Nederlandse politie haalt servers offline van botnet met 17 miljoen apparaten

De Nederlandse politie en het Nationaal Cyber Security Centrum hebben een 'groot botnet' offline gehaald. Het NCSC vond de tweehonderd hostingservers, waarna de politie een deel hiervan in beslag nam. Het botnet bestond uit minstens 17 miljoen besmette apparaten.

Die tweehonderd servers werden gebruikt om de infrastructuur achter het botnet te hosten en stonden in Nederland, schrijft het NCSC. De politie heeft 'meerdere' servers in beslag genomen om verder onderzoek te kunnen doen. De hostingprovider heeft het botnet inmiddels ook offline gehaald. Die provider en het botnet worden niet door de politie of het NCSC genoemd.

Het botnet bestond onder meer uit computers, tablets en smartphones, en werd gebruikt voor 'criminele doeleinden'. Het is niet duidelijk waar dit specifieke botnet voor werd gebruikt, maar het zou om bijvoorbeeld spam- en phishingmails kunnen gaan, of andere vormen van online fraude, of voor ddos-aanvallen. Het NCSC adviseert gebruikers om apparaten en software up-to-date te houden om te voorkomen dat ze misbruikt worden voor een botnet.

Cloud/servers. Bron: Jason Marz/Moment/Getty Images — Dit zijn niet de servers die in het artikel worden genoemd. Bron: Jason Marz/Moment/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Hayte Hugo

Redacteur

Feedback • 28-05-2026 13:54
48 • submitter: luuj

28-05-2026 • 13:54

Submitter: luuj

Lees meer

Autoriteiten halen servers en domeinen van vier grote ddos-botnets offline

Autoriteiten halen servers en domeinen van vier grote ddos-botnets offline Nieuws van 20 maart 2026

Nederlandse politie neemt 250 servers in beslag van bulletproof hoster

Nederlandse politie neemt 250 servers in beslag van bulletproof hoster Nieuws van 14 november 2025

Internationale politiediensten halen infrastructuur achter infostealers offline

Internationale politiediensten halen infrastructuur achter infostealers offline Nieuws van 13 november 2025

Rijksoverheid start opnieuw voorlichtingscampagne voor updaten van iot-apparaten

Rijksoverheid start opnieuw voorlichtingscampagne voor updaten van iot-apparaten Nieuws van 6 oktober 2025

ASUS: verwijderen van recente botnetmalware vereist fabrieksreset

ASUS: verwijderen van recente botnetmalware vereist fabrieksreset Nieuws van 4 juni 2025

Politie haalt meer dan 300 botnets offline in strijd tegen ransomware

Politie haalt meer dan 300 botnets offline in strijd tegen ransomware Nieuws van 23 mei 2025

Politie haalt 127 'bulletproof' hostingservers offline bij inval in Amsterdam

Politie haalt 127 'bulletproof' hostingservers offline bij inval in Amsterdam Nieuws van 13 februari 2025

Duitse politie haalt criminele online marktplaats uit de lucht

Duitse politie haalt criminele online marktplaats uit de lucht Nieuws van 5 december 2024

FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet

FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet Nieuws van 14 november 2024

Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet

Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet Nieuws van 18 september 2024

Miljoenen computers wereldwijd in botnet beland via malafide vpn-apps

Miljoenen computers wereldwijd in botnet beland via malafide vpn-apps Nieuws van 30 mei 2024

Politie haalt meerdere botnets gebruikt bij ransomwareaanvallen offline

Politie haalt meerdere botnets gebruikt bij ransomwareaanvallen offline Nieuws van 30 mei 2024

Meer producten en artikelen

Beveiliging en antivirus Botnetwerk NCSC Politie

Reacties (48)

48

48

29

3

0

14

Wijzig sortering

NLxDoDge 28 mei 2026 14:30

Ik zelf host ook wat dingen zoals Jellyfin, en die staan via SSL ook op het internet, maar ik kregen in mijn verbazing ook een e-mail van NCSC dat er een grote lek in de C# versie van een paar apps zat waarmee je zo root kon krijgen.

