De Belgische Staatsveiligheid (VSSE) is getroffen door een cyberincident. Via kwetsbaarheden in software van Ivanti kregen aanvallers toegang tot persoonsgegevens van medewerkers van de inlichtingendienst.
Volgens RTBF bleven geclassificeerde gegevens buiten bereik, maar de blootstelling van contactinformatie roept vragen op over de operationele veiligheid van de dienst.
De aanval vond plaats tussen mei 2025 en het voorjaar van 2026. Daarbij maakten aanvallers misbruik van beveiligingslekken in Ivanti Endpoint Manager Mobile (EPMM), software voor het beheer en de beveiliging van mobiele apparaten. De Staatsveiligheid gebruikt het platform om diensttelefoons te beheren en toegangsrechten te regelen.
Uit intern onderzoek bleek dat aanvallers toegang kregen tot gegevens van medewerkers, waaronder namen, telefoonnummers en e-mailadressen. Mogelijk zijn ook gegevens van externe contacten geraakt. Volgens Ivanti konden via de kwetsbaarheden eveneens toestelidentificaties en gps-gegevens worden buitgemaakt.
Onderdeel van bredere campagne
Volgens bronnen rond het onderzoek hebben de aanvallers geen toegang gekregen tot interne systemen waarop vertrouwelijke en geheime informatie wordt verwerkt. Toch kunnen de buitgemaakte gegevens waardevol zijn. Metadata zoals telefoonnummers, e-mailadressen en locatiegegevens kunnen helpen bij het in kaart brengen van organisatiestructuren en werkrelaties.
De kwetsbaarheden in Ivanti EPMM worden al langer actief misbruikt. De Amerikaanse cyberautoriteit CISA waarschuwde eerder dat aanvallers de lekken gebruikten om gegevens te verzamelen en weg te sluizen.
Het incident staat bovendien niet op zichzelf. Dezelfde kwetsbaarheden werden eerder in verband gebracht met beveiligingsincidenten bij onder meer de Europese Commissie, de Nederlandse Rechtspraak, de Autoriteit Persoonsgegevens en de Dienst Justitiële Inrichtingen. Daarmee lijkt de aanval op de Belgische Staatsveiligheid onderdeel van een bredere campagne tegen organisaties die gebruikmaakten van Ivanti’s mobiele beheerplatform.
Sommige beveiligingsbedrijven koppelen deze aanvallen aan UNC5221, een cyberspionagegroep die banden zou hebben met China. Voor de aanval op de Belgische Staatsveiligheid is echter geen formele attributie vastgesteld.
Niet het eerste incident
De kwetsbaarheden in Ivanti EPMM zijn inmiddels verholpen. Onbekend is hoe lang de aanvallers toegang hadden voordat het incident werd ontdekt. De Staatsveiligheid heeft geen inhoudelijke reactie gegeven.
Het is bovendien niet de eerste keer dat de Belgische inlichtingendienst wordt getroffen. Tussen 2021 en 2023 maakten aanvallers misbruik van een kwetsbaarheid in software van Barracuda, waardoor volgens Belgische media ongeveer tien procent van het e-mailverkeer via een externe server kon worden onderschept. Ook toen bleven geclassificeerde gegevens buiten bereik, maar werden wel persoonsgegevens blootgesteld. Hoewel beide aanvallen overeenkomsten vertonen, is geen verband tussen de incidenten vastgesteld.