Cyberhelden 74 - Criminelen, Cloudflare, consultants en piepers

Cyberhelden 75 - DigiD, residential proxies en AI die aanvallen niet magisch maakt

Ronald, Marco en Jelle zijn terug met DigiD, device-code-phishing, residential proxies en de vraag of AI cyberaanvallers echt onhoudbaar maakt. Eerst kort: Marco repareert tijdens een nachtwacht Home Assistant-data met Claude, Jelle bouwt met AI een lesdashboard, en Ronald rijdt in Kaapstad een fox hunt met antennes op de auto. Daarna DigiD. Staatssecretaris Willemijn Aerdts blokkeert de Amerikaanse overname van Solvinity door Kyndryl. Ronald legt uit waarom dit via de Wet ongewenste zeggenschap telecommunicatie loopt, waarom dat juridisch anders is dan VIFO, en waarom Nederland hiermee feitelijk zegt: Amerikaanse jurisdictie en CLOUD Act-risico's zijn voor DigiD te groot. Marco bespreekt RSI, recursive self-improvement, als nieuwe AI-hypeterm. Het idee: AI die zijn eigen training verbetert. De nuchtere conclusie blijft: losse stappen automatiseren lukt steeds beter, maar richting houden, controleren of iets klopt en echt autonoom onderzoek doen blijft lastig. Jelle pakt Kali365: phishing via Microsoft 365 device-code-flows. Het slachtoffer logt in op de echte Microsoft-site, maar autoriseert het apparaat van de aanvaller. Domeinchecken is dus niet genoeg als de context rond de login vergiftigd is. Het eerste hoofdverhaal: ASocks en residential proxies. Politie en NCSC verstoren een botnet met minstens 17 miljoen besmette apparaten, aangestuurd via ongeveer 200 servers in Nederland. Marco vat het scherp samen: het botnet is de infrastructuur, de residential proxy is het product. Aanvallers kopen verkeer vanaf normale thuisverbindingen in plaats van herkenbare datacenters of Tor-exitnodes. Daardoor lijken phishing, credential stuffing, DDoS en brute-force-pogingen op gewoon verkeer van echte gebruikers. Open vraag: zijn de apparaten echt opgeschoond, of vooral de aansturing geraakt? Jelle sluit af met Lennart Maschmeyers paper Deception and Detection. Maschmeyer stelt dat AI aanval en verdediging helpt, maar verdedigers structureel meer kunnen winnen: verdediging draait veel om detectie en patroonherkenning, aanval verderop in de kill chain om misleiding, context en gecontroleerde effecten. De drie zijn kritisch op zijn dwell-time-argument, maar herkennen de kern: je wilt geen autonome agent die in een vijandelijk netwerk creatief gaat improviseren. Tegelijk maakt AI aanvallers wel sneller als copiloot, codegenerator, parser van scanoutput en phishinghulp. Vooral lagere en middelmatige actoren kunnen daarmee sneller opschalen. *Bronnen* DigiD / Solvinity - NOS: https://nos.nl/artikel/2615885-staatssecretaris-verbiedt-amerikaanse-overname-solvinity-bedrijf-achter-digid - Wet OZT: https://wetten.overheid.nl/BWBR0045423 - Wet VIFO: https://wetten.overheid.nl/BWBR0046686 RSI - TechCrunch: https://techcrunch.com/2026/05/28/rsi-is-the-new-agi-and-its-just-as-hard-to-pin-down/ Kali365 - FBI IC3: https://www.ic3.gov/PSA/2026/PSA260521 - BleepingComputer: https://www.bleepingcomputer.com/news/security/fbi-warns-of-kali365-phishing-service-targeting-microsoft-365-accounts/ ASocks / residential proxies - Politie: https://www.politie.nl/nieuws/2026/mei/28/06-politie-en-ncsc-halen-groot-botnetwerk-offline.html - NCSC expertblog: https://www.ncsc.nl/expertblogs/residential-proxies-en-hun-grote-impact-op-de-digitale-veiligheid-in-nederland - NCSC nieuws: https://www.ncsc.nl/nieuws/gezamenlijke-actie-politie-en-ncsc-legt-groot-botnetwerk-plat - Security.nl: https://www.security.nl/posting/938396/Proxy-botnet+van+17+miljoen+apparaten+na+actie+politie+en+NCSC+offline?channel=rss Maschmeyer / AI - CV Maschmeyer: https://www.lennartmaschmeyer.com/CV_Lennart_Maschmeyer.pdf - Paper: https://doi.org/10.1162/isec.a.398 - M-Trends 2025: https://cloud.google.com/security/resources/m-trends

