Orange Cyberdefense: cybercrime ondermijnt samenlevingen en wordt geopolitiek machtsmiddel

De digitale onderwereld is in 2025 in een nieuwe fase beland: cybercrime is een geopolitiek machtsmiddel geworden. Afpersingsgroepen, hacktivisten en statelijke actoren zoeken elkaar bewust op en vormen netwerken die niet alleen bedrijven raken, maar ook complete economieën, democratische processen en publieke infrastructuren onder druk zetten. De Security Navigator 2026, het nieuwste onderzoeksrapport van Orange Cyberdefense, toont hoe deze ontwikkeling het digitale domein uiteendrijft in concurrerende machtsblokken. Voor deze editie analyseerden onderzoekers onder meer ruim 139.000 security-incidenten tussen oktober 2024 en september 2025.

Deze verschuiving leidt tot een verdere ‘balkanisering’ van cyberspace. Digitale ecosystemen vallen uiteen in concurrerende blokken met verschillende belangen, normen en dreigingsniveaus. Daardoor ontstaat een versnipperd landschap, waarin dreigingen zich sneller kunnen verspreiden en lastiger te overzien zijn. Cybercrime groeit daarin uit tot een wereldwijde dreiging die invloed heeft op economie, politiek en publieke veiligheid. De belangrijkste ontwikkelingen uit het rapport op een rij:

1. Cyberafpersing groeit explosief
Cyberafpersing (Cy-X) nam in één jaar tijd met 44,5% toe. Tussen september 2024 en oktober 2025 groeide het aantal bekende slachtoffers bijna anderhalf keer. Sinds 2020 verschenen 18.943 organisaties op 191 lekplatformen. Het aantal getroffen landen neemt wereldwijd sterk toe, met onder meer +47 procent in Afrika, +60 procent in Latijns-Amerika en +82 procent in Azië.

Daarnaast raakt het landschap verder gefragmenteerd. Het aantal actieve afpersingsgroepen nam toe van 33 naar 89, waardoor geen enkele groep nog dominant is maar veel middelgrote collectieven op vergelijkbare schaal opereren.

2. Het Cy-X-ecosysteem is een volwaardige industrie
Criminelen opereren steeds vaker in vaste rollen. Initial access brokers, onderhandelaars, infrastructuurleveranciers en ransomware-affiliates vormen samen een keten die draait op schaalbaarheid en efficiëntie. Deze taakverdeling maakt cyberafpersing steeds meer tot een industrieel model.

Binnen dat model verlagen Crime-as-a-Service-platformen de drempel om te starten, omdat aanvallers complete infrastructuren en kant-en-klare aanvalskits kunnen huren. Generatieve AI versnelt dit verder door kwetsbaarheden sneller te identificeren en campagnes eenvoudiger te automatiseren. Daardoor stijgt het tempo van aanvallen en ontstaat een versnipperd dreigingslandschap waarin tientallen middelgrote groepen op vergelijkbare schaal opereren als vroegere megabendes.

Daarnaast stijgt de operationele efficiëntie van afpersingsgroepen. Het gemiddelde aantal slachtoffers per dader steeg sinds 2020 met 18%, van ongeveer 45 naar 53. Door hergebruik van tools, gedeelde infrastructuur en affiliateprogramma’s worden aanvallen sneller uitgevoerd en op grotere schaal herhaald.

3. Mkb en toeleveringsketens zijn primaire doelwitten
Twee derde van alle slachtoffers is inmiddels een mkb-organisatie. Kleine bedrijven worden gebruikt als toegangspoort voor grotere ketens en kritieke diensten. Sectoren met een grote maatschappelijke rol, waaronder finance en verzekeringen (+71%), zorg (+69%), transport (+67%) en retail en distributie (+80%), zien de sterkste groei.

Aanvallers verschuiven bewust naar kleinere organisaties omdat hun beveiliging vaak minder volwassen is en omdat zij verbonden zijn met grotere ecosystemen. Een inbraak bij een klein bedrijf kan daardoor leiden tot toegang tot leveranciers, partners of cloudintegraties. Het mkb vormt zo onbedoeld een hefboom voor aanvallen met veel bredere impact.

4. Statelijke actoren nestelen zich in kritieke infrastructuur
Statelijke actoren voeren steeds vaker gerichte cyberoperaties uit om gevoelige informatie te verzamelen of om tegenstanders te destabiliseren. Daarbij maken zij gebruik van criminele groepen als proxy of verlengstuk van hun geopolitieke strategie. Het gaat niet om snelle ontwrichting, maar om stille en langdurige aanwezigheid in telecom-, cloud- en leveranciersketens om strategische posities op te bouwen.

