10 mei 2026
Cyberrisico’s april 2026: Phishing, malware en RCE-kwetsbaarheden
FBI ontmantelt W3LL-phishing, CPUID gehackt en ShowDoc RCE actief uitgebuit. Wat moet je weten? Lees onze samenvatting van de grootste cyberbedreigingen.
Door CyberVergelijker redactie
In april 2026 zijn meerdere ernstige cyberaanvallen actief die ook Nederlandse gebruikers en bedrijven raken. De FBI en Indonesische politie hebben het W3LL-phishingnetwerk ontmanteld, dat verantwoordelijk was voor meer dan 20 miljoen dollar aan fraudepogingen. Tegelijkertijd zijn softwareleveranciers als CPUID en ShowDoc doelwit geworden van aanvallers.
Wat is er precies gebeurd?
In april 2026 speelden vijf afzonderlijke incidenten gelijktijdig:
W3LL-phishingnetwerk ontmanteld: De FBI en Indonesische Nationale Politie hebben de infrastructuur van een wereldwijde phishingoperatie neergehaald die gebruikmaakte van de W3LL-toolkit. De operatie was verantwoordelijk voor meer dan 20 miljoen dollar aan fraudepogingen en stal inloggegevens van duizenden slachtoffers wereldwijd.
CPUID-hack leidt tot malwaredistributie: Aanvallers kregen toegang tot een API van het CPUID-project en wijzigden de downloadlinks op de officiële website. Wie in de periode tussen de aanval en de detectie CPU-Z of HWMonitor downloadde, haalde daarmee een kwaadaardig uitvoerbaar bestand binnen. Dit is een klassieke supply-chain aanval: gebruikers vertrouwen de officiële bron, maar die bron is gecompromitteerd.
ShowDoc-kwetsbaarheid actief uitgebuit: CVE-2025-0520 in ShowDoc, een documentbeheer- en samenwerkingsdienst populair in China, wordt actief aangevallen. De CVSS-score is 9,4 op 10,0. De fout maakt remote code execution (RCE) mogelijk: een aanvaller kan op afstand willekeurige opdrachten uitvoeren op een ongepatcht systeem, zonder fysieke toegang.
Marimo pre-auth RCE onder aanval: Een kritieke RCE-kwetsbaarheid in Marimo (het open-source Python-notebookplatform) wordt actief misbruikt. Het gaat om een pre-authentication fout, wat betekent dat aanvallers geen geldige inloggegevens nodig hebben om binnen te komen. Het doel is diefstal van inloggegevens van slachtoffers.
Rockstar Games-datalek via Anodot: Een datalek bij analyticsbedrijf Anodot leidde tot het lekken van data van Rockstar Games. De afpersingsgroep ShinyHunters publiceerde de gestolen gegevens op haar dataleksite als onderdeel van een erpersingspoging.
Waarom raakt dit Nederlandse gebruikers en bedrijven?
Deze incidenten hebben directe gevolgen voor Nederland:
Phishingbedreigingen zijn grenzeloos: Het W3LL-netwerk opereerde wereldwijd. Nederlandse gebruikers zijn een bewezen doelwit voor phishingaanvallen gericht op banken, overheid en bedrijven. Gestolen inloggegevens worden gebruikt om toegang te krijgen tot betaalrekeningen, bedrijfsnetwerken en e-mailaccounts.
Supply-chain risico’s treffen iedereen: CPU-Z en HWMonitor zijn populaire gratis tools onder pc-enthousiastelingen en IT-beheerders. Nederlandse gebruikers die deze tools in de besmette periode downloadden, kunnen malware op hun systeem hebben staan zonder dit te weten.
Ongepatcht is kritiek: ShowDoc en Marimo worden gebruikt in zakelijke en technische omgevingen. Een RCE-kwetsbaarheid met een CVSS-score van 9,4 betekent dat een aanvaller bij een ongepatcht systeem volledige controle krijgt — inclusief toegang tot alle opgeslagen data en verbonden systemen.
