen, geboortedatums, e-mailadressen, telefoonnummers en postadressen. Daarnaast beweert de dreigingsactor ook versleutelde wachtwoorden te hebben bemachtigd. Het platform cabinetmedical.be is een bekende entiteit in de Belgische medische sector, waar het diensten aanbiedt.

De authenticiteit van deze claim is op dit moment niet onafhankelijk geverifieerd. Er is tevens geen officiële bevestiging van de organisatie cabinetmedical.be met betrekking tot het vermeende datalek. Via darkweb monitoring werd deze bewering ontdekt, waar dergelijke claims regelmatig verschijnen. Het is belangrijk te benadrukken dat het hier gaat om een onbevestigde bewering van een dreigingsactor.

Bron: Cybercrimeinfo

De LockBit 5.0 ransomwaregroep heeft recentelijk zes nieuwe organisaties toegevoegd aan hun darkweb portaal, waarmee zij claimen deze te hebben getroffen. Onder de vermeende slachtoffers bevindt zich het Nederlandse bedrijf Stahlwille B.V.

De lijst met geclaimde slachtoffers, die door Cybercrimeinfo is ontdekt, omvat diverse entiteiten uit verschillende landen. Naast Stahlwille B.V. uit Nederland, claimt de groep aanvallen op JEC Eye Hospitals and Clinics in Indonesië, Colégio Santo Inácio en LBR Engineering and Consulting Ltd, beide uit Brazilië. Verdere claims betreffen Shougang Hierro Perú S.A.A. uit Peru en Central Romana Corporation uit de Dominicaanse Republiek.

Het is belangrijk op te merken dat deze meldingen afkomstig zijn van de ransomwaregroep zelf en dienen als claims van verantwoordelijkheid. De specifieke aard van de aanvallen en de omvang van een eventueel datalek zijn op dit moment niet verder gespecificeerd door de dreigingsactor.

Bron: Cybercrimeinfo

Op 17 mei 2026 is op een ondergronds forum ontdekt dat een dreigingsactor een dataset te koop aanbiedt die naar verluidt afkomstig is van Vanden Borre. Vanden Borre is een prominente Belgische elektronicaretailketen met vestigingen door heel België.

De geclaimde dataset omvat naar verluidt ongeveer 264.000 records. Deze records zouden diverse gevoelige informatie bevatten, waaronder klantcontactgegevens, e-mailadressen, functietitels, bestelgeschiedenisdata en informatie over supporttickets. Het feit dat de dataset zowel bestelgeschiedenis als supportticketinformatie bevat, maakt de gegevens potentieel zeer waardevol voor cybercriminelen. Deze specifieke combinatie van data kan effectief worden ingezet voor het uitvoeren van gerichte phishingaanvallen en het opzetten van geavanceerde impersonatiepogingen, waarbij aanvallers zich voordoen als Vanden Borre of een medewerker om zo slachtoffers te misleiden.

Op dit moment is de authenticiteit, de precieze omvang en de actualiteit van de aangeboden dataset niet onafhankelijk geverifieerd. Vanden Borre heeft tot op heden geen officiële verklaring afgelegd over de vermeende verkoop van deze gegevens. De situatie wordt nauwlettend gevolgd en er worden updates verwacht zodra meer informatie beschikbaar is.

Bron: Cybercrimeinfo

AirdropAlert.com, een in Rotterdam gevestigd platform dat zich richt op cryptocurrency airdrops en Web3-discovery, is naar verluidt het slachtoffer geworden van een datalek. Dreigingsactoren claimen op een ondergronds forum dat zij data van het platform, dat al sinds 2017 actief is, hebben buitgemaakt.

De advertentie op het forum beweert dat de gestolen dataset een breed scala aan gebruikersinformatie omvat. Hiertoe behoren gebruikersnamen en ID's, e-mailadressen, cryptowalletadressen, en accountgegevens van sociale media zoals Twitter/X en Telegram. Daarnaast zouden referralinformatie, IP-adressen, accountmetadata en wachtwoordgerelateerde velden deel uitmaken van de gelekte gegevens. Een gedeelde screenshot toont een datastructuur met diverse aan gebruikers gekoppelde social media en crypto identifiers.

De authenticiteit, exacte omvang en oorsprong van deze dataset zijn op dit moment nog niet onafhankelijk bevestigd. Mocht het datalek echter worden geverifieerd, dan vormt dit een aanzienlijk risico voor Nederlandse cryptogebruikers. Potentiële gevaren omvatten gerichte phishingcampagnes, oplichting specifiek gericht op cryptowallets, identiteitsfraude en aanvallen waarbij gestolen inloggegevens opnieuw worden gebruikt op andere platforms. Gebruikers van AirdropAlert.com wordt geadviseerd waakzaam te zijn voor verdachte communicatie en hun wachtwoorden te controleren.

Bron: Cybercrimeinfo

Oplichters bootsen momenteel populaire Belgische merken na, waaronder Caroline Biss, Marie Jo, Marie Méro, Mayerline en Bioracer, met als doel consumenten te misleiden. Deze advertenties, die voornamelijk op Facebook verschijnen, lokken potentiële slachtoffers met beloftes van uitzonderlijke kortingen tot wel 80%. De werkelijkheid is dat deze advertenties leiden naar nagemaakte webshops of verdachte websites die geen enkele connectie hebben met de officiële merken.

De werkwijze van de oplichters is geraffineerd. Ze kopiëren de stijl, foto's, logo's en namen van de bekende merken om een betrouwbare indruk te wekken. Vervolgens plaatsen ze advertenties op sociale media die vaak inspelen op urgentie met boodschappen als "laatste kans", "alles moet weg" of "tijdelijke uitverkoop". Wie op deze advertenties klikt, wordt doorgestuurd naar een nagemaakte webshop of een pagina waar persoonlijke gegevens of betaalgegevens moeten worden ingevuld.

Consumenten moeten extra alert zijn op advertenties die zeer grote kortingen beloven (bijvoorbeeld 70% of 80%), bekende merken gebruiken maar doorverwijzen naar een onbekende website, of druk uitoefenen met uitspraken zoals "nog maar enkele stuks" of "actie eindigt vandaag". Een cruciale indicator van een valse advertentie is een webadres dat niet overeenkomt met de officiële website van het betreffende merk. Bij twijfel wordt aangeraden om niet via de advertentie naar een webshop te gaan, maar handmatig het officiële webadres van het merk in de browser in te typen.

Indien men op een verdachte advertentie heeft geklikt, is het advies om geen gegevens in te vullen en een eventuele betaling direct af te breken. Indien er reeds gegevens zijn ingevuld, is extra waakzaamheid geboden voor verdachte telefoons, e-mails of sms-berichten. Opgelichte consumenten kunnen actie ondernemen via de website van Safeonweb.

Het is van belang om valse advertenties te melden op het sociale mediaplatform waarop ze zijn waargenomen. Daarnaast kunnen verdachte berichten, links of websites worden doorgestuurd naar verdacht@safeonweb.be. Door deze waarschuwingen te delen met vrienden en familie, kan online oplichting sneller worden herkend en voorkomen.

Bron: Safeonweb

Het bericht, geplaatst op 21 mei 2026, claimt dat "Belgium people's data" beschikbaar is voor geïnteresseerden. De adverteerder nodigt potentiële kopers uit om contact op te nemen via Telegram en biedt aan om een externe steekproeflink te verstrekken.

Op dit moment is er geen specifieke organisatie geïdentificeerd als de oorspronkelijke bron van dit vermeende datalek. Ook zijn het exacte aantal getroffen records en de structuur van de dataset niet openbaar gemaakt. De authenticiteit van de claims van de dreigingsactor is nog niet onafhankelijk geverifieerd. Het is mogelijk dat de aangeboden gegevens betrekking hebben op gerecyclede of geaggregeerde historische data uit eerdere inbreuken.

Generieke, landsbrede datasets, zoals deze geclaimde "Belgium people's data", zijn een terugkerend fenomeen op ondergrondse markten. Dreigingsactoren verzamelen en aggregeren vaak data uit diverse bronnen, waaronder eerdere datalekken, openbare overheidsregisters, marketingbestanden en logs van malwareïnfecties, om deze vervolgens als nieuwe en uitgebreide datasets te verkopen.

Belgische burgers en organisaties worden geadviseerd extra alert te zijn op mogelijke kwaadwillende activiteiten. Dit omvat waakzaamheid voor phishingpogingen, waarbij aanvallers misbruik maken van gelekte gegevens voor gerichte oplichting. Ook het risico op credential stuffing, waarbij gestolen inloggegevens worden getest op andere diensten, en pogingen via social engineering neemt toe wanneer dergelijke datasets in omloop zijn.

Bron: Cybercrimeinfo

IOK Afvalbeheer, de intercommunale afvalbeheerder voor de Kempen, is getroffen door een cyberaanval. De aanval richtte zich op een systeem van een externe leverancier die instaat voor de regeling en werking van het recyclagepark in Beerse en Merksplas. Hierdoor werd de werking van het recyclagepark maandag ernstig verstoord.

Het is voorlopig niet duidelijk hoe groot de impact is op de verdere dienstverlening. IOK Afvalbeheer organiseert afvalverwerking en recyclage voor een tiental gemeenten in de Kempen. De intercommunale is bezig de situatie te beoordelen.

Cyberaanvallen op gemeentelijke en intercommunale diensten komen steeds vaker voor in België. Eerder werden al recyclage- en afvalbeheerorganisaties in andere regio's geviseerd.

Bron: GVA

Meer dan 450.000 Vlamingen hebben deelgenomen aan de AI Check van VRT, een digitale test die tot doel had mensen te helpen onderscheid te maken tussen echte en door artificiële intelligentie (AI) gemanipuleerde beelden. Uit de resultaten van de VRT Checkweken, een campagne gericht op mediawijsheid in het tijdperk van AI, blijkt echter dat slechts 1,8 procent van de deelnemers de test foutloos heeft afgelegd. Dit onderstreept de grote uitdaging die het herkennen van deepfakes en desinformatie met zich meebrengt.

De campagne van de publieke omroep duurde twee weken en had als doel de Vlaming wegwijs te maken in de complexiteit van AI-gegenereerde content. Ambassadeurs Anna-Livia Smekens, Fatma Taspinar en Tim Verheyden demonstreerden hoe deepfakes en desinformatie werken en hoe deze het vertrouwen in media kunnen ondermijnen. Hoewel de gemiddelde score van de deelnemers 82 procent bedroeg, slaagde bijna niemand erin elke deepfake te ontmaskeren.

Enkele voorbeelden uit de test illustreren de moeilijkheidsgraad. De eerste vraag, over Balthazar Boma als deelnemer aan Parijs-Roubaix, werd door 96 procent van de deelnemers correct geïdentificeerd als een deepfake. Ook de springende beer op de trampoline (94 procent) en een boodschap van dokter Geert Meyfroidt (93 procent) werden veelal correct als nep ontmaskerd. Echter, de foto met Steffi Mercie bleek aanzienlijk lastiger; slechts 41 procent herkende hier een deepfake. Een afgespeeld nummer dat niet door Pommelien Thijs was ingezongen, werd door 55 procent correct beantwoord. Daarnaast wist maar 54 procent van de deelnemers dat first lady Melania daadwerkelijk naast een robot richting Brigitte Macron liep.

Het misbruik van AI kan ook leiden tot ernstige persoonlijke gevolgen. Influencer Steffi Mercie getuigde hierover als slachtoffer van deepnudes, een vorm van AI-misbruik waarbij expliciete beelden worden gecreëerd zonder toestemming. Zij sprak haar dank uit dat zij haar ervaring tijdens de VRT Checkweken kon delen, wat het herkenbare en impactvolle karakter van deepnudes verder benadrukt. Ook kwam in de campagne de praktijk van contentmakers aan bod die de gezichten van hun kinderen op sociale media verbergen om te voorkomen dat de foto's in verkeerde handen vallen.

VRT NWS-hoofdredacteur Luc Van Bakel benadrukt dat de VRT hier volop op blijft inzetten, gezien de vele vragen die bij mensen leven. De publieke omroep heeft daarom aparte checkkanalen opgericht via Instagram, TikTok en e-mail, waar Vlamingen terechtkunnen met vragen en twijfels over de echtheid van beelden of berichten. De brede belangstelling en de resultaten van de campagne onderstrepen de noodzaak van heldere uitleg over de werking van AI en wat nog te vertrouwen is. Daarom zal er binnenkort een volgende editie van de VRT Checkweken plaatsvinden, met een focus op de nieuwste ontwikkelingen op dit gebied.

Bron: VRT NWS

Het ultra luxe hotelmerk Aman is in april 2026 het doelwit geweest van een "betaal of lek" extortiecampagne, uitgevoerd door de bekende dreigingsactor ShinyHunters. De aanvallers claimden data te hebben verkregen uit het CRM-systeem van Salesforce dat door Aman wordt gebruikt. Deze data is vervolgens openbaar gelekt en omvat meer dan 200.000 unieke e-mailadressen. In totaal zijn 215.600 accounts getroffen.

De gelekte informatie, hoewel niet bij alle records aanwezig, bevatte gevoelige persoonsgegevens. Onder de gecompromitteerde data vallen geboortedatums, fysieke adressen, telefoonnummers, nationaliteiten, geslachten, namen van echtgenoten en VIP-statuscodes. Ook taalvoorkeuren van klanten waren onderdeel van het datalek.

De inbreuk vond plaats in april 2026 en is op 1 mei 2026 toegevoegd aan de Have I Been Pwned (HIBP) database, een dienst die gebruikers informeert over datalekken waarbij hun gegevens mogelijk betrokken zijn. De campagne van ShinyHunters benadrukt de aanhoudende dreiging van extortie en datalekken, zelfs voor organisaties die gebruikmaken van externe CRM-oplossingen.

Als algemeen advies voor gebruikers van wie de gegevens mogelijk zijn gelekt, wordt aangeraden om onmiddellijk wachtwoorden te wijzigen die bij deze inbreuk zijn getroffen, en dit te doen voor elk account waar hetzelfde wachtwoord werd gebruikt. Daarnaast wordt geadviseerd om overal waar mogelijk twee-factor authenticatie (2FA) in te schakelen om een extra beveiligingslaag toe te voegen aan accounts. De bron vermeldt ook het gebruik van een wachtwoordmanager voor het genereren en veilig opslaan van sterke, unieke wachtwoorden. Voor Nederlandse gebruikers wordt specifiek verwezen naar Veiliginternetten.nl voor basistips over online veiligheid.

Bron: Have I Been Pwned | Bron 2: scworld.com | Bron 3: veiliginternetten.nl

Op het darkweb is ontdekt dat een dreigingsacteur een volledige backup van BreachForums.hn aanbiedt, het cybercrimeforum dat eerder werd beheerd door de groep ShinyHunters. De verkoper, die zich onder de naam HAUNTED presenteert, adverteert de backup als compleet pakket met alle gegevens, configuraties en toegang tot het platform, klaar voor herimplementatie.

De listing biedt twee niveaus. Voor 5.000 dollar (uitsluitend in monero) krijgt de koper alleen de databestanden. Voor 10.000 dollar (eveneens in monero) wordt de backup geleverd inclusief serveropzet, domein en hostingconfiguratie om het platform direct weer online te brengen. De verkoper presenteert het als privéverkoop waarbij contact uitsluitend via XMPP verloopt.

Backups van cybercrimeforums bevatten doorgaans volledige gebruikersdatabases met gehashte wachtwoorden, IP-adressen, privéberichten en interne personeelscommunicatie. Die gegevens zijn waardevol voor identificatie en toeschrijving van dreigingsactoren door opsporingsdiensten en threat intelligence onderzoekers. Tegelijk kan een herimplementeerbare backup worden gebruikt om een opvolgend forum op te starten en de bestaande gebruikersbasis opnieuw onder nieuw eigenaarschap te aggregeren.

De gegevens uit de periode waarin ShinyHunters het forum beheerde omvatten jaren aan datalekhandel, activiteit van initial access brokers en communicatie tussen affiliates van ransomwaregroepen. Voor verdedigers betekent dit dat de inhoud nuttig kan zijn voor incidentenanalyse en attributie, maar ook risicovol als die in handen komt van een nieuwe operator die de gebruikersbasis wil heractiveren. De claim van HAUNTED kon op het moment van publicatie niet onafhankelijk worden geverifieerd.

ShinyHunters dreigde eerder al, op 26 maart 2026, om een volledige backup van het forum publiek te lekken nadat verschillende imitatiesites onder de naam BreachForums waren opgedoken. Of de huidige listing direct verband houdt met die eerder aangekondigde dreiging is niet bekend.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een nieuwe commerciële remote access trojan onder de naam Scorpio hVNC actief wordt verkocht. De aanbieder presenteert de tool als verborgen werkstation toepassing met ingebouwde diefstal van inloggegevens en cryptocurrency wallets, plus live keylogging. De betaling verloopt via een eigen webwinkel waarop de verkoper ook een anonieme VPS dienst aanbiedt, een aanwijzing voor een geïntegreerde criminele hosting en tooling pijplijn.

De prijs is 250 dollar per maand of 1.000 dollar voor een eenmalige licentie. Volgens de listing biedt Scorpio hVNC een verborgen VNC en remote desktop sessie waarbij de aanvaller volledig met muis en toetsenbord kan werken zonder dat het slachtoffer iets ziet. Daarnaast omvatten de functies camera capture, het beheren van bestanden en processen op afstand, een remote shell met CMD en PowerShell, en het herstarten of afsluiten van de pc.

Specifiek voor de cryptocurrency diefstal claimt de operator dat de tool wallets van Metamask, Phantom, Binance, Coinbase, Exodus, Terra Station, Rainbow en Wallet Connect kan ontfutselen. Een bijgeleverde clipper functie vervangt negen cryptocurrency adrestypen tijdens een transactie, waardoor uitgaande betalingen onopgemerkt naar een ander adres gaan. De tool kan ook volledige Chrome profielen klonen, wat sessiecookies, opgeslagen wachtwoorden en betaalmethoden in één keer richting de aanvaller stuurt en sessie gebaseerde verdedigingen omzeilt.

Persistentie verloopt volgens het aanbod via AppData en de Temp startup map. De netwerkverbinding tussen besmette werkstations en de command and control infrastructuur is volgens de aanbieder via TCP versleuteld. De gebundelde anonieme VPS dienst maakt het voor minder ervaren operators eenvoudig om kant en klare aanvalsinfrastructuur in te zetten zonder zelf hosting op te zetten.

De combinatie van verborgen interactieve toegang, brede dekking van crypto wallets en lage instapprijs maakt deze tool een serieus risico voor consumenten en kleine ondernemers die met cryptocurrency werken. Voor verdedigers is het belangrijk om verdachte processen in AppData en de Temp folder actief te monitoren, browserprofielen niet te delen tussen apparaten, fysieke wallet apparaten te gebruiken voor grote bedragen en transactieadressen visueel te verifiëren voor de bevestiging. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een dreigingsacteur onder de naam paws root toegang en shell toegang tot een Linux gebaseerd firewall systeem aanbiedt. Het systeem zou volgens de listing toebehoren aan een niet bij naam genoemd bedrijf dat DDoS bescherming aan klanten levert. De vraagprijs is 1.500 dollar, uitsluitend te betalen in monero. Communicatie verloopt via TOX en de actor benadrukt geen tijdverspillers te accepteren.

De gespecificeerde toegang omvat root remote code execution en een shell op het Linux apparaat. Dit niveau van toegang geeft een aanvaller volledige controle over de firewall, inclusief het wijzigen van regels, het uitlezen van verkeer dat over het apparaat loopt en het potentieel manipuleren of doorsturen van data van klanten van de getroffen dienstverlener. De omzet van het doelbedrijf wordt door de actor als onbekend opgegeven, wat suggereert dat de doelorganisatie eerder is gecompromitteerd dan strategisch geselecteerd.

DDoS bescherming is voor veel organisaties een kritische schakel in de toeleveringsketen. Bedrijven die DDoS mitigatie afnemen sturen hun internetverkeer doorgaans via de infrastructuur van zo een dienstverlener, waardoor toegang tot de firewall in theorie zicht geeft op verkeerstromen, IP adressen, mogelijk gevoelige headers en upstream configuraties. Volgens onafhankelijke threat intelligence is een soortgelijk aanbod eerder dit jaar aan een Taiwanees DDoS bedrijf gekoppeld, al kan op basis van de huidige listing niet onafhankelijk worden vastgesteld of het om hetzelfde slachtoffer gaat.

Voor verdedigers blijft het belangrijk om de eigen leveranciersketen voor DDoS bescherming kritisch te bevragen, te vragen naar maatregelen voor lateral movement preventie binnen het netwerk van de dienstverlener, audit logging op beheerlagen en een eigen incident response procedure voor het scenario dat een dienstverlener zou worden gecompromitteerd. De claim van paws kon op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een dreigingsacteur onder de naam QuimaCORE een tweede versie van een uniform malware bouwplatform aanbiedt aan andere cybercriminelen. Het platform wordt verkocht als abonnementsdienst en bundelt volgens de aanbieder negen afzonderlijke modules voor het genereren van payloads in één paneel, gericht op de eerste fase van phishing en initiële toegang tot bedrijfsnetwerken.

De aanbieder claimt dat het platform is gebouwd in de programmeertaal Rust met een React en Tauri interface, en dat het uitsluitend draait op Windows x64. De toegang wordt afgeschermd met hardware vergrendelde licenties via KeyAuth. De prijsmodellen variëren van 50 tot 70 dollar voor een enkele bouwopdracht, 100 tot 150 dollar voor een maand toegang tot één module, een bundelabonnement van 600 dollar per maand of 4.000 dollar voor een levenslange licentie. Individuele modules zijn ook levenslang aan te schaffen voor 750 tot 1.200 dollar.

De inbegrepen modules richten zich op verschillende bestandsformaten die in phishingaanvallen worden ingezet. Een XLL builder genereert kwaadaardige Excel uitbreidingen, een LNK builder zou de kwetsbaarheid CVE-2025-9491 wapenen voor Windows snelkoppelingen, een CHM builder werkt met helpbestanden, en MSC en CPL builders richten zich op respectievelijk Microsoft Management Console en Configuratiescherm onderdelen. Daarnaast zijn er bouwers voor scripts in formaten als VBS, BAT en PS1, voor VBA macro code in Word en Excel, en voor uitvoerbare bestanden en JAR launchers met cross platform Java mogelijkheden.

Volgens de listing bevatten de modules technieken die regulier endpoint protectie willen omzeilen, waaronder directe systeemoproepen via Hell's Gate, het uitschakelen van AMSI en ETW logging, RTLO spoofing om bestandsnamen visueel te manipuleren, en sandbox detectie. De keuze voor Rust resulteert volgens de aanbieder in compacte uitvoerbare bestanden zonder Python of Java afhankelijkheden, wat handtekening detectie bemoeilijkt.

Voor verdedigers is dit type aanbod een illustratie van consolidatie in de leveringsketen voor phishingmalware. Door negen formaten in één toolkit aan te bieden zakt de drempel voor minder ervaren operators flink, terwijl de gewapende exploitatie van CVE-2025-9491 in de LNK module een directe aanleiding is om patches en detectieregels voor die kwetsbaarheid prioriteit te geven. Bredere defensieve maatregelen blijven het beperken van uitvoerbare bestandsformaten via groepsbeleid, het monitoren van macro uitvoering in Office, en het signaleren van onverwachte gebruikersacties met XLL en CHM bestanden. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Op het darkweb is ontdekt dat een geavanceerd webgebaseerd fraudepaneel onder de naam HUB wordt aangeboden voor het uitvoeren van grootschalige Telegram operaties. Het platform combineert een infrastructuur die platformdetectie wil omzeilen met AI agents die echte gebruikers nabootsen, en kan volgens de aanbieder fraude op honderden chats tegelijk uitvoeren. De dienst wordt verkocht door operators onder de namen Workkers en narkoman1.

Het paneel werkt volledig in de browser zonder installatie en functioneert op een prepaid saldomodel. Kopers kunnen voorverouderde Telegram accounts kopen in meer dan 40 landen, waaronder Nederland, Duitsland, Frankrijk, Italië, het Verenigd Koninkrijk en de Verenigde Staten. Een Nederlands account staat in de prijslijst voor 4,51 dollar. De goedkoopste accounts zijn voor 2,50 dollar te koop, onder andere uit Polen, Portugal, Spanje, Israël, het Verenigd Koninkrijk en Canada. De duurste accounts zijn die uit Nigeria voor 13,78 dollar en Litouwen voor 10,33 dollar.

De promotievideo van de aanbieder beschrijft openlijk hoe een AI agent wordt ingezet om verkopers op meer dan honderd marktplaats chats te benaderen en kunstmatig opgeblazen prijzen voor goederen te bieden, zodat de operator vervolgens met andere accounts en proxies de listings kan misbruiken. Het paneel biedt ook bulkbeheer van grote accountinventarissen, per account geïsoleerde server en proxy toewijzing om antifraude detectie te omzeilen, telefoonnummers voor accountregistratie in elk land, en spraak naar tekst transcriptie van inkomende spraakberichten. Ingebouwde modules voor Telegram Premium aankoop en geschenkfuncties dienen om accounts geloofwaardiger te laten lijken voordat de scams worden gestart.

Een eigen AI agent builder laat operators scripts samenstellen voor specifieke scenarios zoals romantieffraude, marktplaatsfraude en nepondersteuning aan klanten. Voor leadgeneratie zijn modules zoals Sonar AI en Лиды Россия aan boord, gericht op respectievelijk Engelstalige en Russischtalige doelgroepen. Het opladen van saldo verloopt via cryptobetalingen in USDT, TON, BTC of Ethereum via een Telegram bot met de naam CryptoBot.

Voor verdedigers en consumenten betekent dit dat fraude via Telegram nu sterk geïndustrialiseerd is. AI agents verlagen de drempel voor minder ervaren operators om imitatiescams op te zetten, voorverouderde accounts uit meer dan veertig landen maken geografisch gerichte campagnes mogelijk, en spraak naar tekst transcriptie suggereert dat ook gesproken berichten als aanvalsvector worden ingezet. Het feit dat Nederland expliciet in de prijslijst staat onderstreept dat Nederlandse consumenten een direct doelwit zijn voor scams via gecompromitteerde of speciaal voor fraude geprepareerde Telegram accounts. Voor verdedigers blijft alertheid op onverwachte berichten van onbekende Telegram contacten essentieel, evenals het verifiëren van marktplaats verkopers via meerdere kanalen voordat geld of goederen worden uitgewisseld. De claims van de aanbieder konden op het moment van publicatie niet onafhankelijk worden geverifieerd.

Bron: Cybercrimeinfo darkweb-onderzoek

Een recent ontdekte operatie, gelinkt aan Vietnamese actoren, maakt gebruik van Google AppSheet als een "phishing relay" om malafide e-mails te verspreiden met als doel Facebook accounts te compromitteren. Beveiligingsonderzoeker Shaked Chen van Guardio heeft deze activiteit de codenaam 'AccountDumpling' gegeven. De gestolen accounts worden vervolgens door de dreigingsactoren via een illegale online winkel doorverkocht. Naar schatting zijn ongeveer 30.000 Facebook accounts gehackt als onderdeel van deze campagne.

Shaked Chen merkte in een rapport op dat het hier niet ging om een enkele phishingkit, maar om een levendige operatie met realtime bedieningspanelen, geavanceerde ontwijkingstechnieken, continue evolutie en een crimineel-commerciële cyclus die zich voedt met de accounts die het helpt stelen. Deze bevindingen tonen opnieuw aan hoe Vietnamese dreigingsactoren diverse tactieken blijven hanteren om ongeautoriseerde toegang te verkrijgen tot Facebook accounts van slachtoffers, die vervolgens op ondergrondse ecosystemen worden verkocht voor financieel gewin.

De aanvallen beginnen met een phishing e-mail gericht op eigenaren van Facebook Business accounts. Deze e-mails doen zich voor als afkomstig van Meta Support en dringen erop aan om een beroep in te dienen, anders dreigt het account permanent te worden verwijderd. De e-mails worden verzonden vanaf een Google AppSheet-adres ("noreply@appsheet.com"), waardoor ze spamfilters kunnen omzeilen. Dit creëert een vals gevoel van urgentie en leidt gebruikers naar een nepwebpagina die is ontworpen om hun inloggegevens te oogsten. Een vergelijkbare campagne werd in mei 2025 al gemeld door KnowBe4.

De afgelopen weken hebben deze campagnes verschillende lokmiddelen gebruikt, allemaal gericht op het creëren van "Meta-gerelateerde paniek". Deze variëren van account deactivering en auteursrechtklachten tot verificatiebeoordelingen, werving van leidinggevenden en Facebook-loginwaarschuwingen. Guardio identificeerde vier belangrijke clusters van deze aanvallen:

1.  Facebook helpcenter pagina's gehost op Netlify, die accountovernames mogelijk maken en tevens geboortedata, telefoonnummers en door de overheid uitgegeven identiteitsbewijzen verzamelen. Deze data wordt uiteindelijk doorgestuurd naar een door de aanvallers beheerd Telegram-kanaal.

2.  Lokmiddelen voor de evaluatie van 'blauwe vinkjes' die slachtoffers naar op Vercel gehoste "Security Check"- of "Meta | Privacy Center"-pagina's leiden. Deze zijn afgeschermd met een nep-CAPTCHA-controle voordat gebruikers naar de phishing-landingspagina worden geleid om contactgegevens, bedrijfsinformatie, inloggegevens (na een geforceerde herhaalpoging) en twee-factor authenticatie (2FA) codes te verzamelen en deze naar een Telegram-kanaal te exfiltreren.

3.  Op Google Drive gehoste pdf-bestanden die zich voordoen als instructies om accountverificatie te voltooien. Deze leiden gebruikers naar het verzamelen van wachtwoorden, 2FA-codes, foto's van overheids-ID's en screenshots van de browser via html2canvas. De pdf-documenten zijn gegenereerd met een gratis Canva account.

4.  Valse vacatures die bedrijven zoals WhatsApp, Meta, Adobe, Pinterest, Apple en Coca-Cola imiteren om een band op te bouwen met de ontvangers en hen te vragen deel te nemen aan een gesprek of de discussie voort te zetten op door de aanvallers beheerde sites.

De Telegram-kanalen die geassocieerd zijn met de eerste drie clusters bevatten cumulatief ongeveer 30.000 slachtoffergegevens. De meeste slachtoffers bevinden zich in de VS, Italië, Canada, de Filipijnen, India, Spanje, Australië, het Verenigd Koninkrijk, Brazilië en Mexico, en zijn de toegang tot hun eigen accounts kwijtgeraakt.

De identiteit van de actoren achter de operatie werd onthuld door de pdf-bestanden die via het gratis Canva account werden gegenereerd. De metadata hiervan vermeldde de Vietnamese naam "PHẠM TÀI TÂN" als auteur van de bestanden. Verder open source onderzoek leidde tot de ontdekking van een website ("phamtaitan[.]vn"), waarop digitale marketingdiensten worden aangeboden. Op een post op X in februari 2023 beweerde de eigenaar van de website dat deze "gespecialiseerd is in het leveren van digitale marketingdiensten, marketingbronnen en advies over effectieve digitale marketingstrategieën."

Chen concludeerde dat al deze elementen samen een consistent beeld vormen van een grote, in Vietnam gevestigde mega-operatie. Deze campagne is groter dan alleen misbruik van Google AppSheet; het biedt inzicht in de duistere markt rond gestolen Facebook-assets, waar toegang, bedrijfsidentiteit, advertentiereputatie en zelfs accountherstel verhandelbare goederen zijn geworden. Het is een verder voorbeeld van het patroon waarbij vertrouwde platforms worden hergebruikt als levering, hosting en monetisatie lagen voor criminele activiteiten.

Bron: Guardio

Onderzoekers van cybersecuritybedrijf Darktrace hebben een nieuwe aanvalscampagne gedetecteerd die misconfigureerde Jenkins servers misbruikt om een DDoS botnet op te bouwen. Dit botnet is specifiek gericht op gaming infrastructuur. De activiteit werd op 18 maart 2026 waargenomen via het CloudyPots honeypot netwerk van Darktrace.

De aanvallers probeerden toegang te krijgen tot een Jenkins server, een veelgebruikte tool voor softwareontwikkelaars. In plaats van de broncode te manipuleren, gebruikten de hackers de toegang om een botnet te implementeren dat gericht was op servers voor videogames. De aanval maakte gebruik van het `scriptText` endpoint, waarmee gebruikers commando's direct naar de server kunnen sturen. Door dit te misbruiken, konden de aanvallers een Groovy script uitvoeren, wat hen Remote Code Execution (RCE) mogelijkheden gaf.

Met behulp van CyberChef, een tool voor het ontcijferen van verborgen data, analyseerden de onderzoekers het script. Dit leidde tot de ontdekking van een plan om zowel Windows als Linux computers te infecteren. Op Windows apparaten haalde het script een uitvoerbaar bestand op genaamd `w.exe` van het IP adres 103.177.110.202. Dit bestand werd verborgen in de Temp map als `update.dat` en later hernoemd naar `win_sys.exe`. Vervolgens werd TCP poort 5444 geopend om instructies van de hackers te ontvangen. Linux systemen werden doelwit van een Bash opdrachtregel die een binair bestand genaamd `bot_x64.exe` in de `/tmp` directory plaatste.

Opvallend is dat al dit verkeer terug te leiden is naar één enkel IP adres, eigendom van Webico, een Vietnamese provider onder het Tino merk in Ho Chi Minh City. Doorgaans gebruiken aanvallers verschillende servers voor diverse taken om detectie te bemoeilijken, maar in dit geval werd hetzelfde IP adres gebruikt voor initiële toegang, aflevering van malware en het versturen van commando's. Dit duidt op een afweging waarbij eenvoud boven veiligheid werd verkozen.

Eenmaal toegang verkregen tot een Linux systeem, blijft de malware aanvankelijk onopvallend om detectie te omzeilen. Het maakt gebruik van een omgevingsvariabele genaamd `dontKillMe` om te voorkomen dat Jenkins het proces afsluit wegens langdurige uitvoering. Daarna verwijdert de bot zijn originele bestand en hernoemt zichzelf naar iets als `ksoftirqd/0` of `kworker` om op te gaan in de normale systeemprocessen.

Het hoofddoel van het botnet is het laten crashen van servers die de Valve Source Engine draaien, waarop populaire games zoals Team Fortress 2 en Counter Strike draaien. Een van de methoden die hiervoor wordt gebruikt, is `attack_dayz`, waarbij een Source Engine Query wordt verstuurd om de server te misleiden tot het terugsturen van zoveel data dat deze uiteindelijk niet meer reageert. Het botnet beschikt ook over een `attack_special` modus, ontworpen om specifieke poorten zoals 27015, 53 (DNS) en 123 (NTP) aan te vallen. Deze campagne benadrukt hoe gevaarlijk een eenvoudige misconfiguratie kan zijn, waardoor zelfs een ogenschijnlijk onbelangrijke server het weekend van gamers kan verpesten als deze niet correct is beveiligd. Het rapport van Darktrace concludeert dat de game-industrie een prominent doelwit blijft voor cyberaanvallers en herinnert serverbeheerders aan het belang van adequate mitigatiemaatregelen.

Bron: Darktrace

Cybersecurityonderzoekers waarschuwen voor twee cybercriminele groeperingen die snelle en impactvolle aanvallen uitvoeren, bijna volledig binnen de grenzen van SaaS-omgevingen, met minimale sporen van hun activiteiten. De groepen, bekend als Cordial Spider (ook wel BlackFile, CL-CRI-1116, O-UNC-045 en UNC6671) en Snarky Spider (ook O-UNC-025 en UNC6661), worden verantwoordelijk gehouden voor snelle datadiefstal en afpersingscampagnes. Beide groeperingen zijn naar schatting sinds ten minste oktober 2025 actief en vertonen opmerkelijke operationele overeenkomsten. Snarky Spider is een Engelstalige groep met banden met het e-crime-ecosysteem genaamd The Com.

CrowdStrike's Counter Adversary Operations rapporteerde dat deze tegenstanders in de meeste gevallen voice-phishing (vishing) gebruiken om doelgebruikers naar kwaadaardige phishingpagina's te leiden die zich voordoen als Single Sign-On (SSO) omgevingen, gebruikmakend van adversary-in-the-middle (AiTM) technieken. Op deze pagina's worden authenticatiegegevens vastgelegd, waarna de aanvallers direct toegang krijgen tot SSO-geïntegreerde SaaS-applicaties. Door vrijwel uitsluitend binnen vertrouwde SaaS-omgevingen te opereren, minimaliseren zij hun digitale voetafdruk en versnellen zij de tijd tot impact. De combinatie van snelheid, precisie en uitsluitend SaaS-activiteit creëert aanzienlijke detectie en zichtbaarheid uitdagingen voor verdedigers.

In een eerder rapport, gepubliceerd in januari 2026, onthulde het door Google-eigendom zijnde Mandiant dat deze twee groeperingen een uitbreiding van dreigingsactiviteit vertegenwoordigen. De gebruikte tactieken komen overeen met afpersingsgerelateerde aanvallen die eerder door de ShinyHunters-groep werden uitgevoerd. Dit omvat het zich voordoen als IT-personeel tijdens telefoongesprekken om slachtoffers te misleiden en hun inloggegevens en multi-factor authenticatie (MFA)-codes te verkrijgen via phishingpagina's.

Recentelijk, vorige week, schatten Palo Alto Networks Unit 42 en het Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) met matig vertrouwen in dat de aanvallers achter CL-CRI-1116 waarschijnlijk ook geassocieerd zijn met The Com. Zij voegden eraan toe dat de intrusies voornamelijk vertrouwen op living-off-the-land (LotL) technieken en residentiële proxies gebruiken om hun geografische locatie te verbergen en basis IP-gebaseerde reputatiefilters te omzeilen. Onderzoekers Lee Clark, Matt Brady en Cuong Dinh gaven aan dat de activiteit van CL-CRI-1116 sinds februari 2026 actief gericht is op de retail en horeca sector, specifiek door vishing aanvallen waarbij IT-helpdeskmedewerkers worden geïmiteerd, in combinatie met phishing-inlogpagina's om inloggegevens te stelen.

De aanvallen van de twee groepen omvatten het registreren van een nieuw apparaat om MFA te omzeilen en toegang te behouden, maar niet voordat bestaande apparaten zijn verwijderd. Vervolgens configureren de dreigingsactoren inboxregels die automatisch e-mailmeldingen over ongeautoriseerde apparaatregistratie verwijderen, om detectie verder te omzeilen. De volgende fase omvat het richten op accounts met hoge privileges via verdere social engineering, door interne werknemerslijsten te doorzoeken. Na het verkrijgen van verhoogde toegang, breken de aanvallers in op doel-SaaS-omgevingen om waardevolle bestanden en bedrijfskritische rapporten te zoeken in Google Workspace, HubSpot, Microsoft SharePoint en Salesforce, waarna ze de relevante gegevens exfiltreren naar infrastructuur onder hun controle.

CrowdStrike benadrukte dat in de meeste waargenomen gevallen deze inloggegevens toegang verlenen tot de Identity Provider (IdP) van de organisatie, wat een enkel toegangspunt biedt tot meerdere SaaS-applicaties. Door de vertrouwensrelatie tussen de IdP en verbonden diensten te misbruiken, omzeilen de tegenstanders de noodzaak om individuele SaaS-applicaties te compromitteren en bewegen ze in plaats daarvan lateraal door het gehele SaaS-ecosysteem van het slachtoffer met één geauthenticeerde sessie.

Bron: CrowdStrike

Een geavanceerde en zorgvuldig geplande malwarecampagne richt zich actief op bedrijfsbeheerders, DevOps-engineers en beveiligingsanalisten door hun dagelijkse zoekgedrag te kapen. In plaats van massale phishing of brede spamgolven te gebruiken, hebben de dreigingsactoren achter deze operatie een leveringsketen gecreëerd die gevaarlijke software direct voor hooggeprivilegieerde IT professionals plaatst wanneer zij online zoeken naar routinematige administratieve tools.

De campagne werkt door zoekmachineresultaten te vergiftigen op verschillende grote platforms, waaronder Bing, Yahoo, DuckDuckGo en Yandex. Wanneer IT personeel zoekt naar tools zoals PsExec, AzCopy, Sysmon, LAPS of KustoExplorer, tonen de zoekresultaten bovenaan de pagina nep, professioneel ogende GitHub-repositories. Deze repositories lijken op het eerste gezicht schoon en legitiem, zonder kwaadaardige code. Ze fungeren puur als een toegangspoort en leiden argeloze gebruikers stilzwijgend om naar een secundair, verborgen GitHub-account waar de eigenlijke malware wordt gehost en verspreid.

Analisten van Atos identificeerden deze geraffineerde, veerkrachtige kwaadaardige campagne in maart. Onderzoekers bevestigden dat de campagne zeer actief blijft en sinds de start aanzienlijk technisch is gerijpt, met verschillende varianten en aanvullende command and control (C2) infrastructuur die in de loop der tijd zijn geïdentificeerd.

De malware die centraal staat in deze campagne is een uit meerdere fasen bestaande Remote Access Trojan (RAT) van het fileless-type, geschreven in JavaScript. Onderzoekers van Atos bevestigten dat het EtherRAT betreft, een recent opkomende dreiging die de Ethereum-blockchain gebruikt om zijn live C2-serveradres op te slaan. Dit voorkomt effectief traditionele pogingen tot domein-takedown of IP-blokkering. De malware wordt verspreid via kwaadaardige MSI-installatiebestanden die zijn vermomd als tools zoals PsExec, AzCopy, Sysmon, LAPS en KustoExplorer, welke bijna uitsluitend worden gebruikt door personeel met verhoogde netwerk en systeem rechten. Een succesvolle infectie op het werkstation van een beheerder kan dreigingsactoren de sleutels tot een complete bedrijfsomgeving verschaffen.

Het psychologische element van deze campagne is bijzonder agressief. Veel van de geïmiteerde tools zijn dezelfde die beveiligingsprofessionals gebruiken om kwaadaardige activiteit te onderzoeken en erop te reageren. Dit creëert een ironische situatie waarin een verdediger, die probeert een vermeend probleem te diagnosticeren met een tool zoals Process Explorer of TCPView, onbedoeld de dreiging introduceert die zij probeerden te vinden.

De campagne maakt gebruik van een zorgvuldig gescheiden, tweefasige leveringsarchitectuur die is ontworpen om actief te blijven, zelfs als delen ervan worden uitgeschakeld. De eerste GitHub-repository dient alleen als een net ogende facade. Deze is geoptimaliseerd voor zoekmachines (SEO) en bevat een professioneel README-bestand zonder kwaadaardige code, wat initieel vertrouwen opbouwt bij zowel gebruikers als beveiligingstools. In dat README is een link ingebed die verwijst naar een tweede, verborgen GitHub-account. Deze secundaire repository host de eigenlijke kwaadaardige MSI-payload. Door de voor zoekmachines zichtbare 'etalage' te scheiden van het account voor payload-levering, kunnen de dreigingsactoren hun distributierepositories snel roteren als deze worden gemarkeerd, terwijl de primaire, door zoekmachines geïndexeerde facade actief en onaangetast blijft.

Tussen begin december 2024 en april 2026 hebben de dreigingsactoren 17 afzonderlijke GitHub-facades ingezet, elk met een andere administratieve of ontwikkelaarstool als spoof, wat duidt op een aanhoudende inspanning om de zichtbaarheid in zoekmachines te maximaliseren en een breed scala aan hooggeprivilegieerde slachtoffers te vangen. Wanneer een slachtoffer de MSI downloadt en uitvoert, worden vier bestanden uitgepakt en wordt een CMD-batchscript gestart via een Custom Action met SYSTEEM-rechten, direct na de extractie van de bestanden. Het toegangspunt is een zwaar geobfusceerd Windows-batchscript dat met SYSTEEM-rechten wordt gestart door de MSI Custom Action onmiddellijk na het uitpakken van bestanden. De belangrijkste obfuscatie-mechanismen splitsen alle gevoelige opdrachtnamen, waaronder curl, tar, copy, start en cmd, over meerdere SET-variabeletoewijzingen die stilzwijgend tijdens runtime worden samengevoegd, zodat er geen herkenbare trefwoorden in het onbewerkte bestand verschijnen en eenvoudige string-gebaseerde statische analyse wordt omzeild.

Fase 2 is een minimaal Node.js-script, onverhuld en volledig leesbaar, dat nooit op schijf wordt opgeslagen. Het hoofddoel is het lezen van een bestand met een versleutelde payload van de tweede fase, deze te ontsleutelen met een vaste sleutel en initialisatievector (IV), en deze in het geheugen uit te voeren. Het creëert ook persistentie via een Run-sleutel in het register. Fase 3 is de hoofdlading van de malware, een JavaScript-bestand dat stilzwijgend op de achtergrond draait bij elke systeemstart binnen conhost.exe, een legitiem Windows-proces, zodat het niet opvalt in Taakbeheer.

Organisaties kunnen de volgende stappen ondernemen om het risico van deze campagne te verminderen. Het betreft het blokkeren van toegang tot de openbare Ethereum (ETH) RPC-endpoints die door EtherRAT worden gebruikt, zoals vermeld in de Appendix van de Atos TRC GitHub-repository. Daarnaast is het belangrijk historische netwerklogs te controleren om uitgaande communicatie met de genoemde RPC ETH-endpoints en geïdentificeerde historische C2-domeinen te identificeren. Verhoog bovendien het bewustzijn onder IT personeel met betrekking tot de risico's van het verkrijgen van kritieke hulpprogramma's uit zoekmachineresultaten en vereis het gebruik van geverifieerde interne softwarecentra of directe, geauthenticeerde leveranciersportals voor alle administratieve tools. Organisaties dienen ook te zoeken naar gedragspatronen in telemetrie, zoals herhaalde, hoogfrequente beacons (ongeveer elke 500 ms) naar verdachte externe domeinen, periodieke uitgaande verzoeken (ongeveer elke 5 minuten) naar openbare ETH RPC-endpoints, en verdachte processtructuren die Node.js-processen omvatten die shell-commando's uitvoeren. Tot slot moet elk gebruik van conhost.exe met het headless-argument worden behandeld als een potentiële indicator van de secundaire fasen van de EtherRAT payload.

Bron: Atos

Het Britse National Cyber Security Centre (NCSC) roept organisaties op zich voor te bereiden op een aanstaande 'patch golf': een vloedgolf van software-updates die nodig zal zijn om decennia aan technische schuld aan te pakken. Volgens Ollie Whitehouse van het NCSC toont kunstmatige intelligentie, wanneer gebruikt door voldoende bekwame individuen, het vermogen om deze technische schuld op grote schaal en in hoog tempo binnen het technologie-ecosysteem uit te buiten.

Technische schuld verwijst naar een opeenstapeling van technische problemen die het gevolg zijn van het prioriteren van korte termijn winsten boven het bouwen van veerkrachtige producten. Dit resulteert in een kostbare en tijdrovende achterstand aan technische kwesties. Het NCSC verwacht dat deze situatie zal leiden tot een "gedwongen correctie" om de technische schuld in alle soorten software aan te pakken, waaronder open source, commerciële, propriëtaire en software as a service (SaaS) oplossingen.

Organisaties moeten nu actie ondernemen om hun internetgerichte en andere extern blootgestelde aanvalsoppervlakken te identificeren en te minimaliseren. Het is cruciaal om prioriteit te geven aan technologieën aan de rand van het netwerk en vervolgens naar binnen te werken, inclusief cloud-instanties en on-premises omgevingen. Door dit te doen, kunnen organisaties het risico verkleinen dat latente kwetsbaarheden, eenmaal bekend en uitgebuit door aanvallers, met succes worden benut. Waar het niet mogelijk is om updates over de hele omgeving toe te passen, dienen kritieke beveiligingssystemen prioriteit te krijgen.

Daarnaast benadrukt het NCSC dat patchen alleen niet altijd voldoende zal zijn. Technische schuld kan ook aanwezig zijn in 'end-of-life' of verouderde technologie die niet langer wordt ondersteund en dus geen updates kan ontvangen. In dergelijke gevallen moeten organisaties de technologieën vervangen of weer onder ondersteuning brengen, vooral als ze een extern aanvalsoppervlak vormen.

Gebaseerd op de principes van hun richtlijnen voor kwetsbaarheidsbeheer, adviseert het NCSC organisaties om plannen te maken voor het snel, frequent en op grote schaal uitrollen van softwarebeveiligingsupdates, ook binnen hun toeleveringsketens. Er wordt een instroom van updates verwacht die kwetsbaarheden van alle ernstgraden zullen aanpakken, inclusief een aanzienlijk aantal kritieke kwetsbaarheden.

Het NCSC beveelt het volgende aan:

*   Waar automatische veilige 'hot patching' (patches zonder serviceonderbreking) beschikbaar is, moet dit met prioriteit worden ingeschakeld.

*   Waar geautomatiseerde updates beschikbaar zijn (ook voor embedded apparaten), moet dit worden geactiveerd om de werkdruk voor ondersteuningsteams te verminderen.

*   Als geen van bovenstaande opties beschikbaar is, moeten organisaties ervoor zorgen dat processen en risicobereidheid frequente en schaalbare updates ondersteunen, rekening houdend met operationele afwegingen rond verstoringen en veiligheidskritieke systemen. Het Stakeholder Specific Vulnerability Categorisation (SSVC) systeem kan hierbij helpen om de installatie van updates te prioriteren.

Bij actief misbruik van een kritieke kwetsbaarheid, vooral als deze een internetgericht systeem treft, is het essentieel om het updateproces te versnellen. Organisaties kunnen hiervoor de nieuwe NCSC-richtlijnen over 'Reageren op actief misbruik van kwetsbaarheden' raadplegen. Het NCSC adviseert een 'update by default' beleid, waarbij software-updates zo snel mogelijk, en idealiter automatisch, worden toegepast. Dit vormt de kern van het updatebeheerproces, hoewel het in sommige omstandigheden, zoals bij veiligheidskritieke systemen of operationele technologie, mogelijk niet van toepassing is.

Naast software-updates pleit het NCSC voor het minimaliseren van systemische technische beveiligingsschuld bij technologieproducenten en leveranciers door, waar passend, geheugenveiligheid en containment-technologieën zoals CHERI toe te passen. Voor eindgebruikers en beheerders blijft de focus liggen op cybersecurity fundamentals om de veerkracht te vergroten en de impact van inbreuken te verminderen. Dit omvat de implementatie van Cyber Essentials of het Cyber Assessment Framework voor organisaties die essentiële diensten leveren (zoals energie, gezondheidszorg, transport, digitale infrastructuur en overheidsdiensten). Voor organisaties die worden geconfronteerd met verhoogde dreigingen, heeft het NCSC ook richtlijnen opgesteld over bevoorrechte toegang werkstations (PAWs), cross-domain benadering en architectuur, en cyberveerkracht door observability en threat hunting.

Het NCSC concludeert met het advies aan alle organisaties, ongeacht hun omvang, om nu te plannen en zich voor te bereiden op de kwetsbaarheidspatch golf. Een goed startpunt is het lezen van de bijgewerkte NCSC-richtlijnen voor kwetsbaarheidsbeheer.

Bron: NCSC | Bron 2: cisa.gov | Bron 3: cl.cam.ac.uk

Een recente campagne voor software supply chain aanvallen is gedetecteerd, waarbij zogenaamde 'sleeper packages' worden gebruikt om kwaadaardige payloads te verspreiden. Deze payloads zijn ontworpen voor het stelen van inloggegevens, het manipuleren van GitHub Actions en het creëren van SSH-persistentie. De activiteiten zijn toegeschreven aan het GitHub-account "BufferZoneCorp", dat diverse repositories met malafide Ruby gems en Go modules heeft gepubliceerd. Op het moment van schrijven zijn de betreffende pakketten verwijderd van RubyGems en zijn de Go modules geblokkeerd.

De geïdentificeerde pakketten bootsen bekende en veelgebruikte modules na, zoals `activesupport-logger`, `devise-jwt`, `go-retryablehttp`, `grpc-client` en `config-loader`. Dit gebeurt om detectie te omzeilen en gebruikers te misleiden ze te downloaden. Kirill Boychenko, beveiligingsonderzoeker bij Socket, merkte in een recente analyse op dat "het account deel uitmaakt van een software supply chain campagne gericht op ontwikkelaars, CI runners en build omgevingen binnen twee ecosystemen."

De lijst met malafide bibliotheken omvat:

Voor Ruby: `knot-activesupport-logger`, `knot-devise-jwt-helper`, `knot-rack-session-store`, `knot-rails-assets-pipeline`, `knot-rspec-formatter-json`, `knot-date-utils-rb` (sleeper gem) en `knot-simple-formatter` (sleeper gem).

Voor Go: `github[.]com/BufferZoneCorp/go-metrics-sdk`, `github[.]com/BufferZoneCorp/go-weather-sdk`, `github[.]com/BufferZoneCorp/go-retryablehttp`, `github[.]com/BufferZoneCorp/go-stdlib-ext`, `github[.]com/BufferZoneCorp/grpc-client`, `github[.]com/BufferZoneCorp/net-helper`, `github[.]com/BufferZoneCorp/config-loader`, `github[.]com/BufferZoneCorp/log-core` (sleeper module) en `github[.]com/BufferZoneCorp/go-envconfig` (sleeper module).

De Ruby gems zijn specifiek ontworpen om tijdens de installatie inloggegevens te stelen. Ze verzamelen omgevingsvariabelen, SSH-sleutels, AWS secrets, .npmrc, .netrc, GitHub CLI configuratie en RubyGems credentials. De gestolen gegevens worden vervolgens geëxfiltreerd naar een door de aanvaller beheerd Webhook[.]site endpoint.

De Go modules beschikken over bredere functionaliteiten, waaronder het manipuleren van GitHub Actions workflows, het plaatsen van valse Go wrappers, het stelen van ontwikkelaarsgegevens en het toevoegen van een hardgecodeerde SSH public key aan "~/.ssh/authorized_keys" voor externe toegang tot de gecompromitteerde host. De payloads zijn niet uniform, maar verspreid over de verschillende modules. Boychenko licht toe: "De module wordt uitgevoerd via `init()`, detecteert GITHUB_ENV en GITHUB_PATH, stelt HTTP_PROXY en HTTPS_PROXY in, schrijft een vals go uitvoerbaar bestand naar een cachemap en voegt die map toe aan het workflow pad, zodat de wrapper wordt geselecteerd vóór de echte binary." Dit stelt de wrapper in staat om latere go-uitvoeringen te onderscheppen of te beïnvloeden, terwijl de controle nog steeds wordt doorgegeven aan de legitieme binary om de taak niet te onderbreken.

Gebruikers die deze pakketten hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk van hun systemen te verwijderen. Daarnaast dienen zij te controleren op tekenen van toegang tot gevoelige bestanden of ongeautoriseerde wijzigingen in "~/.ssh/authorized_keys", blootgestelde inloggegevens te roteren en netwerklogboeken te inspecteren op uitgaand HTTPS-verkeer naar het exfiltratiepunt.

Bron: Socket

Cybersecuritybedrijf Trellix heeft bevestigd dat het slachtoffer is geworden van een datalek. Ongeautoriseerde partijen kregen toegang tot een deel van de broncode van het bedrijf. Trellix heeft recent de compromittering van zijn broncode repository geïdentificeerd en is onmiddellijk begonnen met samenwerking met vooraanstaande forensische experts om de kwestie op te lossen. Daarnaast is de rechtshandhaving op de hoogte gesteld van het incident.

Trellix heeft geen details vrijgegeven over de exacte aard van de data waartoe de aanvallers mogelijk toegang hebben gehad. Het bedrijf benadrukt echter dat er tot op heden geen indicaties zijn dat de broncode is beïnvloed of misbruikt. "Op basis van ons onderzoek tot nu toe hebben we geen bewijs gevonden dat ons release of distributieproces van de broncode is aangetast, of dat onze broncode is geëxploiteerd," aldus Trellix.

De cybersecurityspecialist heeft verder geen informatie gedeeld over de identiteit van de verantwoordelijke partijen achter het incident, noch over de duur van de ongeautoriseerde toegang tot de systemen. Trellix heeft aangegeven dat aanvullende informatie zal worden gedeeld zodra het onderzoek is afgerond en dit passend wordt geacht.

Trellix, eigendom van Symphony Technology Group, werd opgericht in januari 2022 na de fusie van McAfee Enterprise en FireEye. Rond dezelfde periode werd Mandiant, dat voorheen eigendom was van FireEye, overgenomen door Google in een deal ter waarde van 5,4 miljard dollar. Het incident bij Trellix onderstreept de voortdurende dreigingen waarmee zelfs vooraanstaande cybersecuritybedrijven worden geconfronteerd.

Bron: Trellix

Sinds oktober 2025 hebben beveiligingsonderzoekers een zorgwekkende verschuiving waargenomen in de methoden van cybercriminelen, die nu steeds vaker gebruikmaken van snelle, SaaS-gerichte aanvallen. Deze nieuwe benadering stelt aanvallers in staat om traditionele endpointbeveiliging volledig te omzeilen. Twee specifieke dreigingsactoren, bekend onder de namen CORDIAL SPIDER en SNARKY SPIDER, zijn geïdentificeerd als de drijvende kracht achter agressieve campagnes gericht op datadiefstal.

Deze groepen opereren vrijwel uitsluitend binnen vertrouwde SaaS-omgevingen, wat hun detectie bemoeilijkt. Platforms zoals SharePoint, HubSpot en Google Workspace zijn de voornaamste doelwitten van deze geavanceerde aanvallen. De aanvallers zetten hierbij AiTM (Adversary-in-the-Middle) phishingpagina's in, een techniek waarbij zij zich tussen de gebruiker en de legitieme dienst plaatsen om inloggegevens en sessietokens te onderscheppen. Door deze tactiek kunnen zij ongeoorloofde toegang verkrijgen tot gevoelige gegevens binnen deze zakelijke cloudomgevingen. De snelle adoptie van deze technieken door dreigingsactoren benadrukt de noodzaak voor organisaties om hun beveiligingsstrategieën aan te passen en verder te kijken dan alleen traditionele perimeterbeveiliging.

Bron: CyberSecurityNews

Cybercriminelen bewegen aanzienlijk sneller en gebruiken steeds complexere aanvalspaden, zo blijkt uit het 2026 Unit 42 Global Incident Response Report van Palo Alto Networks. Het rapport waarschuwt dat aanvallers nu vier keer sneller overgaan tot data-exfiltratie dan in 2025. Deze versnelling wordt mogelijk gemaakt doordat dreigingsactoren tegelijkertijd drie of meer aanvalsoppervlakken exploiteren, waarbij zij bewust misbruik maken van de blinde vlekken die ontstaan door een overmatige afhankelijkheid van alleen endpoint data.

Hoewel endpoint detectie en respons (EDR) een cruciale eerste verdedigingslinie blijft, heeft de snelle toename van clouddiensten, microservices en thuiswerkende gebruikers het aanvalsoppervlak aanzienlijk uitgebreid. Dit aanvalsoppervlak is te groot geworden om door één enkele tool effectief te kunnen worden gemonitord. Uit onderzoek van Unit 42 bleek dat in 75% van de onderzochte incidenten kritieke bewijzen van de initiële inbraak aanwezig waren in logbestanden. Echter, door complexe en onsamenhangende systemen was deze informatie vaak niet direct toegankelijk of effectief bruikbaar, waardoor aanvallers onopgemerkt hun gang konden gaan.

Om de dreiging voor te blijven, moeten Security Operations Centers (SOCs) hun aanpak aanpassen door telemetrie van het gehele organisatorische landschap te verzamelen en te correleren. IT-omgevingen bestaan doorgaans uit verschillende zones, waaronder identiteit en toegangsbeheer (IAM), cloud activa, operationele technologie (OT), internet of things (IoT) en AI-workloads. Elk van deze zones heeft zijn eigen ingebouwde logging en beveiligingsbehoeften. Specifieke beveiligingstools zijn ontwikkeld om de activa in elk van deze zones te beschermen. Een SOC moet in staat zijn om de logboeken en waarschuwingen van al deze zones holistisch te analyseren en de bijbehorende beveiligingstools te gebruiken om actie te ondernemen tegen dreigingen. Een uitsluitend op EDR gerichte benadering creëert hiermee gaten die aanvallers gebruiken om onzichtbaar te bewegen.

Unit 42 heeft drie specifieke scenario's geïdentificeerd waarin een endpoint-only perspectief consistent een onvolledig beeld geeft van de situatie. Eén van deze scenario's is de "cloud-to-endpoint pivot". Hierbij verkrijgen aanvallers toegang via een verkeerd geconfigureerde cloud service access key, waarna zij kunnen doorstoten naar endpoints terwijl zij hun sporen verbergen voor EDR-agenten. Vanuit de cloudconsole kunnen zij naar een cloud-gehoste server pivoteren om daar te beginnen met verkenning. Voor een SOC dat alleen de endpoints monitort, zijn de initiële toegang en manipulatie van de console onzichtbaar. De activiteit van de aanvaller kan dan overkomen als een legitieme aanmelding, wat de kans vergroot dat het SOC een vals negatief rapporteert bij het beoordelen van de gebeurtenis. Detectie vereist het samenvoegen van cloud beveiligingslogboeken, CASB-waarschuwingen en EDR-telemetrie om het volledige verhaal van de inbraak te reconstrueren.

Een ander scenario betreft "covert C2 en identiteitsdiefstal". Hierbij gebruikt een aanvaller DNS-tunneling naar een cloudopslaglocatie om een gecompromitteerd apparaat te besturen. Om hun activiteiten te maskeren met legitieme applicaties, stelen zij inloggegevens. Dit kan 'impossible travel'-waarschuwingen activeren over meerdere Software-as-a-Service (SaaS) applicaties. Als het SOC alleen de endpoint activiteit observeert, worden deze cruciale aanwijzingen gemist.

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor op een cybercrimeforum oude accounts van het Kodex platform aanbiedt. Kodex is een Amerikaans systeem waarmee bedrijven verzoeken van politie en justitie om gebruikersgegevens verifiëren en verwerken. Misbruik van een dergelijk account stelt aanvallers in staat om zogeheten noodverzoeken om gebruikersgegevens te verzenden naar meer dan 320 grote bedrijven, waaronder Discord, Coinbase, Roblox, DraftKings, Epic Games en OnlyFans. Voor 4.000 dollar wordt het pakket aangeboden, inclusief eerder gebruikte stukken die bij dergelijke verzoeken horen.

De verkoper claimt dat de inloggegevens van de actor zelf zijn en niet via een proxy lopen. Betalingen worden uitsluitend via een vertrouwde tussenpersoon afgehandeld voordat het land van herkomst van de accounts wordt onthuld. Dit type aanbod past in een patroon dat sinds februari 2026 zichtbaar is op cybercrimefora, waar volgens onderzoek van threat intelligence bedrijven eerder al losse Kodex accounts voor 2.000 dollar werden aangeboden, soms in combinatie met vervalste mailadressen van Amerikaanse politiekorpsen en valse identiteitsbewijzen.

De impact voor eindgebruikers is reëel. Een succesvolle valse aanvraag kan leiden tot het lekken van persoonsgegevens, locatiegegevens en transactiegegevens van individuele gebruikers van platforms die bij Kodex zijn aangesloten. Onder die gebruikers bevinden zich ook veel Nederlandse en Belgische burgers. Kodex zelf publiceerde eerder dat ongeveer dertig procent van de afgelopen 1.597 verzoeken een tweede verificatieronde niet doorstond en dat in een jaar tijd ongeveer 4.000 wetshandhavingaccounts zijn opgeschort, waaronder bijna 1.300 in Europa.

Voor bedrijven die zelf juridische verzoeken via Kodex of via een mailadres van een politiekorps ontvangen, is het verstandig om voor elk noodverzoek een aparte controleronde uit te voeren via een onafhankelijk telefoonnummer dat gepubliceerd is op de officiële website van het betreffende korps.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op het darkweb dat een dreigingsactor onder de naam ryewx1 op een cybercrimeforum een tool aanbiedt die mainstream beveiligingssoftware op Windows actief uitschakelt. De tool, ExEngine genaamd, wordt gepromoot als verdedigingsontduikingstool en kost tussen 150 en 250 dollar per build. Volgens de listing termineert het pakket onder andere Windows Defender, Malwarebytes, Bitdefender en Avast.

ExEngine combineert beëindiging van beveiligingsproducten met een ring 3 rootkit, automatische verhoging van rechten via een UAC bypass en de aflevering van een afleidende payload. Verdere mogelijkheden zijn rapportage van slachtofferinformatie via een Discord webhook, persistentie over herstarts en uitloggingen, en detectie van virtuele machines en debuggers met een nette afsluiting bij verdacht gedrag. De tool ondersteunt Windows 10 en 11 en kan elk type payload aan.

De combinatie van actieve terminatie van consumentenproducten zoals Windows Defender met de mogelijkheid om bestanden, processen en netwerkverbindingen te verbergen op gebruikersniveau betekent dat traditionele bescherming op het werkstation onbetrouwbaar wordt zodra ExEngine succesvol wordt uitgevoerd. De afleidende payload, een spel of installer die de aandacht van de gebruiker vasthoudt, vertraagt bovendien incidentmeldingen en geeft aanvallers extra tijd in het netwerk. Op cybercrimefora circuleren tegenwoordig tientallen vergelijkbare tools, met prijzen die variëren tussen ongeveer 150 en 1.200 dollar per build of per maand support.

Voor organisaties is het van belang om verder te kijken dan alleen endpointbescherming. Aanbevolen maatregelen zijn netwerkmonitoring met gedragsanalyse, netwerksegmentatie zodat een gecompromitteerd werkstation niet meteen tot bedrijfsbrede schade leidt, en monitoring van uitgaande connecties naar Discord webhook URLs in netwerklogs.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo zag op het darkweb een aanbod van bestanden waarvan een actor beweert dat ze afkomstig zijn van de populaire ritmegame osu!. De claim omvat de broncode van de oude osu! stable client uit 2016, websitebestanden, een database schema en configuratiebestanden van PHP en nginx. De actor stelt dat de bestanden zouden zijn weggelekt via een oude Discord server van de community.

De claim is op het moment van publicatie niet onafhankelijk geverifieerd door osu!, het ontwikkelaarsteam ppy of buitenlandse vakmedia. In mei 2016 lekte eerder al wel de broncode van de osu! stable client. De makers van osu! hebben de nieuwere versie osu!lazer onder een MIT licentie publiek gemaakt op GitHub, wat betekent dat de game broncode zelf grotendeels openbaar is. Nieuw aan deze claim zouden vooral de websitebestanden, het database schema en de nginx configuratie zijn, omdat dat onderdelen van de live productie omgeving raakt.

Mocht de claim correct zijn dan vergroot het de aanvalsoppervlakte voor onderzoekers die zoeken naar zwakke plekken in de osu! infrastructuur. Een database schema kan helpen bij gerichte SQL injecties, en nginx configuratie kan inzicht geven in routes, rate limiting en authenticatiestappen. Voor spelers met een osu! account betekent dit dat het verstandig is om wachtwoorden niet te delen met andere diensten, tweefactorauthenticatie te activeren waar mogelijk en alert te zijn op phishing of vreemde inlogpogingen.

De ontwikkelaars van osu! reageren op incidenten doorgaans via hun officiële kanalen op de osu! website en X. Tot er een bevestiging of ontkenning verschijnt, blijft de claim status vermeend.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo zag op het darkweb een database aanbod dat door de actor wordt gepresenteerd als afkomstig uit het ecosysteem van de populaire mobiele game Mobile Legends, ontwikkeld door Moonton. Een sample van de database wijst op een systeem voor link tracking en doorverwijzingen, met velden voor onder meer slug, redirect type, sponsored markeringen, klikstatistieken, geldigheidsdatums en eigenaarsdata. Dergelijke schema's worden vaak gebruikt voor in game promoties, affiliate links en advertentiecampagnes.

De volledige database wordt gedeeld via een MediaFire koppeling. De actor claimt dat het pakket gebruikersgerelateerde gegevens bevat zoals namen, mailadressen, URL gegevens, tracking parameters, account metadata, tijdstempels en backend velden. Op het moment van publicatie is de authenticiteit, omvang en herkomst van de dataset niet onafhankelijk bevestigd door Moonton of door buitenlandse vakmedia.

In juni 2024 trof Moonton al een eerder veel groter datalek door de actor WebSpid3rs, waarbij broncode van game servers, mailadressen van werknemers en klanten, en interne wachtwoorden te koop werden aangeboden op een ander cybercrime forum. Of het huidige aanbod een afsplitsing is van die eerdere dataset of nieuw materiaal blijft tot officiële bevestiging onduidelijk.

Voor spelers van Mobile Legends is het verstandig om alert te zijn op phishing pogingen en op vreemde aanmeldpogingen op het account. Het hergebruiken van eenzelfde wachtwoord op meerdere diensten vergroot de impact van eventueel uitgelekte mailadressen. Een wachtwoordmanager zoals MindYourPass beperkt de gevolgen van een dergelijk lek.

Bron: Cybercrimeinfo darkweb-onderzoek

Een nieuwe aanvalsmethode, genaamd ConsentFix v3, circuleert op het criminele forum XSS en wordt gepromoot als een verbeterde techniek die aanvallen tegen Microsoft Azure automatiseert. Deze variant bouwt voort op eerdere versies die gericht waren op OAuth phishing.

De eerste versie van ConsentFix werd in december 2025 door onderzoeksbureau Push Security gepresenteerd als een variatie op ClickFix voor OAuth phishingaanvallen. Hierbij werden slachtoffers met social engineering misleid om een legitieme inlogprocedure van Microsoft via de Azure CLI te doorlopen. Aanvallers misleidden de slachtoffers tot het plakken van een localhost URL met een OAuth autorisatiecode. Deze code kon worden gebruikt om tokens te verkrijgen en zo het account over te nemen, zelfs wanneer multifactor authenticatie was ingeschakeld. ConsentFix v2, ontwikkeld door onderzoeker John Hammond, verfijnde dit proces door het handmatig kopiëren en plakken te vervangen door een sleep en plak functionaliteit voor de localhost URL, waardoor de phishing stroom soepeler en overtuigender werd.

ConsentFix v3 behoudt het kernidee van het misbruiken van de OAuth2 autorisatiecode stroom en richt zich op Microsoft apps van de eerste partij die vooraf zijn vertrouwd en toestemming hebben. De belangrijkste verbetering van v3 is de integratie van automatisering en schaalbaarheid.

Volgens informatie die is verkregen van het XSS forum begint de aanval door de aanwezigheid van Azure in de doelomgeving te verifiëren door te controleren op geldige tenant ID's. Vervolgens worden details van medewerkers, zoals namen, functies en e-mailadressen, verzameld om impersonatie te ondersteunen. Daarna creëren de aanvallers meerdere accounts op diverse diensten zoals Outlook, Tutanota, Cloudflare, DocSend, Hunter.io en Pipedream. Deze accounts worden gebruikt voor phishing, hosting, gegevensverzameling en exfiltratie operaties.

Onderzoekers van Push Security leggen uit dat Pipedream, een gratis te gebruiken serverloze integratieplatform, een centrale rol speelt in het automatiseren van de aanval. Het vervult drie cruciale functies, het is het webhook eindpunt dat de autorisatiecode van het slachtoffer ontvangt, het is de automatiseringsengine die die code onmiddellijk uitwisselt voor een refresh token via de API van Microsoft, en het is de centrale verzamelaar die de vastgelegde tokens in realtime beschikbaar maakt voor de aanvallers.

In de volgende fase implementeert de aanvaller een phishing pagina die wordt gehost op Cloudflare Pages. Deze pagina bootst een legitieme Microsoft of Azure interface na en initieert een echte OAuth stroom via het inlog eindpunt van Microsoft. Wanneer het slachtoffer interactie heeft met de pagina, wordt deze omgeleid naar een localhost URL die een OAuth autorisatiecode bevat. Het slachtoffer wordt vervolgens misleid om deze URL terug in de phishing pagina te plakken of te slepen. Dit activeert de data exfiltratiepijplijn, waarbij de pagina de vastgelegde URL naar een Pipedream webhook stuurt en de backend automatisering onmiddellijk de autorisatiecode uitwisselt voor tokens. De e-mails voor phishing kunnen sterk gepersonaliseerd zijn, gegenereerd uit verzamelde gegevens, en bevatten kwaadaardige links die zijn ingebed in een PDF gehost op DocSend om de geloofwaardigheid te verbeteren en spamfilters te omzeilen.

In de fase na exploitatie worden de verkregen tokens geïmporteerd in Specter Portal, waardoor de aanvaller kan interageren met gecompromitteerde Microsoft omgevingen en toegang krijgt tot bronnen die door het token zijn toegestaan, zoals e-mail, bestanden en andere diensten die aan het account zijn gekoppeld. Push Security merkte op dat hun tests van ConsentFix v3 waren gebaseerd op hun persoonlijke Microsoft accounts, waardoor het moeilijk is om de volledige impact te bepalen, die afhankelijk is van permissies, diensten en tenant instellingen.

Het mitigeren van de risico's van ConsentFix is gecompliceerd, omdat het vertrouwen in apps van de eerste partij architectonisch is. Ook de Family of Client IDs, Microsoft applicaties die permissies en refresh tokens delen, zijn anderszins nuttig. Desondanks kunnen beheerders stappen ondernemen, zoals het toepassen van token binding op vertrouwde apparaten, het instellen van gedragsdetectieregels en het toepassen van restricties voor app authenticatie. Hoewel ConsentFix aanvallen worden gebruikt in daadwerkelijke campagnes, is het onduidelijk of de v3-variant al brede tractie heeft gekregen onder cybercriminelen.

Bron: Push Security | Bron 2: github.com

De Russische hostingdienst 4VPS.su is begin mei 2026 offline gegaan als gevolg van een externe inbraak. Het bedrijf, dat sinds 2017 actief is, stond bekend als een veelgebruikt platform binnen de cybercriminele onderwereld, waar diverse forums, ransomwaregroepen en andere illegale websites hun infrastructuur hosten.

Op het officiële Telegram kanaal van 4VPS bevestigde het management dat onbekende actoren toegang hadden verkregen tot het klantsysteem en de facturatiesystemen. Volgens de verklaring is het domein 4vps.su tijdelijk omgeleid naar een kwaadaardige server door middel van een aanval via proxy spoofing. Tijdens deze inbraak zou klantdata zijn buitgemaakt, waaronder wachtwoorden en betaalgegevens van de gebruikers.

Momenteel toont de website van 4VPS een Russische foutpagina met de melding "Технические работы" (technische werkzaamheden). Hoewel er op cybercrime kanalen geruchten circuleren over een mogelijke exit scam van 4VPS, ontkent het bedrijf dit en wijst het expliciet op een externe inbraak als oorzaak van de verstoring.

Het incident heeft potentieel aanzienlijke gevolgen voor het bredere cybercriminele ecosysteem. Veel operaties waren afhankelijk van de infrastructuur van 4VPS. Bovendien creëert het datalek een doxing risico voor de cybercriminelen wier persoonlijke en betaalgegevens mogelijk zijn gelekt. Onafhankelijke verificatie van de volledige omvang van de inbraak en de precieze impact ontbreekt nog op het moment van publicatie.

Bron: 4VPS Telegram | Bron 2: lowendtalk.com

De nieuwe ransomwaregroep CMD Organization is op 2 mei 2026 op het darkweb verschenen, wat de opkomst van een potentieel nieuwe dreiging in het cyberlandschap markeert. De groep, die zichzelf profileert als een "IT Security organization est. 2026", heeft op haar onion site twee slachtoffers gepubliceerd in een veilingformat met aflopende deadlines en biedingen in Bitcoin.

De geclaimde slachtoffers zijn Zampell, een Amerikaanse leverancier van vuurvaste materialen en diensten voor industrieën zoals energieopwekking, biomassa, fossiele brandstoffen en petrochemie, en JG Stewart Construction uit Canada, gespecialiseerd in steengroeve diensten zoals het breken, wassen en sorteren van aggregaten. Voor Zampell is een vraagprijs van acht Bitcoin ingesteld, met een resterende veilingtijd van ongeveer zes dagen.

CMD Organization opereert niet alleen via een onion adres in het Tor netwerk, maar ook via een clearnet domein en een statisch IP adres. Externe ransomware tracking platforms hebben de claims onafhankelijk gerapporteerd. Dit is de eerste keer dat CMD Organization publiekelijk slachtoffers vermeldt. Het gebruik van een veilingmodel, in plaats van een directe publicatie van gestolen data, duidt mogelijk op een poging om hogere losgeldbedragen af te dwingen. Hoewel de specifieke slachtoffers buiten Nederland en België zijn gevestigd, is de verschijning van een nieuwe ransomwaregroep relevant voor de risicobeoordeling van bedrijven in vergelijkbare sectoren binnen de Benelux. De methoden en doelen van deze groep kunnen immers ook Europese organisaties treffen.

Bron: RedPacket Security

Op het cybercrime forum BreachForums is een pakket vervalste documenten te koop aangeboden dat zich voordoet als officiële Amerikaanse opsporingsverzoeken. Een gebruiker genaamd "convince" verkoopt de documenten, waaronder valse seizure warrants, MLAT verzoeken (Mutual Legal Assistance Treaty), subpoenas en andere juridische instrumenten. De verkoper vraagt 500 dollar in Monero en claimt dat de documenten "pixel perfect" zijn nagebootst, inclusief jurisdictionele headers en juridische taal, om compliance officers van grote techbedrijven te overtuigen.

De aanbieder richt zich expliciet op het versturen van vervalste Emergency Data Requests (EDRs) naar grote online platforms zoals Apple, Google en Meta. Het doel is om gebruikersdata te verkrijgen zonder een rechtmatig juridisch traject te volgen. EDR's zijn een procedure waarmee Amerikaanse opsporingsdiensten in noodgevallen direct gegevens kunnen opvragen bij dienstverleners zonder voorafgaande gerechtelijke toetsing.

De FBI heeft eerder al publiekelijk gewaarschuwd voor de opkomst van vervalste EDR fraude. Het Internet Crime Complaint Center (IC3) beschrijft dat criminelen gehackte e-mailaccounts van politiediensten gebruiken om valse opsporingsverzoeken te versturen. Hiermee worden persoonsgegevens, IP adressen, telefoonnummers en zelfs locatiegegevens van slachtoffers buitgemaakt. Met deze informatie kan vervolgens identiteitsfraude, doxing, stalking en gerichte sociale manipulatie worden gepleegd. De verkoop op het cybercrime forum past in een groeiende ondergrondse markt waar vervalste opsporingstoegang voor enkele honderden tot enkele duizenden dollars wordt verhandeld. Online platforms met Nederlandse en Belgische gebruikers staan eveneens bloot aan dit risico.

Bron: FBI / Bitdefender Hot for Security | Bron 2: ic3.gov | Bron 3: theregister.com

Op het cybercrimeforum DarkForums is een nieuwe tool verschenen die zich richt op het automatiseren van de diefstal van cryptocurrency herstelzinnen. Een gebruiker met de naam makitabosch adverteert de software onder de naam "SEED SOFTWARES CRACK", met de ondertitel "Mnemonic Finder & Mnemonicx Detector". Deze tool gebruikt optical character recognition (OCR) waarmee BIP39 herstelzinnen automatisch worden gedetecteerd en te extraheren uit afbeeldingen en schermafbeeldingen.

Volgens de advertentie ondersteunt de software OCR gebaseerde scanning van afbeeldingen, detectie van BIP39 mnemonics, analyse van bulkmappen en geautomatiseerde workflows voor de ontdekking van frases. De software beschikt over een interface waarin gebruikers doelpaden, motoren, talen en filteropties kunnen instellen. Een dergelijk hulpmiddel verlaagt de drempel aanzienlijk om grote hoeveelheden gestolen of buitgemaakte schermafbeeldingen efficiënt te doorzoeken op crypto herstelzinnen.

In het verleden hebben veel slachtoffers van infostealer malware en gehackte cloudgalerijen onbedoeld schermafbeeldingen van seed phrases bewaard, soms gemaakt tijdens het opzetten van een wallet. De opkomst van geautomatiseerde extractie tools zoals deze maakt deze voorheen minder direct uitbuitsbare, gevoelige beelden achteraf alsnog kwetsbaar.

Voor crypto gebruikers in Nederland en België betekent dit dat oude schermafbeeldingen, cloudback-ups en notitie-apps een doorlopend risico vormen. Het dringende beveiligingsadvies blijft dat herstelzinnen niet thuishoren in schermafbeeldingen, niet versleutelde mappen, cloudnotities of berichten-apps. Hoewel de claims van de verkoper niet onafhankelijk zijn geverifieerd, past de tool in een trend van toenemende automatisering binnen operaties voor crypto diefstal.

Bron: Darkweb monitoring

Een actor die opereert onder de naam LAPSUS$ Group heeft op een cybercrime forum een openbare wedstrijd aangekondigd. De groep biedt een geldprijs van 1.000 dollar in Monero (XMR) aan. Deelnemers worden uitgedaagd om websites te defacen en bewijs van hun acties in te sturen via gearchiveerde links, zoals de Wayback Machine. De winnaar wordt gekozen op basis van de bekendheid van het slachtoffer, niet op het aantal aangevallen websites. De deadline voor inzendingen is gesteld op 12 mei 2026.

Externe analyses, onder meer van Resecurity en Picus Security, wijzen uit dat de huidige LAPSUS$ vlag op cybercrime forums geen geverifieerde connectie heeft met de oorspronkelijke LAPSUS$ groep. Deze groep was in 2022 verantwoordelijk voor grootschalige inbraken bij bedrijven zoals Microsoft, Nvidia, Samsung, Okta en Rockstar Games. Internationale opsporing heeft de kern van de oorspronkelijke groep grotendeels weggehaald uit het criminele circuit. De naam wordt nu hergebruikt door nieuwe collectieven die soms samenwerken met groepen als ShinyHunters en Scattered Spider.

Het organiseren van een openbare defacement wedstrijd benadrukt een trend waarin cybercriminele activiteit gegamificeerd en genormaliseerd wordt. Voor publiek toegankelijke websites van Nederlandse en Belgische organisaties betekent deze wedstrijd een verhoogd risico op opportunistische aanvallen in de aanloop naar de deadline. Webbeheerders wordt geadviseerd om patches voor populaire content management systemen actueel te houden, de inlog voor beheerderspanelen te beveiligen met multifactor authenticatie en monitoring op verdachte wijzigingen aan publieke pagina's te activeren.

Bron: Cybercrime forum monitoring | Bron 2: resecurity.com

De ondergrondse markt voor gestolen browser sessie cookies op cybercrime forums toont een explosieve groei. Recentelijk is een toenemend aanbod van deze cookies waargenomen voor populaire platforms zoals Netflix, Steam, TikTok, PayPal, Binance, Booking.com, Epic Games, Apple en eBay. De vermelding van Booking.com is hierbij significant, aangezien dit een Nederlands bedrijf is dat persoonsgegevens van miljoenen reizigers in Nederland en België verwerkt.

Deze methode van accountovername wijkt af van traditionele diefstal van inloggegevens. Gestolen sessie cookies stellen aanvallers in staat om reeds geauthenticeerde accounts over te nemen, zelfs wanneer multifactorauthenticatie (MFA) is ingeschakeld. Dit komt doordat de cookies een actieve, gevalideerde sessie representeren. De cookies worden in de meeste gevallen verzameld via infostealer malware die onopgemerkt draait op geïnfecteerde apparaten. Deze malware exfiltreert alle browsergegevens, waardoor het wachtwoord van een slachtoffer niet langer voldoende is om ongeautoriseerde toegang te voorkomen.