Cyberhelden 74 - Criminelen, Cloudflare, consultants en piepers

Ronald, Marco en Jelle zijn terug met een aflevering over criminelen, Cloudflare, consultants en piepers. Dave Maasland verkoopt ESET Nederland aan het Slowaakse moederbedrijf ESET, Ronald duikt in het Follow the Money-interview met TIB-voorzitter Annemieke Zwanenveld over de nieuwe Wiv, toetsing, CTIVD/TIB-samenvoeging, witte jassen en Palantir. Daarna Jelle's human-interest ransomwareverhaal: The Gentlemen RaaS werd zelf gehackt via de hostinglaag achter hun Rocket.Chat, waardoor Check Point kon meekijken in interne chats, payouts, AI-assisted coding en het kantoortje achter ransomware. Marco sluit af met Google Threat Intelligence over Chinese phishing-as-a-service: betere lokalisatie, RCS/iMessage en AI als contextversneller. Daarna het hoofdverhaal: Cloudflare heeft via Anthropic's Project Glasswing Mythos op meer dan 50 repositories losgelaten. Marco legt uit waarom dat niet neerkomt op "druk op knop, vind zero-days", maar op exploit-chain construction, proof generation, signal-to-noise en vooral: een hele vulnerability-research-harness met recon, hunt, validate, gapfill, dedupe, trace en report. Geen magische silver bullet, wel een duidelijke versnelling voor wie de workflow eromheen bouwt. Jelle pakt vervolgens McKinsey Lilli en BCG X erbij. CodeWall liet zien hoe interne AI-platforms zelf attack surface worden: publieke API-documentatie, endpoints zonder authenticatie, SQL-injectie, IDOR, miljoenen chats en files, system prompts, workspaces, modelconfiguraties en complete datawarehouses. Het echte verhaal: organisaties stoppen hun kennislaag, documenten, prompts en besluitvorming steeds meer in platforms. Wie daarin zit, zit bijna in het geheugen van de organisatie. Ronald en Marco sluiten af met het Mossad-pieperverhaal. Naar aanleiding van een nieuw Hebreeuws boek en een interview in The Jerusalem Post lopen ze door hoe de Hezbollah-pagers en walkie-talkies als supply-chain-operatie zouden zijn opgebouwd: techniek, infiltratie, Gold Apollo, BAC Consulting, Iraanse argwaan en de spanning tussen "ongelooflijk knap" en "hier zijn mensen door gestorven". *Bronnen* - Tweakers, "Slowaakse ESET koopt Nederlandse ESET": https://tweakers.net/nieuws/248036/slowaakse-eset-koopt-nederlandse-eset.html - ESET press release: https://www.eset.com/us/about/newsroom/company/eset-market-expansion-europe-asia/ - Follow the Money, "Geheime diensten gebruiken onafhankelijke experts om publiek debat te sturen": https://www.ftm.nl/artikelen/geheime-diensten-zetten-onafhankelijke-experts-in - Check Point Research, "When the Ransomware Gang Gets Hacked": https://blog.checkpoint.com/research/when-the-ransomware-gang-gets-hacked-what-the-gentlemen-leak-reveals-about-modern-ransomware-risk/ - Cloudflare Blog, Grant Bourzikas, "Project Glasswing: what Mythos showed us": https://blog.cloudflare.com/cyber-frontier-models/ - Anthropic, Project Glasswing: https://www.anthropic.com/glasswing - CodeWall, "How We Hacked McKinsey's AI Platform": https://codewall.ai/blog/how-we-hacked-mckinseys-ai-platform - CodeWall, "How We Hacked BCG's Data Warehouse": https://codewall.ai/blog/how-we-hacked-bcgs-data-warehouse-3-17-trillion-rows-zero-authentication - The Jerusalem Post, "Inside Israel's secret operation to turn Hezbollah's beepers into bombs": https://www.jpost.com/israel-news/defense-news/article-896890

