Rusland

• Ook in 2025 stelde Rusland zich steeds aanvallender op tegen Europese landen. De AIVD en MIVD doen gezamenlijk onderzoek naar welke dreiging Rusland vormt voor Nederland.
   
• Om deze dreiging beter te begrijpen, is het essentieel om het Russische perspectief te kennen. Ook als de oorlog in Oekraïne eindigt, zal de confrontatie, die voor Rusland breder en existentieel is, voortduren.
   
• De AIVD en MIVD traden in 2025 naar buiten over een voorheen publiek onbekende Russische cyberactor genaamd LAUNDRY BEAR. Deze actor was verantwoordelijk voor een aanval waarbij werkgerelateerde contactgegevens van Nederlandse politiemedewerkers zijn buitgemaakt

Net als in 2024 stelde Rusland zich in 2025 steeds agressiever, brutaler en provocerender op tegen Europese landen. Vanwege de westerse politieke en militaire steun aan Oekraïne karakteriseert het Russische regime Europa, en vooral de Europese Unie, als een opponent. Het beschouwt deze opponent bovendien als steeds vijandiger.

Het Russische perspectief

De AIVD en MIVD zien dat Rusland zich verwikkeld ziet in een breder en existentieel conflict met het Westen. De oorlog in Oekraïne – het grootste en meest dodelijke conflict in Europa sinds de Tweede Wereldoorlog – is daar voor het Russische regime slechts een onderdeel van.

Het narratief van het Russische regime is dat het Westen agressief is, en dat het Rusland wil destabiliseren en een nederlaag wil laten lijden. Er zou hierbij maar één partij kunnen winnen (een zero-sum game). De instandhouding van dit vijandbeeld draagt eraan bij dat het volk zich achter de president blijft scharen en helpt het regime aan de macht te blijven. Rusland bereidt zich voor op een langdurige confrontatie met het Westen. Als gevolg hiervan is een militair conflict tussen Rusland en het Westen niet langer ondenkbaar. Ook als de strijd in Oekraïne ten einde komt, zal deze bredere en in de ogen van het Russische regime existentiële confrontatie voortduren.

Putins regime bleef in 2025 stabiel, al dwingt het dat af met steeds meer repressie en een groeiende controle op met name het digitale informatiedomein. Deze initiatieven zijn er in zekere zin op gericht om Rusland verder te isoleren van westerse invloeden, die een bedreiging kunnen vormen voor de stabiliteit van het regime. De economische problemen die gepaard gaan met de oorlog bleken hanteerbaar voor Rusland. Van enige binnenlandse oppositie is na de dood van Aleksey Navalny in 2024 geen sprake meer.

Het afgelopen jaar is de Russische houding ten aanzien van de oorlog in Oekraïne verder verhard en onverzettelijker geworden, ondanks enkele Russisch-Oekraïense onderhandelingsrondes en meerdere inhoudelijke besprekingen met het Witte Huis. Duidelijker dan eerder blijkt dat Rusland niet bereid is tot een compromis in Oekraïne. Rusland zet de strijd op het Oekraïense slagveld onverminderd voort.

Russische cyberactoren actief

Net als voorgaande jaren zijn Russische cyberactoren actief op het gebied van offensieve cyberoperaties tegen Europa. Het gaat hierbij zowel om actoren die direct gelieerd zijn aan de Russische inlichtingen- en veiligheidsdiensten, als om pro-Russische aanvallers die verder afstaan van de Russische overheid maar wel worden gesteund door de staat. Operaties variëren van relatief eenvoudig spearphishing tot geavanceerde inbraken in systemen van overheden, bedrijven en instanties.

Rusland probeert digitaal te spioneren door in te breken op systemen van de Nederlandse overheid en hier gevestigde internationale instellingen, en in andere EU- en NAVO-landen. Het doel: informatie verkrijgen over bijvoorbeeld de steun aan Oekraïne. Daarnaast investeren sommige Russische actoren in cybercapaciteiten om in een later stadium cybersabotage te kunnen uitvoeren.

De AIVD en MIVD signaleren dat de Russische capaciteiten om cyberaanvallen uit te voeren groeien. Ook kunnen deze actoren hun cyberaanvallen in een hoog tempo uitvoeren. Dit komt mede doordat zij hun aanvallen deels kunnen automatiseren, ook door middel van AI.

