Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 09 maart 2026

Seedworm-malware uit Iran treft luchtvaart en financiële sector VS

Nieuwe dreigingsinformatie onthult dat de Iraanse statelijke groepering Seedworm (ook wel MuddyWater genoemd) sinds begin februari 2026 actief is op kritieke Amerikaanse en Israëlische netwerken. Met de oplopende geopolitieke spanningen in het Midden-Oosten waarschuwen experts voor een nieuwe golf van destructieve cyberaanvallen.

Cybercrime Malware Vs Iran Israel
Seedworm-malware uit Iran treft luchtvaart en financiële sector VS image

Terwijl de wereld toekijkt hoe het fysieke conflict tussen de VS, Israël en Iran intensiveert, vindt er in de digitale schaduw een minstens zo gevaarlijke operatie plaats. De Iraanse Advanced Persistent Threat (APT) groepering Seedworm is gespot op de netwerken van een Amerikaanse bank, een internationale luchthaven en een softwarebedrijf dat levert aan de defensiesector.

De aanval: Dindoor en Fakeset

In de recente campagnes zijn twee nieuwe malware-families ontdekt. De eerste, door onderzoekers Dindoor gedoopt, is een backdoor die gebruikmaakt van de Deno runtime (JavaScript/TypeScript) om detectie te omzeilen. Deze malware werd aangetroffen bij een Israëlisch filiaal van een Amerikaans softwarebedrijf en een Canadese non-profit.

De tweede dreiging is Fakeset, een in Python geschreven backdoor die werd aangetroffen op de systemen van een Amerikaanse luchthaven. Opvallend is het gebruik van legitiem lijkende certificaten op naam van "Amy Cherne" en "Donald Gay" om de malware als 'veilig' te markeren voor beveiligingssoftware.

Geopolitieke context

De timing van deze cyberactiviteit is niet toevallig. Na de luchtaanvallen op 28 februari 2026, waarbij de Iraanse Opperste Leider Ayatollah Ali Khamenei omkwam, is de bereidheid van Teheran om destructieve middelen in te zetten vergroot. Hoewel de internettoegang binnen Iran zelf verstoord is door militaire operaties, opereren Iraanse staatshackers vanuit infrastructuren in het buitenland en maken ze gebruik van Starlink-satellietverbindingen om online te blijven.

Wat organisaties kunnen verwachten

Historisch gezien hanteert Iran een 'hack-and-leak' strategie gecombineerd met destructieve wipers (software die harde schijven wist). Experts voorspellen de volgende stappen:

  1. DDoS-aanvallen: Grootschalige verstoringen van banken en overheidsportalen voor politieke signalering.
  2. Destructieve malware: Inzet van wipers zoals BibiWiper tegen vitale infrastructuur.
  3. Psyops: Het lekken van (soms gefabriceerde) gevoelige data van hooggeplaatste functionarissen om paniek te zaaien.

Hoe defensies zich moeten voorbereiden

Beheerders van kritieke infrastructuur moeten onmiddellijk actie ondernemen. De focus moet liggen op:

  • Netwerksegmentatie: Scheid Operationele Technologie (OT) strikt van het kantoornetwerk.
  • Identiteitsbeheer: Schakel legacy-authenticatie uit en implementeer phishing-resistente MFA.
  • Monitoring: Let op het gebruik van dual-use tools zoals Rclone, die vaak door Seedworm worden misbruikt voor data-exfiltratie naar cloud-buckets zoals Wasabi of Backblaze.

De geschiedenis leert dat Iran in tijden van escalatie niet schuwt om "boodschappen" te sturen via digitale vernietiging. Nu Seedworm al voet aan de grond heeft in vitale Amerikaanse sectoren, is de vraag niet of er een aanval volgt, maar wanneer de aanvallers besluiten de trekker over te halen.

ESET Cyber Defense Summit 2026 Dutch IT Security Day 2026 BW + BN

Dutch IT events

Event icon

Event

Eurofiber You're on Stage Academy 2025

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events
ESET Cyber Defense Summit 2026