China staat waarschijnlijk op gelijke voet met de Verenigde Staten op het gebied van offensieve cybercapaciteiten. Dat meldt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) in haar jaarverslag over 2025.
Het Chinese Volksbevrijdingsleger reorganiseerde in 2024 zijn cyber-eenheden en bracht daarbij technische capaciteiten samen. Dit stelt Chinese hackers in staat hun tooling en infrastructuur voortdurend aan te passen en zeer flexibel in te spelen op kansen en veranderende omstandigheden. Tot die conclusie komt de MIVD. De dienst schat in dat China hierdoor offensieve cybercapaciteiten beter kan integreren met militaire operaties.
De MIVD verwacht dit jaar een verdere toename in het aantal campagnes gericht op het misbruiken van kwetsbaarheden, waaronder in edge devices zoals routers, firewalls en vpn-oplossingen. Chinese statelijke actoren hebben toegang tot specialistische kennis over westerse hard- en software. Dit is mogelijk door een divers en uitgebreid ecosysteem van Chinese bedrijven en kennisinstellingen die offensieve cyberoperaties faciliteren. Ook het Chinese Volksbevrijdingsleger, de gewapende vleugel van de Communistische Partij van China en met ruim twee miljoen actieve leden het grootste leger ter wereld, zoekt naar ingangen in westerse technologie. De MIVD onderkende in 2025 dat meerdere onderdelen binnen dezelfde eenheid zelfs concurreren om kwetsbaarheden te vinden in een bepaald type edge device.
Cyberspionage
De militaire inlichtingendienst neemt structurele Chinese cyberspionage waar die gericht is tegen de westerse defensie-industrie. Door hun gebruik van onbekende software kwetsbaarheden (zero days) en snelle operationalisering van reeds gepubliceerde kwetsbaarheden wordt de weerbaarheid hiertegen steeds lastiger. De MIVD stelt vast dat detectie, respons en mitigatie vaak onvoldoende opgewassen zijn tegen de omvangrijke en professionele Chinese cyberdreiging.
De dreiging vanuit Noord-Koreaanse it’ers was eerst voornamelijk gericht op de VS. Deze dreiging heeft zich echter ontwikkeld richting Europa. De MIVD maar ook de Algemene Inlichtingen- en Veiligheidsdienst (AIVD; voor binnenlandse veiligheid) hebben verschillende cyberaanvallen tegen Nederlandse bedrijven en personen waargenomen. Een aantal van deze operaties is zeer waarschijnlijk uitgevoerd door of met behulp van Noord-Koreaanse it’ers. Deze aanvallen waren voornamelijk gericht op het ontvreemden van cryptocurrency en mogelijk ontvreemden van bedrijfsinformatie.
De Noord-Koreanen laten zich onder valse identiteit inhuren door buitenlandse organisaties om it-werkzaamheden te verrichten. Zij voeren hun werkzaamheden als voltijds-medewerker of contractant op afstand uit. Doorgaans voeren zij uitsluitend hun contractuele taken uit en werken vaak tegelijkertijd voor meerdere bedrijven. Het primaire doel van deze werkwijze is financiering van het regime door inkomen af te staan. Noord-Korea probeert zeer waarschijnlijk op deze wijze buitenlandse valuta te verkrijgen. Naast deze Noord-Koreaanse it’ers zijn er ook werknemers die legitiem arbeid verrichten en tevens cryptocurrency of data stelen.
Russisch
Net als voorgaande jaren zijn Russische cyber-actoren zeer actief op het gebied van offensieve cyberoperaties richting Europa. Het gaat hierbij zowel om actoren die direct gelieerd zijn aan de Russische inlichtingendiensten, als om pro-Russische aanvallers die verder afstaan van de Russische overheid maar wel worden gesteund door de staat. Het aantal verschillende Russische cyber-actoren neemt tevens toe. Hun operaties variëren van relatief eenvoudig spear phishing tot het gebruik van geavanceerde malware om toegang te krijgen tot systemen van overheden, bedrijven en instanties.
