Cyberhelden

Drie verhalen die laten zien hoe staten en criminelen opereren in het digitale domein. Ronald begint met de meest onhandige GPU-smokkel ooit: drie man opgepakt door het Amerikaanse ministerie van Justitie voor het proberen te verschepen van $170 miljoen aan AI-chips naar China — inclusief een groeps-app genaamd "GPU Partnership" waarin de hoofdverdachte in hoofdletters schreeuwt dat niemand over China mag praten. Vervolgens de $2,5 miljard Supermicro-zaak die de week ervoor speelde. Jelle neemt je mee in Coruna, het iOS-exploitplatform dat voortkomt uit Operation Triangulation. Ooit een van de meest geavanceerde spionagecampagnes ooit, nu ingezet om via nep-crypto-exchanges je wallet leeg te trekken. Marco sluit af met BPFDoor: Chinese hackers die al vijf jaar ongemerkt in de backbone van telecombedrijven zitten en kunnen zien wie je belt en waar je bent.

Nieuwtjes
- Anthropic Cloud Mythos / Capybara — gelekte conceptdocumenten over nieuw AI-model met sterke cybersecurity-capabilities (vulnerability research, exploit development). Uitrol begint bij verdedigende partijen. Beurzen reageerden met een dip

Bronnen
GPU-smokkel / exportcontroles
- US Department of Justice — "Chinese National and Two U.S. Citizens Charged with Conspiring to Smuggle Artificial Intelligence Technology to China" (25 maart 2026): https://www.justice.gov/opa/pr/chinese-national-and-two-us-citizens-charged-conspiring-smuggle-artificial-intelligence
- US Department of Justice — Supermicro co-founder Wally Liaw charged in $2.5B Nvidia GPU smuggling scheme (week voor opname) (https://fortune.com/2026/03/19/supermicro-arrested-founder-smuggling-gpu-china/)
- Bureau of Industry & Security (BIS) — exportcontroles op geavanceerde chips: https://www.bis.gov

Coruna / Operation Triangulation / DarkSword
- Kaspersky / Securelist — "Coruna framework: updated Operation Triangulation exploit" (26 maart 2026): https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/
- BleepingComputer — "Coruna iOS exploit framework linked to Triangulation attacks" (26 maart 2026): https://www.bleepingcomputer.com/news/security/coruna-ios-exploit-framework-linked-to-triangulation-attacks/
- Kaspersky — originele Operation Triangulation disclosure (2023): https://securelist.com/operation-triangulation/109842/
- Kaspersky — "Triangulation: undocumented hardware feature exploited" (december 2023): https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
- Apple Security Update — patches voor Coruna en DarkSword: https://support.apple.com/en-us/126776

BPFDoor / Red Menshen / telecominfrastructuur
- Rapid7 — Red Menshen BPFDoor research (maart 2026)
- Achtergrond BPFDoor — Trend Micro / PwC eerdere analyses (2022-2025)
- Salt Typhoon — voor context: Chinese hackers in Amerikaanse telecom (2024-2025)
- CISA — "Countering China State Actors Compromise of Networks" joint advisory

In deze aflevering duiken Ronald, Jelle en Marco eerst in drie actuele nieuwtjes: de VoidStealer-malware die de masterkey rechtstreeks uit het Chrome-geheugen vist en daarmee Googles Application Bound Encryption omzeilt, een update over de Odido-hack waarbij het team zelf de phishingserver van de Shiny Hunters wist te achterhalen (en het dilemma tussen publiceren en het politieonderzoek niet verstoren), en een Russische informatieoperatie rond een fictieve "Volksrepubliek Narva" in Estland — recht uit het Oekraïne-playbook, maar nu gericht op een NAVO-land.
Daarna gaat het over de strategische richting van cybersecurity in Nederland. Aanleiding is het eerdere interview met NCSC-directeur Matthijs van Amelsfort: operationeel gebeurt er veel (fusie afgerond, 10.000 aangesloten entiteiten, House of Cyber in aanbouw), maar wie bewaakt het grotere geheel? Onderzoekers van de Universiteit Leiden telden 29 organisaties verdeeld over 7 ministeries die "iets met cyber" doen — waarvan slechts 3 aan beleidscreatie doen. Het resultaat: een lettersoep waar geen CISO de weg in vindt.
Het team legt vervolgens het "gebroken sociaal contract" bloot: organisaties moeten steeds meer inleveren (NIS2-meldplicht, bestuurlijke aansprakelijkheid, zorgplicht), maar krijgen daar weinig concreets voor terug — geen incident response, geen sectorspecifiek dreigingsbeeld, geen kwaliteitsborging van de markt.
Ter vergelijking kijken we naar het Verenigd Koninkrijk, waar Robert Hannigan (oprichter UK NCSC) precies hetzelfde probleem beschrijft én hoe ze het oplosten: één herkenbaar loket, politiek eigenaarschap op het hoogste niveau, en Active Cyber Defence — gratis overheidsdiensten als Mail Check, Web Check en Protective DNS die de baseline voor iedereen omhoogtrekken. Ook Frankrijk (ANSSI) en Duitsland (BSI) passeren de revue.
De aflevering sluit af met drie concrete bouwstenen voor Nederland: maak het NCSC de "112 voor cyber" die niet alleen adviseert maar ook levert, richt het House of Cyber in als open werkplaats waar overheid en marktpartijen samen aan tafel zitten, en zorg voor politiek eigenaarschap met echte doorzettingsmacht — niet wachten tot de volgende DigiNotar of NotPetya.

