cyberdreigingen

• De AIVD zag in 2025 dat dreiging door landen met een offensief cyberprogramma groter is dan voorheen. Spraakmakende cyber-incidenten en aanvalscampagnes in binnen- en buitenland onderstreepten opnieuw de omvang en impact van digitale dreigingen op de (inter)nationale veiligheid.
   
• Technologische ontwikkelingen geven aanvallers de mogelijkheid om steeds geavanceerdere aanvalstechnieken te ontwikkelen en te gebruiken.
   

In 2024 signaleerde de AIVD al dat het aantal landen met een offensief cyberprogramma toeneemt. In 2025 zag de AIVD dat de dreiging die uitgaat van deze cyberprogramma’s nog groter is dan voorheen werd ingeschat. De dreiging van offensieve cyberprogramma’s uit China en Rusland bleef ook in 2025 onverminderd hoog.

De NAVO-top in Den Haag

De AIVD heeft bijgedragen aan de NAVO-top op 24 en 25 juni 2025. Achter de schermen is door velen een bijdrage geleverd om dit grootschalige evenement veilig te laten verlopen. In de lijn der verwachting vonden enkele cyberincidenten plaats. De impact hiervan bleef beperkt. Dit komt mede door maatregelen van organisaties die verantwoordelijk waren voor de beveiliging van het evenement.

Cyber: ongelijke strijd tegen een steeds grotere dreiging

De strijd in het cyberdomein is een ongelijke strijd. Het is voor ‘verdedigers’, zoals Nederlandse organisaties, vaak een ingewikkelde taak om zich blijvend te weren tegen statelijke actoren die binnen andere wettelijke kaders opereren.
Steeds meer aanvallers maken gebruik van automatisering om met succes cyberaanvallen uit te voeren. Zo is het in toenemende mate mogelijk om bijvoorbeeld systematisch te zoeken naar kwetsbaarheden in systemen of om meerdere doelen tegelijk aan te vallen. De mogelijkheden van kunstmatige intelligentie zorgen bovendien voor een flinke versnelling in de ontwikkeling van nieuwe aanvalsmiddelen en -manieren. Om hier effectief tegenwicht aan te bieden, is innovatie en samenwerking onontbeerlijk.

Cybersecurityaanpak: de basis op orde

In het Cybersecuritybeeld Nederland (CSBN) 2025 van de NCTV, waar de AIVD een bijdrage aan levert, staat: ‘De conclusie dat dreigingen onvoorspelbaarder en complexer worden, betekent niet per definitie dat het verdedigen daartegen dat ook wordt. Veel digitale incidenten vinden namelijk hun oorzaak in het niet op orde hebben van “digitale basishygiëne”. (…) Voor een gemiddelde organisatie geldt dan ook: fixeer je niet op het complexe dreigingslandschap, maar weer je daar in eerste instantie tegen met de basisprincipes.’

Aantal incidenten met onbekende kwetsbaarheid neemt toe

Het aantal incidenten waarbij aanvallers een onbekende kwetsbaarheid (een zero day) misbruiken neemt toe. Dit is een kwetsbaarheid waarvan bij softwareleveranciers nog niet bekend is dat deze bestaat. Hiervoor zijn dus ook nog geen beveiligingsmaatregelen beschikbaar. Dit maakt dit type kwetsbaarheid interessant voor kwaadwillenden. Aanvallers slagen er bovendien in om deze kwetsbaarheden steeds sneller uit te buiten en daarmee in een kort tijdsbestek veel slachtoffers te maken.

In 2025 zijn in Nederland verschillende incidenten geweest waarbij aanvallers gebruikmaakten van onbekende kwetsbaarheden en kwetsbaarheden die nog maar kort daarvoor bekend waren geworden. Zo werd in de zomer van 2025 misbruik gemaakt van onbekende kwetsbaarheden in Citrix NetScaler, dat organisaties onder andere gebruiken om thuiswerken te faciliteren. De aanvallers vielen onder meer het Openbaar Ministerie aan. Deze aanval verstoorde het dagelijkse functioneren van een organisatie die een essentiële rol vervult in de samenleving.

Aanvallers gebruiken niet alleen onbekende kwetsbaarheden. Net als voorgaande jaren blijven ook software en hardware die oudere en reeds bekende kwetsbaarheden bevatten bij hen geliefd.

Statelijke actoren hanteren brede doelwitselectie: van (westerse) politici tot dissidenten

Statelijke actoren hebben ook interesse in politici en ambtenaren en in critici uit de diasporagemeenschap. Statelijke actoren proberen onder andere gegevens over hen te verkrijgen via cyberaanvallen. In 2025 hebben statelijke actoren communicatie buitgemaakt van deze personen. Dit lukte onder meer door telecomproviders buiten Nederland te compromitteren. Met deze data kunnen statelijke actoren inzicht krijgen in bijvoorbeeld Europese besluitvorming. In ernstigere gevallen kan dit hen ook helpen om actuele verblijfslocaties van personen te verkrijgen in bijvoorbeeld oorlogsgebied.