Bedreigingsactoren verschuiven hun focus van het stelen van wachtwoorden naar het stelen van sessies. Deze ontwikkeling betekent een wezenlijke verandering in het dreigingsbeeld voor zowel consumenten als organisaties. De markt voor accountovername via sessiediefstal groeit snel in 2026 en treft direct platforms met een grote Nederlandse en Belgische gebruikersbasis.

Om de risico's te beperken, worden diverse maatregelen aanbevolen. Dit omvat het regelmatig uitloggen van ongebruikte sessies, het wissen van browser cookies, het vermijden van het opslaan van inloggegevens in browsers, het actief monitoren van actieve sessies en accountactiviteit, en het beschouwen van infostealer malware als een hoofdprioriteit binnen het bedrijfsbrede beveiligingsbeleid.

Bron: Darkweb monitoring

Een actor bekend als ShinyHunters beweert op het cybercrime forum BreachForums in het bezit te zijn van miljoenen gebruikersgegevens afkomstig van het backend systeem van NVIDIA GeForce NOW, het cloud gaming platform van NVIDIA. De vermeende dataset zou diverse persoonlijke en accountgerelateerde informatie omvatten, waaronder voornamen, achternamen, geverifieerde e-mailadressen, gebruikersnamen, geboortedata, lidmaatschapsstatus, de status van TOTP en tweefactor authenticatie, en interne rolattributen.

Ter ondersteuning van de bewering heeft ShinyHunters enkele voorbeeldrecords openbaar gemaakt. Op dit moment is de authenticiteit en de werkelijke omvang van de geclaimde data niet onafhankelijk geverifieerd. NVIDIA heeft de claim tot op heden niet publiekelijk bevestigd.

ShinyHunters staat bekend als een cybercriminele groepering die in het verleden verantwoordelijk werd gehouden voor datalekken bij diverse grote technologie en clouddiensten. Indien de claim accuraat blijkt, zou een blootstelling van gebruikersdata op deze schaal de risico's aanzienlijk vergroten. Dit omvat onder meer aanvallen via credential stuffing, gerichte phishingcampagnes, overnames van accounts en sociale manipulatie. De vermelding van TOTP en tweefactor authenticatie metadata is daarbij bijzonder verontrustend, aangezien dit aanvallers extra context kan bieden voor het opzetten van zeer gerichte en effectieve campagnes.

Aangezien NVIDIA GeForce NOW gebruikers in zowel Nederland als België heeft, worden klanten van het platform geadviseerd om onmiddellijk hun wachtwoord te resetten. Verder is het raadzaam om sterke multifactor authenticatie te activeren waar dit mogelijk is, recente inlogactiviteit kritisch te controleren en wachtwoordhergebruik tussen verschillende diensten te vermijden.

Bron: Darkweb monitoring

Op een ondergronds cybercrimeforum is een nieuwe cross platform Remote Access Trojan (RAT) verschenen, genaamd QuimaRAT v2.0.0. Deze malware wordt aangeboden door een acteur die opereert onder de naam QuimaCORE en richt zich op systemen met Windows, macOS en Linux. De ontwikkelaar claimt dat de tool, gebouwd op Java 17 en JavaFX, op het moment van publicatie volledig ondetecteerbaar is.

De communicatie tussen een geïnfecteerde machine en de aanvaller wordt beveiligd met Mutual TLS, in combinatie met AES 256 GCM versleuteling. Een opvallende eigenschap die door de aanbieder wordt geadverteerd, is dat een installatie van Java op de doelmachine niet noodzakelijk is. Dit komt doordat de builder een ingebedde Java Runtime Environment (JRE) meelevert in diverse formaten, waaronder JAR, EXE via Launch4j, BAT, VBS en native binaries.

QuimaRAT v2.0.0 biedt een uitgebreide set functionaliteiten. Voor Windows systemen zijn er meer dan zeventig modules beschikbaar, terwijl macOS en Linux systemen kunnen rekenen op meer dan veertig modules. De surveillancefuncties omvatten een keylogger, een klembord logger, screenshot opname, verborgen VNC-functionaliteit, en de mogelijkheid tot webcam en microfoonopname.

Op het gebied van het stelen van inloggegevens adverteert de RAT met herstelmogelijkheden voor browsers zoals Chromium, Firefox en Edge. Daarnaast kunnen e-mail clients, LSASS dumps, RDP en VPN-credentials, crypto walletartefacten en tokens worden gestolen. Voor ontwijking van beveiligingsmaatregelen claimt de adverteerder functies zoals AMSI bypass, ETW patcher, UAC bypass, het uitschakelen van Defender en Firewall, process hollowing techniek, DLL injectie en een rootkit module.

De prijsstelling voor QuimaRAT v2.0.0 varieert van 200 dollar voor een maandlicentie tot 2400 dollar voor een levenslange licentie. Cybercrimeinfo merkt op dat de claims van de verkoper niet onafhankelijk zijn geverifieerd. De opkomst van deze RAT past echter wel in een breder patroon van aanbieders van Malware-as-a-Service (MaaS) die gebaseerd is op Java, vergelijkbaar met eerdere dreigingen zoals Adwind en Quaverse RAT.

Bron: Darkweb monitoring

Op het cybercrime forum DarkForums adverteert een dreigingsactor met de gebruikersnaam SekT0r een geautomatiseerde scanner en exploit voor LiteLLM Proxy installaties. Deze tool richt zich op systemen die kwetsbaar zijn voor een specifieke SQL injectie, bekend als CVE-2026-42208. Volgens de listing ondersteunt de scanner exploitatie van één doelwit, massascans op basis van een doelwitlijst, en geautomatiseerde uitbuiting van kwetsbare instanties.

De kwetsbaarheid CVE-2026-42208 is een kritieke pre authenticatie SQL injectie die op 19 april 2026 publiekelijk werd gemaakt via de GitHub Advisory Database. De fout ligt in de manier waarop LiteLLM Proxy API sleutels verwerkt in database queries zonder deze als afzonderlijke parameter door te geven. Dit stelt een aanvaller in staat om met een speciaal gevormde Authorization header een query op te breken en willekeurige database commando's uit te voeren, zelfs voordat authenticatie plaatsvindt.

Sysdig observeerde de eerste exploitatie pogingen al op 26 april 2026, slechts 26 uur na de openbaarmaking van het beveiligingsadvies. Aanvallers richtten zich expliciet op drie tabellen die de meest waardevolle proxy secrets bevatten. LiteLLM is een open source LLM gateway met meer dan 22.000 GitHub stars, die bedrijven gebruiken als front end voor model providers zoals OpenAI en Anthropic.

De kwetsbaarheid is verholpen in versie 1.83.7 stable. Versies van 1.81.16 tot en met 1.83.7 zijn kwetsbaar. Organisaties die LiteLLM Proxy in productie hebben staan, dienen direct te upgraden naar versie 1.83.7 of hoger. De recente opkomst van een kant en klare scanner en exploit op een cybercrime forum verlaagt de drempel voor minder vaardige aanvallers en kan leiden tot grootschaliger misbruik gericht op AI infrastructuur in Nederland en België.

Bron: Sysdig | Bron 2: docs.litellm.ai | Bron 3: thehackernews.com

Nieuw onderzoek van Check Point Research (CPR) en Halcyon onthult een ernstige programmeerfout in de VECT 2.0 ransomware, waardoor slachtofferdata onherstelbaar wordt vernietigd. Dit betekent dat bestanden zelfs na het betalen van losgeld niet kunnen worden hersteld. Hoewel de cybercriminelen achter dit project een professioneel ogende tool probeerden te ontwikkelen, hebben fundamentele fouten de ransomware in feite veranderd in een wiper die data permanent beschadigt.

Onderzoekers van Halcyon leggen uit dat VECT een Ransomware as a Service (RaaS) operatie is. De encryptie-implementatie voor Windows, Linux en ESXi varianten bevat cruciale gebreken die het decoderen en de betaling van losgeld voor gegevensherstel ondoeltreffend maken.

VECT 2.0 werd voor het eerst gedetecteerd in december 2025. In februari 2026 breidde de ransomware snel zijn capaciteiten uit om Windows, Linux en ESXi systemen aan te vallen. Normaal gesproken vergrendelt ransomware een bestand en bewaart het een digitale sleutel, zodat het slachtoffer het later, na betaling van het losgeld, kan ontgrendelen. Check Point Research ontdekte echter een groot probleem in de manier waarop de software omgaat met grote bestanden.

Elk bestand groter dan 128 KB, wat bijna alle kantoordocumenten, databases en back-ups omvat, wordt tijdens de aanval beschadigd. De malware creëert vier afzonderlijke sleutels om het bestand te vergrendelen, maar overschrijft en verwijdert per ongeluk de eerste drie. Omdat deze sleutels voorgoed verdwijnen op het moment dat ze worden gebruikt, is volledig herstel voor niemand, inclusief de aanvallers, onmogelijk. Zelfs de hackers beschikken niet over de sleutels die nodig zijn om hun slachtoffers te helpen.

De groep heeft haar best gedaan om de campagne hoogwaardig te laten lijken, maar de malware zit vol met beginnersfouten. Analyse door Halcyon wees ook uit dat de 'Full mode' defect is vanwege een geheugenfout die encryptie beperkt tot bestanden kleiner dan 32 KB, waardoor de meeste data volledig wordt overgeslagen. Andere ontdekte fouten zijn onder meer genegeerde modi, waarbij instellingen voor snelle, gemiddelde of veilige modi wel door de code worden geparseerd, maar vervolgens stilzwijgend worden genegeerd. Bovendien probeert de malware honderden taken tegelijk te starten. Deze thread scheduler fout overbelast de computer en vertraagt deze, in plaats van de aanval te versnellen.

De hackers probeerden hun instructies te verbergen met behulp van een methode genaamd XOR string obfuscatie, maar ze hebben de wiskunde zo slecht uitgevoerd dat de code zichzelf opheft. Dit laat hun plannen in platte tekst achter voor iedereen om te lezen. Verder richt de Windows-versie van de aanval zich specifiek op bestanden door een .vect extensie toe te voegen en dwingt het programma's zoals Excel.exe, Winword.exe en Outlook.exe af te sluiten, zodat het hun data kan bemachtigen.

Ondanks deze technische gebreken heeft de groep verschillende slachtoffers geclaimd door een samenwerking met een andere groep genaamd TeamPCP. In maart 2026 lanceerden ze aanvallen die malware verborgen in populaire ontwikkelaarstools zoals Trivy, Checkmarx KICS, LiteLLM en Telnyx. De groep heeft zelfs leden van BreachForums uitgenodigd en toegangssleutels verstrekt aan elk lid dat zich bij hun netwerk wilde aansluiten.

Hoewel de hackers beweren dat hun systeem geavanceerd is, gebruiken ze in werkelijkheid een gebrekkige motor. Onderzoekers waarschuwen dat de informatie die nodig is om de bestanden te ontgrendelen, tijdens de aanval wordt vernietigd. Het betalen van de hackers zal uw data daarom niet terugbrengen. Het blogbericht van Check Point Research concludeert dat "VECT 2.0 een ambitieus dreigingsprofiel presenteert met multiplatform dekking, een actief partnerprogramma, supply chain distributie via de TeamPCP samenwerking en een gepolijst operatorpaneel. In de praktijk schiet de technische implementatie echter aanzienlijk tekort bij de presentatie ervan."

Bron: Check Point Research | Bron 2: research.checkpoint.com

Onderzoekers van The Hong Kong Polytechnic University, The Chinese University of Hong Kong en het Technological and Higher Education Institute of Hong Kong hebben aangetoond dat standaard telecom glasvezelkabels kunnen worden omgezet in een passief en vrijwel niet detecteerbaar afluisterapparaat. Het onderzoek werd gepresenteerd op het Network and Distributed System Security Symposium (NDSS) 2026 in San Diego onder de titel "Hiding an Ear in Plain Sight". Voor Nederland en België is dit relevant omdat glasvezel via providers als KPN, Odido, Proximus en Telenet inmiddels in een groot deel van de woningen en kantoren ligt.

Wanneer iemand in een ruimte spreekt, veroorzaken de geluidsgolven kleine trillingen in alles om hen heen, ook in de glasvezelkabel die door de wand of plint loopt. Die trillingen verstoren de laserstraal die door de kabel reist. Sluit een aanvaller het andere uiteinde van de kabel aan op een Distributed Acoustic Sensing systeem, dan kan deze de verstoringen vertalen naar herkenbare spraak.

Een normale glasvezel die langs een plint loopt is op zichzelf niet gevoelig genoeg, omdat geluid in de lucht te snel vervaagt. De onderzoekers bouwden daarom een klein apparaat dat zij Sensory Receptor noemen, een plastic cilinder van 65 millimeter met ongeveer 15 meter glasvezel eromheen gewonden. Het apparaat is klein genoeg om verborgen te worden in dezelfde aansluitdoos die internetmonteurs gebruiken om overtollige glasvezel op te bergen.

In een kantoorproef met de receptor in een glasvezeldoos en de aanvaller op meer dan 50 meter afstand in een andere ruimte, was ongeveer 80 procent van het gesprek herstelbaar. De onderzoekers behaalden 83 procent nauwkeurigheid bij het herkennen van dagelijkse activiteiten zoals typen, lopen, snurken en afwassen. Ook de richting waaruit een geluid kwam, kon tot ongeveer een meter nauwkeurig worden bepaald.

De aanval verschilt fundamenteel van een verborgen microfoon. Er is geen elektriciteit, geen batterij en geen radiosignaal nodig op de afluisterlocatie. Daardoor kan een professionele bug sweep, die normaal radiosignalen of stroom detecteert, het apparaat niet vinden. Een commerciele ultrasone jammer naast het apparaat had bij de tests geen effect.

Voor organisaties met gevoelige vergaderingen adviseren de onderzoekers om bij hun IT team te vragen naar gepolijste glasvezelconnectoren en optische isolatoren, die de aanval aanzienlijk bemoeilijken. Daarnaast helpt het om geen overtollige glasvezel binnen de kamer te laten oprollen, om kabelroutes weg te houden van bureaus en wanden die meeresoneren met gesprekken, en om in hoogwaardige ruimtes wanden en plafonds rond glasvezeltrajecten geluiddicht te maken.

Bron: NDSS Symposium

Diverse recente ontwikkelingen op het gebied van cyberbeveiliging wijzen op aanhoudende en evoluerende dreigingen voor de digitale infrastructuur. Een opvallend incident betreft een hack bij DigiCert, een prominente certificaatautoriteit. Dit incident, waarbij een screensaver vermoedelijk een rol speelde bij het doorbreken van de internetvertrouwenslaag, onderstreept de kwetsbaarheid van zelfs fundamentele beveiligingssystemen. De details van de aanvalsmethode en de impact op de uitgegeven certificaten zijn van cruciaal belang voor de mondiale internetveiligheid.

Daarnaast is bekend geworden dat Trellix, een belangrijke speler op het gebied van cyberbeveiliging, een lek van broncode heeft moeten melden. Een dergelijke inbreuk bij een beveiligingsleverancier kan verstrekkende gevolgen hebben, aangezien gelekte broncode potentiële aanvallers inzicht kan geven in de werking van beveiligingsproducten en hen kan helpen bij het ontwikkelen van nieuwe exploits. Dit benadrukt de noodzaak voor extra waakzaamheid bij organisaties die afhankelijk zijn van dergelgelijke beveiligingsoplossingen.

Verder is een negen jaar oude kwetsbaarheid in Linux, aangeduid als "Copy Fail", toegevoegd aan de lijst van Known Exploited Vulnerabilities (KEV) van CISA. Hoewel deze bug al langer bekend is, wijst de opname in de KEV-lijst op een verhoogd risico op actieve exploitatie. Organisaties die Linux systemen gebruiken, worden dringend geadviseerd om deze kwetsbaarheid met prioriteit te patchen om misbruik te voorkomen.

Op hackforums is bovendien een nieuwe IVR (Interactive Voice Response) 0-day automatiseringstool te koop aangeboden. Deze tool is specifiek ontworpen voor snelle aanvallen via SIP-protocollen tegen spraakmenusystemen. De beschikbaarheid van zo'n gespecialiseerde aanvalstool vormt een directe dreiging voor organisaties die gebruikmaken van IVR-systemen voor klantenservice of andere geautomatiseerde processen, en kan leiden tot verstoringen of fraude. De opkomst van dergelijke gespecialiseerde tools toont aan dat cybercriminelen voortdurend nieuwe methoden ontwikkelen om specifieke infrastructuren aan te vallen.

Bron: Darkweb

Onderzoekers van Kaspersky hebben een toename waargenomen in phishingaanvallen die misbruik maken van de Amazon Simple Email Service (SES) om overtuigende e-mails te versturen. Deze methode stelt aanvallers in staat om standaard beveiligingsfilters te omzeilen en reputatiegebaseerde blokkades ineffectief te maken, aangezien Amazon SES een legitieme en vertrouwde dienst is.

De escalatie van dit misbruik wordt voornamelijk toegeschreven aan het toenemende aantal gelekte AWS Identity and Access Management (IAM) toegangssleutels. Deze sleutels worden vaak blootgesteld in openbare bronnen zoals GitHub repositories, .ENV-bestanden, Docker-images, back-ups en publiek toegankelijke S3-buckets. Cybercriminelen gebruiken geautomatiseerde tools, zoals bots gebouwd op het open-source TruffleHog hulpprogramma, om deze gelekte geheimen te scannen.

Na het verifiëren van de permissies van een sleutel en de limieten voor het verzenden van e-mails, kunnen aanvallers grote hoeveelheden phishingberichten verspreiden. De kwaliteit van de waargenomen phishingaanvallen is volgens Kaspersky hoog, met op maat gemaakte HTML-templates die echte diensten nabootsen en realistische login-flows. Voorbeelden zijn valse DocuSign-notificaties die slachtoffers naar AWS-gehoste phishingpagina's leiden, en geavanceerde Business Email Compromise (BEC) aanvallen. Bij BEC aanvallen fabriceren aanvallers complete e-mailconversaties om de berichten overtuigender te maken en versturen ze valse facturen om financiële afdelingen te misleiden tot betalingen.

Door Amazon SES in te zetten, hoeven aanvallers zich geen zorgen meer te maken over authenticatiecontroles zoals de SPF-, DKIM en DMARC-protocollen. Bovendien is het blokkeren van de IP-adressen die deze phishing-e-mails versturen geen haalbare oplossing, omdat dit alle legitieme e-mails via Amazon SES zou tegenhouden.

Kaspersky adviseert bedrijven om IAM-permissies te beperken volgens het 'least privilege'-principe, multi-factor authenticatie in te schakelen, sleutels regelmatig te roteren en IP-gebaseerde toegangsbeperkingen en encryptiecontroles toe te passen. Amazon verwijst naar zijn eigen beveiligingsrichtlijnen voor blootgestelde credentials en adviseert om ongeoorloofde toegang tot accounts te voorkomen. Gebruikers die misbruik van AWS-middelen vermoeden, kunnen dit melden bij AWS Trust & Safety.

Bron: Kaspersky | Bron 2: securelist.com | Bron 3: repost.aws

Een actieve phishingcampagne, aangeduid als VENOMOUS#HELPER, heeft sinds ten minste april 2025 meer dan 80 organisaties getroffen, voornamelijk in de Verenigde Staten. Deze campagne maakt gebruik van legitieme software voor Remote Monitoring and Management (RMM), zoals SimpleHelp en ScreenConnect, om persistente toegang op afstand te verkrijgen tot gecompromitteerde systemen. Beveiligingsonderzoekers van Securonix hebben deze activiteit waargenomen en merken een overlap op met clusters die eerder door Red Canary en Sophos (onder de naam STAC6405) zijn gevolgd. Hoewel de identiteit van de aanvallers onduidelijk blijft, wordt vermoed dat het gaat om een financieel gemotiveerde Initial Access Broker (IAB) of een operatie die voorafgaat aan ransomware aanvallen.

Volgens Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee van Securonix wordt op maat gemaakte SimpleHelp en ScreenConnect RMM-software ingezet om verdedigingsmechanismen te omzeilen, aangezien deze door nietsvermoedende slachtoffers legitiem worden geïnstalleerd. Het gebruik van twee verschillende, legitieme RMM-tools duidt op een poging om een "redundante dual-channel toegangsarchitectuur" te creëren. Dit ontwerp zorgt ervoor dat de operaties kunnen doorgaan, zelfs als één van de tools wordt gedetecteerd en geblokkeerd.

De aanval begint met een phishing-e-mail die zich voordoet als afkomstig van de Amerikaanse Social Security Administration (SSA). De ontvanger wordt hierin geïnstrueerd om zijn of haar e-mailadres te verifiëren en een vermeende SSA-verklaring te downloaden via een ingesloten link. Deze link leidt naar een legitieme, maar gecompromitteerde, Mexicaanse zakelijke website (gruta.com[.]mx), een bewuste strategie om spamfilters te omzeilen.

De 'SSA-verklaring' wordt vervolgens gedownload van een tweede, door de aanvallers gecontroleerd domein (server.cubatiendaalimentos.com[.]mx). Dit is een uitvoerbaar bestand dat verantwoordelijk is voor de levering van de SimpleHelp RMM-tool. Aangenomen wordt dat de aanvallers toegang hebben verkregen tot een enkel cPanel-gebruikersaccount op de legitieme hostingserver om de binaire bestanden te plaatsen.

Zodra het slachtoffer het met JWrapper verpakte Windows-uitvoerbare bestand opent, in de veronderstelling dat het een document is, installeert de malware zichzelf als een Windows-service met persistentie in de veilige modus. Een "zelfherstellende watchdog" zorgt ervoor dat de service automatisch opnieuw wordt opgestart als deze wordt beëindigd. Het systeem inventariseert periodiek geregistreerde beveiligingsproducten via de root\SecurityCenter2 WMI-namespace, elke 67 seconden, en controleert elke 23 seconden de aanwezigheid van de gebruiker.

Om volledige interactieve desktoptoegang mogelijk te maken, verkrijgt de SimpleHelp remote access client SeDebugPrivilege via AdjustTokenPrivileges. Het legitieme uitvoerbare bestand "elev_win.exe", geassocieerd met de software, wordt gebruikt om privileges op SYSTEM-niveau te verkrijgen. Dit stelt de operator in staat om het scherm te lezen, toetsaanslagen te injecteren en toegang te krijgen tot gebruikerscontextbronnen. Deze verhoogde toegang op afstand wordt vervolgens misbruikt om ConnectWise ScreenConnect te downloaden en te installeren, wat een reservecommunicatiemechanisme biedt mocht het SimpleHelp-kanaal worden uitgeschakeld.

De ingezette SimpleHelp-versie (5.0.1) biedt uitgebreide functionaliteiten voor beheer op afstand. De getroffen organisaties blijven achter in een situatie waarin de aanvaller op elk moment kan terugkeren, opdrachten stilzwijgend kan uitvoeren in de desktopsessie van de gebruiker, bestanden bidirectioneel kan overdragen en naar aangrenzende systemen kan doorstoten. Ondertussen detecteren standaard antivirus- en op signatures gebaseerde controles niets anders dan legitiem ondertekende software van een gerenommeerde Britse leverancier.

Bron: Securonix | Bron 2: learn.microsoft.com | Bron 3: redcanary.com

Een kwaadaardige versie van het populaire PyTorch Lightning pakket, gepubliceerd op de Python Package Index (PyPI), verspreidt malware die is ontworpen om inloggegevens te stelen. Dit is op 30 april naar buiten gebracht door de ontwikkelaar van het pakket, Lightning AI. De geïnfecteerde versie, 2.6.3, bevat een verborgen uitvoeringsketen die automatisch activeert bij het importeren van het pakket en op de achtergrond een kwaadaardige JavaScript-payload downloadt en uitvoert.

PyTorch Lightning is een veelgebruikt deep learning framework, essentieel voor het voortrainen en finetunen van AI modellen, met meer dan 11 miljoen downloads in de afgelopen maand. De beveiligingsadvies van de maintainer waarschuwt dat de ongewenste activiteit start zonder gebruikersinteractie. Het achtergrondproces downloadt een JavaScript runtime, genaamd 'Bun v1.3.13', direct van GitHub. Vervolgens wordt een zwaar geobfusceerde JavaScript-payload van 11.4 MB, 'router_runtime.js', uitgevoerd.

Microsoft Threat Intelligence heeft gemeld dat hun Defender-oplossing deze kwaadaardige routine heeft gedetecteerd en voorkomen in klantomgevingen, waarna de pakketbeheerder op de hoogte werd gesteld. De payload, die door Defender wordt herkend als "ShaiWorm", is een informatie-stelende malware. Deze is specifiek gericht op het verzamelen van gevoelige gegevens zoals .env bestanden, API-sleutels, geheimen, GitHub-tokens en data opgeslagen in browsers zoals Chrome, Firefox en Brave. Bovendien kan de malware communiceren met API's van cloud diensten, waaronder AWS, Azure en Google Cloud Platform (GCP), om inloggegevens te stelen en ondersteunt het de uitvoering van willekeurige systeemcommando's.

Volgens telemetriegegevens van Microsoft heeft de kwaadaardige activiteit slechts een klein aantal apparaten getroffen en leek deze beperkt te zijn tot een smalle reeks omgevingen. Lightning AI waarschuwt echter alle gebruikers die versie 2.6.3 van het pakket hebben uitgevoerd en daarbij 'import lightning' hebben gebruikt, dat hun geheimen, sleutels en tokens mogelijk zijn gecompromitteerd. Voor deze gebruikers wordt dringend geadviseerd om onmiddellijk alle betreffende inloggegevens te roteren.

Als reactie op het incident is de PyTorch Lightning-versie op PyPI teruggezet naar 2.6.1, die als veilig wordt beschouwd. De exacte oorzaak van de supply chain compromis is nog onduidelijk. De uitgevers van het pakket zijn momenteel bezig met een onderzoek naar hoe de build en release pijplijn is doorbroken. Daarnaast zullen alle andere recente releases worden geaudit op vergelijkbare payloads, en gebruikers zullen via alle beschikbare kanalen op de hoogte worden gesteld van eventuele verdere bevindingen.

Bron: Lightning AI | Bron 2: github.com | Bron 3: pypistats.org

Een nieuw geïdentificeerde phishing kit, genaamd Bluekit, verandert de manier waarop cybercriminelen phishing aanvallen uitvoeren. Deze kit bundelt meerdere aanvalsmogelijkheden in één gebruiksvriendelijk operatorpaneel. In plaats van te vertrouwen op afzonderlijke tools die van verschillende bronnen zijn samengesteld, biedt Bluekit aanvallers een gecentraliseerd platform. Dit stelt hen in staat om alles te beheren, van het creëren van valse websites tot het overnemen van sessies.

Bluekit onderscheidt zich door zijn vermogen om domeinen te automatiseren en lokmiddelen voor twee-factor-authenticatie (2FA) te integreren, evenals de mogelijkheid tot sessie overname, allemaal vanuit één paneel. Jarenlang waren aanvallers afhankelijk van losse componenten om hun phishing campagnes op te zetten, wat het proces complex en tijdrovend maakte. De introductie van Bluekit stroomlijnt deze processen aanzienlijk, waardoor cybercriminelen met minder technische kennis toch geavanceerde aanvallen kunnen lanceren.

Deze ontwikkeling betekent een efficiëntere en potentieel wijdverspreidere dreiging voor organisaties en individuen. De geïntegreerde functionaliteit van Bluekit, inclusief de automatisering van domeinen en de mogelijkheid tot 2FA-omzeiling en sessie overname, maakt het een krachtig wapen in het arsenaal van cybercriminelen. Beveiligingsexperts waarschuwen dat de opkomst van dergelijke geavanceerde en gebruiksvriendelijke tools de drempel voor het uitvoeren van complexe phishing aanvallen verlaagt.

Bron: CyberSecurityNews

OpenAI's nieuwste model, GPT-5.5, heeft volgens een recente evaluatie van het Britse AI Security Institute (AISI) uitzonderlijke capaciteiten getoond bij het uitvoeren van complexe cybertaken en het oplossen van volledige aanvallen op bedrijfsnetwerken. Het is pas het tweede model dat erin slaagt een end-to-end aanval op een netwerk succesvol te voltooien in gesimuleerde omgevingen.

AISI onderwierp GPT-5.5 aan diepgaande cyber-evaluaties, waarbij zowel basistaken als geavanceerde aanvalsscenario's werden getest. Het onderzoek omvatte 95 opdrachten gebaseerd op Capture The Flag (CTF), verdeeld over vier moeilijkheidsgraden. Deze opdrachten testten uiteenlopende vaardigheden, zoals reverse engineering, exploitatie van webapplicaties en cryptografie.

Waar eerdere modellen al basistaken beheersten, lag de focus nu op realistischere en geavanceerdere uitdagingen. In de expert-categorie, de meest complexe taken, behaalde GPT-5.5 een gemiddeld slagingspercentage van 71,4 procent. Dit overtreft Claude Mythos Preview (68,6 procent) en is aanzienlijk beter dan voorgangers zoals GPT-5.4 (52,4 procent) en Opus 4.7 (48,6 procent). GPT-5.5 presteerde vooral sterk op het gebied van reverse engineering, ontwikkeling van exploits en het oplossen van kunstmatige kwetsbaarheden.

Naast de individuele taken testte AISI ook de end-to-end capaciteiten van GPT-5.5 in gesimuleerde aanvallen op bedrijfsnetwerken. Een van deze simulaties was "The Last Ones (TLO)", een complexe oefening van 32 stappen. GPT-5.5 wist deze aanvalsketen tweemaal volledig te doorlopen in tien pogingen, waarmee het een van de weinige modellen is die dit kunnen. Echter, op een industriële besturingssimulatie genaamd "Cooling Tower" slaagde geen enkel model erin het volledige traject af te leggen. GPT-5.5 stuitte op beperkingen bij stappen gerelateerd aan IT, wat aangeeft dat de capaciteiten op het gebied van Operational Technology (OT) vooralsnog onbekend blijven.

AISI benadrukt dat de testomgevingen geen actieve verdedigers of realistische detectiemechanismen bevatten, wat de directe vertaling van de resultaten naar de praktijk beperkt. OpenAI introduceerde vorige maand al GPT-5.4-Cyber, een nieuwe concurrent voor Anthropic Mythos. Kort daarna kondigde het bedrijf GPT-5.5-Cyber aan, dat beschikbaar is voor een selecte groep beveiligingsprofessionals. Ook concurrent Anthropic bracht op dezelfde dag Claude Security in bèta uit voor zijn zakelijke klanten.

Bron: AISI | Bron 2: itdaily.com

Microsoft Defender Research heeft een omvangrijke en geavanceerde phishingcampagne waargenomen die misbruik maakt van 'code of conduct'-thema's om authenticatietokens te stelen via een Adversary-in-the-Middle (AiTM) aanval. Deze campagne toont een groeiende verfijning in de combinatie van social engineering, leveringsinfrastructuur en misbruik van authenticatie om effectief te blijven tegen evoluerende beveiligingsmaatregelen.

De aanvallers richtten zich tussen 14 en 16 april 2026 op meer dan 35.000 gebruikers binnen ruim 13.000 organisaties in 26 landen. Hoewel het merendeel van de doelwitten (92%) zich in de Verenigde Staten bevond, raakte de campagne een breed scala aan sectoren wereldwijd, waaronder gezondheidszorg en biowetenschappen (19%), financiële diensten (18%), zakelijke dienstverlening (11%) en technologie en software (11%).

De methode van de aanval omvatte een meerstapsketen. Phishing-e-mails, die werden verstuurd via legitieme e-maildiensten vanaf waarschijnlijk aanvaller-gecontroleerde domeinen, presenteerden zich als interne naleving of regelgevende communicatie. Ze gebruikten displaynamen zoals "Internal Regulatory COC" en onderwerpregels als "Internal case log issued under conduct policy". De berichten waren opgesteld in gepolijste, zakelijke HTML-sjablonen, inclusief authenticiteitsverklaringen en tijdgebonden actieprompts, om een gevoel van urgentie en legitimiteit te creëren.

Gebruikers werden via een PDF-bijlage met titels zoals "Awareness Case Log File" naar een reeks aanvallers-gecontroleerde domeinen geleid. Deze landingspagina's presenteerden een Cloudflare CAPTCHA, bedoeld om geautomatiseerde analyses te omzeilen. Na het voltooien van de CAPTCHA werden gebruikers omgeleid naar een tussenliggende pagina die hen voorbereidde op de laatste fase van de aanval, waarbij werd beweerd dat documentatie versleuteld was en accountauthenticatie vereiste.

Uiteindelijk leidde de aanval tot een legitieme inlogervaring die deel uitmaakte van een AiTM phishing-flow. Hierdoor konden aanvallers de authenticatiesessie proxyen en authenticatietokens vastleggen, wat directe toegang tot accounts mogelijk maakte. In tegenstelling tot traditionele diefstal van inloggegevens, onderscheppen AiTM-aanvallen authenticatieverkeer in realtime, waardoor niet-phishing-resistente meervoudige authenticatie (MFA) wordt omzeild.

Om zich tegen dergelijke aanvallen te beschermen, adviseert Microsoft organisaties om gebruikers voor te lichten over phishing-lokmiddelen. Daarnaast is investeren in geavanceerde anti-phishing-oplossingen, zoals Microsoft Defender for Office 365, cruciaal. Het correct configureren van essentiële e-mailbeveiligingsinstellingen en het stimuleren van het gebruik van webbrowsers die SmartScreen ondersteunen, wordt eveneens aanbevolen. Organisaties kunnen ook netwerkbeveiliging inschakelen, waardoor Windows SmartScreen als host-based web proxy kan fungeren.

Bron: Microsoft

De Five Eyes-landen, bestaande uit Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten, hebben een gezamenlijke waarschuwing uitgegeven over het gebruik van AI-agents voor gevoelige taken. Organisaties wordt geadviseerd om AI-agents geen onbeperkte toegang te geven tot gevoelige data, vanwege het aanzienlijke risico op datalekken en andere incidenten. Dit adviesdocument is opgesteld door onder andere de Amerikaanse geheime dienst NSA, het cyberagentschap CISA en het Britse NCSC.

De diensten constateren dat 'agentic AI' steeds vaker wordt ingezet binnen vitale infrastructuur en de defensiesector. Met de groeiende operationele rol van agentic AI-systemen, benadrukken zij het belang voor verdedigers om security controls te implementeren. Dit is cruciaal om de nationale veiligheid en vitale infrastructuur te beschermen tegen de specifieke risico's die inherent zijn aan agentic AI. Deze risico's kunnen leiden tot productiviteitsverlies, verstoringen, datalekken en cybersecurity incidenten.

De risico's verbonden aan agentic AI manifesteren zich op diverse gebieden. Voorbeelden zijn situaties waarin een AI-agent over te veel rechten beschikt, maar ook ontwerp en configuratierisico's. De architectuur van AI-systemen maakt het bovendien complex om te achterhalen wat de oorzaak was van een specifieke actie, wat het lastig maakt om de verantwoordelijkheid te bepalen. Een ander significant risico is het gebruik van onveilige protocollen of authenticatiemethodes door AI-agents tijdens communicatie. Dergelijke communicatie kan worden afgeluisterd, wat kan resulteren in het lekken van gevoelige data en instructies.

In het adviesdocument worden verschillende aanbevelingen en best practices gepresenteerd, gericht op ontwikkelaars, leveranciers en operators. Deze omvatten onder meer monitoring en het toepassen van het 'human in the loop' principe, waarbij een mens de belangrijkste processen controleert. Daarnaast worden organisaties die agentic AI willen implementeren, opgeroepen om dit te doen met een sterke focus op security. Het advies luidt om AI-agents nooit brede en onbeperkte toegang te verlenen, met name niet tot gevoelige data of vitale systemen. Organisaties dienen agentic AI uitsluitend te gebruiken voor laag risicovolle en niet gevoelige taken.

Bron: Five Eyes-landen | Bron 2: demorgen.be | Bron 3: cyber.gov.au

Non-profitorganisaties, die aanzienlijke geldbedragen over landsgrenzen verplaatsen, zijn een voorspelbaar doelwit voor cybercriminelen. Dit komt doordat hun technische infrastructuur voor donaties, vaak via webformulieren en externe verwerkers, zelden is ontworpen met robuuste beveiliging in gedachten. In tegenstelling tot financiële instellingen ontbreekt het liefdadigheidsorganisaties vaak aan toegewijde middelen voor cybersecurity, wat hen kwetsbaar maakt voor aanvallen.

Veelvoorkomende incidenten omvatten ransomware aanvallen, het schrapen van donor databases en het wekenlang draaien van skimming scripts. Deze organisaties zijn niet per se onzorgvuldig, maar kampen met een gebrek aan middelen dat gemakkelijk kan worden uitgebuit. De problemen manifesteren zich vooral in betalingsstromen, compliance-tekortkomingen en de gemaakte infrastructuurkeuzes.

Donatiepagina's concentreren het risico sterk. Talrijke toegangspunten, zoals publieke formulieren, betalingsstromen, scripts van derden en Content Management Systemen (CMS) die zelden tijdig worden bijgewerkt, bieden aanvallers kansen. SQL-injectie is een terugkerend probleem op donatieplatforms. Zo is er voor GiveWP en Charitable een CVE ingediend; CVE-2021-24917 in GiveWP maakte ongeauthenticeerde SQL-injectie mogelijk via de parameter `give_payment_mode`.

Formjacking is een andere bedreiging die moeilijk te detecteren is, omdat er geen zichtbare verstoring optreedt. Magecart Group 5 heeft bijvoorbeeld gedeelde CDN-bronnen gecompromitteerd die door tientallen kleinere websites, waaronder liefdadigheidspagina's, werden gebruikt. Hierbij werden geobfusceerde regels code gebruikt om kaartgegevens naar een eindpunt van de aanvaller te sturen, nog voordat de legitieme transactie was voltooid.

API-blootstelling vormt een derde consistent probleem. Als sleutels van betalingsverwerkers in frontend JavaScript terechtkomen, of als webhook-eindpunten de verificatie van handtekeningen overslaan, kan de betalingsstroom worden gecompromitteerd zonder dat de database wordt geraakt.

Blockchain-infrastructuur, zoals gebruikt door platforms als Gitcoin en The Giving Block, kan hier een oplossing bieden. Smart contract-gebaseerde donatierouting plaatst de transactielogica op de blockchain, waardoor de stroom van donor naar ontvanger deterministisch en publiekelijk verifieerbaar is. Dit vermindert de afhankelijkheid van de beveiligingshouding van een enkele webserver en verlaagt het aanvalsoppervlak aanzienlijk door sleutelbeheer en AML-controles bij de verwerker te leggen. Crypto-transacties kennen geen terugboekingen en zijn moeilijker te bevriezen, wat relevant is voor noodhulpcampagnes.

Veel non-profitorganisaties onderschatten ook hun blootstelling aan compliance-eisen zoals PCI DSS en GDPR. De aanname dat het gebruik van externe betalingsverwerkers alle PCI DSS-verplichtingen wegneemt, is onjuist. Hoewel PCI DSS v4.0 (verplicht sinds april 2024) de compliance-last heeft verminderd, is deze niet geëlimineerd. Het insluiten van een donatiewidget van een niet-gevalideerde leverancier of het doorgeven van donorinformatie via URL-parameters kan de PCI-scope ongemerkt uitbreiden. Ook de GDPR-blootstelling wordt onderschat. Handhavingsacties zijn niet alleen uitgevaardigd voor datalekken, maar ook voor inadequate bewaarbeleidslijnen van donorrecords. Het verzamelen van donaties van EU-ingezetenen activeert het volledige GDPR-regime, inclusief eisen voor rechtsgrondslag, dataminimalisatie en een meldingsplicht van 72 uur bij datalekken. Grensoverschrijdende campagnes hebben aangetoond hoe geïmproviseerde opstellingen kunnen botsen met OFAC-screening, AML-controles en lokale registratieverplichtingen.

De meeste kwetsbaarheden op non-profitplatforms zijn niet exotisch, maar bekende problemen die niet zijn gepatcht, API-sleutels die op de verkeerde plaats terechtkwamen, en scripts van derden die na de initiële setup niet werden gecontroleerd. De oplossingen zijn niet duur; ze vereisen alleen dat iemand de infrastructuur daadwerkelijk bekijkt en controleert.

Bron: nvd.nist.gov

De ontwikkelaar van de populaire teksteditor Notepad++, Don Ho, heeft een waarschuwing uitgegeven voor een website die een macOS-versie van de software aanbiedt. Volgens Ho is deze website misleidend, aangezien er nooit een officiële macOS-versie van Notepad++ is uitgebracht. De betreffende site beweert dat de aangeboden macOS-versie het resultaat is van een samenwerkingsproject met Ho zelf, en bevat zelfs zijn biografie om deze claim te ondersteunen.

Ho heeft de praktijken sterk veroordeeld. "Dit is misleidend, ongepast, en om eerlijk te zijn respectloos tegenover zowel het project als gebruikers," aldus Ho. Hij benadrukt dat de valse claims al talloze mensen, waaronder techmedia, hebben doen geloven dat het om een officiële release gaat. Ho herhaalt duidelijk: "Notepad++ heeft nog nooit een macOS-versie uitgebracht. Iedereen die anders beweert maakt gewoon misbruik van de Notepad++ naam."

De ontwikkelaar van Notepad++ heeft de maker van de misleidende website verzocht om de naam en het logo te wijzigen en alle "misleidende weergave" te verwijderen. Tot op heden heeft Ho echter nog geen reactie ontvangen op zijn verzoek.

Notepad++ is een veelgebruikte editor, vooral onder softwareontwikkelaars, vanwege zijn functionaliteit en gebruiksgemak. De waarschuwing van Ho is extra relevant gezien een eerder incident vorig jaar, waarbij aanvallers de editor hadden gehackt. Maandenlang werden toen malafide updates verspreid onder gebruikers, die een backdoor installeerden op hun systemen. Dit onderstreept het gevaar van het downloaden van software van onofficiële bronnen, vooral wanneer deze zich voordoen als legitieme producten. Gebruikers van Notepad++ op Windows en potentiële macOS-gebruikers die hopen op een officiële versie, worden geadviseerd uiterst voorzichtig te zijn met downloads van dergelijke websites.

Bron: Notepad++

Een beveiligingsonderzoeker heeft ontdekt dat Microsoft Edge alle opgeslagen wachtwoorden onmiddellijk bij het opstarten van de browser ontsleutelt naar het procesgeheugen, waar ze als platte tekst bewaard blijven. Dit gebeurt ongeacht of een gebruiker de betreffende websites ooit bezoekt.

Deze bevinding, die op 29 april werd onthuld door PaloAltoNtwks Norway tijdens het BigBiteOfTech evenement, kwam aan het licht dankzij onderzoek van @L1v1ng0ffTh3L4N. De onderzoeker testte systematisch alle belangrijke op Chromium gebaseerde browsers op hun omgang met inloggegevens in het geheugen. Edge bleek de enige browser te zijn die dit gedrag vertoonde dat de volledige wachtwoordkluis wordt bij het opstarten in platte tekst in het procesgeheugen geladen en blijft daar gedurende de hele sessie.

Dit staat in schril contrast met Google Chrome, dat gebruikmaakt van on-demand ontsleuteling. Hierbij worden inloggegevens alleen ontsleuteld op het moment dat ze nodig zijn voor automatisch aanvullen, of wanneer een gebruiker expliciet een opgeslagen wachtwoord wil bekijken. Chrome versterkt deze beveiliging verder met App-Bound Encryption, wat ontsleutelingssleutels cryptografisch koppelt aan een geauthenticeerd Chrome-proces. Dit voorkomt dat andere processen deze sleutels kunnen hergebruiken om toegang te krijgen tot inloggegevens.

Edge biedt geen van deze beschermingen. Vanaf het moment dat de browser wordt geopend, bevinden alle opgeslagen inloggegevens voor elke website in de kluis van de gebruiker zich in platte tekst in het procesgeheugen van de browser. Dit creëert een persistent en breed doelwit voor extractie door elke aanvaller die het procesgeheugen kan uitlezen.

Wat deze ontdekking bijzonder tegenstrijdig maakt, is het gedrag van de Edge-gebruikersinterface zelf. De browser vraagt gebruikers nog steeds om opnieuw te authenticeren voordat wachtwoorden in de wachtwoordbeheerder worden getoond. Desondanks heeft het browserproces al alle inloggegevens in platte tekst in bezit, volledig toegankelijk voor iedereen die het procesgeheugen kan bevragen. De re-authenticatiepoort biedt daarom slechts de illusie van toegangscontrole en geen daadwerkelijke bescherming tegen geheugengebaseerde extractie van inloggegevens.

De ernst van de situatie escaleert aanzienlijk in gedeelde omgevingen of omgevingen voor meerdere gebruikers, zoals Remote Desktop Services (RDS) of terminalservers. Een aanvaller met beheerdersrechten op zo'n systeem kan het geheugen van elk ingelogd gebruikersproces tegelijkertijd uitlezen. In een gepubliceerde proof of concept video, die de onthulling vergezelde, werd een gecompromitteerd beheerdersaccount gebruikt om succesvol opgeslagen inloggegevens te extraheren van twee andere ingelogde gebruikers, inclusief gebruikers met verbroken (maar nog steeds actieve) sessies. Dit gebeurde simpelweg door het procesgeheugen van hun Edge-browser te lezen.

Dit transformeert een enkele compromittering op beheerdersniveau in een volledige oogst van inloggegevens binnen een hele omgeving voor meerdere gebruikers, wat direct overeenkomt met MITRE ATT&CK T1555.003 - Inloggegevens uit webbrowsers.

Toen de onderzoeker de bevindingen verantwoordelijk aan Microsoft meldde, was het officiële antwoord van het bedrijf dat het gedrag "by design" is. De bestaande publieke documentatie van Microsoft erkent dat inloggegevens in het browsergeheugen toegankelijk kunnen zijn onder lokale aanvalsomstandigheden, en categoriseert dergelijke scenario's als buiten het dreigingsmodel van de browser.

De onthulling van 29 april bij BigBiteOfTech omvatte een kleine educatieve verificatietool waarmee elke gebruiker kan bevestigen of zijn of haar Edge-browser platte tekst inloggegevens in het procesgeheugen vasthoudt. De tool werd uitgebracht om bewustzijn te creëren en onafhankelijke validatie van het gedrag aan te moedigen.

Beveiligingsteams die Windows-omgevingen beheren met Edge geïmplementeerd, vooral degenen die terminalservers, VDI-omgevingen of andere systemen met gedeelde toegang beheren, zouden dit moeten behandelen als een configuratierisico met hoge prioriteit. Zij kunnen overwegen om te migreren naar browsers met on-demand ontsleuteling en App-Bound Encryption totdat Microsoft de ontwerpbeslissing heeft aangepakt.

Bron: Beveiligingsonderzoeker

Via het netwerk van Cybercrimeinfo is een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland. Al minstens één slachtoffer is er ingetrapt, terwijl een ander tijdig werd gestopt.

De aanval maakt gebruik van een nep-verificatiepagina die bezoekers instrueert om de Windows-toets in te drukken, gevolgd door Ctrl+V en Enter. Daarmee voert het slachtoffer onbewust een kwaadaardige opdracht uit op de eigen computer.

Cybercrimeinfo volgt deze aanval actief op in samenwerking met politiecollega's om de verspreiding te beperken en verdere slachtoffers te voorkomen. Internetgebruikers wordt geadviseerd nooit instructies op te volgen van websites die hen vragen bepaalde toetsenbordcombinaties te gebruiken als verificatie.

Bron: Darkweb

Beveiligingsonderzoekers signaleren een significante kwetsbaarheid in de omgang met Microsoft Edge-wachtwoorden op Windows systemen. Uit het onderzoek blijkt dat een reguliere, ingelogde Windows gebruiker in staat is om alle opgeslagen Edge-wachtwoorden uit te lezen, zonder dat hiervoor additionele rechten, zoals administratorrechten, vereist zijn. Dit vormt een directe bedreiging, aangezien malware die onder de context van de gebruiker draait, deze gestolen referenties zonder verdere moeite kan bemachtigen.

De methode die in de alert wordt beschreven, omvat enkele specifieke stappen. Allereerst dient de gebruiker een "browser" sub-taak te identificeren en deze te markeren in een procesoverzicht, zoals mogelijk in Taakbeheer of een vergelijkbare tool. Vervolgens kan met een rechtermuisklik op deze sub-taak de optie "Create Memory Dump" (geheugendump maken) worden geselecteerd. Deze actie genereert een bestand dat een momentopname bevat van het geheugen van de betreffende browsertaak.

Na het aanmaken van de geheugendump kan dit bestand worden geopend en geanalyseerd. De alert specificeert dat in dit dumpbestand gezocht kan worden naar opgeslagen referenties, waaronder de wachtwoorden van Microsoft Edge. Het cruciale aspect van deze bevinding is dat de uitvoering van deze handelingen geen verhoogde privileges vereist. Dit betekent dat elke willekeurige ingelogde Windows gebruiker, zelfs zonder uitgebreide technische kennis, in theorie deze dump kan genereren.

De directe implicatie hiervan is dat als malware erin slaagt om op een Windows systeem te worden uitgevoerd onder de inlog van een gebruiker, deze kwaadaardige software de beschreven techniek kan toepassen om alle opgeslagen Edge-wachtwoorden te verkrijgen. Dit opent de deur voor ongeautoriseerde toegang tot diverse online diensten en accounts waarvoor de gebruiker wachtwoorden heeft opgeslagen in de Edge-browser. Deze methode van credential-diefstal benadrukt het belang van robuuste eindpuntbeveiliging en het minimaliseren van opgeslagen wachtwoorden in browsers.

Bron: Cybercrimeinfo

De ShinyHunters afpersingsgroep heeft persoonlijke informatie van meer dan 119.000 personen gestolen na een hack bij het online videoplatform Vimeo. Dit blijkt uit een analyse van de gestolen data door de meldingsdienst voor datalekken Have I Been Pwned. Vimeo, een beursgenoteerd bedrijf met ruim 300 miljoen geregistreerde gebruikers, bevestigde op 27 april dat klantdata en gebruikersdata onbevoegd waren benaderd na een recente inbraak bij Anodot, een bedrijf gespecialiseerd in de detectie van data anomalieën.

Vimeo verklaarde destijds dat de gecompromitteerde databases voornamelijk technische data, videotitels en metadata bevatten, en in sommige gevallen e-mailadressen van klanten. Het bedrijf benadrukte dat de aanval geen verstoringen had veroorzaakt en dat aanvallers geen toegang hadden verkregen tot inloggegevens of financiële informatie van de getroffen individuen. Na de detectie van de inbraak heeft Vimeo onmiddellijk alle Anodot-inloggegevens gedeactiveerd en de integratie met Anodot uit zijn systemen verwijderd om de toegang voor de aanvallers te blokkeren. "De benaderde data omvat geen Vimeo-videocontent, geldige gebruikersinloggegevens of betaalkaartinformatie. De inloggegevens van Vimeo-gebruikers en klanten zijn veilig. Dit incident heeft geen verstoring van onze systemen of diensten veroorzaakt," aldus Vimeo. Het bedrijf heeft ook externe security experts ingeschakeld voor het onderzoek en de wetshandhaving ingelicht.

Na de openbaarmaking door Vimeo lekte de cybercrimegroep ShinyHunters een archief van 106 GB aan gestolen documenten op zijn dataleksite op het darkweb, nadat de pogingen om het bedrijf af te persen waren mislukt. ShinyHunters beweerde dat de data van Snowflake en BigQuery-instances was gecompromitteerd dankzij Anodot.com en stelde dat Vimeo "ondanks onze ongelooflijke geduld, alle kansen en aanbiedingen die we hebben gedaan" geen overeenkomst had kunnen bereiken.

Hoewel Vimeo nog geen totaal aantal getroffen individuen heeft vrijgegeven, analyseerde Have I Been Pwned de gestolen data en rapporteerde dat e-mailadressen en (in sommige gevallen) namen van 119.200 mensen waren blootgelegd. Eerder had de cybercrimegroep aan BleepingComputer verklaard dat het data had gestolen van tientallen bedrijven door gebruik te maken van Anodot-authenticatietokens. ShinyHunters bevestigde ook pogingen om data van Salesforce-instances te stelen, maar stelde dat deze werden geblokkeerd door detectie op basis van AI.

ShinyHunters is eveneens in verband gebracht met een wijdverbreide vishingcampagne die gericht is op de Microsoft Entra, Okta en Google SSO accounts van medewerkers en Business Process Outsourcing (BPO) agents. Na het binnendringen van zakelijke SSO-accounts stelen zij data uit gekoppelde SaaS applicaties, waaronder Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365 en Google Workspace. Andere datalekken die ShinyHunters de afgelopen weken heeft geclaimd, omvatten onder meer de Europese Commissie, Rockstar Games, edtech gigant McGraw Hill, en recentelijk fabrikant van medische apparatuur Medtronic, cruisemaatschappij Carnival, fast fashion retailer Zara, keten van gemakswinkels 7-Eleven en online trainingsbedrijf Udemy.

Bron: Vimeo

De toenemende adoptie van tools met AI, automatisering van workflows en productiviteitsapps die medewerkers verbinden met Google of Microsoft omgevingen, laat een aanzienlijk beveiligingsrisico achter, namelijk persistente OAuth-tokens zonder vervaldatum. Deze tokens worden vaak niet automatisch opgeschoond en de monitoring hiervan ontbreekt in de meeste organisaties. Traditionele perimetercontroles detecteren ze niet en multi-factor authenticatie (MFA) kan ze niet tegenhouden. Wanneer een aanvaller een dergelijk token in handen krijgt, is een wachtwoord overbodig.

OAuth-toewijzingen verlopen niet wanneer medewerkers de organisatie verlaten en worden niet gereset bij wachtwoordwijzigingen. Dit model was logisch toen slechts een handvol door IT goedgekeurde apps toegang tot de agenda nodig hadden. Het is echter niet langer houdbaar nu elke medewerker zelfstandig apps direct in hun Google of Microsoft-omgeving koppelt, waarbij elke app een persistent, afgebakend token ontvangt zonder automatische vervaldatum en zonder gecentraliseerd overzicht. Dit is geen verkeerde configuratie, maar de manier waarop OAuth is ontworpen. De kloof zit in het feit dat de meeste beveiligingsprogramma's niet zijn gebouwd om dit op schaal te beheren.

Nieuw onderzoek van Material Security kwantificeert deze kloof tussen bewustzijn en actie. Maar liefst 80% van de beveiligingsleiders beschouwt onbeheerde OAuth-toewijzingen als een kritiek of significant risico. Desondanks onderneemt een aanzienlijk deel van de organisaties (45%) geen actie om OAuth-toewijzingen op schaal te monitoren. Nog eens 33% werkt met handmatige processen, zoals het bijhouden van toewijzingen in spreadsheets, het ad hoc controleren van machtigingen of het vertrouwen op medewerkers om ongebruikelijk app-gedrag te melden. Spreadsheets zijn echter geen effectieve reactiecapaciteit op dreigingen.

Het risico is niet theoretisch. Het incident bij Drift, een platform voor verkoopsbetrokkenheid, illustreert dit concreet. Een dreigingsactor, gevolgd door Palo Alto Unit 42 onder de naam UNC6395, verkreeg geldige OAuth-vernieuwingstokens, waarschijnlijk via eerdere phishingcampagnes. Deze tokens werden gebruikt om toegang te krijgen tot Salesforce-omgevingen van meer dan 700 klantorganisaties. De aanval toonde aan dat de tokens en de integratie legitiem waren. Vanuit het perspectief van perimetercontroles was er niets aan de hand en MFA werd volledig omzeild omdat de aanvaller niet inlogde, maar een token presenteerde dat Drift al was toegekend. Eenmaal binnen exporteerde UNC6395 systematisch gegevens en zocht naar referenties zoals AWS-toegangssleutels, Snowflake-tokens en wachtwoorden. Onder andere Cloudflare en PagerDuty werden getroffen, en de volledige omvang wordt nog beoordeeld.

De aanval op Drift was geen aanval via een verdachte, onbekende app, maar via een vertrouwde app waarvan de referenties later werden gecompromitteerd en misbruikt. De les hieruit is niet dat organisaties OAuth-integraties moeten beperken, maar dat het vertrouwen in een app op het moment van installatie niet betekent dat deze betrouwbaar blijft. OAuth-toewijzingen vereisen actieve, continue monitoring in plaats van passieve acceptatie.

Effectieve OAuth-beveiliging vereist continue gedragsmonitoring van API-aanroepen die een OAuth-verbonden app uitvoert, om afwijkingen te detecteren zoals plotselinge pieken in gegevenstoegang of toegang op onverwachte uren. Daarnaast is een beoordeling van de potentiële impact (blast radius assessment) cruciaal, waarbij de reikwijdte van het gebruikersaccount bepaalt wat de gevolgen zijn van een gecompromitteerde OAuth-verbinding. Ten slotte is een gelaagde respons, afgestemd op de risicotolerantie van de organisatie, noodzakelijk om snel te kunnen reageren op dreigingen.

Bron: Material Security

De officiële website van de populaire emulatiesoftware Daemon Tools verspreidt al wekenlang malware, zo heeft antivirusbedrijf Kaspersky vastgesteld. Sinds 8 april heeft Kaspersky duizenden infectiepogingen waargenomen, zowel bij individuele eindgebruikers als bij organisaties in meer dan honderd landen. Daemon Tools is wijdverbreid voor het mounten van disk images.

Aanvallers hebben verschillende bestanden binnen de software van Daemon Tools aangepast en hierin een backdoor geïmplanteerd. Deze backdoor downloadt bij een initiële infectie een payload die uitgebreide informatie over het getroffen systeem verzamelt. Deze informatie omvat onder andere het MAC-adres, de hostnaam, de DNS domeinnaam, een overzicht van actieve processen, de geïnstalleerde software en algemene systeemgegevens.

Op basis van deze verzamelde informatie wordt vervolgens bij een selecte groep slachtoffers een tweede, meer geavanceerde payload uitgevoerd. Deze tweede fase betreft een remote access trojan (RAT), die de aanvallers volledige toegang tot het geïnfecteerde systeem verschaft. Kaspersky meldt dat de meeste slachtoffers zich bevinden in landen als Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Ongeveer tien procent van de getroffen machines behoort tot organisaties en bedrijven.

Bij de overgrote meerderheid van de slachtoffers wordt alleen de eerste payload uitgevoerd. De volledige backdoor, inclusief de remote access trojan, is echter bij een tiental machines waargenomen. Deze doelwitten omvatten overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand. Het precieze doel van deze gerichte infecties blijft voor Kaspersky vooralsnog onduidelijk. Het antivirusbedrijf heeft de ontwikkelaars van Daemon Tools op de hoogte gesteld van de situatie, maar benadrukt dat de aanval via de toeleveringsketen nog steeds gaande is.

Bron: Kaspersky

Onderzoek door het Intruder-team heeft uitgewezen dat de snelle adoptie van kunstmatige intelligentie (AI) ten koste gaat van de beveiliging. Infrastructuur voor grote taalmodellen (LLM's) die door bedrijven zelf wordt gehost, blijkt aanzienlijk kwetsbaarder, meer blootgesteld en slechter geconfigureerd te zijn dan andere software die eerder is onderzocht. Deze bevindingen komen na het beruchte ClawdBot-fiasco, een zelfgehoste AI-assistent die gemiddeld 2,6 CVE's per dag genereerde.

Voor het onderzoek werden meer dan twee miljoen hosts met één miljoen blootgestelde diensten geanalyseerd met behulp van certificaattransparantielogs. Een alarmerend patroon dat snel duidelijk werd, was het ontbreken van standaardauthenticatie bij een aanzienlijk aantal implementaties. De oorzaak hiervan bleek te liggen in de broncode van veel AI-projecten, waar authenticatie simpelweg niet standaard is ingeschakeld. Dit betekent dat gevoelige gebruikersdata en bedrijfstools open en bloot op het internet stonden, met potentieel ernstige gevolgen variërend van reputatieschade tot volledige systeemcompromittering.

Enkele van de meest opvallende blootgestelde voorbeelden waren chatbots die gebruikersgesprekken lieten uitlekken. Een OpenUI-gebaseerd voorbeeld toonde de volledige LLM-gespreksgeschiedenis van een gebruiker, wat in zakelijke omgevingen veel gevoelige informatie kan prijsgeven. Nog zorgwekkender waren generieke chatbots met diverse modellen, waaronder multimodale LLM's, die vrij toegankelijk waren. Kwaadwillende gebruikers kunnen deze modellen 'jailbreaken' om veiligheidsmaatregelen te omzeilen voor illegale doeleinden, zoals het genereren van verboden afbeeldingen of het vragen om advies voor criminele activiteiten, zonder angst voor repercussies omdat ze andermans infrastructuur gebruiken. Er werden zelfs chatbots gevonden die grote hoeveelheden persoonlijke NSFW-gesprekken exposeerden, waarbij de API-sleutels in platte tekst waren opgeslagen.

Daarnaast werden blootgestelde beheerplatformen voor agenten zoals n8n en Flowise ontdekt. Sommige van deze instanties, die duidelijk bedoeld waren voor intern gebruik, waren zonder authenticatie aan het internet blootgesteld. Een Flowise-instantie onthulde zelfs de gehele bedrijfslogica van een LLM-chatbotdienst, inclusief een lijst met inloggegevens. Hoewel Flowise de opgeslagen waarden niet direct prijsgaf aan onbevoegde bezoekers, konden aanvallers de gekoppelde tools misbruiken voor data-exfiltratie. Het gebrek aan adequate toegangsbeheer in AI tools betekent vaak dat toegang tot één bot die is geïntegreerd met een extern systeem, toegang tot alles wat het aanraakt kan betekenen. In een ander geval werden internetparsingtools en potentieel gevaarlijke lokale functies, zoals bestandsschrijven en code-interpretatie, blootgesteld, wat de mogelijkheid van uitvoering van code aan de serverzijde reëel maakte.

Meer dan 90 van dergelijke blootgestelde instanties werden geïdentificeerd in sectoren als overheid, marketing en financiën. Deze open toegang stelde aanvallers in staat om workflows te wijzigen, verkeer om te leiden, gebruikersdata te lekken of antwoorden te manipuleren. Ook werden verrassend veel API's van Ollama zonder authenticatie blootgesteld. Van de meer dan 5.200 servers die werden bevraagd, reageerde 31 procent zonder authenticatie. Veel van deze Ollama-instanties omwikkelden betaalde "frontier"-modellen van Anthropic, Deepseek, Moonshot, Google en OpenAI.

De analyse van een subset van de applicaties in een labomgeving bevestigde herhaaldelijk onveilige patronen. Deze omvatten slechte implementatiepraktijken zoals onveilige standaardinstellingen, verkeerd geconfigureerde Docker-configuraties, hardgecodeerde inloggegevens en applicaties die als root draaien. Nieuwe installaties misten vaak authenticatie en lieten gebruikers direct in een account met hoge privileges en volledige beheertoegang vallen. Hardgecodeerde en statische inloggegevens werden vaak aangetroffen in setup-voorbeelden en Docker Compose-bestanden, in plaats van te worden gegenereerd bij installatie. Binnen enkele dagen laboratoriumwerk werden bovendien al nieuwe technische kwetsbaarheden, waaronder willekeurige code-uitvoering, gevonden in populaire applicaties.

Bron: Intruder | Bron 2: cyberark.com | Bron 3: lasso.security

Een nieuwe versie van de CloudZ remote access tool (RAT) maakt gebruik van een voorheen onbekende kwaadaardige plugin genaamd Pheno. Deze plugin kaapt de verbinding van Microsoft Phone Link om gevoelige codes van mobiele apparaten te stelen. De malware werd ontdekt in een inbraak die al sinds ten minste januari actief was. Onderzoekers vermoeden dat de dreigingsactor als doel had om inloggegevens en tijdelijke toegangscodes te stelen.

Microsoft Phone Link, standaard geïnstalleerd op Windows 10 en 11, stelt gebruikers in staat om via hun computer te bellen, gebeld te worden, sms-berichten te beantwoorden en meldingen van hun mobiele apparaat (Android en iOS) te bekijken. Door misbruik te maken van deze applicatie kunnen aanvallers gevoelige berichten onderscheppen die naar de mobiele telefoon van het slachtoffer worden gestuurd, zonder het mobiele apparaat zelf te compromitteren.

Cisco Talos onderzoekers melden dat de Pheno plugin actief zoekt naar Phone Link sessies en toegang krijgt tot de lokale SQLite database van de applicatie. Deze database kan sms-berichten en eenmalige wachtwoorden (OTP's) bevatten. Dit geeft de aanvaller toegang tot gevoelige informatie zonder dat het mobiele apparaat gecompromitteerd hoeft te worden. Cisco Talos stelt: "Met een bevestigde Phone Link activiteit op de machine van het slachtoffer, kan de aanvaller die de CloudZ RAT gebruikt potentieel het SQLite databasebestand van de Phone Link applicatie op de machine van het slachtoffer onderscheppen, wat mogelijk SMS-gebaseerde OTP-berichten en andere authenticatie-applicatie meldingen in gevaar brengt."

Naast de mogelijkheden van de Pheno plugin kan CloudZ ook data stelen die is opgeslagen in webbrowsers, hostsystemen profileren en commando's uitvoeren voor:

*   Bestandsbeheer operaties (verwijderen, downloaden en schrijven)

*   Uitvoeren van shell commando's

*   Starten van schermopnames

*   Pluginbeheer (laden, verwijderen, opslaan op schijf)

*   Beëindigen van het RAT-proces

Cisco meldt dat CloudZ roteert tussen drie hardgecodeerde user-agent strings om HTTP-verkeer te laten lijken op legitieme browserverzoeken. Elke HTTP-aanvraag bevat anti-caching headers om te voorkomen dat proxies of Content Delivery Networks (CDN's) C2- of staging-server details cachen.

De onderzoekers hebben de initiële toegangsmethode niet geïdentificeerd, maar ze ontdekten dat de infectie begint wanneer het slachtoffer een nep ScreenConnect update uitvoert. Deze update dropt een Rust-gebaseerde loader. Hierna volgt de implementatie van een .NET loader, die de CloudZ RAT installeert en persistentie creëert via een geplande taak. De .NET loader bevat ook anti-analyse controles, zoals tijdgebaseerde sandbox-ontwijkingsstappen, controles op analyse tools zoals Wireshark, Fiddler, Procmon en Sysmon, en controles op VM- en sandbox-gerelateerde strings.

Om zich tegen dergelijke aanvallen te verdedigen, wordt gebruikers aangeraden SMS-gebaseerde OTP-diensten te vermijden en authenticatie-applicaties te gebruiken die geen pushmeldingen vereisen die onderschept kunnen worden. Voor gevoeligere informatie wordt aanbevolen over te stappen op oplossingen die resistent zijn tegen phishing, zoals hardware sleutels. Cisco Talos heeft een set Indicators of Compromise gepubliceerd, waaronder URL's, hashes voor kwaadaardige componenten, domeinen en IP-adressen, die verdedigers kunnen gebruiken om hun omgevingen te beschermen.

Bron: Cisco Talos | Bron 2: blog.talosintelligence.com

Artificiële intelligentie (AI) neemt een steeds prominentere plaats in binnen ons dagelijks leven, maar de technologie wordt ook toenemend misbruikt voor kwaadaardige doeleinden. Eén van de meest verontrustende technieken die hierbij wordt ingezet, zijn deepfakes. Dit zijn door AI gegenereerde beelden, video's of geluidsopnames die in staat zijn om een echt persoon op een verbluffend realistische wijze na te bootsen. Deze geavanceerde vervalsingen maken het steeds moeilijker om te onderscheiden wat echt is en wat nep.

Deze vervalste inhoud wordt actief ingezet bij pogingen tot online fraude en de verspreiding van desinformatie. De mogelijke scenario's zijn divers en kunnen zeer misleidend zijn. Denk hierbij aan een vals spraakbericht dat ogenschijnlijk afkomstig is van een naaste, maar in werkelijkheid volledig door AI is gecreëerd. Ook gemanipuleerde video's van publieke figuren of bewerkte afbeeldingen die massaal via sociale media worden verspreid, vallen onder deze categorie. Al deze voorbeelden kunnen gebruikers ertoe aanzetten om zonder voldoende controle actie te ondernemen, met potentieel schadelijke gevolgen.

In de huidige digitale omgeving, waar informatie met een ongekende snelheid circuleert, wordt het een groeiende uitdaging om de authenticiteit van berichten te beoordelen. SafeOnWeb benadrukt de noodzaak voor burgers om hun vermogen om deepfakes te herkennen te testen en te verbeteren. Om hierbij te helpen, hebben de Belgische publieke omroepen VRT en RTBF elk een test ontwikkeld. Deze tests stellen gebruikers in staat om hun vaardigheden te oefenen in het onderscheiden van valse en echte berichten. De resultaten van dergelijke tools laten concreet zien hoe ingewikkeld het is geworden om deepfakes te detecteren zonder specifieke hulpmiddelen of getrainde aandacht.

Het behouden van een kritische blik en het nemen van de nodige tijd om informatie te controleren, blijven van essentieel belang om de risico's die gepaard gaan met door AI gemanipuleerde inhoud te beperken. SafeOnWeb moedigt iedereen aan om de aangeboden tests te doen en de resultaten te delen met familie en vrienden, om zo een breder bewustzijn te creëren over deze groeiende digitale dreiging.

Bron: SafeOnWeb

Een omvangrijk fraudenetwerk, bekend onder de naam FEMITBOT, maakt misbruik van de Mini App-functionaliteit binnen Telegram om gebruikers te lokken naar investeringsfraude en de installatie van kwaadaardige Android software. Dit netwerk, dat door onderzoekers van CTM360 is ontdekt en benoemd, fungeert als een gecentraliseerde infrastructuur van waaruit honderden verschillende oplichtingspraktijken tegelijkertijd worden gelanceerd en beheerd. De naam FEMITBOT werd door CTM360 geïdentificeerd in de API-responses, technische gegevens die van de servers van de aanvallers naar de telefoons van de slachtoffers worden gestuurd.

De aanvallers creëren een naadloze gebruikerservaring door gebruik te maken van Telegram Mini Apps, dit zijn lichte programma's die draaien in de interne WebView-browser van de app. Wanneer een gebruiker interactie heeft met een bot en op de 'Start'-knop drukt, verschijnen deze phishingpagina's direct. Omdat de pagina binnen Telegram blijft, lijkt het voor de gebruiker alsof deze een legitiem onderdeel van het platform is, in tegenstelling tot een normale link die in browsers zoals Chrome of Safari zou openen.

De oplichtingspraktijken zijn veelzijdig. Gebruikers krijgen valse dashboards te zien die hoge saldi of nepverdiensten in cryptocurrency tonen. Er wordt een gevoel van urgentie gecreëerd door middel van afteltimers en aanbiedingen die binnen enkele minuten verlopen, wat slachtoffers dwingt tot overhaaste beslissingen. De valstrik is dat om vermeende winsten op te nemen, gebruikers eerst hun eigen geld moeten storten of vrienden moeten doorverwijzen, een klassieke tactiek bij investeringsfraude.

Om de geloofwaardigheid te vergroten, imiteert FEMITBOT bekende wereldwijde bedrijven. Ze gebruiken logo's en namen van merken zoals Apple, Disney, Coca-Cola, eBay, IBM, NVIDIA, MoonPay, YouKu, Binance en OKX. Hierdoor lijken de valse investeringsaanbiedingen afkomstig te zijn van grote, vertrouwde ondernemingen.

Naast investeringsfraude verspreidt de operatie ook Android malware. Sommige Mini Apps misleiden gebruikers tot het downloaden van APK-bestanden of de installatie van Progressive Web Apps (PWA's). Deze kwaadaardige bestanden doen zich voor als apps van onder andere de BBC, NVIDIA, CineTV, Coreweave en Claro. Om te voorkomen dat telefoonbrowsers beveiligingswaarschuwingen tonen, maken de aanvallers gebruik van TLS-certificaten, waardoor de kwaadaardige bestanden veilig en geverifieerd lijken.

Het netwerk is omvangrijk en professioneel opgezet. De hackers kunnen de branding of taal van een oplichting vrijwel direct aanpassen. Ze gebruiken zelfs marketingtools van Meta en TikTok, inclusief trackingpixels, om te monitoren welke oplichtingspraktijken het meest succesvol zijn. Gebruikers wordt geadviseerd uiterst voorzichtig te zijn met elke bot die een storting vereist voordat geld kan worden opgenomen.

Bron: CTM360

Een recent onderzoek van ISACA onthult dat 35 procent van de Europese organisaties niet in staat is vast te stellen of zij het doelwit zijn geweest van een cyberaanval die door kunstmatige intelligentie (AI) is aangedreven. Daarnaast ondervindt 71 procent van de bedrijven aanzienlijke moeilijkheden bij het detecteren van AI-gestuurde phishing en social engineering aanvallen. Deze bevindingen, afkomstig uit de meest recente AI Pulse Poll van ISACA, duiden op een groeiende kloof tussen de snelle ontwikkeling van AI-gedreven bedreigingen en het vermogen van organisaties om deze risico's adequaat te herkennen en te beheersen.

Volgens de ondervraagde professionals worden misinformatie en desinformatie door de helft als de grootste AI-risico's beschouwd, gevolgd door privacyschendingen en aanvallen via social engineering. Hoewel AI een prominente rol speelt in cybercriminaliteit, wordt het ook defensief ingezet. Zo gaf 43 procent van de respondenten aan dat AI de detectie en respons op cyberdreigingen heeft verbeterd, terwijl 34 procent AI specifiek gebruikt om de cybersecurity te versterken.

De adoptie van AI binnen Europese organisaties is wijdverbreid: 68 procent staat AI-gebruik toe, en 74 procent laat generatieve AI toe. De meest voorkomende toepassingen omvatten het creëren van geschreven content, het verhogen van de productiviteit en het automatiseren van repetitieve taken. Desondanks beschikt slechts 42 procent over een formeel en uitgebreid AI-beleid. Een derde (33 procent) van de organisaties eist niet dat werknemers aangeven wanneer AI in hun werk is gebruikt, en 37 procent weet niet of er een AI-beleid in ontwikkeling is binnen hun bedrijf. Dit gebrek aan governance creëert blinde vlekken.

De zorgen over onbevoegd AI-gebruik door werknemers zijn groot, met 87 procent van de professionals die zich hierover uitspreken. Het gebrek aan vertrouwen in de bescherming van intellectueel eigendom en gevoelige informatie wordt door 26 procent als de grootste uitdaging gezien. Toch lijkt AI een onmisbaar onderdeel te worden van veel takenpakketten; 75 procent van de professionals stelt dat een gebrek aan AI-kennis geen optie meer is en dat AI-vaardigheden extreem belangrijk zijn voor hun beroep. Opvallend is dat slechts 40 procent van de bedrijven hun werknemers traint in het gebruik van AI, wat aangeeft dat de AI-adoptie sneller stijgt dan de AI-bereidheid. Zeven op de tien werknemers melden echter dat hun verantwoordelijkheden nog niet zijn veranderd of toegenomen dankzij AI vergeleken met vorig jaar.

Meer dan de helft van de professionals voelt zich onvoldoende opgeleid om AI-risico's te beheersen, waarbij 54 procent binnen zes maanden extra training nodig heeft en 79 procent binnen een jaar. Echter, 21 procent van de organisaties biedt nog steeds geen formele AI-training aan. De risico's die zij benoemen variëren van misinformatie en desinformatie (87%) en privacyschending (75%) tot een toenemende kloof in vaardigheden (41%). De Europese AI Act wordt door 45 procent als het belangrijkste governance kader genoemd, maar 26 procent van de organisaties volgt nog steeds geen enkel kader. Chris Dimitriadis, Chief Global Strategy Officer bij ISACA, benadrukt de cruciale noodzaak om nu te investeren in de benodigde expertise om AI-risico's adequaat te kunnen beheersen.

Bron: ISACA

De recente circulatie van met artificiële intelligentie (AI) gegenereerde beelden van de Italiaanse premier Giorgia Meloni in lingerie heeft opnieuw de gevaren van deepfakes onder de aandacht gebracht. Meloni reageerde op de beelden op sociale media en erkende de kwaliteit ervan, maar waarschuwde tegelijkertijd voor het manipulatieve potentieel van deze technologie. Ze vermoedt dat de beelden zijn gemaakt door een "ijverige tegenstander" en benadrukt dat deepfakes een gevaarlijk instrument zijn dat iedereen kan misleiden, manipuleren en aanvallen. Haar oproep luidt dan ook om beelden te verifiëren, want beelden voordat u ze gelooft en geloof beelden voordat u ze deelt.

Het is niet de eerste keer dat Meloni het slachtoffer is van dergelijke digitale manipulatie. Afgelopen zomer werden duizenden bewerkte foto's van vrouwen, waaronder de Italiaanse premier, op een pornosite ontdekt. Naar aanleiding van dit schandaal was Italië het eerste land binnen de Europese Unie dat een wet over AI goedkeurde, die gevangenisstraffen mogelijk maakt voor personen die AI gebruiken om schade aan te richten.

De dreiging van AI-gegenereerde desinformatie beperkt zich niet tot individuele personen, maar beïnvloedt ook politieke processen. In Groot-Brittannië staan de lokale verkiezingen onder druk door een toename van nepnieuws, eveneens gegenereerd met AI. De Britse kiescommissie heeft een proefproject opgestart om deze desinformatie in kaart te brengen, na bezorgdheid over de beïnvloeding van stemgedrag. Manipulatieve deepfake beelden werden ingezet tegen lokale kandidaten; zo kreeg een vrouwelijke kandidaat die geen hoofddoek droeg er een aangemeten, en werden aanhangers van een andere kandidaat afgebeeld met een andere huidskleur en afkomst. Deze incidenten onderstrepen de groeiende noodzaak om kritisch om te gaan met visuele informatie die online circuleert en de potentieel verstrekkende gevolgen van misinformatie die door AI wordt aangedreven.

Bron: Apple

Een voorheen ongedocumenteerde Linux implant genaamd Quasar Linux (QLNX) is ontdekt en richt zich op ontwikkelaarssystemen. Deze malware omvat rootkit, backdoor en credential-stealing functionaliteiten. De malwarekit wordt ingezet in ontwikkelomgevingen en DevOps-omgevingen, waaronder npm, PyPI, GitHub, AWS, Docker en Kubernetes. Dit kan leiden tot supply chain aanvallen waarbij de dreigingsactor kwaadaardige pakketten publiceert op code distributieplatformen.

Onderzoekers van cybersecuritybedrijf Trend Micro hebben de QLNX implant geanalyseerd en vastgesteld dat deze dynamisch rootkit gedeelde objecten en PAM-backdoor modules compileert op de doelhost met behulp van gcc (GNU Compiler Collection). Een rapport van het bedrijf van deze week beschrijft dat QLNX is ontworpen voor heimelijkheid en langdurige persistentie. De malware werkt in het geheugen, verwijdert het oorspronkelijke binaire bestand van de schijf, wist logs, spoofs procesnamen en wist forensische omgevingsvariabelen.

De malware maakt gebruik van zeven verschillende persistentiemechanismen, waaronder LD_PRELOAD, systemd, crontab, init.d scripts, XDG autostart en '.bashrc' injectie. Dit zorgt ervoor dat de malware in elk dynamisch gekoppeld proces wordt geladen en opnieuw start als het wordt beëindigd.

QLNX omvat meerdere functionele blokken die gericht zijn op specifieke activiteiten, waardoor het een compleet aanvalsinstrument is. De kerncomponenten kunnen als volgt worden samengevat:

*   **RAT core:** Dit is de centrale controlecomponent, gebouwd rond een framework met 58 commando's. Het biedt interactieve shelltoegang, bestandsbeheer en procesbeheer, systeemcontrole en netwerkoperaties, terwijl het een persistente communicatie met de C2-server onderhoudt via aangepaste TCP/TLS of HTTP/S kanalen.

*   **Rootkit:** Een tweelaags stealth mechanisme dat een userland LD_PRELOAD rootkit combineert met een kernel-level eBPF component. De userland laag haakt in op libc-functies om bestanden, processen en malware-artefacten te verbergen, terwijl de eBPF-laag PIDs, bestandspaden en netwerkpoorten op kernelniveau verbergt. Beide worden dynamisch geïmplementeerd, waarbij de userland rootkit op het doelsysteem wordt gecompileerd.

*   **Laag voor toegang tot referenties:** Combineert het verzamelen van referenties (SSH-sleutels, browsergegevens, cloud en ontwikkelaarsconfiguraties, /etc/shadow, klembord) met PAM-gebaseerde backdoors die authenticatiegegevens in platte tekst onderscheppen en loggen.

*   **Surveillancemodule:** Biedt keylogging, het vastleggen van schermafbeeldingen en monitoring van het klembord.

*   **Networking en laterale beweging:** Omvat TCP-tunneling, SOCKS-proxy, poortscanning, SSH-gebaseerde laterale beweging en peer-to-peer mesh netwerken.

*   **Uitvoeringsengine en injectie-engine:** Maakt procesinjectie (ptrace, /proc/pid/mem) en uitvoering in het geheugen van payloads (gedeelde objecten, BOF/COFF) mogelijk.

*   **Bestandssysteemmonitoring:** Realtime volgen van bestandsactiviteit via inotify.

Na de initiële toegang vestigt QLNX een fileless foothold, implementeert persistentie en stealth-mechanismen en verzamelt vervolgens ontwikkelaarsreferenties en cloudreferenties. Door zich te richten op ontwikkelaarswerkstations kunnen aanvallers bedrijfsbeveiligingscontroles omzeilen en toegang krijgen tot de referenties die ten grondslag liggen aan softwareleveringspijplijnen. Deze aanpak weerspiegelt recente supply chain incidenten waarbij gestolen ontwikkelaarsreferenties werden gebruikt om getrojaniseerde pakketten naar openbare repositories te publiceren.

Trend Micro heeft geen details verstrekt over specifieke aanvallen of enige attributie voor QLNX, waardoor het implementatievolume en de specifieke activiteitsniveaus van deze nieuwe malware onduidelijk zijn. Op het moment van publicatie wordt de Quasar Linux implant slechts door vier beveiligingsoplossingen gedetecteerd, die het binaire bestand als kwaadaardig markeren. Trend Micro heeft Indicators of Compromise (IoCs) verstrekt om verdedigers te helpen QLNX-infecties te detecteren en zich daartegen te beschermen.

Bron: Trend Micro

Cybercrimeinfo ontdekte op een hackingforum een advertentie voor Dolphin X, een RAT die alleen op Windows werkt en wordt aangeboden door dreigingsactor Kontraktnik. De malware combineert meer dan 600 functies voor diefstal, bediening op afstand, verberging en verspreiding.

De stealermodule legt browsergegevens vast uit Chromium en Gecko browsers, waaronder cookies, wachtwoorden en automatisch aangevulde formulieren. Daarnaast steelt het pakket wifiwachtwoorden, de inhoud van de referentiemanager van Windows, bestanden en cryptowallets van platforms als Exodus en MetaMask. Applicaties als Discord, Telegram, Steam en beheertoepassingen als FileZilla en PuTTY worden specifiek uitgelezen.

Voor bediening op afstand beschikt de malware over een verborgen bureaubladsessie, reverse shell, bestandsbeheer, netwerkscanner en een module die cryptobedragen in het klembord stiekem vervangt. De persistentiemodule bevat een UEFI bootkit, meerdere opstartmethoden en muterende code om detectie door beveiligingssoftware te omzeilen.

De verspreiding verloopt via USB en meer dan 20 DDoS methoden. Een Linux versie zou in ontwikkeling zijn. Cybercrimeinfo monitort dit type dreigingsgereedschap om organisaties en gebruikers tijdig te informeren.