Datalekken via leveranciers: De Anodot/Rockstar-situatie toont aan dat een datalek bij een externe dienstverlener directe gevolgen heeft voor klanten van die dienstverlener. Nederlandse bedrijven die cloudanalytics of soortgelijke SaaS-diensten afnemen, lopen hetzelfde risico als hun leveranciers onvoldoende beveiligd zijn.
Volgens cybercrime statistieken in Nederland neemt het aantal fraude- en phishingincidenten jaarlijks toe. De incidenten van april 2026 passen in die trend.
Wat kun je doen?
Concrete stappen voor zowel consumenten als bedrijven:
- Controleer je softwaredownloads: Verwijder CPU-Z en HWMonitor als je die recent hebt gedownload en voer daarna een volledige virusscan uit met Microsoft Defender of ESET NOD32. Download de tools opnieuw van de officiële CPUID-website nadat is bevestigd dat de schone versie beschikbaar is.
- Installeer beveiligingsupdates direct: Patch ShowDoc, Marimo en alle andere kwetsbare applicaties naar de meest recente versie. Schakel automatische updates in zodat je toekomstige patches niet mist.
- Wijzig je wachtwoorden: Als je een W3LL-phishingmail hebt ontvangen of op een verdachte link hebt geklikt, verander dan direct de wachtwoorden voor e-mail, internetbankieren en andere gevoelige accounts.
- Gebruik een wachtwoordmanager: Een wachtwoordmanager zoals Proton Pass genereert en bewaart unieke wachtwoorden per account, zodat één gestolen wachtwoord niet toegang geeft tot al je andere accounts.
- Zet twee-factor-authenticatie (2FA) aan: Activeer 2FA op alle belangrijke accounts, in het bijzonder voor e-mail en internetbankieren. Dit voorkomt dat een aanvaller met alleen je wachtwoord kan inloggen.
- Herken phishingmails: Controleer altijd het afzenderadres, de bestemming van links (hover voor je klikt) en de spelling. Open geen bijlagen van onbekende afzenders en klik niet op links die om inloggegevens vragen.
- Controleer je clouddiensten: Bekijk regelmatig de inloggeschiedenis en toegangsmachtigingen van je cloudaccounts. Verdachte inlogpogingen vanuit onbekende locaties of tijdstippen zijn een waarschuwingssignaal.
- Beveilig je thuisnetwerk: Gebruik een sterk wachtwoord op je router en houd de firmware up-to-date. Lees onze gids over firewallbeveiliging voor de basisstappen.
- Maak offline back-ups: Sla een kopie van kritieke bestanden op op een offline opslagapparaat, zoals een FIPS-gecertificeerde USB-stick. Een offline back-up is niet bereikbaar voor ransomware.
- Houd beveiligingsnieuws bij: Bekijk ook onze artikelen over kritieke cyberbedreigingen in april 2026 voor aanvullende context.
Technische achtergrond
W3LL-toolkit: W3LL is een kant-en-klare phishingtoolkit die criminelen kunnen kopen of huren. De toolkit maakt het mogelijk om phishingpagina’s op te zetten, ingevoerde inloggegevens automatisch te verzamelen en aanvallen op grote schaal uit te voeren. De lage technische drempel maakt grootschalige fraude toegankelijk voor criminelen zonder diepgaande kennis.
Supply-chain aanvallen: Bij de CPUID-hack compromitteerden aanvallers de API en de downloaddistributie van een legitieme softwareontwikkelaar. Zo bereikten ze in één keer alle gebruikers die de software downloadden — zonder dat die gebruikers iets verdachts hoefden te doen. Supply-chain aanvallen zijn gevaarlijk omdat het vertrouwen in een bekende bron als wapen wordt gebruikt.
Remote Code Execution (RCE): Zowel CVE-2025-0520 (ShowDoc) als de Marimo-kwetsbaarheid zijn RCE-fouten. Een aanvaller kan via zo’n fout willekeurige opdrachten uitvoeren op het doelsysteem — bijvoorbeeld bestanden stelen, ransomware installeren of het systeem toevoegen aan een botnet.
