Drie nieuwe rapporten van Barracuda, HarfangLab en Cloudflare schetsen een consistent beeld: het dreigingslandschap verschuift fundamenteel. Aanvallers richten zich massaal op gebruikersidentiteiten, zetten AI in als aanvalswapen en bereiken met DDoS-aanvallen recordniveaus van 31,4 Tbps.
De tijd dat cybercriminelen vooral technische kwetsbaarheden uitbuitten, lijkt voorbij. Uit analyse van meer dan twee biljoen IT-events in Barracuda’s Managed XDR-dataset blijkt dat aanvallers zich massaal richten op gebruikersidentiteiten. In 32% van de gevallen was een afwijkende Microsoft 365-login de eerste indicator van een aanval. In 17% van de incidenten werd ‘impossible travel’ gedetecteerd, waarbij een gebruiker binnen korte tijd inlogt vanaf twee fysiek ver uit elkaar liggende locaties.
Cloudflare spreekt in zijn Threat Intelligence Report 2026 in dit verband van een fundamentele verschuiving: cybercriminelen proberen niet langer in te breken, maar in te loggen. Gekaapt identiteiten en legitieme inlogprocedures worden het primaire aanvalspad.
Escalatie naar volledige controle
Eenmaal binnen is het doel van aanvallers vrijwel altijd hetzelfde: adminrechten verkrijgen. Binnen Windows voegde de aanvaller in 42% van de gevallen een gebruiker toe aan een groep met hoge rechten, zoals Domain Administrators. Binnen Microsoft 365 werd in 16% van de incidenten een nieuwe gebruiker toegevoegd aan de Global Administrator-groep. Bij 66% van de incidenten met bestandsloze malware werd PowerShell ingezet, waardoor traditionele scanners de aanval vaak missen. In 94% van de onderzochte instanties bleek de endpoint agent uitgeschakeld.
Parallel hieraan waarschuwen zowel HarfangLab als Cloudflare voor de snelle opkomst van AI als aanvalswapen. Cloudflare documenteerde een aanvaller die AI gebruikte om waardevolle gegevens te lokaliseren en honderden bedrijfsapplicaties te compromitteren — volgens onderzoeksteam Cloudforce One een van de meest impactvolle supply chain-aanvallen ooit waargenomen.
HarfangLab wijst op een andere zorgwekkende ontwikkeling: de gerichte manipulatie van code die door AI-assistenten wordt gegenereerd. Aanvallers kunnen large language models beïnvloeden zodat ze onveilige of kwaadaardige code voorstellen aan ontwikkelaars. Wanneer die code wordt opgenomen in applicaties of softwarebibliotheken, verspreidt de impact zich via supply chains naar duizenden eindgebruikers.
Phishing evolueert ondertussen naar een polymorf model waarbij berichten automatisch worden aangepast aan specifieke doelwitten en eerdere interacties. Aanvallen beperken zich niet meer tot e-mail en sms: vishing met AI-gegenereerde stemmen neemt toe, en deepfakes worden steeds laagdrempeliger.
Staatsactoren met langetermijndoelen
Cloudflare legt ook bloot hoe staatsactoren hun aanpak veranderen. Door China gesteunde groepen zoals Salt Typhoon en Linen Typhoon richten zich op Noord-Amerikaanse telecomBedrijven, overheidsinstanties en IT-dienstverleners. Ze stappen over van traditionele spionage naar ‘persistent pre-positioning’: code installeren op netwerken van concurrerende staten om toekomstige aanvallen op kritieke infrastructuur mogelijk te maken.
Noord-Koreaanse actoren gaan nog verder: zij gebruiken AI-gegenereerde deepfakes en valse identiteitsbewijzen om selectieprocedures te omzeilen en staatsgesponsorde werknemers rechtstreeks op de loonlijsten van westerse bedrijven te plaatsen.
HarfangLab waarschuwt voor een verdere escalatie nu AI-systemen worden geïntegreerd in operationele omgevingen zoals energiebeheer, logistiek en industriële automatisering. De opkomst van autonome systemen verkleint de afstand tussen digitale instructie en fysieke actie. Manipulatie kan leiden tot verstoringen in industriële robots, transportlijnen of logistieke processen.
DDoS-aanvallen bereiken ondertussen recordniveaus. Cloudflare registreerde aanvallen van 31,4 Tbps via botnets zoals Aisuru, die inmiddels zijn uitgegroeid tot dreigingen op nationaal niveau. De aanvallen overtreffen het menselijke reactievermogen, wat volgens Cloudflare volledig autonome verdedigingssystemen noodzakelijk maakt.
Aanbevelingen
Barracuda adviseert om multi-factor authenticatie strikt te handhaven, te monitoren op onverwachte wijzigingen en continu toezicht te houden op Privileged Groups binnen zowel Windows- als cloudomgevingen. HarfangLab benadrukt dat vertrouwen in AI-tools technologische waarborgen, transparantie en onafhankelijke controles vereist. Cloudflare pleit voor autonome verdedigingssystemen die dreigingen in realtime kunnen neutraliseren.