Nu draai ik alles in containers, dus ben ik daar niet heel bang voor. Maar toch was het wel een appart gevoel om van hun een e-mail te krijgen. Maar het is een goeie partij!

DUX @NLxDoDge • 28 mei 2026 19:20

Je draait Jellyfin in een container, maar staan je videobestanden ook in die container of daarbuiten? En indien het laatste: heeft Jellyfin schrijfrechten op die externe map? Zo ja, dan kan op die manier via roottoegang in je Jellyfin-container toch een ander systeem (en mogelijk andere systemen) benaderd en besmet worden.

NLxDoDge @DUX • 29 mei 2026 09:07

Klopt ja, ik heb twee externe schijven waar de jellyfin user alleen rechten op heeft. En alle ander containers die daar iets moeten neerzetten etc.

Kan je hier überhaupt wat tegen doen? Ik ben niet echt thuis in networking en security, meer development en dan dit als hobby erbij. Ik had al fail2ban geïnstalleerd en uiteindelijk maar weer poort 21 dichtgezet. Ik draai wel alles via Traefik met SSL via een domein en heb overal user login aangezet. Maar anders dan dat, niet echt iets.

DUX @NLxDoDge • 29 mei 2026 11:15

Poorten dichtzetten die je niet gebruikt is inderdaad één stap (poort 21 is onbeveiligde FTP trouwens, misschien doelde je poort 22 voor SSH/Telnet?). Maar de benadering andersom is beter: alles dicht en alleen poorten open hebben die je wél nodig hebt op zowel de container als de hostmachine.

Geen van de oplossingen zal heilig zijn voor alle toekomstige aanvallen, maar specifiek voor het issue uit het nieuwsbericht zou je dus je mediafiles binnen je container kunnen plaatsen óf je jellyfin-user uitsluitend leesrechten geven op (enkel de map met) de mediafiles buiten je container. Dan moet je je mediaverrijking via andere middelen moeten doen of je Jellyfin heel even schrijfrechten moeten geven wanneer je die refresh doet om die daarna weer af te nemen (alleen ben je dan dus kwetsbaar tijdens die periode).

Aanvullende maatregelen kun je hier en daar lezen in andere comments onder dit nieuwsbericht, zoals het via een eigen DNS weren van bepaalde datastromen richting onvertrouwde locaties.

satya @NLxDoDge • 28 mei 2026 14:42

Ik los dat op door in die omgeving ook Aduard te draaien icm een veilige externe DNS en in Adgeard diverse lijsten toe te voegen zoals die van Hegezi. Verkeer naar bekende C&C servers en anders die behoorlijk bekend zijn wordt dan geblokkeerd. De DNS oproepen gaan dan eerst allemaal via Adguard.

In de tweede laag doe i dat nog een keer voor alles binnen met de gratis maar goede Sophos firewall.

NitroZ @NLxDoDge • 28 mei 2026 19:02

Nooit geweten dat ze zich ook met normale particulieren zo bezig hielden.

Het gewaarschuwd hiervoor worden lijkt me ontzettend fijn!

Q 28 mei 2026 14:07

Wat ik zou willen weten, wat doet de politie met die 17 miljoen besmette apparaten?

Worden die dingen 'netjes van malware ontdaan en gepatched' of worden die binnen 6 minuten weer overgenomen door dezelfde organisatie op nieuwe servers?

oef! @Q • 28 mei 2026 14:18

De hostingprovider heeft het botnet inmiddels ook offline gehaald.

De command en control server is waarschijnlijk down dus tenzij de malware geavanceerd is en buiten die C&C om kan communiceren is het nu dode malware.

