Cyberhelden 68 - Claude, Coruna, Chips en Chinezen

Cyberhelden 71 - Een Rus of een Amerikaan in je router. Wat heb je liever?

Twee grote verhalen, één rode draad: de infrastructuur die je dagelijks gebruikt wordt tegen je ingezet — door staten én door commerciële partijen die aan staten verkopen. Deel 1 – APT28 FrostArmada: De FBI ontmantelt een Russische GRU-operatie (Operatie Masquerade) waarbij 18.000 SOHO-routers in 120 landen — MikroTik en TP-Link — zonder malware werden overgenomen. DNS-instellingen omgezet, en Microsoft 365 OAuth-tokens gestolen via een adversary-in-the-middle aanval. Court-authorized reset door de FBI. Historische parallel: MIVD/Cyclops Blink 2022 op Nederlandse routers. Deel 2 – Webloc/Penlink: Citizen Lab legt bloot hoe het Israëlische bedrijf Penlink via advertentiedata van 500 miljoen mobiele devices real-time locatie, Wi-Fi-netwerken, app-inventaris en gedragsprofielen verkoopt aan ICE, NYPD, het Amerikaanse leger en anderen — zonder rechterlijke toets. Inclusief uitleg van de RTB-bidstream en SDK-sourcing. Nieuwtjes: Cyberbeveiligingswet door de Tweede Kamer, Privacy Adviseur Binnenlandse Zaken over de Solvinity/Kyndryl/DigiD-overname, prompt injection via GitHub-comments in AI coding agents. BRONNEN Deel 1, APT28 FrostArmada > KrebsOnSecurity, “Russia hacked routers to steal Microsoft Office tokens” (7 april 2026): https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/ > FBI/DOJ persbericht (7 april 2026): https://www.ic3.gov/PSA/2026/PSA260407 > Lumen Black Lotus Labs, technische rapportage FrostArmada: [URL checken] Context: eerdere APT28 router-campagnes (VPNFilter 2018, Cyclops Blink 2022, Jaguar Tooth 2023) Volkskrant / Huib Modderkolk, “MIVD verstoort Russische digitale aanval op routers van Nederlandse burgers” (3 maart 2022): NL-historische precedent, Sandworm/eenheid 74455 gebruikte Cyclops Blink op tientallen NL-routers, MIVD ging er publiek mee naar buiten via directeur Jan Swillens Deel 2, Webloc / Penlink > Citizen Lab, “Analysis of Penlink’s ad-based geolocation surveillance tech” (11 april 2026): https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/ > Context: Carpenter v. United States (2018), SCOTUS-uitspraak over locatiedata en Fourth Amendment > Context: eerdere Locate X / Venntel onthullingen (Vice/Motherboard 2020-2022) Nieuwtjes > Cyberbeveiligingswet: https://www.rijksoverheid.nl/actueel/nieuws/2026/04/15/tweede-kamer-stemt-in-met-wetsvoorstellen-cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten > Volkskrant, "Privacy-adviseur Binnenlandse Zaken: overname van DigiD bedreigt veiligheid van Nederland" (16 april 2026): https://www.volkskrant.nl/tech/privacy-adviseur-binnenlandse-zaken-overname-van-digid-bedreigt-veiligheid-van-nederland~b6be96c0 > Aonan Guan, "Command and Control: ..." (15 april 2026): https://oddguan.com/blog/comment-and-control-prompt-injection-credential-theft-claude-code-gemini-cli-github-copilot/