Bron: Cybercrimeinfo darkweb-onderzoek

Tijdens de recente lokale verkiezingen in Engeland, Wales en Schotland op 7 mei, werd de Britse kiescommissie geconfronteerd met een aanzienlijke hoeveelheid nepnieuws en desinformatie, deels gegenereerd met behulp van kunstmatige intelligentie (AI). Om deze dreiging in kaart te brengen, lanceerde de kiescommissie een proefproject met een detectietool die is aangedreven door AI. Deze tool had als doel bewerkte beelden en audio te identificeren die kiezers konden misleiden.

De manipulatie van beelden en geluiden bleek een wijdverbreid probleem. Zo werden bestaande foto's van lokale kandidaten met relatief eenvoudige ingrepen aangepast. Een vrouwelijke kandidaat die geen hoofddoek droeg, kreeg deze op een bewerkte foto wel aangemeten. De supporters van een andere kandidaat kregen een andere huidskleur en afkomst toebedeeld, wat de indruk wekte dat de kandidaat hypocriet was gezien diens standpunten over migratie.

Niet alleen politieke tegenstanders, maar ook individuen die puur op zoek waren naar 'klikken' en inkomsten, maakten gebruik van deze technieken. De detectietool met AI speurde specifiek naar deepfakes, beelden of geluiden die volledig met AI zijn gecreëerd en waarbij het lijkt alsof iemand iets zegt of doet wat in werkelijkheid nooit is gebeurd. Een opvallend voorbeeld was een deepfake waarin de Amerikaanse president Donald Trump de linkse Londense burgemeester Sadiq Khan bekritiseerde met een stem die met AI was nagemaakt. Ook in Ierland dook in 2025 een deepfake op van een presidentskandidaat die zich vlak voor de stemming leek terug te trekken.

Uit onderzoek in 2024 bleek al dat meer dan de helft van de Britse kiezers geconfronteerd werd met nepnieuws. De Britse kiescommissie wilde dergelijke situaties in de huidige verkiezingen absoluut vermijden. Naast politieke manipulatie kwamen ook veel clickbait artikels voor met spectaculaire of emotionele titels die vaak onwaar bleken. Deze artikels, die vaak op lokale nieuwssites leken, hadden als primair doel geld te verdienen via advertentie-inkomsten.

Opvallend is dat ook politici zelf steeds vaker AI inzetten voor hun campagnes. Er werd bijvoorbeeld een volledige campagnevideo met AI gemaakt, waarbij een disclaimer aanvankelijk verstopt zat. Factcheckorganisatie Full Fact was hier kritisch over en benadrukte de noodzaak van transparantie bij het gebruik van AI in politieke communicatie.

Bron: Electoral Commission | Bron 2: fullfact.org | Bron 3: mediawijs.be

Cybercrimeinfo ontdekte op een hackingforum een advertentie voor PhishLab V1, een phishingpakket als dienst van dreigingsactor PHISHLAB. Het pakket legt inloggegevens, tweestapsverificatiecodes en sessiecookies in realtime vast en omzeilt alle gangbare vormen van tweefactorauthenticatie.

De dienst maakt gebruik van 17 actieve modules met elk meer dan 10 unieke domeinen, gericht op banken, cryptobeurzen, betalingsverwerkers, webwinkels en sociale platforms. Cryptomodules zijn beschikbaar voor OKX, Bybit, Binance en Coinbase. Bankmodules richten zich op Chase, Bank of America, Wells Fargo en Citi. Sociale modules beslaan Instagram, Facebook, WhatsApp en TikTok.

Bij een succesvolle aanval ontvangt de aanvaller een melding via Telegram. Sessiecookies worden in een klik importeerbaar gemaakt voor directe accountovername. De adverteerder vraagt 759 dollar voor de eerste maand en 250 dollar per maand daarna. Cybercrimeinfo monitort dit type phishingdiensten om organisaties en gebruikers te waarschuwen.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een hackingforum een targetinglijst die cryptowalletadressen koppelt aan gebruikersnamen op Twitter. De verkoper biedt de lijst expliciet aan als hulpmiddel voor zogeheten overvallen in de fysieke wereld op cryptohouders, waarbij aanvallers personen thuis of op straat beroven.

De lijst bevat naar eigen zeggen 150.000 gebruikersrecords met 41.234 unieke walletadressen en bijbehorende sociale mediaaccounts. Vergelijkbare lijsten zijn eerder in verband gebracht met gerichte inbraken bij en overvallen op cryptohouders wereldwijd.

Cryptohouders worden geadviseerd hun openbare online aanwezigheid te scheiden van hun activiteit van wallets, geen grote saldi te bewaren op wallets die te herleiden zijn naar een publieke identiteit en de fysieke beveiliging van hun woning en persoon te heroverwegen wanneer zij publiekelijk zichtbaar zijn als cryptohouder.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een hackingforum een advertentie voor BLACKNET-00, een volledig grafisch ransomwarebouwplatform van dreigingsactor blacknet00. Het platform is ook door externe beveiligingsonderzoekers gedocumenteerd. De prijs bedraagt 2.000 dollar, te voldoen in cryptovaluta.

Het platform biedt een grafische interface voor het aanmaken van ransomwareprojecten zonder programmeervaardigheid. Ondersteunde versleutelingsalgoritmen zijn AES-256, RSA en ChaCha20. Uitvoerformaten omvatten EXE, PY, BAT en DLL. De builder bevat persistentieopties via Startup, Register en geplande taken, verberging van uitvoering en zelfverwijdering na afloop.

Afpersingsopties lopen uiteen van enkelvoudige versleuteling tot dubbele afpersing met dataleksite of drievoudige afpersing inclusief DDoS aanval. Het platform levert ook een statistiekenpaneel met het aantal slachtoffers en verwachte opbrengsten. Dit type laagdrempelig ransomwareplatform verlaagt de instapdrempel voor minder technisch vaardige cybercriminelen aanzienlijk.

Bron: Cybercrimeinfo darkweb-onderzoek

Cybercrimeinfo ontdekte op een hackingforum een onbevestigde claim waarbij een dreigingsactor stelt toegang te hebben tot de volledige backend van betaaldienstverlener ECOMMPAY. De bewering omvat meer dan 100 microservices, 600 betaalintegraties en architectuurdetails van het betalingssysteem.

De geclaimde toegang zou betalingsverwerking, autorisatiesystemen, terugboeking en verrekening omvatten, alsmede databases met transactiegegevens. De dreigingsactor toonde geen overtuigend bewijs van daadwerkelijke toegang en geen klantengegevens zijn zichtbaar in de bekende schermopnamen.

De claim is op het moment van publicatie niet onafhankelijk geverifieerd. Desondanks zou gedeeltelijke blootstelling van betalingsinfrastructuur een risico vormen voor betalingsfraude, misbruik van de betaalinterface en verstoring van de afrekening bij aangesloten partners. ECOMMPAY heeft nog geen publieke reactie gegeven.

Bron: Cybercrimeinfo darkweb-onderzoek

Een geavanceerde phishingcampagne, verspreid via gesponsorde zoekresultaten op Google, richt zich op de inloggegevens van ManageWP, het platform van GoDaddy voor het beheren van meerdere WordPress-websites. De aanvallers passen een 'adversary-in-the-middle' (AiTM) aanpak toe, waarbij de valse inlogpagina fungeert als een real-time proxy tussen het slachtoffer en de legitieme ManageWP-dienst.

ManageWP is een gecentraliseerd platform voor het beheer op afstand van WordPress-websites. Het stelt gebruikers, zoals webontwikkelaars, webbureaus en bedrijven, in staat om talloze sites vanuit één paneel te beheren, in plaats van afzonderlijk in te loggen op verschillende dashboards. De plugin van ManageWP, die het platform controle geeft over geregistreerde sites, is volgens statistieken van WordPress.org actief op meer dan één miljoen websites. Elk ManageWP-account beheert doorgaans honderden sites.

Onderzoekers van Guardio Labs waarschuwen dat het malafide zoekresultaat boven het echte resultaat voor de zoekterm 'managewp' wordt weergegeven. Dit lokt gebruikers die Google gebruiken om de inlog-URL voor ManageWP te vinden. Gebruikers die op het kwaadaardige resultaat klikken, komen terecht op een inlogpagina die identiek lijkt aan de echte. Echter, alle ingevoerde inloggegevens worden doorgestuurd naar een Telegram-kanaal dat door de aanvaller wordt beheerd.

In tegenstelling tot meer gangbare phishingpagina's die alleen gebruikersnamen en wachtwoorden vastleggen, maakt deze campagne gebruik van een live AiTM-opstelling. Hierbij gebruikt de aanvaller de gestolen inloggegevens om in real-time in te loggen op het ManageWP-platform. Vervolgens krijgt het slachtoffer een valse prompt te zien om de code voor twee-factorauthenticatie (2FA) in te voeren. Deze code wordt eveneens door de dreigingsactor gebruikt om directe toegang te verkrijgen tot het ManageWP-account.

Guardio Labs wist de command-and-control (C2) infrastructuur van de aanvallers te infiltreren. Daar observeerden zij een commandosysteem met een keuzemenu dat een interactieve en door een operator gestuurde phishing-flow mogelijk maakt. De hoofdonderzoeker van Guardio Labs meldde dat het platform geen onderdeel lijkt te zijn van een standaard phishingkit, maar eerder een op maat gemaakt, privé phishing-framework. Opvallend is dat in de code een Russischtalige overeenkomst werd aangetroffen. Hierin distantieert de auteur zich van illegale activiteiten, voegt een disclaimer toe voor educatief/onderzoeksgebruik en verbiedt publieke lekken van paneelbestanden of gebruik tegen systemen in Rusland.

Guardio Labs heeft slachtofferdata van de aanvallers verzameld en is begonnen met het contacteren van gedupeerden om hen te waarschuwen voor de blootstelling van hun gegevens. Op het moment van schrijven hebben de onderzoekers tweehonderd unieke slachtoffers bevestigd.

Bron: Guardio Labs | Bron 2: wordpress.org | Bron 3: hubs.li

Cybersecurity-onderzoekers hebben een nieuw Mirai-gebaseerd botnet genaamd xlabs_v1 blootgelegd. Dit botnet richt zich op internet-geëxposeerde apparaten die de Android Debug Bridge (ADB) draaien, met als doel deze te rekruteren voor een netwerk dat gedistribueerde denial-of-service (DDoS)-aanvallen kan uitvoeren.

Hunt.io, dat de malware gedetailleerd heeft beschreven, ontdekte dit na het identificeren van een openbare directory op een in Nederland gehoste server met het IP-adres "176.65.139[.]44", die geen authenticatie vereiste. Het xlabs_v1-botnet ondersteunt 21 verschillende flood-varianten via TCP, UDP en raw-protocollen, inclusief RakNet en OpenVPN-gevormde UDP. Deze varianten zijn in staat om consumenten-DDoS-beveiliging te omzeilen. Hunt.io merkt op dat het botnet wordt aangeboden als een DDoS-dienst tegen betaling, specifiek ontworpen om gameservers en Minecraft-hosts aan te vallen.

Wat xlabs_v1 onderscheidt, is de gerichte zoektocht naar Android-apparaten die een openbare ADB-dienst draaien op TCP-poort 5555. Dit betekent dat elk apparaat met deze tool standaard ingeschakeld, zoals Android TV-boxen, settopboxen en smart-tv's, een potentieel doelwit kan zijn. Naast een Android APK ("boot.apk") ondersteunt de malware builds voor meerdere architecturen, waaronder ARM, MIPS, x86-64 en ARC, wat aangeeft dat het ook is ontworpen om residentiële routers en internet-of-things (IoT)-hardware aan te vallen.

Het resultaat is een speciaal gebouwd botnet dat een aanvalscommando ontvangt van het operatorpaneel ("xlabslover[.]lol") en op commando een stroom van junkverkeer genereert, specifiek gericht op gameservers. Hunt.io legt uit dat de bot een statisch gekoppelde ARMv7 is, draait op gestripte Android-firmware en wordt geleverd via ADB-shell-plakacties naar /data/local/tmp. De negen-varianten payloadlijst van de operator is afgestemd op Android TV-boxen, settopboxen, smart-tv's en IoT-klasse ARM-hardware die met ADB is uitgerust.

Er zijn aanwijzingen dat de DDoS-dienst tegen betaling bandbreedte-afhankelijke prijzen hanteert. Deze inschatting is gebaseerd op de aanwezigheid van een bandbreedte-profileringsroutine die de bandbreedte en geolocatie van het slachtoffer verzamelt. Dit onderdeel opent 8.192 parallelle TCP-sockets naar de geografisch dichtstbijzijnde Speedtest server, verzadigt deze gedurende 10 seconden en rapporteert de gemeten gegevensoverdrachtsnelheid terug naar het paneel. Het doel, zo merkt Hunt.io op, is om elk gecompromitteerd apparaat toe te wijzen aan een prijscategorie voor betalende klanten.

Een belangrijk aspect is dat het botnet zichzelf beëindigt na het verzenden van de bandbreedte-informatie in Megabits per seconde (Mbps). Dit betekent dat de operator het apparaat een tweede keer moet herinfecteren via hetzelfde ADB-exploitatiekanaal, gezien de afwezigheid van een persistentie-mechanisme. Hunt.io stelt dat dit ontwerp suggereert dat de operator bandbreedte-meting ziet als een incidentele update-operatie voor vlootniveaus, en de resulterende exit-en-herinfectiecyclus de bedoeling is.

xlabs_v1 beschikt ook over een "killer"-subsysteem om concurrenten te beëindigen, zodat het de volledige upstream-bandbreedte van het slachtofferapparaat kan overnemen en gebruiken voor de DDoS aanval. Het is momenteel onbekend wie er achter de malware zit, maar de dreigingsactor gebruikt de bijnaam "Tadashi", zoals blijkt uit een ChaCha20-versleutelde string die in elke build van de bot is ingebed.

Verdere analyse van de co-located infrastructuur heeft een VLTRig Monero-mining-toolkit op host 176.65.139[.]42 aan het licht gebracht, hoewel het momenteel onbekend is of de twee activiteiten het werk zijn van dezelfde dreigingsactor. Hunt.io kwalificeert xlabs_v1 als "middenklasse" in commercieel-criminele termen, namelijk geavanceerder dan een typische script-kiddie Mirai-variant, maar minder geavanceerd dan de topklasse van commerciële DDoS-diensten tegen betaling. Deze operator concurreert op prijs en aanvalsvariëteit, niet op technische verfijning, en richt zich op consumenten-IoT apparaten, residentiële routers en kleine gameserver-operators.

Deze ontwikkelingen komen terwijl Darktrace onthulde dat een opzettelijk verkeerd geconfigureerde Jenkins-instantie in hun honeypot-netwerk werd aangevallen door onbekende dreigingsactoren om een DDoS-botnet te implementeren, gedownload van een externe server ("103.177.110[.]202"), terwijl tegelijkertijd stappen werden ondernomen om detectie te omzeilen. Darktrace benadrukt dat de aanwezigheid van game-specifieke DoS-technieken verder onderstreept dat de gaming-industrie uitgebreid het doelwit blijft van cyberaanvallers, en roept serverbeheerders op om passende mitigaties te implementeren.

Bron: Hunt.io | Bron 2: darktrace.com

Disc Soft Limited, de ontwikkelaar van de populaire software DAEMON Tools Lite, heeft een datalek bevestigd waarbij de gratis versie van hun software is voorzien van malware door middel van een supply chain aanval. Het bedrijf heeft inmiddels een nieuwe, malwarevrije versie uitgebracht en heeft aangegeven dat de infrastructuur is beveiligd.

Volgens Disc Soft Limited was het probleem binnen twaalf uur na identificatie opgelost en beperkt tot de gratis DAEMON Tools Lite-versie. Er is geen bewijs gevonden dat betaalde versies van DAEMON Tools Lite, DAEMON Tools Ultra of DAEMON Tools Pro zijn getroffen. Deze producten worden als veilig beschouwd.

De aanval omvatte ongeautoriseerde interferentie binnen de infrastructuur van Disc Soft, waardoor bepaalde installatiepakketten in de buildomgeving werden gecompromitteerd en als zodanig werden vrijgegeven. Versie 12.6 van DAEMON Tools Lite, die de verdachte bestanden niet bevat, werd op 5 mei uitgebracht.

Gebruikers die DAEMON Tools Lite versie 12.5.1 (gratis) sinds 8 april hebben gedownload of geïnstalleerd, wordt geadviseerd de applicatie te deïnstalleren, een volledige systeemscan uit te voeren met beveiligings- of antivirussoftware en de nieuwste versie van DAEMON Tools Lite (12.6) van de officiële website te installeren. De besmette versie is inmiddels verwijderd en niet langer ondersteund, en gebruikers krijgen een waarschuwing om de nieuwste versie te installeren.

Onderzoeksbureau Kaspersky onthulde eerder dat hackers de installatiebestanden van DAEMON Tools Lite hadden getrojaniseerd. Deze besmette installatiebestanden, variërend van versie 12.5.0.2421 tot 12.5.0.2434, werden gebruikt om backdoors te installeren op duizenden systemen in meer dan honderd landen die de software sinds 8 april van de officiële website hadden gedownload.

Na uitvoering van de digitaal ondertekende, maar getrojaniseerde, installatiebestanden, plaatste de kwaadaardige code een payload die persistentie creëerde en een backdoor activeerde bij systeemopstart. De eerste fase van de malware was een basis informatie stealer die systeemgegevens verzamelde, waaronder hostnaam, MAC-adres, draaiende processen, geïnstalleerde software en systeemlocale, en deze naar door de aanvaller gecontroleerde servers stuurde voor profilering van slachtoffers.

Op basis van de resultaten ontvingen sommige geïnfecteerde systemen een tweede fase, namelijk een lichtgewicht backdoor die commando's kon uitvoeren, bestanden kon downloaden en code direct in het geheugen kon uitvoeren. In minstens één geval observeerde Kaspersky de implementatie van QUIC RAT-malware, die kwaadaardige code in legitieme processen kan injecteren en meerdere communicatieprotocollen ondersteunt.

Kaspersky stelde vast dat onder andere retail-, wetenschappelijke, overheids- en productieorganisaties in Rusland, Wit-Rusland en Thailand, evenals thuisgebruikers in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China, slachtoffer zijn geworden van deze aanval. Kaspersky heeft bevestigd dat DAEMON Tools Lite 12.6.0, uitgebracht op 5 mei, geen kwaadaardig gedrag meer vertoont.

Bron: Disc Soft Limited | Bron 2: blog.daemon-tools.cc | Bron 3: infosec.exchange

De beruchte hackinggroep ShinyHunters heeft twee grote technologiebedrijven getroffen, waardoor de persoonlijke gegevens van miljoenen studenten en professionals gevaar lopen. De datalekken troffen Instructure, het Amerikaanse moederbedrijf achter het populaire Canvas leerplatform, en de videohostingsite Vimeo. De inbraak bij Instructure heeft naar verluidt invloed op ongeveer 15.000 instellingen in het Verenigd Koninkrijk, Europa en de Verenigde Staten.

De aanval op Instructure begon op 30 april 2026. Het bedrijf bevestigde op 1 mei dat hackers een kwetsbaarheid hadden misbruikt om toegang te krijgen, wat Instructure dwong delen van zijn dienst, waaronder Canvas Data 2 en Canvas Beta, af te sluiten. Dit veroorzaakte op zijn beurt problemen voor integraties van derden en externe applicaties van scholen die afhankelijk zijn van API-sleutels om te functioneren. Instructure heeft in een officiële update verklaard dat de betrokken informatie bestaat uit bepaalde identificerende gegevens van gebruikers bij getroffen instellingen, zoals namen, e-mailadressen en student-ID-nummers, evenals berichten tussen gebruikers. Het bedrijf heeft geen bewijs gevonden dat wachtwoorden, geboortedatums, overheidsidentificaties of financiële informatie waren betrokken.

ShinyHunters claimt echter 3,65 terabyte aan data te hebben gestolen, waaronder maar liefst 275 miljoen records en miljarden privéberichten tussen studenten en docenten. Universiteiten zoals de University of Melbourne, University of Cambridge, University of Hertfordshire, University of British Columbia, Harvard, Stanford en Columbia University zouden op de lijst van getroffen instellingen staan. De groep beweert ook de Salesforce-instantie van het bedrijf te hebben gecompromitteerd, een cloud database voor het beheren van klantgegevens. Instructure heeft als reactie applicatiesleutels geroteerd, geprivilegieerde referenties ingetrokken en toegangstokens gereset. Hoewel wachtwoorden en bankgegevens veilig zijn, maakt de blootstelling van namen, student-ID's en privéchats gebruikers tot potentiële doelwitten voor phishingaanvallen.

De datalek bij Vimeo vond op een andere manier plaats. In plaats van Vimeo direct aan te vallen, misbruikten de hackers een verbinding met een partnerbedrijf genaamd Anodot. Deze methode staat bekend als een supply chain aanval. ShinyHunters zou authenticatietokens van Anodot hebben gestolen en deze hebben gebruikt om ongeautoriseerde toegang te krijgen tot Vimeo's cloudomgevingen voor data op Snowflake en BigQuery, platforms die worden gebruikt voor het opslaan en analyseren van grote hoeveelheden data. Ongeveer 119.000 accounts werden getroffen, waaronder klant e-mailadressen en namen, en metadata zoals videotitels en uploadtijden.

Vimeo heeft de Anodot-integratie inmiddels verwijderd om de hackers te blokkeren. ShinyHunters stelde Vimeo een deadline van 30 april 2026 om losgeld te betalen, met de dreiging de data vrij te geven en "digitale problemen" te veroorzaken bij weigering. Vimeo is niet van plan te voldoen aan de eisen en heeft cybersecurityexperts en relevante wetshandhavingsinstanties ingeschakeld voor verder onderzoek. Het bedrijf heeft in een officiële verklaring bevestigd dat de geraadpleegde data geen Vimeo-videocontent, geldige gebruikersloginreferenties of betaalkaartinformatie omvat.

Bron: Vimeo

Drie Nederlanders zijn betrokken bij het verspreiden van nepnieuws via kanalen op YouTube om de afscheiding van de Canadese provincie Alberta te promoten. Dit blijkt uit onderzoek van de Canadese omroep CBC/Radio-Canada. De omroep kwam de Nederlanders op het spoor nadat de universiteiten van Toronto en Montreal een netwerk van twintig kanalen op YouTube hadden geïdentificeerd, gericht op separatisme in westelijke Canadese provincies. Deze video's zijn in totaal zeker 40 miljoen keer bekeken.

De onderzoekers spreken van "slopaganda", een nieuwe vorm van politieke beïnvloeding waarbij ook kunstmatige intelligentie (AI) wordt ingezet. Het doel hiervan is het misbruiken van politieke verdeeldheid in Canada, specifiek rond de afscheidingsbeweging in Alberta. Een onderzoeker noemt het "verontrustend dat deze stemmen zich in het debat mengen en de inwoners van Alberta misleiden, puur om geld te verdienen", aangezien de beheerders van de kanalen inkomsten uit advertenties genereren op basis van het aantal views.

In de video's worden acteurs ingehuurd via diverse platforms om zich uit te spreken voor de afscheiding. Ook zijn beelden van een Canadese acteur, die geen voorstander is van afscheiding, misbruikt. Zijn stem is door AI vervormd en gebruikt als voice-over voor verschillende filmpjes. Het rapport stelt dat de video's doorspekt zijn met leugens, uit hun verband gerukte nieuwskoppen en valse uitspraken van de Canadese premier Carney en andere hoogwaardigheidsbekleders.

De betrokkenheid van de Nederlanders werd ontdekt doordat de daaraan gekoppelde accounts op X in Nederland zijn aangemaakt. Bovendien bleek een script dat naar een ingehuurde acteur was gestuurd, afkomstig te zijn van een Nederlander. Deze ontkent alle betrokkenheid en suggereert een mogelijke hack van zijn account. Een andere Nederlander, die een Amerikaan had betaald voor het inspreken van filmpjes, beweert eveneens geen misleidende content te hebben geplaatst. Een van de Nederlanders heeft echter tegenover nieuwsmedium BNR bevestigd achter een van de kanalen op YouTube te zitten, maar stelt dat het niet zijn bedoeling was zich met de Canadese politiek te bemoeien en geen banden te hebben met separatisten. Hij heeft beloofd dat "het niet meer zal gebeuren".

De kanalen op YouTube die in het onderzoek werden genoemd, zijn inmiddels niet meer beschikbaar. Een woordvoerder van YouTube verklaarde dat spam, oplichting en misleidende praktijken niet zijn toegestaan op het platform. Na grondige evaluatie van de bevindingen zijn dertig kanalen beëindigd wegens schending van de communityrichtlijnen. De separatistenbeweging in Alberta heeft recentelijk ruim 300.000 handtekeningen verzameld voor een referendum over afscheiding, waarvan de authenticiteit momenteel wordt gecontroleerd.

Bron: cbc.ca | Bron 2: bnr.nl | Bron 3: ster.nl

Certificaatautoriteit DigiCert is gehackt door aanvallers die misbruik maakten van een malafide screensaver bestand. Dit heeft het bedrijf bevestigd in een incidentrapport. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. Deze certificaten werden vervolgens door de aanvallers ingezet om hun eigen malware te signeren. Als gevolg van het incident heeft DigiCert zestig certificaten ingetrokken.

De aanval begon op 2 april, toen een helpdeskmedewerker van DigiCert via een chatkanaal werd benaderd. De aanvaller verstuurde een zip bestand, vermomd als een screenshot. Dit zip bestand bevatte echter een .scr-bestand, een type bestand dat zowel als screensaver als als uitvoerbaar bestand kan fungeren. Dit specifieke .scr-bestand bevatte een kwaadaardige payload. De beveiligingssoftware van DigiCert wist vier infectiepogingen te blokkeren, maar bij een vijfde poging raakte de machine van een support analist toch geïnfecteerd.

DigiCert detecteerde de infectie en startte een onderzoek, waarbij aanvankelijk de conclusie werd getrokken dat het incident onder controle was. Elf dagen later bleek echter, na een tip van een externe onderzoeker, dat ook een tweede machine van een andere analist op een vergelijkbare manier besmet was geraakt. De beveiligingssoftware op dit systeem functioneerde niet correct, waardoor de infectie tijdens het eerdere onderzoek onopgemerkt bleef.

Via deze tweede geïnfecteerde machine verkreeg de aanvaller toegang tot de interne support portal van DigiCert. Via dit portaal hebben DigiCert-medewerkers beperkte toegang tot klantaccounts. De aanvaller wist via het portaal codes te bemachtigen voor code signing certificaten die waren besteld, maar nog niet geleverd, en die toebehoorden aan een beperkt aantal klantaccounts. Met deze codes en een goedgekeurde bestelling konden de aanvallers de code signing certificaten verkrijgen. Naar aanleiding van het onderzoek en de gecompromitteerde accounts heeft DigiCert besloten zestig certificaten in te trekken, waarvan 27 daadwerkelijk door de aanvallers waren gebruikt.

Volgens DigiCert waren er diverse tekortkomingen die tot het incident hebben geleid. Hieronder vallen een gebrekkige controle op bestandstypes binnen de gebruikte supportkanalen en een inconsistente en onvolledige endpoint detection en response (EDR) dekking, wat resulteerde in een blinde vlek. Bovendien waren de initialisatiecodes van de code signing certificaten niet adequaat beveiligd. DigiCert erkent dat het geluk heeft gehad dat een externe onderzoeker het misbruik van de certificaten ontdekte en het bedrijf waarschuwde, wat leidde tot de ontdekking van de tweede geïnfecteerde machine.

Bron: DigiCert

Back-ups worden al jaren gezien als de ultieme verdedigingslinie tegen ransomware aanvallen, maar een ongemakkelijke realiteit toont aan dat deze vaak falen. Dit komt doordat aanvallers steeds vaker back-upsystemen doelgericht vernietigen voordat de encryptie van systemen plaatsvindt. Hierdoor wordt het herstel van data onmogelijk, zelfs als er back-ups aanwezig zijn.

Moderne aanvallen met ransomware volgen een voorspelbare keten van stappen. Deze begint met initiële toegang, gevolgd door diefstal van inloggegevens en laterale beweging binnen het netwerk. Hierna zoeken aanvallers actief naar back-upsystemen om deze te vernietigen, waarna pas de ransomware wordt uitgerold. Volgens het Acronis Cyberthreats Report H2 2025 steeg het aantal aanvallen vorig jaar met 50%. Deze ontwikkeling vereist dat IT- en beveiligingsprofessionals hun aannames over back-up en herstel heroverwegen.

Back-upsystemen zijn zelden geïsoleerd en vaak kwetsbaar. Zodra aanvallers administratieve inloggegevens bemachtigen, kunnen zij back-upservers en opslaglocaties inventariseren, toegang krijgen tot back-upconsoles, back-upbestanden en snapshots verwijderen of versleutelen, en back-upagenten uitschakelen. Veelvoorkomende technieken omvatten het verwijderen van Volume Shadow Copies (VSS) op Windows systemen, het gebruik van legitieme beheertools (living-off-the-land technieken), het aanvallen van hypervisor-snapshots in virtuele omgevingen, en het misbruiken van toegang via API tot back-upopslag in de cloud. Tegen de tijd dat de ransomware wordt uitgevoerd, zijn de herstelpaden al verdwenen.

De meest voorkomende oorzaken voor het falen van back-ups bij ransomware-incidenten zijn:

*   **Geen isolatie tussen productie en back-up:** Back-upsystemen bevinden zich vaak in hetzelfde domein, gebruiken dezelfde inloggegevens en zijn bereikbaar vanaf gecompromitteerde hosts. Dit elimineert elke zinvolle scheiding.

*   **Zwakke toegangscontroles:** Gedeelde administratieve inloggegevens, gebrek aan multifactor authenticatie (MFA) en te veel bevoegde serviceaccounts bieden aanvallers gemakkelijke toegang tot de back-upinfrastructuur.

*   **Geen onveranderlijkheid (immutability):** Als back-ups kunnen worden gewijzigd of verwijderd, zullen aanvallers dit doen. Traditionele back-ups zonder onveranderlijkheid bieden weinig weerstand.

*   **Niet-geteste herstelprocessen:** Organisaties ontdekken tijdens een incident vaak dat back-ups onvolledig of beschadigd zijn, of te traag om op grote schaal te herstellen.

*   **Gescheiden beveiligings- en back-uptools:** Back-upsystemen werken vaak onafhankelijk van beveiligingsmonitoring, waardoor aanvallen op de back-upinfrastructuur onopgemerkt blijven.

Onveranderlijke back-ups voorkomen wijzigingen of verwijdering gedurende een gedefinieerde periode, wat ervoor zorgt dat er altijd een schoon herstelpunt beschikbaar is. Dit omvat Write-Once, Read-Many (WORM) opslag, op tijd gebaseerde retentiesloten, bescherming tegen misbruik van API en inloggegevens, en handhaving op opslagniveau. Zelfs als aanvallers volledige administratieve toegang krijgen, blijven onveranderlijke back-ups intact. Echter, onveranderlijkheid alleen is niet voldoende; het moet worden gecombineerd met toegangscontrole, monitoring en validatie van herstelprocessen.

Bron: Acronis

De Iraans-gelieerde dreigingsgroep MuddyWater, ook bekend als APT39, maakt gebruik van geavanceerde social engineering via Microsoft Teams om inloggegevens te stelen in aanvallen die zich voordoen als ransomware-incidenten van de groep Chaos. Dit is begin 2026 waargenomen en gedetailleerd in een rapport van Rapid7. De operatie duidt op een gerichte, door de staat gesteunde aanval die de schijn wekt van opportunistische afpersing.

Rapid7 beschrijft hoe de campagne begint met een intensieve social engineering-fase via Microsoft Teams. Aanvallers bootsen IT-ondersteunend personeel na en gebruiken interactieve schermdeelsessies om slachtoffers te verleiden inloggegevens in te voeren en multi-factor authenticatie (MFA) te manipuleren. Eenmaal binnen omzeilt MuddyWater de gebruikelijke ransomware procedure, waarbij er geen bestandsversleuteling plaats. In plaats daarvan richten de aanvallers zich op data-exfiltratie en het creëren van langdurige persistentie met tools voor extern beheer, zoals DWAgent en AnyDesk.

Deze aanpak, waarbij MuddyWater steeds vaker off-the-shelf tools uit het cybercriminele circuit gebruikt (waaronder CastleRAT, Tsundere en Qilin ransomware), heeft als doel de attributie te bemoeilijken. Eerdere incidenten in 2020 en 2023 toonden al aan dat MuddyWater destructieve aanvallen uitvoerde onder het mom van ransomware, zoals met de Thanos-variant en in samenwerking met DEV-1084 (DarkBit-persona). Eind 2025 werd Qilin ransomware ingezet tegen een Israëlisch overheidsziekenhuis, wat volgens Check Point diende als dekmantel voor strategische Iraanse doelen.

De groep Chaos, die begin 2025 opkwam, staat bekend om haar double, triple en zelfs quadruple extortion-model. Zij gebruiken mail flooding, vishing via Teams en dreigementen met DDoS aanvallen of het contacteren van klanten/concurrenten. Hoewel Chaos 36 slachtoffers (meestal in de Verenigde Staten, bouw, productie en zakelijke dienstverlening) heeft geclaimd, is de door Rapid7 geanalyseerde inbraak specifiek aan MuddyWater toegeschreven.

Na initiële toegang via Teams en schermdelen, gebruiken de aanvallers gecompromitteerde accounts voor verkenning, laterale verplaatsing en data-exfiltratie. Ze instrueren gebruikers om inloggegevens in lokale tekstbestanden in te voeren en downloaden via Remote Desktop Protocol (RDP) een uitvoerbaar bestand (`ms_upd.exe`) van de externe server 172.86.126[.]208.

Dit bestand, ook bekend als Stagecomp, verzamelt systeeminformatie en dropt volgende payloads: `game.exe`, `WebView2Loader.dll` en `visualwincomp.txt`. `game.exe` (Darkcomp) is een op maat gemaakte Remote Access Trojan (RAT) die zich voordoet als een legitieme Microsoft WebView2-applicatie. De RAT maakt verbinding met een command-and-control (C2) server om opdrachten, PowerShell-scripts en bestandsbewerkingen uit te voeren. De koppeling met MuddyWater wordt bevestigd door het gebruik van een code-ondertekeningscertificaat toegeschreven aan "Donald Gay", eerder gebruikt door de dreigingsgroep voor hun malware.

Bron: Rapid7 | Bron 2: developer.microsoft.com | Bron 3: github.com

Google heeft de uitgebreide Binaire Transparantie voor Android aangekondigd, een initiatief dat is ontworpen om het ecosysteem te beschermen tegen supply chain aanvallen. Volgens de product- en beveiligingsteams van Google zorgt dit nieuwe publieke grootboek ervoor dat de apps van Google op een apparaat exact overeenkomen met wat het bedrijf heeft bedoeld te bouwen en te distribueren.

Dit initiatief bouwt voort op de fundamenten van Pixel Binary Transparency, een systeem dat Google in oktober 2021 introduceerde. Dat systeem versterkt de software-integriteit door te garanderen dat Pixel apparaten alleen geverifieerde besturingssysteemsoftware draaien, via een publiek, cryptografisch logboek dat metadata over officiële fabrieksafbeeldingen registreert. De verifieerbare beveiligingsinfrastructuur weerspiegelt het principe van Certificate Transparency, een open framework dat vereist dat alle uitgegeven SSL/TLS-certificaten worden vastgelegd in publieke, alleen-aanvullende en cryptografisch verifieerbare logboeken, wat helpt bij het detecteren van verkeerd uitgegeven of kwaadaardige certificaten.

De stap is gericht op het tegengaan van de risico's die binaire supply chain aanvallen met zich meebrengen. Deze aanvallen leveren vaak kwaadaardige code door software updatekanalen te besmetten, terwijl de digitale handtekeningen intact blijven. Een recent voorbeeld hiervan is de compromittering van Windows installers van de DAEMON Tools software. Deze werden gebruikt om een lichte backdoor te verspreiden, die vervolgens fungeerde als een kanaal voor een implantaat genaamd QUIC RAT. De installers werden gedistribueerd vanaf de legitieme website van DAEMON Tools en waren ondertekend met digitale certificaten die toebehoorden aan de ontwikkelaars van DAEMON Tools.

Google benadrukt dat het onvoldoende is om alleen te vertrouwen op de handtekening van de binary, omdat een handtekening niet kan garanderen dat deze specifieke binary de bedoelde versie was die door de auteur aan het publiek moest worden vrijgegeven. Digitale handtekeningen zijn een certificaat van herkomst, maar binaire transparantie is een certificaat van intentie.

Door Binaire Transparantie op Android uit te breiden, wil het bedrijf garanderen dat de software van Google op het apparaat van een gebruiker precies is wat bedoeld was om te bouwen en te distribueren. Hiertoe zullen de productie Android applicaties van Google die na 1 mei 2026 zijn uitgebracht, een overeenkomstige cryptografische entry hebben die hun authenticiteit bevestigt. Het initiatief omvat momenteel productie Google applicaties, waaronder zowel Google Play Services als zelfstandige Google applicaties, evenals Mainline modules die deel uitmaken van het besturingssysteem en dynamisch kunnen worden bijgewerkt buiten de normale releasecyclus.

Google stelt dat dit een transparante 'Bron van Waarheid' biedt die iedereen in staat stelt te verifiëren dat de Google software op hun Android apparaat een productie versie is die door Google is geautoriseerd en niet door een aanvaller is gewijzigd. Als de software niet op het grootboek staat, heeft Google deze niet als productie software uitgebracht. Elke poging om een 'eenmalige' versie te implementeren, zal detecteerbaar zijn. Als onderdeel van deze inspanning stelt de techgigant ook verificatie tooling beschikbaar die gebruikers en onderzoekers kunnen gebruiken om de transparantiestatus van ondersteunde softwaretypen te verifiëren.

Deze ontwikkeling komt te midden van een reeks supply chain aanvallen die de afgelopen maanden ontwikkelaars en downstream gebruikers van populaire software hebben getroffen. Kwaadwillende actoren compromitteren steeds vaker de accounts van ontwikkelaars en misbruiken die toegang om malware te verspreiden, waardoor ze meerdere gebruikers tegelijk kunnen infiltreren. Google concludeert dat dit een kritieke pijler is voor gebruikersprivacy en beveiliging, omdat het de fundamentele machtsdynamiek van software updates verandert. Dit niveau van transparantie dient als een extra beschermingslaag voor de integriteit van software en werkt als een krachtig afschrikmiddel tegen ongeautoriseerde binaire releases.

Bron: github.com

Recentelijk zijn er meerdere significante cyberdreigingen aan het licht gekomen die de aandacht van cybersecurityprofessionals vereisen. Een van de meest urgente is een actief misbruikte zero-day kwetsbaarheid in de PAN-OS software van Palo Alto Networks. Deze kritieke kwetsbaarheid verleent aanvallers root-toegang tot getroffen systemen. Dit vormt een ernstig risico voor organisaties die de firewalls en andere beveiligingsproducten van Palo Alto Networks gebruiken, aangezien aanvallers hiermee volledige controle over de compromitterende systemen kunnen verkrijgen. Het is essentieel dat beheerders onmiddellijk actie ondernemen om hun systemen te patchen of mitigerende maatregelen te implementeren om mogelijke inbreuken te voorkomen.

Daarnaast is een kritieke double-free kwetsbaarheid ontdekt in de Apache HTTP/2 software. Dit beveiligingslek kan leiden tot denial-of-service aanvallen, waardoor systemen onbereikbaar worden, en biedt potentieel mogelijkheden voor remote code execution. Een succesvolle remote code execution aanval stelt aanvallers in staat om willekeurige code uit te voeren op de server, wat kan resulteren in volledige systeemcompromittering. Gezien de wijdverspreide adoptie van Apache HTTP/2 servers, is een snelle update naar een gepatchte versie cruciaal voor de integriteit en beschikbaarheid van webdiensten.

Verder is een nieuwe trojan, bekend als CloudZ RAT, opgedoken. Deze geavanceerde Remote Access Trojan kenmerkt zich door zijn heimelijke werking en het vermogen om de Microsoft Phone Link functionaliteit te kapen. Door deze functionaliteit te misbruiken, kan CloudZ RAT sms-berichten met eenmalige wachtwoorden (OTP's) stelen, wat een directe bedreiging vormt voor tweefactorauthenticatie mechanismen. Het stelen van OTP's kan aanvallers toegang geven tot gevoelige accounts, zelfs als gebruikers tweefactorauthenticatie hebben ingeschakeld. Organisaties en individuen wordt geadviseerd waakzaam te zijn voor verdachte activiteiten en hun beveiligingsmaatregelen te herzien om zich te beschermen tegen deze nieuwe dreiging.

Bron: Darkweb

Een nieuwe golf van cyberaanvallen richt zich op gebruikers van macOS, waarbij aanvallers hun malware vermommen als handige schijfopruimers en systeemhulpprogramma's. Deze campagne, bekend als ClickFix, verleidt gebruikers tot het uitvoeren van gevaarlijke commando's direct in hun Terminal, wat de ingebouwde beveiligingscontroles van Apple omzeilt.

Microsoft-onderzoekers hebben deze dreiging sinds januari 2026 nauwlettend gevolgd. Ze identificeerden drie verschillende campagnetypes, allemaal met hetzelfde hoofddoel, namelijk het stelen van gevoelige gegevens, het handhaven van persistente toegang tot geïnfecteerde systemen en het exfiltreren van allerlei informatie, van opgeslagen wachtwoorden en browsergegevens tot sleutels van cryptocurrency-wallets en iCloud-data.

De aanval begint met het plaatsen van nep-probleemoplossende berichten op vertrouwde platforms zoals Medium en Craft. Deze posts beloven veelvoorkomende macOS-problemen op te lossen, zoals een tekort aan schijfruimte, en instrueren gebruikers om Terminal te openen en een commando te plakken. Zodra dit commando wordt uitgevoerd, downloadt en executeert het geruisloos een infostealer op de achtergrond. De gebruikers realiseren zich niet wat er gebeurt.

Wat deze campagne bijzonder gevaarlijk maakt, is de manier waarop het de ingebouwde beveiligingscontroles van Apple, zoals Gatekeeper, omzeilt. Normaal gesproken controleert macOS applicaties voordat ze worden uitgevoerd, maar wanneer een commando direct in Terminal wordt geplakt, is dit verificatieproces niet van toepassing. Dit geeft aanvallers een directe en betrouwbare toegang tot het apparaat.

De gestolen gegevens zijn uitgebreid en diep persoonlijk. Afhankelijk van de specifieke campagneversie kunnen aanvallers iCloud-data, opgeslagen browserwachtwoorden, Keychain-gegevens, mediabestanden, Telegram-data en informatie over cryptocurrency-wallets buitmaken. In sommige gevallen gaat de malware verder door legitieme crypto-wallet apps zoals Trezor Suite, Ledger Live en Exodus te vervangen door nepversies die door aanvallers worden beheerd. Deze nep-apps zijn ontworpen om toekomstige transacties stilzwijgend te onderscheppen.

De lokmiddelen zijn zorgvuldig opgesteld om eruit te zien als legitieme help-content. Nep-blogposts op Medium imiteren officiële macOS-ondersteuningsgidsen, waarbij sites zoals macos-disk-space[.]medium[.]com gebruikers aanmoedigen een commando te plakken om hun opslagprobleem te "oplossen". Vergelijkbare pagina's verschenen op Craft en op standalone websites met officiële en betrouwbaar klinkende namen.

Zodra het commando in Terminal wordt uitgevoerd, decodeert het een verborgen script. In de loader-campagne verzamelt een shellscript systeemdetails zoals toetsenbordindeling en besturingssysteemversie, waarna het contact legt met een server die door aanvallers wordt beheerd. In de script-campagne zoekt de malware naar een live command-and-control (C2) server. Als er geen reageert, valt het terug op een Telegram bots om er dynamisch een te lokaliseren. De helper-campagne implementeert een verborgen uitvoerbaar bestand genaamd `helper` of `update` dat een persistente backdoor opzet, die stilzwijgend draait elke keer dat het apparaat opnieuw opstart.

Drie infostealer families zijn bevestigd actief in deze campagne, namelijk Macsync, Shub Stealer en AMOS. Elk volgt een vergelijkbaar patroon. De malware vraagt de gebruiker om zijn macOS-wachtwoord in te voeren, waarbij het voorgeeft dat toestemming nodig is om een hulpprogramma-installatie te voltooien. Na het vastleggen en verifiëren van het wachtwoord, begint het met het verzamelen van gegevens van de machine.

Voor persistentie gebruiken de campagnes LaunchAgents en LaunchDaemons, achtergrondprocessen die automatisch starten bij elke opstart. Eén campagne vermomt zijn persistentiecomponent als een Google software-update-agent, met behulp van een plist-bestand genaamd `com.google.keystone.agent.plist` om verborgen te blijven. De helper-campagne gaat nog verder door een verborgen backdoor genaamd `.mainhelper` te implementeren, samen met een supervisor-script genaamd `.agent` dat deze automatisch opnieuw start wanneer het proces stopt.

Apple heeft inmiddels de XProtect-signaturen bijgewerkt om deze dreiging te detecteren. macOS 26.4 introduceerde ook een blokkeerprompt voor plakken die gebruikers waarschuwt wanneer een potentieel kwaadaardig Terminal-commando op het punt staat te worden uitgevoerd.

Beveiligingsteams wordt geadviseerd te monitoren op ongebruikelijke `curl`-activiteit, commando-sequenties met `osascript`, `Base64` en `Gunzip` te markeren, en ongeautoriseerde toegang tot Keychain-gegevens en browser-credential stores te detecteren. Het belangrijkste advies voor gebruikers is om nooit instructies die van online bronnen zijn gekopieerd in Terminal te plakken, ongeacht hoe betrouwbaar de pagina lijkt.

Bron: Microsoft

Een nieuw malwareframework genaamd PCPJack is ontdekt, dat inloggegevens steelt uit blootgestelde cloudinfrastructuren en tegelijkertijd de toegang van TeamPCP tot deze systemen verwijdert. De aanvallers richten zich op diverse diensten, waaronder Docker, Kubernetes, Redis, MongoDB, RayML en kwetsbare webapplicaties. In veel gevallen bewegen de dreigingsactoren zich lateraal binnen het netwerk.

Onderzoekers van SentinelLabs stellen dat PCPJack is ontworpen voor grootschalige diefstal van inloggegevens. De monetarisatie van deze activiteiten vindt waarschijnlijk plaats via financiële fraude, spamoperaties, wederverkoop van inloggegevens of afpersing. TeamPCP is een op de cloud gerichte dreigingsgroep die bekend staat om spraakmakende supply chain-inbreuken, zoals die bij Aqua Security's Trivy-scanner, de LiteLMM en Telnyx PyPI pakketten, en recentelijk SAP npm-pakketten.

Vanwege de overeenkomsten met TeamPCP-aanvallen vermoedt SentinelLabs dat PCPJack mogelijk is ontwikkeld door een voormalig lid of partner van TeamPCP die een eigen operatie is gestart. De onderzoekers leggen uit: "Veel van de diensten die door het PCPJack-framework worden aangevallen, zijn vergelijkbaar met de vroege TeamPCP/PCPCat-campagnes van december 2025, voordat de spraakmakende campagnes van begin 2026 veel aandacht trokken voor TeamPCP en naar verluidt leidden tot veranderingen in het groepsledenbestand." Zij geloven dat dit een voormalige operator kan zijn die diepgaand bekend is met de tools van de groep.

In een recent rapport beschrijft SentinelLabs dat PCPJack Linux-gebaseerde cloudsystemen infecteert met behulp van een shellscript genaamd `bootstrap.sh`. Na uitvoering creëert dit script een verborgen werkmap, installeert het Python-afhankelijkheden, downloadt het aanvullende modules, legt het persistentie vast en start het de belangrijkste orkestrator (`monitor.py`). Tijdens deze initiële fase controleert PCPJack expliciet op TeamPCP-tools en probeert het alles te verwijderen, waarmee het de compromittering voor zichzelf claimt. De opruimactiviteit omvat het verwijderen van TeamPCP-processen, diensten, containers, bestanden en persistentie-artefacten, waardoor de infecties volledig worden geëlimineerd.

De functionaliteiten van PCPJack draaien voornamelijk om diefstal van inloggegevens, waarbij cloudomgevingen, ontwikkelaarssystemen, chat-apps, financiële diensten, databases, SSH-sleutels, Slack-tokens, WordPress-configuratiebestanden, OpenAI-sleutels, Anthropic-sleutels, Discord en DigitalOcean worden geviseerd. De gestolen inloggegevens worden geëxfiltreerd naar Telegram-kanalen nadat ze zijn versleuteld met X25519 ECDH en ChaCha20-Poly1305, en in blokken van 2800 bytes zijn gesplitst om te voldoen aan de berichtlimieten voor tekens van Telegram.

PCPJack verspreidt zich door externe cloudinfrastructuur te scannen op blootgestelde diensten zoals Docker, Kubernetes, Redis, MongoDB en RayML, en probeert vervolgens bekende kwetsbaarheden te misbruiken om toegang te verkrijgen. Het downloadt ook hostnaamgegevens van Common Crawl parquet bestanden en gebruikt deze als nieuwe targets voor het scanproces.

SentinelLabs-onderzoekers merken op dat PCPJack de volgende kwetsbaarheden misbruikt:

*   **CVE-2025-29927**: een authenticatie-bypass in Next.js middleware via een speciaal vervaardigde header.

*   **CVE-2025-55182** ("React2Shell"): een deserialisatiefout in Server Actions van React en Next.js.

*   **CVE-2026-1357**: een ongeautoriseerde bestandsupload in WPVivid Backup.

*   **CVE-2025-9501**: een PHP-injectie in W3 Total Cache via een gecachete mfunc-commentaar.

*   **CVE-2025-48703**: een shell-injectie in de changePerm-functionaliteit van CentOS Web Panel Filemanager.

Binnen gecompromitteerde omgevingen voert de malware laterale beweging uit door SSH-sleutels en inloggegevens te verzamelen, Kubernetes-clusters en Docker-daemons te enumereren, en zichzelf uit te voeren op bereikbare interne hosts. Zodra toegang is verkregen, legt het persistentie vast met behulp van systemd-diensten, cron-taken, Redis cron-herschrijvingen of geprivilegieerde containers voordat de verspreiding wordt voortgezet. SentinelLabs ontdekte ook een op Sliver gebaseerde backdoor op de infrastructuur van de dreigingsactor, met varianten die de systeemarchitecturen x86_64, x86 en ARM ondersteunen.

Om dit risico te beperken, adviseren de onderzoekers het afdwingen van meervoudige authenticatie (MFA), het gebruik van IMDSv2 in AWS, het waarborgen van correcte authenticatie voor Docker en Kubernetes diensten, het volgen van principes van minimale privileges en het vermijden van het opslaan van geheimen in platte tekst.

Bron: SentinelLabs | Bron 2: sentinelone.com | Bron 3: hubs.li

Studenten van diverse universiteiten ervaren sinds donderdag aanzienlijke verstoringen nadat de Canvas LMS-portal, een veelgebruikt cloudgebaseerd leermanagementsysteem voor onderwijsinstellingen, een ontsierde pagina begon te tonen. De boodschap op de pagina wordt gelinkt aan de cybercriminele groep ShinyHunters. Dit incident volgt op eerdere mededelingen van Instructure, het bedrijf achter Canvas LMS, waarin ongeautoriseerde toegang tot delen van zijn systemen werd bevestigd.

Een van de getroffen portals was canvas.vt.edu, waar gebruikers werden geconfronteerd met een boodschap in de stijl van losgeld. Hierin claimde ShinyHunters dat het "Instructure opnieuw had gehackt". De pagina waarschuwde universiteiten die in een bijgevoegd bestand stonden vermeld, om vóór 12 mei 2026 contact op te nemen met de groep, anders zouden gestolen gegevens openbaar worden gemaakt. Het bericht beschuldigde Instructure er ook van eerdere contactpogingen te hebben genegeerd en "beveiligingspatches" toe te passen in plaats van te onderhandelen.

Studenten van de University of Colorado Colorado Springs meldden dat lessen rond 13.00 uur lokale tijd werden verstoord doordat de toegang tot Canvas-diensten onstabiel werd. Vergelijkbare klachten verschenen op sociale media en universitaire discussiekanalen van studenten die aangaven dat opdrachten, cursusbestanden en examens onbereikbaar werden tijdens de storing.

Instructure had eerder deze maand al een cybersecurity-incident erkend, nadat ShinyHunters de verantwoordelijkheid had opgeëist voor de diefstal van data die gelinkt was aan duizenden scholen en universiteiten die Canvas gebruiken. Het bedrijf bevestigde dat de blootgestelde informatie namen, e-mailadressen, student-ID-nummers en interne Canvas-berichten omvatte. Volgens Instructure is er momenteel geen bewijs dat wachtwoorden, financiële gegevens, overheidsidentificatienummers of geboortedata zijn ingezien.

De omvang die de dreigingsgroep claimt, is echter aanzienlijk. ShinyHunters beweert 3.65TB aan data te hebben geëxfiltreerd, gerelateerd aan bijna 9.000 instellingen en ongeveer 275 miljoen gebruikers wereldwijd. Deze aantallen zijn niet onafhankelijk geverifieerd, hoewel verschillende cybersecurity-organisaties en onderzoekers die de zaak volgen, aangeven dat de campagne omvangrijk lijkt.

Veel instellingen gebruiken Canvas LMS voor cursussen, het indienen van opdrachten, examens, cijfertoekenning, berichtenverkeer en aanwezigheidsregistratie. Zelfs een tijdelijke storing kan lessen ernstig verstoren, vooral tijdens examenweken of deadlineperiodes. Diverse scholen hebben studenten al gewaarschuwd alert te zijn op phishing-e-mails en valse berichten voor het resetten van wachtwoorden die mogelijk op de inbraak volgen.

De ontsierde boodschap die op canvas.vt.edu werd gezien, suggereert dat de aanvallers net zoveel op zoek waren naar zichtbaarheid als naar drukmiddelen. In plaats van stilletjes gegevens te lekken, leek de groep zich te richten op een openbaar toegankelijk loginportal van een universiteit om de druk op de getroffen scholen te vergroten. Op het moment van schrijven blijft het onduidelijk of de compromittering van de pagina voortkwam uit directe toegang tot de universitaire infrastructuur, een probleem met de gedeelde Canvas-omgeving, of een andere verbonden dienst.

ShinyHunters is de afgelopen jaren gelinkt aan verschillende spraakmakende campagnes van afpersing en datadiefstal. De groep richt zich vaak op cloudplatforms, SaaS-providers en identiteitssystemen. De operaties van ShinyHunters omvatten veelal gestolen inloggegevens, externe integraties en tactieken voor data-afpersing in plaats van encryptie door ransomware. Instructure heeft de volledige omvang van de meest recente verstoring, gekoppeld aan de ontsierde loginpagina, nog niet publiekelijk bevestigd. De onderzoeksactiviteiten zijn gaande en naar verwachting zullen meer universiteiten verklaringen afleggen zodra zij hebben vastgesteld of hun systemen of gebruikersgegevens zijn getroffen.

Bron: Instructure

Het Australian Cyber Security Centre (ACSC) heeft een waarschuwing uitgegeven voor een aanhoudende campagne met malware die de social engineering techniek ClickFix gebruikt om de Vidar Stealer, malware die informatie steelt, te verspreiden. Hoewel de huidige campagne gericht is op Australische organisaties en infrastructuur, is de gebruikte methode universeel en kan deze ook organisaties in Nederland en België treffen.

ClickFix is een aanval via social engineering waarbij gebruikers worden misleid om kwaadaardige commando's uit te voeren. Dit gebeurt vaak via neppe CAPTCHA prompts of browserverificatieprompts die worden weergegeven op gecompromitteerde of kwaadaardige websites. De aanval verleidt gebruikers doorgaans tot het uitvoeren van commando's van PowerShell, waardoor beveiligingscontroles worden omzeild en malware wordt afgeleverd, meestal in de vorm van informatiestelers.

De huidige aanvallen maken gebruik van gecompromitteerde sites van WordPress die gebruikers omleiden naar kwaadaardige payloads. Bezoekers van deze sites krijgen een nep-Cloudflare-verificatie of CAPTCHA-prompt te zien, met de instructie om een kwaadaardig commando van PowerShell te kopiëren en handmatig op hun systeem uit te voeren. Dit leidt tot een infectie met Vidar Stealer. De waarschuwing van de Australian Signals Directorate (ASD) en ACSC benadrukt dat deze activiteit is waargenomen.

Vidar Stealer is een familie van malware die informatie steelt en opereert als een malware als een dienst (MaaS) sinds eind 2018. Het is populair geworden onder cybercriminelen vanwege de kosteneffectiviteit, het gemak van implementatie en de uitgebreide mogelijkheden voor diefstal van gegevens. De malware richt zich op wachtwoorden van browsers, cookies, wallets voor cryptocurrency, automatisch ingevulde informatie en systeemdetails. Vidar is in het verleden al waargenomen in ClickFix-aanvallen die werden gepromoot via fixes voor Windows, video's van TikTok en GitHub. Vorig jaar werd een nieuwe versie met verbeterde mogelijkheden uitgebracht.

Het ACSC merkt op dat Vidar zijn uitvoerbare bestand verwijdert na de lancering op het geïnfecteerde apparaat en vervolgens vanuit het systeemgeheugen opereert, waardoor forensische sporen worden verminderd. De malware haalt command and control (C2) adressen op via 'dead drop' URL's, waarbij gebruik wordt gemaakt van openbare diensten zoals bots van Telegram en profielen van Steam. Deze tactiek is in het verleden veel gebruikt en blijft effectief.

Organisaties wordt aanbevolen de uitvoering van PowerShell te beperken en allow-listing van applicaties te implementeren om het risico van dergelijke aanvallen te verminderen. Beheerders van sites van WordPress worden geadviseerd beschikbare updates voor beveiliging voor thema's en add-ons toe te passen en ongebruikte thema's of plugins van hun platforms te verwijderen. Het beveiligingsbulletin van het ACSC voorziet in indicators of compromise (IoC's) voor deze aanvallen, zodat organisaties verdedigingsmechanismen kunnen opzetten of intrusies kunnen detecteren.

Bron: Australian Cyber Security Centre (ACSC) | Bron 2: cyber.gov.au | Bron 3: hubs.li

Cisco Talos heeft recentelijk zijn mogelijkheden voor dreigingsinformatie uitgebreid door telefoonnummers te volgen als cruciale indicators of compromise (IOC's) in scam e-mails. Dit nieuwe onderzoek onthult dat aanvallers sterk de voorkeur geven aan nummers van API-gestuurde Voice over IP (VoIP) om omvangrijke en kosteneffectieve Telephone-Oriented Attack Delivery (TOAD)-campagnes uit te voeren. Om detectie te omzeilen, rouleren deze dreigingsactoren door sequentiële blokken nummers, hanteren ze strategische afkoelperioden en hergebruiken ze exact dezelfde cijfers in volledig ongerelateerde lokmiddelen en nagemaakte merken.

De verschuiving naar het volgen van telefoonnummers is significant, aangezien het bijhouden van vluchtige afzender e-mailadressen een verloren strijd is. Telefoonnummers blijken de ware operationele ankers te zijn voor georganiseerde scam callcenters. Doordat aanvallers deze nummers hergebruiken voor verschillende documenttypes en merkimitaties, kunnen verdedigers die deze telefonie-infrastructuur clusteren, een breder netwerk van kwaadaardige activiteiten blootleggen. Het begrijpen van deze hergebruikpatronen geeft verdedigers een broodnodige voorsprong bij het in kaart brengen en ontmantelen van deze operaties, voordat gebruikers worden gemanipuleerd om gevoelige gegevens prijs te geven.

Cisco Talos adviseert beveiligingsteams om hun focus te verleggen naar het groeperen van scam lokmiddelen op basis van gedeelde telefoonnummers en om prioriteit te geven aan real-time reputatiebewaking om risicovolle infrastructuur te markeren. Het inzetten van een e-mailbeveiligingsoplossing met AI, zoals Cisco Secure Email Threat Defense, kan ook helpen bij het evalueren van verschillende delen van inkomende e-mails om deze gerichte bedreigingen te onderscheppen.

Naast deze nieuwe dreigingsinformatie is bekendgemaakt dat DigiCert, een belangrijke autoriteit op het gebied van digitale certificaten, op 2 april getroffen is door een hack. Een dreigingsactor wist het ondersteuningsteam van DigiCert aan te vallen met een kwaadaardige payload, geleverd via een klantchatkanaal en vermomd als een screenshot. Als gevolg van deze aanval heeft het bedrijf certificaten moeten intrekken. Dit incident onderstreept de voortdurende kwetsbaarheid van ondersteuningsportalen, zelfs bij bedrijven die cruciaal zijn voor de internetbeveiliging.

Bron: Cisco Talos | Bron 2: techcrunch.com | Bron 3: techradar.com

Uit onderzoek van Cloudflare blijkt dat cybercriminelen promptinjectie inzetten om kunstmatige intelligentie-modellen te misleiden en de detectie van kwaadaardige code te omzeilen. Cloudflare's Cloudforce One-team onderzocht zeven AI modellen om inzicht te krijgen in hun redenering en kwetsbaarheid voor manipulatie. De bevindingen tonen aan dat subtiele manipulatie en specifieke structuurtrucs effectief zijn, met soms een daling van het detectiepercentage tot twaalf procent.

Naarmate organisaties meer vertrouwen op autonome systemen en grote taalmodellen voor cruciale organisatieprocessen, verschuift ook de beveiligingsperimeter. Dit groeiende aanvalsoppervlak buiten het traditionele netwerk vereist nieuwe beveiligingsstrategieën. Het rapport van Cloudflare benadrukt dat aanvallers gebruikmaken van zogenaamde 'lokmiddelen' , tekstblokken die AI modellen emotioneel beïnvloeden of verwarren. Deze lokmiddelen worden ingezet om security auditors te verleiden kwaadaardige code goed te keuren.

Een opvallende bevinding is de methode van één procent omzeiling. Wanneer lokmiddelen minder dan één procent van een bestand uitmaken, kan het detectiepercentage van AI modellen dalen tot 53 procent. Deze subtiele signalen sturen het redeneringsvermogen van het model aan zonder argwaan te wekken bij de auditor of het model zelf. De onderzoekers ontdekten ook een U-curve van misleiding, matige pogingen om AI te beïnvloeden zijn vaak succesvol, maar overdreven pogingen, met meer dan duizend opmerkingen, doen juist een alarm afgaan waardoor de code als frauduleus wordt aangemerkt. De effectiviteit van de aanval hangt dus sterk af van het volume en de subtiliteit van de gebruikte lokmiddelen.

De contextval vormt volgens Cloudflare de grootste bedreiging. Door misleidende payloads te verstoppen in omvangrijke bibliotheekbundels, zoals React SDK's, werd het detectiepercentage gereduceerd tot twaalf procent. Deze techniek put de focus van het AI model uit, waardoor gerichte detectie bijna onmogelijk wordt.

Het onderzoek wijst verder op linguïstische profilering in AI modellen. Sommige modellen markeren Russische of Chinese opmerkingen als risicovol, ongeacht de feitelijke inhoud van de code. Tegelijkertijd worden minder bekende talen zoals het Ests sneller vertrouwd, wat wijst op ingebouwde stereotypen binnen de modellen. Dit benadrukt de noodzaak om AI modellen grondig te testen op onbedoelde vooroordelen en kwetsbaarheden voor manipulatie.

Bron: Cloudflare | Bron 2: itdaily.com

Cybercriminelen hebben een nieuwe methode ontwikkeld om gebruikers te misleiden, waarbij zij overtuigende nep webpagina's inzetten die zich voordoen als legitieme installatiepagina's voor de populaire Claude AI tool. Het uiteindelijke doel van deze operatie is om gebruikers ertoe te bewegen onbewust malware op hun eigen systemen te installeren en uit te voeren. Deze specifieke campagne staat bekend onder de namen "InstallFix" of de "Fake Claude Installer threat".

Deze aanvalscampagne markeert een significante verschuiving in de tactieken die cybercriminelen hanteren. Traditioneel richten veel aanvallen zich op het exploiteren van technische kwetsbaarheden en beveiligingslekken binnen software. Echter, bij de campagne "InstallFix" kiezen de aanvallers ervoor om in plaats daarvan direct het vertrouwen van gebruikers in nieuwe en populaire technologieën, zoals tools voor kunstmatige intelligentie, te misbruiken. Door de illusie te wekken dat zij een officiële installer aanbieden, proberen de hackers slachtoffers te verleiden tot het vrijwillig downloaden en uitvoeren van de kwaadaardige software.

Deze benadering onderstreept het toenemende belang van waakzaamheid bij het downloaden van software, vooral wanneer het gaat om veelgevraagde nieuwe applicaties. Gebruikers worden geadviseerd om altijd de authenticiteit van de downloadbronnen te verifiëren en alleen software te verkrijgen via officiële en vertrouwde kanalen om de risico's van dergelijke aanvallen via social engineering te minimaliseren.

Bron: CyberSecurityNews

Cybercriminelen richten zich op Mac-gebruikers door hun legitieme cryptowallets te vervangen met getrojaniseerde versies, waarmee aanvallers volledige controle verkrijgen over de activa van de slachtoffers. Deze alarmerende ontwikkeling is gemeld door Microsoft en treft in ieder geval gebruikers van populaire wallets zoals Ledger, Exodus en Trezor. De aanval begint met een geraffineerde techniek die bekend staat als een ClickFix-aanval, waarbij slachtoffers worden misleid tot het uitvoeren van kwaadaardige commando's op hun systeem.

Bij deze specifieke ClickFix-aanvallen worden gebruikers niet geconfronteerd met de gebruikelijke CAPTCHA's, maar met bedrieglijke instructies die ogenschijnlijk dienen voor het vrijmaken van schijfruimte of het downloaden van specifieke software. In werkelijkheid leiden deze commando's tot de installatie van infostealer malware. Deze kwaadaardige software is ontworpen om een breed scala aan gevoelige gegevens te stelen, waaronder in de browser opgeslagen inloggegevens, persoonlijke notities, mediabestanden, data van de Telegram-applicatie, Keychain-informatie en iCloud-accountgegevens. Daarnaast zoekt de malware actief naar allerlei soorten documenten en bestanden op het systeem van de gebruiker.

Een bijzonder zorgwekkend aspect van deze aanval is de methode om cryptowallets te compromitteren. De infostealer malware detecteert de aanwezigheid van specifieke cryptowallet-applicaties, zoals die van Ledger, Exodus en Trezor. Vervolgens steelt het de data van deze applicaties en vervangt het de originele software door een kwaadaardige, getrojaniseerde variant. Deze nep-wallets staan volledig onder controle van de aanvallers. Microsoft waarschuwt dat deze getrojaniseerde cryptowallets een aanzienlijk risico vormen voor gebruikers die onbewust blijven handelen en transacties uitvoeren via een gecompromitteerde applicatie.

In reactie op deze dreiging heeft Apple, volgens Microsoft, stappen ondernomen. Apple Xprotect, de ingebouwde virusdetectietool van macOS, kan de dreiging inmiddels detecteren en bestrijden. Bovendien heeft Apple een extra beveiligingsmaatregel geïmplementeerd in macOS versie 26.4 en nieuwer, specifiek gericht op het tegengaan van ClickFix-aanvallen. Gebruikers wordt geadviseerd om hun systemen up-to-date te houden en uiterst voorzichtig te zijn met het uitvoeren van ongevraagde commando's of het downloaden van software, zelfs als de instructies legitiem lijken.

Bron: Microsoft

Cybercriminelen ontwikkelen hun op telefonie gebaseerde oplichtingspraktijken in een tempo dat beveiligingsfilters vaak niet kunnen bijhouden. Een recente ontwikkeling toont aan dat aanvallers steeds vaker gebruikmaken van Voice over Internet Protocol (VoIP)-nummers die slechts zeer kort actief zijn. Deze tactiek zorgt ervoor dat de nummers verdwijnen voordat detectiesystemen ze als kwaadaardig kunnen markeren, waardoor potentiële slachtoffers kwetsbaar blijven en verdedigers moeite hebben om de aanvallen te blokkeren.

De oplichtingscampagnes manifesteren zich veelal via e-mail. Aanvallers integreren de frauduleuze telefoonnummers direct in de hoofdtekst van de berichten en soms zelfs in de onderwerpregels. Deze methode is specifiek ontworpen om op reputatie gebaseerde blokkeringsmechanismen te omzeilen. Door de vluchtige aard van de VoIP-nummers en de directe embedding in e-mails, wordt het voor traditionele beveiligingsoplossingen lastiger om de kwaadaardige communicatie te identificeren en te stoppen voordat deze gebruikers bereikt. Deze evolutie in aanvalstactieken benadrukt de noodzaak voor constante aanpassing van verdedigingsstrategieën tegen dergelijke geraffineerde social engineering methoden.

Bron: CyberSecurityNews

Een neppe versie van de Claude AI-website verspreidt een kwaadaardige 'Claude-Pro Relay'-download die een voorheen ongedocumenteerde backdoor voor Windows, genaamd Beagle, installeert. Cybercriminelen adverteren Claude-Pro als een "high-performance relay service speciaal ontworpen voor Claude-Code" ontwikkelaars.

De nagemaakte website, 'claude-pro[.]com', probeert de legitieme site van het populaire Claude large language model (LLM) en AI-assistent te imiteren met vergelijkbare kleuren en lettertypen. Echter, de façade valt weg zodra men de links controleert, aangezien deze slechts omleidingen zijn naar de hoofdpagina, zo melden onderzoekers van cybersecuritybedrijf Sophos in een recent rapport.

Gebruikers die op 'claude-pro[.]com' terechtkomen en de misleiding niet doorzien, kunnen alleen klikken op een grote downloadknop voor de kwaadaardige bron. Dit betreft een 505MB archief genaamd 'Claude-Pro-windows-x64.zip', dat een MSI-installatieprogramma bevat dat zogenaamd voor het Claude-Pro Relay-product is. Sophos stelt dat het uitvoeren van dit binaire bestand leidt tot het toevoegen van drie bestanden aan de map Startup: NOVupdate.exe, NOVupdate.exe.dat en avk.dll.

De campagne werd initieel ontdekt door Malwarebytes, wiens onderzoekers aangeven dat de 'Pro'-installer een getrojaniseerde kopie van Claude is die naar verwachting werkt, maar op de achtergrond een PlugX-malwareketen implementeert, waardoor aanvallers op afstand toegang krijgen tot het systeem. Bij nader onderzoek van de campagne ontdekte Sophos dat de eerste-fase payload DonutLoader was, die een "relatief eenvoudige backdoor" ophaalde die de onderzoekers Beagle noemen. Deze backdoor heeft een beperkte set commando's, waaronder uninstall, cmd, upload, download, mkdir, rename, ls en rm. Het is belangrijk te benadrukken dat de Beagle-backdoor verschilt van de Delphi-gebaseerde Beagle/Bagle-worm die in 2004 werd gedocumenteerd.

Volgens de onderzoekers is NOVupdate.exe een ondertekende updater voor G Data beveiligingsoplossingen, die de hacker gebruikt om de kwaadaardige avk.dll en het versleutelde NOVupdate.exe.dat-bestand via sideloading te laden. Sophos merkt op dat het sideloaden van de AVK DLL en een versleuteld bestand met behulp van een G Data ondertekend uitvoerbaar bestand in het verleden is gekoppeld aan PlugX-activiteit. De rol van de DLL is het ontsleutelen en in het geheugen uitvoeren van de payload in NOVupdate.exe.dat, wat de open-source in-memory injector DonutLoader is. Sophos heeft Donut eerder gespot, in aanvallen in 2024 die gericht waren op overheidsorganisaties in Zuidoost-Azië. In dit geval implementeert Donut de uiteindelijke payload, de Beagle-backdoor, in het systeemgeheugen om detectie te omzeilen.

De backdoor communiceert met de command-and-control (C2) server op 'license[.]claude-pro[.]com' via TCP over poort 443 en/of UDP over poort 8080, waarbij een hardgecodeerde AES-sleutel de uitwisselingen beschermt. Sophos merkt op dat de C2 wordt gehost op 8.217.190[.]58, een IP-adres dat volgens onderzoekers van Malwarebytes in het bereik van de Alibaba-Cloud-service valt.

Verder onderzoek leidde Sophos naar aanvullende samples gerelateerd aan Beagle, die tussen februari en april van dit jaar naar VirusTotal werden verzonden en dezelfde XOR-ontsleutelingssleutel gebruikten. Deze samples infecteerden machines echter via verschillende aanvalsketens, waaronder Microsoft Defender-binaire bestanden, AdaptixC2 shellcode en een misleidende PDF, en door het imiteren van update-sites van meerdere beveiligingsleveranciers (bijvoorbeeld CrowdStrike, SentinelOne en Trellix).

Hoewel Sophos de campagne niet met zekerheid kon toeschrijven aan een specifieke dreigingsactor, suggereren de onderzoekers dat dezelfde operators achter PlugX mogelijk experimenteren met een nieuwe payload. Om dit risico te beperken, moeten gebruikers ervoor zorgen dat ze Claude downloaden van het officiële portaal en gesponsorde zoekresultaten overslaan of verbergen. De aanwezigheid van 'NOVupdate'-bestanden op een systeem is een sterke indicatie van compromittering.

Bron: Sophos | Bron 2: malwarebytes.com | Bron 3: virus.wikidot.com

Software voor onderhoud krijgt zelden dezelfde aandacht voor beveiliging als systemen voor financiën, personeelszaken of klantbeheer. Toch bevat deze vaak een gedetailleerde kaart van apparatuur, locaties, leveranciers, planningen, onderdelen, garanties, inspecties, reparatienotities en werknemersactiviteiten. Voor een ransomwaregroep kan dergelijke informatie uiterst nuttig zijn. Het kan inzicht geven in waar een bedrijf van afhankelijk is, welke activa de grootste operationele druk veroorzaken en welke teams snel toegang nodig hebben tijdens een storing.

Daarom verdient oude onderhoudssoftware nader onderzoek. Wanneer onderhoudsverantwoordelijken CMMS-software (Computerized Maintenance Management System) beoordelen, moet beveiliging een even belangrijk gespreksonderwerp zijn als werkorders, activahistorie, mobiele toegang en rapportage. Een systeem dat kritieke activa bijhoudt, kan een aanzienlijk risico vormen wanneer het draait op niet-ondersteunde code, zwakke toegangscontroles, blootgestelde externe portals of patchschema's die nooit up-to-date zijn.

Onderhoudsplatforms werden voorheen vaak als losstaand beschouwd van grote cybersecurity-zorgen. Veel bedrijven behandelden ze als interne hulpmiddelen voor facilitaire, productie-, opslagteams of wagenparkteams. Dit beeld past niet langer bij de moderne bedrijfsvoering. Onderhoudssystemen zijn nu verbonden met mobiele apparaten, leveranciersportals, e-mailwaarschuwingen, inventarisgegevens, inkoopprocessen, sensoren, gebouwsystemen en soms zelfs ERP-systemen (Enterprise Resource Planning). Elke verbinding creëert een nieuw punt waar slechte beveiliging een opening kan bieden.

Ransomwaregroepen zoeken naar openingen die hen snelheid geven. Ze hebben geen perfect pad nodig, maar één zwak wachtwoord, één niet-gepatchte server, één blootgestelde inlogpagina, één oude plug-in of één slecht beveiligd extern toegangspad. Verouderde onderhoudssoftware kan hen dit pad bieden, omdat veel van deze systemen onopgemerkt verouderen. Teams blijven ze gebruiken omdat ze nog steeds werkorders verwerken en activarecords opslaan. Deze dagelijkse functionaliteit kan het grotere probleem verhullen, de software ontvangt mogelijk geen beveiligingsupdates meer, mist moderne authenticatiecontroles of is afhankelijk van oudere besturingssystemen die niet voldoen aan de huidige beveiligingseisen.

Het risico wordt groter wanneer onderhoudsgegevens verbonden zijn met bedrijfskritische operaties. Een fabrikant kan uitvaltijd van activa niet negeren. Een ziekenhuis kan onderhoudsgegevens niet als onbelangrijke administratie behandelen. Een logistiek bedrijf kan het overzicht over dokapparatuur, heftrucks, transportbanden, scanners of dienstregelingen van wagenparken niet verliezen. Ransomwaregroepen zijn zich hiervan bewust en richten zich op systemen die urgentie creëren. Een onderhoudsplatform lijkt misschien gewoon, maar kan productie, compliance, veiligheidscontroles, serviceniveaus en coördinatie met leveranciers beïnvloeden.

Verouderde software creëert vaak een tijdvoordeel voor aanvallers. Beveiligingsteams kunnen bekende zwaktes verdedigen wanneer leveranciers nog patches uitgeven, documentatie duidelijk is en systemen updates kunnen accepteren zonder te falen. Oudere platforms maken dit moeilijker. Een leverancier heeft mogelijk de ondersteuning beëindigd. Het platform heeft mogelijk een verouderde databaseversie nodig. De server draait mogelijk een besturingssysteem dat geen beveiligingsupdates meer ontvangt. Een kleine update kan aangepaste rapporten, oudere barcodescanners of jarenlange opgeslagen onderhoudsgegevens bedreigen. Aanvallers profiteren van deze vertraging. Openbare kwetsbaarheidsinformatie verspreidt zich snel. Criminele groepen scannen naar blootgestelde systemen, gedeelde bibliotheken, oude webcomponenten en hulpmiddelen voor externe toegang. Zodra een zwakte bekend wordt, verandert langzaam patchen in een ernstig bedrijfsrisico. Het onderhoudsteam wil misschien wachten tot het volgende onderhoudsvenster. IT heeft mogelijk hulp van de leverancier nodig. Operations verzet zich misschien tegen elke verandering die de werkstroom kan beïnvloeden. Deze vertragingen creëren een grotere tijdsspanne voor ransomware-activiteit.

Oude platforms lijden ook onder slechte zichtbaarheid. Een bedrijf weet misschien dat zijn salarissysteem dringend gepatcht moet worden, maar heeft niet dezelfde duidelijkheid voor onderhoudssoftware. Het systeem kan op een vergeten virtuele machine draaien. Een voormalige leverancier heeft mogelijk nog toegang. Een gedeeld beheerdersaccount kan actief blijven omdat meerdere supervisors het gebruiken. Documentatie kan summier zijn. Wanneer niemand snel kan beantwoorden wie het platform bezit, welke versie draait, welke gebruikers toegang hebben en hoe updates plaatsvinden, wordt ransomwareverdediging giswerk.

Het risico op ransomware groeit wanneer aanvallers bruikbare operationele intelligentie verkrijgen voordat ze bestanden versleutelen. Onderhoudssoftware kan precies dat soort intelligentie bevatten. De historie van werkorders kan terugkerende storingen aantonen. Activarecords kunnen waardevolle apparatuur onthullen. Kalenders voor preventief onderhoud kunnen geplande stilstanden, inspectiedeadlines, garantieproblemen en seizoensgebonden servicedruk tonen. Inventarisgegevens kunnen tekorten aan onderdelen onthullen. Leveranciersaantekeningen kunnen externe servicepartnerschappen blootleggen.

Deze gegevens kunnen een aanvaller helpen het meest schadelijke moment te kiezen. Een vastgoedgroep kan te maken krijgen met HVAC-druk tijdens een hittegolf. Een voedselverwerker heeft mogelijk sanitaire en koelingsdeadlines. Een distributiecentrum kan afhankelijk zijn van transportbanden tijdens een piekverkoopperiode. Een zorginstelling heeft mogelijk strikte onderhoudsdocumentatie nodig voor gereguleerde activa. Als aanvallers kunnen zien welke systemen de meeste druk creëren, kunnen ze afpersing met grotere precisie timen.

Dit betekent niet dat elke ransomwaregroep onderhoudsgegevens gedetailleerd bestudeert. Veel aanvallen verlopen snel en vertrouwen op automatisering. Toch hebben gegevensdiefstal en afpersing de dreiging veranderd. Aanvallers stelen vaak bestanden vóór versleuteling. Onderhoudsgegevens kunnen dan deel uitmaken van de druktactiek. Ze kunnen dreigen inspectiehiaten, leveranciersprijzen, faciliteitsdetails, storingen van apparatuur of records met betrekking tot gereguleerde omgevingen bloot te leggen. De schade kan verder gaan dan uitvaltijd en kan vertrouwen, compliance en contractueel risico beïnvloeden. Externe toegang maakt kleine zwaktes tot grotere incidenten, aangezien technici werkorders bijwerken vanaf telefoons en managers reparaties vanaf huis goedkeuren.

Bron: CISA | Bron 2: support.microsoft.com | Bron 3: ncsc.gov.uk

Op een ondergronds forum is toegang aangeboden tot e-mailaccounts van overheden en politieportalen in diverse landen. De dreigingsactor beweert dat deze toegang kan worden benut voor frauduleuze Emergency Data Requests (EDRs), het versturen van vervalste dagvaardingen en het uitvoeren van gegevensextractie bij grote online platforms. Onder de genoemde platforms vallen onder andere Instagram, Facebook, WhatsApp, TikTok, Snapchat, Microsoft en Apple.

Via dergelijke frauduleuze verzoeken kunnen aanvallers gevoelige informatie opvragen, zoals IP-adressen, apparaatgegevens, gekoppelde telefoonnummers en metadata van privéberichten. De Federal Bureau of Investigation (FBI) heeft in het verleden reeds gewaarschuwd voor een significante toename van frauduleuze spoedverzoeken (EDR), die vaak worden ingediend via gestolen overheidsaccounts.

Het is belangrijk op te merken dat de claims van de dreigingsactor niet onafhankelijk zijn geverifieerd. Daardoor blijft het onduidelijk of de aangeboden toegang tot de e-mailaccounts authentiek is en of de beweerde mogelijkheden daadwerkelijk kunnen worden uitgevoerd. Desalniettemin benadrukt de aanbieding de continue dreiging van misbruik van legitieme procedures door cybercriminelen.

Bron: Darkweb monitoring

De afpersingsgroep ShinyHunters heeft opnieuw een inbraak gepleegd bij Instructure, de onderwijstechnologiegigant. Dit keer werd een kwetsbaarheid misbruikt om de Canvas-inlogportalen van honderden hogescholen en universiteiten onleesbaar te maken. De aanpassingen, die ongeveer dertig minuten zichtbaar waren voordat ze werden verwijderd, toonden een boodschap van ShinyHunters waarin de verantwoordelijkheid werd opgeëist voor een eerdere inbraak bij Instructure en waarin werd gedreigd met het lekken van gestolen data als geen losgeld wordt betaald.

De boodschap waarschuwt Instructure en de getroffen onderwijsinstellingen dat ze tot 12 mei de tijd hebben om contact op te nemen voor onderhandelingen, anders zullen studentengegevens worden gelekt. "ShinyHunters heeft Instructure (opnieuw) gehackt. In plaats van contact met ons op te nemen om het op te lossen, negeerden ze ons en voerden ze 'beveiligingspatches' uit," stond in de aangepaste portal. De boodschap vervolgde: "Als een van de scholen op de getroffen lijst geïnteresseerd is in het voorkomen van de publicatie van hun gegevens, raadpleeg dan een cyberadviesbureau en neem privé contact met ons op via TOX om een schikking te onderhandelen. U heeft tot het einde van de dag op 12 mei 2026 voordat alles wordt gelekt."

Het is gebleken dat dreigingsactoren de Canvas-inlogportalen van ongeveer 330 onderwijsinstellingen onleesbaar hebben gemaakt, waarbij de standaard inlogpagina's werden vervangen door een afpersingsboodschap. Deze boodschap verscheen ook in de Canvas app. De aanpassing zou zijn veroorzaakt door een kwetsbaarheid in de systemen van Instructure, waardoor de dreigingsactor de inlogportalen kon wijzigen. Instructure heeft Canvas offline gehaald terwijl het reageert op de meest recente cyberaanval.