@oef! • 28 mei 2026 15:32

Ik ben geen malware ontwikkelaar of security specialist, maar in theorie zou je naast de C&C servers ook alternatieve server adressen kunnen instellen in de malware zodat bij het down brengen van de default C&C servers naar een alternatieve server wordt gekeken. Failover voor C&C. Lijkt me niet heel ingewikkeld om te regelen in je malware en dan kan je inderdaad de geïnfecteerde devices weer opnemen in je failover C&C server.

oef! @david-v • 28 mei 2026 15:35

Alles kan. Het ding is dat de politie/ncsc ook beschikt over deze malware, ze kunnen het gedrag gewoon in de gaten houden op een afgeschermd systeem of de boel decompilen. Wordt er verbinding gelegd met een ander IP dan gaat ook die server down.

@oef! • 28 mei 2026 15:37

Hebben ze dan ook de client malware code? Ik lees dat niet in dit artikel. Bron artikel niet geraadpleegd

oef! @david-v • 28 mei 2026 15:47

Dat lijkt me voor de hand liggen met 17 miljoen geinfecteerde devices. Doorgaans vind je eerst de malware en vervolgens de command en control server.

@oef! • 28 mei 2026 17:45

Zo vanzelfsprekend is het voor mij niet, maar misschien komt dat door mijn beperkte kennis hiermee. Dit artikel en de bron heeft het over de C&C servers die na een melding van een beveiligingsonderzoeker door de politie in beslag is genomen.

oef! @david-v • 28 mei 2026 18:10

Het is onderdeel van mijn werk

@oef! • 28 mei 2026 18:20

Ah, dan bij deze bedankt voor de uitleg. Alternatieve C&C als failover is dan niet echt een optie

[Reactie gewijzigd door david-v op 28 mei 2026 19:18]

Erwin1967 @oef! • 28 mei 2026 20:23

Dat hangt er vanaf of ze fysiek bij de server kunnen komen. Ongetwijfeld zijn er meerdere C&C servers die met elkaar en via de clients in verbinding staan. Goed geprogrammeerd is het netwerk erg moeilijk uit te schakelen. Juist de grote aantallen clients vormt een groot probleem omdat elk zich mogelijk als C&C kan gedragen, actief of slapend. Technisch gezien wel een interessant probleem.

ProxyDaily @david-v • 28 mei 2026 17:52

Dat trucje kun je zelfs (bijna) oneindig vaak uitvoeren door gebruik van Domain Generation Algorithms.

SPee @david-v • 29 mei 2026 14:25

Precies.
Daarom hoop ik ook dat ze via de malware een script kunnen uitvoeren dat de malware verwijderd. Dan is die helemaal weg.

cricque @oef! • 28 mei 2026 20:13

Die bots hebben vast alternatieven staan, het zou echt wel heel dom zijn als je een "geavanceerd" botnet bezit, je geen backups hebt voorzien voor dit specifiek geval. Als je zoiets kan opzetten dan ben je toch echt wel niet dom en die computers zullen nu gewoon naar andere servers luisteren.

Enja de politie kan dit ook gerust hebben, maar dan nog, zet ze in een paar landen en dan moet A wel X contacteren en die moeten een onderzoek starten etc. En er zijn zat landen die ook eens lachen als jij komt melden "hey in jouw land draait een serieus botnet" ... Dus deze computers zullen geïnfecteerd blijven

De enige manier dat er een echte stop is, als ze geen backups voorzien hebben. En als ze backup servers hebben in andere landen, dan moeten de server in alle landen tegelijkertijd aangepakt worden. En als je de backups onder serieuze encryptie zet, tsja dan duurt het wat langer. Maar die malware zal gewoon rustig blijven verder leven en naar een nieuwe server gaan.

Tenzij de politie er in slaagt om de server zo aan te passen dat het zichzelf zou verwijderen of gewoon stopt.
Dat is ook nog een optie. Maar als je 17 miljoen pc's kan infecteren, heb je toch echt wel gedacht aan een paar backups, ik kan zo een paar dingen bedenken zodat het onmogelijk zou worden om de server over te nemen en mijn eigen applicatie te laten verwijderen

[Reactie gewijzigd door cricque op 28 mei 2026 20:15]

Awesomehobo @Q • 28 mei 2026 14:32

Niets. Dat zullen 17 miljoen willekeurige apparaten zijn versprijd over de hele wereld.
Daar kan de Nederlandse Politie / NCSC niets aan doen, en dat moeten ze ook helemaal niet willen.

