Techsector onder vuur: wat het CrowdStrike Technology Threat Landscape Rapport 2026 onthult

Fundamentele AI-bouwstenen — modellen, trainingsdata en onderzoekspijplijnen — zijn nu het hoofdwit van staatsgestuurde spionage . Specifieke Chinese groepen, waaronder die met de codenamen MURKY PANDA, MUSTANG PANDA en OVERCAST PANDA, richtten hun pijlen vaker op de techsector dan op welke andere branche ook . Het rapport typeert deze activiteit als een langetermijncampagne voor het verzamelen van inlichtingen, ondersteund door het compromitteren van toeleveringsketens, met als doel strategische winst op de lange termijn in plaats van direct financieel gewin .

Noord-Korea breidt 'trusted-access'-operaties uit

Actoren gelieerd aan Noord-Korea hebben een eigen, onderscheidend operatieprofiel ontwikkeld om techbedrijven aan te vallen. In plaats van uitsluitend op traditionele inbraakmethoden te vertrouwen, breidden DPRK-gelieerde groepen hun bereik uit door IT-medewerkers te infiltreren — waarbij agenten worden geplaatst als externe contractanten bij westerse techbedrijven — en door software-toeleveringsketens te compromitteren om zo betrouwbare toegang te verkrijgen .

Naast deze sluiproutes toont een parallel rapport van CrowdStrike, het 2026 Financial Services Threat Landscape Report, een bredere Noord-Koreaanse campagne. Daaruit blijkt dat DPRK-gelieerde tegenstanders in 2025 miljarden aan digitale tegoeden stalen en cybercriminaliteit hebben geïndustrialiseerd met AI-gestuurde misleiding . De groep FAMOUS CHOLLIMA verdubbelde bijvoorbeeld haar operationele tempo, en de PRESSURE CHOLLIMA-groep voerde de grootste financiële diefstal ooit uit — $1,46 miljard in cryptovaluta — via een gecompromitteerde softwaredistributie in de toeleveringsketen .

Cybercriminelen versnellen: 'breakout time' daalt naar 29 minuten

Financieel gemotiveerde cybercriminelen hebben hun operaties tegen technologiebedrijven flink opgevoerd. Tussenpersonen die eerste toegang verkopen (Initial Access Brokers), ransomware-operators en afpersingsgroepen prioriteren de sector meer dan ooit . Het bijbehorende 2026 Global Threat Report laat zien dat de gemiddelde 'breakout time' — de tijd tussen de eerste inbraak en het zijwaarts bewegen door een netwerk — in 2025 is gedaald tot slechts 29 minuten, een snelheidstoename van 65% ten opzichte van 2024 . De snelst waargenomen inbraak bewoog van initiële toegang tot datadiefstal in minder dan twee minuten, met één incident geklokt op slechts 27 seconden .

Interactieve, door mensen geleide inbraken — vaak 'hands-on-keyboard'-aanvallen genoemd — stegen de afgelopen twee jaar met 43%. Dit geeft aanvallers de flexibiliteit om te schakelen tussen diefstal, afpersing of spionage, afhankelijk van de waarde van het doelwit . Deze verschuiving naar menselijk aangestuurde campagnes betekent dat aanvallers kunnen opgaan in normaal beheerdersgedrag, waardoor detectie aanzienlijk moeilijker wordt .

Toeleveringsketen en het probleem van misbruikt vertrouwen

In plaats van te vertrouwen op traditionele malware, exploiteren aanvallers steeds vaker vertrouwensrelaties, geldige inloggegevens, SaaS-integraties en software-toeleveringsketens . Het rapport documenteert dat 82% van alle detecties in 2025 malwarevrij was. Aanvallers opereren 'off the land' door legitieme tools en AI-versterkte social engineering te gebruiken om op handtekeningen gebaseerde verdediging te omzeilen .

AI-platforms en ontwikkelaarstools liggen nu onder directe aanval. Tegenstanders compromitteren betrouwbare code-repositories, CI/CD-pijplijnen en workflows om persistente toegang te krijgen tot uiteindelijke doelwitten verderop in de keten . Deze aanpak via de toeleveringsketen betekent dat een enkel gecompromitteerd ontwikkeltool een kettingreactie van toegang kan veroorzaken bij tientallen of honderden organisaties, zonder dat elk afzonderlijk doelwit direct hoeft te worden aangevallen.

Het AI-aanvalsoppervlak breidt zich uit

Kunstmatige intelligentie ontpopte zich tijdens de rapportageperiode nadrukkelijk als een tweesnijdend zwaard. Het aantal aanvallen door AI-versterkte tegenstanders steeg met 89% op jaarbasis, wat phishing, verkenning, social engineering en technische operaties aanzienlijk versnelde . Aanvallers gebruikten openbaar beschikbare generatieve AI-tools, zoals ChatGPT, Gemini en DeepSeek, voor social engineering, malware-ontwikkeling en operationele planning .

Tegelijkertijd werden AI-systemen zelf een nieuw aanvalsoppervlak. Meer dan 90 organisaties zagen hoe hun legitieme AI-tools werden misbruikt om kwaadaardige commando's te genereren of gevoelige modellen te stelen . Het rapport beschrijft hoe aanvallers schadelijke prompts injecteerden in productieklare generatieve AI-tools en AI-ontwikkelplatforms misbruikten om intellectueel eigendom te exfiltreren .

Het rapport karakteriseert 2025 als het "jaar van de ontwijkende tegenstander" (year of the evasive adversary), gekenmerkt door aanvallen die gericht zijn op vertrouwensrelaties, een vloeiende omgang met AI-tools tonen, en een werkwijze hanteren die is toegesneden op het uitbuiten van beveiligingsblinde vlekken in endpoint-, identiteits-, SaaS- en cloudomgevingen .

Het CrowdStrike-rapport maakt glashelder dat technologiebedrijven zich niet kunnen verdedigen tegen deze samenloop van dreigingen met verouderde benaderingen. Wanneer aanvallers in minder dan 30 minuten van eerste toegang naar netwerkverspreiding kunnen bewegen en de meeste aanvallen geen malware-signatuur dragen, schieten detectiestrategieën die gebouwd zijn op bekende-kwaadaardig-indicatoren fundamenteel tekort. De sector die de meest geavanceerde technologie ter wereld bouwt, is zelf verworden tot 's werelds meest omstreden digitale territorium.