Vorige week maakte Instructure al bekend een cyberaanval te onderzoeken nadat dreigingsactoren claimden 280 miljoen records van studenten en personeel te hebben gestolen, gerelateerd aan 8.809 scholen, universiteiten en onderwijsplatformen die gebruikmaken van het Canvas-leermanagementsysteem. De ShinyHunters-groep claimde later dat de gestolen data gebruikersrecords, privéberichten, inschrijvingsgegevens en andere informatie omvatte, naar verluidt verzameld via Canvas-data-exportfuncties en API's. Instructure bevestigde dat er data was gestolen tijdens die aanval, maar dat het onderzoek naar het incident nog gaande is.

Canvas is een van de meest gebruikte leermanagementsystemen in het hoger onderwijs en in K-12-omgevingen, waarbij het scholen helpt bij het beheren van cursussen, opdrachten, cijfers en communicatie tussen studenten en docenten. De naam ShinyHunters wordt al lang geassocieerd met talrijke dreigingsactoren die sinds 2018 datalekken uitvoeren. Dit jaar zijn dreigingsactoren die de naam ShinyHunters gebruiken, een van de meest productieve groepen geworden die data-diefstal en afpersingsaanvallen uitvoeren tegen bedrijven wereldwijd. Ze richten zich voornamelijk op Salesforce en andere cloud SaaS-omgevingen en zijn gekoppeld aan een groeiend aantal inbraken bij bedrijven zoals Google, Cisco, PornHub en online datinggigant Match Group. De afpersingsgroep breekt vaak in bij integratiebedrijven van derden en gebruikt gestolen authenticatietokens om toegang te krijgen tot verbonden SaaS-omgevingen en klantgegevens te stelen. De dreigingsactoren staan ook bekend om het uitvoeren van voice phishing (vishing) aanvallen gericht op Okta, Microsoft en Google single sign-on (SSO) accounts, waarbij ze IT-ondersteuningspersoneel imiteren om werknemers te misleiden tot het invoeren van inloggegevens en multi-factor authenticatie (MFA) codes op phishingsites.

Bron: Instructure | Bron 2: hubs.li

Onderzoekers van Elastic Security Labs hebben een nieuwe trojan ontdekt, genaamd TCLBanker, die zich richt op 59 platforms voor bankieren, fintech en cryptocurrency. Deze geavanceerde malware verspreidt zich autonoom via WhatsApp en Outlook, en infecteert systemen via een getrojaniseerde MSI-installer die zich voordoet als de Logitech AI Prompt Builder.

TCLBanker wordt beschouwd als een significante evolutie van de oudere Maverick/Sorvepotel malwarefamilie. Hoewel de malware momenteel vooral gericht is op Brazilië, wat blijkt uit controles op tijdzone, toetsenbordindeling en landinstellingen, waarschuwen de onderzoekers dat LATAM-malware in het verleden is aangepast om een breder scala aan doelwitten te omvatten, waardoor het risico op uitbreiding reëel is.

De malware is bijzonder goed beschermd tegen analyse en debugging. Het beschikt over omgevingsafhankelijke routines voor het decoderen van de payload, die falen in sandboxes of analyseomgevingen. Bovendien draait het een persistente watchdog-thread die continu speurt naar analysehulpmiddelen zoals x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra en de4dot. TCLBanker wordt geladen binnen de context van de legitieme Logitech-applicatie via DLL side-loading, waardoor het geen alarmen activeert bij beveiligingsproducten. Opvallend is dat code-artefacten suggereren dat kunstmatige intelligentie mogelijk is gebruikt bij de ontwikkeling van de loader.

De bankmodule van TCLBanker monitort de adresbalk van de browser elke seconde met behulp van Windows UI Automation API's. Zodra een slachtoffer een website van een van de 59 beoogde platforms opent, wordt een WebSocket-sessie met de command-and-control (C2) server opgezet. Vervolgens worden slachtoffergegevens en systeeminformatie verzonden en beginnen de externe controleoperaties. De aanvallers krijgen uitgebreide mogelijkheden, waaronder live schermstreaming, het maken van screenshots, keylogging, het kapen van het klembord, het uitvoeren van shell-commando's, vensterbeheer, toegang tot het bestandssysteem, procesenumeratie en externe controle over muis en toetsenbord. Tijdens actieve sessies wordt het proces Taakbeheer beëindigd om verstoringen te voorkomen en de kwaadaardige activiteit te verbergen.

Voor gegevensdiefstal maakt TCLBanker gebruik van een WPF-gebaseerd overlaysysteem. Hiermee kunnen slachtoffers nep-inlogprompts, PIN-toetsenborden, formulieren voor het verzamelen van telefoonnummers, nep-wachtschermen voor "bankondersteuning", nep-Windows Update schermen en diverse nep-voortgangsschermen worden getoond. Er zijn ook "uitgesneden" overlays die bovenop blijven en alleen geselecteerde delen van echte applicaties tonen, terwijl andere delen worden gemaskeerd.

Een uniek aspect van TCLBanker is de mogelijkheid om zich autonoom te verspreiden naar contacten van het primaire slachtoffer. De malware zoekt in Chromium-browserprofielen naar geauthenticeerde WhatsApp Web IndexedDB-gegevens en start een verborgen Chromium-instantie die het account van het slachtoffer kaapt. Vervolgens verzamelt het contacten, filtert op Braziliaanse nummers en stuurt spamberichten vanuit het account van het slachtoffer, die hen naar distributieplatforms van TCLBanker leiden. Een andere wormmodule misbruikt Microsoft Outlook via COM-automatisering, start de applicatie, verzamelt contacten en afzenderadressen, en verstuurt phishing-e-mails via het e-mailaccount van het slachtoffer.

Elastic concludeert dat TCLBanker een karakteristiek voorbeeld is van de evolutie van LATAM-malware, die cybercriminelen op een lager niveau toegang geeft tot functies die voorheen alleen beschikbaar waren in zeer geavanceerde tools.

Bron: Elastic Security Labs | Bron 2: hubs.li

De ransomgroep RansomHouse heeft op 8 mei 2026 aangekondigd dat zij het gerenommeerde cyberbeveiligingsbedrijf Trellix heeft gecompromitteerd. Trellix, ontstaan uit de fusie van McAfee Enterprise en FireEye, is een cruciale speler in de wereldwijde cyberbeveiligingsmarkt en beschermt meer dan 200 miljoen endpoints bij ruim 50.000 bedrijfsklanten en overheidsklanten over de hele wereld.

De claim werd door de groep geplaatst op hun Pay or Leak portaal, waar zij doorgaans bewijs publiceren van succesvolle aanvallen en dreigen met het lekken van data bij het uitblijven van betaling. Volgens de beweringen van RansomHouse werden de bestanden van Trellix reeds op 17 april 2026 versleuteld. RansomHouse heeft aangegeven dat Trellix niet heeft gereageerd op hun contactpogingen en heeft als gevolg daarvan bewijspakketten gepubliceerd. De groep dreigt alle gestolen data openbaar te maken indien er geen overeenkomst wordt bereikt met Trellix.

De aanval op een dergelijke entiteit is van grote betekenis vanwege de potentiële impact op een breed scala aan organisaties die afhankelijk zijn van de beveiligingsoplossingen van Trellix. Dit incident volgt op een eerdere bevestiging van Trellix over ongeautoriseerde toegang tot een deel van hun broncoderepository. Destijds stelde Trellix geen bewijs te hebben van de verspreiding of het misbruik van deze broncode. De huidige claim van RansomHouse kan echter wijzen op een verdere escalatie van de situatie en potentiële risico's voor de klanten van Trellix.

Bron: Darkweb monitoring

Het Microsoft Defender Security Research Team heeft een nieuwe cybercampagne geïdentificeerd die onbevoegde toegang probeert te verkrijgen tot computers van Apple via een truc via social engineering, genaamd ClickFix. Deze methode is recentelijk een voorkeurskeuze geworden voor oplichters, waarbij de nieuwe bevindingen van Microsoft inzicht geven in hoe de techniek wordt gebruikt om traditionele beveiliging te omzeilen en waardevolle data van argeloze gebruikers te stelen.

De campagne begint met het misleiden van personen die hulp zoeken voor hun macOS-computers. Sinds eind 2025 en gedurende begin 2026 hebben oplichters gebruikers naar nep-troubleshooting guides gelokt op websites zoals Medium, Craft en Squarespace. Deze sites beloven veelvoorkomende problemen op te lossen, zoals het vrijmaken van schijfruimte of het verhelpen van een systeemfout. In plaats van een download aan te bieden, presenteren de sites een commando dat de gebruiker moet kopiëren en plakken in de Terminal van de Mac, bewerend dat het een systeemhulpprogramma of een snelle oplossing is. Microsoft-onderzoekers merkten op dat deze websites, die ze hebben waargenomen, inmiddels offline zijn gehaald of zijn gerapporteerd.

Zodra het commando wordt uitgevoerd, downloadt de Mac stiekem malware zoals AMOS (Atomic macOS Stealer), Macsync of SHub Stealer. Aangezien de gebruiker het commando zelf heeft uitgevoerd, worden de normale beveiligingscontroles van de Mac, zoals Gatekeeper, overgeslagen. Gatekeeper inspecteert doorgaans alleen app-bundels en schijfimages, en vertrouwt daarom de directe opdracht van de gebruiker. De malware toont vervolgens een nepvenster waarin om een systeemwachtwoord wordt gevraagd om een hulpfunctie te installeren. Als dit wordt verstrekt, krijgen de aanvallers volledige toegang tot bestanden en instellingen.

Het doel van deze scams is om zoveel mogelijk privé-informatie te verkrijgen. In deze specifieke campagne richt de malware zich op informatie van accounts van iCloud en Telegram, privé-documenten, notities en foto's kleiner dan 2 MB, privé sleutels van cryptowallets (waaronder Exodus, Ledger en Trezor), en opgeslagen wachtwoorden en inloggegevens van browsers zoals Chrome en Firefox. Microsoft rapporteert dat aanvallers in sommige gevallen zelfs de authentieke crypto-apps van de gebruiker verwijderden en deze vervingen door nep of getrojaniseerde versies, voornamelijk om transacties te monitoren en fondsen te stelen. Bovendien maken hackers nu naar verluidt gebruik van curl, osascript en vergelijkbare tools om de aanval direct in het geheugen van de Mac uit te voeren. Deze bestandsloze methode maakt detectie door standaard antivirussoftware erg moeilijk. Het team van Microsoft ontdekte ook een 'kill switch' in de malware die stopt met werken als het een Russisch toetsenbord detecteert.

Apple heeft dit probleem aangepakt door een beveiligingsfunctie toe te voegen in macOS 26.4. Deze functie zal nu een waarschuwing genereren met de tekst: "Mogelijke malware, Plakken geblokkeerd" telkens wanneer een verdacht commando in Terminal wordt geplakt. Als aanvullende voorzorgsmaatregel adviseren onderzoekers om het kopiëren en plakken van commando's van blogs of websites te vermijden zonder de bron te verifiëren, en alleen officiële updates en handleidingen van Apple te vertrouwen voor het oplossen van problemen op de Mac.

Bron: Microsoft

Škoda Auto heeft een significant IT-beveiligingsincident bekendgemaakt dat de officiële online shop van het bedrijf trof. Ongeautoriseerde individuen hebben een kwetsbaarheid in de standaard shopsoftware misbruikt, waardoor zij tijdelijk ongeautoriseerde toegang verkregen tot klantgegevens.

Het IT-team van Škoda identificeerde de aanval tijdens routine technische beveiligingsmonitoring. Aanvallers maakten gebruik van een kwetsbaarheid in de onderliggende software van de shop om het systeem te infiltreren. Na de ontdekking heeft Škoda onmiddellijk containment-maatregelen geactiveerd en de online shop preventief offline gehaald. De kwetsbaarheid is inmiddels volledig verholpen en een extern forensisch IT-bedrijf is ingeschakeld om een grondige technische analyse na het incident uit te voeren. Het incident is ook formeel gemeld aan de relevante gegevensbeschermingsautoriteit, conform de wettelijke verplichtingen.

De online shop van Škoda slaat verschillende persoonlijke klantgegevens op, waaronder volledige namen, postadressen, e-mailadressen, telefoonnummers, bestelhistorie en account login-gegevens. Wachtwoorden werden opgeslagen met cryptografische hashing, wat een aanzienlijke beschermingslaag biedt ten opzichte van platte tekst. Creditcardgegevens werden niet bewaard in het shopsysteem; betalingsgegevens worden uitsluitend verwerkt door externe betalingsdienstaanbieders. Dit sluit, op basis van de huidige forensische bevindingen, directe blootstelling van financiële gegevens uit.

Forensische analyse bevestigde dat toegang tot de opgeslagen gegevens theoretisch mogelijk was tijdens de periode van de inbraak. Door beperkingen in de bestaande server-side loggingprotocollen kunnen onderzoekers echter niet definitief bevestigen of gegevens daadwerkelijk zijn geëxfiltreerd of alleen ingezien. Škoda stelt dat er tot op heden geen concreet bewijs is gevonden van misbruik van klantgegevens, maar informeert getroffen klanten preventief, aangezien ongeautoriseerde toegang niet volledig kan worden uitgesloten.

Klanten van wie de gegevens mogelijk zijn blootgesteld, worden geconfronteerd met twee primaire dreigingsscenario's. Ten eerste phishingaanvallen, waarbij dreigingsactoren bekende bestelgegevens of persoonlijke informatie gebruiken om overtuigende frauduleuze e-mails of berichten op te stellen. Deze zijn bedoeld om aanvullende inloggegevens te oogsten of slachtoffers aan te zetten tot het klikken op kwaadaardige links. Ten tweede credential stuffing aanvallen, waarbij aanvallers proberen gecompromitteerde e-mail en wachtwoordcombinaties te gebruiken om ongeautoriseerde toegang te krijgen tot andere online accounts, vooral wanneer gebruikers hetzelfde wachtwoord hergebruiken voor meerdere diensten. Dit incident onderstreept het aanhoudende risico van kwetsbaarheden in e-commerce platforms, met name wanneer standaard shopsoftware van derden wordt ingezet zonder voldoende hardening en continue beveiligingsmonitoring.

Bron: Škoda Auto

Onderzoekers op het gebied van cybersecurity hebben frauduleuze apps ontdekt in de officiële Google Play Store voor Android. Deze apps beweerden ten onrechte toegang te bieden tot de belgeschiedenis van elk telefoonnummer, maar lokten gebruikers in plaats daarvan naar een abonnement dat nepgegevens leverde en tot financieel verlies leidde. De 28 apps zijn gezamenlijk meer dan 7,3 miljoen keer gedownload, waarbij één app alleen al verantwoordelijk was voor meer dan 3 miljoen downloads, voordat ze uit de officiële app-winkel werden verwijderd.

De activiteit, door het Slowaakse cybersecuritybedrijf ESET aangeduid als 'CallPhantom', richtte zich voornamelijk op Android-gebruikers in India en de bredere Azië-Pacifische regio. Lukáš Štefankosa, beveiligingsonderzoeker bij ESET, legde uit dat de apps valselijk beweerden toegang te bieden tot belgeschiedenissen, sms-berichten en zelfs WhatsApp-gesprekken voor elk telefoonnummer. Om deze vermeende functie te ontgrendelen, werd gebruikers gevraagd te betalen, maar in ruil daarvoor ontvingen zij alleen willekeurig gegenereerde gegevens.

Eén van de apps werd gepubliceerd onder de ontwikkelaarsnaam "Indian gov.in" om een vals gevoel van vertrouwen te wekken en gebruikers te verleiden tot downloaden. Achter deze misleiding schuilde echter een kwaadwillende intentie, slachtoffers moesten betalen om details van de bel en sms-geschiedenis van een telefoonnummer te kunnen zien. Na betaling kregen gebruikers volledig verzonnen telefoonnummers en namen te zien, die direct in de broncode waren ingebed. Er zijn aanwijzingen dat deze activiteit al sinds ten minste november 2025 actief was.

Een tweede groep van deze apps vroeg gebruikers hun e-mailadres in te voeren, waarna de vermeende details van elk telefoonnummer zouden worden geleverd. Ook hier werden pas gegevens gegenereerd na een betaling. De betalingen vonden plaats via abonnementen via het officiële factureringssysteem van de Google Play Store, of via apps van derden die Unified Payments Interface (UPI) ondersteunen. Ironisch genoeg omvatte deze lijst Google Pay, het door Walmart gesteunde PhonePe en Paytm. Een derde methode omvatte formulieren voor betalingen met betaalkaarten direct in de apps. De laatste twee benaderingen zijn in strijd met het beleid van Google.

In minstens één geval implementeerden de apps een extra truc om de gebruiker te overtuigen een betaling te doen. Als de gebruiker de app verliet zonder te betalen, verscheen een misleidende melding die beweerde dat een belgeschiedenis voor een bepaald telefoonnummer met succes naar hun e-mailadres was verzonden. Door op de melding te klikken, werd de gebruiker direct naar een abonnementsscherm geleid. De abonnementsplannen varieerden per app, met prijzen tussen ongeveer $6 en $80. Gebruikers die slachtoffer zijn geworden van de zwendel, zouden hun abonnementen moeten hebben geannuleerd nadat de apps uit de Google Play Store waren verwijderd. Wat deze activiteit opmerkelijk maakt, is dat de apps een eenvoudige gebruikersinterface hadden, geen gevoelige permissies vroegen en geen functionaliteit bevatten om bel-, sms of WhatsApp-gegevens op te halen.

Deze openbaring volgt op een rapport van Group-IB, waarin werd gesteld dat kwaadwillenden naar schatting 2 miljoen dollar hebben gestolen van Indonesische gebruikers als onderdeel van een fraude-campagne. Hierbij deden de aanvallers zich voor als het belastingplatform van het land, CoreTax, en andere vertrouwde merken. De campagne, die begon in juli 2025, is gekoppeld aan een financieel gemotiveerde dreigingsgroep genaamd GoldFactory. Group-IB meldde dat de aanvalsketen phishing-websites, social engineering (via WhatsApp), het sideloaden van kwaadaardige APK's en voice phishing (vishing) integreerde om volledige compromittering van apparaten en de uitvoering van ongeautoriseerde overboekingen te bewerkstelligen. Deze aanvallen omvatten het gebruik van social engineering om de neppe apps via WhatsApp te verspreiden, die, eenmaal geïnstalleerd, malware voor Android zoals Gigabud RAT, MMRat en Taotie implementeerden. Deze malware is in staat gevoelige gegevens te oogsten en extra componenten te downloaden.

Bron: ESET | Bron 2: welivesecurity.com | Bron 3: group-ib.com

Safeonweb, het Belgische Centrum voor Cybersecurity, waarschuwt voor een actieve en omvangrijke phishingcampagne die zich richt op gebruikers van Amazon Prime. Er zijn talloze meldingen binnengekomen van pogingen tot oplichting die specifiek via smartphones worden verspreid.

De cybercriminelen achter deze campagne maken misbruik van een specifiek malafide domein, namelijk 'amazon-prime[.]club', om de authenticiteit van Amazon te imiteren en zo slachtoffers te misleiden. Hoewel de campagne zich voornamelijk lijkt te richten op Franstalige klanten, is het van belang dat alle gebruikers alert zijn, aangezien dergelijke aanvallen vaak bredere doelgroepen kunnen bereiken en methoden snel kunnen variëren.

De phishingberichten zijn zo opgesteld dat ze gebruikers doen geloven dat er een actie vereist is met betrekking tot hun Amazon Prime-abonnement, vaak met de valse mededeling dat het abonnement moet worden opgezegd of verlengd. Het doel is om ontvangers onder valse voorwendselen naar de frauduleuze website te lokken waar persoonlijke en financiële gegevens kunnen worden ontfutseld.

Safeonweb benadrukt het belang om niet te reageren op ongebruikelijke of verdachte verzoeken die per e-mail, sms of via andere communicatiekanalen binnenkomen. Gebruikers wordt geadviseerd om voor de controle van hun accountstatus altijd de officiële Amazon Prime app te gebruiken of rechtstreeks naar de officiële website van Amazon te navigeren, in plaats van op links in verdachte berichten te klikken. Door direct via de officiële kanalen te handelen, kan worden voorkomen dat men in de val van cybercriminelen trapt.

Bron: Safeonweb

Aanvallers hebben via de officiële website van de populaire downloadtool JDownloader malware verspreid. JDownloader, een veelgebruikte applicatie voor het downloaden van bestanden, is beschikbaar voor Linux, macOS en Windows. Bij dit incident werden specifiek de alternatieve downloadlinks voor de Linux en Windows-versies van de software aangepast om naar besmette installatiebestanden te leiden.

Een van de ontwikkelaars van JDownloader heeft via Reddit laten weten dat de aanval mogelijk werd gemaakt door een ongepatchte kwetsbaarheid. Deze kwetsbaarheid stelde de aanvallers in staat om de 'access control list' (ACL) aan te passen, waarna zij de bewerkingsrechten konden wijzigen en de malafide links op de website plaatsen. Verdere details over de exacte aard van deze kwetsbaarheid zijn op dit moment niet bekendgemaakt. Evenmin is er concrete informatie beschikbaar over wat de besmette installers van JDownloader precies doen wanneer zij op een systeem worden uitgevoerd. Ten tijde van de rapportage was de officiële website van de downloadtool offline gehaald.

Dit incident volgt op een reeks vergelijkbare aanvallen waarbij populaire software werd misbruikt. Onlangs slaagden aanvallers er ook in om malware te verspreiden via de officiële websites van andere bekende software, waaronder Daemon Tools, CPU-Z en HWMonitor. Deze trend benadrukt de aanhoudende dreiging van supply chain aanvallen, waarbij legitieme softwareleveringskanalen worden gecompromitteerd om kwaadaardige software bij gebruikers af te leveren. Gebruikers van dit soort tools worden geadviseerd extra voorzichtig te zijn met downloadbronnen en de integriteit van gedownloade bestanden te controleren.

Bron: Security.NL

Een actieve malware distributiecampagne misbruikt de prominente AI-platforms Hugging Face en ClawHub om trojans, cryptominers en infostealers te verspreiden. Deze malware wordt vermomd als legitieme AI tools en agent extensies. De campagne vertegenwoordigt een significante evolutie in supply chain aanvallen, waarbij de focus verschuift van traditionele software repositories naar vertrouwde AI-ecosystemen.

Binnen het OpenClaw ecosysteem, dat wordt gedistribueerd via ClawHub, is ontdekt dat aanvallers meer dan 575 kwaadaardige 'skills' hebben ingezet. Deze methodiek stelt cybercriminelen in staat om op grote schaal schadelijke software te injecteren in omgevingen die door ontwikkelaars en gebruikers als veilig worden beschouwd. Het misbruik van platforms zoals Hugging Face, een veelgebruikt platform voor AI modellen, en ClawHub, duidt op een groeiende trend waarbij aanvallers zich richten op de integriteit van de AI-supply chain. Deze ontwikkeling onderstreept de noodzaak voor organisaties om hun beveiligingsmaatregelen uit te breiden naar de AI tools en platforms die zij gebruiken, om zo de verspreiding van malware via deze nieuwe aanvalsvector te voorkomen.

Bron: CyberSecurityNews

Een datalek bij de Spaanse fast fashion retailer Zara heeft de persoonlijke gegevens van meer dan 197.000 klanten blootgelegd. Dit is geconstateerd door de datalek notificatiedienst Have I Been Pwned. Zara, het vlaggenschipmerk van de Inditex Groep, heeft wereldwijd meer dan 1.500 winkels en is onderdeel van een van 's werelds grootste mode-distributiegroepen, waartoe ook merken als Bershka, Zara Home en Pull&Bear behoren.

Inditex meldde vorige maand al dat gecompromitteerde databases, gehost door een voormalige technologieleverancier, informatie bevatten over zakelijke relaties met klanten in verschillende markten. Het bedrijf benadrukte echter dat aanvallers geen toegang hadden tot namen, telefoonnummers, adressen, inloggegevens of betaalinformatie van getroffen klanten. Inditex gaf verder aan dat de eigen operaties en systemen ongemoeid bleven, maar heeft de aanval nog niet toegeschreven aan een specifieke dreigingsactor, noch de naam van de gehackte leverancier gedeeld. Inditex heeft direct beveiligingsprotocollen toegepast en de relevante autoriteiten op de hoogte gebracht van deze ongeautoriseerde toegang, die voortkomt uit een beveiligingsincident bij een voormalige technologieleverancier die meerdere internationaal opererende bedrijven heeft getroffen.

Hoewel Inditex en Zara nog geen verdere details over het incident hebben vrijgegeven, heeft de afpersingsgroep ShinyHunters inmiddels de verantwoordelijkheid opgeëist. ShinyHunters beweert een archief van 140GB te hebben gelekt, met documenten die naar verluidt zijn gestolen uit BigQuery-instanties met behulp van gecompromitteerde authenticatietokens van Anodot.

Have I Been Pwned heeft de gestolen data geanalyseerd en bevestigde dat de gegevens van 197.400 unieke e-mailadressen zijn blootgesteld. Daarnaast omvatten de gelekte gegevens geografische locaties, aankoopgegevens (product-SKU's en order-ID's) en informatie over supporttickets.

De cybercrimegroep ShinyHunters heeft eerder aan BleepingComputer laten weten dat zij data hebben gestolen van tientallen bedrijven door gebruik te maken van authenticatietokens van Anodot. Zij stelden te zijn geblokkeerd door detectie op basis van AI bij pogingen om data te stelen uit Salesforce-instanties. De groep wordt ook in verband gebracht met een grootschalige vishing-campagne, gericht op accounts voor Single Sign-On (SSO) van medewerkers en Business Process Outsourcing (BPO) agents (waaronder Microsoft Entra, Okta en Google SSO). Het doel van deze campagne is het stelen van data uit gekoppelde SaaS-applicaties zoals Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365 en Google Workspace, na het hacken van zakelijke SSO-accounts.

In de afgelopen maanden heeft ShinyHunters ook de verantwoordelijkheid opgeëist voor datalekken bij onder andere Google, Cisco, PornHub, de datinggigant Match Group, videodienst Vimeo, Rockstar Games, thuisbeveiligingsgigant ADT, de Europese Commissie, edtech-gigant McGraw Hill, fabrikant van medische apparatuur Medtronic, cruise-operator Carnival, supermarktketen 7-Eleven en online trainingsbedrijf Udemy. Meer recentelijk hackte ShinyHunters onderwijstechnologiegigant Instructure tweemaal, waarbij de tweede keer een beveiligingskwetsbaarheid werd misbruikt om inlogportals van Canvas te bewerken voor ongeveer 330 hogescholen en universiteiten. Daarbij dreigden ze met het lekken van data die bij een eerdere Instructure-inbraak was gestolen, tenzij losgeld zou worden betaald.

Bron: Inditex | Bron 2: marketwatch.com | Bron 3: haveibeenpwned.com

Cybersecurity onderzoekers hebben details bekendgemaakt over een nieuwe Linux backdoor genaamd PamDOORa. Deze backdoor wordt door een dreigingsactor genaamd "darkworm" aangeboden op het Rehub Russische cybercrimeforum. De initiële vraagprijs van 1.600 dollar op 17 maart 2026 is op 9 april verlaagd naar 900 dollar, wat duidt op beperkte interesse van kopers of een poging om de verkoop te versnellen.

PamDOORa is ontworpen als een Pluggable Authentication Module (PAM)-gebaseerde post-exploitatie toolkit. Het stelt aanvallers in staat om persistente SSH-toegang te verkrijgen door middel van een specifieke combinatie van een "magic password" en een TCP-poort. Daarnaast kan de backdoor inloggegevens stelen van alle legitieme gebruikers die zich via het gecompromitteerde systeem authenticeren.

Assaf Morag, onderzoeker bij Flare.io, stelt in een technisch rapport dat "de tool, PamDOORa genaamd, een nieuwe PAM-gebaseerde backdoor is, ontworpen om te dienen als een post-exploitatie backdoor, die authenticatie op servers via OpenSSH mogelijk maakt." De backdoor zou persistent blijven op Linux systemen met een x86_64 architectuur.

PamDOORa is de tweede Linux backdoor die in het afgelopen jaar is ontdekt en zich richt op de PAM-stack, na "Plague". PAM is een beveiligingsframework in Unix/Linux-besturingssystemen dat systeembeheerders de mogelijkheid geeft om meerdere authenticatiemechanismen te integreren of bij te werken (bijvoorbeeld van wachtwoorden naar biometrie) in een bestaand systeem, zonder de noodzaak om bestaande applicaties te herschrijven.

Omdat PAM-modules doorgaans met rootrechten worden uitgevoerd, kan een gecompromitteerde, verkeerd geconfigureerde of kwaadaardige module aanzienlijke beveiligingsrisico's introduceren en de deur openen voor het stelen van inloggegevens en ongeautoriseerde toegang. Group-IB merkte in september 2024 op dat "ondanks de sterke punten, de modulariteit van de Pluggable Authentication Module (PAM) risico's introduceert, aangezien kwaadaardige wijzigingen aan PAM-modules backdoors kunnen creëren of gebruikers inloggegevens kunnen stelen, vooral omdat PAM geen wachtwoorden opslaat, maar waarden in platte tekst verzendt." De Singaporese beveiligingsleverancier beschreef ook hoe het mogelijk is om de PAM-configuratie voor SSH-authenticatie te manipuleren om een script uit te voeren via de pam_exec module, waardoor een aanvaller een geprivilegieerde shell op een host kan verkrijgen en stiekeme persistentie mogelijk maakt.

De meest recente bevindingen van Flare.io tonen aan dat PamDOORa, naast het stelen van inloggegevens, anti-forensische capaciteiten heeft om authenticatielogboeken methodisch te manipuleren en zo sporen van kwaadaardige activiteit te wissen. Hoewel er geen bewijs is dat de malware is gebruikt in daadwerkelijke aanvallen, zullen infectieketens die de malware verspreiden waarschijnlijk inhouden dat de aanvaller eerst roottoegang tot de host verkrijgt via andere middelen, en vervolgens de PamDOORa PAM-module implementeert om inloggegevens vast te leggen en persistente toegang via SSH te bewerkstelligen.

Morag vertelde The Hacker News dat PamDOORa is vergeleken met verschillende vergelijkbare PAM-gebaseerde backdoors, waaronder Plague. Hoewel ze een vergelijkbare aanpak delen voor het wijzigen van het PAM-gedrag om het vastleggen van inloggegevens mogelijk te maken, duiden de "kleine verschillen in het ontwerp" erop dat de backdoor geen overlap heeft met een van hen. Morag voegde eraan toe: "Maar zonder de twee binaire bestanden te vergelijken, kunnen we dit niet volledig uitsluiten."

Morag legde uit dat "PamDOORa een evolutie vertegenwoordigt ten opzichte van bestaande open-source PAM backdoors." Hij stelde dat "hoewel de individuele technieken (PAM hooks, credential capture, log tampering) goed gedocumenteerd zijn, de integratie in een samenhangend, modulair implantaat met anti-debugging, netwerkbewuste triggers en een builder pipeline het dichter bij tooling van operator-niveau plaatst dan de ruwe proof-of-concept scripts die in de meeste openbare repositories te vinden zijn."

Bron: Flare.io | Bron 2: redhat.com | Bron 3: cyberark.com

Het Internationaal Monetair Fonds (IMF) waarschuwt dat de nieuwste modellen van artificiële intelligentie (AI) cyberrisico's met zich meebrengen die het wereldwijde financiële systeem kunnen ontwrichten. Het IMF roept beleidsmakers op tot internationale samenwerking en voorbereiding op een "onvermijdelijke" inbreuk.

De waarschuwing van het IMF benadrukt de groeiende bezorgdheid dat geavanceerde AI modellen, zoals Claude Mythos van Anthropic, het wereldwijde banksysteem kunnen bedreigen door zwakheden in de cyberbeveiliging bloot te leggen. Hoge functionarissen van het IMF stelden onlangs in een blogbericht dat deze AI modellen de tijd en kosten die nodig zijn om kwetsbaarheden te identificeren en te misbruiken drastisch kunnen verminderen. Dit verhoogt de kans op het gelijktijdig ontdekken en aanvallen van zwakheden in veelgebruikte systemen. Het IMF vreest dat cyberaanvallen betalingen tussen banken en het verlenen van kredieten wereldwijd en op systeemniveau kunnen verstoren, wat het vertrouwen in het financiële systeem ernstig kan schaden.

Anthropic presenteerde vorige maand zijn nieuwste AI model, Claude Mythos, dat specifiek is getraind om kwetsbaarheden in systemen op te sporen. Het model werd niet direct publiekelijk uitgerold vanwege de vrees dat Mythos voor verkeerde doeleinden zou kunnen worden gebruikt. Het model is naar verluidt zo krachtig dat het al duizenden kwetsbaarheden heeft gevonden in bestaande bedrijfssoftware en besturingssystemen die in sommige gevallen al tientallen jaren verborgen bleven. Via Project Glasswing krijgen veertig organisaties, voornamelijk gevestigd in de Verenigde Staten, toegang tot Mythos voor het herstellen van gevonden kwetsbaarheden. Deze groep bestaat voornamelijk uit techbedrijven en banken. Een aantal van deze bedrijven verklaarde onlangs tegenover de Financial Times dat gezamenlijke actie tussen de publieke en private sector essentieel is voor de ondersteuning van sectoren als ziekenhuizen, banken en nutsbedrijven.

Echter, niet-Amerikaanse banken en financiële instellingen hebben nog geen toegang tot het nieuwe model. Hoewel Anthropic samenwerkt met de Amerikaanse overheid om overheidssystemen te beveiligen met Mythos, hebben Europese bedrijven en overheden nog geen toegang verkregen tot het krachtige AI model. Woensdag bespraken functionarissen van de Europese Commissie en het cyberagentschap ENISA de risico's van het Mythos-model voor kritieke Europese bedrijven, maar Anthropic wees een uitnodiging voor de zitting af. Dit leidt tot zorgen over ongelijke bescherming tussen de Verenigde Staten en de rest van de wereld.

Het IMF spoort beleidsmakers daarom aan om de internationale samenwerking te verbeteren, aangezien "cyberrisico zich niet aan grenzen houdt". Het fonds maakt zich vooral zorgen over groei en ontwikkelingslanden die minder middelen hebben om zich tegen de toegenomen dreiging te wapenen, waardoor zij makkelijke doelwitten kunnen zijn. Het IMF stelt dat beveiligingssystemen onvermijdelijk zullen worden doorbroken, en dat veerkracht daarom een prioriteit moet zijn, specifiek om de verspreiding van incidenten te beperken en snel herstel te garanderen. Cyberstresstests, scenario-analyses en toezicht op cyberrisico's op bestuursniveau zijn volgens het IMF onmisbaar voor de verdediging van het financiële systeem.

Bron: Internationaal Monetair Fonds (IMF)

Op een hackingforum is een nieuwe versie van de R4T Ghost Remote Access Trojan (RAT) te koop aangeboden. De malware, ontwikkeld door een actor genaamd MDGhost, wordt verkocht voor 1.530 dollar. Er zijn ook standaard abonnementen beschikbaar voor 5.555 dollar.

De R4T Ghost RAT v1.7.5 is een uitgebreide tool met diverse modules die aanvallers verregaande controle over een geïnfecteerd systeem geven. Tot de functionaliteiten behoren toegang tot het klembord, overdracht van bestanden, beheer van het register, het maken van afbeeldingen van het scherm, en toegang tot de webcam en microfoon. Daarnaast beschikt de RAT over mogelijkheden voor het loggen van toetsaanslagen en biedt het een externe shell.

Om detectie door software voor beveiliging te bemoeilijken, maakt de RAT gebruik van niet-standaard poorten, zoals poort 5555, en aangepaste binaire bestanden.

Voor verdediging tegen deze dreiging worden concrete adviezen gegeven. Organisaties wordt aangeraden poort 5555 te blokkeren. Verder is het belangrijk om te monitoren op persistente processen die worden gecreëerd via RunOnce-sleutels of geplande taken. Het aanpassen van EDR-regels is eveneens cruciaal, met name om het loggen van toetsaanslagen in combinatie met opnames van het scherm te detecteren. Tot slot is het blokkeren van uitgaande C2 verbindingen een belangrijke mitigatiemaatregel.

Bron: Darkweb monitoring

Op een cybercrimeforum is recentelijk een advertentie verschenen waarin een dreigingsactor beweert een omvangrijke database te bezitten. Deze database zou gegevens bevatten van ongeveer 300 miljoen Telegram-gebruikers. De aangeboden informatie omvat naar verluidt telefoonnummers, e-mailadressen, gebruikersnamen en volledige namen van de getroffen gebruikers.

Telegram heeft tot op heden geen officiële bevestiging gegeven van een datalek of inbreuk op hun systemen. Het is mogelijk dat de dataset die nu wordt aangeboden, een compilatie is van eerder gelekte gegevens en informatie die is verzameld via scrapingactiviteiten op het platform.

Potentieel kunnen Nederlandse en Belgische Telegram-gebruikers deel uitmaken van de geclaimde database. Beveiligingsexperts adviseren gebruikers dringend om preventieve maatregelen te nemen. Het inschakelen van tweefactorauthenticatie (2FA) voor hun Telegram account is een essentiële stap om ongeautoriseerde toegang te voorkomen. Daarnaast wordt geadviseerd om extra waakzaam te zijn en verdachte contactverzoeken of berichten van onbekende afzenders te weigeren. Dit kan helpen om phishing-pogingen en andere vormen van social engineering te dwarsbomen die voortvloeien uit dit soort datalekken.

Bron: Cybercrimeinfo

Een recente ontwikkeling in het digitale landschap baart zorgen onder gebruikers van op privacy gerichte Android besturingssystemen. Google behandelt nu standaard gedrag dat gericht is op privacy als verdacht, wat aanzienlijke gevolgen heeft voor de toegang tot websites. Gebruikers van besturingssystemen zoals GrapheneOS, CalyxOS, /e/OS en andere Android telefoons die bewust zijn ontdaan van Google services ("deGoogled"), worden nu buitengesloten van miljoenen websites.

Deze uitsluiting vindt plaats tenzij de getroffen gebruikers de exacte Google Play Services software installeren die zij juist doelbewust hebben verwijderd om hun privacy te waarborgen. Deze stap van Google creëert een dilemma voor een groeiende groep gebruikers die kiest voor alternatieve Android distributies om meer controle over hun data en privacy te behouden. Door het verwijderen van Google Play Services vermijden zij de uitgebreide dataverzameling en tracking die inherent zijn aan de standaard Google ecosystemen.

De impact van deze beleidswijziging is verreikend. Websites die afhankelijk zijn van bepaalde Google componenten of verificatiemethoden kunnen nu ontoegankelijk worden voor deze gebruikers. Dit dwingt hen om een keuze te maken tussen toegang tot een breed scala aan online diensten en het handhaven van hun privacy principes. Het effectieve gevolg is dat het voor gebruikers van deGoogled Android apparaten steeds moeilijker wordt om volledig deel te nemen aan het internet zonder de controle van Google te accepteren.

Deze situatie benadrukt de toenemende afhankelijkheid van het internet van een beperkt aantal grote technologiebedrijven en de uitdagingen voor gebruikers die proberen te ontsnappen aan hun ecosystemen. Voor cyberbeveiligingsprofessionals en privacy activisten is dit een zorgwekkende trend, omdat het de vrijheid van keuze en de mogelijkheid om digitale privacy te beschermen verder onder druk zet. De stap van Google kan worden gezien als een poging om gebruikers te dwingen binnen hun ecosysteem te blijven, zelfs als dit ten koste gaat van de privacy die alternatieve besturingssystemen juist willen bieden. De functionaliteit van de getroffen apparaten wordt hierdoor ernstig beperkt, wat de adoptie van privacyvriendelijke alternatieven verder kan bemoeilijken.

Bron: Cybercrimeinfo

Onderzoekers van HiddenLayer hebben een kwaadaardige repository op het Hugging Face platform ontdekt die zich voordeed als het "Privacy Filter"-project van OpenAI. Deze repository, die kortstondig de nummer één positie bereikte op de trendinglijst en 244.000 downloads verzamelde, verspreidde informatie stelende malware onder gebruikers van Windows systemen. Hugging Face is een platform waar ontwikkelaars en onderzoekers modellen van AI, datasets en gereedschappen voor machinaal leren (ML) delen. De kwaadaardige repository is inmiddels door het platform verwijderd na meldingen.

De campagne werd op 7 mei ontdekt door de onderzoekers van HiddenLayer, een bedrijf dat zich richt op de beveiliging van AI- en ML modellen. Zij merkten de verdachte repository op met de naam `Open-OSS/privacy-filter`. Volgens de onderzoekers was de repository een geval van typosquatting op de legitieme Privacy Filter release van OpenAI. De modelkaart was vrijwel identiek gekopieerd, maar de repository bevatte een `loader.py` Python script dat informatie stelende malware ophaalde en uitvoerde op Windows-machines.

Het `loader.py` Python script was vermomd met nep-code gerelateerd aan AI om onschadelijk te lijken. Op de achtergrond schakelde het echter de verificatie van SSL uit, decodeerde het een URL die Base64-gecodeerd was en naar een externe bron verwees, en haalde vervolgens een JSON-payload op die een PowerShell-opdracht bevatte. Deze opdracht, die in een onzichtbaar venster werd uitgevoerd, downloadde een batchbestand (`start.bat`). Dit batchbestand voerde een escalatie van privileges uit, downloadde de uiteindelijke payload genaamd 'sefirah', voegde deze toe aan de uitsluitingen van Microsoft Defender en voerde de malware uit.

De uiteindelijke payload is een infostealer op basis van Rust die gericht is op het stelen van diverse gevoelige gegevens. Dit omvat browsergegevens zoals cookies, opgeslagen wachtwoorden, encryptiesleutels, browsegeschiedenis en sessietokens van Chromium en Gecko gebaseerde browsers. Daarnaast worden Discord-tokens, lokale databases en hoofdsleutels gestolen, evenals cryptocurrency-wallets en bijbehorende browserextensies. Ook SSH, FTP en VPN referenties en configuratiebestanden, inclusief die van FileZilla, gevoelige lokale bestanden, en wallet seed phrases of sleutels zijn doelwit. De malware verzamelt ook systeeminformatie en maakt schermafbeeldingen van meerdere monitoren. De gestolen data wordt gecomprimeerd en geëxfiltreerd naar een command and control (C2)-server op `recargapopular[.]com`.

HiddenLayer benadrukt dat de malware uitgebreide analyse-ontwijkendefuncties bezit. Deze omvatten controles op de aanwezigheid van virtuele machines, sandboxes, debuggers en analysehulpmiddelen, allemaal bedoeld om analysesystemen te omzeilen. Het exacte aantal slachtoffers van dit incident is onduidelijk. De onderzoekers merkten op dat de overgrote meerderheid van de 667 accounts die de kwaadaardige repository 'liked' hadden op Hugging Face, automatisch gegenereerd leken te zijn. Bovendien kan het aantal van 244.000 downloads kunstmatig zijn opgeblazen. Door deze accounts te onderzoeken, ontdekten de onderzoekers andere repositories die gebruikmaakten van dezelfde kwaadaardige loader-infrastructuur. De onderzoekers van HiddenLayer vonden ook overlap met een npm-campagne met typosquatting die het WinOS 4.0-implantaat verspreidde.

Gebruikers die bestanden hebben gedownload van de kwaadaardige repository wordt geadviseerd om hun machine opnieuw te installeren, alle opgeslagen referenties te vernieuwen, cryptocurrency-wallets en seed phrases te vervangen en browsersessies en tokens ongeldig te maken. Eerder is Hugging Face al misbruikt om kwaadaardige modellen te hosten, ondanks de beveiligingsmaatregelen van het platform.

Bron: HiddenLayer

Op een cybercrimeforum werd een advertentie geplaatst voor een database die wordt omschreven als de "Global Investor eToro Database". Volgens de dreigingsactor die de advertentie plaatste, zou de dataset informatie bevatten over circa 2 miljoen gebruikers en investeerders van het handelsplatform eToro.

De advertentie op het forum biedt minimale technische details over de dataset en verwijst naar een extern sample voor potentiële kopers. Hoewel eToro actief is in zowel Nederland als België, zijn de beweringen over de authenticiteit van de database op dit moment onbevestigd. Ervaring leert dat dergelijke vermeldingen op cybercrime fora vaak geaggregeerde marketingdata, gerecyclede lekken van eerdere incidenten of zelfs volledig valse lijsten kunnen bevatten.

Indien de database echter authentiek blijkt, brengt dit aanzienlijke risico's met zich mee voor de getroffen gebruikers. De gelekte informatie zou misbruikt kunnen worden voor credential stuffing aanvallen, SIM swapping, gerichte phishing campagnes en social engineering. Deze methoden zijn vooral gevaarlijk voor investeerders en gebruikers van cryptocurrency, die vaak waardevolle activa beheren via platforms zoals eToro. Gebruikers in Nederland en België die eToro gebruiken, wordt geadviseerd waakzaam te zijn voor onverwachte communicatie en hun beveiligingsinstellingen te controleren.

Bron: Cybercrimeinfo

Op een cybercrimeforum is een advertentie verschenen voor een vermeende dataset, genaamd "Updated Binance Leads 2026". Een dreigingsactor claimt dat deze dataset informatie bevat van circa 2,5 miljoen gebruikers van de cryptocurrency exchange Binance. De aangeboden gegevens zouden onder meer e-mailadressen, wachtwoorden, volledige namen, telefoonnummers en landinformatie omvatten. Daarnaast worden laatste inloggegevens, 2FA-statusindicatoren, KYC statusvelden en verwijzingen naar accounttegoeden genoemd als onderdeel van de dataset.

Binance is een wereldwijd opererende cryptobeurs die ook actief is in Nederland en België, waardoor een potentieel datalek directe gevolgen kan hebben voor gebruikers in deze landen. Het is echter belangrijk te benadrukken dat de beweringen van de dreigingsactor onbevestigd zijn. De dataset kan afkomstig zijn van marketing leads, geaggregeerde openbare data, gerecyclede gegevens van eerdere lekken, of herverpakte records.

Indien de gegevens legitiem blijken te zijn, brengen ze aanzienlijke risico's met zich mee. Deze omvatten onder meer credential stuffing, waarbij aanvallers de gelekte combinaties van e-mailadressen en wachtwoorden proberen te gebruiken op andere platforms. Ook SIM swapping, phishing aanvallen specifiek gericht op cryptocurrency gebruikers, en accountovername behoren tot de potentiële gevaren. Gebruikers wordt geadviseerd waakzaam te zijn voor verdachte communicatie en sterke, unieke wachtwoorden te gebruiken.

Bron: Cybercrimeinfo

Er is recentelijk waargenomen dat de anonieme remote desktop dienst bubbl.cx wordt gepromoot op een crimineel forum. De promotie is afkomstig van een dreigingsactor bekend als 'gravem1nd', die een VIP status heeft op het desbetreffende platform. bubbl.cx profileert zichzelf als een dienst die "anoniem by design" is, specifiek gericht op gebruikers die behoefte hebben aan ontraceerbare computerinfrastructuur.

De service biedt toegang tot zowel Windows als Linux remote desktops, die direct via de browser toegankelijk zijn. Een opvallend kenmerk van bubbl.cx is de focus op anonimiteit, er is geen e-mailaanmelding vereist en betalingen worden uitsluitend geaccepteerd in cryptovaluta. Volgens de aanbieder worden bij het afsluiten van de sessie de virtuele machine, de schijf en alle bijbehorende sleutels volledig vernietigd, een proces dat zij aanduiden met 'Pop & Gone'.

De infrastructuur van bubbl.cx is verspreid over meerdere regio's, waaronder Frankfurt, New York en Sydney. De prijzen voor de dienst beginnen bij 9 dollar per maand, wat de toegankelijkheid voor een breed scala aan potentiële gebruikers vergroot. De aanwezigheid van dergelijke diensten op criminele fora benadrukt de voortdurende ontwikkeling van anonieme faciliteiten die door cybercriminelen kunnen worden ingezet voor hun operaties, variërend van phishing tot het hosten van command and control servers.

Bron: Cybercrimeinfo

Er is ontdekt dat een cybercrimineel, bekend onder de naam GOLLUM, een geavanceerde vierdelige offensieve e-mailtoolkit te koop aanbiedt op een hackingforum. De suite, genaamd 'Gollum Email Tools', is specifiek ontworpen om grootschalige phishingcampagnes en het verzamelen van inloggegevens ('credential harvesting') te ondersteunen.

De toolkit omvat verschillende gespecialiseerde hulpmiddelen. Het eerste onderdeel is software voor bulk SMTP verzending, waarmee grote hoeveelheden e-mails kunnen worden verstuurd. Daarnaast bevat de suite een contactoogster, een applicatie die is ontworpen om contactgegevens te verzamelen uit gecompromitteerde mailboxen. Een derde component is een tool voor het verwijderen van spam, wat waarschijnlijk bedoeld is om spoorloos te opereren of de effectiviteit van legitieme e-mailsystemen te omzeilen. Ten slotte maakt een landgebaseerde sorteertool het mogelijk om de verzamelde contacten geografisch te categoriseren.

De prijzen voor de 'Gollum Email Tools' variëren. Elk afzonderlijk hulpmiddel wordt aangeboden voor 75 dollar. Voor organisaties of individuen die geïnteresseerd zijn in de volledige functionaliteit, is de complete bundel verkrijgbaar voor een bedrag van 300 dollar. Deze toolkit vertegenwoordigt een georganiseerde poging om de middelen voor cybercriminaliteit verder te professionaliseren en toegankelijk te maken voor een breder publiek van potentiële aanvallers.

Bron: Cybercrimeinfo

Op het darkweb heeft een dreigingsactor, bekend onder de naam NormalLeVrai, een archief te koop aangeboden dat naar eigen zeggen 9.542 gescande paspoorten en nationale identiteitskaarten bevat. Het bestand heeft een omvang van 4,01 GB en wordt aangeboden voor $1.000. De advertentie vermeldt dat de documenten voornamelijk afkomstig zijn uit Frankrijk en Turkije, maar dat er ook documenten uit andere landen in het archief zouden zitten.

De gescande bestanden, indien authentiek, zouden gedetailleerde persoonlijke informatie omvatten. Dit betreft volledige namen, geboortedatums, officiële documentnummers, foto's van de identiteitshouders en hun handtekeningen. Dergelijke informatie kan door cybercriminelen worden misbruikt voor identiteitsfraude, het openen van frauduleuze accounts of andere illegale activiteiten.

De claims van de dreigingsactor NormalLeVrai zijn niet onafhankelijk geverifieerd. De verkoop van gestolen of gelekte identiteitsdocumenten op darkweb fora is een terugkerend fenomeen, wat het risico op identiteitsfraude voor burgers wereldwijd, inclusief in Nederland en België, verhoogt. Het blijft cruciaal voor individuen en organisaties om alert te zijn op verdachte activiteiten en hun persoonlijke gegevens zorgvuldig te beschermen.

Bron: Cybercrimeinfo

Op een ondergronds forum is een advertentie verschenen waarin een database met naar verluidt 20 miljoen contactrecords wordt aangeboden. Deze gegevens zijn gekoppeld aan meerdere Europese landen, waaronder Zwitserland, Spanje, Italië en Portugal. De advertentie werd ontdekt op het darkweb.

De dreigingsactor die de database aanbiedt, claimt dat de dataset contactgegevens op grote schaal bevat. De exacte herkomst van de data is op dit moment onbekend en de claims van de verkoper zijn nog niet onafhankelijk bevestigd. Het is tevens onduidelijk of de gegevens zijn verzameld via scraping, geaggregeerd zijn uit verschillende bronnen, of afkomstig zijn van een specifiek datalek.

Dergelijke grote databases met contactgegevens vormen een aanzienlijke dreiging in de cybercrime wereld. Ze worden op ondergrondse markten veelvuldig ingezet voor diverse kwaadaardige doeleinden, waaronder het opzetten van grootschalige phishingcampagnes, het uitvoeren van credential stuffingaanvallen waarbij gestolen inloggegevens worden getest op andere diensten, en het plegen van gerichte oplichting. De beschikbaarheid van deze data kan leiden tot een toename van cyberaanvallen gericht op Europese burgers, inclusief die in Nederland en België.

Bron: Cybercrimeinfo

Op een cybercrimeforum wordt naar verluidt een database geadverteerd die informatie van ongeveer 5 miljoen Instagram gebruikers zou bevatten. De aanbieder claimt dat de dataset e-mailadressen, voornamen en achternamen, telefoonnummers en Instagram accountnummer's omvat.

Er is momenteel geen bewijs dat de systemen van Instagram of moederbedrijf Meta direct gecompromitteerd zijn. De data zou afkomstig kunnen zijn van diverse bronnen, waaronder scrapingoperaties, eerdere datalekken of geaggregeerde marketingbestanden. De claims van de verkoper zijn tot op heden niet onafhankelijk geverifieerd. De beschikbaarheid van dergelijke gegevens op cybercrimefora vormt een potentieel risico voor de privacy en veiligheid van Instagram gebruikers, aangezien de informatie misbruikt kan worden voor phishing, spam of identiteitsfraude.

Bron: Cybercrimeinfo

Een nieuwe malware campagne richt zich op gebruikers van Macs door misbruik te maken van de populariteit van chatbots met AI, in het bijzonder die van het type Claude.ai. Deze aanvallers hebben een creatieve methode ontwikkeld om slachtoffers in de val te lokken, zo blijkt uit bevindingen van een security onderzoeker bij de Trendyol Group.

De aanval begint wanneer gebruikers via zoekmachines zoals Google zoeken naar termen als "Claude mac download". Deze zoekopdrachten kunnen leiden naar malafide websites die zich voordoen als legitieme bronnen voor een chatbot gerelateerd aan Claude.ai. Op deze sites wordt een nepversie van Claude.ai aangeboden, die zichzelf presenteert als een officiële "Claude Code on Mac" gids.

Wanneer een gebruiker instructies vraagt voor de installatie van "Claude Code" op zijn of haar Mac, ontvangt deze in plaats daarvan aanwijzingen om malware te installeren. De valse chatbot instrueert gebruikers om de Terminal te openen en daar een specifiek commando in te plakken. Dit commando is ontworpen om op de achtergrond de kwaadaardige software te downloaden en te installeren, zonder dat de gebruiker dit direct merkt.

De security onderzoeker, Berk Albayrak, publiceerde zijn bevindingen op LinkedIn. Hieropvolgend ontdekte een security website een tweede, vergelijkbare aanval die gebruikmaakte van een andere infrastructuur, maar met dezelfde doelstelling. De malware die via deze methode wordt verspreid, blijkt een variant te zijn van de MacSync macOS infostealer. Deze specifieke software is berucht om het stelen van gevoelige informatie, waaronder inloggegevens, cookies en andere data van Mac systemen, om deze vervolgens door te sturen naar de aanvallers.

Het misbruiken van nieuwe trends en populaire nieuwsverhalen is een veelvoorkomende tactiek onder cybercriminelen en phishers om gebruikers te verleiden op schadelijke links te klikken. Dat Claude.ai nu ook wordt ingezet voor dergelijke doeleinden, onderstreept de groeiende populariteit van het bedrijf met AI. Een opmerkelijk aspect van deze campagne is de mogelijkheid voor aanvallers om hun eigen chatbot die lijkt op Claude te exploiteren om gepersonaliseerde instructies aan slachtoffers te verstrekken. Dit benadrukt de noodzaak voor gebruikers om uiterst waakzaam te blijven bij het downloaden van software en het uitvoeren van commando's die van onbekende bronnen afkomstig zijn.

Bron: Datanews.be

De Google Threat Intelligence Group (GTIG) heeft een significante verschuiving waargenomen in het gebruik van kunstmatige intelligentie (AI) door adversariele groepen. In een recent rapport, dat voortbouwt op een eerdere analyse uit februari 2026, benadrukt GTIG de overgang van beginnende AI-gestuurde operaties naar de grootschalige toepassing van generatieve modellen binnen criminele workflows. AI fungeert hierbij zowel als een geavanceerde motor voor aanvalsoperaties als een waardevol doelwit voor aanvallen.

Voor het eerst heeft GTIG een dreigingsactor geïdentificeerd die een zero-day exploit gebruikte, waarvan wordt aangenomen dat deze is ontwikkeld met behulp van AI. Deze criminele actor was van plan de exploit in te zetten voor massale aanvallen, maar proactieve detectie door GTIG heeft dit mogelijk voorkomen. Ook statelijke actoren, waaronder die geassocieerd met de Volksrepubliek China en de Democratische Volksrepubliek Korea, tonen aanzienlijke interesse in het benutten van AI voor het ontdekken van kwetsbaarheden.

AI-gestuurde codering versnelt ook de ontwikkeling van infrastructuur voor aanvallers en polymorfe malware. Deze door AI ondersteunde ontwikkelcycli bevorderen het omzeilen van verdedigingsmechanismen door de creatie van obfuscatienetwerken en de integratie van door AI gegenereerde misleidende logica in malware die is gekoppeld aan vermoedelijke Russische dreigingsactoren.

Een andere zorgwekkende ontwikkeling is de opkomst van autonome malware operaties. Malware met AI-mogelijkheden, zoals PROMPTSPY, markeert een verschuiving naar autonome aanvalscoördinatie. Modellen interpreteren hierbij systeemstatussen om dynamisch commando's te genereren en slachtofferomgevingen te manipuleren. De analyse van deze malware door GTIG onthult eerder ongerapporteerde mogelijkheden en toepassingen voor de integratie ervan met AI, waardoor dreigingsactoren operationele taken kunnen delegeren aan AI voor geschaalde en adaptieve activiteiten.

Adversariele groepen blijven AI inzetten als een snelle onderzoeksassistent voor ondersteuning gedurende de aanvalslevenscyclus en bewegen naar agentic workflows om autonome aanvalsframeworks te operationaliseren. In informatie-operatiecampagnes faciliteren deze tools de fabricage van digitale consensus door het op schaal genereren van synthetische media en deepfake content, zoals te zien was bij de pro-Russische informatie-operatie "Operation Overload".

Dreigingsactoren zoeken tegenwoordig ook anonieme, premium toegang tot modellen via geprofessionaliseerde middleware en geautomatiseerde registratiepipelines om illegaal gebruikslimieten te omzeilen. Deze infrastructuur maakt grootschalig misbruik van diensten mogelijk, terwijl operaties worden gesubsidieerd door misbruik van proefperiodes en programmatische accountcycli.

Bovendien zijn aanvallers zoals "TeamPCP" (ook bekend als UNC6780) begonnen met het richten op AI-omgevingen en softwareafhankelijkheden als een initiële toegangsmethode. Deze supply chain aanvallen leiden tot verschillende typen machine learning (ML)-gerelateerde risico's, zoals beschreven in de Secure AI Framework (SAIF) taxonomie, met name Onveilige Geïntegreerde Componenten (IIC) en Kwaadwillende Acties (RA). Forensische gegevens geassocieerd met deze aanvallen tonen aan dat dreigingsactoren proberen te pivoteren van gecompromitteerde AI-software naar bredere netwerkomgevingen voor initiële toegang en om disruptieve activiteiten uit te voeren, zoals de implementatie van ransomware en afpersing.

Google deelt de bevindingen en mitigatiemaatregelen met de bredere beveiligings- en AI-gemeenschap. Daarnaast past Google proactieve maatregelen toe om deze voortdurend veranderende dreigingen voor te blijven, waaronder het verbeteren van productbeveiliging en het mitigeren van modelmisbruik voor Gemini. Ook worden AI-agenten zoals Big Sleep ingezet om softwarekwetsbaarheden te identificeren, en de redeneervermogens van Gemini via bijvoorbeeld CodeMender benut.

Bron: Google Threat Intelligence Group | Bron 2: virustotal.com

Wachtwoordresets zijn vaak de eerste reactie bij een vermoedelijke inbreuk op de beveiliging. Hoewel het een snelle manier is om een voor de hand liggend toegangspunt voor aanvallers af te sluiten, lost het het probleem niet altijd volledig op. In zowel Active Directory (AD) als hybride Entra ID-omgevingen maken wachtwoordwijzigingen de oude credentials niet onmiddellijk ongeldig voor elk authenticatiepad. Zelfs een korte periode van ongelijkheid kan aanvallers de kans bieden om toegang te behouden of opnieuw een voet aan de grond te krijgen. Dit hiaat heeft aanzienlijke gevolgen voor security architects en IT-beheerders tijdens incidentrespons.

De zogenaamde 'wachtwoordreset-kloof' ontstaat doordat Windows systemen wachtwoordhashes lokaal cachen voor offline aanmelding. Als een apparaat niet opnieuw verbinding heeft gemaakt met het domein, kan het de vorige credential nog in een bruikbare vorm bevatten. In hybride omgevingen kan er bovendien een korte vertraging zijn voordat het nieuwe wachtwoord synchroniseert met Entra ID. Dit resulteert in drie mogelijke toestanden na een wachtwoordreset:

1.  De gebruiker heeft ingelogd met de nieuwe credential terwijl verbonden met AD, waardoor de gecachete credential store wordt bijgewerkt en de oude hash ongeldig wordt.

2.  De gebruiker heeft sinds de reset niet ingelogd op een specifieke machine, waardoor de oude gecachete credential nog bruikbaar kan zijn voor bepaalde authenticatiepogingen.

3.  In hybride implementaties is het wachtwoord gereset in AD, maar is de nieuwe hash nog niet gesynchroniseerd met Entra ID, waardoor het oude wachtwoord nog kan authenticeren tijdens het synchronisatie-interval.

Volgens het Data Breach Investigation Report van Verizon waren gestolen credentials betrokken bij 44,7% van alle datalekken. Aanvallers buiten deze kloof uit met verschillende technieken. Bij gecachete credentials maken zij gebruik van methoden zoals pass-the-hash, waarbij de hash zelf wordt gebruikt in plaats van het plaintext-wachtwoord. Als deze hash vóór de reset is buitgemaakt, maakt een wachtwoordwijziging deze niet overal onmiddellijk ongeldig. Het beperken van deze blootstelling is cruciaal voor de verdediging van AD-omgevingen.

Actieve sessies vormen een ander risico. AD-authenticatie wordt voornamelijk afgehandeld via Kerberos-tickets, die een vaste geldigheidsduur hebben. Als een gebruiker of aanvaller al een geldig ticket bezit, kan deze toegang blijven houden tot resources zonder het wachtwoord opnieuw in te voeren. Dit betekent dat een aanvaller met een actieve sessie geauthenticeerd blijft, zelfs nadat het wachtwoord is gewijzigd. Tenzij sessies expliciet ongeldig worden gemaakt, bijvoorbeeld door uitloggen, opnieuw opstarten of het purgen van tickets, kan de toegang ver na de reset voortduren.

Service accounts zijn eveneens een kwetsbaar punt. Deze accounts hebben doorgaans langlopende wachtwoorden en verhoogde privileges die gekoppeld zijn aan kritieke systemen. Aanvallers kunnen deze credentials blootleggen via technieken zoals Kerberoasting of ze ontdekken bij laterale verplaatsing binnen een netwerk. Omdat deze accounts gekoppeld zijn aan draaiende services, is de kans kleiner dat ze snel worden gereset, vooral als er een risico op verstoring bestaat. Dit maakt ze een betrouwbare terugvaloptie voor aanvallers nadat een initieel toegangspunt is afgesloten.

Ten slotte kunnen aanvallers ticketaanvallen uitvoeren. In omgevingen die het Kerberos-authenticatieprotocol gebruiken, wordt toegang gecontroleerd via tickets in plaats van herhaalde wachtwoordcontroles. Als een aanvaller deze tickets kan vervalsen, hebben zij helemaal geen geldige credentials nodig. Een Golden aanval met Ticket, mogelijk gemaakt door het Kerberos Ticket Granting Ticket account te compromitteren, stelt aanvallers in staat om geldige ticket-granting tickets te creëren voor elke gebruiker in het domein. Silver Tickets zijn gerichter en verlenen toegang tot specifieke services zonder contact op te nemen met een domeincontroller. In beide gevallen omzeilen deze aanvallen effectief de noodzaak van geldige credentials.

Bron: Specops Software

De Google Threat Intelligence Group (GTIG) heeft vastgesteld dat een zero-day exploit, gericht op een populaire open-source web-administratietool, waarschijnlijk is ontwikkeld met behulp van kunstmatige intelligentie (AI). De exploit was bedoeld om de twee-factor authenticatie (2FA) van de betreffende, onbenoemde tool te omzeilen. Hoewel de aanval werd verijdeld voordat deze op grote schaal kon worden ingezet, toont het incident aan dat dreigingsactoren steeds meer vertrouwen op ondersteuning van AI voor het ontdekken en bewapenen van kwetsbaarheden.

Google baseert de hoge mate van zekerheid over het gebruik van een model van AI op de structuur en inhoud van de exploitcode in Python. Het script bevatte bijvoorbeeld talrijke educatieve docstrings, een gehallucineerde CVSS-score en een gestructureerd, 'Pythonic' formaat dat sterk kenmerkend is voor trainingsdata van grote taalmodellen (LLM's). Welk specifiek LLM voor deze kwaadaardige taak werd ingezet, is onduidelijk, maar Google sluit de betrokkenheid van Gemini uit. Verdere aanwijzingen voor het gebruik van LLM-tools bij de ontdekking van de kwetsbaarheid zijn te vinden in de aard van de fout: een semantische logica-bug op hoog niveau, waarin AI-systemen uitblinken, in plaats van geheugencorruptie of inputvalidatieproblemen die doorgaans via fuzzing of statische analyse worden opgespoord.

Google heeft de softwareontwikkelaar van de tool geïnformeerd over de aanzienlijke dreiging, wat heeft geleid tot tijdige actie om de aanval te verstoren. GTIG-onderzoekers benadrukken dat dit de eerste keer is dat zij een dreigingsactor hebben geïdentificeerd die een zero-day exploit gebruikte die vermoedelijk met AI is ontwikkeld.

Naast dit specifieke geval, merkt Google op dat Chinese en Noord-Koreaanse hackers, waaronder bekende groepen zoals APT27, APT45, UNC2814, UNC5673 en UNC6201, modellen van AI inzetten voor het ontdekken van kwetsbaarheden en de ontwikkeling van exploits. Dit bevestigt een trend die eerder in februari werd gerapporteerd. Ook actoren die gelieerd zijn aan Rusland zijn waargenomen bij het gebruik van lokcode die door AI is gegenereerd om malware zoals CANFAIL en LONGSTREAM te verhullen.

Google heeft tevens de Russische operatie met codenaam "Overload" belicht, waarbij social engineering dreigingsactoren stemkloning met AI gebruikten om zich voor te doen als echte journalisten in nepvideo's die narratieven tegen Oekraïne promootten. De PromptSpy backdoor voor Android, eerder dit jaar door ESET gedocumenteerd, wordt ook in het rapport van Google genoemd vanwege de integratie met Gemini API's voor autonome interactie met apparaten. Google ontdekte een autonome agentmodule genaamd "GeminiAutomationAgent" die een hardcoded prompt gebruikt om de malware in staat te stellen geautomatiseerd met het apparaat te communiceren. De rol van deze prompt is om een onschuldige persona toe te wijzen, zodat de veiligheidsfuncties van het LLM kunnen worden omzeild. Het doel is het berekenen van de geometrie van de gebruikersinterface, die PromptSpy vervolgens kan gebruiken om op verschillende manieren met het apparaat te interageren. Bovendien maakt de malware gebruik van mogelijkheden die gebaseerd zijn op AI om authenticatie op het apparaat, zoals een ontgrendelingspatroon of pincode, opnieuw af te spelen. Google waarschuwt dat dreigingsactoren de toegang tot premium modellen van AI nu industrialiseren door middel van geautomatiseerde accountcreatie, proxy-relais en infrastructuur voor accountpooling.

Bron: hubs.li

Een recente variant van de TrickMo Android bankier malware, die wordt verspreid in campagnes gericht op gebruikers in Europa, maakt gebruik van The Open Network (TON) voor onopvallende command and control (C2) communicatie. Deze ontwikkeling maakt de opsporing en blokkering van de kwaadaardige infrastructuur aanzienlijk lastiger.

TrickMo, een modulaire malware, werd voor het eerst gesignaleerd in september 2019 en is sindsdien continu in ontwikkeling gebleven. In oktober 2024 analyseerde Zimperium al 40 varianten van de malware, die via 16 droppers werden verspreid en communiceerden met 22 verschillende C2-infrastructuren, gericht op gevoelige gegevens van gebruikers wereldwijd.

De nieuwste variant, aangeduid als 'Trickmo.C' door ThreatFabric, wordt sinds januari waargenomen. ThreatFabric meldt dat de malware zich voordoet als TikTok of streaming apps en zich richt op bank- en cryptocurrency wallets van gebruikers in Frankrijk, Italië en Oostenrijk.

De voornaamste nieuwe functionaliteit in deze variant is de communicatie via de TON blockchain. Hierbij worden .ADNL adressen gebruikt die via een ingebouwde lokale TON proxy op het geïnfecteerde apparaat worden gerouteerd. TON is een gedecentraliseerd peer-to-peer netwerk dat oorspronkelijk is ontwikkeld rond het Telegram-ecosysteem. Het stelt apparaten in staat om via een versleuteld overlay netwerk met het web te communiceren, in plaats van via openbare internetservers. TON maakt gebruik van een 256-bit identificator in plaats van een normaal domein, wat het IP-adres en de communicatiepoort verbergt. Dit maakt de identificatie, blokkering of ontmanteling van de echte serverinfrastructuur complexer.

Volgens ThreatFabric zijn traditionele domein takedowns grotendeels ineffectief, omdat de eindpunten van de operator niet afhankelijk zijn van de openbare DNS-hiërarchie, maar bestaan als TON .ADNL identiteiten die binnen het overlay netwerk zelf worden opgelost. Netwerkdetectie aan de rand van het netwerk ziet enkel TON verkeer, dat versleuteld is en niet te onderscheiden van de uitgaande stroom van elke andere TON-compatibele applicatie.

De architectuur van TrickMo omvat een ontwerp met twee stadia: een host APK die fungeert als loader en persistentielaag, en een APK module die tijdens runtime wordt gedownload en de aanvalsfunctionaliteit implementeert. De malware is in staat om bankgegevens te stelen via phishing overlays, keylogging uit te voeren, schermopnamen te maken, live schermen te streamen, SMS-berichten te onderscheppen, OTP-meldingen te onderdrukken, het klembord te wijzigen, meldingen te filteren en screenshots vast te leggen.

De nieuwe variant voegt specifieke commando's en mogelijkheden toe, waaronder: curl, dnsLookup, ping, telnet, traceroute, SSH tunneling, remote port forwarding, local port forwarding en ondersteuning voor geauthenticeerde SOCKS5 proxy. Hoewel de onderzoekers ook het Pine runtime hooking framework hebben waargenomen, dat eerder werd gebruikt om netwerk- en Firebase-bewerkingen te onderscheppen, is dit momenteel inactief. TrickMo declareert ook uitgebreide NFC-permissies en rapporteert NFC-mogelijkheden in telemetrie, maar actieve NFC-functionaliteit is nog niet gevonden.

Android-gebruikers wordt geadviseerd om enkel software te downloaden via Google Play, het aantal geïnstalleerde apps te beperken, apps alleen van gerenommeerde uitgevers te gebruiken en ervoor te zorgen dat Play Protect te allen tijde actief is.

Bron: ThreatFabric | Bron 2: hubs.li

Onderzoekers van Cofense hebben een aanzienlijke toename waargenomen in het misbruik van het webontwikkelingsplatform Vercel door hackers om hoogwaardige phishingcampagnes te lanceren. In een rapport dat met Hackread.com werd gedeeld, legt de firma uit dat cybercriminelen nu Generatieve AI (GenAI) gebruiken om nepwebsites te bouwen die vrijwel niet te onderscheiden zijn van legitieme sites.

Volgens de onderzoekers maakt het Generatieve UI systeem van Vercel, bekend als v0.dev, het zelfs voor aanvallers met weinig technische vaardigheden mogelijk om pagina's te creëren die de uitstraling van grote merken perfect nabootsen. Dit proces is zowel snel als kosteneffectief. Waar in het verleden het bouwen van een nepsite handmatig werk vereiste, stelt GenAI nu zelfs minimaal geschoolde oplichters in staat om hoogwaardige vallen te produceren die voorheen alleen door geavanceerde groepen konden worden opgezet.

Vercel is een legitiem cloudplatform voor webontwikkelaars, maar het is eenvoudig voor hackers om toegang te krijgen, zelfs via een gratis versie of een pro versie van slechts $20 per maand. Deze accounts stellen dreigingsactoren in staat om hun pagina's online te hosten zonder dat zij zelf servers hoeven te beheren. Bij een eventuele verwijdering of inbeslagname kunnen zij bovendien snel een nieuwe pagina opzetten, aangezien de AI telkens een licht afwijkende versie genereert.

Cofense dreigingsinformatie onderzoekers legden in hun blogpost uit: "Met de hostingmogelijkheden van Vercel hoeven aanvallers niet langer hun eigen phishingwebsite te onderhouden of hun hele serverstructuur opnieuw op te bouwen als de site wordt verwijderd. Zelfs als de website die met Vercel's v0.dev is gemaakt, wordt offline gehaald, weerhoudt niets de aanvaller ervan om een gloednieuwe website te maken, gebruikmakend van de lessen die ze hebben geleerd van hun eerdere fouten."

Verder onderzoek toonde aan dat hackers deze sites ook koppelen aan Telegram. Wanneer een slachtoffer zijn gegevens invoert op een nep login scherm, stuurt een Telegram bot API die data in real-time naar de hacker. Deze geautomatiseerde implementatie interface stelt oplichters in staat hun slachtoffers te monitoren zonder dat zij complexe servers hoeven te onderhouden.

Het team van Cofense heeft diverse campagnes in hun database van Active Threat Reports (ATR) gevolgd. Enkele belangrijke bevindingen zijn onder meer: een valse wervingspagina die Nike nabootst, gecreëerd om mensen te verleiden tot het plannen van een sollicitatiegesprek via nep login schermen van Google of of Facebook (ATR 406705). Daarnaast deden scammers zich voor als wervingsmanagers van Adidas voor leidinggevende functies, waarbij zij Telegram bots gebruikten om in real-time inloggegevens te stelen (ATR 403225). Ook kopieerden hackers de exacte logo's en kleuren van Microsoft en Spotify om inloggegevens en creditcardnummers te stelen (ATR 402228 & 385870).

Onderzoekers merkten op dat omdat Generatieve AI niet de typische spelfouten maakt waarnaar men vroeger zocht, het "nieuwe normaal" voor cyberverdediging veel complexer is. Zij adviseren gebruikers om altijd het daadwerkelijke website adres (URL) te controleren en verdachte Vercel gehoste pagina's direct bij het bedrijf te melden voor verwijdering.

Bron: Cofense

Op een ondergronds forum is een nieuwe tool verschenen genaamd AIRDC, wat staat voor AI Remote Desktop Control. Deze tool wordt door de verkoper, die de alias GENERAL DARK gebruikt, aangeprezen als een autonome Windows brug. Het bijzondere aan AIRDC is het gebruik van een gespecialiseerd taalmodel, dat gewone tekstopdrachten van een aanvaller kan vertalen naar precieze hardware invoer op een Windows computer die op afstand wordt beheerd.

De functionaliteit van AIRDC wordt beschreven als een "Chat to Action engine". Dit stelt een aanvaller in staat om via een telefoon of een andere pc opdrachten te typen en live te observeren hoe de doelcomputer deze instructies uitvoert. De tool is specifiek ontworpen voor Windows systemen en beschikt over diverse geavanceerde kenmerken die gericht zijn op verborgen en persistente toegang.

Belangrijke technische aspecten van AIRDC omvatten stiekeme persistentie, gerealiseerd via Session 0 en een virtuele achtergronddesktop. Daarnaast maakt het gebruik van een Interception driver voor invoer op kernelniveau, wat diepgaande controle over het systeem mogelijk maakt. De tool integreert ook met beveiligingsanalyse programma's zoals Binary Ninja en Ghidra, die door de aanvaller kunnen worden gebruikt voor het lezen en analyseren van uitvoerbare bestanden op de gecompromitteerde machine. Voor een directe en versleutelde verbinding tussen de aanvaller en het slachtoffer, maakt AIRDC gebruik van tunneling via WireGuard en Tailscale.

De verkoper meldt dat betaling voor de tool uitsluitend in cryptovaluta dient te geschieden. Hoewel de advertentie stelt dat toestemming van de doelgebruiker vereist is, wijzen de aangeprezen kenmerken, zoals stiekeme persistentie en invoer op kernelniveau, duidelijk op een intentie voor verborgen en ongeautoriseerd gebruik. De forumpost waarin AIRDC werd aangeboden, dateert van 11 mei 2026.

Bron: Cybercrimeinfo

De notitieapplicatie Obsidian is van plan de beveiliging van zijn invoegtoepassingen te verbeteren, nadat gebruikers het slachtoffer zijn geworden van cyberaanvallen. Dit heeft de CEO van Obsidian bekendgemaakt via Hacker News. De aanval, die vorige maand werd gerapporteerd door Elastic Security Labs, richtte zich op Obsidian-gebruikers die via malafide 'kluizen' (vaults) werden geïnfecteerd met malware.

De slachtoffers, die voornamelijk actief zijn in de financiële en crypto sector, werden benaderd via LinkedIn. Na het eerste contact verplaatsten de aanvallers het gesprek naar Telegram. Daar werden de slachtoffers gevraagd om de notitieapplicatie Obsidian te gebruiken. De applicatie slaat documenten van gebruikers op in een kluis, en via de 'gedeelde kluis' optie is het mogelijk voor meerdere personen om gezamenlijk aan een document te werken.

Zodra slachtoffers Obsidian hadden geïnstalleerd en verbinding maakten met de gedeelde kluis, kregen zij de instructie om de functie 'synchronisatie van community invoegtoepassingen' in te schakelen. Wanneer deze optie is ingeschakeld en er verbinding wordt gemaakt met de kluis, wordt er automatisch een kwaadaardig script gedownload en uitgevoerd. Dit script leidt uiteindelijk tot de installatie van een remote access trojan (RAT).

Met de geïnstalleerde RAT verkrijgen de aanvallers volledige controle over het besmette systeem van het slachtoffer. De onderzoekers van Elastic Security Labs hebben vastgesteld dat er specifieke payloads zijn ontwikkeld voor zowel macOS als Windows besturingssystemen.

In reactie op de bevindingen heeft de CEO van Obsidian op Hacker News laten weten dat er binnenkort een belangrijke update zal worden uitgebracht die de beveiliging van invoegtoepassingen aanzienlijk moet verbeteren. De CEO erkende dat het een complex probleem betreft, maar benadrukte dat er hard aan een oplossing wordt gewerkt.

Bron: Elastic Security Labs

Google heeft naar eigen zeggen voor het eerst een zeroday exploit ontdekt die door een aanvaller is ontwikkeld met behulp van kunstmatige intelligentie (AI). Het ging om een exploit gericht op een kwetsbaarheid in een niet nader genoemde open source tool voor webgebaseerd systeembeheer. Deze exploit maakte het mogelijk om de authenticatie met twee factoren (2FA) te omzeilen. Voor misbruik van deze kwetsbaarheid waren echter wel geldige inloggegevens van aanvallers vereist. Na de ontdekking heeft Google de leverancier van de betreffende oplossing onmiddellijk op de hoogte gesteld.

Hoewel Google de inzet van AI bij de ontwikkeling van de exploit bevestigt, denkt het technologiebedrijf niet dat de aanvallers hiervoor specifiek Googles eigen AI model Gemini hebben gebruikt. De Google Threat Intelligence Group stelt: "Gebaseerd op de structuur en inhoud van deze exploits, zijn we er vrij zeker van dat de aanvaller waarschijnlijk een AI model heeft ingezet om deze kwetsbaarheid te ontdekken en misbruiken."

De onderzoekers wijzen hierbij op verschillende kenmerken in het exploit script. Zo troffen zij een overvloed aan 'educational docstrings' aan, wat duidt op een generatief proces. Ook werd een gehallucineerde CVSS-score gevonden, wat ongebruikelijk is voor handmatig ontwikkelde exploits en kan wijzen op een AI-generatieproces dat onjuiste of niet-bestaande informatie produceert. Daarnaast is er sprake van een gestructureerd Python format, wat kenmerkend is voor de datasets waarmee AI modellen doorgaans worden getraind, aldus Google. De onderzoekers voegen eraan toe dat de kwetsbaarheid een semantische logicafout betreft, een type probleem waarin AI modellen zeer bedreven zijn in het opsporen. Deze ontdekking onderstreept de groeiende rol van AI in de ontwikkeling van cyberaanvallen en de noodzaak voor organisaties om alert te blijven op nieuwe dreigingsmethoden.

Bron: Google

Onderzoekers van Google hebben de eerste bewijzen gevonden dat hackers kunstmatige intelligentie (AI) inzetten voor de ontwikkeling van zero-day exploits. Deze nieuwe tactiek omvat ook het creëren van autonome Android backdoors en geautomatiseerde aanvallen op de toeleveringsketen via platforms zoals GitHub en PyPI. Hoewel AI modellen al langer worden gebruikt voor het genereren van phishingpagina's en het identificeren van beveiligingslekken, toont een recent rapport van Google Threat Intelligence Group (GTIG) aan dat de technologie nu ook wordt toegepast in de ontwikkeling van geavanceerde exploits.

De GTIG-onderzoekers stuitten op een aanvalsscenario waarbij aanvallers tweefactorauthenticatie (2FA) omzeilden met behulp van een Python-script op een webgebaseerde administratie tool. Tot hun verrassing bleek dit een zero-day exploit te zijn. Hoewel er aanvankelijk vermoedens waren over het gebruik van Claude Mythos, achten de onderzoekers dit onwaarschijnlijk. De code vertoonde duidelijke tekenen van machinegeneratie, waaronder een overvloed aan educatieve 'docstrings' en zelfs een verzonnen, maar niet-bestaande, CVSS-score.

Uit verder onderzoek is gebleken dat groepen uit de Volksrepubliek China (VRC) en de Democratische Volksrepubliek Korea (DPRK), zoals APT45 en UNC2814, voorop lopen bij deze ontwikkelingen. Zij trainen hun AI modellen door gebruik te maken van tools zoals 'wooyun-legacy', een verzameling van 85.000 oude beveiligingscases, om de AI te laten denken als ervaren auditors. Grote taalmodellen (LLM's) worden ook ingezet voor het verkennen van doelwitten, bijvoorbeeld om bedrijfshiërarchieën in kaart te brengen of specifieke hardware van een doelwit te identificeren. Deze 'omgevingsprofilering' stelt aanvallers in staat om hun aanvallen verder te personaliseren.

Daarnaast is een toenemende voorkeur voor 'agentic workflows' waargenomen, waarbij tools als Hexstrike en Strix worden gebruikt om taken in meerdere fasen uit te voeren. Een actor gelieerd aan de VRC heeft deze tools bijvoorbeeld ingezet, samen met het Graphiti geheugensysteem, voor een aanval op een Japans technologiebedrijf.

Begin februari 2026 verscheen de PROMPTSPY Android backdoor, die gebruikmaakt van een 'GeminiAutomationAgent' om telefoonschermen te monitoren en knoppen aan te klikken. Eind maart 2026 viel een groep genaamd TeamPCP (ook bekend als UNC6780) de softwaretoeleveringsketen aan door kwaadaardige code te injecteren in tools zoals LiteLLM en Checkmarx. Met behulp van de SANDCLOCK credential stealer stalen zij AWS-sleutels en GitHub-tokens voor afpersing.

