De geavanceerde cyberaanval op Citrix-systemen trof in Nederland meerdere kritieke organisaties, naast het eerder bekende slachtoffer, het Openbaar Ministerie (OM). Dat meldt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. De aanvallers maakten gebruik van een tot dan toe onbekende kwetsbaarheid in Citrix NetScaler, een zogenoemde zero-day, en wisten na binnendringen actief sporen te wissen om ontdekking te voorkomen.

De kwetsbaarheid, geregistreerd als CVE-2025-6543, werd sinds begin mei misbruikt, ruim voordat Citrix op 25 juni een patch publiceerde. Het gaat volgens het NCSC om een ‘geraffineerde aanval’ van één of meerdere actoren met een hoge mate van technische expertise. Hoewel Citrix updates beschikbaar heeft gesteld, waarschuwt het NCSC dat patchen alleen onvoldoende is: kwaadwillenden die al toegang hebben verkregen, kunnen die behouden, ook na het dichten van het lek.

Thuiswerken

De hack trof systemen die gebruikmaken van Citrix NetScaler ADC en NetScaler Gateway, technologie die veel organisaties inzetten voor veilige en betrouwbare toegang tot applicaties en bedrijfsomgevingen, onder meer om thuiswerken mogelijk te maken. Forensisch onderzoek wijst uit dat bij meerdere Nederlandse organisaties, maar ook in het buitenland, Citrix-apparaten kwetsbaar waren voor drie recente beveiligingslekken. Niet alle kwetsbare systemen zijn daadwerkelijk misbruikt, maar bij een deel werden wel kwaadaardige webshells aangetroffen, waarmee aanvallers op afstand toegang kunnen behouden.

Niet duidelijk wie getroffen is

Het OM koppelde vorige maand uit voorzorg alle interne systemen los van het internet, na een waarschuwing van het NCSC. Medewerkers konden daardoor tijdelijk alleen op kantoor werken en waren per e-mail niet bereikbaar. Noodzakelijke stukken voor strafzaken werden uitgeprint om vertraging te voorkomen.
Het NCSC benadrukt dat nog onduidelijk is welke organisaties precies zijn gecompromitteerd, of de aanvallers nog actief zijn en wat de volledige impact is. Het onderzoek loopt door, maar sommige vragen zullen mogelijk onbeantwoord blijven. Wel roept het cybercentrum organisaties op om hun digitale weerbaarheid te verhogen door zogenoemde ‘defense-in-depth’-maatregelen te nemen, waarbij meerdere beveiligingslagen worden toegepast.
Sinds het lek aan het licht kwam, werkt het NCSC samen met getroffen organisaties, incidentresponsteams en partners in de veiligheidsketen om nieuwe sporen van de aanval te identificeren. Door deze informatie te delen, ontstaat geleidelijk een beter beeld van de omvang en ernst van de aanval, zodat gerichter kan worden gereageerd.