Publieke attributie LAUNDRY BEAR

De AIVD en MIVD hebben in 2024 een voorheen publiek onbekende Russische cyberactor onderkend: LAUNDRY BEAR. Deze actor heeft een cyberaanval uitgevoerd waarbij werkgerelateerde contactgegevens van Nederlandse politiemedewerkers zijn buitgemaakt. In mei 2025 traden de AIVD en MIVD naar buiten over deze actor. Hierdoor stelden zij andere partijen, in binnen- en buitenland, in staat om zelf onderzoek te doen naar deze actor. Sinds deze bekendmaking zijn de activiteiten van de actor niet gestopt. LAUNDRY BEAR voert al sinds tenminste 2024 cyberaanvallen uit op westerse overheden, bedrijven en andere organisaties. Vaak richten de aanvallen van deze cyberactor zich op zaken die relevant zijn voor de Russische oorlogsinspanningen in Oekraïne, zoals ministeries van Defensie van NAVO-landen, krijgsmachtonderdelen en defensie(toe)leveranciers. De Nederlandse politie lijkt om opportunistische redenen doelwit te zijn geweest.

Chataccounts Nederlandse overheidsmedewerkers doelwit

In 2025 hebben de AIVD en MIVD vastgesteld dat een Russische cyberactor probeert wereldwijd toegang te krijgen tot een groot aantal Signal- en WhatsApp-accounts van hoogwaardigheidsbekleders, militairen en ambtenaren. Binnen deze campagne heeft de actor ook toegang gekregen tot de chataccounts van meerdere Nederlandse overheidsmedewerkers. Naast het verkrijgen van toegang tot accounts is het voor de actor ook mogelijk om deze over te nemen. Hierdoor kunnen contactpersonen van het slachtoffer in de veronderstelling zijn dat ze berichten sturen aan het slachtoffer zelf, waar de berichten in werkelijkheid bij de actor belanden.

Cyber op het slagveld

Een fors deel van het Russische offensieve cyberprogramma richt zich op de oostflank van Europa. Net als in voorgaande jaren vervult digitale spionage hierin een hoofdrol. Daarnaast zien de AIVD en MIVD dat de Russische staat op nieuwe manieren buitgemaakte informatie gebruikt. Zo zet het Russische leger tijdens militaire operaties informatie in die afkomstig is van cyberoperaties, zoals informatie over troepenbewegingen of locatiegegevens van Oekraïense militairen.

Prioritering bij sabotageactiviteiten

Ook in het geval van sabotageactiviteiten in het cyberdomein geldt Oekraïne nog altijd als de hoogste prioriteit van Russische cyberactoren. Daar waren vooral de Oekraïense energie- en logistieke sector doelwit. Deze prioritering kan veranderen bij een einde van de oorlog. Zo is het mogelijk dat Russische cyberactoren hun capaciteiten dan breder gaan inzetten op Nederland, en op andere NAVO-bondgenoten en EU-lidstaten.
Voor zowel digitale als fysieke sabotageactiviteiten geldt dat Nederland een potentieel targetland blijft voor Russische sabotageactiviteiten. Dat komt omdat Nederland nog steeds aanzienlijke steun levert aan Oekraïne, en omdat Nederland een transport- en informatieknooppunt is in Europa.

Rusland voerde in 2025 diverse digitale sabotageaanvallen en pogingen daartoe uit in Europese lidstaten. De AIVD en MIVD onderkenden geen acute succesvolle Russische cybersabotageaanvallen in Nederland in 2025.

Russische escalatie en de-escalatie

Met de fysieke sabotageactiviteiten lijkt Rusland naar eigen inzicht te escaleren en te de-escaleren. De omvang van deze activiteiten varieert door de tijd heen. Sabotageactiviteiten die aan de Russische inlichtingen- en veiligheidsdiensten kunnen worden toegeschreven, kenden in Europa een (voorlopig) hoogtepunt in de zomer van 2024. Hierna zagen de diensten minder Russische sabotageactiviteiten in Europa. Vooralsnog is onduidelijk waarom deze activiteiten destijds zijn afgeschaald. Wel is sinds de zomer van 2025 weer een voorzichtige toename zichtbaar van sabotageactiviteiten of voorbereidingen daartoe. Deze activiteiten zijn nog steeds veelal gericht tegen militaire en logistieke doelen, en tegen organisaties die betrokken zijn bij de oorlog in Oekraïne.

In het kader van de Russische hybride dreiging is er in de media veel gespeculeerd over drones. De AIVD en MIVD hebben in 2025 inderdaad een toenemend aantal meldingen ontvangen over waarnemingen van drones in de buurt van vitale infrastructuur, luchthavens en bijvoorbeeld militaire faciliteiten. Bij dit soort meldingen geldt dat het vaststellen van vermeende Russische betrokkenheid gecompliceerd is en veelal kan deze voorstelbare Russische betrokkenheid niet worden bevestigd. Ook is een gesignaleerde drone niet altijd een dreiging.