Tot slot merkten de onderzoekers op dat AI ook wordt ingezet bij informatieoperaties. Een pro-Russische campagne genaamd Operation Overload gebruikte AI stemklonen om journalisten te imiteren in nepvideo's. Terwijl deze tactieken zich verder ontwikkelen, zet Google tools als Big Sleep en CodeMender in om dergelijke kwetsbaarheden automatisch te detecteren en te verhelpen.

Bron: Google

Cybercrimeinfo heeft kennisgenomen van een compromittering die vandaag heeft plaatsgevonden, waarbij 42 officiële TanStack npm pakketten zijn getroffen. In totaal zijn er 84 kwaadaardige versies van deze pakketten geïdentificeerd. Deze grootschalige aanval op de software supply chain vormt een aanzienlijk risico voor ontwikkelaars en applicaties die afhankelijk zijn van deze populaire bibliotheken.

De impact van deze compromittering is potentieel zeer groot, gezien de wijdverspreide adoptie van TanStack pakketten binnen de developer community. Een van de meest gebruikte pakketten, `tanstack/react-router`, alleen al genereert meer dan 12 miljoen wekelijkse downloads. De aanwezigheid van kwaadaardige code in een dergelijk veelgebruikt component kan leiden tot ernstige beveiligingsproblemen voor talloze projecten en systemen wereldwijd, inclusief die in Nederland en België.

Details over de aard van de kwaadaardige functionaliteit of de identiteit van de aanvallers zijn momenteel niet openbaar gemaakt. Het feit dat officiële pakketten zijn aangetast, duidt echter op een geavanceerde aanval op de build- of distributieprocessen van TanStack. Ontwikkelaars die gebruikmaken van TanStack componenten wordt dringend geadviseerd om hun afhankelijkheden te controleren op de aanwezigheid van de geïdentificeerde kwaadaardige versies en, indien nodig, onmiddellijk te updaten naar veilige versies zodra deze beschikbaar zijn. De snelle detectie en publicatie van deze dreiging benadrukt het belang van voortdurende monitoring binnen de software supply chain.

Bron: TanStack | Bron 2: x.com

Op een ondergronds forum is activiteit waargenomen waarbij een dreigingsactor beweert de broncode van Claude, het AI systeem van Anthropic, te verspreiden. Volgens de beweringen van de actor zou deze broncode in maart 2026 zijn uitgelekt. Opmerkelijk is dat de dreigingsactor zelf waarschuwt dat het archief opzettelijk geïnfecteerd is en adviseert om het uitsluitend in een virtuele machine te openen.

Beveiligingsonderzoekers die de betreffende post hebben geanalyseerd, hebben echter geen enkel bewijs gevonden dat er daadwerkelijk een inbreuk heeft plaatsgevonden bij Anthropic of in de infrastructuur van Claude. De bestanden die worden aangeboden, zijn hoogstwaarschijnlijk malware in diverse vormen. Dit kan variëren van lokbestanden en valse repositories tot opnieuw verpakte open-source code, infostealer software, achterdeurtjes in archieven of malware die vermomd is als een proof-of-concept.

Deze campagne is een tactiek die misbruik maakt van de publieke nieuwsgierigheid rondom bekende AI merken zoals Anthropic. Het doel is om een breed scala aan gebruikers te infecteren, waaronder onderzoekers, andere cybercriminelen die op zoek zijn naar exploits, en onervaren gebruikers die zich niet bewust zijn van de risico's.

Om zich te beschermen tegen dergelijke dreigingen, wordt gebruikers sterk aangeraden om geen onbekende archieven buiten een beveiligde sandbox omgeving uit te voeren. Daarnaast is het essentieel om de authenticiteit van repositories zorgvuldig te verifiëren voordat deze in gebruik worden genomen, en om bestanden statisch te inspecteren alvorens ze uit te voeren.

Bron: Cybercrimeinfo

Google heeft onlangs bekendgemaakt dat onbekende dreigingsactoren een zero-day exploit hebben ingezet, vermoedelijk ontwikkeld met behulp van een systeem met kunstmatige intelligentie (AI). Dit markeert de eerste gedocumenteerde keer dat AI op deze manier is gebruikt voor het ontdekken van kwetsbaarheden en het genereren van exploits in een kwaadaardige context. De activiteiten worden toegeschreven aan cybercriminele actoren die lijken te hebben samengewerkt voor een grootschalige exploitatiecampagne.

De Google Threat Intelligence Group (GTIG) analyseerde exploits en identificeerde een zero-day kwetsbaarheid, geïmplementeerd in een Python script, die twee-factor authenticatie (2FA) kan omzeilen op een populair open-source, webgebaseerd systeembeheerprogramma. Google heeft de getroffen leverancier geholpen de kwetsbaarheid te verhelpen om de activiteit proactief te verstoren, maar de naam van het programma is niet bekendgemaakt. GTIG schat met hoge zekerheid in dat een AI model is ingezet voor de ontdekking en bewapening van deze kwetsbaarheid. Het Python script vertoonde duidelijke kenmerken van code gegenereerd door grote taalmodellen (LLM's), zoals overvloedige educatieve docstrings, een gehallucineerde CVSS-score en een gestructureerd, 'Pythonic' formaat.

De 2FA-bypass kwetsbaarheid vereist geldige gebruikersgegevens voor exploitatie en vloeit voort uit een semantische logicafout door een hardgecodeerde 'trust assumption', een type fout dat LLM's goed kunnen opsporen. Ryan Dewhurst van watchTowr bevestigde dat AI de snelheid van kwetsbaarheidsontdekking en -bewapening aanzienlijk versnelt, waardoor de tijdslijnen voor aanvallers steeds korter worden.

Naast deze zero-day exploit, fungeert AI als een 'force multiplier' voor het misbruiken van kwetsbaarheden en stelt het aanvallers in staat polymorfe malware te ontwikkelen en autonome malware-operaties uit te voeren. Een voorbeeld is PromptSpy, malware voor Android die Google Gemini misbruikt. PromptSpy analyseert het scherm en ontvangt instructies om de kwaadaardige app vast te zetten in de lijst met recente apps. Verder onderzoek toonde aan dat de malware de gebruikersinterface van Android kan navigeren, realtime gebruikersactiviteit kan monitoren en biometrische gegevens kan vastleggen om authenticatiegebaren opnieuw af te spelen. Het kan zelfs de-installatie voorkomen door een onzichtbare overlay over de "Verwijderen"-knop te plaatsen. Google heeft stappen ondernomen tegen PromptSpy door alle gerelateerde activa uit te schakelen; er zijn geen apps met de malware in de Play Store ontdekt.

Google heeft ook andere gevallen van AI-misbruik door dreigingsactoren vastgesteld. De cyberespionagegroep gelieerd aan China, genaamd UNC2814, gebruikte Gemini voor kwetsbaarheidsresearch naar embedded apparaten zoals firmware van TP-Link. De Noord-Koreaanse dreigingsactor APT45 (Andariel) zette Gemini in voor de analyse van CVE's en validatie van 'proof-of-concept' (PoC) exploits. De Chinese hackergroep APT27 benutte Gemini voor de ontwikkeling van een applicatie voor vlootbeheer voor een operationeel relaisbox (ORB) netwerk. Een cluster van Russische intrusieactiviteit viel Oekraïense organisaties aan met malware met AI-functionaliteit, CANFAIL en LONGSTREAM, die decoy-code gegenereerd door LLM's gebruiken om hun kwaadaardige functionaliteit te verbergen. Dreigingsactoren experimenteren tevens met een GitHub-repository "wooyun-legacy", een Claude code skill-plugin met duizenden gevallen van kwetsbaarheden, om AI modellen te trainen in codeanalyse en logische fouten te identificeren.

Bron: Google Threat Intelligence Group | Bron 2: github.com | Bron 3: scmp.com

Een nieuwe tool genaamd BitUnlocker onthult een praktische downgrade aanval tegen de BitLocker-encryptie van Microsoft. Deze aanval stelt aanvallers met fysieke toegang in staat om beveiligde volumes op gepatchte machines met Windows 11 binnen vijf minuten te decoderen. Dit gebeurt door misbruik te maken van een cruciale kloof tussen het patchen van kwetsbaarheden en het intrekken van certificaten.

De aanval is gebaseerd op CVE-2025-48804, een van de vier kritieke zero-day kwetsbaarheden die zijn ontdekt door Microsofts Security Testing & Offensive Research (STORM) team. Deze kwetsbaarheden werden gepatcht tijdens Patch Tuesday in juli 2025. Volgens onderzoek van Intrinsec ligt de kwetsbaarheid in de Windows Recovery Environment (WinRE) en betreft het het System Deployment Image (SDI) bestandsmechanisme. Wanneer de boot manager een legitiem WIM-bestand (Windows Imaging Format) laadt dat door een SDI wordt gerefereerd voor integriteitsverificatie, staat het tegelijkertijd toe dat een tweede, door de aanvaller gecontroleerd WIM-bestand aan de blob-tabel van de SDI wordt toegevoegd. De boot manager verifieert het eerste (legitieme) WIM, maar start in feite vanaf het tweede, dat een WinRE-image bevat dat is gewijzigd om `cmd.exe` te starten met het BitLocker-volume al gedecodeerd en gekoppeld.

Microsoft leverde in juli 2025 een gepatchte `bootmgfw.efi` binary voor alle ondersteunde systemen via Windows Update. Echter, de patch alleen sluit het aanvalsoppervlak niet. De kritieke zwakte die de BitUnlocker-aanval mogelijk maakt, is niet een ontbrekende patch, maar een niet-ingetrokken ondertekeningscertificaat. Secure Boot valideert het ondertekeningscertificaat van een binary, niet het versienummer ervan. Het verouderde Microsoft Windows PCA 2011 certificaat, dat werd gebruikt om alle boot managers te ondertekenen vóór de fix van juli 2025, blijft vertrouwd in de Secure Boot databases van vrijwel alle machines die momenteel in gebruik zijn, tenzij een verse Windows-installatie werd uitgevoerd na begin 2026. Dit betekent dat een `bootmgfw.efi` van vóór de patch, ondertekend onder PCA 2011, nog steeds als volledig geldig wordt beschouwd door Secure Boot, ondanks dat het kwetsbaar is. Massale intrekking van PCA 2011 vormt een aanzienlijke operationele uitdaging voor Microsoft, omdat het een breed scala aan legitieme ondertekende binaries in het ecosysteem zou beïnvloeden.

Voortbouwend op het oorspronkelijke STORM-onderzoek en eerder werk aan de "bitpixie" downgrade-exploit, hebben onderzoekers een werkende Proof-of-Concept (PoC) ontwikkeld die deze zwaktes combineert tot een aanval van minder dan vijf minuten. Volgens Intrinsec heeft de aanvaller alleen fysieke toegang tot de doelwerkstation, een USB-station of PXE boot server nodig, en geen gespecialiseerde hardware. De aanval verloopt als volgt: de aanvaller bereidt een gewijzigd BCD-bestand (Boot Configuration Data) voor dat verwijst naar een gemanipuleerde SDI en serveert een oude, kwetsbare, met PCA 2011 ondertekende boot manager via USB of PXE boot. De doelmachine laadt de boot manager van vóór de patch, die de Secure Boot validatie normaal doorstaat. De TPM geeft de BitLocker Volume Master Key vrij zonder waarschuwingen te activeren, omdat PCR-metingen 7 en 11 geldig blijven onder het vertrouwde PCA 2011 certificaat. Het resultaat is dat een opdrachtprompt opent met het besturingssysteemvolume volledig gedecodeerd en gekoppeld.

Systemen die BitLocker met alleen TPM uitvoeren (zonder pincode) en waarvan de Secure Boot database nog steeds PCA 2011 vertrouwt, zijn volledig kwetsbaar. Machines die zijn geconfigureerd met TPM en pincode zijn beschermd, aangezien de TPM de VMK niet zal vrijgeven zonder gebruikersinteractie tijdens pre-boot authenticatie. Systemen die de KB5025885 migratie hebben voltooid, waarbij de handtekening van de boot manager is verplaatst naar het nieuwere Windows UEFI CA 2023 certificaat, zijn ook beschermd tegen dit downgrade-pad.

Beveiligingsteams moeten onmiddellijk de volgende acties ondernemen: schakel pre-boot authenticatie met TPM en pincode in - dit is de meest effectieve controle en voorkomt dat de TPM de VMK vrijgeeft tijdens een gemanipuleerde bootsequentie. Implementeer KB5025885 - deze update voor Microsoft migreert de ondertekening van de boot manager naar CA 2023 en introduceert intrekkingscontroles die het downgrade-pad elimineren. Verifieer het certificaat van de boot manager - koppel de EFI partitie en gebruik `sigcheck` om te bevestigen dat de actieve `bootmgfw.efi` is ondertekend onder CA 2023, niet het verouderde PCA 2011. Verwijder de WinRE-herstelpartitie op workloads met hoge beveiliging waar pre-boot authenticatie niet kan worden afgedwongen, om het aanvalsoppervlak dat aan dit type exploit wordt blootgesteld te minimaliseren. De PoC is openbaar beschikbaar op GitHub, wat de urgentie voor bedrijfsbeveiligers vergroot om hun BitLocker configuraties te controleren en de CA 2023 migratie te versnellen voordat opportunistische aanvallers deze techniek in gerichte inbraken operationaliseren.

Bron: garatc | Bron 2: github.com

Checkmarx heeft gewaarschuwd dat een kwaadaardige versie van zijn Application Security Testing (AST)-plugin voor Jenkins is gepubliceerd op de Jenkins Marketplace. De aanval is opgeëist door de hackergroep TeamPCP, die eerder verantwoordelijk was voor supply chain aanvallen zoals de Shai-Hulud-campagnes op npm en de inbreuk op de Trivy kwetsbaarheidsscanner, waarbij malware die inloggegevens steelt, werd verspreid.

Jenkins is een veelgebruikte oplossing voor Continuous Integration/Continuous Deployment (CI/CD)-automatisering, gebruikt voor softwarebouw, testen, codescanning, applicatieverpakking en het uitrollen van updates naar servers. De Checkmarx AST-plugin op de Jenkins Marketplace integreert beveiligingsscanning in geautomatiseerde pipelines. Checkmarx meldde in een update: "We zijn ervan op de hoogte dat een gewijzigde versie van de Checkmarx Jenkins AST-plugin is gepubliceerd op de Jenkins Marketplace. We zijn bezig met het publiceren van een nieuwe versie van deze plug-in."

Dit is het derde incident in een reeks supply chain aanvallen waarmee het bedrijf voor applicatiebeveiligingstesten sinds eind maart te maken heeft gehad. Volgens offensief beveiligingsingenieur Adnand Khan verkreeg TeamPCP toegang tot de GitHub-repositories van Checkmarx en voorzag de Jenkins AST-plugin van een backdoor om malware te verspreiden die inloggegevens steelt. Een woordvoerder van het bedrijf bevestigde dat de dreigingsactor inloggegevens voor de repositories heeft verkregen door de Trivy supply chain aanval in maart. De hackers lieten een bericht achter in de ‘about’-sectie: "Checkmarx slaagt er opnieuw niet in om secrets te roteren. Met liefde - TeamPCP."

Als gevolg van deze toegang konden de aanvallers interageren met de GitHub-omgeving van Checkmarx en vervolgens kwaadaardige code publiceren naar bepaalde artefacten. Met behulp van inloggegevens die bij de aanval met Trivy waren gestolen, publiceerden de hackers aangepaste versies van meerdere ontwikkelaarstools op GitHub, Docker en VSCode die code bevatten die informatie steelt. De dreigingsactor behield minstens een maand toegang en publiceerde vervolgens een kwaadaardige versie van de KICS-analysetool van het bedrijf op Docker, Open VSX en VSCode, die data uit ontwikkelomgevingen verzamelde. Eind april bevestigde het bedrijf dat de LAPSUS$-dreigingsgroep data had gelekt die was gestolen uit zijn privé GitHub-repository.

Op zaterdag 9 mei werd een kwaadaardige versie (2026.5.09) van de Checkmarx Jenkins AST-plugin geüpload naar repo.jenkins-ci.org. Deze update viel buiten de officiële release-pipeline van de plugin en bevatte kwaadaardige code. De kwaadaardige plugin volgde niet de officiële datumstijl en miste een git-tag en een GitHub-release. Checkmarx adviseerde gebruikers om ervoor te zorgen dat zij versie 2.0.13-829.vc72453fa_1c16 van de plugin gebruiken, gepubliceerd op 17 december 2025, of een oudere versie.

Hoewel Checkmarx geen details heeft gedeeld over wat de kwaadaardige Jenkins-plugin precies doet op systemen, moeten degenen die de kwaadaardige versie hebben gedownload, ervan uitgaan dat hun inloggegevens zijn gecompromitteerd. Zij dienen alle secrets te roteren en te onderzoeken op laterale beweging of persistentie. Checkmarx stelt dat zijn GitHub-repositories geïsoleerd zijn van de productieomgeving van klanten en dat er geen klantgegevens in de GitHub-repository worden opgeslagen. Het bedrijf heeft een set kwaadaardige artefacten gepubliceerd die als Indicators of Compromise (IoC's) kunnen worden gebruikt.

Bron: Checkmarx | Bron 2: plugins.jenkins.io | Bron 3: hubs.li

Een beveiligingsonderzoeker heeft een proof of concept-tool genaamd GhostLock uitgebracht. Deze tool demonstreert hoe een legitieme API van Windows misbruikt kan worden om de toegang tot bestanden, zowel lokaal als op SMB-netwerkshares, te blokkeren. De techniek, ontwikkeld door Kim Dvash van Israel Aerospace Industries, maakt gebruik van de `CreateFileW`-API van Windows en specifieke modi voor bestandsdeling.

De GhostLock-techniek misbruikt specifiek de `dwShareMode`-parameter in de `CreateFileW()`-functie. Deze parameter bepaalt welk type toegang andere processen tot een bestand hebben terwijl het open is. Wanneer een bestand wordt geopend met `dwShareMode = 0`, verleent Windows het proces exclusieve toegang tot dat bestand, waardoor andere gebruikers of applicaties het niet kunnen openen. Dit kan leiden tot een `STATUS_SHARING_VIOLATION`-foutmelding wanneer geprobeerd wordt het bestand te openen.

Dvash heeft de GhostLock-tool op GitHub gepubliceerd. Deze tool automatiseert de aanval door een groot aantal bestanden op SMB-shares recursief te openen. Zolang deze bestandshandles open zijn, zullen nieuwe pogingen om toegang te krijgen tot de bestanden mislukken met zogenaamde "sharing violations". Opmerkelijk is dat de tool kan worden uitgevoerd door standaard gebruikers van een domein en geen verhoogde privileges vereist om bestanden te vergrendelen. Het effect kan verder worden versterkt als een aanvaller de aanval tegelijkertijd vanaf meerdere gecompromitteerde apparaten lanceert, waarbij continu nieuwe bestandshandles worden verkregen na beëindiging van eerdere processen.

De verstoring is echter tijdelijk. Zodra de bijbehorende SMB-sessie wordt beëindigd, de GhostLock-processen worden afgesloten, of het getroffen systeem opnieuw wordt opgestart, sluit Windows automatisch de handles en wordt de toegang tot de bestanden hersteld. Dvash heeft aangegeven dat de techniek in de eerste plaats moet worden gezien als een verstoringsaanval, vergelijkbaar met een denial of service, en niet als een destructieve aanval zoals ransomware die gegevensverlies veroorzaakt. Het primaire effect is operationele downtime.

Deze aanval kan nuttig zijn als afleidingsmanoeuvre tijdens inbraken. Aanvallers kunnen grootschalige verstoringen van bestandstoegang veroorzaken om IT-personeel te overstelpen, terwijl zij elders in de omgeving gegevensdiefstal, laterale beweging of andere kwaadaardige activiteiten uitvoeren. De onderzoeker merkt op dat veel beveiligingsproducten en gedragsdetectiesystemen zich richten op het detecteren van massale bestandschrijfbewerkingen of versleutelingsoperaties. GhostLock genereert echter een groot aantal legitieme verzoeken om bestanden te openen, waardoor de detectie minder waarschijnlijk is.

Volgens Dvash is de enige betrouwbare indicator voor deze aanval het aantal open bestanden per sessie met `ShareAccess = 0` op het niveau van de bestandsserverlaag. Deze metriek bevindt zich in beheerinterfaces van opslagplatforms, niet in Windows-gebeurtenislogboeken, EDR-telemetrie of netwerkstroomgegevens. De onderzoeker heeft SIEM-query's en een NDR-detectieregel gedeeld in de GhostLock-whitepaper, die IT-teams en verdedigers kunnen gebruiken als sjabloon voor detecties.

Bron: Kim Dvash | Bron 2: learn.microsoft.com | Bron 3: github.com

De beruchte hackergroep ShinyHunters, die recentelijk in verband werd gebracht met de grootschalige compromittering en defacement van het Canvas LMS-platform van Instructure, beweert dat haar officiële clearnet domein is opgeschort door de domeinregisterbeheerder. Dit nieuws voedt online speculaties dat de site mogelijk het doelwit is geworden na de recente aanvallen van de groep.

Het probleem kwam aan het licht op maandag 11 mei 2026, toen het publieke domein van de groep, shinyhunte.rs, plotseling offline ging. Kort daarna verspreidden geruchten zich via underground forums en sociale mediaplatforms, suggererend dat het domein mogelijk in beslag was genomen door wetshandhavingsinstanties, inclusief speculaties over mogelijke betrokkenheid van de FBI.

De timing van de storing valt kort nadat ShinyHunters de verantwoordelijkheid opeiste voor aanvallen gericht op Canvas LMS, een wereldwijd veelgebruikt leerbeheersysteem dat door universiteiten en onderwijsinstellingen wordt toegepast. Honderden universiteiten ondervonden verstoringen in hun lessen na het defacement-incident van Canvas LMS.

De aanval trof meerdere universiteiten wereldwijd, waarbij gecompromitteerde Canvas-portals een defacement-bericht toonden dat vermoedelijk door ShinyHunters was geplaatst. De pagina bevatte verklaringen over de inbreuk en dreigementen om gestolen gegevens te lekken als er niet aan losgeldeisen werd voldaan.

Ondanks de aandacht rond de clearnet website van de groep, werd het domein zelf alleen gebruikt voor aankondigingen en operationele updates. Datalekken die verband hielden met eerdere breaches van de groep, gerelateerd aan Salesforce en Anodot, werden afzonderlijk gehost op een dark web (.onion) lek dat toegankelijk was via het netwerk van Tor.

Op het moment van schrijven blijft het onion domein van de groep actief, samen met een mededeling waarin staat: "Het domein shinyhunte.rs is opgeschort, het wordt niet langer door ons beheerd en bezeten." De groep waarschuwde bezoekers ook om het opgeschorte domein in de toekomst niet te vertrouwen, bewerend dat het later door ongerelateerde actoren voor kwaadaardige activiteiten zou kunnen worden geregistreerd of hergebruikt. "Het kan in de toekomst door onbekende personen worden geclaimd voor kwaadaardig gebruik. Wij controleren shinyhunte.rs niet langer; het is opgeschort door de registerbeheerder."

ShinyHunters verklaarde verder dat alle toekomstige aankondigingen en lekactiviteiten nu uitsluitend via de op onion gebaseerde infrastructuur zullen plaatsvinden. "We zullen alleen nog via dit onion-domein opereren. Iedereen die beweert ons ergens anders te zijn, is een imitator."

Het .rs-domein is de landcode top-level domein (ccTLD) toegewezen aan Servië. De afkorting "RS" staat voor "Republika Srbija", wat "Republiek Servië" betekent. De namespace wordt beheerd door de Servische Nationale Internet Domein Registerbeheerder, algemeen bekend als RNIDS.

Hoewel domeinopschortingen niet ongebruikelijk zijn in gevallen van malwareverspreiding, phishing, ransomware of cybercriminele operaties, vereisen dergelijke acties over het algemeen misbruikklachten, ondersteunend bewijs of verzoeken van beveiligingsorganisaties, hostingproviders, CERT-teams of wetshandhavingsinstanties.

Het blijft onduidelijk of de Servische autoriteiten of de registerbeheerder zelfstandig hebben gehandeld, of dat de opschorting volgde op verzoeken of bewijsmateriaal ingediend door buitenlandse instanties die de recente activiteiten van ShinyHunters onderzoeken. In dit stadium is er ook geen openbaar bewijs dat bevestigt dat het domein officieel in beslag is genomen door de FBI of een andere wetshandhavingsinstantie.

Hoewel het verlies van een domein de operaties tijdelijk kan verstoren, herstellen cybercriminele groepen vaak snel door vervangende domeinen onder verschillende extensies te registreren of activiteiten te verplaatsen naar gedecentraliseerde infrastructuur. ShinyHunters' beslissing om clearnet operaties volledig te verlaten en uitsluitend te vertrouwen op zijn op onion gebaseerde platform, suggereert echter dat de groep voorzichtiger wordt met operationele beveiliging en blootstelling na de toegenomen publieke aandacht rond de Canvas LMS aanvallen. Bovendien maakt het voortdurende gebruik van een op Tor gebaseerde onion dienst verstoring moeilijker, omdat onion domeinen buiten het traditionele DNS-systeem opereren dat wordt beheerd door registers en ICANN-gerelateerde providers.

Bron: HackRead

RubyGems, de standaard pakketbeheerder voor de programmeertaal Ruby, heeft de registratie van nieuwe accounts tijdelijk stopgezet. Dit volgt op een "grootschalige kwaadaardige aanval" waarbij honderden malafide pakketten zijn geüpload naar het platform.

Maciej Mensfeld, senior productmanager voor de beveiliging van de software supply chain bij Mend.io, bevestigde de aanval via een bericht op X. Hij gaf aan dat de aanmeldingen voorlopig zijn gepauzeerd en dat honderden pakketten betrokken zijn, waarvan de meeste gericht waren op Mend.io, maar sommige ook exploits bevatten. Bezoekers van de aanmeldpagina van RubyGems zien nu de melding dat nieuwe accountregistratie tijdelijk is uitgeschakeld.

Mend.io, dat de beveiliging van RubyGems verzorgt, heeft aangekondigd dat het meer details zal vrijgeven zodra het incident onder controle is. Momenteel is niet bekend wie er achter de aanval zit.

Dit incident onderstreept de toenemende trend van aanvallen op de software supply chain, waarbij open-source ecosystemen het doelwit zijn. Dreigingsactoren zoals TeamPCP compromitteren veelgebruikte pakketten om malware te verspreiden die inloggegevens steelt. Deze malware is in staat gevoelige data te verzamelen en aanvallers in staat te stellen hun bereik uit te breiden.

In een rapport dat eerder deze week werd gepubliceerd, stelde Google dat gestolen inloggegevens uit getroffen omgevingen te gelde worden gemaakt via partnerschappen met ransomware en afpersingsgroepen die data stelen. De aanval op RubyGems past in dit bredere patroon van cybercriminaliteit waarbij de integriteit van softwareontwikkeling wordt ondermijnd.

Bron: Mend.io

Voor het eerst in negentien jaar heeft de bekende hackingwedstrijd Pwn2Own, georganiseerd door Trend Micro's Zero Day Initiative (ZDI), te maken met een ongekende situatie, het evenement is volgeboekt. Pwn2Own Berlijn 2026 heeft zijn maximale capaciteit bereikt, wat ertoe leidde dat de inschrijvingen op 7 mei vroegtijdig moesten worden gesloten. Dit heeft onverwachte gevolgen, aangezien afgewezen hackers nu hun ontdekte zero day kwetsbaarheden publiekelijk vrijgeven.

De driedaagse wedstrijd gaat officieel van start op 14 mei 2026 tijdens OffensiveCon. Echter, de voorbereidingen achter de schermen zijn al in volle gang en de ZDI-staf kon simpelweg niet meer aanmeldingen verwerken. De reden hiervoor is het strakke schema van de wedstrijd, waarbij elke exploitketen live getest moet worden. Dit proces vereist een team van ZDI-medewerkers die het onderzoek controleren, de exacte hardware instellen en de aanval op het podium observeren. Hierdoor is het aantal pogingen dat zij kunnen verwerken gelimiteerd. Een van de teleurgestelde experts, Ryotkak, probeerde drie weken lang zich aan te melden, maar kreeg te horen dat het evenement vol was.

Deze overbelasting wordt deels veroorzaakt doordat hackers sneller beveiligingsfouten vinden dan het organiserende bedrijf ze kan verwerken. Een belangrijke factor in deze versnelling is de opkomst van nieuwe categorieën op basis van kunstmatige intelligentie (AI). Dit jaar richten hackers zich op tools zoals Claude Code, GitHub Copilot, Cursor, Ollama en LM Studio. Een rapport van Palisade Research suggereert dat AI onderzoekers nu helpt om exploitketens te bouwen met een snelheid die traditionele wedstrijden niet kunnen evenaren.

Als reactie op hun afwijzing hebben tientallen onderzoekers nu besloten hun bevindingen gratis openbaar te maken, een trend die wordt omschreven als een "wraak openbaarmaking". De groep xchglabs had bijvoorbeeld 86 kwetsbaarheden klaarliggen voor systemen als NVIDIA, Docker, Linux KVM en PyTorch. Omdat zij niet kunnen meedingen naar de prijzenpot van $1.000.000, sturen zij hun ontdekkingen rechtstreeks naar de betrokken bedrijven en publiceren de details online. Een andere onderzoeker, ggwhyp, demonstreerde een methode om Firefox op Windows over te nemen door de browser een rekenmachine-applicatie te laten openen. FuzzingLabs had tevens een manier om in te breken in een Oracle Autonomous AI Database, welke nu ook buiten de wedstrijd zal worden gedeeld.

Dit heeft nadelige gevolgen voor de hackers die wél een plek hebben bemachtigd in Berlijn. Als een afgewezen onderzoeker vandaag een bug rapporteert, kunnen bedrijven zoals Mozilla of Anthropic deze onmiddellijk repareren met een stille patch. Indien een bedrijf de software repareert voordat de wedstrijd begint, wordt het werk van de hacker een "collision" of "n-day", wat betekent dat het geen geheim meer is. In dat geval kan de inspanning van de succesvolle deelnemers nutteloos blijken en ontvangen zij helaas geen beloning. Bovendien verdwijnt de gebruikelijke geheimhouding en hype rondom Pwn2Own nog voordat het evenement is begonnen.

Bron: Zero Day Initiative | Bron 2: palisaderesearch.org

Cybersecurityonderzoekers hebben een geavanceerde versie van de TrickMo Android bank trojan geïdentificeerd, die The Open Network (TON) inzet voor command-and-control (C2) communicatie. Deze nieuwe variant is tussen januari en februari 2026 waargenomen door het Nederlandse mobiele beveiligingsbedrijf ThreatFabric, en richt zich actief op gebruikers van bank en cryptovaluta-apps in Frankrijk, Italië en Oostenrijk.

TrickMo, sinds eind 2019 actief, is een malware voor apparaatovername (Device Takeover, DTO). Het werd aanvankelijk gemeld door CERT-Bund en IBM X-Force vanwege zijn vermogen om de toegankelijkheidsservices van Android te misbruiken voor het kapen van eenmalige wachtwoorden (OTP's). De trojan is uitgerust met uitgebreide functionaliteiten, waaronder het phishen van inloggegevens, het loggen van toetsaanslagen, het opnemen van schermen, live schermstreaming en het onderscheppen van SMS-berichten, waardoor de operator volledige afstandsbediening over het geïnfecteerde apparaat krijgt.

De nieuwste versies, aangeduid als TrickMo C, worden verspreid via phishing-websites en dropper-apps. Deze dropper-apps dienen als een kanaal voor een dynamisch geladen APK ("dex.module"), die tijdens runtime wordt opgehaald van infrastructuur die door de aanvallers wordt beheerd. Een significante architectuurverandering is het gebruik van de gedecentraliseerde TON blockchain voor stealthy C2-communicatie. TrickMo bevat een ingebouwde native TON-proxy die de host-APK bij processtart op een loopback-poort activeert. Alle uitgaande C2-verzoeken worden via deze proxy naar .adnl hostnamen geleid en opgelost via het TON overlay-netwerk, waardoor traditionele takedown en netwerkblokkeringsinspanningen minder effectief worden.

De dropper-apps vermommen zich als "adult-friendly" versies van TikTok via Facebook, terwijl de malware zelf zich voordoet als Google Play Services. Voorbeelden van de dropper-apps zijn `com.app16330.core20461` of `com.app15318.core1173`, en van de TrickMo-malware `uncle.collop416.wifekin78` of `nibong.lida531.butler836`.

In tegenstelling tot eerdere versies van "dex.module" die afstandsbediening via een socket.io-gebaseerd kanaal implementeerden, maakt de nieuwe versie gebruik van een netwerk-operatief subsysteem. Dit transformeert de malware van een traditionele bank trojan naar een instrument voor beheerde toegang. Het subsysteem ondersteunt commando's zoals `curl`, `dnslookup`, `ping`, `telnet` en `traceroute`, wat aanvallers een equivalent van een remote shell biedt voor netwerkverkenning vanuit de netwerkpositie van het slachtoffer, inclusief interne bedrijfs of thuisnetwerken waarmee het apparaat is verbonden.

Een andere cruciale functie is een SOCKS5-proxy, die het gecompromitteerde apparaat verandert in een netwerk-uitgangsknooppunt dat kwaadaardig verkeer routeert. Dit helpt bij het omzeilen van op IP gebaseerde fraudedetectiesignaturen op bank-, e-commerce en cryptovaluta-uitwisselingsdiensten. Hoewel TrickMo ook twee slapende functies bevat, namelijk het Pine hooking framework en uitgebreide NFC-gerelateerde permissies, zijn deze nog niet geïmplementeerd, wat duidt op potentiële toekomstige uitbreidingen.

Bron: ThreatFabric

In een recente Shai-Hulud supply chain campagne zijn honderden pakketten op npm en PyPI gecompromitteerd. De campagne verspreidt malware die gericht is op het stelen van inloggegevens van ontwikkelaars. De aanval, toegeschreven aan de dreigingsgroep TeamPCP, maakt gebruik van gekaapte OpenID Connect (OIDC) tokens om kwaadaardige pakketversies te publiceren met verifieerbare herkomstattestatie (SLSA Build Level 3).

De aanval begon met het compromitteren van tientallen TanStack en Mistral AI pakketten, maar breidde zich snel uit naar andere populaire projecten, waaronder Guardrails AI, UiPath en OpenSearch. De Shai-Hulud campagne is in september vorig jaar ontstaan en heeft meerdere iteraties gekend, waarbij in sommige gevallen honderdduizenden geheime gegevens van ontwikkelaars werden blootgesteld in automatisch gegenereerde GitHub-repositories. Meer recentelijk gecompromitteerde projecten omvatten de officiële SAP pakketten en andere bekende open source projecten.

De meest recente aanvalsgolf vond gisteren plaats, waarbij de dreigingsactor meerdere kwaadaardige pakketten publiceerde in de TanStack namespaces op de Node Package Manager (npm). Vervolgens verspreidde de aanval zich naar andere projecten via gestolen CI/CD-inloggegevens. Beveiligingsbedrijf StepSecurity merkt op dat de dreigingsactor de geïnfecteerde pakketten publiceerde via de legitieme CI/CD-pipeline. Deze pakketten droegen geldige SLSA herkomstattestaties, uitgegeven door de ondertekeningsinfrastructuur van npm, en waren gekoppeld aan de legitieme TanStack/router Release workflow.

Endor Labs rapporteert meer dan 160 gecompromitteerde pakketten op npm, terwijl Aikido 373 kwaadaardige pakketversies registreerde. Socket volgde 416 gecompromitteerde pakketartefacten op npm en de Python Package Index (PyPI). Volgens het post-mortem rapport van TanStack hebben de aanvallers drie kwetsbaarheden aan elkaar gekoppeld, een risicovolle workflow voor pull-requests, cache poisoning in GitHub Actions en diefstal van OIDC-tokens uit het geheugen van de runner. De aanvallers publiceerden 84 kwaadaardige versies van 42 TanStack-pakketten die geldige herkomst, geldige Sigstore-attestaties en legitieme GitHub Actions-handtekeningen hadden. Vanuit het perspectief van een ontwikkelaar leken de pakketten cryptografisch authentiek, zonder enige indicatie van een compromittering.

Endor Labs benadrukt een slimme Git commit truc waarbij aanvallers misbruik maakten van een 'orphaned commit' die naar een fork van de TanStack/router repository werd gepusht. Hierdoor werd deze toegankelijk via de gedeelde fork objectopslag van GitHub, ook al behoorde deze niet tot een specifieke branch. De commit werd via een kwaadaardige optionele afhankelijkheid aangeroepen, waardoor npm automatisch door de aanvaller gecontroleerde code ophaalde en uitvoerde tijdens de installatie van het pakket.

De malware richt zich op geheime gegevens van ontwikkelaars, waaronder GitHub Actions OIDC-tokens en PAT's, Git-inloggegevens, npm-publicatietokens, AWS Secrets Manager, IAM en ESC-taakinloggegevens, Kubernetes service account tokens en clusterinloggegevens, HashiCorp Vault tokens, SSH-sleutels, Claude Code configs, VS Code taken en .env-bestanden. StepSecurity stelt dat de payload het procesgeheugen van GitHub Actions uitleest om inloggegevens te verzamelen van meer dan 100 bestandspaden die geassocieerd zijn met cloud aanbieders, cryptocurrency tokens en berichtenapps.

Voor de exfiltratie van gevoelige informatie gebruikt de malware het Session P2P-netwerk, waardoor het verkeer eruitziet als versleuteld berichtenverkeer, wat detectie, blokkering en ontmanteling bemoeilijkt. Zodra een infectie optreedt, schrijft de malware zichzelf in Claude Code hooks en VS Code auto-run taken, wat betekent dat het de-installeren van de kwaadaardige pakketten de malware niet verwijdert. Het zelfverspreidingsmechanisme is grotendeels ongewijzigd gebleven ten opzichte van eerdere golven, het gebruikt gestolen GitHub/npm-inloggegevens, inventariseert de pakketten die gekoppeld zijn aan de gecompromitteerde beheerder, wijzigt tarballs om de payload te injecteren en publiceert vervolgens kwaadaardige versies opnieuw.

Volgens het supply chain beveiligingsplatform SafeDep, hoewel het triggermechanisme verschilt in gecompromitteerde Mistral AI en TanStack pakketten, droppen ze dezelfde payload voor het stelen van inloggegevens. Microsoft Threat Intelligence analyseerde de payload die via een kwaadaardig Mistral AI pakket op PyPI werd geleverd. De actor noemde het 'transformers.pyz', mogelijk om de open source Python bibliotheek Transformers van Hugging Face te imiteren, die wordt gebruikt voor toegang tot vooraf getrainde modellen voor natuurlijke taalverwerking. De onderzoekers zeggen dat de payload informatie-steelende malware dropt op Linux systemen.

Bron: Socket.dev | Bron 2: security.snyk.io | Bron 3: endorlabs.com

Aanvallers zijn erin geslaagd de officiële Python client van het populaire AI model Mistral te compromitteren, door deze te voorzien van een kwaadaardige backdoor. De Python Package Index (PyPI), het centrale depot waar de softwarepakketten voor Python worden gehost, heeft de besmette package in quarantaine geplaatst om verdere verspreiding van de malware te voorkomen en de integriteit van de softwarebibliotheek te waarborgen.

Volgens een analyse van Microsoft is er specifieke code geïnjecteerd in een script dat deel uitmaakt van de Python client van Mistral. Deze geïnjecteerde code heeft als functionaliteit het downloaden en uitvoeren van een 'credential stealer' op de systemen die de besmette client installeren. Een credential stealer is een type malware dat gespecialiseerd is in het detecteren, verzamelen en exfiltreren van gevoelige inloggegevens, zoals gebruikersnamen en wachtwoorden, van het geïnfecteerde systeem naar de servers van de aanvallers. De diefstal van dergelijke gegevens kan leiden tot ongeautoriseerde toegang tot accounts en netwerken, met potentieel ernstige gevolgen voor de beveiliging en privacy van gebruikers.

Microsoft heeft in reactie op deze bevindingen een reeks dringende aanbevelingen uitgegeven voor organisaties en individuen die de Python client van Mistral gebruiken. Zij adviseren om alle potentieel getroffen Linux hosts onmiddellijk in quarantaine te plaatsen om verdere verspreiding van de malware binnen het netwerk te isoleren. Daarnaast wordt geadviseerd om het specifieke IP-adres van waaruit de credential stealer wordt gedownload, te blokkeren op netwerkniveau. Continue monitoring op de aanwezigheid van de malafide scripts is eveneens cruciaal. Tot slot is het van essentieel belang om alle inloggegevens die mogelijk zijn gecompromitteerd, zo snel mogelijk te wijzigen.

De aanwezigheid van de backdoor en de aard van de supply chain aanval zijn ook bevestigd op de officiële GitHub pagina van Mistral, wat de ernst van het incident onderstreept. Hoewel details over de exacte wijze waarop de aanval op de supply chain van de Python client kon plaatsvinden nog niet openbaar zijn gemaakt, heeft securitybedrijf Wiz de verantwoordelijkheid voor deze aanval toegeschreven aan een criminele groepering genaamd TeamPCP. Deze groepering staat bekend om haar betrokkenheid bij eerdere supply chain aanvallen gericht op diverse andere grote technologiebedrijven en platforms, waaronder SAP, Checkmarx, Lightning, Intercom en Trivy. De herhaalde succesvolle aanvallen van TeamPCP op verschillende softwareleveranciers benadrukken de kwetsbaarheid van de software supply chain en de noodzaak voor robuuste beveiligingsmaatregelen binnen de ontwikkel en distributieprocessen van software.

Bron: mistralai | Bron 2: github.com

Agentic AI-systemen zijn inmiddels operationeel in productieomgevingen van veel organisaties. Deze systemen voeren taken uit, verbruiken data en ondernemen acties, veelal zonder significante betrokkenheid van het beveiligingsteam. De discussie binnen de sector richt zich vaak op beleidsmatige vragen, zoals of het gebruik toegestaan, beperkt of gemonitord moet worden. Deze benadering mist echter de kern van het probleem.

De meest urgente vraag is of beveiligingsprofessionals daadwerkelijk begrijpen met welke technologie zij te maken hebben. In de meeste organisaties is dit momenteel niet het geval, en dit kennisgat groeit wekelijks. Het fundamentele principe van informatiebeveiliging blijft onveranderd, een gedegen begrip van een technologie is essentieel voordat deze effectief kan worden verdedigd. Dit principe is eerder gebleken bij de introductie van firewalls en cloud computing, waarbij organisaties die de basisbeginselen negeerden, uiteindelijk omgevingen creëerden die zij niet konden beheren. Cloudbeveiliging is tegenwoordig een aparte discipline, juist omdat de technologie vereiste dat professionals er diepgaande kennis van ontwikkelden voordat beveiliging kon volgen.

Een vergelijkbare dynamiek speelt zich nu af met AI, maar dan in een sneller tempo en met hogere inzetten. De praktische gevolgen van achterblijven op het gebied van agentic AI reiken verder dan technische kwetsbaarheden. Beveiligingsteams die de taal van AI-engineering niet spreken, die geen ontwerpbeslissingen kunnen uitdagen, werkbare controles kunnen voorstellen of geïnformeerde vragen kunnen stellen, worden omzeild. Business units gaan zonder hen verder, niet uit kwade wil, maar omdat een beveiligingsteam dat niet inhoudelijk kan meepraten over de technologie, geen nuttige partner is voor beslissingen erover. Dit patroon is zichtbaar geweest bij elke grote technologische verschuiving in de afgelopen decennia, en AI zal hierop geen uitzondering zijn.

Het startpunt is betrokkenheid. Experimenteer met het bouwen van een agent en maak uzelf vertrouwd met de tools die ontwikkelaars al gebruiken. Deze praktische ervaring vormt de basis voor een dieper begrip, wat vervolgens alle verdere beveiligingsinspanningen mogelijk maakt.

Het landschap van agentic AI is breed en de risicoprofielen variëren aanzienlijk. Drie categorieën verdienen specifieke aandacht:

De eerste categorie omvat **algemene agenten voor coderen en productiviteit**, zoals Claude Code en GitHub Copilot. Deze zijn al geïntegreerd in de workflows van ontwikkelaars en engineers. Basiskennis over welke data ze kunnen benaderen, hoe ze interageren met codebases en welke acties ze kunnen uitvoeren, is essentieel.

De tweede categorie bestaat uit **door leveranciers ontwikkelde agenten die gebruikmaken van het Model Context Protocol (MCP)**. MCP is de integratielaag die agenten in staat stelt verbinding te maken met externe diensten en namens deze diensten te handelen. Dit betekent dat een agent die de agenda, e-mail of het interne ticketsysteem van een gebruiker beheert, input van deze kanalen kan ontvangen en hierop kan reageren. Een kwaadaardige agenda-uitnodiging met verborgen instructies in de beschrijving is een reële aanvalsvector, de agent leest deze, interpreteert de ingebedde prompt en voert deze uit. Dit is een actief aanvalsoppervlak dat doelbewuste configuratie en beveiligingsbeoordeling vereist.

De derde categorie betreft **aangepaste agenten die door individuele gebruikers worden gebouwd**. De traditionele barrière tussen beveiligingsprofessionals die risico's begrijpen en de code die in hun omgevingen draait, is verdwenen. Met agentic AI kan iedereen binnen de organisatie functionele tools bouwen, automatiseringen, workflows, agenten met echte systeemtoegang, zonder traditionele code te schrijven. Hoewel dit waardevol kan zijn voor beveiligingsteams bij incidentonderzoek of dreigingsjacht, geldt dezelfde mogelijkheid voor elk ander team. Marketing, financiën, operations; iedereen kan nu agenten bouwen. Velen zullen dit doen, en de meeste van deze agenten zullen niet door een beveiligingsbeoordeling gaan voordat ze live gaan. Dit is een supplychainprobleem in een andere vorm.

Wanneer beveiligingsteams achterblijven bij een grote technologische verschuiving, is het patroon consistent, de rest van de organisatie gaat verder zonder input van beveiliging, en de blootstelling aan risico's neemt exponentieel toe. Krachtigere agenten vereisen bredere toegang tot kalenders, communicatieplatforms, bestandssystemen, coderepositories en interne API's. Deze brede toegang maakt het impactgebied significant wanneer er iets misgaat. Een agent met toegang tot zowel een terminal als een e-mailinbox kan via het ene kanaal worden gemanipuleerd om in het andere te handelen. Dit is een lateraal bewegingspad waar aanvallers naar zullen zoeken. Inzicht hierin vereist begrip van de architectuur van de agent, wat alleen mogelijk is door daadwerkelijke betrokkenheid bij de technologie.

Het opbouwen van competentie in de beveiliging van agentic AI vereist twee lagen van kennis, een grondig begrip van hoe AI-toepassingen architectonisch zijn opgebouwd vanuit het perspectief van een practitioner, en inzicht in hoe agenten inputs verbruiken, tools aan elkaar koppelen en outputs produceren, inclusief de implicaties voor toegangsbeheer bij MCP-gekoppelde agenten.

Bron: Agentic AI

Microsoft Incident Response heeft een geavanceerde inbraak onderzocht die bestaande, vertrouwde operationele relaties en authenticatieprocessen misbruikte om duurzame toegang te verkrijgen. Deze campagne, die zich richtte op langdurige toegang, diefstal van inloggegevens en het opzetten van een persistente toegang, gebruikte een gecompromitteerde externe IT-dienstverlener en legitieme IT-beheertools. De aanval viel niet op door het gebruik van traditionele exploits, duidelijke malware of aangepaste tools, maar door het benutten van systemen die organisaties al vertrouwen binnen hun omgeving.

De methode stelde de dreigingsactor in staat om naadloos op te gaan in routinematige operaties en onopgemerkt te blijven. Er was geen sprake van een kwetsbaarheid in de gebruikte tools zelf, maar van misbruik van de gedelegeerde beheerrechten. De HPE Operations Agent (OA), een goedgekeurde en ondertekende tool voor enterprisebeheer die vaak wordt gebruikt voor monitoring en administratieve automatisering, diende als primair leveringsmechanisme. Omdat het beheer van dit operationele platform was uitbesteed aan een externe IT-dienstverlener, werd de vertrouwensgrens uitgebreid, wat een ingang bood voor de aanvallers.

Door via het HPE OA-framework te opereren, voerde de dreigingsactor scripts en binaire bestanden uit op een manier die niet te onderscheiden was van normale operaties, waardoor de kwaadaardige activiteit opging in het verwachte gedrag en de detectie werd vertraagd. Deze techniek sluit aan bij MITRE ATT&CK T1199, Trusted Relationship, waarbij dreigingsactoren gevestigde vertrouwensrelaties uitbuiten om toegang uit te breiden zonder afhankelijk te zijn van exploit-gedreven technieken.

De intrusie kende verschillende fases. Eerst verkreeg de dreigingsactor initiële toegang tot de omgeving door de externe IT-dienstverlener te compromitteren. Vervolgens werden mogelijkheden voor het onderscheppen van inloggegevens geïntroduceerd op de domeininfrastructuur, waardoor de actor referenties kon oogsten en hergebruiken om de toegang over verschillende apparaten uit te breiden. Persistente toegang werd gevestigd op servers die via internet bereikbaar waren (WEB-01 en WEB-02), waardoor de dreigingsactor herhaaldelijke toegang kon behouden, zelfs als individuele artefacten werden verwijderd. Op deze servers werd de webshell "Errors.aspx" gevonden.

Vervolgens bewoog de dreigingsactor lateraal door het netwerk, inclusief naar zeer gevoelige activa, door misbruik te maken van geoogste inloggegevens en verborgen connectiviteit. De diefstal van inloggegevens werd verder uitgebreid op domeincontrollers, zoals DC01, om continue toegang te garanderen tijdens authenticatie en wachtwoordwijzigingsevenementen. Na de initiële detectie keerde de dreigingsactor terug naar eerder gevestigde toegangspunten om persistentie opnieuw in te schakelen en aanvullende tools te implementeren.

De onderzoekers van Microsoft Incident Response identificeerden via Microsoft Threat Intelligence een werkstation dat communiceerde met een bekend kwaadaardig domein. Dit leidde tot de ontdekking van een uitvoeringspad waarbij VBScripts (abc003.vbs) werden geïmplementeerd via HPE Operations Manager (HPOM). HPOM, de centrale beheerconsole van het gedistribueerde IT-infrastructuurmonitoringplatform, werd door de externe dienstverlener beheerd. De dreigingsactor, die HPOM bediende, voerde de VBScripts uit op meerdere servers en een domeincontroller. Bovendien werd een legitieme netwerkprovider genaamd "mslogon" geregistreerd op de domeincontroller DC01 via HPE OA om het authenticatieproces te kapen.

Bron: Microsoft

Cyble Research and Intelligence Labs (CRIL) heeft een nieuwe Python-spywarecampagne ontdekt, genaamd 'Operation HumanitarianBait', die zich richt op Russischtaligen. De aanvallers misbruiken documenten die bedoeld zijn voor humanitaire hulp om systemen te infecteren met geavanceerde bewakingssoftware. Deze methode maakt slim gebruik van vertrouwde webdiensten om de aanwezigheid van de spyware te verbergen.

De campagne is in mei 2026 actief geworden en begint met phishing-e-mails die een RAR-archief bevatten. In dit archief bevindt zich een kwaadaardig LNK-bestand (SHA-256: 8a100cbdf79231e70cee2364ebd9a4433fda6b4de4929d705f26f7b68d6aeb79). Dit is geen standaard snelkoppeling; het bevat verborgen code die door PowerShell in het geheugen wordt uitgevoerd. Deze anti-sandbox-techniek zorgt ervoor dat de malware inactief blijft tijdens tests door geautomatiseerde beveiligingsscanners, waardoor deze als 'schoon' wordt gezien.

Om argwaan bij het slachtoffer te voorkomen, opent de malware een PDF-lokvogel met de titel "O predostavlenii gumanitarnoy pomoshchi" (Nederlands: "Betreffende de verstrekking van humanitaire hulp"). Terwijl het slachtoffer dit formulier controleert, dat wordt opgehaald van de Command and Control (C2)-server op IP-adres 159.198.41.140, vindt de eigenlijke infectie op de achtergrond plaats.

Technisch gezien maakt de aanval gebruik van een bestandsloze (PE-loze) Python-architectuur. De aanvallers hosten hun payload op GitHub Releases, waardoor kwaadaardig verkeer zich kan mengen met legitieme software-updates. De malware creëert een zelfstandige omgeving in de map %appdata%\WindowsHelper en maakt gebruik van PyArmor v9.2 Pro voor code-obfuscatie, wat de analyse door beveiligingssoftware bemoeilijkt.

De belangrijkste payload, module.pyw, functioneert als een volwaardig bewakingsplatform met uitgebreide mogelijkheden. Het steelt wachtwoorden en sessiecookies van op Chromium gebaseerde browsers, waaronder Chrome, Edge, Brave, Opera en Yandex, evenals Firefox, met behulp van AES-GCM-decryptie. Verder richt het zich op Telegram-sessiedata en scant het gebruikersmappen op private sleutels voor cryptovaluta. Voor actieve monitoring gebruikt het de 'keyboard'-bibliotheek om toetsaanslagen te loggen en de 'mss'-bibliotheek om continu schermafbeeldingen te maken. De spyware kan zelfs stilletjes RustDesk of AnyDesk installeren om aanvallers interactieve toegang op afstand te verschaffen.

Aanvallers zorgen voor langdurige toegang door een Windows Geplande Taak te registreren, genaamd 'WindowsHelper'. Deze voert VBScript-launchers (run.vbs en launch_module.vbs) uit om de malware opnieuw te starten wanneer het systeem herstart. De C2-infrastructuur wordt gehost door Namecheap en maakt gebruik van een Flask-backend om de gestolen data te beheren. Hoewel Cyble de specifieke groep achter de campagne niet officieel heeft benoemd, suggereren de Russischtalige lokmiddelen en humanitaire thema's dat de doelwitten Russischtaligen of overheidsinstanties zijn. Het feit dat de aanvallers de data.zip-bestanden op GitHub regelmatig bijwerken, duidt erop dat dit een evoluerende dreiging is.

De 'Operation HumanitarianBait'-campagne toont aan hoe hedendaagse cyberaanvallen moeilijker te detecteren zijn door de combinatie van social engineering, vertrouwde platforms en een op stealth gericht malware-ontwerp. Door kwaadaardige bestanden te vermommen als humanitaire hulpdocumenten en payloads te verbergen binnen legitieme diensten zoals GitHub Releases, hebben de aanvallers een operatie gecreëerd die in staat is tot langdurige bewaking en diefstal van inloggegevens, terwijl veel traditionele beveiligingscontroles worden omzeild.

Bron: Cyble

De Amerikaanse Huizencommissie voor Binnenlandse Veiligheid heeft topfunctionarissen van Instructure opgeroepen om te getuigen over twee recente cyberaanvallen. Deze aanvallen, uitgevoerd door de ShinyHunters afpersingsgroep, waren gericht op het Canvas leerbeheersysteem van het bedrijf. De incidenten resulteerden in de diefstal van studentendata en verstoringen van onderwijsinstellingen, met name tijdens de examenperiode.

In een brief aan Instructure CEO Steve Daly verklaarde voorzitter Andrew R. Garbarino dat de commissie onderzoek doet naar de omvangrijke inbraak bij Instructure, die miljoenen studenten treft. De commissie uit zorgen over de cyberbeveiligingsincidenten die Instructure Holdings, Inc. en de tientallen miljoenen gebruikers van het Canvas platform hebben getroffen. Binnen één week werd Instructure tweemaal gecompromitteerd door de cybercriminele groep ShinyHunters.

Instructure maakte op 3 mei bekend dat het slachtoffer was geworden van een datalek. Het bedrijf bevestigde de inbraak op 29 april te hebben gedetecteerd, nadat dreigingsactoren de systemen hadden gecompromitteerd en data hadden gestolen van studenten en schoolpersoneel die Canvas gebruiken. De blootgestelde informatie omvatte namen, e-mailadressen, studentidentificatienummers en berichten die tussen studenten en docenten op het platform werden uitgewisseld. Wachtwoorden, financiële informatie of overheidsidentificatienummers waren echter niet onderdeel van het datalek.

Op 3 mei eiste de ShinyHunters afpersingsbende de verantwoordelijkheid op voor de aanval. De groep beweerde 280 miljoen datarecords te hebben gestolen van 8.809 hogescholen, schooldistricten en online onderwijsplatforms. De dreigingsactor deelde een lijst van getroffen onderwijsorganisaties, met gestolen recordaantallen variërend van tienduizenden tot enkele miljoenen per instelling.

De ShinyHunters groep voerde een tweede aanval uit waarbij Canvas login portals van scholen en universiteiten in de Verenigde Staten werden onleesbaar gemaakt. Hierbij werden afpersingsberichten getoond waarin van Instructure werd geëist om met de groep te onderhandelen. Deze verstoring trof instellingen in meerdere staten tijdens eindexamens en eindejaarsactiviteiten, waardoor sommige hogescholen gedwongen werden examens te annuleren. Later bleek dat de dreigingsactoren meerdere cross-site scripting (XSS) kwetsbaarheden hadden misbruikt om geauthenticeerde beheerdersessies te verkrijgen en de loginportaalpagina's te wijzigen. Scholen in Californië, Florida, Georgia, Oklahoma, Oregon, Nevada, North Carolina, Tennessee, Utah, Virginia en Wisconsin meldden verstoringen als gevolg van het incident.

De commissie verwees ook naar berichten van de aanvallers die beweerden Instructure opnieuw te hebben aangevallen omdat het bedrijf weigerde met de groep te onderhandelen. Kort nadat ShinyHunters Instructure van zijn dataleksite verwijderde, maakte het bedrijf bekend dat het een overeenkomst had bereikt met ShinyHunters om de openbare datalek te stoppen en ervoor te zorgen dat de gestolen data werd verwijderd. Hoewel het bedrijf niet expliciet verklaarde dat het losgeld had betaald, stoppen afpersingsgroepen zelden met dataleks of verwijderen zij gestolen data zonder een vorm van betaling of overeenkomst. ShinyHunters heeft de dataleksite bijgewerkt met een verklaring dat de data is vernietigd en dat scholen geen onafhankelijk contact hoeven op te nemen om te onderhandelen.

De Huizencommissie voor Binnenlandse Veiligheid stelt dat de herhaalde compromitteringen "ernstige vragen" oproepen over de incidentrespons van het bedrijf en zijn verplichtingen om de opgeslagen data adequaat te beschermen. De commissie verzoekt Instructure of een senior vertegenwoordiger om uiterlijk 21 mei deel te nemen aan een briefing om beide inbraken, de gestolen data, de beheersings en meldingsinspanningen en de coördinatie met federale instanties te bespreken.

Bron: U.S. House Committee on Homeland Security | Bron 2: homeland.house.gov

Dark Web Informer heeft recent waarnemingen gedaan op het dark web die duiden op een evoluerend dreigingslandschap. Onder deze waarnemingen valt de verschijning van nieuwe tools van bekende dreigingsactoren en de actieve handel in een aanzienlijke hoeveelheid gestolen inloggegevens.

Een dreigingsactor, bekend onder de naam 'Nightmare-Eclipse', heeft twee nieuwe GitHub repositories uitgebracht. Deze actor wordt geïdentificeerd als dezelfde entiteit achter de eerder bekende groepen 'RedSun', 'UnDefend' en 'BlueHammer'. De introductie van nieuwe opslagplaatsen duidt op een voortdurende ontwikkeling van hulpmiddelen die mogelijk worden ingezet voor toekomstige cyberaanvallen. Het open sourcen van deze repositories kan leiden tot een bredere adoptie en aanpassing van hun technieken door andere cybercriminelen.

Gelijktijdig is er een andere ontwikkeling in de vorm van 'Shai-Hulud', dat door 'TeamPCP' open source is gemaakt. Ook dit wijst op een dynamische omgeving waarin tools en technieken continu worden gedeeld en geüpdatet binnen de cybercriminele gemeenschap. De aard van deze tools is niet nader gespecificeerd in de waarnemingen, maar de associatie met bekende groepen en het open source karakter benadrukken het belang van alertheid.

Naast de ontwikkeling van nieuwe aanvalsmiddelen, blijft de handel in gestolen data een prominent onderdeel van het dark web. Dark Web Informer heeft de verkoop vastgesteld van een omvangrijke collectie zogenaamde 'stealer logs'. Deze collectie, aangeboden door een niet nader gespecificeerde dreigingsactor, beslaat maar liefst 988.7 GB aan data, verdeeld over meer dan 10.080 bestanden. De gegevens zijn gestructureerd in het formaat 'URL:Login:Password', wat betekent dat ze direct bruikbaar zijn voor het overnemen van online accounts. Het volume en de gedetailleerde aard van deze logs vormen een significant risico voor gebruikers wereldwijd, inclusief die in Nederland en België, aangezien gecompromitteerde inloggegevens kunnen leiden tot identiteitsdiefstal, financiële fraude en verdere inbreuken.

Deze waarnemingen onderstrepen de noodzaak voor organisaties en individuen om proactieve maatregelen te nemen ter bescherming tegen cyberdreigingen. Het blijft essentieel om sterke, unieke wachtwoorden te gebruiken en meervoudige authenticatie in te schakelen voor alle online diensten.

Bron: Darkweb

Cybercrimeinfo heeft op een ondergronds forum een advertentie ontdekt voor de verkoop van een vermeende lokale privilege escalation (LPE) exploit die meerdere grote Linux distributies zou treffen. Een dreigingsacteur claimt deze exploit exclusief aan te bieden voor ongeveer 170.000 dollar.

Volgens de advertentie is de exploit gebaseerd op een Time-of-Check to Time-of-Use (TOCTOU) kwetsbaarheid. Deze maakt gebruik van een gedeeld object dat in de tijdelijke map `/tmp` wordt geplaatst om privileges te escaleren. De verkoper beweert dat de exploit succesvol werkt op een breed scala aan populaire Linux systemen, waaronder RHEL 10, CentOS Stream 10, Rocky Linux 10 en AlmaLinux 10. Ook Ubuntu versies 22.04, 24.04 en 25.04, Debian 13, Fedora 41 en 42, openSUSE Tumbleweed en Arch Linux zouden kwetsbaar zijn.

Op dit moment is er geen Common Vulnerabilities and Exposures (CVE) identificatienummer toegewezen aan deze vermeende kwetsbaarheid. Er is evenmin onafhankelijke technische verificatie van de exploit of een officiële waarschuwing van een softwareleverancier gepubliceerd. De claims van de dreigingsacteur blijven daarom onbevestigd.

Beheerders van Linux systemen worden geadviseerd om waakzaam te zijn en potentiële privilege escalation pogingen actief te monitoren. Daarnaast wordt aanbevolen om ongebruikelijke uitvoering van gedeelde objecten vanuit de `/tmp` map proactief te blokkeren, om zo een mogelijke aanval via dit mechanisme te mitigeren.

Bron: Cybercrimeinfo

De Threat Intelligence Group van Google heeft de inzet van een door kunstmatige intelligentie (AI) ontwikkelde zero day exploit bevestigd. Deze exploit werd gebruikt als onderdeel van een grootschalige exploitatiecampagne die door cybercriminelen was voorbereid. Het betreft specifiek een kwetsbaarheid die een 2FA-bypass mogelijk maakt in een veelgebruikte open-source tool voor webbeheer.

Opvallend aan de exploitcode zijn de educatieve commentaarregels en niet-standaard CVSS-waarden, wat sterke aanwijzingen geeft voor de betrokkenheid van AI bij de ontwikkeling ervan. John Hultquist, analist bij Google, bevestigde de ontdekking en waarschuwde dat de race om kwetsbaarheden via AI reeds is begonnen en dat dit incident slechts het begin is.

Google heeft de operatie tijdig onderschept, waardoor massale exploitatie is voorkomen. Aanvallers maken gebruik van AI om de snelheid, schaal en verfijning van hun aanvallen aanzienlijk te vergroten. Er is reeds waargenomen dat statelijke actoren uit Noord-Korea en China AI hebben ingezet voor het opsporen van kwetsbaarheden. Dit incident onderstreept de groeiende dreiging van AI gestuurde cyberaanvallen.

Bron: Cybercrimeinfo | Bron 2: thehackernews.com

De supply chain aanval die eerder de TanStack npm-bibliotheek trof, heeft zich uitgebreid naar vijf aanvullende populaire pakketten. De aanval, die gekoppeld is aan de Mini Shai-Hulud malware, raakt nu ook OpenSearch, Mistral AI, Guardrails AI, UiPath en Squawk pakketten die beschikbaar zijn op npm en PyPI. De malware is specifiek ontworpen om ontwikkelomgevingen die kunstmatige intelligentie gebruiken te compromitteren.

Een opvallende eigenschap van deze aanval is de methode voor persistentie. De malware maakt misbruik van zowel Claude Code, via het bestand `.claude/settings.json`, als van VS Code, door aanpassingen in `.vscode/tasks.json`. Dit zorgt ervoor dat de malware opnieuw wordt uitgevoerd bij elke gebeurtenis van de tool, zelfs nadat het oorspronkelijk geïnfecteerde pakket is verwijderd. Een standaard `npm uninstall` verwijdert deze persistentie niet, wat de dreiging langdurig maakt.

De kwaadaardige commit die deze kettingreactie in gang zette, werd vervalst onder de identiteit 'claude' met het e-mailadres claude@users.noreply.github.com, waarmee de tool van Anthropic werd nagebootst. Een volledig postmortem over de TanStack-aanval is inmiddels beschikbaar en biedt diepgaande technische analyses.

Ontwikkelaars die de getroffen pakketten hebben geïnstalleerd, wordt dringend geadviseerd de bestanden `.claude/settings.json` en `.vscode/tasks.json` te controleren op onbekende of verdachte entries. Daarnaast wordt aanbevolen de systemen grondig te scannen op aanwijzingen van persistentie om verdere infectie te voorkomen.

Bron: Cybercrimeinfo

De aan Iran gelinkte hackergroep MuddyWater, ook bekend als Seedworm of Static Kitten, heeft een omvangrijke cyberespionagecampagne gelanceerd. Deze campagne richtte zich op minstens negen prominente organisaties in diverse sectoren en landen. Onder de slachtoffers bevinden zich een grote Zuid-Koreaanse elektronicaproducent, overheidsinstanties, een internationale luchthaven in het Midden-Oosten, industriële producenten in Azië en onderwijsinstellingen.

Onderzoekers van Symantec melden dat de dreigingsactor in februari 2026 een week lang aanwezig was binnen het netwerk van de Zuid-Koreaanse elektronicaproducent. Het Threat Hunter Team van Symantec vermoedt dat de aanval gericht was op het vergaren van inlichtingen, met een focus op de diefstal van industriële en intellectuele eigendommen, overheidsspionage en toegang tot downstreamklanten of bedrijfsnetwerken.

De campagne van Seedworm maakte veelvuldig gebruik van DLL sideloading, een veelvoorkomende techniek waarbij legitieme, digitaal ondertekende software kwaadaardige DLL bestanden laadt. Twee van de gebruikte binaire bestanden waren 'fmapp.exe', een legitiem audiohulpprogramma van Foremedia, en 'sentinelmemoryscanner.exe', een legitiem onderdeel van SentinelOne. De kwaadaardige DLL bestanden (fmapp.dll en sentinelagentcore.dll) bevatten ChromElevator, een commerciële post-exploitatietool die gegevens steelt uit Chrome-gebaseerde browsers.

Symantec constateerde ook dat PowerShell, dat al in eerdere aanvallen met Seedworm werd ingezet, nog steeds intensief werd gebruikt in de recente incidenten. De payloads werden echter niet direct, maar via Node.js-loaders gecontroleerd. PowerShell werd ingezet voor het maken van schermafbeeldingen, het uitvoeren van netwerkverkenning, het downloaden van aanvullende payloads, het creëren van persistentie, het stelen van inloggegevens en het opzetten van SOCKS5-tunnels.

De aanval op de Zuid-Koreaanse firma duurde volgens Symantec's observaties van 20 tot 27 februari. De onderzoekers hebben de naam van de getroffen organisatie niet openbaar gemaakt. In de eerste fase voerde Seedworm host en domeinverkenning uit, gevolgd door antivirus-enumeratie via WMI, het vastleggen van schermafbeeldingen en het downloaden van aanvullende malware. Het stelen van inloggegevens vond plaats via nep-Windows-prompts, diefstal van registerhives (SAM/SECURITY/SYSTEM) en tools voor misbruik van Kerberos-tickets. Persistentie werd gevestigd door registerwijzigingen, beaconing vond plaats met intervallen van 90 seconden, en sideloaded binaire bestanden werden herhaaldelijk opnieuw gestart om de toegang te behouden. Dit patroon is consistent met implant-gedreven activiteit in plaats van continue aanwezigheid van een operator.

De aanvallers maakten gebruik van sendit.sh, een openbare bestandsuitwisselingsdienst, voor gegevensexfiltratie. Dit diende waarschijnlijk om de kwaadaardige activiteit te verhullen en deze te laten lijken op normaal netwerkverkeer. Over het geheel genomen acht Symantec de meest recente campagne van Seedworm opmerkelijk vanwege de geografische expansie van de dreigingsactoren, hun operationele volwassenheid en het misbruik van legitieme tools en diensten, wat duidt op een verschuiving naar minder opvallende aanvallen.

Bron: Symantec | Bron 2: github.com | Bron 3: security.com

Instructure, het bedrijf achter het leerplatform Canvas, heeft een overeenkomst gesloten met de cybercriminele groep ShinyHunters. Eerder deze maand had ShinyHunters 275 miljoen studentengegevens gestolen en dreigde deze privé-informatie van studenten en docenten openbaar te maken als er niet vóór 12 mei 2026 zou worden betaald.

Instructure maakte het nieuws bekend op haar website in een update van 11 mei 2026. Het bedrijf bevestigde dat het een akkoord had bereikt met de hackers om de gestolen data niet te lekken. De gestolen gegevens zijn naar verluidt geretourneerd, inclusief digitaal bewijs, zogenaamde 'shred logs', die aantonen dat de kopieën van de hackers permanent zijn vernietigd. Instructure heeft niet bekendgemaakt of, en zo ja hoeveel, losgeld er is betaald. Het bedrijf gaf aan dat deze stap is genomen om de getroffen families gemoedsrust te bieden.

Volgens Instructure hoeven scholen en universiteiten niet zelf met de hackers te communiceren, aangezien deze ene overeenkomst alle betrokken instellingen dekt. Het bedrijf stelde ook dat geen van haar klanten door deze groep gechanteerd of om geld gevraagd zal worden.

De aanval begon op 30 april 2026, toen ShinyHunters een kwetsbaarheid misbruikte in de "Free for Teacher"-accounts, specifiek in de manier waarop het systeem ondersteuningstickets verwerkt. Hierdoor kregen de aanvallers toegang tot de interne netwerken en stalen ze ongeveer 3,65 terabytes aan data. Op 7 mei voerde de groep een tweede aanval uit door de loginpagina's van ongeveer 330 scholen te bewerken met een losgeldboodschap. Dit dwong Instructure om enkele diensten, waaronder Canvas Data 2 en Canvas Beta, tijdelijk uit te schakelen, wat problemen veroorzaakte voor schoolapplicaties die afhankelijk zijn van digitale koppelingen genaamd API-sleutels. Tijdens deze tweede aanval zagen studenten van honderden instituten wereldwijd, waaronder de Universiteit van Colorado en Virginia Tech, hun schermen vervangen door berichten van de hackers. Veel studenten konden hierdoor niet bij hun tentamens of opdrachten, wat veel stress veroorzaakte.

De gestolen data omvatte gevoelige details zoals namen, e-mailadressen, student-ID-nummers en cursusdetails. Het meest zorgwekkend was dat miljarden privéberichten tussen docenten en studenten waren buitgemaakt.

Hoewel ShinyHunters de ontvangst van een betaling van Instructure niet publiekelijk heeft bevestigd, heeft de groep wel verklaard dat gegevens met betrekking tot Canvas niet zullen worden gelekt. De aanvallers refereerden aan het incident als "de recente situatie bij het LMS-bedrijf" en zeiden dat ze geen verdere betalingen zochten en dat de gestolen gegevens waren verwijderd. "We hebben niets toe te voegen of te zeggen over de recente situatie bij het LMS-bedrijf. Als u een getroffen instelling bent, zoeken we uw geld niet. Stop alstublieft alle pogingen om contact met ons op te nemen; de zaak is opgelost. Het bedrijf en zijn klanten zullen niet verder worden aangevallen of gecontacteerd voor betaling. De data bestaat niet meer," aldus ShinyHunters.

Steve Daly, hoofd van Instructure, heeft zijn excuses aangeboden voor de veroorzaakte stress. Hij bevestigde dat kerngegevens zoals cijfers en ingeleverd schoolwerk niet zijn gestolen en dat de "Free for Teacher"-accounts inmiddels zijn uitgeschakeld terwijl de beveiligingsproblemen worden verholpen. Het bedrijf stelt dat Canvas weer normaal functioneert en veilig te gebruiken is. Daly voegde toe: "Canvas by Instructure is volledig operationeel en blijft veilig te gebruiken. Kernleergegevens zijn niet gecompromitteerd. We zullen duidelijke richtlijnen geven als er actie van uw kant nodig is. Op dit moment hoeft u niets te doen."

Ondanks de overeenkomst dienen studenten voorzichtig te blijven, aangezien digitale data niet perfect kan worden teruggeroepen en hackers mogelijk verborgen kopieën hebben gemaakt voordat ze de originelen verwijderden. Deze gegevens kunnen gemakkelijk worden gebruikt om realistische phishing-e-mails te versturen om mensen te misleiden. Het bedrijf onderzoekt het incident nog verder.

Bron: Instructure

Een onbekend Azerbeidzjaans olie en gasbedrijf is tussen eind december 2025 en eind februari 2026 het doelwit geweest van een "multi-wave intrusie", toegeschreven aan een dreigingsactor met banden met China. Beveiligingsonderzoeker Bitdefender heeft deze activiteit met een matig tot hoog vertrouwen toegeschreven aan de hackgroep FamousSparrow, ook bekend als UAT-9244. Deze groep vertoont tactische overeenkomsten met clusters die worden gevolgd onder de namen Earth Estries en Salt Typhoon.

Deze aanval, die de bekende slachtoffers van FamousSparrow uitbreidt naar een nieuwe regio, maakte de weg vrij voor de inzet van twee verschillende backdoors in drie afzonderlijke golven. Het betreft Deed RAT (ook wel Snappybee genoemd), een opvolger van ShadowPad die wordt gebruikt door meerdere espionagegroepen gelieerd aan China, en TernDoor, welke recentelijk in 2024 werd ontdekt bij aanvallen op telecommunicatie infrastructuur in Zuid-Amerika.

Opmerkelijk aan de campagne is dat de aanvallers herhaaldelijk hetzelfde kwetsbare toegangspunt van de Microsoft Exchange Server wisten te benutten, ondanks diverse pogingen tot herstel door het slachtoffer. Telkens werd een andere backdoor gebruikt: Deed RAT op 25 december 2025, TernDoor eind januari/begin februari 2026, en een gemodificeerde versie van Deed RAT eind februari 2026. De aanvallers zouden de ProxyNotShell keten hebben misbruikt om initiële toegang te verkrijgen.

Volgens Bitdefender illustreert deze intrusie dat dreigingsactoren hetzelfde toegangspad zullen blijven exploiteren en opnieuw exploiteren totdat de oorspronkelijke kwetsbaarheid is gepatcht, gecompromitteerde inloggegevens zijn gewijzigd en het vermogen van de aanvaller om terug te keren volledig is verstoord. De initiële toegang werd gevolgd door pogingen om webshells te installeren om een persistente aanwezigheid te creëren, en uiteindelijk Deed RAT te implementeren met behulp van een geëvolueerde techniek van DLL side-loading. Deze methode maakt gebruik van de legitieme LogMeIn Hamachi binary om een kwaadaardige DLL te laden en te starten die verantwoordelijk is voor de uitvoering van de hoofdlading.

Bitdefender legt uit dat deze methode, in tegenstelling tot standaard DLL side-loading die afhankelijk is van eenvoudige bestandsvervanging, twee specifieke geëxporteerde functies binnen de kwaadaardige bibliotheek overschrijft. Dit creëert een trigger in twee fasen die de uitvoering van de Deed RAT loader via de natuurlijke control flow van de host applicatie reguleert, wat de mogelijkheden voor verdedigingsontwijking van traditionele DLL side-loading verder verfijnt. De aanvallen omvatten ook laterale verplaatsing om de toegang binnen het gecompromitteerde netwerk te verbreden en een redundante aanwezigheid te creëren, om zo veerkracht te waarborgen in het geval dat de activiteit wordt gedetecteerd en verwijderd.

De tweede aanvalsgolf vond bijna een maand na de initiële intrusie plaats, waarbij de tegenstander tevergeefs probeerde DLL side-loading toe te passen om TernDoor te droppen door middel van Mofu Loader, een shellcode loader die eerder werd toegeschreven aan GroundPeony. Het Azerbeidzjaanse bedrijf werd een derde keer aangevallen tegen het einde van februari 2026, toen de dreigingsactoren opnieuw probeerden een gemodificeerde versie van Deed RAT in te zetten. Dit artefact maakt gebruik van "sentinelonepro [.]com" voor command en control (C2). Deze constante verfijning en evolutie van het malware arsenaal benadrukt de aanhoudende inspanningen van de groep.

Bitdefender concludeerde dat deze intrusie niet moet worden gezien als een geïsoleerd incident, maar als een aanhoudende en adaptieve operatie uitgevoerd door een actor die herhaaldelijk probeerde toegang te herwinnen en uit te breiden binnen de slachtofferomgeving. Over meerdere activiteitsgolven werd hetzelfde toegangspad opnieuw bezocht, nieuwe payloads geïntroduceerd en extra aanwezigheden gecreëerd, wat wijst op een hoge mate van persistentie en operationele discipline.

Bron: Bitdefender

Nieuw onderzoek toont aan dat de snelheid van cyberaanvallen drastisch is toegenomen door de inzet van kunstmatige intelligentie (AI), waardoor traditionele verdedigingsmechanismen en patchcycli verouderd raken. Een recent rapport benadrukt dat aanvallen met AI binnen 73 seconden kunnen worden voltooid, terwijl het patchen van kwetsbaarheden gemiddeld 24 uur duurt, wat een gevaarlijke kloof creëert in de cyberbeveiliging.

In april 2026 bracht Anthropic, een toonaangevend AI-bedrijf, haar nieuwste geavanceerde model, codenaam Mythos, uit aan twaalf partners onder een afgeschermde preview. Het model werd bewust niet algemeen beschikbaar gesteld vanwege de als "te gevaarlijk" beoordeelde capaciteiten. Binnen de eerste veertien dagen in de sandbox genereerde Mythos maar liefst 181 werkende exploits voor Firefox. Ter vergelijking zien we dat het voorgaande modernste model wist er slechts twee te creëren. Daarnaast ontdekte Mythos duizenden zero days in alle belangrijke besturingssystemen en browsers, waaronder een 27 jaar oude kwetsbaarheid in OpenBSD, een besturingssysteem dat bekendstaat om zijn robuuste beveiliging. Meer dan 99% van de door Mythos gevonden kwetsbaarheden is vandaag de dag nog steeds onbeheerd in productieomgevingen.

Deze snelle ontwikkeling wordt bevestigd door eerdere incidenten. In februari publiceerde AWS Threat Intelligence een postmortem-analyse van een campagne gericht op FortiGate-apparaten, uitgevoerd door één enkele operator. Deze persoon, met relatief lage vaardigheden en zonder directe menselijke tussenkomst, gebruikte AI om 2.516 apparaten in 106 landen parallel aan te vallen. Deze aanvallen namen slechts enkele minuten per doelwit in beslag. Zero-days waren niet eens nodig; bekende CVE's en verkeerde configuraties volstonden, waarbij de AI simpelweg sneller opereerde dan menselijke verdedigers konden reageren.

De conclusie uit deze twee datapunten is duidelijk dat offensieve cyberoperaties vinden nu plaats met de snelheid van machines. De tijd tussen de publicatie van een CVE en het verschijnen van een werkende exploit in het wild is dramatisch gekrompen. Waar dit tien jaar geleden nog maanden duurde, was het in 2024 gedaald tot ongeveer 56 dagen en in 2025 tot 23 dagen. Recente koppelingen van CVE naar exploit, zoals gerapporteerd door CISA KEV en VulnCheck KEV, tonen nu een mediane vertraging van ongeveer 10 uur. Het omzetten van een gepubliceerde patch in een werkende exploit is geen specialistisch ambacht meer, maar een kwestie van een "prompt" voor AI.

Dit betekent dat de comfortabele aannames van kwetsbaarheidsbeheer, zoals de betekenisvolle prioritering door CVSS-scores en de bruikbaarheid van 'exploitability' als filter, niet langer standhouden. De veiliger aanname is nu dat elke kwetsbaarheid een exploit heeft, of er een zal hebben, voordat de volgende vergadering over wijzigingsbeheer is afgerond. Hoewel er nog geen "auto-immuniteit" voor verdediging bestaat, is AI aan de verdedigende zijde zonder adequate validatie slechts gissen met de snelheid van machines, wat een kostbare gok is om in productie te nemen.

Het werkelijke knelpunt in de verdediging ligt niet bij de individuele tools; EDR-systemen, SIEM-oplossingen en kwetsbaarheidscanners zijn snel. De vertraging ontstaat tussen de tools, namelijk de Slack-berichten, de gekopieerde hashes, de per e-mail verstuurde PDF-rapporten voor beoordeling, de Jira-tickets die wachten op goedkeuring en de handmatig herbouwde 'red team'-scripts voor het 'blue team'. Dit wordt de "chaotische overdracht" genoemd en is net zo rommelig als het klinkt. Snellere scanners of slimmere EDR-systemen zullen de reactiesnelheid niet significant verbeteren, omdat de kloof zich bevindt tussen teams en systemen.

Deze ontwikkeling heeft ertoe geleid dat besturen van bedrijven cyberrisico gedreven door AI niet langer als een technisch probleem beschouwen, maar als een existentiële dreiging die direct management vereist. Budgetten worden vrijgemaakt, maar niet voor 'meer van hetzelfde', doch voor geloofwaardige, op bewijs gebaseerde plannen.

Bron: Picus Security | Bron 2: hubs.ly

Cybersecurity-onderzoekers hebben de aandacht gevestigd op een nieuwe campagne genaamd GemStuffer, die de RubyGems-repository heeft misbruikt met meer dan 150 gems. Deze gems gebruiken het register als een kanaal voor gegevensexfiltratie, in plaats van voor de distributie van malware. Volgens het applicatiebeveiligingsbedrijf Socket lijken de pakketten niet te zijn ontworpen voor grootschalige compromittering van ontwikkelaars. Veel ervan hebben weinig of geen downloadactiviteit, en de payloads zijn repetitief, luidruchtig en ongebruikelijk zelfstandig.

De scripts halen pagina's op van democratische dienstenportals van lokale overheden in het Verenigd Koninkrijk. De verzamelde reacties worden vervolgens verpakt in geldige .gem-archieven en die gems worden weer gepubliceerd naar RubyGems met behulp van vastgelegde API-sleutels. Deze ontwikkeling komt op een moment dat RubyGems de registratie van nieuwe accounts tijdelijk heeft uitgeschakeld na wat is omschreven als een grote kwaadaardige aanval. Hoewel het verband tussen de twee activiteiten niet duidelijk is, stelt Socket dat GemStuffer past in hetzelfde misbruikpatroon, waarbij nieuw gemaakte pakketten met willekeurige namen worden gebruikt om de geschraapte gegevens te hosten.

De campagne misbruikt RubyGems als een opslagplaats voor de geschraapte inhoud van de gemeenteraden. Dit gebeurt door hardgecodeerde URL's van Britse gemeentelijke portals op te halen, de HTTP-responsen te verpakken in geldige .gem-archieven en deze archieven naar RubyGems te publiceren met behulp van ingebedde register-referenties.