Bronnen & links:
VoidStealer & ABE-bypass – https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass
Hannigan, R. (2019), Organising a Government for Cyber – https://static.rusi.org/20190227_hannigan_final_web.pdf
Mirzaei & De Busser, Universiteit Leiden – https://www.sciencedirect.com/science/article/pii/S0267364924000980
"Narva People's Republic" - https://www.propastop.org/en/2026/03/11/separatist-narva-peoples-republic-idea-spreads-on-social-media/

Cyberhelden 66 - D-NCSC Matthijs van Amelsfort: Niet de brandweer, wat dan wel?

Het NCSC is geen digitale brandweer , Mathijs van Amelsfoort, directeur van het Nationaal Cyber Security Centrum, legt in deze aflevering aan Ronald Prins en Marco Kuijpers uit wat dat onderscheid in de praktijk betekent. Van de fusie met het Digital Trust Center en de sprong van 300 naar 10.000 entiteiten onder de nieuwe cyberbeveiligingswet, tot het House of Cyber in Den Haag, AI in dreigingsanalyse en de toenemende hybride dreiging vanuit Rusland.

Cyberhelden 65 - Luisteraarsvraag: Hoe blijf ik veilig?

Je hoeft niet onkwetsbaar te zijn. Je hoeft alleen niet het makkelijkste doelwit te zijn. In deze aflevering gaan Ronald, Marco en Jelle terug naar de basis: wat werkt er écht als je jezelf thuis wil beschermen? Aanleiding is de vraag van een luisteraar én het gratis F-Secure abonnement dat Odido uitdeelde na hun grote datalek. Van wachtwoordmanagers en MFA tot routers, phishing-checks en VPN-mythes: een overzicht van wat de moeite waard is, wat niet, en waarom je Windows Defender waarschijnlijk al genoeg is.

Nieuwtjes
- ZeroDayClock — exploitatietijdlijn: van 2,3 jaar in 2018 naar 1,6 dag in 2026: https://www.zerodayclock.com
- China's Cybercrime Prevention and Control Law (VPN-verbod, realname-registratie, zero-day nationalisering): https://jamestown.org/program/chinas-draft-cyber-crime-prevention-and-control-law/
- VS cyberstrategie 2026: hacking back, AI-agents los, CISA uitgekleed: https://www.whitehouse.gov/national-security/cybersecurity/

Updates en lifecycle
•⁠ ⁠Microsoft: Windows 10 end of support (oktober 2025): https://www.microsoft.com/en-us/windows/end-of-support
•⁠ ⁠Veiliginternetten.nl — basismaatregelen voor consumenten: https://www.veiliginternetten.nl

Wachtwoordmanagers
•⁠ ⁠Bitwarden (open source): https://bitwarden.com
•⁠ ⁠1Password: https://1password.com
•⁠ ⁠Proton Pass (Zwitsers): https://proton.me/pass

MFA en hardware tokens
•⁠ ⁠YubiKey: https://www.yubico.com
•⁠ ⁠Google Advanced Protection Program: https://landing.google.com/advancedprotection/
•⁠ ⁠Ente Auth (open source authenticator): https://ente.io/auth/
•⁠ ⁠2FAS (open source authenticator): https://2fas.com

Antivirus
•⁠ ⁠Microsoft Defender (ingebouwd in Windows): https://www.microsoft.com/en-us/windows/comprehensive-security
•⁠ ⁠Bitdefender (Roemenië): https://www.bitdefender.com
•⁠ ⁠ESET (Slowakije): https://www.eset.com
•⁠ ⁠G DATA (Duitsland): https://www.gdata.de
•⁠ ⁠AV-TEST — onafhankelijke antivirus benchmarks: https://www.av-test.org

Phishing herkennen
•⁠ ⁠NCSC: "Herken phishing": https://www.ncsc.nl/onderwerpen/phishing
•⁠ ⁠HaveIBeenPwned — check of je e-mailadres in een datalek zit: https://haveibeenpwned.com

DNS-filtering
•⁠ ⁠Quad9 (Zwitserland, geblokkeerde malwaredomeinen): https://www.quad9.net — IP: 9.9.9.9
•⁠ ⁠AdGuard DNS: https://adguard-dns.io
•⁠ ⁠NextDNS: https://nextdns.io

VPN
•⁠ ⁠Proton VPN (Zwitserland, met NetShield): https://protonvpn.com
•⁠ ⁠Mullvad VPN (Zweden): https://mullvad.net

Browser
•⁠ ⁠Vivaldi (Noors, Chromium-gebaseerd): https://vivaldi.com

Nederlandse inlichtingendiensten waarschuwen dat Russische hackers accounts op Signal en WhatsApp van overheidsmedewerkers, militairen en journalisten hebben overgenomen. Niet door de encryptie te breken, maar door slimme social-engineeringaanvallen: slachtoffers werden verleid om verificatiecodes of QR-codes te delen. Daarmee konden aanvallers toegang krijgen tot privéchats en groepsgesprekken. In deze aflevering bespreken we hoe deze aanval werkt en waarom zelfs versleutelde chatapps geen garantie zijn voor veilige communicatie.