De klassieke afbeelding van een cyberaanval —een indringer die een systeemdeur doorbreekt— raakt verouderd. Volgens het Eerste Threat Intel Report 2026 gepubliceerd door Cloudflare veranderen statelijke actoren en cybercriminelen van strategie: in plaats van brute force via exploits te gebruiken, zoeken ze naar manieren om “aan te melden”. Met andere woorden, zich voordoen als legitieme gebruikers, geruisloos door bedrijfsapplicaties bewegen en identiteit gebruiken als het nieuwe aanvalspunt.
Het rapport, opgesteld door het onderzoeksteam Cloudforce One en ondersteund door het wereldwijde netwerk van Cloudflare, schetst een herconfiguratie van moderne cyberaanvallen: recordhoogte DDoS-aanvallen, intensief gebruik van taalmodellen (LLM) om exploitatie en reconnaissance te versnellen, en een toenemende afhankelijkheid van traditionele kwetsbaarheden — vooral e-mail — om inloggegevens te verkrijgen en blijvende toegang te waarborgen.
Om de omvang van het probleem te illustreren, levert Cloudflare een cijfer dat de schaal van deze onzichtbare oorlog samenvat: het bedrijf blokkeert gemiddeld 230 miljard bedreigingen per dag. De kernverandering is niet alleen kwantitatief, maar ook kwalitatief: met AI wordt de toegangsbarrière verlaagd, waardoor aanvallers zich “sneller dan ooit” bewegen, en verdediging niet meer alleen bestaat uit het opwerpen van muren, maar uit continu bewijzen dat degenen binnen degene zijn die ze beweren te zijn.
AI als krachtvermenigvuldiger: minder technische vaardigheid, groter bereik
Een van de meest verontrustende bevindingen in het rapport is hoe aanvallers LLM inzetten om taken te industrialiseren die vroeger gespecialiseerde vaardigheden vereisten: netwerken in realtime in kaart brengen, exploits ontwikkelen, hyperrealistische deepfakes genereren en in het algemeen de volledige aanvalscyclus versnellen.
Cloudflare beschrijft een geval dat door Cloudforce One is vastgesteld, waarbij een actor AI gebruikte om de locatie van waardevolle data te identificeren en vervolgens honderden bedrijfsomgevingen te compromitteren in SaaS-applicaties met meerdere huurders. Het resultaat was volgens het bedrijf een van de “meest impactvolle” aanvallen op de toeleveringsketen tot nu toe. Los van technische details, is de les duidelijk: AI maakt geavanceerde aanvallen toegankelijker en schaalbaarder.
China: van massale aanvallen naar precisie-missie
Het rapport wijst ook op een patroonverschuiving bij actoren verbonden aan China. In plaats van ongerichte campagnes, richt groepen zoals Salt Typhoon en Linen Typhoon zich nu op strategisch belangrijkere doelen: telecoms in Noord-Amerika, overheidsorganen en IT-diensten.
De sleutel hier is het “voorkeursmatig persistent positionaliseren”: componenten binnen de netwerken van tegenstanders plaatsen om toekomstige acties mogelijk te maken — een tactiek die zich beweegt op het snijvlak van spionage en operationele voorbereiding. Wanneer deze logica wordt toegepast op telecommunicatie, wordt het risico niet alleen in het stelen van informatie, maar ook in een potentiële bedreiging voor kritieke infrastructuur en essentiële diensten.
Noord-Korea: het “ontvoeren” van bedrijfsidentiteiten van binnenuit
Als de gedachte dat je “in te loggen” al verontrustend was, beschrijft het rapport een nog evoluerendere situatie: operaties gekoppeld aan Noord-Korea zouden door AI gegenereerde deepfakes en frauduleuze identificaties gebruiken om binnen te dringen in wervingsprocessen van westerse bedrijven en zo binnen te komen op bedrijfsalarijen.
Volgens Cloudflare wordt deze techniek ondersteund door zelfs “laptopfarmen” in de Verenigde Staten, bedoeld om de werkelijke locatie van de daders te verhullen. De praktische impact is enorme: de aanvaller hoeft geen perimeter te doorbreken; als hij wordt aangenomen, kan hij met echte inloggegevens binnen organisaties opereren als een volwaardig werknemer.