Pre-authentication versus post-authentication: De Marimo-kwetsbaarheid is pre-authentication: een aanvaller hoeft niet ingelogd te zijn om de fout te misbruiken. Dat maakt deze kwetsbaarheid ernstiger dan fouten waarvoor eerst inloggen vereist is. Bij ShowDoc is mogelijk enige authenticatie vereist, maar een CVSS-score van 9,4 wijst op maximale ernst en brede uitbuiting in de praktijk.
Datalek via derde partijen: De Anodot/Rockstar Games-situatie illustreert de ketenverantwoordelijkheid: een lek bij een externe analyticsleverancier leidde tot het openbaar worden van data van een grote gameontwikkelaar. Bedrijven zijn afhankelijk van de beveiligingspraktijken van hun vendors, ook als ze die niet zelf kunnen controleren.
Veelgestelde vragen
Moet ik CPU-Z en HWMonitor direct verwijderen?
Als je CPU-Z of HWMonitor hebt gedownload in de periode tussen de aanval op CPUID en de detectie ervan, is verwijdering verstandig. Voer daarna een volledige virusscan uit met actuele definities. Download de tools opnieuw zodra CPUID bevestigt dat de schone versie beschikbaar is. Heb je deze tools al lange tijd staan en regelmatig bijgewerkt via automatische updates, dan is het risico lager — maar een scan is alsnog zinvol.
Hoe weet ik of ik door W3LL-phishing ben getroffen?
Controleer je e-mailinbox op berichten die om inloggegevens vragen, vooral als ze afkomstig lijken van banken, overheidsinstanties of bekende diensten. Bekijk je bankafschriften op onbekende transacties. Een wachtwoordresetmail die je zelf niet hebt aangevraagd is een duidelijk waarschuwingsteken. Wijzig direct je wachtwoorden voor e-mail en bankieren, en activeer 2FA als je dat nog niet hebt gedaan.
Wat als ik hetzelfde wachtwoord voor meerdere sites gebruik?
Wijzig direct alle wachtwoorden voor kritieke accounts: e-mail, internetbankieren en sociale media. Gebruik daarna een wachtwoordmanager zoals Proton Pass om voor elk account een uniek wachtwoord aan te maken. Hergebruik van wachtwoorden betekent dat één gestolen wachtwoord toegang geeft tot al je andere accounts — ook wel een domino-breach genoemd.
Lopen Nederlandse bedrijven risico van ShowDoc en Marimo?
ShowDoc is populairder in China, maar Nederlandse bedrijven in tech, data science en AI gebruiken Marimo soms als Python-notebookplatform. Ook indirecte integraties via API’s of scripts kunnen kwetsbaar zijn. Vraag je IT-afdeling of deze tools in gebruik zijn en zorg dat patches direct worden toegepast.
Hoe bescherm ik mijn bedrijf tegen supply-chain aanvallen?
Controleer de integriteit van gedownloade software (hashverificatie), gebruik antivirus en host-intrusion detection, en monitor veranderingen in API-eindpunten en downloadlocaties van leveranciers. Abonneer je op beveiligingsbulletins van softwareleveranciers zodat je snel op de hoogte bent van gecompromitteerde versies. Meer basisstappen staan in onze gids over cybersecurity voor beginners.
Conclusie
April 2026 combineert grootschalige phishingnetwerken, vertrouwde software als aanvalsvector en actief misbruikte RCE-kwetsbaarheden. Het neerhalen van het W3LL-netwerk door de FBI en Indonesische politie is een concreet resultaat, maar de andere bedreigingen zijn nog actief.
Controleer je downloads, installeer beveiligingsupdates en wijzig wachtwoorden waar nodig. Lees ook onze artikelen over vier nieuwe cybertrucs die Nederlands shoppen en werk bedreigen en cloud-aanvallen in april 2026 voor meer achtergrond.
Bronvermelding
- The Hacker News: FBI and Indonesian Police Dismantle W3LL Phishing Network
- BleepingComputer: CPUID Hacked to Deliver Malware via CPU-Z and HWMonitor
- The Hacker News: ShowDoc RCE Flaw CVE-2025-0520 Actively Exploited
- BleepingComputer: Critical Marimo Pre-Auth RCE Flaw Under Active Exploitation
- BleepingComputer: Stolen Rockstar Games Analytics Data Leaked by Extortion Gang