In sommige gevallen creëert de payload die in de gem is ingebed een tijdelijke RubyGems-referentie-omgeving onder "/tmp", overschrijft het de HOME-omgevingsvariabele, bouwt het lokaal een gem en pusht het deze naar RubyGems met behulp van de gem command-line interface (CLI). Dit gebeurt in plaats van te vertrouwen op reeds bestaande RubyGems-referenties op de doelmachine. Andere varianten van de kwaadaardige gems zijn gevonden die het CLI-component vermijden en in plaats daarvan het archief rechtstreeks naar de RubyGems API uploaden via een HTTP POST-verzoek. Zodra de nieuwe gems zijn gepubliceerd, hoeft een aanvaller alleen een "gem fetch"-commando uit te voeren met de gem-naam en -versie om toegang te krijgen tot de geschraapte gegevens.

De nieuwe scraping-campagne richt zich op openbaar toegankelijke ModernGov-portals die worden gebruikt door de gemeenten Lambeth, Wandsworth en Southwark. Het doel is het verzamelen van vergaderkalenders van commissies, lijsten van agendapunten, gekoppelde PDF-documenten, contactgegevens van ambtenaren en inhoud van RSS-feeds. Het is niet duidelijk wat de exacte einddoelen zijn, aangezien de informatie toch al openbaar toegankelijk lijkt te zijn.

Socket heeft beoordeeld dat de systematische bulkverzameling en archivering van deze gegevens de mogelijkheid doet rijzen dat de aanvaller de toegang tot het gemeentelijke portaal gebruikt als een pivot om capaciteit tegen overheidsinfrastructuur aan te tonen. Het kan registerspam zijn, een proof-of-concept worm, een geautomatiseerde scraper die RubyGems misbruikt als opslaglaag, of een opzettelijke test van misbruik van pakketregisters. De mechanismen zijn echter opzettelijk ontworpen, met herhaalde gem-generatie, versie-incrementele updates, hardgecodeerde RubyGems-referenties, directe register-pushes en geschraapte gegevens ingebed in pakketarchieven.

Bron: Socket

Google heeft een nieuwe, optionele Android-functie genaamd Intrusion Logging onthuld, ontworpen om forensische logboeken op te slaan voor een betere analyse van geavanceerde spywareaanvallen. Deze functie, die deel uitmaakt van de Advanced Protection Mode, maakt "persistente en privacyvriendelijke forensische logging mogelijk voor onderzoek naar apparaten in geval van een vermoedelijke compromittering", aldus het bedrijf. Google ontwikkelde Intrusion Logging in samenwerking met Amnesty International en Reporters Without Borders.

De functie registreert dagelijks apparaat en netwerkactiviteiten, inclusief informatie over apparaatgedrag en de verschillende applicaties die erop draaien. Specifieke activiteiten die worden vastgelegd, zijn onder meer het starten van app-processen, app-installaties, updates en de-installaties. Ook worden netwerkverbindingen gelogd, zoals het starten en stoppen van wifi en bluetooth, DNS-zoekopdrachten en IP-adressen. Verdere registraties omvatten bestandsoverdrachten van of naar het apparaat via USB, wijzigingen in systeemcertificaten, en momenten waarop het apparaat wordt vergrendeld of ontgrendeld.

De loggegevens zijn end-to-end versleuteld door het apparaat zelf en worden opgeslagen op servers van Google. De encryptiesleutels zijn beveiligd met het wachtwoord van het Google Account en de inloggegevens van het schermslot. Dit betekent dat de logboeken niet toegankelijk zijn voor derden, inclusief Google, behalve voor de eigenaar van het apparaat. Reporters Without Borders benadrukt dat door opslag op een beveiligde server zelfs malware op de smartphone de gegevens niet kan benaderen, wissen of manipuleren. De end-to-end encryptie waarborgt dat noch Google, noch overheidsinstanties toegang hebben tot de data, wat Intrusion Logging bijzonder effectief maakt voor de detectie en forensische analyse van zelfs zeer geavanceerde en voorheen moeilijk te detecteren aanvallen.

De versleutelde logboeken worden twaalf maanden bewaard en daarna automatisch verwijderd. Eenmaal geactiveerd, kan een gebruiker de logboeken niet eerder wissen, zelfs niet als het account wordt afgesloten of de functie wordt uitgeschakeld. Gebruikers hebben wel de optie om de logboeken offline te downloaden als zij deze langer willen bewaren. Google waarschuwt echter dat gebruikers zelf verantwoordelijk zijn voor de beveiliging van de gedownloade en ontsleutelde logboeken. In bepaalde juridische of regelgevende omgevingen kan het wettelijk verplicht zijn om toegang te verschaffen tot ontsleutelde gegevens of beveiligingsreferenties.

Een belangrijk detail is dat de functie ook netwerkgebeurtenissen registreert die plaatsvinden tijdens Chrome Incognito-browsen, zoals DNS-zoekopdrachten en IP-verbindingen. Dit komt doordat Intrusion Logging op systeemniveau werkt en geen onderscheid maakt tussen browsermodi. Dit betekent dat iedereen met toegang tot de ontsleutelde logboeken kan zien welke websites zijn bezocht, maar niet welke specifieke pagina's op die sites.

De motivatie achter Intrusion Logging is om individuen met een hoog risico, die vermoeden het doelwit te zijn van geavanceerde surveillance tools, in staat te stellen hun activiteitenlogboeken te delen met vertrouwde beveiligingsexperts voor gedetailleerd onderzoek. De logboeken zijn toegankelijk via de Instellingen app, onder Beveiliging en privacy -> Geavanceerde beveiliging -> Intrusion Logging -> Toegang logboeken. De functie wordt momenteel uitgerold naar alle apparaten met de Android 16 december update en nieuwer. Donncha Ó Cearbhaill, hoofd van het Security Lab bij Amnesty International, stelt dat Google met Intrusion Logging de eerste grote leverancier is die proactief de uitdaging van geavanceerde aanvallen op apparaten aanpakt.

Naast Intrusion Logging heeft Google nog een reeks andere privacy en beveiligingsverbeteringen aangekondigd. Dit omvat onder meer geverifieerde financiële oproepen, een nieuwe functie voor bescherming tegen telefoonspoofing. Deze functie bestrijdt aanvallen waarbij oplichters banken imiteren om gebruikers gevoelige gegevens te ontfutselen of geld te laten overmaken. Wanneer gebruikers een oproep ontvangen die van een deelnemende bank lijkt te komen, vraagt Android de geïnstalleerde online bankieren app om te bevestigen of de bank daadwerkelijk contact probeert op te nemen. Als de app bevestigt dat er geen dergelijke oproep wordt gedaan, beëindigt het systeem de oproep automatisch. Deze functie wordt naar verwachting de komende weken uitgerold op Android 11+ apparaten, beginnend met Revolut, Itaú en Nubank, en later dit jaar uitgebreid naar meer banken.

Andere belangrijke wijzigingen zijn onder andere de uitbreiding van Live Threat Detection om waarschuwingen te geven over verdacht app-gedrag, zoals SMS-doorsturen en overlay's voor toegankelijkheid die vaak worden gebruikt door Android banking trojans om inloggegevens te stelen. Gedownloade APK-bestanden via Chrome op Android worden nu geëvalueerd op bekende malware wanneer Veilig Browsen is ingeschakeld, voordat ze worden geïnstalleerd. Ook wordt de toegang tot de toegankelijkheidsdiensten API verwijderd voor alle apps die niet als toegankelijkheidstools zijn gelabeld. Verder worden apparaat-naar-apparaat ontgrendeling en Chrome WebGPU-ondersteuning uitgeschakeld, en is er verbeterde detectie van oplichting voor chatmeldingen. De 'Markeer als verloren'-functie van Find Hub is verbeterd met de mogelijkheid om een telefoon te vergrendelen met biometrische authenticatie, waardoor dieven het uitschakelen van apparaattracking niet kunnen voorkomen als een apparaat als verloren is gemarkeerd. Het activeren van 'Markeer als verloren' schakelt ook extra beveiligingen in, zoals het verbergen van Snelle Instellingen en het uitschakelen van nieuwe wifi en Bluetooth verbindingen. Ten slotte is het aantal keren dat een derde partij met fysieke toegang tot een apparaat de pincode of het wachtwoord kan raden, verminderd, en zijn er langere wachttijden tussen mislukte pogingen geïmplementeerd.

Bron: blog.google | Bron 2: reporter-ohne-grenzen.de | Bron 3: securitylab.amnesty.org

Cybercrimeinfo heeft recentelijk een forumdiscussie opgemerkt waarin deelnemers actief worden aangemoedigd om softwarepakketten te compromitteren. Deze activiteit maakt deel uit van een georganiseerde competitie, waarbij de deelnemers bewijs van hun verkregen toegang moeten leveren. Dit bewijs wordt vervolgens gekoppeld aan hun specifieke forumprofiel.

De rangschikking van de deelnemers in deze competitie is direct gebaseerd op het aantal downloads dat de gecompromitteerde pakketten genereren. Dit systeem creëert een sterke stimulans voor kwaadwillenden om pakketten te targeten die een breed publiek bereiken en veelvuldig worden gedownload, met als doel maximale impact en erkenning binnen de criminele gemeenschap te behalen.

De instructies op het forum zijn gedetailleerd en leiden deelnemers door het proces van het identificeren en exploiteren van kwetsbaarheden in softwarepakketten om zo controle te verkrijgen. Zodra een pakket succesvol is gecompromitteerd, dienen de deelnemers dit aan te tonen met verifieerbaar bewijs. Dit waarborgt een zekere mate van "transparantie" binnen de forumgemeenschap met betrekking tot de prestaties van elke deelnemer.

Verder is vastgesteld dat de malware, die wordt gebruikt voor de compromittering of die het resultaat is van de aanval, publiekelijk beschikbaar is gemaakt. Deze beschikbaarheid geschiedt via de infrastructuur die gerelateerd is aan hetzelfde forum. Dit betekent dat de gehele cyclus van compromittering, competitie en verdere verspreiding van schadelijke software volledig wordt gefaciliteerd en gecoördineerd via deze online omgeving. Deze gecoördineerde en gestructureerde aanpak via een competitie op een forum illustreert een methode waarbij cybercriminelen proberen de verspreiding van malware en de compromittering van softwarepakketten te optimaliseren. De beschikbaarheid van de malware via de infrastructuur die gerelateerd is aan het forum, vereenvoudigt de toegang voor deelnemers en potentiële verspreiders.

Bron: Darkweb

Cybercrimeinfo heeft een zorgwekkende ontwikkeling waargenomen met betrekking tot de coördinatie van cyberaanvallen. De online fora BreachForums en TeamPCP hebben gezamenlijk een nieuwe campagne gelanceerd onder de naam 'Supply Chain Competition'. Deze competitie is specifiek opgezet om individuen of groepen te stimuleren tot grootschalige compromittering van software-toeleveringsketens.

De organisatoren van de competitie bieden een beloning aan voor de meest omvangrijke en succesvolle aanval op een software-toeleveringsketen. Een cruciale voorwaarde voor deelname en het ontvangen van de beloning is dat de cyberaanvallen uitgevoerd moeten worden met de 'Shai Hulud'-worm, een stuk malware dat publiekelijk beschikbaar is. De introductie van een dergelijke competitie opent de deur voor een versnelling en intensivering van supply chain aanvallen, waarbij de focus ligt op het infiltreren van softwareleveranciers om zo een breed scala aan eindgebruikers te treffen. Dit vormt een directe en verhoogde dreiging voor organisaties en infrastructuren, ook in Nederland en België, die afhankelijk zijn van externe softwareleveranciers.

Bron: Darkweb

Onderzoekers van Dr.Web hebben een kwaadaardige campagne blootgelegd waarbij de JobStealer-malware wordt verspreid via vervalste sollicitatiegesprekken. Deze trojan, die zich voordoet als een videoconferentie-applicatie, is ontworpen om gevoelige gegevens te stelen van zowel Windows- als macOS-gebruikers, waaronder cryptowallets, browsergegevens en belangrijke bestanden.

De aanval begint wanneer oplichters potentiële slachtoffers benaderen met nep-vacatureaanbiedingen. Ze nodigen de slachtoffers uit voor een online interview via een op maat gemaakt vergaderplatform. De websites die hiervoor worden gebruikt, ogen professioneel en compleet met merknamen, socialemedia-accounts en Telegram-kanalen, om een indruk van legitimiteit en betrouwbaarheid te wekken. Gebruikers downloaden echter malware in plaats van deel te nemen aan een gesprek. Dr.Web heeft diverse van deze nep-conferentie-apps geïdentificeerd met namen als MeetLab, Meetix, Juseo en Carolla. Sommige sites imiteren zelfs bekende diensten zoals Cisco Webex om argwaan te verminderen.

Voor macOS-systemen gebruiken de aanvallers twee installatiemethoden. De eerste methode vraagt de gebruiker om een Bash-commando te kopiëren en te plakken in de Terminal. De tweede levert een DMG-bestand met valse installatie-instructies. In beide gevallen wordt het slachtoffer misleid om de trojan handmatig te starten, waardoor de malware gebruikelijke beveiligingswaarschuwingen kan omzeilen. Deze afhankelijkheid van gebruikersinteractie is cruciaal voor de werking van de malware. Het kwaadaardige script downloadt een bestand dat is gedetecteerd als Mac.PWS.JobStealer.1, compatibel met zowel Intel- als Apple Silicon Macs. Latere varianten van de malware bevatten sterkere obfuscatie en arm64-ondersteuning, nadat eerdere versies niet correct werkten op recentere Mac-hardware.

Na activering toont de malware een nep-foutmelding die het wachtwoord van het macOS-account van het slachtoffer vraagt. Vervolgens begint het met het verzamelen van een breed scala aan gegevens van het geïnfecteerde systeem. De primaire focus ligt op cryptocurrency-tegoeden; JobStealer zoekt in op Chromium gebaseerde browsers (waaronder Chrome, Brave, Opera, Edge, Vivaldi, Arc en CocCoc) naar ongeveer 300 cryptowallet-extensies. Daarnaast extraheert de malware browsercookies, opgeslagen wachtwoorden, autofill-betaalgegevens, Telegram-sessiebestanden, notities uit Apple Notities en sporen van software voor hardware wallets zoals Ledger Live en Trezor Suite. Zodra de informatie is verzameld, comprimeert de malware de bestanden in een ZIP-archief en uploadt deze naar een command-and-control server die wordt beheerd door de aanvallers.

Dr.Web heeft ook een Windows-versie van JobStealer geïdentificeerd met vergelijkbare mogelijkheden voor data diefstal. Hoewel de macOS-variant Terminal-commando's en nep-DMG-installers gebruikt, volgen de Windows-samples dezelfde nep-interviewaanpak en richten ze zich op het stelen van browsergegevens, cryptowallets en gebruikersgegevens. De onderzoekers vonden bovendien downloadsecties voor Linux-, iOS en Android-varianten op sommige kwaadaardige websites, hoewel deze versies nog niet volledig lijken te zijn uitgerold.

Gebruikers wordt geadviseerd om geen Terminal-commando's uit te voeren die worden verstrekt tijdens interviews, vooral niet wanneer deze worden gedeeld via onofficiële vergaderplatforms of onbekende websites. Het downloaden van conferentiesoftware rechtstreeks van officiële leveranciers blijft de veiligste optie. Bedrijven die legitieme interviews afnemen, vragen zelden aan kandidaten om de beveiliging van het besturingssysteem te omzeilen of handmatig scripts uit te voeren.

Dr.Web heeft de malware-activiteit in kaart gebracht aan de hand van verschillende MITRE ATT&CK-technieken, waaronder kwaadaardige kopiëren-en-plakken-uitvoering, diefstal van inloggegevens uit browsers en sleutelhangers, geautomatiseerde gegevensverzameling en exfiltratie via webservices. De campagne toont tevens aan hoe dreigingsactoren social engineering-tactieken aanpassen aan de cultuur van werken op afstand, in plaats van uitsluitend te vertrouwen op phishing-e-mails of kwaadaardige bijlagen.

Bron: Dr.Web

Een dreigingsactor, bekend onder de naam INT3X en met vermelding van quellostanco, CrowStealer en @bigF, verkoopt momenteel een database afkomstig van mutreasury. Mutreasury is de gecentraliseerde betaalgateway die meer dan 28 Egyptische universiteiten met elkaar verbindt voor de verwerking van collegegelden, inschrijvingskosten en andere studentenbetalingen.

De gelekte gegevensdump bevat administratieve inloggegevens, API-tokens voor ERP-integratie en het volledige transactiegrootboek. Dit grootboek koppelt persoonlijk identificeerbare informatie (PII) van studenten aan betalingen die zijn verwerkt via nationale betaaldienstverleners zoals Fawry, e-Finance en Khales.

Naast de gestolen data biedt de verkoper ook een zero-day kwetsbaarheid te koop aan. Deze kwetsbaarheid, die is gebruikt om de gegevens te dumpen, maakt ongeauthenticeerde toegang mogelijk. Volgens de verkoper biedt de exploit volledige persistentie op de gateway en maakt het realtime data-extractie mogelijk van de resterende 24+ universiteiten die nog niet zijn opgenomen in de openbare preview. De huidige openbare preview omvat bewijs van concept van vier grote universitaire doelwitten, terwijl de complete dataset alle meer dan 28 Egyptische universiteiten omvat die verbonden zijn met dezelfde gecentraliseerde infrastructuur.

De gecompromitteerde gegevens zijn georganiseerd in meerdere CSV-tabellen:

*   **sysusers.csv:** Dit bestand bevat administratieve inloggegevens, interne werknemersgegevens, toegangsniveaus, versleutelde en platte tekst authenticatiereeksen, functietitels en werkgeversgegevens. Het omvat velden zoals ID voor identiteit en toegang, isAdmin-vlag en isLocal-vlag.

*   **erpapis.csv:** Dit bestand bevat live API-tokens en endpoint-URL's die de betaalgateway verbinden met interne universitaire ERP-systemen. Het omvat scope_id, account_id, connectType, ERP API URL's, API-tokens, profielen en bedrijfsnamen, wat directe server-naar-server communicatiegegevens blootlegt.

*   **efinance_service.csv:** Dit bestand bevat de logica en inloggegevens voor verbinding met nationale betaaldienstverleners (e-Finance en Khales). Het omvat afzender-ID's, foundation-ID's, kosten, type, actieve status, afzendernamen, service-URL's, servicecodes, servicenamen, afzenderwachtwoorden, afwikkelingscodes, bevestigings-URL's en afwikkelingsbedragen.

*   **paymentgetway.csv:** Dit is het primaire grootboek voor alle studentenbetalingen. Het logt PII, transactiestatus, referentienummers (Fawry/Bank) en totale bedragen over verschillende universitaire faculteiten. Belangrijke velden zijn universiteits-ID, gebruikers-ID, order-ID, faculteits-ID, sessie-ID, klant-ID, unieke factuur-ID, item, e-mailadres, mobiel nummer, referentienummer, dienst, handelaar, universiteitsnaam, resultaat, status, naam van de kosten, Fawry-kosten, notificatie-URL, betaald bedrag, bevestigingsdatum, bevestiger, bevestigings-IP, aanvraagdatum, faculteitsnaam, klantcode, klantnaam, poging tot bevestiging, betaalmethode, beschrijving en succesindicator.

*   **paymentgetwaydetails.csv:** Dit bestand biedt een gedetailleerde uitsplitsing van de kosten die bij elke unieke factuur-ID horen, met specificatie van de aard van de betaling (bijvoorbeeld inschrijvingskosten of collegegeld).

De sector die is getroffen, omvat onderwijs, overheid en betaalgateways in Egypte.

Bron: Darkweb

De initial access broker (IAB) groep KongTuke heeft haar tactieken aangepast en maakt nu gebruik van Microsoft Teams voor social engineering aanvallen. Onderzoekers van ReliaQuest hebben vastgesteld dat de groep in slechts vijf minuten persistente toegang kan verkrijgen tot bedrijfsnetwerken. De aanvallers verleiden slachtoffers ertoe een kwaadaardig PowerShell commando uit te voeren, wat uiteindelijk leidt tot de installatie van de ModeloRAT malware. Deze malware is eerder geassocieerd met ClickFix aanvallen.

Initial access brokers zoals KongTuke verkopen doorgaans toegang tot bedrijfsnetwerken aan ransomware operators, die deze toegang gebruiken om malware voor diefstal van bestanden en dataversleuteling te implementeren. Het misbruik van Microsoft Teams door cybercriminelen neemt toe, waarbij aanvallers zich voordoen als IT- of helpdeskmedewerkers om werknemers te overtuigen schadelijke commando's op hun systemen uit te voeren.

De campagne is al sinds april 2026 actief. KongTuke wisselt tussen vijf verschillende Microsoft 365 tenants om blokkering te omzeilen. Om als intern IT-personeel te kunnen optreden, gebruiken de aanvallers Unicode witruimtetrucs om de weergegeven naam legitiem te laten lijken. Het kwaadaardige PowerShell commando dat via Teams wordt gedeeld, downloadt een ZIP-archief van Dropbox. Dit archief bevat een draagbare WinPython omgeving, die op zijn beurt de Python-gebaseerde ModeloRAT (Pmanager.py) lanceert.

De ModeloRAT verzamelt systeem en gebruikersinformatie, maakt schermafbeeldingen en kan bestanden van het hostbestandssysteem exfiltreren. ReliaQuest merkt op dat de versie van ModeloRAT die in deze recente campagne wordt gebruikt, is geëvolueerd ten opzichte van eerdere operaties. Deze evolutie omvat drie belangrijke aspecten:

Ten eerste is de command-and-control (C2) architectuur veerkrachtiger geworden, met een pool van vijf servers, automatische failover, gerandomiseerde URL-paden en zelf-update functionaliteit.

Ten tweede zijn er meerdere onafhankelijke toegangspaden, waaronder een primaire RAT, een reverse shell en een TCP backdoor, die op afzonderlijke infrastructuur draaien om toegang te behouden als één kanaal wordt onderbroken.

Ten slotte zijn de persistentie mechanismen uitgebreid met het gebruik van Run keys, Startup shortcuts, VBScript launchers en geplande taken op SYSTEM-niveau, die standaard opruimprocedures kunnen overleven. De onderzoekers benadrukken dat de geplande taak niet wordt verwijderd door de zelfvernietigingsroutine van de implant, die de andere persistentie mechanismen wel wist, en dus persistente toegang kan bieden na systeemherstarts.

Om aanvallen via Teams te voorkomen, wordt geadviseerd om externe Microsoft Teams federatie te beperken door gebruik te maken van toegestane lijsten (allowlists). Dit kan dergelijke pogingen in een vroeg stadium blokkeren. Beheerders kunnen ook de Indicators of Compromise (IOCs) uit het rapport van ReliaQuest gebruiken om te zoeken naar aanvallen, tekenen van compromittering en persistentie artefacten binnen hun netwerk.

Bron: ReliaQuest

De toenemende autonomie van AI-agenten, die verder gaan dan het genereren van inhoud en daadwerkelijk tools aanroepen, data wijzigen, workflows activeren en systemen bedienen, creëert een fundamentele verschuiving in het beveiligingslandschap. Fouten kunnen zich sneller verspreiden, de potentiële impact (blast radius) neemt toe en terugdraaien van acties wordt aanzienlijk complexer. Beveiliging voor agentic AI vereist een 'defense in depth'-benadering, waarbij de nadruk verschuift van het model zelf naar de assemblage, beperking en governance van agenten binnen applicaties.

Autonome AI-systemen zijn kwetsbaar voor bestaande softwarebeveiligingsrisico's, maar introduceren ook nieuwe dreigingscategorieën, waaronder agent hijacking, intent breaking, gevoelige data lekkage, supply chain compromise en ongepast vertrouwen. Bestaande zwakheden in permissies, data bescherming of toegangscontrole worden versterkt wanneer een agent aan het systeem wordt toegevoegd.

Microsoft stelt een gelaagde mitigatiebenadering voor, waarbij elke laag de andere versterkt. De modelleringlaag (probabilistisch), de veiligheidssysteemlaag (observeert en intervenieert tijdens runtime) en de positioneringslaag (vormt perceptie). De applicatielaag is echter de meest bepalende, omdat dit de enige laag is die ontwikkelaars volledig kunnen controleren en waar probabilistisch modelgedrag wordt omgezet in deterministische systeemresultaten.

Voor het bouwen van veerkrachtige applicatielagen voor AI-agenten worden specifieke ontwerppatronen aanbevolen:

*   **Actiebereik (Action Scope):** De meest cruciale beslissing op applicatieniveau is hoe breed de verantwoordelijkheden van een agent worden gedefinieerd. Het concept van een "alles-agent" met brede permissies, veel tools en losjes gedefinieerde verantwoordelijkheden is gevaarlijk. Een veerkrachtigere aanpak is om agenten te ontwerpen als nauwkeurig afgebakende componenten met beperkte mogelijkheden, vergelijkbaar met microservices. Dit betekent geïsoleerde permissies, duidelijke interfaces en smalle verantwoordelijkheden, waarbij complexer gedrag ontstaat uit orkestratie in plaats van brede autoriteit voor één agent.

*   **Progressieve Toestemming (Progressive Permissioning):** Permissies moeten altijd beginnen bij nul (zero trust). Geen enkele actie mag standaard zijn toegestaan; acties moeten expliciet worden ingeschakeld op basis van rol en systeembehoeften. De principes van least privilege en zero access zijn net zo van toepassing op agenten als op menselijke gebruikers. Elke tool aanroep, data toegang en externe integratie die een agent kan uitvoeren, moet het resultaat zijn van een weloverwogen autorisatiebeslissing. Capaciteiten moeten worden afgebakend tot de duur van een specifieke taak, of anders tot tijdgebonden limieten.

*   **Menselijke Interventie (Human-in-the-Loop - HITL):** Zelfs goed afgebakende en correct geautoriseerde agenten hebben een governance vangnet nodig voor beslissingen met hoge inzet. HITL-review moet worden gezien als een governance mechanisme dat voorkomt dat agenten zichzelf autoriseren voor belangrijke acties. Het is essentieel dat het model niet zelf beslist wanneer menselijke beoordeling vereist is, aangezien een kwaadwillige prompt of een ambigu instructie de beoordeling anders volledig kan omzeilen. Het ontwerp moet ondubbelzinnig vaststellen wanneer beoordeling vereist is, de auditbaarheid voor toezicht en compliance ondersteunen, en de scheiding tussen redenering en handhaving intact houden naarmate agenten autonomer worden.

Bron: Microsoft

Recent onderzoek van Microsoft, gebaseerd op geaggregeerde en geanonimiseerde signalen van Microsoft Defender for Cloud, wijst uit dat de snelle implementatie van AI- en agentapplicaties op cloud-native platforms vaak prioriteit geeft aan snelheid boven veilige configuratie. Deze aanpak leidt tot kwetsbare misconfiguraties die actief door aanvallers worden misbruikt. De observaties tonen aan dat AI-services publiekelijk worden blootgesteld met zwakke of ontbrekende authenticatie, wat resulteert in scenario's zoals remote code execution, diefstal van inloggegevens en ongeautoriseerde toegang tot gevoelige interne tools en gegevens.

Deze exploiteerbare misconfiguraties omzeilen traditionele kwetsbaarheidsmodellen, waardoor dreigingsactoren deze kunnen misbruiken zonder geavanceerde technieken of zero-days te gebruiken. Het is daarom essentieel dat organisaties deze configuratiefouten vroegtijdig opsporen om hun aanvalsoppervlak te verkleinen en hun kritieke AI-workloads te beschermen. Microsoft Defender for Cloud kan klanten hierbij helpen door risico's te identificeren en te prioriteren die verband houden met dergelijke misconfiguraties, door blootgestelde Kubernetes-services en onveilige implementatiepatronen te detecteren.

AI- en agentapplicaties worden op grote schaal uitgerold en bewegen snel van experimentele fase naar breed ingezette systemen. Deze applicaties zijn niet langer geïsoleerde componenten, maar staan centraal in workflows, automatisering en besluitvorming binnen organisaties. Naarmate AI-applicaties verbonden raken met meer interne systemen en gegevensbronnen, neemt de impact van fouten toe. Een enkele misconfiguratie kan niet alleen een applicatie-eindpunt blootstellen, maar ook toegang verschaffen tot gevoelige gegevens, infrastructuur of operationele mogelijkheden die daarachter liggen.

In de praktijk komen veel van de gevaarlijkste risico's in AI-omgevingen niet voort uit nieuwe aanvalstechnieken of zero-day kwetsbaarheden, maar uit exploiteerbare misconfiguraties. Dit zijn configuratiekeuzes van gebruikers die krachtige mogelijkheden extern bereikbaar maken wanneer ze onvoldoende zijn beschermd, waardoor duidelijke paden voor misbruik ontstaan. Microsoft definieert een exploiteerbare misconfiguratie als een configuratieprobleem waarbij publieke blootstelling (bijvoorbeeld een via internet bereikbare gebruikersinterface of API) wordt gecombineerd met ontbrekende of zwakke authenticatie en autorisatie. Deze combinatie creëert een praktisch aanvalspad dat kan leiden tot ernstige gevolgen, zoals remote code execution (RCE), blootstelling van gevoelige gegevens of manipulatie van pipelines en artefacten, vaak zonder complexe exploitatie te vereisen. Signalen van Defender for Cloud geven aan dat meer dan de helft van de exploits van cloud-native workloads, inclusief AI-applicaties, voortkomt uit misconfiguraties.

Een voorbeeld van zo'n kwetsbare misconfiguratie is te vinden in het Model Context Protocol (MCP). Dit protocol stelt AI-agents in staat om op een gestandaardiseerde manier externe tools en gegevensbronnen te ontdekken en ermee te interageren. Hoewel MCP autorisatiemechanismen, waaronder OAuth, ondersteunt, dwingt het deze niet af. Hierdoor worden verkeerd geconfigureerde MCP-servers een kritiek en gemakkelijk exploiteerbaar probleem in AI- en agentomgevingen. Microsoft heeft meerdere gevallen waargenomen van op afstand blootgestelde MCP-servers die zonder authenticatie zijn geïmplementeerd. In deze gevallen resulteerde ongeauthenticeerde toegang in directe interactie met gevoelige interne tools, waaronder ticketsystemen, HR-systemen en privécode-repositories. Dit probleem vloeit voort uit onveilige MCP-serverimplementaties die toolacties uitvoeren in de beveiligingscontext van de server, in plaats van de context van de gebruiker of agent. Signalen van Defender for Cloud laten zien dat 15% van de externe MCP-servers ernstig onveilig is en ongeauthenticeerde toegang tot gevoelige interne gegevens en operationele mogelijkheden toestaat.

Een ander voorbeeld betreft Mage AI, een open source platform voor het bouwen, uitvoeren en orkestreren van gegevens- en AI-pipelines. Bij implementatie op Kubernetes met behulp van de officiële Helm-chart, bleek de standaardinstallatie de applicatie bloot te stellen via een internetgerichte LoadBalancer op poort 6789 zonder ingeschakelde authenticatie. De blootgestelde webinterface bevatte functionaliteit voor het uitvoeren van shell-commando's, waardoor willekeurige code kon worden uitgevoerd binnen de applicatie met behulp van het gekoppelde service-account. In de standaardconfiguratie was dit service-account gekoppeld aan bevoorrechte rollen die effectief clusterbeheerdersrechten verleenden. Deze standaardinstelling werd in de praktijk waargenomen en actief misbruikt, wat resulteerde in ongeauthenticeerde, via internet toegankelijke shell-toegang met hoge privileges. Microsoft heeft dit probleem verantwoordelijk gemeld aan Mage AI, waarna authenticatie nu standaard is ingeschakeld.

Ook bij kagent, een open source framework onder de CNCF CNAI-landschap, zijn vergelijkbare risico's vastgesteld. Dit framework is ontworpen om AI-agents op Kubernetes uit te voeren. Bij implementatie via de officiële Helm-chart, wordt kagent geleverd met verschillende AI-agents die geconfigureerd zijn als Kubernetes-services.

Bron: Microsoft

De dreigingsgroep ShadowByt3 2.0 heeft zich opnieuw gemeld op ondergrondse forums, waar zij claimen in het bezit te zijn van 2,29 GB aan data afkomstig van het Ellucian PowerCampus onderwijsplatform. Dit platform is een student management systeem dat wereldwijd door academische instellingen wordt gebruikt.

De groep heeft Ellucian een ultimatum van één week gesteld om contact op te nemen. Indien dit niet gebeurt, dreigt ShadowByt3 2.0 de gestolen data te lekken aan de getroffen instellingen.

Opvallend is de zelfomschrijving van de groep, die zichzelf niet langer beschouwt als een traditionele ransomwaregroep, maar als een Extortion-as-a-Service (EaaS) organisatie. Binnen dit model zijn affiliates verantwoordelijk voor het stelen van de data, terwijl de centrale operators de afpersing uitvoeren. Deze werkwijze biedt volgens de groep een lager detectierisico dan reguliere ransomware aanvallen en maakt het opschalen van operaties eenvoudiger. De aanval en de claim werden op 14 mei 2026 ontdekt via darkweb monitoring.

Bron: Cybercrimeinfo

OpenAI heeft bekendgemaakt dat twee apparaten van medewerkers zijn getroffen door een supply chain aanval, genaamd 'Mini Shai-Hulud'. De aanval vond plaats nadat de medewerkers een kwaadaardig TanStack npm-pakket hadden gedownload. Dit incident heeft naar verluidt geleid tot ongeautoriseerde toegang tot repositories en de exfiltratie van inloggegevens.

De 'Mini Shai-Hulud' aanval richtte zich specifiek op de ontwikkelomgeving door misbruik te maken van de software supply chain. Een supply chain aanval, zoals deze, exploiteert kwetsbaarheden in de toeleveringsketen van software. In dit geval werd een legitiem lijkend, maar kwaadaardig npm-pakket verspreid via de npm-repository, een veelgebruikt platform voor JavaScript-ontwikkelaars. Wanneer ontwikkelaars zo'n pakket downloaden en integreren in hun projecten, kan de kwaadaardige code ongemerkt worden uitgevoerd op hun systemen.

De impact op de getroffen apparaten van OpenAI-medewerkers omvatte ongeautoriseerde toegang tot interne code-repositories. Dit betekent dat aanvallers mogelijk toegang hebben gekregen tot gevoelige broncode, projectbestanden en andere intellectuele eigendommen van OpenAI. Bovendien claimen de aanvallers dat er inloggegevens zijn buitgemaakt, wat een aanzienlijk risico vormt voor verdere compromittering van systemen en accounts binnen de organisatie.

Dit type aanval benadrukt de groeiende dreiging van supply chain aanvallen, waarbij de focus ligt op het infecteren van veelgebruikte softwarecomponenten of ontwikkeltools. Organisaties in Nederland en België die gebruikmaken van open-source pakketten, zoals die van npm, zijn eveneens kwetsbaar voor dergelijke tactieken. Het is cruciaal dat bedrijven hun software supply chain beveiligen, onder meer door het controleren van de herkomst en integriteit van gedownloade pakketten en het implementeren van strikte toegangscontroles en monitoring van ontwikkelomgevingen. De aanval op OpenAI dient als een belangrijke herinnering aan de noodzaak van robuuste beveiligingsmaatregelen tegen complexe en gerichte cyberdreigingen.

Bron: Darkweb

De hacker groep TeamPCP dreigt broncode van het project Mistral AI openbaar te maken, tenzij er een koper wordt gevonden voor de gestolen data. Op een hackerforum vraagt de dreigingsactor een bedrag van 25.000 dollar voor een set van bijna 450 repositories. Mistral AI, een Frans bedrijf gespecialiseerd in kunstmatige intelligentie, is opgericht door voormalige onderzoekers van Google DeepMind en Meta. Het bedrijf biedt open-weight large language models (LLM's) aan, zowel open source als proprietair.

In een verklaring bevestigde Mistral AI dat hackers een systeem voor codebeheer hebben gecompromitteerd na de Mini Shai-Hulud software supply chain aanval. Dit incident begon met de compromittering van officiële pakketten van TanStack en Mistral AI via gestolen CI/CD-gegevens en legitieme workflows. Vervolgens verspreidde de aanval zich naar honderden andere softwareprojecten op de registers van npm en PyPI, waaronder UiPath, Guardrails AI en OpenSearch. Mistral AI gaf aan dat de hackers enkele van hun SDK-pakketten gedurende een korte periode hebben besmet.

TeamPCP claimt bijna 5 gigabyte aan "interne repositories en broncode" te hebben gestolen. Deze code wordt door Mistral gebruikt voor training, fine-tuning, benchmarking, modellevering en inferentie in experimenten en toekomstige projecten. De hackers hebben aangegeven dat zij de data permanent zullen vernietigen als Mistral AI het losgeld betaalt, of dat zij de data gratis zullen lekken naar de forums als er binnen een week geen koper wordt gevonden. Het bedrag van 25.000 dollar is naar verluidt onderhandelbaar.

Mistral AI heeft in een eerder deze week gepubliceerde security advisory bevestigd dat de inbreuk plaatsvond nadat een apparaat van een ontwikkelaar werd getroffen door de TanStack supply chain aanval. Het bedrijf benadrukt echter dat het forensisch onderzoek heeft uitgewezen dat de getroffen data geen deel uitmaakte van de kerncode repositories. Ook de gehoste diensten, beheerde gebruikersgegevens en onderzoeks en testomgevingen van Mistral AI zijn volgens het bedrijf niet gecompromitteerd.

Eerder deze dag bevestigde ook OpenAI dat de TanStack supply chain aanval systemen van twee van haar medewerkers heeft getroffen. Deze medewerkers hadden toegang tot een beperkte subset van interne broncode repositories. Een kleine set van gegevens werd gestolen uit deze repositories, maar het onderzoek heeft geen bewijs gevonden dat deze gegevens zijn gebruikt voor verdere aanvallen. OpenAI heeft hierop gereageerd door de code-ondertekeningscertificaten die bij het incident waren blootgesteld te rouleren en gebruikers van macOS te waarschuwen dat zij hun OpenAI desktopapplicaties voor 12 juni moeten bijwerken, anders werken de applicaties mogelijk niet meer en ontvangen ze geen updates.

Bron: Mistral AI | Bron 2: docs.mistral.ai

Een kritieke kwetsbaarheid in de Funnel Builder plugin voor WordPress wordt momenteel actief misbruikt om kwaadaardige JavaScript code te injecteren in WooCommerce checkout pagina's. De kwetsbaarheid, die nog geen officiële identificatie heeft ontvangen, kan zonder authenticatie worden misbruikt en treft alle versies van de plugin vóór versie 3.15.0.3.

Funnel Builder is een WordPress plugin, ontwikkeld door FunnelKit, die voornamelijk wordt gebruikt om WooCommerce checkout pagina's aan te passen. De plugin biedt functies zoals one-click upsells en landingspagina's om conversieratio's te optimaliseren. Volgens de statistieken van WordPress.org is de Funnel Builder plugin actief op meer dan 40.000 websites.

Het e-commerce beveiligingsbedrijf Sansec heeft de kwaadaardige activiteit gedetecteerd. Zij merkten op dat de payload, `analytics-reports[.]com/wss/jquery-lib.js`, zich voordoet als een nep Google Tag Manager of Google Analytics script. Dit script opent een WebSocket verbinding naar een externe locatie, `wss://protect-wss[.]com/ws`.

Aanvallers kunnen de kwetsbaarheid misbruiken door de globale instellingen van de plugin te wijzigen via een onbeschermd, publiekelijk toegankelijk checkout endpoint. Dit stelt hen in staat om willekeurige JavaScript code te injecteren in de "External Scripts" instelling van de plugin. Het gevolg hiervan is dat de kwaadaardige code wordt uitgevoerd op elke checkout pagina.

Volgens Sansec levert de door de aanvaller gecontroleerde server een aangepaste betaalkaart skimmer. Deze skimmer is ontworpen om gevoelige informatie te stelen, waaronder creditcardnummers, CVV-codes, factuuradressen en andere klantgegevens. Betaalkaart skimmers stellen dreigingsactoren in staat om frauduleuze online aankopen te doen. De gestolen gegevens worden vaak individueel of in bulk verkocht op darkweb portalen die bekendstaan als carding markten.

FunnelKit heeft de kwetsbaarheid aangepakt in versie 3.15.0.3 van Funnel Builder, die gisteren is uitgebracht. Een beveiligingsadvies van de leverancier, ingezien door Sansec, bevestigt de kwaadaardige activiteit met de mededeling dat "we een probleem hebben geïdentificeerd dat slechte actoren in staat stelde scripts te injecteren." De leverancier raadt website-eigenaren en beheerders aan om prioriteit te geven aan het updaten naar de nieuwste versie via het WordPress dashboard. Daarnaast wordt geadviseerd om de instellingen onder `Settings > Checkout > External Scripts` te controleren op potentieel kwaadaardige scripts die de aanvaller mogelijk heeft toegevoegd.**

Bron: Sansec | Bron 2: wordpress.org

De cybersecuritywereld staat voor een fundamentele verschuiving. Waar de afgelopen twee decennia de focus lag op het beschermen van mensen tegen machines, door malware te blokkeren, phishing-e-mails te filteren, DDoS aanvallen te mitigeren en softwarekwetsbaarheden te patchen, verandert dit nu drastisch. De volgende grote uitdaging is niet het verdedigen tegen kunstmatige intelligentie, maar het leren vertrouwen van AI-systemen.

Autonome AI-agenten worden vandaag de dag al ingezet om e-mails te lezen, code uit te voeren, geld over te maken, contracten te ondertekenen en beslissingen te nemen die voorheen menselijke goedkeuring vereisten. Deze 'agentic economy' is geen verre toekomstvisie, maar opereert reeds binnen de digitale omtrek van organisaties. De snelheid van adoptie is begrijpelijk, gezien de aanzienlijke productiviteitswinst, een enkele AI-agent kan weken aan analistenwerk comprimeren tot uren. Echter, veel organisaties stellen de cruciale vraag nog niet, wanneer een AI-agent namens u een actie onderneemt, hoe weet u dan zeker dat deze is wie hij beweert te zijn?

Dit vormt een verborgen vertrouwensprobleem. In traditionele netwerkbeveiliging is identiteit essentieel, en zero-trust architecturen zijn ontwikkeld vanuit de les dat aanwezigheid binnen een netwerk geen bewijs van legitimiteit is. Gebruikers worden geauthenticeerd, apparaten geverifieerd, least-privilege toegangscontroles afgedwongen, en alles wordt gelogd en geaudit. Geen van deze infrastructuren is echter gebouwd met AI-agenten in gedachten. Wanneer een autonome AI-agent een verzoek initieert naar een API, database, financieel systeem of een andere agent, heeft de ontvangende partij doorgaans geen betrouwbaar mechanisme om de identiteit te verifiëren, de autorisatie te bevestigen, te controleren op manipulatie van instructies, of de toegang in realtime in te trekken. De agent arriveert als een vreemdeling, en de meeste systemen laten deze eenvoudigweg binnen. Dit is geen theoretische kwetsbaarheid, maar een systematische lacune die maandelijks groter wordt naarmate de inzet van agenten toeneemt, en die in het verleden veelvuldig is uitgebuit door kwaadwillende actoren.

De verificatie van AI-agenten is complexer dan het lijkt en verschilt structureel van de verificatie van mensen of conventionele software om meerdere redenen. Ten eerste zijn agenten dynamisch; hun capaciteiten en acties kunnen verschuiven op basis van context, instructies en de onderliggende modellen. Verificatie bij implementatie zegt weinig over het gedrag een uur later. Ten tweede opereren agenten in ketens, waarbij moderne AI workflows meerdere agenten omvatten die taken aan elkaar delegeren. Elke overdracht is een potentieel punt voor spoofing, injectie of scope creep. Ten derde interacteren agenten over organisatiegrenzen heen, bijvoorbeeld met agenten van leveranciers of klanten, zonder een gedeeld vertrouwenskader. Ten slotte omvat het aanvalsoppervlak de instructies zelf. Prompt aanvallen met injection, waarbij kwaadaardige inhoud in externe data de instructies van een agent kaapt, worden al in de praktijk waargenomen. Verificatie gaat dus niet alleen over de identiteit van de agent, maar ook over de integriteit van de instructies die de agent ontvangt.

De industrie is zich bewust van de risico's en begint actie te ondernemen. Anthropic's Cyber Verification Program (CVP) is een vroeg voorbeeld, gericht op het verifiëren van legitieme cybersecurity-operatoren die met Claude's infrastructuur werken. Dit erkent de noodzaak van actieve verificatie in het AI-tijdperk. Lyrie.ai, een van de eerste bedrijven die in het CVP werd opgenomen, richt zich op beveiligingstools voor AI-agenten en autonome systemen. Dit benadrukt de groeiende consensus dat AI-systemen beveiligd moeten worden met platforms die zijn ontworpen voor de manier waarop moderne AI functioneert, in plaats van oudere beveiligingsmodellen aan te passen.

Het CVP is een begin, maar de industrie heeft open, interoperabele standaarden nodig die agentverificatie tot een essentieel onderdeel van het hele ecosysteem maken. Een cryptografische standaard voor AI-agentverificatie zou minimaal vijf vragen moeten beantwoorden: Wie is deze agent? Wat mag deze doen? Zijn de agent of diens instructies gemanipuleerd? Wie heeft de autoriteit gedelegeerd en via welke keten? En kan die autoriteit in realtime worden ingetrokken bij problemen? Deze concepten zijn niet nieuw in de beveiliging, maar moeten worden aangepast aan de specifieke eigenschappen van AI-agenten, hun dynamiek, delegatiepatronen en gevoeligheid voor instructiemanipulatie. Het onderzoeksteam van Lyrie heeft het Agent Trust Protocol (ATP) gepubliceerd, een open cryptografische standaard die deze principes aanpakt, royaltyvrij is en is ingediend bij de Internet Engineering Task Force (IETF).

Bron: HackRead

Hackers hebben kwaadaardige software voor het stelen van inloggegevens geïnjecteerd in recent gepubliceerde versies van node-ipc, een veelgebruikt pakket voor inter-procescommunicatie. Deze aanval op de toeleveringsketen richt zich op het npm-ecosysteem. Het node-ipc-pakket is een module voor Node.js die verschillende processen in staat stelt te communiceren via diverse sockets, waaronder Unix, Windows, UDP, TLS en TCP.

Ondanks dat de beheerder in maart 2022 reeds gemanipuleerde versies publiceerde die gericht waren op systemen in Rusland en Wit-Rusland, met een module die data overschreef als protest tegen de Russische invasie van Oekraïne, wordt het pakket nog steeds meer dan 690.000 keer per week gedownload via npm.

De recente aanval op de toeleveringsketen is gedetecteerd door meerdere bedrijven op het gebied van applicatiebeveiliging, waaronder Socket, Ox Security en Upwind. Zij hebben bevestigd dat de volgende drie versies kwaadaardig zijn, node-ipc@9.1.6, node-ipc@9.2.3 en node-ipc@12.0.1. De kwaadaardige code bevindt zich in het CommonJS-ingangspunt (node-ipc.cjs) en wordt automatisch uitgevoerd wanneer applicaties worden geladen.

De malware is zwaar geobfusceerd en voert een vingerafdruk uit van geïnfecteerde systemen, verzamelt omgevingsvariabelen en gevoelige lokale bestanden, comprimeert de gestolen data in archieven en exfiltreert deze via DNS TXT-verzoeken. De meest recente compromittering lijkt het werk te zijn van een externe actor die het account van een inactieve beheerder genaamd 'atiertant' heeft gecompromitteerd.

Volgens de onderzoekers verzamelt de infostealer die in de nieuwe node-ipc-versies is geïnjecteerd de volgende soorten informatie van gecompromitteerde systemen:

*   Cloud-inloggegevens van AWS, Azure, GCP, OCI, DigitalOcean en andere platforms.

*   SSH-sleutels en SSH-configuraties.

*   Inloggegevens voor Kubernetes, Docker, Helm en Terraform.

*   Tokens voor npm, GitHub, GitLab en Git CLI.

*   .env-bestanden en database-inloggegevens.

*   Shell-geschiedenis en CI/CD-geheimen.

*   macOS Keychain-bestanden en Linux keyrings.

*   Firefox profieldatabasebestanden en sleuteldatabasebestanden (op macOS).

*   Lokale opslag en IndexedDB-paden van Microsoft Teams.

De malware slaat bestanden groter dan 4 MiB over en vermijdt het scannen van .Git en node_modules-mappen om de efficiëntie te verhogen en operationele ruis op de host te verminderen. Een opvallend kenmerk van de operatie is het gebruik van DNS TXT-verzoeken in plaats van conventioneel HTTP-gebaseerd command-and-control (C2) verkeer voor data-exfiltratie. De aanvallers gebruiken een nep-Azure-thema domein (sh[.]azurestaticprovider[.]net:443) als bootstrap-resolver, waarbij de data wordt verzonden naar 'bt[.]node[.]js' met query-voorvoegsels zoals xh, xd en xf. Volgens Socket kan het exfiltreren van een gecomprimeerd archief van 500 KB ongeveer 29.400 DNS TXT-verzoeken genereren, waardoor het verkeer opgaat in normale DNS-activiteit. Voordat de data wordt verzonden, slaat de malware de verzamelde data op in tijdelijke gecomprimeerde tar.gz-archieven, die na exfiltratie worden verwijderd om forensische sporen te minimaliseren. De malware vestigt geen persistentie en downloadt geen secundaire payloads, wat suggereert dat de operatie gericht is op snelle diefstal en exfiltratie van inloggegevens. Potentieel getroffen ontwikkelaars wordt geadviseerd de betreffende versies onmiddellijk te verwijderen, blootgestelde geheimen en inloggegevens te roteren en lockfiles en npm-caches te inspecteren.**

Bron: Socket | Bron 2: ox.security | Bron 3: upwind.io

Cybersecurity-onderzoekers van Point Wild hebben een nieuwe methode ontdekt waarmee cybercriminelen ongeoorloofde toegang verkrijgen tot computers. Het onderzoek, geleid door experts Kedar Shashikant Pandit, Prathamesh Shingare en Amol Swami van het Lat61 Threat Intelligence Team, onthult dat een veelgebruikte tool door legitieme ontwikkelaars wordt misbruikt om de gevaarlijke malware XWorm te verbergen.

De aanval begint meestal met een misleidende e-mail of een valse software update, waarbij een onschuldig ogend bestand betrokken is. Dit bestand wordt gebundeld met kwaadaardige code met behulp van PyInstaller, een tool die programmeurs helpt om hun scripts om te zetten in een eenvoudig uit te voeren applicatie. In deze aanval wordt PyInstaller echter omgevormd tot een methode voor de verspreiding van de dreiging.

Wanneer het slachtoffer het bestand opent, wordt een gecompileerd script genaamd BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc op de achtergrond uitgevoerd, zonder dat er vensters worden weergegeven. Het onderzoek van Point Wild bracht verder aan het licht dat de hackers zelfs een routine hebben toegevoegd, genaamd _IAT_PHANTOM_FIX, waarvan de onderzoekers vermoeden dat het 'nepcode' is. Deze code genereert nutteloze data om tijd te verspillen, waardoor het voor security experts veel moeilijker wordt om te achterhalen wat er werkelijk gebeurt.

De onderzoekers merkten op dat deze malware slim genoeg is om zich te verbergen voor de beveiliging van Windows door gebruik te maken van AMSI Memory Patching. Deze techniek wijzigt het computergeheugen en schakelt AmsiScanBuffer uit, de veiligheidsmaatregel die Windows gebruikt om te scannen op dreigingen. Het omzeilen van deze beveiliging stelt XWorm in staat om zijn hoofdlading veilig uit te pakken. De lading is verborgen in het bestand in een versleuteld formaat via Base64 en SHA-512 encryptie. Direct na het misleiden van de veiligheidsprocessen, pakt het zichzelf uit en verbergt het zich in een map genaamd %LOCALAPPDATA%. Het geeft het uiteindelijke bestand de naam Win.Kernel_Svc_AJ8iOw.exe om het te laten lijken op een reguliere Windows systeemdienst en markeert zichzelf als een verborgen systeembestand, zodat het onzichtbaar blijft voor de gebruiker.

Eenmaal actief, legt de malware, versie XWorm V7.4, een verbinding met de externe computer van de hackers met behulp van een AES geheime sleutel. Het communiceert met een IP-adres op 68.219.64.89 op poort 4444 om deze verbinding tot stand te brengen. Dit stelt de hackers vervolgens in staat om een reeks acties uit te voeren, waaronder het stelen van wachtwoorden, het scannen van bestanden en het inschakelen van de webcam om de gebruiker te bespioneren. Ze kunnen ook DDoS aanvallen lanceren om websites te overspoelen met verkeer of een bestand genaamd afacan313131.exe droppen om volledige controle op afstand over het apparaat te verkrijgen.

Het team van Point Wild legde uit dat dreigingsactoren steeds beter worden in het opgaan in normale computertaken om lange tijd verborgen te blijven. Dr. Zulfikar Ramzan, Chief Technology & AI Officer bij Point Wild en Hoofd van het Lat61 Threat Intelligence Team, merkt op dat: "Dreigingsactoren nemen bekende malwarefamilies, zoals XWorm, en geven ze een moderne verpakking, inclusief obfuscatie, anti-analyse routines, AMSI omzeilingen en versleutelde command and control. Deze campagne herinnert ons eraan dat zelfs bekende RAT's moeilijk te detecteren worden wanneer de infectieketen is ontworpen voor stealth."

Bron: Point Wild

De afgelopen maanden is de REMUS infostealer malware snel opgekomen in het cybercrimelandschap, wat de aandacht heeft getrokken van beveiligingsonderzoekers en malware-analisten. Eerdere technische analyses hebben zich gericht op de capaciteiten van de malware, de infrastructuur en de overeenkomsten met de Lumma Stealer, inclusief mechanismen voor het richten op browsers en functionaliteit voor het stelen van inloggegevens. Echter, veel minder aandacht is besteed aan de ondergrondse operatie achter de malware zelf.

Onderzoekers van Flare hebben een analyse uitgevoerd van 128 berichten die zijn gekoppeld aan de ondergrondse operatie van REMUS, tussen 12 februari en 8 mei 2026. Deze analyse biedt een zeldzaam inzicht in hoe de groep de malware presenteert, ontwikkelt en operationeel maakt binnen ondergrondse gemeenschappen. Door advertenties, updatelogs, functieaankondigingen, operationele discussies en klantcommunicatie te analyseren, helpt het onderzoek in kaart te brengen hoe de operatie zich in de loop van de tijd heeft ontwikkeld en welke prioriteiten de ontwikkeling ervan hebben gestuurd.

De bevindingen onthullen niet alleen de snelle evolutie van de capaciteiten van de stealer, maar ook een groeiende focus op commercialisering, operationele schaalbaarheid, sessiediefstal en het richten op wachtwoordbeheerders. Breder gezien biedt de activiteit inzicht in hoe moderne malware als een dienst (MaaS) operaties steeds meer lijken op gestructureerde softwarebedrijven, met continue ontwikkelingscycli, operationele verfijningen en functies die zijn ontworpen om de bruikbaarheid, persistentie en langetermijnmonetarisering te verbeteren.

De ondergrondse activiteit toont een zeer gecomprimeerde maar agressieve ontwikkelingscyclus, waarbij de operator in slechts enkele maanden herhaaldelijk functie-updates, operationele verfijningen en nieuwe verzamelmogelijkheden publiceerde. In plaats van een statische malware-build te adverteren, tonen de berichten een actief onderhouden MaaS-platform dat bijna in realtime evolueert.

Februari 2026 markeerde de initiële commerciële push. Vroege berichten waren gericht op het vestigen van REMUS als een betrouwbare en gebruiksvriendelijke stealer, waarbij diefstal van inloggegevens uit browsers, het verzamelen van cookies, diefstal van Discord-tokens, levering via Telegram en basisbeheer van logs werden gepromoot. De toon was zeer promotioneel en klantgericht. In een van de vroegste berichten beweerde de operator: "Met goede crypting en een dedicated intermediaire server is de callback rate ~90%." Een ander bericht prees de malware aan met "24/7 ondersteuning" en functionaliteit "eenvoudig genoeg dat zelfs een kind het kan begrijpen", wat een sterke nadruk op bruikbaarheid en commercialisering vanaf het begin benadrukt.

Maart 2026 vertegenwoordigde de meest actieve ontwikkelingsperiode van de campagne. Gedurende deze fase introduceerde de operator functionaliteit voor het herstellen van tokens, uitgebreide verwerking van logs, het volgen van werkers, statistiekenpagina's, filtering van dubbele logs en verbeterde workflows voor levering via Telegram. Meerdere berichten waren niet gericht op de diefstal zelf, maar op operationele zichtbaarheid en campagnemanagement. Een update voegde werkersbijnamen toe aan logtabellen en statistiekenoverzichten, terwijl een andere de zichtbaarheid van de uitvoering van de loader verbeterde, zodat operators mislukte infecties beter konden begrijpen. Deze verschuiving suggereert dat REMUS evolueerde naar een breder operationeel platform in plaats van alleen een uitvoerbaar malwarebestand.

April 2026 liet een duidelijke verschuiving zien naar sessiecontinuïteit en authenticatie-artefacten aan de browserzijde. De operator voegde ondersteuning toe voor SOCKS5-proxy, verbeterde tokenrestauratie, anti-VM schakelaars, het richten op gamingplatformen en verzameling gerelateerd aan wachtwoordbeheerders. Een update stelde expliciet: "IndexedDB-verzameling toegevoegd voor extensies voor populaire wachtwoordbeheerders." Een andere verwees naar zoekopdrachten naar wachtwoordbeheerders. De berichten benadrukten steeds meer geauthenticeerde sessies, herstelworkflows en browser-side opslag in plaats van alleen op zichzelf staande inloggegevens.

Begin mei 2026 leek de operatie zich te richten op verfijning en operationele stabiliteit. De resterende berichten in de dataset verwezen naar verbeteringen in herstel, bugfixes, optimalisaties in verzameling en voortdurende aanpassingen aan leveringsfunctionaliteit en beheersfunctionaliteit, wat suggereert dat de operator verschoof van snelle functie-uitbreiding naar platformstabilisatie.

Openbare rapportage heeft REMUS grotendeels gericht op een technisch significante opvolger of variant van de Lumma Stealer. Onderzoekers beschreven de malware als een 64-bit infostealer die meerdere overeenkomsten deelt met Lumma, waaronder anti-VM controles, browsergerichte diefstal van inloggegevens en technieken voor het omzeilen van browser-encryptie. Deze technische overlap is belangrijk, maar de ondergrondse data suggereert dat het verhaal veel verder reikt dan de afkomst van de malware. De geanalyseerde berichten tonen een dreigingsacteur die agressief een commercieel cybercrimineel product rond de malware bouwt, met herhaalde promotie van updates en klantenondersteuning.

Bron: Flare

Een gevaarlijke rootkit genaamd OrBit richt zich al jaren heimelijk op Linux systemen, waarbij inloggegevens worden gestolen en de malware diep in geïnfecteerde machines verborgen blijft zonder de meeste beveiligingstools te activeren. Nieuw onderzoek onthult dat wat eerder werd beschouwd als een op maat gemaakte dreiging, feitelijk een aangepaste versie is van een openbaar beschikbare rootkit. Deze variant verspreidt zich wereldwijd via diverse hackergroepen.

OrBit nestelt zich in de kern van een Linux systeem en haakt in op meer dan veertig basissysteemfuncties, waardoor het vrijwel volledig onzichtbaar wordt. Eenmaal in een machine luistert de rootkit naar inlogpogingen via SSH en sudo. Het legt gebruikersnamen en wachtwoorden vast en slaat deze op in een verborgen map die door standaard systeemscans niet kan worden gedetecteerd. De aanvaller maakt vervolgens verbinding met het gecompromitteerde systeem via een geheime SSH-achterdeur, zonder dat commando's via het internet hoeven te worden verzonden.

Onderzoekers van Intezer identificeerden in een rapport dat OrBit geen originele code is. Het is gebouwd op basis van Medusa, een openbaar beschikbare rootkit die in december 2022 op GitHub werd gepubliceerd. Het werk van de hackers bestond niet uit het schrijven van nieuwe code, maar uit het configureren van bestaande bronbestanden, het wijzigen van wachtwoorden en het aanpassen van installatiepaden om verborgen te blijven.

Intezer's analyse volgde meer dan een dozijn samples van 2022 tot begin 2026. Het team doorliep elk sample met statische en differentiële analyse en ontdekte twee afzonderlijke build-paden, een volledig uitgeruste versie genaamd Lineage A, die de complete aanvals toolkit bevat, en een uitgeklede versie genaamd Lineage B, die verschillende functies weglaat voor een lichtere footprint. Lineage B lijkt na 2024 niet meer te zijn opgedoken, wat suggereert dat de operators mogelijk zijn teruggekeerd naar de hoofd build.

OrBit wordt geïmplementeerd als een gedeeld bibliotheekbestand op de doel Linux machine. Het bereikt persistentie door de configuratie van de dynamische linker te wijzigen, zodat de kwaadaardige bibliotheek automatisch in elk proces dat op het systeem draait, wordt geladen. Vanuit die positie onderschept het bestandsleesacties, directorylijsten en netwerkverbindingsgegevens, waardoor het zowel voor beheerders als voor beveiligingstools onzichtbaar blijft. De malware slaat vastgelegde inloggegevens en configuratiegegevens op in een verborgen directory genaamd /lib/libseconf/, die door standaardtools niet zichtbaar is vanwege de hooks van de rootkit.

De meest significante sprong in mogelijkheden kwam in 2025, toen de nieuwste build een hook genaamd pam_sm_authenticate toevoegde, een server-zijdige authenticatiefunctie. Waar eerdere versies alleen passief inloggegevens konden verzamelen wanneer gebruikers deze invoerden, kan deze nieuwe versie ook authenticatieresultaten vervalsen. Dit betekent dat aanvallers naar believen inlogpogingen op een gecompromitteerd systeem kunnen goedkeuren of weigeren. In hetzelfde jaar verscheen een nieuwe twee-staps leveringsketen, een infector embedt een dropper, die vervolgens de rootkit extraheert en installeert, met een cron job die is ingesteld om bijgewerkte payloads van een extern domein op te halen.

Meerdere hackergroepen maken gebruik van deze achterdeur. Een van de meest alarmerende bevindingen uit dit onderzoek is dat minstens drie verschillende hackergroepen OrBit hebben ingezet. De staat gesponsorde spionagegroep UNC3886, gevolgd door Mandiant, gebruikte dezelfde codebase met een specifieke 0xAA encryptiesleutel, afzonderlijke inloggegevens en een installatiepad dat exact overeenkwam met de Lineage A samples van Intezer uit 2024. CrowdStrike merkte in zijn Global Threat Report van 2026 op dat BLOCKADE SPIDER, een eCrime groep bekend van Embargo ransomware, OrBit gebruikte om stilzwijgend toegang te behouden binnen VMware virtualisatie-omgevingen. Een derde campagne, waargenomen in 2025, gebruikte een dropper architectuur die identiek was aan een die gekoppeld is aan RHOMBUS, een Linux gebaseerd botnet dat voor het eerst werd gemeld in 2020. Beide droppers deelden hetzelfde C2 domein dat oplost naar infrastructuur in Rusland.

Verdedigers wordt geadviseerd te letten op gelijktijdig voorkomende bestandsnamen zoals sshpass.txt, .logpam en .ports die verschijnen in onverwachte mappen, aangezien dit vaste artefacten zijn van de Medusa build pipeline, ongeacht welke operator de rootkit heeft gecompileerd. YARA regels die de XOR stringtabel decoderen met een variabele sleutel en matchen op bekende platte tekstinvoer kunnen elke versie van deze familie detecteren, zelfs builds die nieuwe inloggegevens en hernoemde installatiepaden gebruiken.

**

Bron: Intezer

Meerdere onderzoekers trekken sterk in twijfel of de criminele groepering ShinyHunters de gestolen gegevens van miljoenen studenten en docenten van het onderwijsplatform Canvas daadwerkelijk heeft vernietigd. Deze twijfel ontstaat nadat Instructure, de leverancier van Canvas, recentelijk aankondigde een overeenkomst met de criminelen te hebben gesloten om publicatie van de buitgemaakte data te voorkomen. Instructure stelde bewijs, in de vorm van 'shred logs', te hebben ontvangen waaruit de vernietiging van de gegevens zou blijken.

Canvas is een op het web gebaseerd Learning Management System (LMS) dat wereldwijd door onderwijsinstellingen wordt gebruikt om lesmateriaal aan te bieden. Studenten kunnen via het platform opdrachten indienen, communiceren en samenwerken. Instructure claimt dat zevenduizend onderwijsinstellingen wereldwijd gebruikmaken van Canvas, met een totaal van meer dan tweehonderd miljoen gebruikers.

ShinyHunters had eerder gemeld de gegevens van 275 miljoen Canvas-gebruikers in handen te hebben en dreigde deze openbaar te maken indien Instructure geen losgeld zou betalen. Hoewel Instructure een deal heeft gesloten, heeft het bedrijf niet bekendgemaakt of er losgeld is betaald. De scepsis onder onderzoekers over de vernietiging van de data is groot.

Max Smeets, onderzoeker bij ETH Zurich, merkte in gesprek met The Register op dat ransomware groepen de gegevens waarvan zij beweren dat deze zijn verwijderd, op z'n minst niet zouden moeten publiceren om hun geloofwaardigheid voor toekomstige losgeldbetalingen te behouden. Desondanks, zo stelt hij, wordt dit vaak gedaan met de wetenschap dat de data waarschijnlijk niet echt is vernietigd. The Register sprak met diverse onderzoekers over de geclaimde vernietiging van de dataset.

Cynthia Kaiser, die twintig jaar voor de FBI werkte en nu verbonden is aan het Halcyon Ransomware Research Center, deelt de mening dat vrijwel niemand die ransomware groepen bestudeert, gelooft dat de gegevens werkelijk zijn vernietigd. Kaiser wijst op het verleden van ShinyHunters, waarbij de groep gestolen data uit eerdere inbraken maanden en zelfs jaren later opnieuw heeft gebruikt, doorverkocht of gerecycled op criminele fora. Zij verwacht dan ook dat de gestolen Canvas-data in de toekomst zal worden ingezet voor phishingaanvallen. Haar standpunt wordt ondersteund door Allan Liska, onderzoeker bij securitybedrijf Recorded Future, die de vernietiging van de data door criminelen resoluut van de hand wijst.**

Bron: Security.NL

Een recente analyse van Bitdefender onderstreept een verschuiving in de aard van cyberdreigingen, de grootste beveiligingsrisico's binnen organisaties zijn niet langer uitsluitend externe aanvallen of onbekende malware, maar het misbruik van reeds vertrouwde tools. Deze tactiek, bekend als 'living off the land' (LOLBins), omvat het gebruik van legitieme systeemhulpprogramma's zoals PowerShell, WMIC, netsh, Certutil en MSBuild. Deze tools, dagelijks gebruikt door IT-teams voor administratieve taken, zijn ook het favoriete instrumentarium van moderne dreigingsactoren.

Bitdefender's onderzoek naar 700.000 incidenten met hoge ernst toonde aan dat in maar liefst 84 procent van de gevallen misbruik werd gemaakt van legitieme tools. Een standaardinstallatie van Windows 11 bevat bijvoorbeeld 133 unieke 'living off the land' binaries, verspreid over 987 instanties. Telemetrie van Bitdefender Labs wees uit dat PowerShell actief is op 73 procent van de endpoints, vaak stilzwijgend aangeroepen door applicaties van derden. Dit duidt op een fundamenteel probleem van overmatige rechten en toegang, dat niet met traditionele patches kan worden opgelost.

Gartner voorspelt dat preventieve cybersecurity tegen 2030 50 procent van de IT-beveiligingsuitgaven zal uitmaken, een aanzienlijke stijging ten opzichte van minder dan 5 procent in 2024. Bovendien verwacht Gartner dat 60 procent van de grote ondernemingen tegen 2030 technologieën voor dynamische reductie van het aanvalsoppervlak (Dynamic Attack Surface Reduction - DASR) zal toepassen, vergeleken met minder dan 10 procent in 2025. Deze verschuiving wordt gedreven door het feit dat de meeste inbraken geen malware omvatten en aanvallers zich binnen enkele minuten kunnen verplaatsen, waardoor een 'detect and respond'-strategie te traag is. Het is essentieel om aanvallers de mogelijkheden te ontnemen nog voordat ze een zet kunnen doen.

Om organisaties hierbij te helpen, biedt Bitdefender een gratis Internal Attack Surface Assessment aan. Dit assessment is beschikbaar voor organisaties met 250 of meer werknemers en zet het abstracte probleem van 'living off the land' om in een specifieke, geprioriteerde lijst van gebruikers, endpoints en tools die veilig aan aanvallers kunnen worden onttrokken zonder de bedrijfsvoering te verstoren.

Het assessment doorloopt vier stappen over een periode van ongeveer 45 dagen, aangedreven door Bitdefender's GravityZone PHASR (Proactive Hardening and Attack Surface Reduction) technologie. Deze technologie werkt naast elke bestaande endpoint-stack. De stappen omvatten een kick-off met gedragsleren gedurende ongeveer 30 dagen, gevolgd door een evaluatie van het Attack Surface Dashboard, dat een exposure score (0-100) en een geprioriteerde lijst van bevindingen presenteert. Deze bevindingen omvatten 'living off the land' binaries, remote admin tools, tampering tools, cryptominers en piracy tools, elk gekoppeld aan de specifieke gebruikers en apparaten die ze beïnvloeden. Een optionele reductiesprint stelt organisaties in staat om handmatig controles toe te passen of deze automatisch te laten afdwingen door PHASR's Autopilot, met een geïntegreerde workflow voor het aanvragen van toegang met één klik. Ten slotte kwantificeert een reductie-evaluatie hoeveel van het aanvalsoppervlak is verkleind en welke schaduw-IT en ongeautoriseerde binaries zijn ontdekt.

Klanten die vroegtijdig toegang hadden tot het assessment, hebben hun aanvalsoppervlak met 30 procent of meer verminderd in de eerste 30 dagen; één klant rapporteerde zelfs een reductie van bijna 70 procent door LOLBins en remote tools te vergrendelen, zonder extra onderzoekslast of verstoring voor eindgebruikers. Dit biedt CISOs een verdedigbaar en directie-klaar exposure nummer, vermindert de onderzoekswerklast en responswerklast voor SOC- en IT-beheerders met tot wel 50 procent, en levert voor bedrijfsbeslissers gedocumenteerde, continue reductie van het aanvalsoppervlak, wat steeds belangrijker wordt voor regelgevers, auditors en cyberverzekeraars.

**

Bron: Bitdefender

Het onderzoeksteam Unit 42 van Palo Alto Networks heeft een significante evolutie waargenomen in de Gremlin Stealer malware, die nu geavanceerde verhullingstechnieken gebruikt om zijn kwaadaardige lading te camoufleren binnen ingebedde bronbestanden. Deze nieuwe variant is ontdekt en geanalyseerd door onderzoekers Pranay Kumar Chhaparwal en Mark Lim.

De analyse van Unit 42 onthult dat de nieuwste versie van Gremlin Stealer wordt beschermd door een geraffineerde commerciële packing utility. Deze utility maakt gebruik van instructievirtualisatie, een techniek waarbij de oorspronkelijke code wordt omgezet in een aangepaste, niet-standaard bytecode. Deze bytecode wordt vervolgens uitgevoerd door een private virtuele machine, wat de detectie en analyse door beveiligingssystemen aanzienlijk bemoeilijkt. Door deze methode kan de malware 'onzichtbaar' blijven voor veel traditionele beveiligingsoplossingen.

Gremlin Stealer is ontworpen om gevoelige informatie van geïnfecteerde systemen te stelen en deze te exfiltreren naar door aanvallers gecontroleerde servers. Deze gestolen data kan vervolgens worden gepubliceerd of verkocht op ondergrondse fora. De malware richt zich specifiek op webbrowsers, het systeemklembord en lokale opslag om diverse soorten gevoelige gegevens te verkrijgen. Hiertoe behoren onder andere betaalkaartgegevens, browsercookies, sessietokens, cryptocurrency-portemonneedata, en FTP en VPN inloggegevens.

Volgens de onderzoekers heeft Gremlin Stealer een snelle ontwikkeling doorgemaakt, waarbij in recente builds nieuwe anti-analysebeveiligingen zijn geïntegreerd. Palo Alto Networks heeft aangegeven dat hun klanten beschermd zijn tegen deze variant van Gremlin Stealer via hun bestaande netwerkbeveiligingsoplossingen en Cortex-producten. Deze voortdurende evolutie onderstreept de noodzaak voor organisaties om hun verdediging tegen infostealers voortdurend aan te passen en te versterken.

**

Bron: Unit 42 | Bron 2: mastodon.social | Bron 3: paloaltonetworks.com

De cybercriminelen achter de Tycoon 2FA phishingkit hebben hun tactieken uitgebreid met een geavanceerde nieuwe methode. Door hun bekende phishinginfrastructuur te combineren met misbruik van OAuth Device Code, kunnen zij nu toegang verkrijgen tot Microsoft 365-accounts zonder ooit een wachtwoord te stelen. Deze ontwikkeling markeert een significante evolutie in hun aanvalsstrategieën.

De Tycoon 2FA phishingkit is eerder in de schijnwerpers komen te staan als een Phishing-as-a-Service (PhaaS) platform. Het was ontworpen om aanvallers te helpen multi-factor authenticatie (MFA) te omzeilen door inloggegevens te relayeren via een tussenlaag. Gedurende het afgelopen jaar hebben de beheerders hun methoden voortdurend verfijnd en hun leveringsketens aangepast om detectietools en vendorblokkeerlijsten voor te blijven. Zelfs na een grote verstoring in maart 2026, geleid door Microsoft en Europol, hebben de operators hun activiteiten onverminderd voortgezet.

Analisten van eSentire hebben in een rapport, gedeeld met Cyber Security News (CSN), aangegeven dat de campagne eind april 2026 werd geïdentificeerd door hun Threat Response Unit (TRU). Het eSentire-team ontdekte dat de Tycoon 2FA-operators hun kernkit vrijwel intact hadden gehouden na de coalitietakedown in maart 2026. Het enige verschil was dat ze ditmaal een OAuth device code-flow hadden toegevoegd om tokens te oogsten in plaats van inloggegevens.

De aanval begint met een overtuigende lokmail die een click-tracking link bevat van Trustifi, een legitiem enterprise e-mailbeveiligingsplatform. Trustifi zelf was niet gecompromitteerd; de dreigingsactoren exploiteren eenvoudigweg de goede reputatie van het platform om e-mailgateways te omzeilen en slachtoffers via een keten van kwaadaardige omleidingen te leiden zonder vroegtijdige alarmen te veroorzaken. Na de klik doorloopt de link meerdere lagen voordat de uiteindelijke payload wordt bereikt. De leveringsketen maakt gebruik van versleutelde payloads, antianalysecontroles, een nep Microsoft CAPTCHA-pagina en een vendorblokkeerlijst met meer dan 230 organisaties. Dit alles is ontworpen om ervoor te zorgen dat alleen echte slachtoffers de laatste fase van de aanval bereiken.

De kern van deze campagne is het sluwe misbruik van de OAuth 2.0 Device Authorization Grant, een legitiem protocol dat is gebouwd voor apparaten zoals smart-tv's die traditionele inlogstromen niet gemakkelijk kunnen afhandelen. In de normale procedure genereert een apparaat een korte code en voert de gebruiker deze in op een vertrouwde website om toegang te verlenen. De Tycoon 2FA-operators hebben dit proces nu volledig bewapend. Slachtoffers krijgen een Microsoft 365 voicemailmelding te zien en worden geïnstrueerd een gebruikerscode te kopiëren en de echte Microsoft device login-pagina te bezoeken op microsoft.com/devicelogin. Aangezien het slachtoffer interacteert met legitieme infrastructuur van Microsoft, wordt MFA normaal geactiveerd en voltooid. Het slachtoffer realiseert zich echter niet dat door de prompt goed te keuren, toegangstokens worden verleend aan een door de aanvaller gecontroleerd apparaat dat op de achtergrond draait. De aanval met phishing omzeilt MFA dus niet, maar verandert wat MFA autoriseert.

Een opvallende bevinding in het eSentire-rapport is hoe weinig de kit is veranderd ondanks de grote verstoring door wetshandhaving. Dezelfde AES-versleutelingssleutel, dezelfde anti-debug timing trap, dezelfde Check Domain-grammatica en dezelfde backend route-patronen uit 2025 zijn nog steeds aanwezig in deze campagne van 2026. Dit niveau van continuïteit toont aan dat de operators hun codebasis hadden geback-upt en hun activiteiten zonder onderbreking hebben hervat. Analyse na compromittering van Entra aanmeldingslogboeken onthulde dat operatoractiviteit afkomstig was van Node.js-automatiseringstools die de user-agent strings "node" en "undici" gebruikten. Dit zijn sterke indicatoren van een backend polling-client en zeer ongebruikelijk in een normale productieomgeving. Verdedigers moeten deze user-agents die verschijnen tegen de Microsoft Authentication Broker AppId behandelen als een directe waarschuwing. De infrastructuur van de operator is ook verschoven naar Alibaba Cloud, specifiek AS45102, als onderdeel van een bredere hostingrotatie nadat eerdere providers te maken kregen met takedown-druk.

De Threat Response Unit van eSentire adviseert organisaties om Microsoft Entra Conditional Access-beleidsregels te implementeren om OAuth Device Code-stromen voor reguliere eindgebruikers te blokkeren. Beheerders moeten ook de gebruikerstoestemming voor OAuth-apps beperken en goedkeuring van beheerders vereisen voor alle toegang van applicaties van derden. Het inschakelen van Continuous Access Evaluation zorgt ervoor dat tokenherroeping snel wordt doorgevoerd na elk bevestigd incident. Teams moeten ook jagen op de specifieke KQL-queries en URLscan-patronen die door eSentire zijn gepubliceerd om gerelateerde activiteit in hun omgevingen te identificeren.

**

Bron: eSentire

Cybercriminelen hebben een geavanceerde methode ontwikkeld om beveiligingsmaatregelen te omzeilen door gebruik te maken van werkroosters, zo blijkt uit een nieuw rapport van Fortra Intelligence en Research Experts (FIRE). Deze campagne, actief sinds begin 2026, maakt gebruik van een techniek genaamd CalPhishing (Calendar Phishing) om gebruikersaccounts te kapen via agenda-uitnodigingen.

De aanval begint met een e-mail die een urgent administratief bericht lijkt te zijn, vaak met onderwerpregels als "Domain Renewal Failed" of "Reminder for Signature, Vendor Information Verification". Deze e-mail bevat een iCalendar-bestand (.ics). Zodra de Outlook-applicatie dit .ics-bestand verwerkt, wordt er automatisch een voorlopige vergadering in de agenda van het slachtoffer geplaatst, zonder dat de gebruiker de oorspronkelijke e-mail hoeft te openen of zelfs maar te zien.

Nadat de uitnodiging in de agenda staat, misbruiken de aanvallers verschillende velden om het slachtoffer te misleiden. Het 'SUMMARY'-veld creëert een vals gevoel van urgentie, het 'LOCATION'-veld verwijst vaak naar een bijgevoegd bestand om de legitimiteit te vergroten, en het 'DESCRIPTION'-veld bevat de eigenlijke oplichtingsboodschap en instructies. Doordat de vergadering in de agenda staat, ontvangt het slachtoffer officiële meldingen en herinneringen op de telefoon of computer.

Wanneer een gebruiker de vergadering opent, wordt een HTML-bestand getoond dat een beheerportaal nabootst. Door hierop te klikken, wordt een reeks omleidingen via Cloudflare geactiveerd om detectie door beveiligingsscanners te bemoeilijken. De onderzoekers identificeerden twee specifieke lokmiddelen, een die Microsoft 365-waarschuwingen over domeinvernieuwingen nabootst en naar een valse GoDaddy-pagina leidt, en een ander dat vraagt om een digitale handtekening op een factuur, meestal via een nagemaakte DocuSign-pagina.

Verder onderzoek onthulde dat deze campagne gebruikmaakt van de techniek ConsentFix, ook bekend als apparaatcode-phishing. Hierbij stelen de aanvallers niet alleen wachtwoorden, maar ook sessietokens. Vermoedelijk wordt hiervoor de EvilTokens phishing kit ingezet, die via Telegram wordt verkocht en het hele proces automatiseert. Door het stelen van deze tokens kunnen aanvallers toegang krijgen tot een account, zelfs als meervoudige authenticatie (MFA) is ingeschakeld. Eenmaal binnen kunnen zij systemen uitschakelen of privégegevens stelen.

Een zorgwekkend aspect is de persistentie van deze dreiging. Standaard beveiligingshulpmiddelen missen deze uitnodigingen vaak, omdat .ics-bestanden over het algemeen als betrouwbaar worden beschouwd. De onderzoekers merkten op dat "een vergaderverzoek wordt gebruikt als primair interactiepunt... een zachte verwijdering of verplaatsing naar de ongewenste e-mail verwijdert de vergadering niet uit de agenda zelf." Het FIRE-team vermoedt dat aanvallers AI-automatisering gebruiken om deze uitnodigingen op grote schaal te versturen. Omdat de vergadering in de agenda blijft staan, tenzij een definitieve verwijdering wordt uitgevoerd, blijven slachtoffers kwetsbaar lang nadat de oorspronkelijke e-mail is verdwenen.

**

Bron: Fortra Intelligence en Research Experts (FIRE)

Een dreigingsactor die opereert onder het alias hastalamuerte claimt een nieuw ransomware als dienst programma te promoten met de naam The Gentlemen. Het programma werft volgens berichten op een ondergronds forum actief naar toegangsmakelaars, pentesters en criminele operators.

Het geadverteerde programma biedt naar verluidt ondersteuning voor Windows, Linux, NAS, BSD en ESXi omgevingen. Affiliates zouden controle krijgen over slachtofferonderhandelingen, een deel van het losgeld ontvangen en toegang krijgen tot versleutelingstooling en ontsleutelingstooling. Het platform zou ook selectieve versleuteling, netwerkgerichte aanvallen en geautomatiseerde uitvoering ondersteunen.

Daarnaast werd interne tooling van de groep openbaar gemaakt, waaronder een ontsleutelaar die op GitHub werd geplaatst. Dit wijst op mogelijke interne conflicten binnen de groep. De operationele volwassenheid en daadwerkelijk slachtofferimpact zijn op dit moment nog onduidelijk.

Bron: Cybercrimeinfo

Een dreigingsactor die opereert onder het alias Saikaa beweert op een ondergronds forum een grote Nike database te verkopen. Naar verluidt gaat het om meer dan 61,7 miljoen records uit betalingsdatasets en aanbiedingsdatasets.

Volgens de aankondiging zou het gaan om twee afzonderlijke bestanden, namelijk een betalingsgerelateerd bestand van bijna twee miljoen records en een aanbiedingenbestand van bijna zestig miljoen regels. De actor stelt dat de bestanden samen meer dan 33 gigabyte beslaan. Voorbeeldgegevens zouden zijn gedeeld als bewijs van toegang.

De authenticiteit van de claim is niet onafhankelijk geverifieerd. Nike heeft op het moment van publicatie geen officiële reactie gegeven. De account van de actor was pas in mei 2026 aangemaakt op het forum, wat de geloofwaardigheid van de claim beïnvloedt. Terughoudendheid is geboden totdat verdere bevestiging beschikbaar is.