Meer digitale aanvallen tegen mobiele apparaten

De AIVD en MIVD zagen in 2025 een toename van digitale aanvallen tegen mobiele apparaten zoals telefoons. Dit zijn kwetsbare communicatiemiddelen, onder andere vanwege de berichten-applicaties die veelvuldig worden gebruikt hierop. Ook monitoren werkgevers deze mobiele apparaten doorgaans minder intensief dan computers en servers. Daarnaast zijn mensen zich minder bewust van de risico’s bij telefoongebruik.

Voor aanvallen op deze mobiele apparaten en andere apparatuur zetten statelijke actoren bijvoorbeeld commercieel verkrijgbare spyware in. Ook ontwikkelen zij zelf malware hiervoor. Daarnaast proberen ze bijvoorbeeld berichten-apps over te nemen, door middel van social engineering.

Via social engineering toegang tot berichten-apps

De AIVD en MIVD stellen vast dat meerdere statelijke actoren proberen om persoonlijke gegevens van hun doelwitten in handen te krijgen via social engineering. Dit zijn technieken die (cyber)criminelen inzetten om personen te verleiden om gevoelige informatie te delen en/of hen aan te zetten tot handelen. Zo is het in 2025 meerdere keren voorgekomen dat statelijke actoren zich voordeden als medewerker of chatbot van een berichten-app zoals WhatsApp of Signal. De zogenaamde medewerker of chatbot geeft aan dat het slachtoffer opnieuw moet inloggen en laat het slachtoffer vervolgens een bepaalde code invullen. Hierdoor krijgt de actor toegang tot het account van het slachtoffer.
Een andere manier waarop statelijke actoren slachtoffers maakten was via voice phishing. Hierbij bouwt een actor contact op met een slachtoffer om uiteindelijk met deze persoon te bellen. Het opbouwen van dit contact duurt soms zelfs maanden. Tijdens of na het telefoongesprek wordt vervolgens een link gestuurd waarmee de actor het account kan overnemen.

Landen met een offensief cyberprogramma

De AIVD en MIVD doen onderzoek naar verschillende landen met een offensief cyberprogramma. In de volgende paragrafen wordt de cyberdreiging vanuit Iran en Noord-Korea uitgelicht. De cyberdreiging uit China en Rusland wordt beschreven in de paragrafen die hierop volgen.

Cyberdreiging vanuit Iran

De AIVD en MIVD schatten in dat het Iraanse regime onverminderd inzet op zijn offensieve cyberprogramma. Iraanse cyberactoren ondernemen onder andere beïnvloedingsoperaties, digitale sabotage en digitale spionage. Zij richten zich op regionale tegenstanders, zoals Israël, maar ook op landen daarbuiten, zoals in West-Europa en Noord-Amerika.

Ook individuen zijn doelwit. In 2025 bleek dat Iran cyberspionagecampagnes voortzet richting in het Westen verblijvende critici van het Iraanse regime, onder wie dissidenten en journalisten. Iraanse actoren zetten hierbij onder andere geavanceerde malware in. Ze proberen op deze wijze toegang te verkrijgen tot de persoonlijke apparatuur en accounts (e-mail, sociale media) van deze personen. Deze dreiging is dan ook jegens hen persoonlijk. Het feit dat deze critici in sommige gevallen ook staatsburger zijn van westerse landen, weerhoudt Iran niet.

De diensten constateren ook dat de Iraanse cyberdreiging continueert richting experts die zich met het Midden-Oosten bezighouden. Daarnaast toonde Iran in 2025 ook interesse in westers overheidspersoneel.

Cyberdreiging vanuit Noord-Korea

Noord-Korea blijft een belangrijke dreiging voor de Nederlandse veiligheidsbelangen via zijn (nucleaire) wapenprogramma, offensieve cyberprogramma en de ondersteuning van Rusland in de oorlog tegen Oekraïne. Noord-Korea zet een offensief cyberprogramma in om het huidige regime in stand te houden.

Een van de belangrijkste doelen van Noord-Koreaanse cyberprogramma is financieel gewin. Het offensieve cyberprogramma draagt zeer waarschijnlijk bij aan de financiering van het Noord-Koreaanse (nucleaire) wapenprogramma. Een ander doel is cyberspionage: het regime wil hoogwaardige (militaire) technologie verkrijgen, net als (geo)politieke en wetenschappelijke informatie.

De diensten hebben in 2025 verschillende cyberaanvallen waargenomen tegen Nederlandse bedrijven en personen, die werden uitgevoerd door of met behulp van Noord-Koreaanse IT’ers. Deze aanvallen waren vooral gericht op het ontvreemden van cryptovaluta, ten gunste van het Noord-Koreaanse regime. De aanvallers gaan hierbij opportunistisch te werk. Als zij ook gevoelige data kunnen verkrijgen, laten zij deze mogelijkheid niet onbenut.

Lees verder over cyberdreigingen.