Nieuwe modus operandi: inzet van gelaagde netwerken

Het is voor de Russische inlichtingen- en veiligheidsdiensten moeilijker geworden om activiteiten te ontplooien in Europa. Dit komt mede door de grootschalige uitzetting van Russische inlichtingenofficieren onder diplomatiek dekmantel in een groot aantal Europese landen, die volgde op de Russische invasie in Oekraïne in 2022, en door de striktere visumregels binnen het Schengengebied. Om sabotageactiviteiten uit te voeren maken de Russische inlichtingen- en veiligheidsdiensten daarom ook gebruik van een nieuwe werkwijze: de inzet van gelaagde netwerken.

Gelaagde netwerken bestaan uit coördinatoren, facilitators en zogeheten low-level agenten die de sabotageacties uitvoeren. Een eenduidig profiel van dit type agent is niet te geven. Wel geldt dat het in veel gevallen personen betreft die sabotageactiviteiten als een manier zien om snel en gemakkelijk geld te verdienen. Deze, soms minderjarige, low-level agenten lijken zich veelal niet bewust dat ze activiteiten uitvoeren in opdracht van Rusland. In tegenstelling tot inlichtingenofficieren zijn zij niet of maar deels getraind.

Deze gelaagde constructies maken het voor Rusland relatief gemakkelijk om de eigen betrokkenheid bij sabotageoperaties te verhullen.

De AIVD en de MIVD achten het onwaarschijnlijk dat een toename van deze sabotageactiviteiten en deze nieuwe werkwijze de al bestaande modus operandi van de Russische diensten zullen vervangen. Deze bestaande werkwijzen, zoals de meer klassieke vormen van spionage en statelijke inmenging, hebben zich immers al bewezen in het verleden.

Russische inmenging

Een kerntaak van de Russische inlichtingen- en veiligheidsdiensten blijft spionage, een vorm van statelijke inmenging. Niet alleen via technische, maar ook via menselijke bronnen proberen de Russische diensten de hand te leggen op strategische geheimen, kennis en technologie om een politiek of militair voordeel te verkrijgen. Russische inlichtingenofficieren maken gebruik van diverse dekmantels, zoals wetenschapper of journalist, om toegang te verkrijgen tot deze informatie. Daarnaast blijven zij actief onder diplomatiek dekmantel, in Nederland en de rest van Europa.

De Russische inlichtingen- en veiligheidsdiensten zijn actief in onder meer de landen aan de oostgrens van het NAVO-bondgenootschap. Hier willen zij informatie verzamelen over de militaire capaciteiten van de NAVO en proberen zij de oorlog in Oekraïne te beïnvloeden in het voordeel van Rusland.

Ook spelen de Russische diensten een belangrijke rol bij het verwerven van technologie en dual-use-goederen voor de Russische defensie-industrie. Deze werkwijze stelt Rusland in staat om het westerse sanctiebeleid deels te omzeilen.

Russische benaderingen van Europese parlementariërs

De Russische diensten zoeken toenadering tot parlementariërs in Europese lidstaten. Dit doen zij zowel heimelijk als in de openheid. Openlijk nodigt Moskou parlementariërs uit om bijvoorbeeld deel te nemen aan evenementen in en buiten Rusland. Ook stelt het gezamenlijke initiatieven voor om samenwerkingen te hervatten. Tegelijkertijd lijken deze open toenaderingspogingen minder effect te hebben dan Rusland ambieert. Dit komt mede door terughoudendheid van Europese politici voor al te grote publieke affiliatie met Rusland. Dit noopt Rusland op zijn beurt weer tot meer discretie bij toenaderingspogingen richting deze politici.

Verspreiding van Rusland welgevallige boodschappen

Ondanks verschillende westerse tegenmaatregelen blijft Rusland onverminderd digitale desinformatiecampagnes uitvoeren ten aanzien van verschillende Europese landen. Het toenemende gebruik van kunstmatige intelligentie kan Rusland helpen om de kwaliteit en omvang van desinformatiecampagnes te verbeteren.
Rusland gebruikt gebeurtenissen in onder andere Nederland voor het uitdragen van Rusland welgevallige boodschappen. Deze boodschappen zijn vaak bedoeld voor de Russische bevolking. Dit krijgt vooral gestalte via demonstraties met boodschappen die Moskou goed uitkomen. In berichtgeving van Russische staatsmedia en op sociale media wordt het belang en de omvang van deze demonstraties zodanig uitvergroot dat bij een (pro-)Russisch publiek het beeld kan ontstaan dat in het Westen een substantieel kritisch geluid wordt geuit ten aanzien van militaire steun aan Oekraïne of ten aanzien van de NAVO.