Aanvallers organiseren zich als grote ondernemingen, zetten AI in voor deepfake-fraude en exploiteren op industriële schaal kwetsbaarheden. Dat blijkt uit het eerste dreigingsonderzoek van HPE Threat Labs, gebaseerd op 1.186 actieve aanvalscampagnes wereldwijd in 2025. Overheden, financiële instellingen en techbedrijven waren het vaakst doelwit. Voor IT-dienstverleners geeft het rapport concrete handvatten om klanten beter te beschermen.
HPE presenteert zijn eerste jaarlijkse dreigingsrapport, de ‘In the Wild Threat Report’, uitgevoerd door het nieuw opgerichte HPE Threat Labs. Het onderzoek analyseerde 1.186 actieve aanvalscampagnes wereldwijd over de periode januari tot en met december 2025. De conclusie: cybercriminaliteit heeft een industrieel karakter aangenomen, waarbij aanvallers gebruikmaken van hiërarchische structuren, gespecialiseerde teams en geautomatiseerde infrastructuur om aanvallen sneller en grootschaliger uit te voeren dan verdedigers kunnen bijbenen.
Overheden zwaarst getroffen
Volgens HPE was de overheid wereldwijd de meest aangevallen sector, goed voor 274 van de geregistreerde campagnes — verspreid over nationale, regionale en gemeentelijke overheidsorganen. De financiële sector volgde met 211 campagnes, gevolgd door de technologiesector met 179. HPE meldt dat aanvallers strategisch prioriteit geven aan sectoren die zijn verbonden met nationale infrastructuur, gevoelige data en economische stabiliteit. Defensie, maakindustrie, telecom, gezondheidszorg en onderwijs werden eveneens zwaar getroffen.
Tijdens de onderzoeksperiode werden meer dan 147.000 kwaadaardige domeinen ingezet, bijna 58.000 malwarebestanden verspreid en 549 kwetsbaarheden actief misbruikt. HPE stelt dat het professionele karakter van deze aanvallen ze voorspelbaarder maakt in uitvoering, maar tegelijk moeilijker te verstoren: het uitschakelen van één onderdeel van een operatie stopt zelden de bredere campagne.
AI ingezet voor deepfakes en stemfraude
Een opvallende bevinding is het gebruik van generatieve AI voor gerichte impersonatiefraude. HPE geeft aan dat aanvallers synthetische stemmen en deepfake-video’s inzetten voor zogeheten video-phishing (vishing) en fraude waarbij executives worden nagebootst. Sommige operaties maakten gebruik van geautomatiseerde workflows via platforms als Telegram om gestolen data in realtime door te sluizen. Een afpersingsgroep voerde daarnaast marktonderzoek uit naar VPN-kwetsbaarheden om de eigen inbraakstrategie te optimaliseren.
Mounir Hahad, hoofd van HPE Threat Labs, benadrukt dat het rapport gebaseerd is op daadwerkelijk waargenomen dreigingsactiviteit — geen theoretische laboratoriumscenario’s. Hahad stelt dat de bevindingen organisaties helpen detectie te verscherpen, verdedigingen te versterken en een realistisch beeld te krijgen van de dreigingen die hun infrastructuur en data het meest bedreigen.
Praktische stappen voor betere weerbaarheid
Het rapport bevat concrete aanbevelingen. HPE adviseert organisaties om dreigingsinformatie actief te delen tussen interne teams, klanten en sectoren, en een Secure Access Service Edge-aanpak (SASE) te hanteren om netwerk en beveiliging te verenigen. Veelgebruikte toegangspunten zoals VPN’s, SharePoint en edge-apparaten dienen regelmatig gepatcht te worden. Daarnaast raadt HPE aan zero trust-principes toe te passen, waarbij gebruikers en apparaten continu worden geverifieerd via Zero Trust Network Access (ZTNA). Uitgebreide zichtbaarheid via dreigingsinformatie, deceptietechnologie en AI-gedreven detectie moet de responstijd verkorten. Tot slot wijst HPE erop dat beveiliging zich moet uitstrekken tot thuisnetwerken, externe tools en toeleveringsketens.
HPE Threat Labs bundelt expertise van HPE en Juniper
HPE kondigt tegelijk de formele oprichting van HPE Threat Labs aan, dat de beveiligingsonderzoekscapaciteiten van HPE en Juniper Networks samenbrengt. David Hughes, SVP en GM SASE and Security for Networking bij HPE, geeft aan dat de combinatie van expertise en een uitgebreider databestand het mogelijk maakt om real-world dreigingen beter te identificeren en te vertalen naar detectie- en blokkeerfunctionaliteit in HPE-producten.
De bevindingen zijn gebaseerd op telemetrie van de Juniper Advanced Threat Prevention Cloud, een wereldwijd privaat netwerk van honeypots en open-source dreigingsinformatie. Het rapport is beschikbaar voor CISO’s, beveiligingsleiders en IT-beslissers. HPE presenteert de resultaten ook tijdens RSA Conference 2026, van 23 tot en met 26 maart, in stand 1255 in de South Hall van het Moscone Center in San Francisco.