Bron: Cybercrimeinfo

Google Threat Intelligence waarschuwt voor een hoogintensieve vishing campagne uitgevoerd door de dreigingsgroep UNC6671, ook bekend als BlackFile. De groep richt zich sinds begin 2026 op organisaties die Microsoft 365 en Okta gebruiken.

Bij de aanvallen bellen oplichters slachtoffers op en doen zich voor als IT-medewerkers. Ze hanteren voorwendselen zoals het uitvoeren van een beveiligingsupdate of het begeleiden van een migratie naar meervoudige authenticatie. In realiteit oogsten ze inloggegevens en authenticatiecodes in real time, waarna ze eigen apparaten registreren voor aanhoudende toegang.

Opvallend is dat BlackFile tegelijkertijd aankondigde de operaties te beëindigen. Op de eigen website verscheen de melding dat diensten, onderhandelingen en outreach onder de naam BlackFile worden gestaakt. Organisaties worden gewaarschuwd geen betalingen te doen aan partijen die beweren BlackFile te vertegenwoordigen.

Bron: Cybercrimeinfo

Criminelen sturen fysieke brieven naar klanten van Ledger, de fabrikant van hardware wallets voor het bewaren van cryptovaluta. De brieven zijn vormgegeven als officiële Ledger communicatie en zijn ondertekend met de naam van de technisch directeur.

De brieven beschrijven een zogenaamde beveiligingsupdate voor kwantumresistentie en bevatten een QR-code die leidt naar een phishing website. Op die site worden slachtoffers gevraagd hun 24 woorden tellende herstelzaadfrase in te voeren. Door het invoeren van die frase geven zij criminelen volledige toegang tot hun cryptobezittingen.

De brieven zijn per regio gepersonaliseerd, wat erop wijst dat de aanvallers beschikken over nauwkeurige klantgegevens, vermoedelijk afkomstig uit het datalek bij Global-e uit januari 2026. Ledger heeft dit type campagne bevestigd. Wie een dergelijke brief ontvangt dient die direct weg te gooien zonder de QR-code te scannen.

Bron: Cybercrimeinfo

De dreigingsgroep TeamPCP heeft aangekondigd een gedeelde eigenaarrol te bekleden bij het Breached cybercrimeforum, een platform dat bekend staat als marktplaats voor gestolen data en cybercriminele diensten.

Volgens de aankondiging wordt TeamPCP verantwoordelijk voor personeelsbeheer, zakelijke samenwerkingen, gemeenschapsbeslissingen, moderatie, escrowdiensten en toegang tot premium content. De groep benadrukt zich te richten op platformbetrouwbaarheid, geverifieerde content en het handhaven van forumstandaarden.

TeamPCP is een bekende dreigingsactor die eerder in verband werd gebracht met aanvallen op ontwikkelplatforms en beveiligingsleveranciers. Het beheer over een groot cybercrimeforum vergroot de operationele capaciteit van de groep en kan leiden tot uitgebreidere criminele samenwerking via het platform.

Bron: Cybercrimeinfo

Een dreigingsactor, opererend onder het pseudoniem Gr33nGoblin, adverteert op een ondergronds forum de Goblin Refund Service. Deze dienst is specifiek gericht op het misbruiken van de restitutiesystemen en retourprocessen van grote e-commerceplatforms zoals Amazon en Apple. De service beweert klanten wereldwijd te ondersteunen, met inbegrip van de Europese regio, wat een potentiële impact op Nederland en België impliceert.

De werkwijze van de Goblin Refund Service houdt in dat klanten via Telegram bestellingen plaatsen. Vervolgens worden restitutieaanvragen frauduleus verwerkt, waarbij de betaling in cryptovaluta wordt gedaan. Klanten ontvangen in dit scenario de bestelde goederen en behouden deze, terwijl de terugbetaling van de aankoop wordt doorgesluisd naar de aanbieder van de fraudedienst. De advertentie voor deze dienst bevat promotiemateriaal en verwijst naar een extern communicatiekanaal voor verdere interactie.

Dergelijke refund fraud services veroorzaken aanzienlijke financiële schade bij retailers. Ze misbruiken de klantenservice-workflows en faciliteren georganiseerde e-commercefraude op schaalbare wijze op grote online platforms. De authenticiteit en de actieve status van deze fraudedienst zijn niet onafhankelijk geverifieerd.

Bron: Cybercrimeinfo

Grafana heeft openbaar gemaakt dat een ongeautoriseerde partij toegang heeft verkregen tot de GitHub omgeving van het bedrijf door middel van een gestolen token. Deze toegang stelde de aanvallers in staat om de codebase van Grafana te downloaden. Het bedrijf heeft benadrukt dat er tijdens dit incident geen klantgegevens of persoonlijke informatie zijn benaderd, en er is geen bewijs gevonden van impact op klantsystemen of -activiteiten.

Na de ontdekking van de activiteit heeft Grafana onmiddellijk een forensische analyse gestart. Deze analyse heeft de bron van het lek geïdentificeerd, waarna de gecompromitteerde inloggegevens ongeldig zijn gemaakt. Tevens zijn er aanvullende beveiligingsmaatregelen geïmplementeerd om verdere ongeautoriseerde toegang te voorkomen.

Grafana heeft verder onthuld dat de aanvallers hebben geprobeerd het bedrijf af te persen. Zij eisten losgeld om publicatie van de gestolen database te voorkomen. Grafana heeft ervoor gekozen het losgeld niet te betalen, daarbij verwijzend naar de richtlijnen van de Amerikaanse Federal Bureau of Investigation (FBI). De FBI heeft eerder gewaarschuwd tegen het onderhandelen met daders, aangezien dit geen garantie biedt dat gestolen gegevens worden teruggegeven. Bovendien moedigt het betalen van losgeld daders aan om meer slachtoffers te maken en stimuleert het anderen om deel te nemen aan dergelijke illegale activiteiten, zo stelt de FBI op hun website.

Het incident vond "recentelijk" plaats, maar Grafana heeft geen specifieke datum bekendgemaakt voor het incident of de duur van de ongeautoriseerde toegang. De inbreuk is niet toegeschreven aan een bekende dreigingsactor of -groep. Echter, het cybercriminele groep CoinbaseCartel heeft de verantwoordelijkheid voor het incident opgeëist.

CoinbaseCartel is een afpersingsgroep die in september 2025 is opgedoken en wordt beschouwd als een afsplitsing van de ShinyHunters, Scattered Spider en LAPSUS$ ecosystemen. In tegenstelling tot traditionele ransomwaregroepen richt deze groep zich uitsluitend op datadiefstal en afpersing. De groep heeft inmiddels 170 slachtoffers gemaakt in diverse sectoren, waaronder gezondheidszorg, technologie, transport, productie en zakelijke diensten.

Grafana heeft niet gespecificeerd welke codebase de aanvaller heeft gedownload. Het bedrijf biedt diverse oplossingen aan, waaronder Grafana Cloud, een volledig beheerd, via de cloud aangeboden observabilityplatform voor applicaties en infrastructuur.

Dit incident volgt enkele dagen nadat het Amerikaanse onderwijstechnologiebedrijf Instructure de controversiële beslissing nam om een schikking te treffen met de afpersingsgroep ShinyHunters, nadat deze dreigde terabytes aan gegevens van duizenden scholen en universiteiten in de Verenigde Staten te lekken.

Bron: Grafana | Bron 2: fbi.gov

Voor het eerst is een publieke macOS kernel exploit succesvol uitgevoerd op de Apple M5-chip, waarbij de geavanceerde hardwarematige geheugenbeveiliging van Apple werd omzeild. Onderzoekers Calif, Bruce Dang, Dion Blazakis en Josh Maine ontwikkelden een werkende lokale privilege escalatie (LPE) exploit die zich richt op macOS 26.4.1 (build 25E253) op bare-metal M5 hardware.

De exploitketen start vanuit een lokaal, niet-bevoorrecht gebruikersaccount, maakt uitsluitend gebruik van standaard systeemoproepen en levert een volledige root-shell. Dit alles gebeurde terwijl Apple's Memory Integrity Enforcement (MIE) actief was. Het team ontdekte de twee onderliggende kwetsbaarheden op 25 april. Twee dagen later bundelden zij hun krachten en op 1 mei hadden zij een werkende exploit operationeel. De snelle ontwikkeling van vijf dagen, tegen een beveiligingsmechanisme dat Apple vijf jaar kostte om te bouwen, wordt beschouwd als een belangrijke mijlpaal voor door AI ondersteund offensief beveiligingsonderzoek.

De onderzoekers kozen ervoor om het 55 pagina's tellende rapport persoonlijk in te dienen bij Apple Park in Cupertino, in plaats van via de reguliere bug bounty-procedure. Deze bewuste keuze had als doel de drukte van indieningswachtrijen, zoals die tijdens evenementen als Pwn2Own, te vermijden. Volledige technische details zullen pas worden gepubliceerd nadat Apple een patch heeft uitgebracht.

Memory Integrity Enforcement is het door Apple ontwikkelde hardware ondersteund geheugenbeveiligingssysteem, gebaseerd op de Memory Tagging Extension (MTE) architectuur van ARM. MIE werd geïntroduceerd als de belangrijkste beveiligingsfunctie van de M5- en A19-chips. Apple heeft hier naar verluidt vijf jaar en miljarden dollars in geïnvesteerd, specifiek om kernelgeheugencorruptie-exploits te dwarsbomen. Volgens Apple's eigen onderzoek verstoort MIE elke bekende publieke exploitketen tegen moderne iOS, inclusief de gelekte Coruna exploitkit en de Darksword exploitkit.

De doorbraak werd mede mogelijk gemaakt door Anthropic's Mythos Preview, een krachtig AI model dat hielp bij het identificeren van de twee kwetsbaarheden en ondersteuning bood gedurende het gehele exploitontwikkelingsproces. Calif beschrijft het model als zijnde in staat om aanvalspatronen te generaliseren over hele kwetsbaarheidsklassen, zodra het een probleemtype heeft geleerd. De bugs werden snel ontdekt omdat ze binnen bekende bugklassen vallen. Het autonoom omzeilen van MIE vereiste echter nog steeds aanzienlijke menselijke expertise, wat de kracht van een samenwerking tussen mens en AI benadrukt.

Geheugencorruptie blijft de meest voorkomende kwetsbaarheidsklasse op alle moderne platformen, inclusief iOS en macOS. Beveiligingsmaatregelen zoals MIE zijn ontworpen om de kosten van misbruik te verhogen, niet om het onmogelijk te maken. Dit onderzoek toont aan dat naarmate AI modellen beter worden in het opsporen van onbekende bugs in bekende klassen, zelfs de beste hardwarematige mitigaties een steeds kleiner wordend venster van effectiviteit kennen. Calif ziet de exploit als een voorproefje van wat het de "AI bugmageddon"-tijdperk noemt, een periode waarin kleine, door AI versterkte beveiligingsteams kunnen bereiken wat voorheen grote, goed gefinancierde organisaties vereiste.

Apple is naar verluidt bezig met een oplossing. Totdat een patch wordt uitgebracht, blijven systemen met macOS 26.4.1 op M5 hardware theoretisch kwetsbaar voor lokale privilege escalatie via deze nog ongepubliceerde exploitketen.

Bron: Calif

Een recent bekendgemaakte beveiligingskwetsbaarheid in NGINX Plus en NGINX Open wordt actief misbruikt, slechts enkele dagen na de publieke openbaarmaking. Dit meldt VulnCheck. De kwetsbaarheid, aangeduid als CVE-2026-42945 (CVSS-score: 9.2), betreft een heap buffer overflow in de ngx_http_rewrite_module en treft NGINX versies 0.6.27 tot en met 1.30.0. Volgens het AI-native beveiligingsbedrijf depthfirst werd deze kwetsbaarheid al in 2008 geïntroduceerd.

Succesvolle exploitatie van het lek kan een ongeauthenticeerde aanvaller in staat stellen om worker-processen te laten crashen of remote code uit te voeren met speciaal geprepareerde HTTP-requests. Remote code execution (RCE) is echter alleen mogelijk op systemen waar Address Space Layout Randomization (ASLR), een beveiliging tegen geheugen-gebaseerde aanvallen, is uitgeschakeld. Beveiligingsonderzoeker Kevin Beaumont merkte op dat de kwetsbaarheid afhankelijk is van een specifieke NGINX-configuratie die de aanvaller moet kennen of ontdekken. AlmaLinux-beheerders bevestigden dat het omzetten van de heap overflow naar betrouwbare code-uitvoering niet eenvoudig is in de standaardconfiguratie, en op systemen met ASLR ingeschakeld (wat de standaard is op alle ondersteunde AlmaLinux-releases), een generieke, betrouwbare exploit moeilijk te produceren zal zijn. Desondanks adviseren zij de kwetsbaarheid als urgent te behandelen, aangezien een denial of service (DoS) door worker-crashes op zichzelf al voldoende exploiteerbaar is.

De meest recente bevindingen van VulnCheck tonen aan dat dreigingsactoren de kwetsbaarheid zijn gaan wapenen, met exploitatiepogingen gedetecteerd tegen hun honeypot-netwerken. De aard van de aanvalsactiviteit en de uiteindelijke doelen zijn momenteel onbekend. Gebruikers wordt geadviseerd de nieuwste fixes van F5 toe te passen om hun netwerken te beveiligen tegen actieve dreigingen.

Daarnaast onthulde VulnCheck ook exploitatiepogingen gericht op twee kritieke kwetsbaarheden in openDCIM, een open-source applicatie voor datacenter infrastructuurbeheer. Beide kwetsbaarheden hebben een CVSS-score van 9.3:

*   **CVE-2026-28515:** Een kwetsbaarheid door ontbrekende autorisatie die een geauthenticeerde gebruiker toegang kan geven tot LDAP-configuratiefunctionaliteit, ongeacht hun toegewezen privileges. In Docker-implementaties waar REMOTE_USER is ingesteld zonder authenticatie-handhaving, kan het endpoint zonder credentials bereikbaar zijn, waardoor ongeoorloofde wijziging van de applicatieconfiguratie mogelijk is.

*   **CVE-2026-28517:** Een operating system command injection kwetsbaarheid in het "report_network_map.php"-component, dat een parameter genaamd "dot" zonder sanitatie verwerkt en direct doorgeeft aan een shell-commando, wat resulteert in willekeurige code-uitvoering.

Deze twee kwetsbaarheden werden in februari 2026 ontdekt, samen met CVE-2026-28516 (CVSS-score: 9.3), een SQL injection kwetsbaarheid in openDCIM, door VulnCheck beveiligingsonderzoeker Valentin Lobstein. Volgens Lobstein kunnen de drie kwetsbaarheden worden gekoppeld om remote code execution te bereiken via vijf HTTP-requests en een reverse shell te starten. Caitlin Condon, vicepresident beveiligingsonderzoek bij VulnCheck, stelde dat de geobserveerde aanvalleractiviteit afkomstig is van één Chinees IP-adres en gebruikmaakt van een op maat gemaakte implementatie van de AI-kwetsbaarheidsdetectietool Vulnhuntr. Deze tool controleert automatisch op kwetsbare installaties voordat een PHP-webshell wordt geïnstalleerd.

Bron: VulnCheck | Bron 2: github.com | Bron 3: almalinux.org

Eigenaren van cryptowallets die gebruikmaken van hardware wallets van Ledger worden momenteel doelwit van een geraffineerde fysieke phishingcampagne via de post. Oplichters doen zich voor als het bedrijf Ledger en versturen gedrukte brieven die herstelzinnen (seed phrases) proberen te stelen. De operatie maakt gebruik van officieel ogende brieven, compleet met Ledger-merkidentiteit, een referentienummer en een valse veiligheidsmelding die ontvangers waarschuwt voor een urgente "Quantum Resistance" update.

Een voorbeeld van de zwendel die online circuleert, toont een Italiaanse versie gericht aan een klant in Italië, wat suggereert dat de aanvallers de campagne aanpassen op basis van regionale klantgegevens. De brief beweert dat gebruikers een verplichte beveiligingsupgrade voor hun Ledger-apparaat moeten voltooien vóór een deadline, anders lopen ze het risico de functionaliteit van hun wallet te verliezen. De brief bevat een QR-code die slachtoffers naar een phishingwebsite leidt. Daar worden gebruikers gevraagd hun 24-woorden tellende herstelzin in te voeren, de enige informatie die volledige toegang geeft tot een cryptowallet. Zodra deze is ingevoerd, kunnen aanvallers onmiddellijk de opgeslagen cryptocurrency activa weghalen.

De valse melding is ondertekend met de naam van Ledger CTO Charles Guillemet en verwijst naar een vermeend "Quantum Resistance" beveiligingssysteem dat wallets moet verdedigen tegen kwantumcomputerbedreigingen. De bewoordingen proberen urgentie te creëren door gebruikers te waarschuwen dat het niet voltooien van de update de toegang tot de wallet kan verstoren en bepaalde functies kan uitschakelen. Hoewel de brief het bedrijfsadres van Ledger in Parijs, Frankrijk, vermeldt, blijkt de ontvanger in het circulerende voorbeeld in Italië gevestigd te zijn. Het document is volledig in het Italiaans opgesteld, wat aangeeft dat de campagne gericht is op gebruikers in meerdere landen met gelokaliseerde versies, in plaats van alleen op Franse klanten.

Ledger heeft publiekelijk bevestigd dat fysieke phishingcampagnes gericht op cryptohouders actief zijn. In haar ondersteuningsadvies waarschuwt het bedrijf klanten dat elk bericht, e-mail, social media account of fysieke brief waarin waarbij een herstelzin wordt gevraagd, frauduleus is. Het bedrijf herhaalde ook een regel die al lang wordt benadrukt door hardware walletfabrikanten in de crypto-industrie. Herstelzinnen mogen onder geen enkele omstandigheid met wie dan ook worden gedeeld. Ledger verklaarde dat het gebruikers nooit zal vragen hun 24-woorden tellende geheime zin te onthullen, of dit nu via een website, QR-code, telefoongesprek of gedrukt document is.

De aandacht richt zich ook op de bron van de mailinggegevens. Onderzoekers en leden van de cryptogemeenschap vermoeden dat de informatie afkomstig kan zijn van de in januari 2026 plaatsgevonden datalek bij Global-e, de e-commerce verwerkingspartner van Ledger. Hoewel dit verband niet officieel is bevestigd, heeft de gelokaliseerde aard van de brieven de speculatie aangewakkerd dat aanvallers toegang hadden tot klantgegevens over verzending en regionale bestellingen. Dit is niet de eerste keer dat Ledger-gebruikers worden geconfronteerd met gerichte phishingpogingen na lekken van klantinformatie. Eerdere campagnes omvatten valse firmware updates, gecloonde Ledger live applicaties, phishing-e-mails en nagemaakte hardware wallets die herstelzinnen proberen te verzamelen.

Voor getroffen gebruikers is de veiligste reactie eenvoudig. Scan de QR-code niet, bezoek de gekoppelde site niet en voer nooit een herstelzin in buiten het initiële walletprocedure op een vertrouwd apparaat. Iedereen die zijn herstelzin al heeft ingediend, moet onmiddellijk tegoeden overmaken naar een nieuw aangemaakte wallet met een nieuwe herstelzin voordat aanvallers toegang krijgen.

Bron: Ledger

Een dreigingsactor heeft recentelijk PanARCH, een uitgebreid pakket aan malwarediensten, geadverteerd op een ondergronds forum. Dit aanbod, gepresenteerd als een 'malware-as-a-service', omvat diverse tools en infrastructurele ondersteuning voor cybercriminelen. De advertentie claimt dat PanARCH functionaliteiten biedt voor remote access, het bouwen van payloads, infrastructuur voor de levering van malware en privé diensten voor filehosting.

Meer specifiek omvat het PanARCH-pakket tools voor remote access, waaronder een Java RAT (Remote Access Trojan) die compatibel is met meerdere besturingssystemen. Daarnaast zijn er modules beschikbaar voor het bouwen van payloads, die geschikt zijn voor diverse leveringsformaten. De dienst biedt ook een infrastructuur voor de levering van payloads via browsers en privé filehosting met directe links, waarbij de actor beweert dat de opslag van bestanden versleuteld is.

De functionaliteiten van PanARCH strekken zich verder uit tot geavanceerde mogelijkheden voor surveillance en diefstal van credentials. Het pakket is ontworpen om ongeautoriseerde toegang tot systemen te faciliteren, gevoelige informatie te verzamelen, waaronder browserdata, en malafide software efficiënt te verspreiden. De tools kunnen worden ingezet voor een breed scala aan kwaadaardige activiteiten, van initiële compromittatie tot langdurige aanwezigheid op getroffen systemen.

De prijzen voor de PanARCH-diensten zijn niet openbaar vermeld in de advertentie; geïnteresseerden worden verwezen naar directe communicatie met de dreigingsactor voor verdere informatie. De beschikbaarheid van dergelijke omvangrijke malware-as-a-servicepakketten op ondergrondse fora onderstreept de voortdurende professionalisering van cybercriminaliteit en de toegankelijkheid van geavanceerde aanvalsmiddelen voor een breder publiek van kwaadwillenden.

Bron: Cybercrimeinfo

Een dreigingsactor die bekendstaat als TheStrain adverteert momenteel een nieuwe exploit service genaamd X-HAVEN. Deze dienst claimt de mogelijkheid te bieden voor stille payload uitvoering via gekoppelde document formaten. Volgens de advertentie ondersteunt X-HAVEN het gebruik van DOC-, XLS en PDF-bestanden als dragers voor de aflevering van kwaadaardige payloads.

De service beweert compatibel te zijn met Microsoft Office versies variërend van 2003 tot en met 2026. Een van de belangrijkste claims is de capaciteit om gangbare antivirussoftware en Windows Defender te omzeilen, waardoor de detectie van de payloads bemoeilijkt wordt. X-HAVEN biedt directe bijlagemogelijkheden voor e-mailcampagnes en kan payloads leveren in diverse uitvoerbare bestandstypen.

Betalingen voor de X-HAVEN service worden geaccepteerd in cryptocurrencies, specifiek Bitcoin en USDT. De geadverteerde functionaliteiten van deze dienst kunnen door kwaadwillenden worden ingezet voor verschillende cybercriminele activiteiten, waaronder de verspreiding van malware, het opzetten van phishing campagnes, het stelen van inloggegevens en het volledig compromitteren van systemen. Deze ontwikkeling duidt op een voortdurende evolutie in de methoden van cybercriminelen om detectie te ontwijken en slachtoffers te maken.

Bron: Cybercrimeinfo

De ransomware-als-dienst (RaaS) operatie KRYBIT heeft een affiliateprogramma gelanceerd dat zich richt op ervaren penetratietesters. Dit programma biedt potentiële partners uitgebreide functionaliteiten om ransomware aanvallen uit te voeren. Het aanbod omvat configureerbare versleutelingsmodi en brede compatibiliteit met diverse besturingssystemen, waaronder Windows, Linux en ESXi-omgevingen.

Affiliates krijgen toegang tot een geavanceerd controlepaneel dat diverse bouwopties voor aanvalstools faciliteert. Daarnaast wordt een specifiek hulpprogramma voor gegevensextractie aangeboden, waarmee gestolen bestanden efficiënt geüpload kunnen worden. Voor de publicatie van deze gestolen gegevens voorziet KRYBIT in een toegewijd lek en blogplatform.

De RaaS operatie benadrukt de ondersteuning die aan affiliates wordt geboden, met dagelijkse assistentie en begeleiding bij onderhandelingen met slachtoffers. Dit laatste omvat advies over communicatiestrategieën om de kans op losgeldbetalingen te maximaliseren. Eerder hebben beveiligingsonderzoekers KRYBIT al geïdentificeerd als een actieve ransomware-operatie die organisaties in verschillende sectoren heeft getroffen. De lancering van dit affiliateprogramma onderstreept de voortdurende professionalisering en uitbreiding van de KRYBIT-activiteiten.

Bron: Cybercrimeinfo

Een cybersecurityonderzoeker, bekend als Chaotic Eclipse of Nightmare Eclipse, heeft een proof-of-concept (PoC) exploit vrijgegeven voor een Windows privilege-escalatie zero-day, genaamd "MiniPlasma". Deze exploit stelt aanvallers in staat om SYSTEM-privileges te verkrijgen op volledig gepatchte Windows systemen. De broncode en een gecompileerd uitvoerbaar bestand zijn gepubliceerd op GitHub.

De onderzoeker stelt dat Microsoft een eerder gerapporteerde kwetsbaarheid uit 2020 niet correct heeft gepatcht. De fout treft de 'cldflt.sys' Cloud Filter driver en de bijbehorende 'HsmOsBlockPlaceholderAccess' routine. Deze kwetsbaarheid werd oorspronkelijk in september 2020 door Google Project Zero-onderzoeker James Forshaw aan Microsoft gemeld. Destijds kreeg het de identifier CVE-2020-17103 en werd het in december 2020 naar verluidt opgelost. Chaotic Eclipse merkt op dat het exacte probleem dat aan Microsoft werd gerapporteerd door Google Project Zero, nog steeds aanwezig en ongepatcht is. Het is onduidelijk of Microsoft de kwestie nooit heeft opgelost, of dat de patch om onbekende redenen stilzwijgend is teruggedraaid. De oorspronkelijke PoC van Google werkte zonder enige wijzigingen.

BleepingComputer heeft de exploit getest op een volledig gepatcht Windows 11 Pro systeem met de nieuwste Patch updates voor Tuesday van mei 2026. Uit de test bleek dat, na het uitvoeren van de exploit vanuit een standaard gebruikersaccount, een commandprompt met SYSTEM-privileges werd geopend. Will Dormann, hoofd kwetsbaarheidsanalist bij Tharros, heeft eveneens bevestigd dat de exploit werkt op de nieuwste publieke versie van Windows 11, hoewel hij opmerkte dat de kwetsbaarheid niet werkt in de nieuwste Windows 11 Insider Preview Canary-build.

De exploit lijkt misbruik te maken van de manier waarop de Windows Cloud Filter driver de aanmaak van registersleutels afhandelt via een ongedocumenteerde CfAbortHydration API. Het oorspronkelijke rapport van Forshaw gaf aan dat de kwetsbaarheid de aanmaak van willekeurige registersleutels in de .DEFAULT gebruikershive zonder de juiste toegangscontroles kon toestaan, wat potentieel leidde tot privilege-escalatie.

MiniPlasma is de meest recente in een reeks Windows zero-day onthullingen die de onderzoeker de afgelopen weken heeft gepubliceerd. Deze reeks begon in april met BlueHammer, een lokale privilege-escalatiekwetsbaarheid voor Windows (CVE-2026-33825), gevolgd door een andere privilege-escalatiekwetsbaarheid genaamd RedSun, en een Windows Defender DoS-tool, UnDefend. Na hun onthulling werden alle drie de kwetsbaarheden waargenomen in actieve aanvallen. Volgens de onderzoeker heeft Microsoft het RedSun-probleem stilzwijgend gepatcht zonder een CVE-identifier toe te kennen. Deze maand heeft de onderzoeker ook twee extra exploits vrijgegeven, genaamd YellowKey en GreenPlasma. YellowKey is een BitLocker-bypass die Windows 11 en Windows Server 2022/2025 treft en toegang geeft tot ontgrendelde schijven die zijn beveiligd met TPM-only BitLocker-configuraties.

Chaotic Eclipse heeft eerder verklaard dat deze Windows zero-days publiekelijk worden onthuld als protest tegen Microsofts bug bounty en kwetsbaarheidsafhandelingsproces. De onderzoeker beweert dat Microsoft zijn leven heeft "verwoest" na een eerdere melding, en dat het bedrijf "kinderachtige spelletjes" speelde. Microsoft heeft eerder aan BleepingComputer laten weten dat het gecoördineerde kwetsbaarheidsdisclosure ondersteunt en zich inzet voor het onderzoeken van gemelde beveiligingsproblemen en het beschermen van klanten door middel van updates.

Bron: Chaotic Eclipse | Bron 2: msrc.microsoft.com | Bron 3: github.com

Onder de aandachtspunten vallen de advertentie van een Google-ondertekende SMTP mailer, de promotie van de XIA Stealer, een nieuwe ransomwaregroep genaamd Titan, en datalekken bij Europese platforms ManoMano en MediaVacances.

Op ondergrondse forums is een Google-ondertekende SMTP mailer geadverteerd. Deze dienst, gebaseerd op Gmail-relay, wordt gepromoot als een middel voor het versturen van e-mails. De beschikbaarheid van dergelijke tools kan leiden tot een toename van phishing en spamcampagnes, die ook gebruikers in Nederland en België kunnen treffen.

Daarnaast wordt de XIA Stealer actief gepromoot. Dit is een DLL-gebaseerde informatiesteler die op ondergrondse forums wordt aangeprezen als "volledig onopgemerkt". Deze malware is ontworpen om gevoelige informatie van slachtoffers te stelen en vormt een direct risico voor bedrijven en individuen die mogelijk doelwit worden van dergelijke aanvallen.

Een andere zorgwekkende ontwikkeling is de identificatie van een nieuwe ransomwaregroep genaamd Titan. Deze groep wordt nu actief gemonitord. De introductie van nieuwe ransomware-actoren op het toneel betekent een verhoogd risico voor organisaties wereldwijd, waaronder potentieel die in Nederland en België, die zich moeten voorbereiden op mogelijke toekomstige aanvallen.

Verder is gebleken dat een game op Steam, genaamd "Beyond The Dark", feitelijk malware is. Gebruikers wordt sterk afgeraden deze game te downloaden, aangezien het installeren ervan leidt tot de infectie van het systeem met kwaadaardige software. Dit illustreert een risicovolle methode van malwareverspreiding via legitieme platforms.

Naast deze dreigingen zijn er ook meldingen van datalekken bij twee Europese platforms. Het Franse online thuiswinkelplatform ManoMano zou zijn getroffen, waarbij maar liefst 38,7 miljoen gebruikers en ticketrecords te koop worden aangeboden. Dit omvat potentiële klantgegevens van diverse Europese landen, waaronder Nederland en België. Ook het Franse vakantieverhuurplatform MediaVacances is naar verluidt gehackt, met 256.000 factuur en vakantieverhuurrecords die zijn buitgemaakt. Gezien het Europese bereik van deze platforms is het aannemelijk dat Nederlandse en Belgische gebruikers tot de getroffen individuen behoren.

Deze incidenten benadrukken de constante en diverse aard van cyberdreigingen, variërend van nieuwe malware en aanvalsmethoden tot grootschalige datalekken die een breed scala aan gebruikers kunnen beïnvloeden. Organisaties en individuen wordt geadviseerd waakzaam te blijven en passende beveiligingsmaatregelen te treffen.

Bron: Darkweb

Een nieuwe variant van de SHub macOS infostealer, genaamd Reaper, maakt misbruik van AppleScript om een valse beveiligingsupdate weer te geven en installeert vervolgens een backdoor op het systeem. Deze versie van de malware is in staat gevoelige browserdata te stelen, documenten met potentiële financiële details te verzamelen en apps voor cryptowallets te kapen.

In tegenstelling tot eerdere SHub-campagnes die afhankelijk waren van "ClickFix"-tactieken, waarbij gebruikers werden misleid om commando's in Terminal te plakken en uit te voeren, maakt Reaper gebruik van het `applescript://` URL schema. Deze methode start de macOS Script Editor met een kwaadaardig AppleScript al ingeladen, waarmee mitigaties via Terminal van Apple, die eind maart met macOS Tahoe 26.4 werden geïntroduceerd, worden omzeild. Deze eerdere mitigaties blokkeerden het plakken en uitvoeren van potentieel schadelijke commando's.

Onderzoekers van SentinelOne identificeerden deze nieuwe variant van de SHub infostealer. Zij ontdekten dat gebruikers naar de malware werden gelokt via neppe installers voor WeChat en Miro applicaties, gehost op domeinen die legitiem leken voor minder ervaren gebruikers, zoals `qq-0732gwh22[.]com`, `mlcrosoft[.]co[.]com` en `mlroweb[.]com`. De malafide websites voeren eerst een vingerafdruk uit van het apparaat van de bezoeker om te controleren op virtuele machines en VPN's, wat kan duiden op een analyseomgeving. Ook worden geïnstalleerde browserextensies voor wachtwoordmanagers en cryptowallets geïnventariseerd. Alle telemetrie wordt via een Telegram bot aan de aanvaller geleverd.

Het kwaadaardige AppleScript wordt dynamisch geconstrueerd en verborgen onder ASCII-kunst. Wanneer het slachtoffer op 'Run' klikt, toont het script een neppe Apple beveiligingsupdate die verwijst naar XProtectRemediator, downloadt een shell script met 'curl' en voert dit stilzwijgend uit via 'zsh'. Voordat de data diefstal logica wordt ingezet, controleert de malware of het slachtoffer een Russisch toetsenbord of invoer gebruikt. Indien dit het geval is, rapporteert het een 'cis_blocked' gebeurtenis aan de command en control (C2) server en sluit het af zonder het systeem te infecteren.

Als de host niet Russisch is, haalt Reaper het kwaadaardige AppleScript met de data diefstal routine op en voert het uit met de opdrachtregel tool `osascript`. Bij de lancering wordt de gebruiker om zijn macOS wachtwoord gevraagd, wat vervolgens kan worden gebruikt om toegang te krijgen tot Keychain items, inloggegevens te ontsleutelen en beschermde data te benaderen. De infostealer richt zich op browserdata van Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc en Orion. Ook viseert het browser extensies voor cryptowallets zoals MetaMask en Phantom, en wachtwoordmanager populaire wachtwoordmanager-extensies en populaire wachtwoordmanager-extensies. Desktop applicaties voor cryptowallets zoals Exodus, Atomic Wallet, Ledger Live, Electrum en Trezor Suite worden eveneens aangevallen, net als iCloud accountdata, Telegram sessiedata en configuratiebestanden gerelateerd aan ontwikkelaars.

Reaper bevat ook een 'Filegrabber' module die de mappen Desktop en Documenten doorzoekt naar bestandstypen die gevoelige informatie kunnen bevatten. Het verzamelt gerichte bestanden kleiner dan 2MB, of tot 6MB in het geval van PNG-afbeeldingen, met een totale volumelimiet van 150MB. Wanneer cryptowallet applicaties aanwezig zijn, kaapt de malware deze door hun processen te beëindigen en het legitieme kernapplicatiebestand te vervangen door een kwaadaardig bestand, genaamd `app.asar`, dat is gedownload van de C2 server. Om Gatekeeper meldingen te omzeilen, wist de SHub Reaper malware de quarantaine attributen met `xattr -cr` en gebruikt het ad hoc code ondertekening op de gewijzigde applicatiebundel.

De malware zorgt voor persistentie door een script te installeren dat zich voordoet als een Google software update en dit registreert met LaunchAgent. Dit script wordt elke minuut uitgevoerd en fungeert als een baken dat systeeminformatie naar de C2 stuurt. Als het script een payload ontvangt, kan het deze decoderen en uitvoeren in de context van de huidige gebruiker, om vervolgens het bestand te verwijderen, wat de aanvaller uitgebreide toegang tot de machine geeft. SentinelOne waarschuwt dat de SHub-operator de mogelijkheden van de infostealer uitbreidt met toegang op afstand tot gecompromitteerde apparaten, waardoor aanvullende malware kan worden opgehaald. De onderzoekers hebben Indicators of Compromise (IoC's) verstrekt en adviseren te letten op verdacht uitgaand verkeer na de uitvoering van Script Editor, of nieuwe LaunchAgents en gerelateerde bestanden in de namespace van vertrouwde leveranciers.

Bron: SentinelOne

OpenAI heeft een nieuwe functionaliteit voor ChatGPT aangekondigd die gebruikers in staat stelt hun financiële rekeningen te koppelen aan de chatbot voor advies over persoonlijke financiën. Deze ontwikkeling baart privacy en cybersecurity-experts zorgen. Het financiële technologiebedrijf Plaid, dat bankrekeningen van individuen koppelt aan financiële apps van derden, ondersteunt deze nieuwe functionaliteit. In de nabije toekomst zal het financiële planningsplatform van ChatGPT ook worden aangedreven door Intuit, een aanbieder van software voor persoonlijke financiën, belastingvoorbereiding en boekhouding voor kleine bedrijven.

De functionaliteit is momenteel beschikbaar voor betalende abonnees van ChatGPT Pro en zal in de toekomst worden uitgerold naar Plus-gebruikers, met als uiteindelijk doel om het voor iedereen beschikbaar te maken, zo blijkt uit een blogpost van ChatGPT over het aanbod. Het platform kan informatie integreren van meer dan 12.000 financiële instellingen, waaronder het brokerageplatform Robinhood, grote banken zoals Bank of America, creditcardmaatschappijen als American Express en investeringsmaatschappij Charles Schwab.

Zodra gebruikers hun rekeningen koppelen aan ChatGPT, krijgen zij toegang tot een dashboard dat een "up-to-date overzicht geeft van portfolioprestaties, uitgaven, abonnementen, aankomende betalingen en meer", aldus de blogpost. Volgens OpenAI gebruiken al meer dan 200 miljoen mensen per maand ChatGPT voor budgettering, investeringen en ander financieel advies. Recente verbeteringen in GPT-5.5, een geavanceerd model van de kunstmatige intelligentiegigant dat complexe en meerstaps taken kan analyseren, ondersteunen de nieuwe functionaliteit.

De blogpost stelt dat ChatGPT, met gekoppelde financiële rekeningen, redeneringen kan combineren met de financiële context van de gebruiker en gedeelde doelen, levensstijl en prioriteiten. Dit zou helpen bij het herkennen van patronen, het begrijpen van afwegingen en het plannen van belangrijke beslissingen op een meer persoonlijke en complete manier. De functionaliteit zou gebruikers "controle" over hun gegevens laten behouden, onder meer door de mogelijkheid om gekoppelde rekeningen op elk moment te ontkoppelen. Na ontkoppeling blijft de chatgeschiedenis van ChatGPT intact, hoewel gebruikers individuele gesprekken altijd kunnen verwijderen. Gebruikers kunnen ook "financiële herinneringen" wissen, de manier waarop belangrijke details over financiële doelen, investeringen en algehele financiële positie door de chatbot worden opgeslagen. Daarnaast worden "tijdelijke chats" aangeboden, waarmee gebruikers gesprekken kunnen voeren zonder dat de chatbot toegang heeft tot financiële rekeningen en zonder dat de gesprekken worden opgeslagen in de geschiedenis.

Deze beveiligingsmaatregelen zijn mogelijk onvoldoende om de privacy van gebruikers te waarborgen, aldus Ridhi Shetty, senior beleidsadviseur bij het Privacy & Data Project van het Center for Democracy and Technology. Shetty stelt via e-mail dat, zelfs als de nieuwe functionaliteit van ChatGPT geen volledige rekeningnummers benadert of geen wijzigingen kan aanbrengen in financiële rekeningen, de financiële informatie die het verzamelt diep persoonlijke details kan onthullen over iemands leven, gewoonten, kwetsbaarheden en relaties. De aankondiging van OpenAI gaat niet in op de vraag of financiële gegevens uiteindelijk kunnen worden gebruikt voor advertenties of andere commerciële targeting, "ondanks de voor de hand liggende prikkels om dit wel te doen", voegde Shetty toe. Zij trok ook de betrouwbaarheid van financieel advies van een chatbot in twijfel, evenals het gebrek aan professionele standaarden van een "tool die niet voldoet aan de verplichtingen die professionele financiële adviseurs hebben om de privacy van cliënten te beschermen en in hun beste belang te handelen".

Cybersecurity-experts uiten eveneens hun zorgen over de risico's van de tool. Hoewel het "alleen-lezen" aspect van het platform "aanzienlijk veiliger is dan een agent die geld kan verplaatsen of rekeningen kan wijzigen... betekent alleen-lezen niet laag risico", aldus Diana Kelley, chief information security officer bij Noma Security. Kelley, van het in New York gevestigde platform voor AI-beveiliging en -bestuur, waarschuwt dat "als iemand uw ChatGPT-account overneemt, diegene een geconsolideerd beeld kan krijgen van uw saldi, uitgaven, investeringen, schulden, doelen en financiële geschiedenis". Gebruikers dienen meervoudige authenticatie toe te passen, uit te loggen uit andere sessies, geheugeninstellingen te controleren, training voor gevoelige chats uit te schakelen en zowel chats als herinneringen te verwijderen wanneer de opgeslagen informatie niet langer nodig is.

De centralisatie van financiële gegevens binnen één platform is eveneens riskant, omdat dit een aantrekkelijk doelwit creëert voor accountovernameaanvallen. Een enkele inbreuk op de beveiliging kan hackers voorzien van een gedetailleerde kaart van het vermogen en de uitgavenpatronen van gebruikers, waarschuwt Ram Varadarajan, CEO van Acalvio, een leider in cybermisleidingstechnologie.

Bron: OpenAI

Een nieuwe, kwaadaardige malware genaamd Reaper richt zich op gebruikers van macOS door zich voor te doen als een kritieke systeemupdate en populaire werkpleksoftware. SentinelLABS, de onderzoeksafdeling van cybersecuritybedrijf SentinelOne, heeft deze dreiging recentelijk ontdekt en de details gedeeld. Reaper is een nieuwe variant van de infostealer SHub en vormt een ernstige bedreiging voor Mac-gebruikers, omdat het een recente update van Apple voor macOS Tahoe 26.4 omzeilt die vergelijkbare aanvallen moest stoppen.

De aanval begint met valse downloadpagina's voor populaire communicatie en werkplekapps zoals WeChat of Miro. Om deze apps betrouwbaar te laten lijken, gebruiken de aanvallers een typosquatted domein: `mlcrosoft.co.com`, dat sterk lijkt op een legitiem Microsoft-domein. Wanneer iemand deze pagina's bezoekt, inspecteert verborgen JavaScript-code de computer op specifieke software, IP-adressen, locatiegegevens en beveiligingstools. De aanval wordt alleen voortgezet als de gebruiker zich buiten Rusland bevindt. Vervolgens wordt de gebruiker misleid tot het openen van een ingebouwd Mac-hulpmiddel genaamd Script Editor via een speciaal linkschema.

Deze link bevat de commando's van de aanvallers, verborgen met blanco regels en ASCII-tekstkunst, zodat ze niet zichtbaar zijn op het scherm van de gebruiker. Als de gebruiker op 'Uitvoeren' klikt, verschijnt er een nepbericht dat een officiële Apple-beveiligingsupdate voor XProtectRemediator simuleert. In plaats van de computer bij te werken, begint deze update met het downloaden van bestanden van het internet met behulp van het `curl`-hulpprogramma.

Na de initiële toegang begint de volgende fase, waarbij een pop-upvenster de gebruiker vraagt om het hoofdwachtwoord van de computer - een cruciale stap in de aanval. Indien verkregen, begint Reaper met het decoderen en stelen van opgeslagen gegevens van belangrijke browsers zoals Firefox, Chrome, Edge, Brave, Opera, Vivaldi, Arc en Orion. Ook richt de malware zich op wachtwoordmanagers zoals populaire wachtwoordmanager-extensies en cryptocurrency-wallets zoals MetaMask.

Onderzoekers merkten op dat Reaper, net als Atomic macOS Stealer, ook een functie voor het stelen van documenten bevat. Het zoekt in de mappen Desktop en Documenten van de gebruiker naar financiële of zakelijke bestanden kleiner dan 2 MB, en afbeeldingen tussen 6 MB en 150 MB. Als de gestolen bestanden te groot zijn, voert Reaper een script uit om ze in kleinere gezipte delen van 70 MB te splitsen, voordat ze worden overgebracht naar de gateway-server van de hackers op `athebsbsbzjsjshduxbs.xyz`. De malware vervangt zelfs echte cryptocurrency-walletapplicaties door valse versies om toekomstige activiteit te monitoren.

Het meest zorgwekkende aspect is echter dat Reaper een permanente backdoor achterlaat door een verborgen mapstructuur te creëren die exact overeenkomt met een legitiem pad voor Google Software Update. Elke 60 seconden communiceert dit verborgen bestand met het server-eindpunt van de hackers. Als de server een code terugstuurt, voert het script deze uit met de hoge privileges van de gebruiker, waardoor aanvallers nieuwe commando's kunnen verzenden of later geavanceerdere malware kunnen installeren.

De bouw van Reaper toont aan dat SHub-operators hun malware uitbreiden buiten eenvoudige diefstal van inloggegevens en wallets. Naast een bestandsdiefstalmodule in de stijl van AMOS en opgedeelde uploads, installeert de variant ook een persistente backdoor, wat de operators meer manieren geeft om gegevens te stelen of over te stappen op andere kwaadaardige installaties na de initiële compromittering. Onderzoekers dringen er bij Mac-gebruikers op aan om de Mac Script Editor onmiddellijk te sluiten als een weblink deze forceert te openen en apps van niet-geverifieerde websites te vermijden.

Bron: SentinelOne

Grafana Labs heeft bekendgemaakt dat hackers de broncode van het bedrijf hebben gedownload na een inbraak in hun GitHub-omgeving. De aanvallers kregen toegang door een gestolen toegangstoken te misbruiken. De relatief nieuwe afpersingsgroep CoinbaseCartel heeft de aanval opgeëist en Grafana toegevoegd aan hun data leak site (DLS), hoewel er tot op heden nog geen data is gelekt.

Grafana Labs is het bedrijf achter Grafana, het populaire open source platform voor analyse, monitoring en real time datavisualisatie. De betalende klanten van Grafana Labs omvatten grote ondernemingen, cloud providers, telecombedrijven, banken, overheidsinstellingen, e-commerceplatforms en infrastructuurbeheerders. Volgens Grafana gebruiken meer dan 7.000 organisaties het product, waaronder 70% van de Fortune 50 bedrijven.

In een recente aankondiging liet Grafana Labs weten dat hun onderzoek geen bewijs heeft gevonden dat klantdata of persoonlijke informatie tijdens het incident zijn blootgesteld. Bovendien bleven klantsystemen onaangetast. De forensische analyse heeft de bron van de gelekte inloggegevens achterhaald. Het bedrijf heeft de gecompromitteerde inloggegevens ongeldig gemaakt en aanvullende beveiligingsmaatregelen geïmplementeerd om toekomstige ongeautoriseerde toegang te voorkomen.

De aanvallers probeerden het bedrijf af te persen en eisten betaling in ruil voor het niet publiceren van de gestolen broncode. Grafana heeft echter besloten om het publieke advies van de Federal Bureau of Investigation (FBI) te volgen en het losgeld niet te betalen. Het bedrijf merkt op dat het betalen van losgeld alleen maar andere dreigingsactoren zou aanmoedigen om soortgelijke aanvallen uit te voeren. Grafana stelde: "Op basis van onze operationele ervaring en het gepubliceerde standpunt van de FBI, die stelt dat het betalen van losgeld geen garantie biedt dat u of uw organisatie gegevens terugkrijgt en alleen een stimulans is voor anderen om betrokken te raken bij dit soort illegale activiteiten, hebben we besloten dat de juiste weg voorwaarts is om het losgeld niet te betalen." Het bedrijf heeft aangegeven meer details over de aanval vrij te geven na afronding van het post incident onderzoek.

De CoinbaseCartel-groep is afgelopen september opgericht en is dit jaar zeer actief geweest, met de aankondiging van meer dan 100 slachtoffers op hun data leak portal. De groep richt zich op datadiefstal en gebruikt de DLS om slachtoffers onder druk te zetten om losgeld te betalen. De groep heeft op hun site aangekondigd dat ze "achterlopen op veel lekken", wat duidt op een toename van inbraken die mogelijk nog niet openbaar zijn gemaakt.

Volgens verschillende onderzoekers bestaat CoinbaseCartel uit gelieerde partijen van ShinyHunters en Lapsus$. Deze partijen krijgen toegang tot doelnetwerken via social engineering, diverse vormen van phishing en gecompromitteerde inloggegevens. Dreigingsinformatiespecialist Joe Shenouda beweert dat de groep ook een in memory tool genaamd "shinysp1d3r" gebruikt om VMware ESXi-doelen te versleutelen en snapshots uit te schakelen. Vorig jaar analyseerde BleepingComputer een ShinySp1d3r Windows encryptor, ontwikkeld door de ShinyHunters afpersingsgroep. Destijds gaf de dreigingsactor aan bezig te zijn met het afronden van encryptorversies voor Linux en ESXi. Na publicatie van het artikel heeft de ShinyHunters afpersingsgroep echter aan BleepingComputer gemeld dat CoinbaseCartel niet gelinkt is aan hun groep of ransomware operatie.

Bron: Grafana Labs

Een spionagecampagne, vermoedelijk gelinkt aan de Maleisische overheid, maakt al jarenlang gebruik van verborgen command-and-control (C2) infrastructuur. Dit blijkt uit nieuwe bevindingen van Oasis Security. De onderzoekers stellen dat deze activiteit duidt op een langlopende spionage-inspanning die actief bleef door backend-systemen te maskeren en de blootstelling aan openbare scaninstrumenten te beperken.

De operatie lijkt zorgvuldig onderhouden, met infrastructuur die is ontworpen om detectie te omzeilen terwijl het gerichte surveillance-activiteiten ondersteunt. Oasis Security geeft aan dat de infrastructuur verbanden vertoont met overheidsgerelateerde netwerken in Maleisië en patronen toont die vaak geassocieerd worden met door de staat gesteunde online operaties. Het rapport van Oasis Security legt uit hoe de beheerders C2-servers zodanig beheren dat de kans op detectie afneemt. Sommige systemen reageren verschillend, afhankelijk van wie ermee verbindt, terwijl andere ontoegankelijk blijven tenzij ze via specifieke paden of protocollen worden benaderd. Deze configuratie maakte de servers moeilijk te identificeren via standaard internetscans.

Onderzoekers vonden ook aanwijzingen dat de infrastructuur al enkele jaren actief is. Historische gegevens en servergedrag suggereren dat de systemen regelmatig worden geroteerd, hergebruikt en onderhouden, in plaats van na korte campagnes te worden verlaten. Dit duidt op een duurzame en adaptieve aanpak van de dreigingsactoren.

Tegelijkertijd melden de onderzoekers dat de aanvallers de opslag en contentleveringsdiensten van Cloudflare misbruiken om kwaadaardige payloads en phishingmateriaal te hosten. Volgens het rapport profiteren aanvallers van het vertrouwen dat hoort bij veelgebruikte cloudplatforms, omdat verkeer van deze providers minder snel waarschuwingen activeert. Bestanden die via bekende diensten worden gehost, kunnen vaak door eenvoudige filtercontroles heen komen, vooral in bedrijven waar het blokkeren van providers zoals Cloudflare de normale bedrijfsvoering zou kunnen verstoren. Er werden diverse gevallen gevonden waarin malware-archieven en phishingpagina's werden geüpload naar cloudopslagdiensten en verspreid via links die legitiem leken voor gebruikers.

Het rapport stelt verder vast dat dreigingsactoren steeds minder permanente infrastructuur onderhouden. Veel groepen gebruiken nu tijdelijke opslaglocaties, CDN-gekoppelde domeinen en kortlopende hostingdiensten die binnen enkele minuten kunnen worden vervangen als ze worden verwijderd. Deze aanpak verlaagt de operationele kosten en stelt campagnes in staat om met minimale onderbreking door te gaan.

Voor organisaties die verdacht verkeer monitoren, vormen vertrouwde cloudplatforms een complex probleem. Schadelijke bestanden worden moeilijker te detecteren wanneer ze worden geleverd via diensten die werknemers dagelijks gebruiken. Onderzoekers adviseren bedrijven om te investeren in sterkere gedragsgebaseerde monitoring en een nauwere inspectie van uitgaande verbindingen, in plaats van uitsluitend te vertrouwen op controles van de domeinreputatie. Beide rapporten wijzen op een gezamenlijke trend in moderne cyberoperaties, spionagegroepen en financieel gemotiveerde aanvallers gebruiken steeds vaker infrastructuur die opgaat in normaal internetverkeer. Openbare clouddiensten, systemen met beperkte toegang en selectief blootgestelde servers geven de operators meer tijd om actief te blijven voordat de activiteit wordt opgemerkt.

Bron: Oasis Security

Recente incidenten wijzen op een significante verschuiving in software supply chain aanvallen. Aanvallers richten zich steeds vaker op de werkstations van ontwikkelaars om toegang te stelen die cruciaal is voor het creëren van vertrouwde software. In een tijdsbestek van 48 uur werden drie afzonderlijke campagnes waargenomen die platforms zoals npm, PyPI en Docker Hub troffen. Al deze campagnes waren gericht op het stelen van geheime gegevens uit ontwikkelaarsomgevingen en CI/CD-pipelines, waaronder API-sleutels, cloud-credentials, SSH-sleutels en tokens. Deze trend, die eerder zichtbaar was in aanvallen zoals de "mini Shai Hulud"-campagnes, vormt een groeiende en zelfversterkende bedreiging.

Deze ontwikkeling vereist een heroverweging van de beveiligingsstrategieën voor de software supply chain. Traditioneel lag de focus op gedeelde systemen zoals broncode repositories, CI/CD-platforms en cloudomgevingen. Hoewel deze bescherming essentieel blijft, is dit beeld onvolledig. De moderne softwarelevering begint op het werkstation van de ontwikkelaar, waar code wordt geschreven, afhankelijkheden geïnstalleerd, credentials getest en containers gebouwd. Door deze werkstations als 'gewone' endpoints te behandelen, ontstaan er aanzienlijke gaten tussen endpointbeveiliging, identiteitsbeveiliging, applicatiebeveiliging en supply chain governance.

Supply chain aanvallen zijn geëvolueerd naar operaties gericht op het verzamelen van credentials. Incidenten zoals de TeamPCP en Shai-Hulud-campagnes tonen aan dat aanvallers, via gecompromitteerde pakketten of ontwikkelaarstools, tokens, cloud-credentials, SSH-sleutels en configuratiebestanden verzamelen. De Shai-campagne van Hulud ging nog verder door geïnfecteerde ontwikkelaarsomgevingen te transformeren in verzamelpunten voor credentials, waardoor duizenden geheime gegevens van GitHub, cloudservices en interne systemen werden blootgesteld. Dit is meer dan alleen softwaremanipulatie; het is het verzamelen van inloggegevens op de punten waar ontwikkelaars en automatisering al over vertrouwen beschikken.

De kwetsbaarheid van de supply chain ontstaat wanneer aanvallers toegang krijgen tot credentials en context die hen in staat stellen vertrouwde softwaresystemen te wijzigen, publiceren, bouwen, implementeren of zich voor te doen als deze systemen. Kwaadaardige pakketten kunnen urenlang actief blijven, terwijl geautomatiseerde tools updates binnen enkele minuten kunnen samenvoegen. Geheime gegevens zijn de gemeenschappelijke factor in veel recente aanvallen, zowel als initiële toegangsmiddel als als primair doel.

Het werkstation van de ontwikkelaar is een waardevol doelwit omdat het veel context concentreert, waaronder lokale repositories, .env-bestanden, shell-geschiedenis, SSH-sleutels en pakketbeheer-credentials. Een enkel toegangstoken, in combinatie met bijvoorbeeld een Git remote of deployment script, geeft een aanvaller een duidelijk beeld van de reikwijdte en mogelijkheden. In de Shai-Hulud 2.0-campagne waren GitHub-credentials dominant onder de blootgestelde gegevens, vaak met potentieel admin-toegang tot repositories en CI-workflows. Lokale compromittering kan dienen als een routekaart naar source control, cloud-accounts en CI/CD-systemen.

Ontwikkelaarsmachines concentreren de autoriteit voor softwarelevering. In tegenstelling tot een standaard werknemerslaptop die bedrijfsdata kan blootstellen, kan een ontwikkelaarswerkstation de mogelijkheid blootstellen om software te wijzigen. Ontwikkelaars hebben vaak brede toegang nodig, waardoor hun machines een kruispunt vormen van broncode, credentials, automatisering en leveringsautoriteit. Zelfs als een ontwikkelaar geen directe productietoegang heeft, kan de toegang die men wel heeft, systemen beïnvloeden die uiteindelijk productieresultaten leveren.

Dit vraagt om nieuwe vragen voor beveiligingsteams: Kunnen bruikbare credentials op ontwikkelaarswerkstations worden geïdentificeerd en kan hun waarde en levensduur worden beperkt? Kan gevoelig materiaal worden gedetecteerd voordat het in Git-geschiedenis of logs terechtkomt? En kan toegang snel worden ingetrokken bij vermoeden van compromittering? Deze vragen overbruggen verschillende beveiligingsdomeinen en benadrukken het belang van inzicht in de verbinding tussen ontwikkelaarsgedrag en leveringssystemen. De toename van automatisering en AI versnelt bovendien de blootstelling en potentiële impact van dergelijke aanvallen.

Bron: The Hacker News

Microsoft Threat Intelligence heeft recentelijk een methodische, geavanceerde en meerlaagse aanval blootgelegd, uitgevoerd door een dreigingsactor die zij volgen als Storm-2949. Deze groep voerde een meedogenloze campagne met als primair doel het exfiltreren van zoveel mogelijk gevoelige data van waardevolle activa binnen een doelorganisatie. De aanval omvatte data-exfiltratie uit Microsoft 365-applicaties, bestandshostingservices en Azure-gehoste productieomgevingen, waar het applicatie-ecosysteem van de organisatie zich bevindt.

Wat begon als een gerichte compromittering van identiteiten, evolueerde snel tot een volledige aanval op de cloudinfrastructuur van de organisatie. De aanval strekte zich uit over diverse Azure-bronnen, met een focus op software-as-a-service (SaaS), platform-as-a-service (PaaS) en infrastructure-as-a-service (IaaS)-lagen. Storm-2949 maakte geen gebruik van traditionele malware of on-premises tactieken, technieken en procedures (TTP's). In plaats daarvan benutten zij legitieme cloud en Azure-beheerfuncties om controle en dataplane-toegang te verkrijgen. Deze toegang werd vervolgens gebruikt om code op afstand uit te voeren op virtuele machines en toegang te krijgen tot gevoelige cloudbronnen, zoals Key Vaults en opslagaccounts. Deze activiteiten stelden de aanvallers in staat om lateraal te bewegen binnen zowel cloud- als endpoint-omgevingen, terwijl hun gedrag opging in normaal administratief verkeer.

De campagne die Storm-2949 inzette, kan worden opgedeeld in twee fasen, gerichte identiteitscompromittering en cloudinfrastructuurcompromittering. In de eerste fase richtte de dreigingsactor zich via social engineering op specifieke gebruikers om hun Microsoft Entra ID-referenties te verkrijgen. Met deze referenties exfiltreerde de actor vervolgens data uit Microsoft 365-applicaties. Microsoft schat met grote zekerheid in dat Storm-2949 een social engineering-techniek gebruikte die overeenkomt met bekende misbruiken van Microsofts Self-Service Password Reset (SSPR)-proces. Bij dergelijke aanvallen initieert een dreigingsactor het SSPR-proces namens een doelgebruiker en gebruikt vervolgens social engineering-tactieken om de gebruiker over te halen multifactorauthenticatie (MFA)-prompts te voltooien die legitiem lijken. De dreigingsactor deed zich bijvoorbeeld voor als een interne IT-ondersteuningsmedewerker en nam contact op met de gebruiker, bewerend dat hun account dringend verificatie nodig had en instrueerde hen om MFA-prompts goed te keuren als onderdeel van een routinematige procedure voor het opnieuw instellen van het wachtwoord.

Zodra de gebruiker deze prompts goedkeurde, kon de dreigingsactor het wachtwoord van de gebruiker opnieuw instellen en bestaande authenticatiemethoden verwijderen, zoals telefoonnummers, e-mailadressen en Microsoft Authenticator-registraties. Dit elimineerde effectief MFA als controlemechanisme en maakte onbeperkte accounttoegang mogelijk. Onmiddellijk na het verkrijgen van toegang tot het gecompromitteerde account, werd de dreigingsactor gevraagd om MFA opnieuw in te schakelen en een nieuwe authenticatiemethode te registreren. In dit stadium registreerde de dreigingsactor Microsoft Authenticator op zijn eigen apparaat, waardoor hij zichzelf persistente toegang verschafte en de legitieme gebruiker de toegang tot zijn account ontzegde.

Storm-2949 gebruikte een vergelijkbaar proces herhaaldelijk bij meerdere gebruikers binnen de doelorganisatie. De selectie van slachtoffers, waaronder IT-personeel en senior leidinggevenden, duidde op een opzettelijke targeting. Op basis van de rollen van de gecompromitteerde gebruikers en de onderzoeksresultaten, wordt ingeschat dat de dreigingsactor waarschijnlijk een georganiseerd en overtuigend phishing-schema gebruikte om gebruikers te verleiden de frauduleuze MFA-prompts te voltooien en zo hun identiteiten te compromitteren.

Na de initiële identiteitskaping voerde de dreigingsactor directory discovery uit met behulp van de Microsoft Graph API. Met een aangepast Python-script voerden zij geautomatiseerde API-verzoeken uit om gebruikers en applicaties binnen de tenant te inventariseren. Via deze query's doorzocht de dreigingsactor Microsoft Entra ID op gebruikersaccounts op basis van naam patronen en rolattributen, waarschijnlijk om geprivilegieerde identiteiten en aanvullende waardevolle doelwitten te identificeren. Tijdens deze aanvalsfase probeerde de dreigingsactor ook persistentie te vestigen door referenties toe te voegen aan een gecompromitteerde service principal om continue toegang mogelijk te maken, onafhankelijk van de gecompromitteerde gebruikersaccounts. Deze poging mislukte vanwege onvoldoende rechten. De dreigingsactor bleef echter service principals en bekende applicatie-ID's inventariseren, wat duidde op een poging om toegangspaden op applicatieniveau in kaart te brengen en langetermijnvoet aan de grond te krijgen binnen de omgeving. Met dezelfde social engineering-technieken en SSPR-misbruik breidde de dreigingsactor zijn positie uit door nog eens drie cloudgebruikersaccounts te compromitteren.

Storm-2949 gebruikte hun toegang tot de gecompromitteerde gebruikersaccounts om bestanden te verkennen en te exfiltreren uit de cloudbestandsopslagdiensten van de slachtofferorganisatie. Kort na het verkrijgen van initiële toegang binnen de organisatie, richtten zij zich op Microsoft 365-applicaties, waaronder OneDrive en SharePoint, waarbij zij gevoelige bestanden van de organisatie identificeerden en benaderden, met een focus op IT-documenten met betrekking tot virtuele private netwerken (VPN).

Bron: Microsoft

De ransomwaregroep The Gentlemen heeft in mei 2026 naar verluidt zelf te maken gehad met een interne inbraak in hun systemen. Dit incident heeft onderzoekers een zeldzame blik gegeven achter de schermen van hun operaties. Jarenlang opereerden ransomwarebendes met het vertrouwen dat ze onaantastbaar waren achter lagen van anonimiteit, affiliate programma's en verborgen infrastructuur. Dit vertrouwen kreeg een deuk toen Check Point Research (CPR) de inbraak blootlegde.

Volgens de onderzoekers van CPR werden delen van de backend-infrastructuur van de groep, de activiteit van affiliates, operationele tools en de slachtofferbeheeromgeving gecompromitteerd. Het incident bood onderzoekers directe inzage in een ransomware-operatie die maandenlang organisaties in diverse sectoren wereldwijd had aangevallen. De gelekte data omvatte systemen die werden gebruikt om slachtoffers te volgen, affiliates te beheren en aanvallen te coördineren. Het type operationele blootstelling dat ransomwaregroepen bij bedrijven afdwingen, overkwam de aanvallers zelf.

De technische analyse van CPR wees ook op gelekte interne chats en backend databases die aan de operatie waren gekoppeld. Onderzoekers stelden vast dat affiliates in privékanalen van de groep aanvalsmethoden, misbruik van inloggegevens, tools om EDR uit te schakelen en toegang tot enterprise systemen bespraken. Het rapport identificeerde verder operationele kanalen die naar verluidt door affiliates werden gebruikt voor tooling, coördinatie van slachtoffers en discussies over infrastructuur. Onderzoekers refereerden ook aan gesprekken over systemen van Fortinet, toegang gerelateerd aan Cisco en technieken van NTLM relay.

De ransomwaregroep The Gentlemen verscheen voor het eerst in 2025 en groeide via een ransomware-as-a-service (RaaS) model. Hierbij runnen de hoofdexploitanten het ransomwareplatform, terwijl affiliates de aanvallen uitvoeren en een percentage van de losgeldbetalingen delen. CPR merkte op dat de groep affiliates naar verluidt een omzetaandeel van 90 procent bood, een ongewoon royale verdeling die waarschijnlijk ervaren cybercriminelen aantrok.

Hoewel veel ransomwaregroepen adverteren met geavanceerde capaciteiten, richtten de onderzoekers zich meer op de operationele uitvoering dan op flitsende technieken. De groep viel naar verluidt internetgerichte systemen aan, schakelde beveiligingstools uit na het verkrijgen van toegang en versleutelde omgevingen voor Windows, Linux, NAS en ESXi. Tijdens het onderzoek van de gelekte systemen werden ook tekenen van aanvullende malware-activiteit gerelateerd aan de operatie geïdentificeerd. Een voorbeeld dat in het rapport werd genoemd, was het gebruik van malware genaamd SystemBC, die vaak wordt gekoppeld aan persistentie, toegang op afstand en tunneling van verkeer tijdens ransomware aanvallen.

De blootgelegde systemen onthulden ook een slachtofferenaantal dat aanzienlijk hoger leek dan de cijfers die publiekelijk op de leksite van de groep werden getoond. Volgens CPR identificeerden onderzoekers meer dan 1.570 waarschijnlijke slachtoffers die aan de operatie waren verbonden.

Zelfs na het lek dat delen van de interne operatie blootlegde, lijkt The Gentlemen niet te vertragen. Op 16 mei kondigden beheerders van een nieuwere versie van BreachForums aan dat de ransomwaregroep een officiële partner van het forum was geworden. De samenwerking stelt The Gentlemen naar verluidt in staat om op het platform te adverteren, terwijl ze infrastructuur en operationele ondersteuning van het forum zelf ontvangen. Hoewel de relatie publiekelijk nog als onbevestigd kan worden beschouwd, bleek The Gentlemen een banner van BreachForums toonde op hun officiële darkweb-site, dezelfde portal die doorgaans wordt gebruikt voor het publiceren van slachtoffer-aankondigingen en afpersingsupdates.

Desalniettemin tonen incidenten als deze aan dat, hoewel ransomwaregroepen zich presenteren als zeer georganiseerde operaties, interne beveiligingsfouten een zwak punt blijven. Geschillen tussen affiliates, slechte infrastructuurbeveiliging, interne lekken en operationele fouten blijven kansen creëren voor onderzoekers en wetshandhavers om inlichtingen over criminele groepen te verzamelen.

Bron: Check Point Research | Bron 2: research.checkpoint.com | Bron 3: blog.checkpoint.com

Cybersecurityonderzoekers hebben vier nieuwe npm-pakketten ontdekt die malware bevatten die informatie steelt. Eén van deze pakketten is een kloon van de Shai-Hulud worm, die eerder open source werd gemaakt door TeamPCP. De ontdekking werd gedaan door beveiligingsonderzoekers van OX Security.

De geïdentificeerde pakketten zijn `chalk-tempalte` (825 downloads), `@deadcode09284814/axios-util` (284 downloads), `axois-utils` (963 downloads) en `color-style-utils` (934 downloads). Ten tijde van de publicatie waren deze bibliotheken nog steeds beschikbaar voor download via npm.

Volgens Moshe Siman Tov Bustan van OX Security bevat het pakket `chalk-tempalte` een directe kloon van de Shai-Hulud broncode, die vorige week door TeamPCP was gelekt. Dit zou mogelijk zijn geïnspireerd door een competitie voor aanvallen op de toeleveringsketen die kort daarna op BreachForums werd gepubliceerd. De actor achter deze kloon heeft de code vrijwel ongewijzigd geüpload met een eigen C2 server en privésleutel naar npm. Gestolen inloggegevens worden naar de externe C2 server `87e0bbc636999b.lhr[.]life` gestuurd. Bovendien wordt de data geëxporteerd naar een nieuwe openbare GitHub repository met behulp van de gestolen GitHub token via de API. De repository krijgt de beschrijving "A Mini Sha1-Hulud has Appeared".

Opvallend is dat de kwaadaardige payloads in de vier npm-pakketten verschillend zijn, ondanks dat ze door dezelfde npm gebruiker, "deadcode09284814", zijn gepubliceerd. Een analyse van de pakketten heeft uitgewezen dat `axois-utils` is ontworpen om een op Golang gebaseerd botnet voor distributed denial of service (DDoS) te verspreiden, genaamd Phantom Bot. Dit botnet kan een doelwebsite overspoelen met behulp van HTTP-, TCP en UDP-protocollen. Het vestigt ook persistentie op zowel Windows- als Linux machines door de payload toe te voegen aan de Windows Startup map en een geplande taak aan te maken.

De overige drie pakketten - `chalk-tempalte`, `@deadcode09284814/axios-util` en `color-style-utils` - leveren een stealer payload op gecompromitteerde systemen. De pakketten `@deadcode09284814/axios-util` en `color-style-utils` stelen SSH-sleutels, omgevingsvariabelen, cloud referenties, systeeminformatie, IP-adressen en cryptocurrency portemonneedata. Deze informatie wordt respectievelijk naar `80.200.28[.]28:2222` en `edcf8b03c84634.lhr[.]life` gestuurd.

OX Security waarschuwt dat dreigingsactoren steeds gemotiveerder zijn om aanvallen op de toeleveringsketen en typosquatting uit te voeren, aangezien aanvallen gemakkelijker worden nu de Shai-Hulud code open source is. Het bedrijf ziet een enkele actor met meerdere technieken en soorten infostealers die kwaadaardige code verspreiden via npm, wat mogelijk de eerste fase is van een aankomende golf van aanvallen op de toeleveringsketen.

Gebruikers die de pakketten hebben gedownload, wordt geadviseerd deze onmiddellijk te verwijderen. Daarnaast moeten ze kwaadaardige configuraties uit IDE's en coding agents, zoals Claude Code, opsporen en wissen, geheimen roteren, controleren op GitHub repositories die de string "A Mini Sha1-Hulud has Appeared" bevatten, en netwerktoegang tot verdachte domeinen blokkeren.

Bron: OX Security

Een beveiligingsonderzoeker heeft recentelijk een nieuwe aanval gedemonstreerd waarmee VMware ESXi-hosts vanuit een gevirtualiseerde guest machine (VM) volledig zijn over te nemen. Deze ontdekking, die de kwetsbaarheid van veelgebruikte virtualisatie-oplossingen benadrukt, werd gedaan tijdens de jaarlijkse Pwn2Own-wedstrijd in Berlijn. Voor zijn prestatie ontving onderzoeker Nguyen Hoang Thach een aanzienlijke beloning van 200.000 dollar.

De aanval maakt gebruik van een 'memory corruption bug', waardoor Nguyen Hoang Thach erin slaagde om vanuit het guest besturingssysteem het onderliggende host-systeem te compromitteren. Alleen al voor deze demonstratie ontving hij 150.000 dollar. Deze methode toont een kritieke zwakte in de isolatie tussen gast en hostsystemen, wat potentieel ernstige gevolgen kan hebben voor de integriteit en veiligheid van gevirtualiseerde infrastructuren.

Daarnaast wist de onderzoeker een extra 'cross-tenant code execution add-on bonus' van 50.000 dollar te bemachtigen. Deze bonus wordt toegekend wanneer een payload niet alleen willekeurige code op de host of hypervisor uitvoert, maar er ook voor zorgt dat code wordt uitgevoerd op een ander, door dezelfde host of hypervisor beheerd, gevirtualiseerd guest besturingssysteem. Dit illustreert de mogelijkheid om een aanval verder te verspreiden binnen een gevirtualiseerde omgeving.

Broadcom, de eigenaar van VMware, is inmiddels geïnformeerd over de gebruikte kwetsbaarheid en werkt aan de ontwikkeling van patches. Details over de specifieke kwetsbaarheid zullen pas worden vrijgegeven nadat Broadcom de benodigde updates heeft uitgebracht. Op dit moment is nog onbekend wanneer deze beveiligingsupdates beschikbaar zullen zijn, wat betekent dat systemen die deze kwetsbaarheid bevatten, momenteel onbeschermd blijven tegen deze specifieke aanvalsmethode. Organisaties die VMware ESXi gebruiken, doen er goed aan de ontwikkelingen nauwlettend te volgen en zich voor te bereiden op de implementatie van de aankomende patches.

Bron: zerodayinitiative.com

18 mei 2026 | Steam game 'Beyond The Dark' verspreidt malware

De game 'Beyond The Dark', beschikbaar op het Steam platform met APPID 3393800, blijkt malware te bevatten. Uit onderzoek is gebleken dat een dropper verborgen zit in de unitydll van deze ogenschijnlijk legitieme game. Na de installatie van de game downloadt deze dropper aanvullende kwaadaardige software van een command-and-controlserver (C2-server), waardoor het systeem van de speler verder geïnfecteerd raakt.

De aanwezigheid van deze malware is bevestigd door security onderzoeker Eric Parker, ondersteund door een gedetailleerde ANY.RUN sandboxanalyse. Ten tijde van de melding was de game nog steeds beschikbaar op Steam, wat een aanzienlijk risico vormt voor spelers die de titel hebben gedownload of van plan zijn dit te doen. Het is belangrijk op te merken dat er geen bewijs is dat Sony of Steam zelf gecompromitteerd zijn; de malware lijkt via de game te worden verspreid.

Spelers die de game 'Beyond The Dark' hebben geïnstalleerd, wordt dringend geadviseerd deze onmiddellijk van hun systeem te verwijderen. Daarnaast is het raadzaam een grondige scan uit te voeren met antivirussoftware om eventuele aanvullende malware op te sporen en te verwijderen. Tevens wordt geadviseerd om het systeem te controleren op ongewone netwerkverbindingen die kunnen duiden op actieve communicatie met de C2-server.

Bron: Cybercrimeinfo

Cybersecurityonderzoekers hebben een omvangrijke software supply chain aanvalscampagne ontdekt die diverse npm-pakketten, geassocieerd met het @antv-ecosysteem, heeft gecompromitteerd. Deze aanval maakt deel uit van de aanhoudende Mini Shai-Hulud golf en misbruikt gecompromitteerde maintainer accounts om getrojaniseerde versies van populaire ontwikkeltools te verspreiden.

De aanval treft pakketten die gekoppeld zijn aan het npm maintainer account 'atool', waaronder 'echarts-for-react', een veelgebruikte React wrapper voor Apache ECharts met ongeveer 1,1 miljoen wekelijkse downloads. Naast 'echarts-for-react' zijn ook @antv-pakketten zoals @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/s2, @antv/f2, @antv/g, @antv/g2plot, @antv/graphin en @antv/data-set getroffen. Ook gerelateerde pakketten buiten de @antv-namespace, zoals 'timeago.js', 'size-sensor' en 'canvas-nest.js', behoren tot de slachtoffers.

De aanvallers hebben 639 kwaadaardige versies gepubliceerd over 323 unieke pakketten, waarvan 558 versies over 279 unieke @antv-pakketten. De ingebedde 'stealer' payload is ontworpen om meer dan 20 typen inloggegevens te oogsten, waaronder die voor Amazon Web Services, Google Cloud, Microsoft Azure, GitHub, npm, SSH, Kubernetes, Vault, Stripe en databaseverbindingen. De malware probeert ook een Docker container escape uit te voeren via de host socket. De functionaliteit van deze stealer is identiek aan de eerder gebruikte Mini Shai-Hulud payload in de SAP-compromittering.

De verzamelde data wordt geserialiseerd, gecomprimeerd en versleuteld, waarna deze wordt geëxfiltreerd naar het domein "t.m-kosche[.]com:443". Als fallback-mechanisme misbruikt de malware gestolen GitHub-tokens om een publieke repository aan te maken onder het account van het slachtoffer en de data daar als JSON-bestand te committen. Deze repositories zijn te herkennen aan de beschrijving "niagA oG eW ereH :duluH-iahS", wat achterstevoren "Shai-Hulud: Here We Go Again" betekent. Er zijn al meer dan 2.200 van dergelijke repositories op GitHub gevonden.

De malware bevat ook een npm-propagologicsysteem dat gestolen npm-tokens misbruikt. Eerst worden de tokens gevalideerd via de npm registry API. Vervolgens worden pakketten opgesomd die door de tokenhouder worden beheerd, de tarballs van deze pakketten gedownload, de kwaadaardige payload geïnjecteerd, een preinstall hook toegevoegd, de pakketversies verhoogd en ten slotte worden de aangepaste pakketten opnieuw gepubliceerd onder de gecompromitteerde identiteit van de maintainer. De aanval gebruikt twee uitvoeringspaden, elke gecompromitteerde versie voegt een preinstall hook toe (bun run index.js), en 630 van de 631 kwaadaardige versies injecteren ook een optionalDependencies-ingang die een tweede kopie van de payload levert via de legitieme antvis/G2 GitHub-repository. De snelle publicatiegolf van 314 pakketten (631 versies) in 22 minuten met een identieke geobfusceerde payload duidt op een geautomatiseerde en snelle exfiltratie via een gestolen token.

De zelfreplicerende Mini Shai-Hulud campagne wordt toegeschreven aan de financieel gemotiveerde dreigingsactor TeamPCP. Onlangs is de activiteit echter in een agressieve nieuwe fase beland, nadat TeamPCP de volledige broncode heeft vrijgegeven voor andere dreigingsactoren, als onderdeel van een supply chain aanvalswedstrijd die in samenwerking met BreachForums is aangekondigd. Dit verlaagt de drempel voor andere actoren om de aanvalsmethoden van TeamPCP over te nemen, inclusief geavanceerdere technieken zoals OIDC token misbruik en provenance forgery. Sinds de vrijgave zijn er al vier kwaadaardige npm-pakketten geüpload, waarvan één een vrijwel identieke kopie van de Shai-Hulud worm bevat met een eigen command-and-control infrastructuur. Deze 'copycat'-golf bemoeilijkt de attributie en de aanvallen blijven leiden tot diefstal van inloggegevens en openen de deur voor verdere exploitatie. Organisaties die GitHub Actions, PyPI, Docker Hub, GHCR, VS Code extensies en cloud-verbonden CI runners gebruiken, zijn direct blootgesteld aan dit risico.

Bron: Socket | Bron 2: github.com | Bron 3: securitylabs.datadoghq.com

19 mei 2026 | PhishPulse PhaaS toolkit op ondergronds forum

 Deze toolkit is ontworpen om grootschalige campagnes voor phishing, spamactiviteiten en de diefstal van inloggegevens te faciliteren, evenals de verspreiding van malware.

De functionaliteiten van PhishPulse zijn breed en omvatten onder meer de vervalsing van headers van e-mail en de mogelijkheid tot verzending in bulk van e-mails voor phishing. De dienst biedt kant-en-klare HTML templates voor phishing en integreert met SMTP voor het omzeilen van filters voor spam. Verder zijn scripts aanwezig voor het efficiënt verzamelen van gestolen inloggegevens en biedt de toolkit gedetailleerde rapportage over campagnes. PhishPulse ondersteunt ook complexere aanvalsvormen zoals spear phishing en whaling aanvallen, waarbij e-mails versleuteld via SMTP worden geleverd.

De advertentie vermeldt tevens een escrow dienst, beschikbaar via darknetarmy.io, om transacties veiliger te maken voor kopers en verkopers op het ondergrondse platform. De opkomst van tools zoals PhishPulse benadrukt de voortschrijdende professionalisering van het ecosysteem van phishing. Dit stelt ook minder technisch onderlegde cybercriminelen in staat om geavanceerde en grootschalige aanvallen uit te voeren. De impact van dergelijke diensten is aanzienlijk, met risico's op wijdverspreide phishing, spam, diefstal van inloggegevens, compromittering van zakelijke e-mail (BEC) en het misbruik van vertrouwde infrastructuur voor e-mail.

Bron: Cybercrimeinfo

Microsoft heeft de acties van een dreigingsactor, aangeduid als Storm-2949, gedetecteerd die zich richt op Microsoft 365 en Azure productieomgevingen. Het primaire doel van deze aanvallen is het exfiltreren van zoveel mogelijk gevoelige data uit de waardevolle assets van de doelorganisatie. De actor gebruikt social engineering om gebruikers met geprivilegieerde rollen, zoals IT personeel of leden van het senior leiderschap, te compromitteren en hun Microsoft Entra ID inloggegevens te verkrijgen om toegang te krijgen tot data in Microsoft 365 applicaties.

Microsoft vermoedt dat Storm-2949 misbruik maakt van de Self-Service Password Reset (SSPR) functionaliteit. Hierbij initieert een aanvaller een wachtwoordreset voor het account van een doelwit en manipuleert de aanvaller het slachtoffer vervolgens om multi-factor authenticatie (MFA) prompts goed te keuren. Om de misleiding overtuigender te maken, doet de hacker zich voor als een IT support medewerker die dringende verificatie van het account vereist. Na goedkeuring reset de hacker het wachtwoord, verwijdert de MFA-controles en schrijft een eigen Microsoft Authenticator in op hun apparaat.

Na het kapen van de accounts gebruikt Storm-2949 de Microsoft Graph API en op maat gemaakte Python scripts om gebruikers, rollen, applicaties en service principals te enumereren. Dit stelt hen in staat om mogelijkheden voor langdurige persistentie te evalueren. Vervolgens krijgt de actor toegang tot OneDrive en SharePoint in Microsoft 365, waar zij zoeken naar VPN configuraties en IT operationele bestanden. Deze bestanden bevatten vaak details voor externe toegang die kunnen helpen bij laterale beweging vanuit de cloud naar het endpoint netwerk. In een specifiek geval heeft Storm-2949 de OneDrive webinterface gebruikt om duizenden bestanden in één actie naar hun eigen infrastructuur te downloaden. Dit patroon van data diefstal werd herhaald over alle gecompromitteerde gebruikersaccounts, waarschijnlijk omdat verschillende identiteiten toegang hadden tot verschillende mappen en gedeelde directories.

De aanval werd uitgebreid naar de Azure infrastructuur van het slachtoffer, inclusief virtuele machines, storage accounts, key vaults, app services en SQL databases. Volgens Microsoft heeft de aanvaller meerdere identiteiten gecompromitteerd die geprivilegieerde custom Azure role-based access control (RBAC) rollen hadden op verschillende Azure abonnementen. Dit stelde hen in staat om de meest gevoelige assets binnen de Azure omgeving van het slachtoffer te ontdekken en te extraheren, met name uit productiegerichte Azure abonnementen. Door misbruik te maken van de geprivilegieerde Azure RBAC permissies van de gecompromitteerde gebruiker, kon Storm-2949 inloggegevens verkrijgen waarmee zij FTP, Web Deploy en de Kudu console konden implementeren voor het beheren van Azure App services. Op dit punt kon de actor het bestandssysteem doorbladeren, omgevingsvariabelen controleren en op afstand commando's uitvoeren binnen de context van de app.

Storm-2949 richtte zich vervolgens op Azure Key Vaults, waar zij toegangsinstellingen wijzigden en tientallen secrets stalen, waaronder database credentials en connection strings. De aanvallers viseerden ook Azure SQL servers en Storage accounts door firewall en netwerktoegangsregels te wijzigen, storage keys en SAS tokens op te halen, en data te exfiltreren met behulp van custom Python scripts. Azure VM management features zoals VMAccess en Run Command werden misbruikt om rogue administrator accounts aan te maken, remote scripts uit te voeren en credentials te stelen. In de latere stadia van de aanval heeft Storm-2949 de ScreenConnect remote access tool geïmplementeerd op gecompromitteerde systemen, geprobeerd Microsoft Defender beschermingen uit te schakelen en forensisch bewijsmateriaal te wissen.

