Dit zijn de top 10 cyberbenden van 2026 volgens Group-IB

De ranglijst is gebaseerd op het High-Tech Crime Trend Report 2026 van Group-IB. Analisten baseren zich op meer dan 1.550 praktijkonderzoeken en intensieve monitoring van het criminele ondergrondse netwerk. Zij zagen een structurele verschuiving in hoe cyberaanvallen worden opgezet: aanvallers richten zich niet langer rechtstreeks op één slachtoffer, maar nestelen zich in de vertrouwde IT-infrastructuur en ecosystemen van toeleveranciers. Hierdoor kunnen zij met één enkele inbreuk in recordtempo complete sectoren tegelijkertijd platleggen.

De top 10 is samengesteld op basis van een strenge methodologie waarbij groepen worden beoordeeld op zes aspecten: financiële impact, aantal slachtoffers, het dreigingsvolume tijdens hun bestaan, technische innovatie, de groei van het aantal aangesloten criminelen (affiliates) en hun beruchtmaking.

De Top 10 Masked Actors van 2026

1. Scattered Spider
Deze decentrale cybercriminele gemeenschap steeg naar wereldwijde beruchtheid door meesterlijke social engineering te combineren met een ongekende operationele schaal. Met een enkele aanvalsketen wist de groep in 2025 meer dan 130 organisaties in de technologiesector tegelijk te raken. Dit bewijst hoe een losvast netwerk van criminelen een domino-effect in de toeleveringsketen teweeg kan brengen dat de impact van traditionele georganiseerde misdaad evenaart.

2. Lazarus
Deze hoogwaardige, door een natiestaat gesteunde groepering combineert cyberspionage met grootschalige financiële criminaliteit. Lazarus staat in de top voornamelijk vanwege de gigantische financiële schade die zij aanricht: de groep is inmiddels verantwoordelijk voor meer dan 6,5 miljard dollar aan gestolen cryptovaluta, waarvan ruim 2,02 billion dollar alleen al in 2025 werd buitgemaakt.

3. MuddyWater
Een eveneens aan een staat gelieerde cyberspionagegroep die zich richt op overheden, financiële instellingen en de logistieke sector in 113 landen. De groep valt op door haar moordende operationele tempo: tussen oktober 2025 en maart 2026 lanceerde MuddyWater maar liefst drie nieuwe malwarevarianten, wat de enorme snelheid van moderne ontwikkelyclussen aan de aanvalskant laat zien.

4. Tycoon 2FA
De absolute marktleider op het gebied van Phishing-as-a-Service (PhaaS). Tycoon 2FA heeft maar liefst 89% van de zogeheten Adversary-in-the-Middle PhaaS-markt in handen. Via een SaaS-abonnementsmodel hebben zij de diefstal van zakelijke inloggegevens op grote schaal gecommercialiseerd. Hierdoor kunnen duizenden minder technisch onderlegde criminelen wereldwijd cloudomgevingen aanvallen.

5. GoldFactory
Deze technisch geavanceerde groep werd in 2024 door Group-IB ontdekt en bezit een unieke vaardigheid: het stelen van biometrische gegevens om gezichtsherkenning bij mobiel bankieren te omzeilen. De groep voert momenteel zo'n 15 besmettingen per dag uit en breidt haar werkgebied vanuit Azië-Pacific nu uit naar Spaanstalige regio's.

6. TX-NFC
Een commercieel platform dat contactloze betaalsystemen emuleert op de apparaten van oplichters. De software wordt aangeboden via abonnementen die variëren van 45 dollar per dag tot 1.050 dollar per drie maanden. Nu contactloos betalen wereldwijd de norm is, groeit het aanvalsoppervlak van TX-NFC mee. De groep is inmiddels actief binnen Engels- en Russischtalige criminele netwerken.

7. Shadow Silk
Deze financieel gedreven groep is gespecialiseerd in obfuscatie (het onleesbaar maken van code) en langdurige spionage. Shadow Silk slaagde erin om meer dan twaalf maanden onopgemerkt te blijven binnen vitale infrastructuren en overheidsinstanties in meerdere regio's. Deze capaciteit om onzichtbaar te blijven in hoogwaardige netwerken maakt hen een van de meest volwassen spelers op de lijst.

8. Bloody Wolf
Een hardnekkige dreigingsgroep die langdurige toegang en surveillance verkiest boven direct financieel gewin. Bloody Wolf is hoofdzakelijk actief in Centraal-Azië en richt zich op overheidsorganisaties. Ze maken gebruik van geo-fencing om hun malware heel gericht en onder de radar te verspreiden, een tactiek die vaak duidt op strategische spionage en het verzamelen van inlichtingen.

9. Teste PHP
In minder dan een jaar tijd heeft Teste PHP een omvangrijk crimineel netwerk opgebouwd in vijf Spaanstalige landen. De groep gebruikt kwaadaardige browserextensies die in real-time en geruisloos inloggegevens stelen. Hun snelle geografische groei illustreert hoe snel nieuwe cybercriminele operaties in het huidige ecosysteem kunnen opschalen.

10. DarkBlinders
Deze opkomende groep richt zich op de luchtvaart- en telecomsector in het Midden-Oosten en scoort het hoogst op het gebied van tactische evolutie. DarkBlinders hanteert geen statisch handboek, maar monitort continu of hun eigen malware wordt ontdekt. Zodra dat gebeurt, passen ze hun tactieken en procedures direct aan om beveiligingsscanners te omzeilen, wat hen extreem wendbaar maakt.

Commercialisering van de cybermisdaad

"De toeleveringsketen is de krachtigste vermenigvuldigingsfactor voor cybercrime geworden", verklaart Dmitry Volkov, CEO van Group-IB. "Aanvallers nestelen zich in vertrouwde infrastructuren om hele sectoren tegelijk te raken. Tegelijkertijd zorgt de commercialisering van de aanvalsinfrastructuur – zoals phishing-platformen met een marktaandeel van 89 procent of NFC-fraude via abonnementen – ervoor dat de kloof tussen geavanceerde en minder technisch onderlegde criminelen razendsnel dichtgaat. Verdedigers moeten zich daarom focussen op de specifieke vijand: we moeten met behulp van AI-gestuurde intelligentie gaan voorspellen wat ze nú gaan doen, in plaats van alleen te analyseren wat ze vorig kwartaal deden."

De data achter deze top 10 is mede verkregen door de nauwe samenwerking van Group-IB met internationale opsporingsdiensten zoals INTERPOL, Europol en AFRIPOL. Dit operationele partnership heeft direct geleid tot de arrestatie en vervolging van cybercriminelen wereldwijd.