Cyberhelden 70 - GenAI en Cybersecurity: hype, hoop en heilige huisjes

In deze aflevering duiken Ronald, Marco en Jelle in de wereld van generatieve AI en cybersecurity. Wat is echt, wat is opgeblazen, en wat moeten verdedigers hier nu mee? We beginnen met twee opvallende nieuwsberichten: een zero-day in Adobe Acrobat Reader die maandenlang onopgemerkt bleef en vermoedelijk wordt ingezet voor statelijke spionage tegen de Russische energiesector, en een gezamenlijke waarschuwing van zes Amerikaanse overheidsinstanties over Iraanse staatshackers die actief industriële besturingssystemen aanvallen. Daarnaast vertelt Jelle over zijn paper: Coping with Cyber Insecurity, een inzicht in hoe Cybersecurity inherent niet veilig is en hoe we daarmee overweg moeten. Dan het hoofdonderwerp: de aankondiging van Anthropics Claude Mythos Preview en Project Glasswing. Een AI-model dat autonoom zero-day kwetsbaarheden vindt én exploits schrijft, inclusief bugs die 27 jaar onontdekt bleven. Wat betekent dit voor de balans tussen aanval en verdediging? We vergelijken het met OpenAI's Aardvark, en geven onze inzichten over de technische claims en het model. Tot slot kijken we naar de impact van AI op de arbeidsmarkt. Onderzoek van Anthropic waarschuwt voor een mogelijke "Great Recession voor kenniswerkers." Hoe verandert het werk van de software engineer en de security professional? En wat moet je als verdediger nú doen om niet achter te raken? Bronnen en links: Deel 1 — Claude Mythos Preview & Project Glasswing - Anthropic Red Team: "Assessing Claude Mythos Preview's cybersecurity capabilities" (7 april 2026): https://red.anthropic.com/2026/mythos-preview/ - Anthropic: "Project Glasswing — Securing critical software for the AI era": https://www.anthropic.com/glasswing - Tweakers: "Een omslag voor cybersecurity: Claude Mythos is te goed in lekken vinden": https://tweakers.net/reviews/14604/een-omslag-voor-cybersecurity-claude-mythos-is-te-goed-in-lekken-vinden.html - Zvi Mowshowitz: "Claude Mythos #2: Cybersecurity and Project Glasswing" (10 april 2026): https://thezvi.substack.com/p/claude-mythos-2-cybersecurity-and Deel 2 — OpenAI Aardvark - OpenAI: "Introducing Aardvark" (30 oktober 2025): https://openai.com/nl-NL/index/introducing-aardvark/ Deel 4 — Arbeidsmarkt & AI - Fortune: "Anthropic just mapped out which jobs AI could replace. A 'Great Recession for white-collar workers' is absolutely possible" (6 maart 2026): https://fortune.com/2026/03/06/ai-job-losses-report-anthropic-research-great-recession-for-white-collar-workers/ - Anthropic Research: "Labor market impacts of AI: A new measure and early evidence": https://cdn.sanity.io/files/4zrzovbb/website/3f7fd9d552e66269bdb108e207c5d80531d04b8b.pdf - Gergely Orosz / The Pragmatic Engineer: "When AI writes almost all code, what happens to software engineering?" (6 januari 2026): https://newsletter.pragmaticengineer.com/p/when-ai-writes-almost-all-code-what - Thomas Dohmke / GitHub CEO: "Developers, Reinvented" + "Either embrace AI or get out of this career" (2025): https://www.finalroundai.com/blog/github-ceo-thomas-dohmke-warns-developers-embrace-ai-or-quit

Cyberhelden 69 - Luisteraarsvraag: Carrièrepaden in cybersecurity

Een luisteraar die bezig is met een cybersecurity-opleiding vraagt zich af: welke kanten kan ik eigenlijk op? Ronald, Marco en Jelle lopen het hele landschap door — van beleidsmaker tot pentester, van inlichtingenanalist tot security engineer — en delen hoe hun eigen pad eruitzag. Met gastbijdrage van cyberrecruiter Fred Smulders (typ.nl). Nieuwtjes - Noord-Koreaanse supply-chain-aanval op Axios — aanvallersgroep UNC 1069 kloonde een echte bedrijfsidentiteit inclusief Slack-workspace en LinkedIn-profielen, en haalde via een Microsoft Teams-call de package-onderhouder van Axios over om een malafide update te installeren. Axios heeft 100 miljoen downloads per week; de malicious versies stonden drie uur online - Quantum doorbraak — Google bracht samen met Ethereum Foundation en Stanford het aantal qubits om ECC-256 te kraken terug van 9 miljoen naar <500.000. Oratomic claimt dat 10.000 qubits genoeg zijn voor Shor's algoritme op cryptografische schaal. Google zegt: binnen drie jaar serieus. De details zijn niet gepubliceerd — alleen via een zero-knowledge proof aangetoond - The Hague Threat Intelligence Conference — 30 juni 2026 in Den Haag, met submissions van nucleair tot Noord-Korea Bronnen Axios supply-chain-aanval - BleepingComputer — "Axios npm hack used fake Teams error fix to hijack maintainer account" (4 april 2026): https://www.bleepingcomputer.com/news/security/axios-npm-hack-used-fake-teams-error-fix-to-hijack-maintainer-account/ Quantum - Google / Ethereum Foundation / Stanford — ECC-256 paper (maart 2026) — niet publiek beschikbaar, zero-knowledge proof - Oratomic — 10.000 qubits paper (maart 2026): https://arxiv.org/abs/2603.28627 Overig - The Hague Threat Intelligence Conference — 30 juni 2026, Den Haag https://www.thehagueprogram.nl/the-hague-tix/hague-tix-2026 - Typ (Fred Smulders) — https://typ.nl - Hack The Box: https://www.hackthebox.com - TryHackMe: https://tryhackme.com