Microsoft benadrukt dat 'Storm' een tijdelijke aanduiding is voor dreigingsactiviteit die nog moet worden geclassificeerd omdat deze nieuw, opkomend of in ontwikkeling is. Om zich te verdedigen tegen aanvallen van Storm-2949, adviseert Microsoft om security hardening en best practices te volgen. Dit omvat het adopteren van het principe van least privilege, het inschakelen van conditional access beleid, het toevoegen van MFA bescherming voor alle gebruikers, en het waarborgen van phishing-resistant MFA voor gebruikers met geprivilegieerde rollen, zoals administrators. Voor de bescherming van cloud resources adviseert het bedrijf om Azure RBAC permissies te beperken, Azure Key Vault logs tot een jaar te bewaren, de toegang tot Key Vault te verminderen, openbare toegang tot Key Vaults te beperken, data protection opties in Azure Storage te gebruiken en te monitoren op high-risk Azure management operations. Het rapport van Microsoft biedt indicators of compromise (IOCs) voor de waargenomen aanvallen, samen met uitgebreide mitigatierichtlijnen en beschermingsrichtlijnen.

Bron: Microsoft

Een aanval die misbruik maakte van een voorheen onbekende kwetsbaarheid in de software van bedrijfsrouters van Huawei, veroorzaakte vorig jaar een landelijke telecomstoring in Luxemburg. Het incident, dat plaatsvond op 23 juli 2025, ontwrichtte mobiele, vaste en noodcommunicatie gedurende meer dan drie uur. De kwetsbaarheid is tot op heden niet publiekelijk bekendgemaakt, en er is in de tien maanden na het incident geen CVE-identificatie (gebruikt om softwarefouten te traceren) ingediend in enige openbare database. Ook is er geen openbare waarschuwing uitgegeven aan andere operators die dezelfde apparatuur gebruiken.

Paul Rausch, hoofd communicatie bij POST Luxembourg, het staatsbedrijf wiens netwerk faalde, bevestigde dat het incident een denial-of-service (DoS) aanval betrof gericht op een netwerkapparaat. Hij verklaarde dat de aanval "niet-openbaar, niet-gedocumenteerd gedrag" misbruikte, waarvoor destijds geen patch beschikbaar was, en dat het "niet gerelateerd was aan het misbruik van bekende of eerder gedocumenteerde kwetsbaarheden." Huawei liet POST weten dat het de aanval nog nooit eerder bij klanten had waargenomen en geen kant-en-klare oplossing had. Anonieme bronnen die van de zaak op de hoogte waren, beschreven het incident als een zero-day aanval. Er is geen bewijs dat het incident zich heeft herhaald, maar de kwetsbaarheid blijft onopgehelderd en is niet publiekelijk erkend door het bedrijf.

De storing begon aan het einde van de werkdag op 23 juli 2025. De vaste, 4G- en 5G-mobiele netwerken van POST vielen uit, waardoor honderdduizenden inwoners mogelijk geen contact konden opnemen met hulpdiensten. De storing werd veroorzaakt door speciaal gecreëerd netwerkverkeer dat Huawei-bedrijfsrouters in een continue herstartlus bracht, waardoor kritieke delen van de infrastructuur van POST crashten. Toen de connectiviteit na meer dan drie uur was hersteld, ontving de alarmcentrale honderden extra oproepen. De Luxemburgse regering omschreef het incident destijds als een "uitzonderlijk geavanceerde en gecompliceerde cyberaanval." POST verduidelijkte later dat het geen volumetrische DDoS aanval was zoals vaak gebruikt door hacktivisten en cybercriminelen.

Het openbaar ministerie van het land meldde dat een onderzoek door de politie en cyberbeveiligingsexperts uitwees dat "corrupte data, die gebruikt kan worden om een aanval op een willekeurige server voor te bereiden, via POST Luxembourg als internetprovider was doorgestuurd en hun systemen deed stoppen en herstarten in plaats van de data simpelweg door te sturen." De onderzoekers concludeerden echter dat er "geen bewijs was dat een aanval specifiek gericht was op POST Luxembourg als gekozen doelwit." Er zijn geen strafrechtelijke aanklachten ingediend. De bevindingen suggereren dat de storing mogelijk is veroorzaakt door kwaadaardig netwerkverkeer dat simpelweg door de infrastructuur van POST stroomde, waarbij routers van Huawei een ongedocumenteerde storingsconditie tegenkwamen.

Eerder is het VRP-netwerkbesturingssysteem van Huawei getroffen door denial-of-service kwetsbaarheden waarbij speciaal gecreëerd protocolverkeer betrokken was, waaronder CVE-2021-22359 en CVE-2022-29798. POST stelde dat geen van deze eerder bekendgemaakte kwetsbaarheden betrokken was bij het incident in Luxemburg. Hoewel Huawei routinematig CVE's indient voor consumentenproducten, zijn openbare bekendmakingen van kwetsbaarheden in zijn bedrijfsnetwerksoftware de afgelopen jaren zeldzaam geworden. Het bedrijf publiceert nog steeds beveiligingsadviezen voor ondernemingen, maar via een beperkt klantportaal. Luxemburgse autoriteiten hebben partner incidentresponseteams in heel Europa via gevestigde overheidskanalen gewaarschuwd. Tien maanden later blijft het onduidelijk of de kwetsbaarheid volledig is gepatcht, hoeveel operators mogelijk zijn blootgesteld of dat vergelijkbare Huawei systemen vandaag de dag nog kwetsbaar zijn.

Bron: nvd.nist.gov | Bron 2: cve.org

De ransomwaregroep "The Gentlemen" heeft zich in korte tijd ontpopt tot een van de meest agressieve cybercriminele operaties van de afgelopen jaren. De groep kwam in de tweede helft van 2025 publiekelijk naar voren en groeide begin 2026 razendsnel uit tot een van de twee meest actieve ransomwaredreigingen wereldwijd. De snelheid van hun groei, gecombineerd met de breedte van de systemen die zij aanvallen, maakt deze groep uitzonderlijk.

The Gentlemen heeft bewezen effectief te zijn tegen een breed scala aan bedrijfsomgevingen, waaronder Windows-, Linux-, NAS-, BSD-systemen en VMware ESXi-systemen. Hun aanvallen volgen een goed georganiseerde workflow, van het verkrijgen van initiële toegang via gestolen inloggegevens of blootgestelde externe diensten, tot het verspreiden van ransomware over complete netwerken. Voordat systemen worden vergrendeld, steelt de groep ook data, die vervolgens wordt gebruikt als extra drukmiddel om slachtoffers tot betaling aan te zetten.

Analisten van LevelBlue meldden in een rapport dat The Gentlemen geen volledig nieuwe operatie is. Het lijkt een voortzetting van eerdere ransomware-partneractiviteiten die gekoppeld zijn aan het Qilin-ecosysteem, naar verluidt beheerd door een Russischtalige actor bekend als "hastalamuerte". Deze achtergrond heeft de groep een voorsprong gegeven, met reeds bestaande kennis, partnernetwerken en operationele ervaring.

Per 10 mei 2026 had de groep in de eerste helft van het jaar al 352 aanvallen publiekelijk geclaimd. Data van de lekwebsite toont slachtofferbekendmakingen in meer dan 70 landen, met een sterke vertegenwoordiging in APAC, Europa, Latijns-Amerika en Noord-Amerika. Professionele diensten, productie, technologie en gezondheidszorg vertegenwoordigen het grootste deel van de bekende slachtoffers. Monitoring van het darkweb bracht ook een onbevestigd inlichtingengegeven aan het licht, waarbij iemand data aanbood die naar verluidt afkomstig was uit de interne systemen van The Gentlemen zelf, voor $10.000 in Bitcoin. Het aangeboden materiaal leek actor-handles, inhoud van slachtofferonderhandelingen en bestandsmapping data te bevatten. Hoewel de authenticiteit hiervan nog niet bevestigd kan worden, voegt het een belangrijke laag toe aan een reeds complexe operatie.

De The Gentlemen ransomware is ontworpen om in één campagne meerdere besturingssystemen aan te vallen. De Windows-versie is gebouwd met de programmeertaal Go en vereist een wachtwoord bij uitvoering, wat de groep helpt vroege detectie en sandbox-analyse te omzeilen. Versleutelde bestanden krijgen willekeurige extensies van zes tekens, en getroffen systemen worden achtergelaten met een losgeldbriefje genaamd READMEGENTLEMEN.txt. De versleutelingsaanpak is ontworpen om zo snel mogelijk maximale schade aan te richten. Kleinere bestanden worden volledig versleuteld, terwijl grotere bestanden slechts gedeeltelijk in stukken worden versleuteld, waardoor de ransomware sneller door grote omgevingen kan bewegen en herstel zonder decryptor uiterst moeilijk maakt. Voordat bestanden worden vergrendeld, stopt de malware eerst diensten gerelateerd aan databases, back-ups, virtualisatieplatforms en tools voor externe toegang zodat herstel wordt bemoeilijkt. Het aanvallen van ESXi en virtualisatie-infrastructuur is bijzonder schadelijk, omdat het gehele serverparken binnen enkele minuten kan platleggen. Het partnerpaneel van de groep ondersteunt dit model door operators in staat te stellen aangepaste payloads te genereren, slachtofferonderhandelingen te beheren, losgeldinkomsten te schatten en uploads van gestolen data af te handelen vanuit één gestructureerde backend.

De afpersingsstrategie van The Gentlemen stopt niet bij bestandsversleuteling. De groep gebruikt gestolen data als een centraal onderdeel van haar drukstrategie, en dreigt gevoelige bestanden op haar lekwebsite te publiceren als slachtoffers weigeren te betalen. Zelfs organisaties die systemen herstellen vanuit back-ups kunnen nog steeds te maken krijgen met data-expositie, wettelijke gevolgen en blijvende reputatieschade.

Beveiligingsteams dienen te beginnen met het controleren van alle internetgerichte infrastructuur, met name VPN's, firewalls en portals voor externe toegang, en meervoudige authenticatie af te dwingen op alle bevoorrechte accounts. Inloggegevens die zijn blootgesteld via eerdere datalekken of gestolen door malware die informatie steelt, moeten onmiddellijk worden gewijzigd, en inactieve accounts moeten worden uitgeschakeld. LevelBlue-onderzoekers adviseren om te jagen op vroege aanvalsgedragingen in plaats van te wachten tot ransomware verschijnt. Belangrijke signalen zijn onder meer ongebruikelijke administratieve aanmeldingen, scantools zoals Nmap of Advanced IP Scanner, onverwacht gebruik van AnyDesk of WinSCP, en tekenen van wijziging van groepsbeleid of massale dienstafsluitingen. Back-upsystemen en ESXi-omgevingen moeten worden geïsoleerd van het hoofddomein en regelmatig worden getest op herstelmogelijkheden.

Bron: LevelBlue

Een nieuwe, geavanceerde malwarecampagne is wereldwijd actief en richt zich op het stelen van cryptovaluta van gebruikers. De aanvallers maken gebruik van een meertraps loader genaamd CountLoader, die JavaScript, PowerShell en shellcode combineert om een crypto clipper af te leveren. Deze clipper onderschept en omleidt cryptovaluta transacties ongemerkt.

Onderzoekers van McAfee Labs hebben de campagne geanalyseerd en hun bevindingen gedeeld. Zij schatten dat ongeveer 86.000 unieke machines wereldwijd zijn geïnfecteerd. Gemiddeld verbonden zo'n 5.000 geïnfecteerde systemen per minuut met de command-and-control infrastructuur van de aanvallers. De meeste infecties werden waargenomen in India, gevolgd door Indonesië en de Verenigde Staten, met een sterke aanwezigheid in Zuidoost-Azië.

De aanval start met een kwaadaardig uitvoerbaar bestand (EXE) dat een PowerShell commando uitvoert. Dit commando downloadt en activeert een versluierde JavaScript loader via mshta.exe, een legitiem Windows hulpprogramma dat vaak wordt misbruikt omdat het standaard wordt vertrouwd door het besturingssysteem. Deze methode zorgt ervoor dat de malware zich kan verbergen tussen normale systeemactiviteiten, waardoor het tijd krijgt om zich te nestelen voordat beveiligingsmaatregelen kunnen ingrijpen.

De verspreiding van de malware vindt niet alleen plaats via het internet, maar ook via USB-drives. Op instructie van de commandoserver vervangt CountLoader bestanden op aangesloten externe schijven door LNK-snelkoppelingen. Wanneer een gebruiker zo'n snelkoppeling opent, wordt de malware ongemerkt uitgevoerd, terwijl ook het originele bestand wordt geopend. Hierdoor merkt het slachtoffer geen onregelmatigheden op. Ongeveer 9.000 infecties zijn herleid tot deze USB-gebaseerde methode.

Het uiteindelijke doel van de campagne is een cryptocurrency clipper. Eenmaal geladen in het geheugen, monitort deze de klembordinhoud op de achtergrond. Op het moment dat een gebruiker een wallet adres kopieert, vervangt de clipper dit met een adres dat onder controle staat van de aanvaller. Dit leidt tot een stille omleiding van fondsen zonder dat het slachtoffer dit opmerkt. De clipper ondersteunt meerdere cryptovaluta formaten, waaronder Bitcoin en Ethereum.

De infectieketen is zorgvuldig ontworpen om detectie te omzeilen. Na de initiële uitvoering van het EXE-bestand wordt elke 30 minuten een geplande taak geactiveerd om persistentie te waarborgen. Het PowerShell script decodeert vervolgens een Base64 payload en voert deze uit met Invoke-Expression, een bekende techniek om verborgen code uit te voeren zonder deze naar de schijf te schrijven.

CountLoader neemt vervolgens de controle over als een HTA-bestand, geladen via mshta.exe. Het verbergt zijn venster, probeert zijn eigen bestand te wissen indien lokaal uitgevoerd, en zoekt contact met commandoservers totdat er één reageert. Na een versleutelde handshake en het verkrijgen van een JWT token, stuurt de malware details over de geïnfecteerde host terug, inclusief informatie over geïnstalleerde cryptovaluta wallets of browser extensies.

De volgende fasen omvatten een PowerShell packer die een shellcode injector ontsleutelt en lanceert. Voordat de injectie plaatsvindt, schakelt het script AMSI (Antimalware Scan Interface), een Windows functie voor het detecteren van kwaadaardige scripts, uit met behulp van een bekende publieke bypass. De shellcode laadt vervolgens de uiteindelijke payload direct in het geheugen onder systeminfo.exe, zonder de schijf aan te raken, wat de detectie door beveiligingssoftware aanzienlijk bemoeilijkt.

Een opvallend kenmerk van de uiteindelijke payload is de manier waarop het zijn commandoserver lokaliseert. In plaats van een vast domein te gebruiken dat kan worden geblokkeerd, maakt de clipper gebruik van een techniek genaamd EtherHiding. Hierbij wordt het serveradres rechtstreeks van de Ethereum blockchain opgehaald. Aangezien de blockchain gedecentraliseerd is, is er geen enkel punt dat verdedigers kunnen uitschakelen om de malware te stoppen.

Om risico's te verminderen, wordt gebruikers geadviseerd om geen uitvoerbare bestanden van onvertrouwde bronnen te starten, voorzichtig te zijn met onbekende USB-drives en altijd wallet adressen te verifiëren voordat cryptovaluta wordt verzonden. Het controleren op onbekende geplande taken in Windows en het up-to-date houden van beveiligingssoftware kan eveneens helpen om deze dreiging te detecteren voordat ernstige schade optreedt.

Bron: McAfee Labs

Politiezone Noord-Limburg in België heeft een waarschuwing uitgegeven voor een toenemende vorm van fraude, bekend als "quishing" of QR-phishing. Oplichters maken misbruik van de wijdverspreide adoptie van QR-codes voor menu's op terrassen en betalingen bij parkeerautomaten om bankgegevens te stelen.

De methode van de oplichters behelst het overkleven van originele QR-codes met valse stickers op openbare plaatsen zoals tafels, parkeerautomaten en affiches. Wanneer onwetende slachtoffers deze frauduleuze QR-codes scannen met hun smartphone, worden zij omgeleid naar een nagemaakte website. Op deze valse website worden vervolgens persoonlijke gegevens of bankgegevens ontfutseld.

De politiezone adviseert het publiek om uiterst voorzichtig te zijn en enkele controles uit te voeren voordat een QR-code wordt gescand of gegevens worden ingevoerd. Een belangrijke tip is om de fysieke QR-code te controleren of deze aan als een opgekleefde sticker, of is er een randje of verhoging te voelen? Dit kan duiden op manipulatie.

Na het scannen van een QR-code is het essentieel om de weergegeven internetlink (URL) op de smartphone nauwkeurig te inspecteren. Men moet wantrouwig zijn ten opzichte van vreemde, afgekorte of buitenlandse websites. Voor handelingen zoals parkeren of betalingen wordt sterk aangeraden om uitsluitend de officiële app of de website van de betreffende aanbieder te gebruiken. Bij twijfel is het advies is niet te scannen. Waar mogelijk, wordt geadviseerd om een fysieke menukaart te vragen of een alternatieve betaalmethode te gebruiken.

Indien men toch slachtoffer is geworden van deze fraude en een malafide QR-code heeft gescand en/of gegevens heeft ingevoerd, is onmiddellijk actie vereist. Slachtoffers dienen direct contact op te nemen met hun bank en hun bankkaart te laten blokkeren via Card Stop op het nummer 078 170 170. Daarnaast is het van cruciaal belang om verdachte QR-codes of fraudegevallen te melden bij de politie.

Bron: Politiezone Noord-Limburg

De Poolse overheid heeft ambtenaren opgeroepen om een zelfontwikkelde chatapp te gebruiken ter vervanging van Signal. Deze oproep volgt op een reeks phishingaanvallen gericht op Signal gebruikers, waarbij aanvallers trachten toegang te verkrijgen tot accounts en berichten. Diverse inlichtingendiensten, waaronder de Nederlandse AIVD en MIVD, hebben de afgelopen maanden gewaarschuwd voor deze specifieke phishingcampagnes. Recentelijk bleek uit onderzoek dat ten minste 14.000 Signal gebruikers het doelwit zijn geworden van dergelijke aanvallen. Deze aanvallen hebben als doel om gevoelige informatie te ontfutselen en de vertrouwelijkheid van communicatie in gevaar te brengen.

Volgens de Poolse overheid vormen deze aanhoudende aanvallen een directe bedreiging voor de staatsveiligheid en de vertrouwelijkheid van gevoelige informatie die door overheidsfunctionarissen wordt uitgewisseld. Om een veilige communicatie te waarborgen en de risico's van externe platforms te minimaliseren, adviseert het ministerie nu om gebruik te maken van zelfontwikkelde oplossingen. Een van de aanbevolen applicaties is mSzyfr Messenger, een chatapplicatie die is voortgebracht uit een samenwerking tussen het ministerie van Digitale Zaken en het nationaal onderzoeksinstituut NASK-PIB.

mSzyfr Messenger is gebouwd op de Matrix-architectuur, een open standaard voor gedecentraliseerde, veilige communicatie, die voorziet in end-to-end encryptie van communicatie. Een belangrijk aspect dat door het ministerie wordt benadrukt, is dat de infrastructuur die deze chatapp ondersteunt, volledig binnen de Poolse landsgrenzen is gehuisvest. Dit biedt extra garanties met betrekking tot data soevereiniteit en controle. De Poolse autoriteiten stellen verder dat mSzyfr Messenger, in tegenstelling tot populaire externe apps zoals WhatsApp en Signal, is ontwikkeld volgens het principe van privacy-by-design. Dit betekent dat privacyoverwegingen vanaf het begin in het ontwerp zijn geïntegreerd. Bovendien claimen de autoriteiten dat de chatapp voldoet aan de strikte eisen van de Algemene Verordening Gegevensbescherming (AVG), wat bij Signal en WhatsApp ook niet het geval is, aldus een officieel document over mSzyfr Messenger. De introductie van deze binnenlandse oplossing moet de digitale veiligheid van Poolse ambtenaren versterken tegen aanhoudende cyberdreigingen en zorgen voor een betrouwbaarder communicatiekanaal.

Bron: Poolse overheid | Bron 2: gov.pl

De systemen die het ministerie van Volksgezondheid uitrolt voor de uitwisseling van patiëntgegevens zijn onverantwoord kwetsbaar voor hackers. Dit is de waarschuwing van een collectief van vijf privacyorganisaties: Platform Burgerrechten, Privacy First, Stichting KDVP, Stichting Decozo en Stichting Spidz. Zij roepen op tot de ontwikkeling van systemen die uitsluitend het gericht delen van medische gegevens mogelijk maken. Daarnaast eisen zij dat de overheid burgers volledig en eerlijk voorlicht over de risico's van het breed toegankelijk maken van medische dossiers en dat er een absolute opt-out voor de European Health Data Space (EHDS) komt.

De privacyorganisaties uiten hun zorgen over zowel Mitz, een Nederlands systeem, als de EHDS, een Europees initiatief. Volgens hen bieden deze systemen via één toegangspunt toegang tot tienduizenden tot honderdduizenden dossiers. Een belangrijk kritiekpunt is dat de arts die de gegevens bewaart, geen controle heeft over wie de gegevens opvraagt en om welke reden. Dit maakt de systemen een aantrekkelijk doelwit voor kwaadwillenden, aangezien zij slechts één ingang nodig hebben om toegang te krijgen tot de gegevens van talloze patiënten. Ondanks deze geuite zorgen wordt de uitrol van deze systemen voortgezet.

In Nederland wordt momenteel het systeem Mitz geïmplementeerd. Dit is een online toestemmingsvoorziening waarmee burgers via DigiD kunnen vastleggen welke zorgverleners hun medische gegevens mogen delen met andere zorgverleners. De organisaties stellen dat het in Mitz uitsluitend mogelijk is om tienduizenden tot honderdduizenden zorgverleners tegelijkertijd ongericht toegang te geven tot medische dossiers. Nadat deze toestemming is verleend, heeft de dossierhoudende arts geen zeggenschap meer over wie de gegevens inzien. Een andere zorg is dat toestemmingen die patiënten al dan niet hebben gegeven, door derden overruled kunnen worden.

De EHDS is een ander systeem dat de privacyorganisaties zorgen baart. Dit systeem is ontworpen om medische gegevens toegankelijk te maken in alle lidstaten van de Europese Unie. Iedere Nederlander wordt automatisch in dit systeem opgenomen. Om er buiten te blijven, moeten burgers zelf actie ondernemen en bezwaar registreren via een opt-out. De privacyorganisaties waarschuwen dat de EHDS lidstaten geen ruimte biedt om dit te regelen op basis van voorafgaande, geïnformeerde toestemming (opt-in), zoals vereist is door het medisch beroepsgeheim. Zij voegen eraan toe dat dit systeem in strijd is met de Algemene Verordening Gegevensbescherming (AVG) en het medisch beroepsgeheim.

De organisaties dringen er bij de Tweede Kamer op aan om actie te ondernemen en te kiezen voor een kleinschaligere aanpak. Zij pleiten voor systemen die beveiligingsrisico's wegnemen of beperken door alleen het gericht delen van medische gegevens mogelijk te maken. Bovendien moeten medische gegevens uitsluitend worden uitgewisseld op basis van werkelijke 'informed consent' met een concrete behandelrelatie. Een absolute opt-out voor de EHDS is eveneens een belangrijke eis. Tot slot pleiten de organisaties voor volledige en eerlijke voorlichting aan burgers over de risico's die gepaard gaan met het breed toegankelijk maken van hun medische dossiers.

Bron: Privacybarometer | Bron 2: mijnmitz.nl | Bron 3: volgjezorg.nl

In februari 2026 is een nieuw phishing-as-a-service (PhaaS) platform genaamd EvilTokens in gebruik genomen. Binnen slechts vijf weken na de lancering heeft dit platform meer dan 340 Microsoft 365 organisaties in vijf verschillende landen gecompromitteerd. De methode die EvilTokens toepast, omzeilt effectief multi-factor authenticatie (MFA) door misbruik te maken van het OAuth toestemmingsproces.

De aanval begint met een bericht aan de doelwitten waarin hen wordt gevraagd een korte code in te voeren op microsoft.com/devicelogin en de normale MFA-uitdaging te voltooien. Gebruikers geloofden dat ze een routinematige aanmelding verifieerden, maar gaven in werkelijkheid een geldig refresh token aan de aanvallers. Dit token gaf toegang tot hun mailbox, drive, kalender en contacten, en had de levensduur van een tenantbeleid in plaats van een reguliere sessie.

Het opmerkelijke aan deze aanval is dat de operator geen wachtwoord nodig had, geen MFA-prompt activeerde en geen aanmeldingsgebeurtenis genereerde die als een inbraak kon worden geïdentificeerd. Het succes van de aanval is te danken aan het feit dat het OAuth toestemmingsscherm een "instinctieve klik" is geworden voor veel gebruikers, en de beveiligingscontroles die zijn ontworpen om credential phishing te stoppen, kijken niet naar de toestemmingslaag.

Beveiligingsonderzoekers noemen dit fenomeen "consent phishing" of "OAuth grant abuse". Waar de phishing-klik in het verleden leidde tot het overhandigen van een wachtwoord, leidt deze nu tot het overhandigen van een refresh token. Dit token opereert structureel onder de identiteitscontroles die de meeste organisaties nog steeds als hun perimeter beschouwen. MFA kan deze tokens niet blokkeren omdat de authenticatie en MFA al hebben plaatsgevonden op de legitieme identiteitsprovider, waarna de gebruiker simpelweg op 'Accepteren' klikt.

Refresh tokens verlengen bovendien het venster voor aanvallers. De tokens die door EvilTokens werden uitgegeven, bleven geldig na wachtwoordresets en konden weken of maanden actief blijven, afhankelijk van de tenantconfiguratie. Een wachtwoordrotatie was niet voldoende om de verleende toestemming ongeldig te maken; alleen expliciete intrekking of een Conditional Access-beleid dat hernieuwde toestemming vereiste, kon de toegang beëindigen.

De aanvalsvector zelf bestaat al sinds OAuth standaard werd, maar de omgeving waarin deze opereert, is drastisch veranderd. Gebruikers zijn getraind om door toestemmingsschermen te klikken, vergelijkbaar met cookiebanners. Veel AI agents, productiviteitsintegraties en browserextensies vragen om dergelijke toestemmingen, waardoor de hoeveelheid legitieme toestemmingen die een kenniswerker per maand ziet, de oorspronkelijke OAuth-dreigingsmodellen ver overtreft. Bovendien gebruikt de taal in de scopes vaak bewoordingen die de werkelijke risico's niet duidelijk weergeven, wat aanvallers uitbuiten.

Een dieper risico ontstaat door "toxische combinaties", waarbij individuele OAuth toestemmingen voor verschillende applicaties onbedoeld een bredere toegang creëren die geen enkele applicatie-eigenaar afzonderlijk heeft geautoriseerd. Een gecompromitteerde AI-vergaderingssamenvatter kan bijvoorbeeld via een financiële gebruiker toegang krijgen tot contractconcepten en klantgegevens als deze gebruiker ook toegang heeft verleend aan een productiviteitsassistent voor de gedeelde schijf. Dit was op grote schaal zichtbaar tijdens het Salesloft-Driftincident in 2025, waarbij een gecompromitteerde connector zich via legitiem goedgekeurde OAuth-tokens verspreidde over meer dan 700 Salesforce-tenants.

Nieuwe AI-beveiligingsplatforms bieden oplossingen door elke OAuth toestemming, AI-agent en integratie direct in een identiteitsgrafiek te mappen, bruggen, ongebruikte tokens en beleidsafwijkingen continu te monitoren. Een voorbeeld hiervan is het Reco-platform.

Bron: Cloud Security Alliance | Bron 2: reco.ai

Een nieuw rapport van Orchid Security, getiteld "Identity Gap: 2026 Snapshot", onthult dat het merendeel van de bedrijfsidentiteiten buiten het zicht van identiteitsbeheersystemen en toegangsbeheersystemen valt. Deze onzichtbare identiteiten, ook wel "identiteits 'dark matter'" genoemd, overtreffen nu de zichtbare identiteiten binnen bedrijfsomgevingen, met een verhouding van 57% tegenover 43%. Uit het onderzoek blijkt verder dat 67% van de niet-menselijke accounts rechtstreeks binnen de applicatie wordt aangemaakt en daardoor onzichtbaar en onbeheerd blijft voor bestaande systemen voor identiteitsbeheer en toegangsbeheer's.

Deze bevindingen komen op een cruciaal moment, nu organisaties in hoog tempo AI agents inzetten. Deze ontwikkeling versnelt de blootstelling aan identiteitsrisico's aanzienlijk. Traditionele systemen voor identiteitsbeheer en toegangsbeheer zijn ontworpen om menselijke gebruikers te beheren. Ze zijn niet gebouwd voor autonome systemen die inloggegevens overnemen, zonder menselijk toezicht handelen en vaak opereren binnen de blinde vlek die door identiteits 'dark matter' wordt gecreëerd.

Het rapport van Orchid Security belicht meerdere significante problemen. Zo bevat 70% van de bedrijfsapplicaties een buitensporig aantal geprivilegieerde accounts, wat het potentiële risico van misbruik of compromittering drastisch verhoogt. Bovendien omzeilt 57% van de applicaties de gecentraliseerde identiteitsproviders. Een ander zorgwekkend feit is dat 40% van de accounts weesaccounts zijn, wat betekent dat ze beschikbaar blijven nadat hun gebruikers zijn vertrokken. Daarnaast blijkt dat 36% van alle inloggegevens hardgecodeerd en in platte tekst binnen applicaties is opgeslagen.

Roy Katmor, CEO en medeoprichter van Orchid Security, merkt op dat de bedrijfsidentiteit een gevaarlijke drempel heeft overschreden: "De identiteiten die we niet kunnen zien, zijn nu talrijker dan de identiteiten die we wel kunnen zien." Hij waarschuwt dat dit in het tijdperk van agent-AI een operationele crisis wordt. AI agents wachten niet op kwartaalbeoordelingen; ze handelen in realtime, over systemen heen, met behulp van alle toegang die het bedrijf hen biedt. Als organisaties niet elke identiteit kunnen zien, de autoriteit ervan kunnen begrijpen en de acties ervan kunnen beheren, zijn ze volgens Katmor niet klaar om AI veilig op te schalen.

De traditionele aanpak voor niet-menselijke identiteiten brengt al risico's met zich mee, waarbij deze accounts vaak brede, permanente lokale toegang krijgen (in 67% van de gevallen, volgens analyse van bedrijfsapplicaties). Dit risico wordt echter exponentieel vergroot door de opkomst van AI agents, die verre van voorspelbaar of repetitief zijn in hun acties. Het toestaan van deze agents om onzichtbaar en onbeheerd te opereren, vormt een enorm risico.

Het rapport benadrukt ook een groeiende kloof tussen formele identiteitscontroles en de daadwerkelijke werking van toegang. Ondanks investeringen in gecentraliseerde identiteitsmappen, sterke authenticatie en beheer van geprivilegieerde toegang, worden deze controles vaak omzeild. Bijna driekwart van de applicaties heeft te veel geprivilegieerde accounts, meer dan de helft staat authenticatie via lokale of onbeheerde paden toe, en een derde van de applicaties bevat inloggegevens die in platte tekst zijn opgeslagen. Al deze factoren dragen bij aan de groeiende laag van onbeheerde toegang, of identiteits 'dark matter', die de basis van identiteitsbeheer ondermijnt.

Orchid Security identificeert ook "toxische combinaties": overlappende lacunes in identiteitsbeheer die het risico aanzienlijk vergroten. Voorbeelden hiervan zijn weesaccounts met verhoogde privileges, applicaties die gecentraliseerde identiteitsproviders omzeilen terwijl ze inloggegevens in platte tekst opslaan, en slapende accounts die zonder logging of toezicht opereren. Afzonderlijk zijn deze lacunes al zorgwekkend, maar samen creëren ze onbewaakte toegangspaden die het potentiële compromisniveau drastisch kunnen verhogen.

AI agents versnellen deze identiteitsblootstelling, aangezien ze intuïtief de meest directe toegangspaden identificeren en benutten, inclusief die buiten de gecentraliseerde identiteitsbeheersystemen. Deze agents ontdekken en exploiteren lacunes in identiteitscontroles en blootstellingen op een manier en met een snelheid die nog niet eerder is waargenomen. Zonder eerst de basis van bedrijfsidentiteit te versterken, stellen ondernemingen zich bloot aan toenemende cyber-, nalevings en operationele risico's, nu op machinale schaal.

Bron: Orchid Security | Bron 2: info.orchid.security

Cisco Talos heeft een nieuwe variant van de BadIIS-malware ontdekt die zich kenmerkt door de ingebedde "demo.pdb" strings. Deze variant functioneert als malware voor commodity en wordt waarschijnlijk verkocht of gedeeld onder verschillende Chinese-sprekende cybercrimegroepen via een malware-als-een-dienst (MaaS) model, gericht op continue monetisatie.

Uit analyse van de PDB-bestandspaden (programmadatabase) blijkt een langdurige ontwikkelingsinspanning door een auteur die opereert onder de alias "lwxat". Deze ontwikkeling strekt zich uit van ten minste september 2021 tot januari 2026 en toont snelle iteratieve updates, feature-branching en reactieve evasietactieken, gericht op specifieke beveiligingsleveranciers zoals Norton.

Talos heeft een speciale builder-tool achterhaald die dreigingsactoren in staat stelt configuratiebestanden te genereren, payloads aan te passen en parameters in BadIIS-binaries te injecteren. Dit maakt functionaliteiten mogelijk zoals verkeersomleiding naar illegale sites, reverse proxying voor manipulatie van zoekmachine-crawlers, contentkaping en backlink-injectie voor kwaadaardige zoekmachineoptimalisatie (SEO)-fraude. Naast BadIIS heeft dezelfde auteur een reeks aanvullende tools ontwikkeld, waaronder installatieprogramma's gebaseerd op een dienst, droppers en persistentie-mechanismen die de implementatie automatiseren, overleving na IIS serverherstarts garanderen en detectie omzeilen door middel van aangepaste Base64-codering en obfuscatie-technieken.

Sinds 2024 heeft Talos talloze aanvallen onderzocht in de regio Azië-Pacific, evenals enkele in Zuid-Afrika, Europa en Noord-Amerika, waarbij deze specifieke BadIIS variant met "demo.pdb" strings werd gebruikt. Hoewel meerdere beveiligingsleveranciers de wereldwijde verspreiding van deze varianten volgen, vertonen de door Talos waargenomen tactieken, technieken en procedures (TTP's) opmerkelijke verschillen met die welke door andere leveranciers zoals Trend Micro, Ahnlab, VNPT en Elastic zijn gedocumenteerd. Hierdoor is het moeilijk om deze aanvallen toe te schrijven aan één enkele dreigingsactor. Talos schat echter met redelijk vertrouwen in dat de "demo.pdb" BadIIS variant een commodity-tool is die door meerdere Chinese-sprekende cybercrimegroepen wordt gebruikt.

De ingebedde PDB-strings bieden waardevolle inlichtingen. Een consistente PDB-padpatroon, gecombineerd met een stabiele "Administrator\Desktop" bouwomgeving, Chinese-taal mapnamen en datumgebaseerd versiebeheer, creëert een zeer betrouwbare vingerafdruk voor het volgen en clusteren van deze BadIIS-toolset. De PDB-paden ondersteunen de inschatting dat dit een commodity IIS malwarefamilie is en leidden tot attributie aan een mogelijke klant met de alias "x神" ("xshen"). Bovendien onthullen de PDB-artefacten het bestaan van aangepaste builds, waarvan sommige expliciet zijn afgestemd op het omzeilen van specifieke antivirusproducten, zoals Norton, het uitvoeren van site-brede kaping en het conditioneel omleiden van gebruikers op basis van browsertaal of -omgeving.

De vroegste expliciete tijdstempel in de PDB-paden is 30 september 2021, wat aangeeft dat de ontwikkeling van deze specifieke toolset op of vóór die datum begon. Naamgevingsconventies zoals "dll0217", "dll0301" en "dll0315" (waarschijnlijk 17 februari, 1 maart en 15 maart) tonen perioden van snelle, sprintachtige updates. De map "dll-no503" is met name opmerkelijk, aangezien deze waarschijnlijk een probleemoplossende build vertegenwoordigt die is ontworpen om een probleem op te lossen waarbij de malware ervoor zorgde dat IIS "503 Service Unavailable"-fouten genereerde, wat serverbeheerders zou waarschuwen voor de infectie. De meest recente compilatie-datum, "dll20260106" (6 januari 2026), bevestigt dat deze toolset begin 2026 actief wordt onderhouden en ingezet.

Talos heeft ook waargenomen dat de map "兼容百度浏览器+劫持robots.txt" ("Compatibel met Baidu-browser + robots.txt kapen") expliciet de rol van de malware in kwaadaardige SEO-campagnes bevestigt, specifiek gericht op het Chinese zoekmachineecosysteem. De "2024-05-05-tcp" branch duidt op een verschuiving of verbetering in de manier waarop de malware netwerkverkeer afhandelt, mogelijk door de introductie van aangepaste proxying of SEO-fraude communicatieprotocollen over ruwe TCP. De opname van "过诺顿" ("Norton omzeilen") in de build-paden benadrukt een reactieve ontwikkelingscyclus, wat aantoont dat de auteur de code actief wijzigt om detecties van specifieke beveiligingsleveranciers te omzeilen.

Bron: Cisco Talos | Bron 2: github.com | Bron 3: trendmicro.com

Beveiligingsonderzoekers van Aikido Security hebben een nieuwe supply chain aanval gedocumenteerd die op 19 mei 2026 plaatsvond via het register van npm. In een tijdsvenster van slechts 22 minuten, tussen 01:39 en 02:06 UTC, publiceerden aanvallers 639 kwaadaardige versies verspreid over 323 pakketten.

De aanval begon met het compromitteren van een beheeraccount voor de populaire datavisualisatiesuite antv van Alibaba. Tot de getroffen pakketten behoren onder andere size-sensor (4,2 miljoen downloads per maand), echarts-for-react (3,8 miljoen downloads), timeago.js en canvas-nest.js, evenals meerdere modules uit de antv-suite.

De kwaadaardige lading bestaat uit een versleuteld script van 498 kilobyte, geschreven in Bun, dat via een preinstall hook wordt uitgevoerd bij installatie van de pakketten. De malware is ontworpen om meer dan twintig typen gevoelige gegevens te onderscheppen, waaronder toegangstokens voor GitHub, tokens voor npm, sleutels voor Amazon Web Services, serviceaccounts voor Google Cloud, inloggegevens voor Azure, verbindingsstrings voor databases, betalingssleutels voor Stripe en configuraties voor Kubernetes.

Naast het stelen van gegevens probeert de malware te ontsnappen uit containeromgevingen wanneer de socket van Docker bereikbaar is, via het opstarten van bevoorrechte containers met toegang tot het hostbestandssysteem.

Aikido Security stelde vast dat een secundaire lading was voorbereid via een afhankelijkheid die al 19 minuten voor de publicatie van de kwaadaardige versies in een repository was geplaatst. De aanval vertoont overeenkomsten met de eerdere campagne van 13 mei 2026 en kan worden toegeschreven aan dezelfde dreigingsacteur.

Organisaties en ontwikkelaars die de getroffen pakketten gebruiken worden geadviseerd hun afhankelijkheden te controleren op besmette versies en eventueel gelekte gegevens direct te roteren.

Bron: Aikido Security | Bron 2: thehackernews.com

Cybercrimeinfo ontdekte op een ondergronds cybercrimineel forum een advertentie voor een vermeend informatiesteelprogramma met de naam Death Stealer 2026. Het programma zou worden aangeboden voor aankoop door een acteur die zich identificeert als Jake Elliott.

Volgens de forumadvertentie richt de tool zich op het stelen van inloggegevens en browserdata, het onderscheppen van toepassingsgegevens en systeemgegevens, en het versturen van gestolen informatie naar een externe server. De advertentie verwijst ook naar scanresultaten van VirusTotal, wat kan wijzen op tests van de tool op detectie door beveiligingssoftware.

Dergelijke direct bruikbare informatiesteelprogramma's worden aangeboden als hulpmiddelen waarmee ook minder technisch onderlegde cybercriminelen inloggegevens kunnen onderscheppen. De gestolen gegevens worden doorgaans ingezet voor accountovername, financiële fraude en identiteitsdiefstal.

Er is geen onafhankelijke verificatie mogelijk van de claims in de advertentie. De authenticiteit en de feitelijke werking van het beschreven programma zijn niet bevestigd.

Bron: Cybercrimeinfo darkweb-monitoring

GitHub is een onderzoek gestart naar een vermeende inbraak in zijn interne repositories. Dit volgt op claims van de hackergroep TeamPCP dat zij toegang heeft verkregen tot ongeveer 4.000 repositories met private code. GitHub, een wereldwijd gebruikt ontwikkelplatform in de cloud, bedient meer dan 4 miljoen organisaties en ruim 180 miljoen ontwikkelaars die bijdragen aan meer dan 420 miljoen coderespositories.

De organisatie heeft nog geen verdere informatie gedeeld over het lopende onderzoek, maar stelt momenteel geen bewijs te hebben dat klantgegevens buiten de interne repositories zijn getroffen. GitHub verklaarde: "Wij onderzoeken ongeautoriseerde toegang tot de interne repositories van GitHub. Hoewel we momenteel geen bewijs hebben van impact op klantinformatie opgeslagen buiten de interne repositories van GitHub (zoals die van onze klanten, organisaties en repositories), monitoren we onze infrastructuur nauwlettend op vervolgactiviteit." GitHub heeft ook aangegeven dat alle getroffen klanten via de gebruikelijke notificatiekanalen en incidentresponskanalen worden geïnformeerd zodra er bewijs van impact wordt ontdekt.

TeamPCP claimde toegang te hebben tot "GitHub's broncode en interne organisaties" op het Breached hackerforum. De groep vroeg minimaal 50.000 dollar voor de gestolen data. Zij benadrukten dat dit geen losgeldverzoek was aan GitHub zelf, maar een aanbod aan één koper, waarna de data aan hun kant zou worden vernietigd. De groep dreigt de data gratis te lekken als er geen koper wordt gevonden.

TeamPCP is in het verleden al in verband gebracht met aanvallen op de toeleveringsketen gericht op diverse codeplatforms voor ontwikkelaars, waaronder GitHub, PyPI, NPM en Docker. In maart compromitteerde de hackergroep Aqua Security's Trivy kwetsbaarheidsscanner, wat vermoedelijk leidde tot een reeks van compromitteringen die Aqua Security Docker images en het Checkmarx KICS-project troffen. De Trivy-inbraak raakte ook de open-source Python bibliotheek LiteLLM, waarbij tienduizenden apparaten werden geïnfecteerd met de "TeamPCP Cloud Stealer" informatie-stelende malware. Meer recentelijk werd de cybercriminele bende ook gelinkt aan de "Mini Shai-Hulud" campagne in de toeleveringsketen, die de apparaten van twee medewerkers van OpenAI trof, en dreigde de broncode van Mistral AI te lekken die was gestolen met gecompromitteerde CI/CD-referenties.

Bron: GitHub | Bron 2: sysdig.com

Hackers hebben met succes multi-factor authenticatie (MFA) op SonicWall Gen6 SSL-VPN-apparaten omzeild, ondanks dat bedrijven dachten dat ze gepatcht waren. De aanvallers maakten gebruik van onvolledige patching om VPN-inloggegevens te kraken en hun tools in te zetten voor ransomware aanvallen.

Onderzoekers van cybersecuritybedrijf ReliaQuest reageerden tussen februari en maart op meerdere inbraken en stelden met "middelmatig vertrouwen" vast dat dit de eerste in-the-wild exploitatie van CVE-2024-12802 betreft, gericht op SonicWall-apparaten in diverse omgevingen. De onderzoekers merkten op dat in de onderzochte omgevingen de apparaten leken te zijn gepatcht omdat ze de bijgewerkte firmware uitvoerden. Desondanks bleven ze kwetsbaar, omdat de vereiste herstelstappen niet volledig waren uitgevoerd.

SonicWall heeft in een beveiligingsadvies voor CVE-2024-12802 gewaarschuwd dat het installeren van alleen de firmware-update op Gen6-apparaten de kwetsbaarheid niet volledig mitigeert; een handmatige herconfiguratie van de LDAP-server is eveneens vereist. Het nalaten hiervan laat de mogelijkheid open om de MFA-beveiliging te omzeilen. Voor Gen7- en Gen8-apparaten volstaat het simpelweg bijwerken naar een nieuwere firmwareversie om het risico van CVE-2024-12802 volledig te elimineren.

Tijdens de inbraken namen de aanvallers tussen de 30 en 60 minuten de tijd om in te loggen, netwerkverkenning uit te voeren, het hergebruik van inloggegevens op interne systemen te testen en weer uit te loggen. In één incident kreeg de hacker binnen een half uur toegang tot het interne netwerk en bereikte een via het domein verbonden bestandsserver. Vervolgens werd een externe verbinding via RDP tot stand gebracht met behulp van een gedeeld lokaal beheerderswachtwoord.

De onderzoekers ontdekten dat de aanvaller probeerde een Cobalt Strike beacon, een post-exploitatie framework voor command-and-control (C2) communicatie, en een kwetsbare driver te implementeren. Dit laatste was waarschijnlijk bedoeld om endpointbeveiliging uit te schakelen met behulp van de Bring Your Own Vulnerable Driver (BYOVD) techniek. De geïnstalleerde EDR-oplossing (Endpoint Detection and Response) blokkeerde echter zowel de beacon als het laden van de driver.

Op basis van het weloverwogen uitloggen en dagen later opnieuw inloggen, soms met verschillende accounts, vermoeden de onderzoekers dat de dreigingsactor een broker is die initiële toegang verkoopt aan andere dreigingsgroepen. Vorig jaar richtte de Akira-ransomwarebende zich ook op SonicWall SSL VPN-apparaten en logde in ondanks ingeschakelde MFA, maar de methode werd toen niet bevestigd.

De kwetsbaarheid CVE-2024-12802 wordt veroorzaakt door een ontbrekende MFA-handhaving voor het UPN-inlogformaat, waardoor een aanvaller met geldige inloggegevens direct kan authenticeren en de MFA-vereiste kan omzeilen. Voor Gen6 SonicWall-apparaten moeten de nieuwste firmware-updates worden geïnstalleerd en vervolgens de gedetailleerde herstelstappen in het advies van de leverancier worden gevolgd. Deze stappen omvatten:

*   De bestaande LDAP-configuratie verwijderen die userPrincipalName in het veld "Qualified login name" gebruikt.

*   Lokaal opgeslagen/vermelde LDAP-gebruikers verwijderen.

*   Het geconfigureerde SSL VPN "User Domain" verwijderen (waardoor wordt teruggekeerd naar LocalDomain).

*   De firewall opnieuw opstarten.

*   De LDAP-configuratie opnieuw aanmaken zonder userPrincipalName in "Qualified login name".

*   Een nieuwe back-up maken om te voorkomen dat de kwetsbare LDAP-configuratie later wordt hersteld.

ReliaQuest heeft er veel vertrouwen in dat de dreigingsactor achter de geanalyseerde inbraken initiële toegang verkreeg door de CVE-2024-12802 kwetsbaarheid te exploiteren "in meerdere sectoren en geografische gebieden." De onregelmatige inlogpogingen die in de onderzochte incidenten werden waargenomen, verschenen nog steeds als een normale MFA-stroom in logs, waardoor verdedigers dachten dat MFA werkte, zelfs toen dit niet het geval was. De onderzoekers stellen dat het `sess="CLI"`-signaal een belangrijke indicator is van deze aanvallen, wat duidt op gescripte of geautomatiseerde VPN-authenticatie, en raden beheerders aan hierop te letten. Andere sterke signalen zijn gebeurtenis-ID's 238 en 1080, en VPN-inlogpogingen vanaf verdachte VPS/VPN-infrastructuur.

Aangezien Gen6 SSL-VPN-appliances dit jaar op 16 april hun end-of-life hebben bereikt en geen beveiligingsupdates meer ontvangen, wordt algemeen aanbevolen om over te stappen op recentere, actief ondersteunde versies.

Bron: ReliaQuest | Bron 2: nvd.nist.gov | Bron 3: psirt.global.sonicwall.com

Een omvangrijke ad fraud operatie, genaamd Trapdoor, is ontdekt, waarbij Android-gebruikers worden misleid via 455 kwaadaardige apps. Deze operatie genereert op grote schaal onzichtbare, neppe advertentiekliks en put daarmee aanzienlijke budgetten van adverteerders in het digitale ecosysteem uit. Op haar hoogtepunt produceerde Trapdoor maar liefst 659 miljoen frauduleuze biedverzoeken op één dag en werd de bijbehorende malware meer dan 24 miljoen keer gedownload op getroffen apparaten wereldwijd.

De gevaarlijke aard van Trapdoor schuilt in de onschuldige uitstraling van de apps. Ze vermommen zich als alledaagse hulpprogramma's, zoals PDF-viewers, bestandsbeheerders en apps voor apparaatopschoning, die argeloze gebruikers zonder argwaan zouden downloaden. Na installatie starten deze apps niet direct kwaadaardige activiteiten. In plaats daarvan tonen ze nepadvertenties die de gebruiker waarschuwen dat de app verouderd is en een dringende update vereist. Wanneer de gebruiker op deze melding tikt, installeert deze onbewust een tweede, schadelijkere app die wordt beheerd door dezelfde dreigingsactoren.

Onderzoekers van HUMAN's Satori Threat Intelligence and Research Team, waaronder Louisa Abel, Ryan Joye, João Marques, João Santos en Adam Sell, hebben de operatie geïdentificeerd en ontwricht. Volgens een rapport van HUMAN Security combineert de campagne malvertising en ad fraud binnen één verbonden pijplijn, wat het een van de technisch gelaagde dreigingen maakt die recentelijk in het Android-ecosysteem zijn ontdekt.

De echte fraude vindt plaats in de secundaire apps. Zodra deze zijn geïnstalleerd, openen ze verborgen browservensters die HTML5-domeinen laden die eigendom zijn van de dreigingsactoren. Hier wordt automatisch interactie met advertenties gesimuleerd, volledig onzichtbaar voor de gebruiker. Dit genereert inkomsten voor de aanvallers en verspilt tegelijkertijd legitieme advertentiebudgetten aan klikken die nooit door een echt persoon zijn gemaakt. De gegenereerde winst kan vervolgens worden gebruikt om extra malvertising campagnes te financieren, waardoor een zichzelf in stand houdende cyclus ontstaat die de operatie gaande houdt.

Google heeft na verantwoorde openbaarmaking alle geïdentificeerde apps uit de Play Store verwijderd. De onderzoekers merkten echter op dat de dreigingsactoren zelfs tijdens de afronding van het rapport nog steeds nieuwe apps publiceerden en nieuwe domeinen gebruikten, wat aangeeft dat de operatie onverminderd doorging. Trapdoor doorloopt vier verbonden fasen, distributie, activering, payload-levering en monetisatie. De eerste fase is afhankelijk van app-winkels, waar gebruikers vrijwillig apps downloaden die nuttig en onschadelijk lijken. De initiële apps zijn voldoende 'schoon' om basisbeveiligingscontroles te doorstaan en vroege argwaan te vermijden. Na installatie begint de eerste app met het weergeven van nepadvertenties in de vorm van dringende update-meldingen. Deze meldingen voelen geloofwaardig en bekend aan, waarbij misbruik wordt gemaakt van de gewoonte om app-meldingen snel weg te klikken zonder grondige inspectie. Gebruikers die hierin trappen, installeren de tweede app, de eigenlijke payload-drager van deze operatie.

De tweede app verbergt zijn activiteit binnen browservensters op volledig scherm die de gebruiker nooit ziet. Deze verborgen vensters laden HTML5-pagina's op domeinen die eigendom zijn van de dreigingsactor en voeren gescripte aanraakgebaren uit gericht op specifieke advertentieplaatsingen. De gegevens voor deze gebaren komen uit twee gebundelde bestanden, `move.txt` en `click.txt`, die exacte schermcoördinaten en timing vastleggen, zodat neppe klikken oprecht menselijk lijken.

Een van de meest opvallende kenmerken van Trapdoor is de effectiviteit waarmee het detectie vermijdt. De kwaadaardige workflow wordt nooit geactiveerd bij organische downloads; een analist die de app rechtstreeks uit de Play Store haalt, ziet dus niets schadelijks. Fraude wordt alleen geactiveerd voor gebruikers die via de betaalde campagnes van de dreigingsactoren zijn binnengekomen, bevestigd door een marketingattributie-trackerwaarde binnen het installatierecord. Naast deze selectieve trigger gebruiken de apps code-packing, string-encryptie en code-virtualisatie om reverse-engineeringpogingen aanzienlijk te vertragen. Sommige varianten imiteren ook legitieme advertentietools op codeniveau, waardoor kwaadaardige logica de initiële inspectie kan passeren. De apps controleren bovendien op VPN-activiteit en debugging-indicatoren, en onderdrukken al het kwaadaardige gedrag zodra een van beide wordt gedetecteerd.

Gebruikers wordt geadviseerd om apps in de categorie 'hulpprogramma's' van onbekende ontwikkelaars te vermijden en zorgvuldig de gevraagde machtigingen te lezen voordat ze iets nieuws installeren. Het verwijderen van apps die niet langer in gebruik zijn en het up-to-date houden van apparaten met de nieuwste beveiligingspatches zijn eenvoudige gewoonten die de blootstelling aan operaties zoals Trapdoor aanzienlijk verminderen.

Bron: HUMAN Security

Een recent onderzoek van Orchid Security, getiteld "Identity Gap: Snapshot 2026", onthult dat onbeheerde en onzichtbare identiteitselementen, aangeduid als "identity dark matter", nu 57% van alle identiteiten binnen organisaties uitmaken, tegenover 43% voor de zichtbare elementen. Deze bevindingen, gepubliceerd op 19 mei 2026, komen op een kritiek moment, nu ondernemingen wereldwijd, inclusief in Europa en Noord-Amerika, volop de implementatie van AI-agenten omarmen.

Robert Wiseman, medeoprichter van Orchid Security, uit zijn zorgen over deze trend. AI-agenten zijn van nature ontworpen om de meest efficiënte weg te vinden om taken te voltooien, met de snelheid van machines en de creativiteit van mensen. Dit kan echter leiden tot ongewenste beveiligingsrisico's. Wanneer een AI-agent geen toegang krijgt tot een noodzakelijk systeem, kan deze bijvoorbeeld een hard-coded credential gebruiken die in plaintext in de applicatie is opgeslagen. Als informatie nodig is waarvoor de agent geen rechten heeft, kan deze een credential met hogere privileges "lenen". Bij constante uitdagingen over meerdere systemen kan een breed geaccepteerd token worden gebruikt. De creativiteit van AI-agenten is opmerkelijk, maar kan dus ook tegenwerken.

Waar traditionele, niet-menselijke actoren worden beperkt door codering en mensen door geweten, missen AI-agenten in de meeste gevallen dergelijke beperkingen of scrupules. Het feit dat een AI-agent toegang kan krijgen tot een applicatie, systeem of database, betekent niet dat dit ook zou moeten gebeuren. Dit onderstreept het belang van goed beheerd identiteitsbeheer en toegangsbeheer (IAM) als een cruciale basis om de activiteiten van AI-agenten binnen geautoriseerde grenzen te houden, zoals ook bleek uit de cloud storingen die eerder dit jaar werden gemeld.

De problemen met identiteitsbeheer en toegangsbeheer, zoals snelkoppelingen, hiaten en uitzonderingen, zijn in de loop der jaren opgebouwd. De bevindingen van de "Identity Gap Snapshot" van dit jaar belichten de meest voorkomende kwetsbaarheden bij Noord-Amerikaanse en Europese ondernemingen:

Ten eerste zijn twee van de drie niet-menselijke accounts lokaal in de applicatie zelf ingesteld, waardoor ze onzichtbaar en onbeheerd blijven voor het centrale IAM-programma. Dit is begrijpelijk voor machine en serviceaccounts, maar gevaarlijk voor autonome AI-agenten.

Ten tweede blijkt zeventig procent van alle applicaties een buitensporig aantal geprivilegieerde accounts te hebben. Dit is aanzienlijk meer dan verwacht binnen het principe van "least privilege" toegang en vormt een groot risico, zowel voor hedendaagse dreigingsactoren als voor de eerder genoemde AI-agenten.

Ten slotte bleek veertig procent van alle accounts binnen bedrijfsomgevingen langer te bestaan dan de geautoriseerde gebruiker. Deze "weesaccounts" zijn duidelijk onbeheerd en waarschijnlijk onzichtbaar, wat ze tot een gemakkelijk doelwit maakt voor dreigingsactoren en AI-agenten.

Orchid Security moedigt organisaties aan om het volledige rapport te raadplegen voor meer details. Voor organisaties die onzeker zijn over hoe deze problemen aan te pakken, heeft het beveiligingsonderzoeksteam ook een "Identity Security Readiness Checklist" gepubliceerd. Nu de transformatie naar Agent AI in volle gang is, of al heeft plaatsgevonden, is actie geboden om de beveiliging te waarborgen.

Bron: Orchid Security | Bron 2: eu1.hubs.ly

Een recent gepatchte kwetsbaarheid voor privilege-escalatie in Linux, genaamd PinTheft, heeft nu een publiek beschikbare proof-of-concept (PoC) exploit. Deze exploit stelt lokale aanvallers in staat om root-rechten te verkrijgen op systemen die draaien op Arch Linux. De kwetsbaarheid, die door het V12 security team de naam PinTheft heeft gekregen en nog wacht op een CVE ID, bevindt zich in de Reliable Datagram Sockets (RDS) module van de Linux kernel. De patch voor dit probleem is eerder deze maand uitgebracht.

Het V12 team beschrijft PinTheft als een lokale privilege-escalatie exploit die misbruik maakt van een "RDS zerocopy double-free" kwetsbaarheid. Deze kan worden omgezet in een "page-cache overwrite" via "io_uring fixed buffers". De kwetsbaarheid is aanwezig in het zerocopy send pad van de RDS-module. Normaal gesproken "pint" `rds_message_zcopy_from_user()` gebruikerspagina's één voor één. Als een latere pagina een fout genereert, zorgt het foutpad ervoor dat reeds "gepinde" pagina's worden vrijgegeven. Echter, door een fout in de logica, worden deze pagina's later opnieuw vrijgegeven tijdens het opschonen van het RDS bericht, omdat de scatterlist entries en de entry count actief blijven nadat de zcopy notifier is gewist. Dit betekent dat elke mislukte zerocopy send één referentie van de eerste pagina kan stelen.

De door V12 uitgebrachte PoC exploit steelt FOLL_PIN referenties totdat io_uring een gestolen pagina pointer vasthoudt, wat leidt tot de mogelijkheid om een root shell te verkrijgen. Voor succesvolle exploitatie zijn echter specifieke voorwaarden vereist. Het RDS-module moet geladen zijn op het doelsysteem, de io_uring Linux I/O API moet ingeschakeld zijn, er moet een leesbare SUID-root binary aanwezig zijn, en de meegeleverde payload vereist x86_64 ondersteuning.

Deze vereisten beperken het aanvalsoppervlak aanzienlijk. Volgens V12 is de RDS-kernelmodule standaard alleen ingeschakeld op Arch Linux onder de meest gangbare Linux-distributies die zij hebben getest. Linux-gebruikers op getroffen distributies wordt geadviseerd om zo snel mogelijk de nieuwste kernelupdates te installeren. Als directe patching niet mogelijk is, kan de volgende mitigatiemaatregel worden toegepast om exploitatiepogingen te blokkeren:

`rmmod rds_tcp rds`

`printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf`

Deze openbaarmaking volgt op een reeks andere kwetsbaarheden voor lokale privilege-escalatie in Linux die de afgelopen weken zijn onthuld. Sommige hiervan waren zero-days zonder beschikbare beveiligingspatches. Onlangs zijn PoC exploits vrijgegeven voor andere recent gepatchte Linux LPE's, zoals DirtyDecrypt en DirtyCBC. Deze behoren tot dezelfde kwetsbaarheidsklasse als eerdere root-escalatiekwetsbaarheden, waaronder Dirty Frag, Fragnesia en Copy Fail. De Cybersecurity and Infrastructure Security Agency (CISA) heeft de Copy Fail kwetsbaarheid (CVE-2026-32202) op 1 mei toegevoegd aan zijn catalogus van bekende en actief misbruikte kwetsbaarheden, en heeft overheidsinstanties opgedragen hun Linux systemen binnen twee weken te beveiligen. Vorige maand werden ook beveiligingspatches uitgerold voor Pack2TheRoot, een privilege-escalatiekwetsbaarheid in de PackageKit daemon die meer dan tien jaar onopgemerkt bleef.

Bron: V12 Security | Bron 2: github.com | Bron 3: cisa.gov

Het 19e Data Breach Investigations Report (DBIR) van Verizon, de editie van 2026, onthult verontrustende trends over hoe aanvallers nieuwe methoden ontwikkelen om bedrijfsnetwerken te compromitteren. Voor dit rapport analyseerden beveiligingsexperts van Verizon meer dan 31.000 daadwerkelijke beveiligingsincidenten en 22.000 bevestigde datalekken in 145 landen. De geanalyseerde data omvat incidenten van oktober 2024 tot november 2025, aangevuld met vroege trends uit 2026.

Een van de meest opvallende bevindingen is de toenemende rol van kunstmatige intelligentie (AI) bij het versnellen van kwaadaardige activiteiten. Voor het eerst in de 19-jarige geschiedenis van het DBIR is de exploitatie van softwarekwetsbaarheden de meest voorkomende initiële toegangsmethode geworden, ter vervanging van het gebruik van gestolen inloggegevens. Deze techniek was verantwoordelijk voor 31% van alle datalekken. Waar aanvallers voorheen maanden nodig hadden om een nieuw ontdekte softwarebug te 'weaponizen', kunnen zij nu met behulp van generatieve AI (GenAI) kwetsbaarheidsonderzoek in korte tijd uitvoeren. Dit heeft de defensieve responsperiode drastisch ingekort tot slechts enkele uren.

Daarnaast toont het rapport aan dat, terwijl gebruikers beter worden in het herkennen van traditionele e-mailphishing, aanvallers zich richten op mobiele telefoons. Interactieve social engineering aanvallen via spraakoproepen en sms-berichten blijken een 40% hoger succespercentage te hebben dan traditionele e-mailphishing. Eenmaal toegang verkregen tot een systeem, maken aanvallers vaak gebruik van OS credential dumping, specifiek LSASS memory dumping, om hogere privileges te verkrijgen.

Interne bedrijfspraktijken dragen ook bij aan risico's op data-exfiltratie. Het gebruik van niet-goedgekeurde "shadow AI"-tools door werknemers is in één jaar tijd verdrievoudigd, van 15% naar 45% van het personeelsbestand. Medewerkers uploaden regelmatig bedrijfsdata en broncode naar ongeautoriseerde externe modellen. Tegelijkertijd zijn supply chain-inbreuken via derden met 60% gestegen, wat betekent dat kwetsbaarheden bij leveranciers nu goed zijn voor 48% van alle datalekken.

Het dataset van het rapport bracht ook een grootschalige identiteitsfraude campagne aan het licht, toegeschreven aan Noord-Koreaanse dreigingsactoren. Deze actoren gebruikten ongeveer 15.000 gestolen identiteiten om technische interviews te doorstaan en op afstand full-stack engineering en marketingbanen te bemachtigen. Zij opereerden via regionale 'laptopfarms' die werden gerund door lokale handlangers, met als doel het verdiende geld terug te sturen naar Noord-Korea om staatsoperaties te financieren.

Onderzoekers concluderen verder dat geautomatiseerde dreigingen toenemen, aangezien het internetverkeer van AI-bot-internetcrawlers maandelijks met 21% stijgt, terwijl de groei van menselijk webverkeer slechts 0,3% bedraagt. Zoals het rapport stelt: "Het dreigingslandschap zal blijven evolueren, maar de basisprincipes blijven het belangrijkst."

Verschillende experts uit de sector deelden hun inzichten met Hackread.com. Matthew Hartman, Chief Strategy Officer bij Merlin Group, bevestigde dat de traditionele tijdlijn voor netwerkverdediging volledig is ingestort: "De DBIR van vandaag bevestigt wat beveiligingsteams al ervaren: AI heeft de tijd tussen kwetsbaarheidsontdekking en exploitatie gecomprimeerd van maanden naar uren. Bedrijven kunnen zich niet verdedigen tegen die realiteit met periodieke assessments en gesegmenteerde tools." Trey Ford, Chief Strategy and Trust Officer bij Bugcrowd, beschouwt de bevindingen als een economische verschuiving: "Het einde van de 19-jarige dominantie van inloggegevens in het DBIR is geen primair verhaal over inloggegevens; het is een economisch verhaal. AI maakt kwetsbaarheidsontdekking en 'weaponization' zo snel en goedkoop dat aanvallers geen gestolen wachtwoord meer nodig hebben wanneer een bekende, ongepatchte kwetsbaarheid hen sneller toegang geeft." Ford benadrukte ook dat "point-in-time testen het tempo van machinesnelheidsexploitatie niet kan bijhouden" en dat de opkomst van shadow AI een enorme interne dekkingskloof vertegenwoordigt waar de meeste bedrijven blind voor blijven. Mika Aalto, medeoprichter en CEO van Hoxhunt, voegde toe dat een veerkrachtige interne beveiligingshouding een combinatie vereist van technische hygiëne en gedragsveranderingen: "De boodschap van het DBIR dit jaar is verfijning, geen revolutie. AI versnelt bedreigingen, maar de organisaties die veerkrachtig zullen blijven, zijn nog steeds degenen die goed presteren op de basisprincipes, patchen, incidentrespons, identiteitsbeheer en, in toenemende mate, beveiligingscultuur."

Bron: Verizon

Typosquatting, traditioneel een probleem waarbij gebruikers per ongeluk een verkeerde URL intypen, is geëvolueerd naar een complexer supply chain probleem. Aanvallers embedden nu lookalike domeinen direct in legitieme third-party scripts die op webpagina's draaien, zonder dat gebruikers een URL hoeven te mistypen of een serverbreuk nodig is. Deze verschuiving wordt mogelijk gemaakt door de inzet van kunstmatige intelligentie (AI), met name Large Language Models (LLM's), die duizenden overtuigende domeinvarianten in enkele minuten kunnen genereren. De volledige implementatie van zo'n campagne duurt minder dan tien minuten. Dit heeft geleid tot een toename van 156% in kwaadaardige pakketuploads naar open-source repositories vorig jaar, waardoor handmatige controle onhaalbaar is geworden.

De huidige beveiligingsoplossingen, zoals firewalls, WAF's (Web Application Firewalls), EDR (Endpoint Detection and Response) en CSP (Content Security Policy), hebben geen zicht op de activiteiten van goedgekeurde scripts zodra deze in de browser van de gebruiker worden uitgevoerd. Het incident met Trust Wallet in december 2025 illustreert dit probleem. Gebruikers van Trust Wallet verloren in 48 uur tijd 8,5 miljoen dollar door een getrojaniseerde Chrome-extensie. Er werd geen waarschuwing afgegeven, omdat geen van de traditionele beveiligingsmechanismen was ontworpen om te monitoren wat er binnen een browsersessie gebeurt.

De aanval op Trust Wallet begon maanden eerder met de zelfreplicerende npm-worm genaamd Shai-Hulud, die ontwikkelaarsgegevens oogstte, waaronder GitHub-tokens, npm-publicatiesleutels en Chrome Web Store API-gegevens. Met deze sleutels konden aanvallers een kwaadaardige versie van de Trust Wallet Chrome-extensie via officiële kanalen verspreiden. Chrome's verificatieproces keurde de extensie goed. Eenmaal geïnstalleerd, voerde de kwaadaardige extensie code uit binnen de browsers van gebruikers, waarbij seed-phrases werden vastgelegd en verzonden naar de infrastructuur van de aanvaller, via een domein dat was vermomd als een legitiem analytics-endpoint van Trust Wallet. Binnen twee dagen werden 2.500 wallets leeggehaald.

Dit type aanval, waarbij vertrouwde, via de browser geleverde assets ongemerkt worden gewijzigd om gevoelige gebruikersgegevens te onderscheppen voordat de legitieme applicatie deze kan verwerken, is niet beperkt tot cryptovaluta. Hetzelfde principe kan worden toegepast op betalingskaartgegevens, waarbij een marketingpixel, een supportwidget of een A/B-testframework wordt misbruikt. Een typische e-commerce afrekenpagina draait 40 tot 60 third-party scripts, elk een vertrouwde verbinding, wat deze pagina's kwetsbaar maakt voor dergelijke aanvallen.

De evolutie van typosquatting kent drie fasen. De huidige fase, gedreven door AI, is economisch efficiënt. LLM's genereren duizenden overtuigende domeinvariaties in enkele minuten. Homograafaanvallen gebruiken combinaties van Latijnse, Cyrillische en Griekse tekens om visueel identieke domeinen te creëren die string-distance detectie omzeilen. Domeinregistratie, SSL-uitgifte en volledige campagne-implementatie kosten nu minder dan tien minuten.

Andere voorbeelden van deze aanvalspatronen zijn de "chalk/debug npm attack" in september 2025, waarbij een phishing-e-mail aan een pakketbeheerder leidde tot toegang tot 18 JavaScript-bibliotheken met meer dan twee miljard wekelijkse downloads. Binnen 16 minuten werd kwaadaardige code geïnjecteerd om netwerkverkeer en wallet-interacties te onderscheppen. Een snelle reactie beperkte de directe verliezen tot ongeveer 500 dollar. Een ander incident was de "Solana Web3.js Library Attack" in december 2024, waarbij een gecompromitteerd publicatie-account voor de @solana/web3.js npm-bibliotheek werd gebruikt om kwaadaardige versies met een verborgen functie te publiceren. Deze functie onderschepte privésleutels tijdens transacties en exfiltreerde deze naar een door aanvallers gecontroleerd domein. Bijna 200.000 dollar ging verloren voordat de aanval werd ontdekt.

Deze aanvallen markeren een verschuiving van 'bedrog' naar 'geërfde betrouwbaarheid'. Waar klassieke social engineering een menselijke interactie vereiste, omzeilt de huidige generatie aanvallen deze stap volledig. De aanvallers hoeven niemand te misleiden; ze hoeven zich alleen maar in te voegen in een reeds bestaande keten van vertrouwen, bijvoorbeeld via een build-pipeline die npm vertrouwt, een leverancier die zijn CDN vertrouwt, of een browser die de leverancier vertrouwt. Dit wordt "supply chain subversion" genoemd, waarbij de misleiding gericht is op de afhankelijkheidsgrafiek in plaats van op een persoon.

Een marketingleverancier die in webpagina's is geïntegreerd, kan bijvoorbeeld verwijzen naar een JavaScript CDN dat zes weken geleden is geregistreerd. Met een geldig SSL-certificaat en een herkenbaar domein lijkt dit legitiem. Wanneer het script echter stilzwijgend wordt bijgewerkt, kan op een betalingspagina een onzichtbare overlay toetsaanslagen onderscheppen voordat deze de applicatie bereiken. Serverlogs registreren dan een normale sessie, zonder dat er een waarschuwing wordt afgegeven.

Bron: Reflectiz | Bron 2: sonatype.com | Bron 3: sygnia.co

GitHub heeft officieel bevestigd dat de inbraak in zijn interne repositories het gevolg was van een compromis van een werknemersapparaat. De aanval werd uitgevoerd via een gemanipuleerde versie van de Nx Console Microsoft Visual Studio Code (VS Code) extensie. Dit incident volgt op de recente supply chain aanval op TanStack, waarbij ook bedrijven zoals OpenAI, Mistral AI en Grafana Labs werden getroffen.

Volgens een verklaring van Alexis Wales, Chief Information Security Officer van GitHub, is er geen bewijs gevonden van impact op klantinformatie die buiten de interne repositories van GitHub is opgeslagen. Echter, sommige interne repositories bevatten wel informatie van klanten, zoals fragmenten van support interacties. GitHub heeft aangegeven klanten via de gebruikelijke incidentrespons en notificatiekanalen te zullen informeren mocht er enige impact worden ontdekt.

De cybercriminele groep die verantwoordelijk is voor de aanval, bekend als TeamPCP, wist ongeveer 3.800 GitHub repositories te exfiltreren. GitHub heeft naar eigen zeggen maatregelen genomen om het incident in te dammen en heeft kritieke geheimen geroteerd. Het bedrijf blijft de situatie monitoren op verdere activiteiten.

Jeff Cross, mede-oprichter van Narwhal Technologies (het bedrijf achter nx.dev), benadrukte op X de noodzaak van fundamentele veranderingen in de beveiliging van ontwikkelaartools en de distributie van open source software. Hij gaf aan dat de aannames waarop het ecosysteem jarenlang heeft gefunctioneerd, niet langer houdbaar zijn. Narwhal Technologies is in gesprek met andere prominente open source maintainers om samen te werken aan structurele problemen rondom de supply chain beveiliging van software.

De trojanized versie van de VS Code extensie, genaamd nrwl.angular-console, was slechts 18 minuten live op de Visual Studio Marketplace, tussen 12:30 p.m. en 12:48 p.m. UTC op 18 mei 2026. Deze korte periode was voldoende voor de aanvallers om een credential stealer te verspreiden. Deze malware was in staat om gevoelige data te oogsten uit een wachtwoordmanager vaults, Anthropic Claude Code configuraties, npm, GitHub en Amazon Web Services (AWS).

Nir Zadok, onderzoeker bij OX Security, legde uit dat de extensie eruitzag en functioneerde als de normale Nx Console, maar bij opstarten stilzwijgend een enkel shell commando uitvoerde. Dit commando downloadde en executeerde een verborgen pakket van een geplante commit op de officiële nrwl/nx GitHub repository. Het commando was vermomd als een routine MCP setup taak om argwaan te voorkomen.

TeamPCP heeft de afgelopen maanden snel bekendheid verworven door grootschalige supply chain aanvallen op veelgebruikte open source projecten en security-gerelateerde tools waar ontwikkelaars van afhankelijk zijn. De onderlinge verbondenheid van moderne software stelt TeamPCP in staat om een zichzelf in stand houdende cyclus van nieuwe compromissen te ontketenen, een vertrouwde tool hacken, credentials stelen van ontwikkelaarsystemen die deze tool installeren, en die credentials vervolgens gebruiken om in de volgende legitieme tool in te breken.

Raphael Silva, security onderzoeker bij Aikido, wees op het gevaar van automatische updates in populaire extensie marketplaces, zoals die van VS Code en Cursor. Hoewel auto-update in isolatie logisch lijkt, omdat veel ontwikkelaars updates handmatig overslaan, biedt het aanvallers die een release controleren een direct kanaal om malware naar elke machine met de extensie te pushen. Marketplaces leggen geen review of wachttijd op tussen publicatie en installatie van updates, wat dit risico verder vergroot.

Bron: GitHub | Bron 2: ox.security | Bron 3: aikido.dev

Een recent geanalyseerde variant van de Gremlin malware voor Stealer baart zorgen door zijn vermogen om command-and-control (C2) adressen en paden voor data-exfiltratie te verbergen binnen versleutelde resource-secties van een gecompileerd programma. Deze tactiek maakt de malware aanzienlijk moeilijker te detecteren via traditionele scanmethoden, waardoor het onopgemerkt kan opereren op geïnfecteerde systemen voordat het gevoelige gegevens steelt.

De Gremlin Stealer verscheen oorspronkelijk op ondergrondse forums, waar het werd verkocht als een kant-en-klaar hulpmiddel voor het stelen van inloggegevens. Het richt zich op webbrowsers, klembordinhoud en lokale opslag om betaalkaartgegevens, browsercookies, sessietokens, cryptocurrency-walletinformatie, en FTP en VPN-inloggegevens te ontfutselen. Na het verzamelen van deze gegevens bundelt de malware alles in een ZIP-archief, vernoemd naar het publieke IP-adres van het slachtoffer, en uploadt het stilletjes naar een door de aanvaller beheerd webpaneel voor verdere download of doorverkoop.

Analisten van Unit 42, de dreigingsinformatiedivisie van Palo Alto Networks, hebben een nieuwe Gremlin-variant geïdentificeerd die gestolen data uploadt naar een recent geïmplementeerde server op 194.87.92.109. Op het moment van de ontdekking had nog geen enkele beveiligingsleverancier op VirusTotal deze site als kwaadaardig gemarkeerd, wat aangeeft dat de infrastructuur volledig onder de radar opereerde.

Wat deze variant bijzonder zorgwekkend maakt, is de snelheid waarmee deze is geëvolueerd. Eerdere Gremlin-samples vertoonden geen enkele obfuscatie, waarbij functienamen en klaslabels openlijk zichtbaar waren. De nieuwste builds tonen echter een scherpe verschuiving naar stealth, waarbij meerdere technieken om analyse te bemoeilijken worden toegepast om zowel geautomatiseerde tools als menselijke onderzoekers te frustreren.

De malware heeft ook zijn doelwitten uitgebreid. Naast browserinloggegevens en crypto-wallets omvat het nu een speciale module voor het stelen van Discord-tokens, waardoor aanvallers toegang krijgen tot de online accounts van het slachtoffer. Ook is er een klembordkaper toegevoegd, die geruisloos elk cryptocurrency-walletadres dat een slachtoffer kopieert, vervangt door een adres dat door de aanvaller wordt beheerd, waardoor fondsen in realtime worden omgeleid.

De meest significante technische verandering is de manier waarop de malware zijn kernconfiguratie opslaat. In plaats van C2-URL's als leesbare strings in te bedden, hebben de auteurs die gegevens verplaatst naar de .NET resource-sectie, versleuteld met XOR-codering. Dit resourceblok verschijnt als een betekenisloze reeks ruwe data voor statische analyse tools. Pas nadat onderzoekers een XOR-ontsleutelingsroutine van één byte toepasten, konden ze de leesbare configuratie herstellen, inclusief hardgecodeerde serveradressen en uploadpaden. Deze techniek weerspiegelt tactieken die worden gebruikt door malwarefamilies zoals Agent Tesla, GuLoader, LokiBot en Quasar RAT, die vertrouwen op de resource-sectie om hun payloads te verbergen. De huidige variant maakt ook gebruik van een gefaseerde laadbenadering, wat betekent dat elke functie alleen wordt ontsleuteld en in het geheugen wordt geplaatst wanneer deze nodig is. Dit dwingt analisten om livedebugging-tools te gebruiken om het daadwerkelijke gedrag van de malware te observeren, aangezien er bij een statische analyse niets zinvols zichtbaar is.

Naast het verbergen van C2-data in resources, gebruikt deze variant drie verschillende obfuscatietlagen om analyse te vertragen. De eerste is het hernoemen van identifiers, waarbij elke klasse, methode en variabele is vervangen door een betekenisloos kort label zoals a, b, hf of bb, waardoor elke context die een onderzoeker zou helpen de functie te begrijpen, wordt verwijderd. De tweede laag is stringversleuteling. In plaats van leesbare woorden zoals "password" of serveradressen direct in de code te schrijven, slaat de malware alle strings versleuteld op en decodeert deze tijdens runtime met behulp van een interne functie. Analisten die zoeken naar trefwoorden zoals "Telegram" of "wallet.dat" zullen niets vinden. De derde laag is obfuscatie van de programmastroom, die de gedecompileerde uitvoer overspoelt met nep-vertakkingen, nutteloze lussen en goto-sprongen die nergens heen leiden. Hoewel de werkelijke logica vaak een eenvoudige reeks stappen is, maakt de omringende ruis de code buitengewoon complex.

Organisaties wordt sterk aangeraden om te vertrouwen op gedragsdetectietools in plaats van alleen op signature-gebaseerde scans, aangezien deze malware specifiek is ontworpen om statische analyse te omzeilen.

Bron: Unit 42

Cryptobeurs RetoSwap is vermoedelijk getroffen door een significante cyberaanval, waarbij een kwetsbaarheid in het Haveno-handelsprotocol is misbruikt. Bij de aanval is volgens monitoringkanalen circa 7.000 Monero (XMR) buitgemaakt, wat neerkomt op ongeveer 2,7 miljoen dollar. De actieve exploitatie werd om 02:31 UTC gemeld door de hoofdontwikkelaar van Haveno.

RetoSwap, een gedecentraliseerde peer-to-peer beurs die opereert op basis van Monero en Tor, reageerde snel op het incident. Het onion-adres van de aanvaller werd geblokkeerd en de minimum clientversie werd ingesteld op 2.0.0, waarmee alle handelsactiviteiten tijdelijk werden stilgelegd. Het team van RetoSwap heeft benadrukt dat de servers van de beurs zelf niet zijn gecompromitteerd.

Momenteel wordt het Haveno-protocol grondig onderzocht op aanvullende kwetsbaarheden om de veiligheid te waarborgen. De handel zal pas worden hervat zodra het protocol veilig is verklaard en een adequate patch beschikbaar is gesteld. Volgens de informatie zijn fiathandelaren niet getroffen door de exploitatie; de schade lijkt beperkt tot grootschalige cryptoaanbiedingen op het platform. Dit incident onderstreept de voortdurende risico's en de noodzaak van robuuste beveiligingsmaatregelen binnen de gedecentraliseerde financiële sector.

Bron: Cybercrimeinfo

Het bekende darkweb-forum BreachForums (Breached.su) wordt momenteel verscheurd door een intern machtsconflict. De forumbeheerder, bekend onder de naam Hasan, is door het staff-team verwijderd. Dit blijkt uit een forumpost van diencracked, die de controle over het forum heeft overgenomen.

Diencracked legde in de forumpost uit dat Hasan werd ontslagen vanwege zijn operationele beveiligingsgedrag (OPSEC) en het misbruiken van de forumkas. Diencracked stelt dat het forum kan voortbestaan zonder de betrokkenheid van Hasan. Naast Hasan is ook VECT als stafflid verwijderd.

Forumleden zijn opgeroepen hun bladwijzers bij te werken, aangezien het forum naar verwachting binnenkort zal verhuizen naar nieuwe kanalen. Volgens cybersecurity-onderzoekers passen deze ontwikkelingen in een breder patroon van 'forumoorlogen' die BreachForums in 2026 teisteren, waarbij verschillende partijen de controle over het platform opeisen.

Bron: Cybercrimeinfo

Dreigingsactoren voeren momenteel een nieuwe ClickFix-aanval uit door misbruik te maken van de naam en het uiterlijk van OpenAI. De aanvallers registreren nepdomeinnamen met een subtiele typefout, zoals 'OepnAI' in plaats van 'OpenAI', om slachtoffers te lokken. Gebruikers worden naar een valse aankondigingspagina voor een vermeende 'GPT-5.5' geleid.

Zodra een gebruiker op deze malafide pagina klikt, verschijnt er een nep-Cloudflare verificatiemelding. Deze melding stelt onterecht dat "iOS niet wordt ondersteund" en vraagt de gebruiker om een Windows-pc te gebruiken. Dit is een kenmerkend patroon van ClickFix-aanvallen, waarbij de slachtoffers onder valse voorwendselen, zoals een verificatiestap, worden verleid tot het uitvoeren van schadelijke commando's. In dit specifieke geval betreft het een PowerShell-commando.

In eerdere, bredere ClickFix-campagnes die eveneens de naam van OpenAI misbruikten, is vastgesteld dat de AMOS infostealer werd verspreid. Deze malware is ontworpen om gevoelige informatie van de getroffen systemen te stelen.

Gebruikers worden met klem geadviseerd om uiterst voorzichtig te zijn en nooit verificatiecodes of commando's uit te voeren die via browservensters worden aangeboden. Dit geldt zelfs wanneer een webpagina op het eerste gezicht legitiem lijkt te zijn. Het controleren van de URL op typefouten en het vermijden van ongevraagde software-installaties of commando-uitvoeringen is cruciaal om dergelijke aanvallen te voorkomen.

Bron: Cybercrimeinfo