Cyberhelden 73 - Linux Exploits, Five-Eyes AI Advisory en de breach op Trellix

Welkom bij alweer een nieuwe aflevering van Cyberhelden! Vandaag nemen Jelle en Marco je mee in de wereld van Linux Kernel Exploits, de advisory van de Five Eyes over het verantwoord gebruik van AI modellen, en de breach van Trellix - een groot cybersecurity bedrijf. Een aflevering zonder Ronald, want die zit of zat in het vliegtuig. Vragen, opmerkingen, of suggesties? Mail het naar vragen@cyberhelden.nl. Bronnen - CopyFail: https://xint.io/blog/copy-fail-linux-distributions - DirtyFrag: https://github.com/V4bel/dirtyfrag - Auditd rules voor detectie: https://www.elastic.co/security-labs/copy-fail-dirtyfrag-linux-page-bugs-in-the-wild - Five-Eyes AI Advisory: https://media.defense.gov/2026/Apr/30/2003922823/-1/-1/0/CAREFUL%20ADOPTION%20OF%20AGENTIC%20AI%20SERVICES_FINAL.PDF - Trellix data breach: https://www.bleepingcomputer.com/news/security/trellix-discloses-data-breach-after-source-code-repository-hack/

Cyberhelden 72 - 100 miljoen in ruil voor soevereiniteit, 48 jaarverslagen, en HELE kleine getallen

Cyberhelden 72 - 100 miljoen in ruil voor soevereiniteit, 48 jaarverslagen, en HELE kleine getallen by Ronald Prins

Cyberhelden 71 - Een Rus of een Amerikaan in je router. Wat heb je liever?

Twee grote verhalen, één rode draad: de infrastructuur die je dagelijks gebruikt wordt tegen je ingezet — door staten én door commerciële partijen die aan staten verkopen. Deel 1 – APT28 FrostArmada: De FBI ontmantelt een Russische GRU-operatie (Operatie Masquerade) waarbij 18.000 SOHO-routers in 120 landen — MikroTik en TP-Link — zonder malware werden overgenomen. DNS-instellingen omgezet, en Microsoft 365 OAuth-tokens gestolen via een adversary-in-the-middle aanval. Court-authorized reset door de FBI. Historische parallel: MIVD/Cyclops Blink 2022 op Nederlandse routers. Deel 2 – Webloc/Penlink: Citizen Lab legt bloot hoe het Israëlische bedrijf Penlink via advertentiedata van 500 miljoen mobiele devices real-time locatie, Wi-Fi-netwerken, app-inventaris en gedragsprofielen verkoopt aan ICE, NYPD, het Amerikaanse leger en anderen — zonder rechterlijke toets. Inclusief uitleg van de RTB-bidstream en SDK-sourcing. Nieuwtjes: Cyberbeveiligingswet door de Tweede Kamer, Privacy Adviseur Binnenlandse Zaken over de Solvinity/Kyndryl/DigiD-overname, prompt injection via GitHub-comments in AI coding agents. BRONNEN Deel 1, APT28 FrostArmada > KrebsOnSecurity, “Russia hacked routers to steal Microsoft Office tokens” (7 april 2026): https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/ > FBI/DOJ persbericht (7 april 2026): https://www.ic3.gov/PSA/2026/PSA260407 > Lumen Black Lotus Labs, technische rapportage FrostArmada: [URL checken] Context: eerdere APT28 router-campagnes (VPNFilter 2018, Cyclops Blink 2022, Jaguar Tooth 2023) Volkskrant / Huib Modderkolk, “MIVD verstoort Russische digitale aanval op routers van Nederlandse burgers” (3 maart 2022): NL-historische precedent, Sandworm/eenheid 74455 gebruikte Cyclops Blink op tientallen NL-routers, MIVD ging er publiek mee naar buiten via directeur Jan Swillens Deel 2, Webloc / Penlink > Citizen Lab, “Analysis of Penlink’s ad-based geolocation surveillance tech” (11 april 2026): https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/ > Context: Carpenter v. United States (2018), SCOTUS-uitspraak over locatiedata en Fourth Amendment > Context: eerdere Locate X / Venntel onthullingen (Vice/Motherboard 2020-2022) Nieuwtjes > Cyberbeveiligingswet: https://www.rijksoverheid.nl/actueel/nieuws/2026/04/15/tweede-kamer-stemt-in-met-wetsvoorstellen-cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten > Volkskrant, "Privacy-adviseur Binnenlandse Zaken: overname van DigiD bedreigt veiligheid van Nederland" (16 april 2026): https://www.volkskrant.nl/tech/privacy-adviseur-binnenlandse-zaken-overname-van-digid-bedreigt-veiligheid-van-nederland~b6be96c0 > Aonan Guan, "Command and Control: ..." (15 april 2026): https://oddguan.com/blog/comment-and-control-prompt-injection-credential-theft-claude-code-gemini-cli-github-copilot/