Cyberhelden 68 - Claude, Coruna, Chips en Chinezen

Drie verhalen die laten zien hoe staten en criminelen opereren in het digitale domein. Ronald begint met de meest onhandige GPU-smokkel ooit: drie man opgepakt door het Amerikaanse ministerie van Justitie voor het proberen te verschepen van $170 miljoen aan AI-chips naar China — inclusief een groeps-app genaamd "GPU Partnership" waarin de hoofdverdachte in hoofdletters schreeuwt dat niemand over China mag praten. Vervolgens de $2,5 miljard Supermicro-zaak die de week ervoor speelde. Jelle neemt je mee in Coruna, het iOS-exploitplatform dat voortkomt uit Operation Triangulation. Ooit een van de meest geavanceerde spionagecampagnes ooit, nu ingezet om via nep-crypto-exchanges je wallet leeg te trekken. Marco sluit af met BPFDoor: Chinese hackers die al vijf jaar ongemerkt in de backbone van telecombedrijven zitten en kunnen zien wie je belt en waar je bent. Nieuwtjes - Anthropic Cloud Mythos / Capybara — gelekte conceptdocumenten over nieuw AI-model met sterke cybersecurity-capabilities (vulnerability research, exploit development). Uitrol begint bij verdedigende partijen. Beurzen reageerden met een dip Bronnen GPU-smokkel / exportcontroles - US Department of Justice — "Chinese National and Two U.S. Citizens Charged with Conspiring to Smuggle Artificial Intelligence Technology to China" (25 maart 2026): https://www.justice.gov/opa/pr/chinese-national-and-two-us-citizens-charged-conspiring-smuggle-artificial-intelligence - US Department of Justice — Supermicro co-founder Wally Liaw charged in $2.5B Nvidia GPU smuggling scheme (week voor opname) (https://fortune.com/2026/03/19/supermicro-arrested-founder-smuggling-gpu-china/) - Bureau of Industry & Security (BIS) — exportcontroles op geavanceerde chips: https://www.bis.gov Coruna / Operation Triangulation / DarkSword - Kaspersky / Securelist — "Coruna framework: updated Operation Triangulation exploit" (26 maart 2026): https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/ - BleepingComputer — "Coruna iOS exploit framework linked to Triangulation attacks" (26 maart 2026): https://www.bleepingcomputer.com/news/security/coruna-ios-exploit-framework-linked-to-triangulation-attacks/ - Kaspersky — originele Operation Triangulation disclosure (2023): https://securelist.com/operation-triangulation/109842/ - Kaspersky — "Triangulation: undocumented hardware feature exploited" (december 2023): https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ - Apple Security Update — patches voor Coruna en DarkSword: https://support.apple.com/en-us/126776 BPFDoor / Red Menshen / telecominfrastructuur - Rapid7 — Red Menshen BPFDoor research (maart 2026) - Achtergrond BPFDoor — Trend Micro / PwC eerdere analyses (2022-2025) - Salt Typhoon — voor context: Chinese hackers in Amerikaanse telecom (2024-2025) - CISA — "Countering China State Actors Compromise of Networks" joint advisory

Cyberhelden 67 - De lettersoep is compleet — en nu?

In deze aflevering duiken Ronald, Jelle en Marco eerst in drie actuele nieuwtjes: de VoidStealer-malware die de masterkey rechtstreeks uit het Chrome-geheugen vist en daarmee Googles Application Bound Encryption omzeilt, een update over de Odido-hack waarbij het team zelf de phishingserver van de Shiny Hunters wist te achterhalen (en het dilemma tussen publiceren en het politieonderzoek niet verstoren), en een Russische informatieoperatie rond een fictieve "Volksrepubliek Narva" in Estland — recht uit het Oekraïne-playbook, maar nu gericht op een NAVO-land. Daarna gaat het over de strategische richting van cybersecurity in Nederland. Aanleiding is het eerdere interview met NCSC-directeur Matthijs van Amelsfort: operationeel gebeurt er veel (fusie afgerond, 10.000 aangesloten entiteiten, House of Cyber in aanbouw), maar wie bewaakt het grotere geheel? Onderzoekers van de Universiteit Leiden telden 29 organisaties verdeeld over 7 ministeries die "iets met cyber" doen — waarvan slechts 3 aan beleidscreatie doen. Het resultaat: een lettersoep waar geen CISO de weg in vindt. Het team legt vervolgens het "gebroken sociaal contract" bloot: organisaties moeten steeds meer inleveren (NIS2-meldplicht, bestuurlijke aansprakelijkheid, zorgplicht), maar krijgen daar weinig concreets voor terug — geen incident response, geen sectorspecifiek dreigingsbeeld, geen kwaliteitsborging van de markt. Ter vergelijking kijken we naar het Verenigd Koninkrijk, waar Robert Hannigan (oprichter UK NCSC) precies hetzelfde probleem beschrijft én hoe ze het oplosten: één herkenbaar loket, politiek eigenaarschap op het hoogste niveau, en Active Cyber Defence — gratis overheidsdiensten als Mail Check, Web Check en Protective DNS die de baseline voor iedereen omhoogtrekken. Ook Frankrijk (ANSSI) en Duitsland (BSI) passeren de revue. De aflevering sluit af met drie concrete bouwstenen voor Nederland: maak het NCSC de "112 voor cyber" die niet alleen adviseert maar ook levert, richt het House of Cyber in als open werkplaats waar overheid en marktpartijen samen aan tafel zitten, en zorg voor politiek eigenaarschap met echte doorzettingsmacht — niet wachten tot de volgende DigiNotar of NotPetya. Bronnen & links: VoidStealer & ABE-bypass – https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass Hannigan, R. (2019), Organising a Government for Cyber – https://static.rusi.org/20190227_hannigan_final_web.pdf Mirzaei & De Busser, Universiteit Leiden – https://www.sciencedirect.com/science/article/pii/S0267364924000980 "Narva People's Republic" - https://www.propastop.org/en/2026/03/11/separatist-narva-peoples-republic-idea-spreads-on-social-media/