Operaties zoals Salt Typhoon tonen hoe aanvallers via kwetsbaarheden diep kunnen doordringen in kernnetwerken. De campagne trof volgens Amerikaanse autoriteiten minstens negen grote telecomproviders en verspreidde zich naar meer dan 80 landen, inclusief satelliet- en defensienetwerken. Daarvoor waren geen zeldzame zero-days nodig: veelvoorkomende technieken en al bekende kwetsbaarheden bleken voldoende. Dat laat zien dat verouderde systemen, achterstallige updates en traag patchen nog altijd de belangrijkste toegangspoorten blijven.

5. Aanvallen op de digitale keten veroorzaken systemische schade
Digitale toeleveringsketens werken als een web van afhankelijkheden. Een enkel incident kan daardoor hele ecosystemen raken. De exploitatie van de Cleo-kwetsbaarheid veroorzaakte in Q1 2025 18 procent van alle Cy-X-slachtoffers. Het Shai-Hulud-incident leidde tot besmetting van meer dan 180 open-sourcepakketten. Bovendien werden leveranciers van kritieke infrastructuur getroffen door serieuze inbraken bij onder andere F5 en Microsoft. Het rapport benadrukt dat geen enkele partij zijn beveiliging nog in isolatie kan organiseren.

6. Hacktivisme professionaliseert en verschuift naar beïnvloeding
Hacktivisten voeren steeds vaker aanvallen uit die gericht zijn op invloed en destabilisatie in plaats van technische schade. Acties zijn bedoeld om opinie te beïnvloeden, instellingen te ontregelen of vertrouwen in democratische processen te ondermijnen. Veel groepen maken daarbij gebruik van kant-en-klare botplatformen uit het criminele ecosysteem.

Daarnaast vervagen de grenzen tussen hacktivisme en statelijke belangen. Steeds meer campagnes zijn ideologisch afgestemd op landen die hun activiteiten gedogen of stimuleren. Het resultaat is een groeiende stroom aanvallen die vooral bedoeld zijn om zichtbaarheid, onrust en politieke druk te creëren. Daardoor krijgen relatief eenvoudige operaties toch een groot publiek effect.

Wereldwijde samenwerking is de enige effectieve weg vooruit
Cybercriminaliteit ontwikkelt zich sneller dan individuele landen kunnen bijhouden. Analyse van 418 internationale politie- en justitieoperaties tussen 2021 en midden 2025 laat zien dat samenwerking werkt. In 2025 lag het aantal internationale acties halverwege het jaar al op het niveau van heel 2024. Arrestaties, het neerhalen van infrastructuur en gecoördineerde verstoring van netwerken hebben dus aantoonbaar effect, maar criminelen passen zich snel aan en hergroeperen zich binnen nieuwe structuren.

Opschaling van publiek-private samenwerking is daarom noodzakelijk. Alleen met structurele informatie-uitwisseling, gezamenlijke detectie en langdurige internationale coördinatie blijft onze digitale omgeving weerbaar.

Balkanisering maakt internationale samenwerking noodzakelijk
Volgens Hugues Foulon, CEO van Orange Cyberdefense, hoeft de balkanisering van cyberspace geen voldongen feit te zijn. “Het biedt juist de kans om samenwerking, transparantie en veerkracht te versterken”, zegt Foulon. “De strijd tegen georganiseerde cybercriminaliteit vraagt om een wereldwijde alliantie tussen publieke en private partijen. Alleen zo kunnen we een grensoverschrijdende dreiging het hoofd bieden. Orange Cyberdefense is bereid zijn cyberintelligence te delen om ons digitale schild te versterken.”

Volgens Dennis de Geus, Managing Director bij Orange Cyberdefense Nederland, staan we op een kantelpunt. “Cyberdreigingen zijn niet langer alleen een technisch risico, maar een directe uitdaging voor onze samenleving. De Security Navigator laat zien dat criminelen, hacktivisten en staatgelieerde groepen elkaar steeds sneller vinden. Juist daarom is het nu tijd om over onze organisatiegrenzen heen te kijken. Nederland kan hierin vooropgaan door kennis te delen, sneller te signaleren en samen een digitaal schild op te bouwen dat sterker is dan de som der delen. Alleen met die collectieve veerkracht houden we onze economie en samenleving weerbaar.”

Over de Security Navigator
De Security Navigator 2026 is het jaarlijkse internationale onderzoeksrapport van Orange Cyberdefense. Het rapport combineert incidentdata, threat intelligence en OSINT met onderzoek naar criminologie, geopolitiek, AI en operationele technologie. De editie van 2026 is gebaseerd op de analyse van meer dan 139.000 incidenten.