Deze dreiging dwingt organisaties om traditionele controles, zoals HR-validatie en identiteitsverificatie, opnieuw te overwegen: sterke authenticatie, aanwezigheid verificatie en monitoring van afwijkend gedrag vanaf dag één.
Onmenselijke DDoS: wanneer handmatige respons niet meer volstaat
Het rapport geeft ook een duidelijke waarschuwing over de meest zichtbare aanvalsvector: denial-of-service (DDoS). Cloudflare meldt dat DDoS-aanvallen nu een schaal bereiken die de menselijke responscapaciteit overstijgt. Botnets zoals Aisuru zouden geëvolueerd zijn tot statelijke dreigingen en recordaanvallen van 31,4 Tbps melden.
In zo’n scenario kan verdediging niet meer voortbouwen op handmatige escalaties of ad-hocmitigaties. De conclusie luidt dat organisaties bij dergelijke magnitudes zelfondersteunende, autonome verdedigingen nodig hebben, inclusief real-time telemetrie en geautomatiseerde responses.
“De beveiliging is niet meer alleen het buiten houden van vreemden”
Het nieuwe paradigma dat Cloudflare schetst, kan samengevat worden in één zin: het doel is niet alleen om inbreuk te voorkomen, maar identiteit te beschermen tegen impersonatie. Wanneer aanvallers “Inloggen”, worden traditionele alarmen mogelijk niet geactiveerd. Het rapport benadrukt daarom het belang van toegankelijke, bruikbare threat intelligence en het dichten van gaten die ontstaan door gefragmenteerde signalen.
Matthew Prince, CEO van Cloudflare, stelt dat aanvallers “beter gedijen” wanneer threat intelligence achterhaald of incompleet is, en argumenteert dat het delen van die informatie “de voorsprong teruggeeft” aan verdedigers. Blake Darché, threat intelligence lead bij Cloudforce One, vat het scherp samen: of je leidt op basis van realtime intelligentie, of je blijft altijd achter de feiten aanlopen.
Samenvatting van de belangrijkste bevindingen uit het rapport
| Trend | Wat gebeurt er | Waarom het belangrijk is |
|---|---|---|
| AI in aanvallen | LLM voor reconnaissance, exploits en deepfakes | Verlaagt barrières en versnelt campagnes |
| China (Salt Typhoon, Linen Typhoon) | Van volume naar precisie; focus op telecom en overheid | Meer strategisch en gevaar voor kritieke infrastructuur |
| Noord-Korea | Deepfakes en “laptop farms” om binnen te komen | De aanvaller komt ‘aan boord’ als werknemer |
| Extreme DDoS | Pieken van 31,4 Tbps; botnets zoals Aisuru | Handmatige mitigatie niet schaalbaar |
| Tactische verschuiving | Van “inbraak” naar “aanmelden” | Identiteit wordt het nieuwe perimeter |
Concluderend schetst Threat Intel Report 2026 een beeld van cybersecurity waar het perimeter verdwijnt en identiteit de nieuwe battleground wordt. Het brengt ook een onaangename gedachte naar voren: wanneer aanvallers al “binnen” zijn met geldige inloggegevens, draait verdediging minder om muren en meer om continue verificatie, telemetrie en geautomatiseerde bewaking.
Veelgestelde vragen
Wat betekent het dat aanvallers overstappen van “inbraak” naar “inloggen”?
Ze geven prioriteit aan toegang met echte of gespoofde inloggegevens (via phishing, fraude of infiltratie) om zich als legitieme gebruikers te gedragen en klassieke detectie te vermijden.
Hoe beïnvloedt AI de cyberbeveiliging volgens Cloudflare?
Cloudflare bevestigt dat aanvallers LLM gebruiken om netwerken in kaart te brengen, exploits te ontwikkelen en deepfakes te maken, waardoor het niveau van technische drempels voor geavanceerde aanvallen wordt verlaagd.
Wat is een “laptop farm” en waarom wordt het in verband gebracht met fraude op de werkplek?
Volgens het rapport worden zelfs “laptopfarmen” in de VS gebruikt om de werkelijke locatie van daders te verhullen, die via valse identiteit bedrijven willen binnendringen.
Hoe bescherm je een bedrijf tegen DDoS-aanvallen van meer dan 30 Tbps?
Het rapport adviseert dat op die schaal je autonome, geautomatiseerde verdedigingen nodig hebt met realtime mitigatie, omdat menselijke respons te traag is om bij te blijven.