Het rechtsgebied van de Politie / NCSC is Nederland, en daar handhaven ze door de betreffende hosts offline te halen. Ze hebben dus enkel (fysiek) toegang tot / acties uitgevoerd op die 200 servers, niet die 17 miljoen geinfecteerde apparaten.

Daarbuiten kan er enkel geadviseerd worden richting de burgers in Nederland, en dat doen ze middels het artikel van NCSC:

quote: https://www.ncsc.nl/nieuw...egt-groot-botnetwerk-plat
Hoe wordt een apparaat onderdeel van een botnet?

Apparaten kunnen onderdeel worden van een botnet wanneer ze benaderbaar zijn voor kwaadwillenden. Na het binnendringen kan men malware plaatsen waarmee het apparaat op afstand bedienbaar wordt. Zo kan een apparaat onderdeel worden van een netwerk dat cybercriminele activiteiten uitvoert. Om te voorkomen dat jouw apparaten misbruikt worden, kun je een aantal maatregelen nemen:

Houd je besturingssysteem, router en apps altijd up-to-date zodat bekende beveiligingslekken worden gedicht. Zorg dus voor goede patchmanagement en update op tijd.

Heb zicht op je edge devices. Dit betekent dat je weet welke slimme apparaten op jouw netwerk zitten.

Gebruik sterke, unieke wachtwoorden en zet waar mogelijk tweefactorauthenticatie aan.

Installeer alleen software en apps uit betrouwbare bronnen en klik niet zomaar op verdachte links of bijlagen.

Beveilig je wifinetwerk met WPA2 of WPA3 en verander de standaardwachtwoorden van slimme apparaten en routers direct.

Gebruik antivirus- of beveiligingssoftware en controleer regelmatig welke apparaten met je netwerk verbonden zijn.

[Reactie gewijzigd door Awesomehobo op 28 mei 2026 14:35]

The Realone @Awesomehobo • 28 mei 2026 15:47

Dat is wel erg stellig. Er zijn legio voorbeelden van het overnemen van botnts om vervolgens diezelfde C&C infrastructuur te gebruiken om clients op te schonen. Of het opschonen bestaat uit het volledig verwijderen van de malware of slechts het uitschakelen ervan hangt af van de situatie, maar het is zeker niet zo dat het helemaal nooit gedaan wordt.

ewoutw @Q • 28 mei 2026 15:46

Naast de servers hebben ze waarschijnlijk ook het domein in handen gekregen. Deze wordt verder ontdaan van zijn records en dus kunnen de besmette clients nooit meer in contact komen met een C&C server. Maar die apparaten zijn wel nog steeds besmet. Ik begrijp uit het artikel dat het om een hele hoop verschillende apparaten gaat. Moeten ze ook veel code voor schrijven.

kdekker @Q • 28 mei 2026 14:30

Waarschijnlijk net zoals met alle in beslag genomen apparaten. Komen volgens mij bij dienst Domeinen uit, als allerlei wettelijke borgen doorlopen zijn en de oorspronkelijke eigenaren er geen recht meer op hebben. Daar moet dan volgens mij wel eerst een uitspraak van de rechter aan ten grondslag liggen.

Maar beter nog: zoek het zelf op. Mijn eerste niet-AI hit was: https://www.politie.nl/informatie/uw-spullen-zijn-in-beslag-genomen.-wat-gebeurt-er-mee.html.

En het is maar de vraag of de besmette aparaten een relatie hebben tussen 'besmetter' en 'eigenaar'. Als de besmetting kwaadwillig was, is de 'besmetter' waarschijnlijk geen 'eigenaar'.

[Reactie gewijzigd door kdekker op 28 mei 2026 14:32]

Arnoud Engelfriet

Politie

@kdekker • 28 mei 2026 14:35

Ze hebben toch niet 17 miljoen apparaten fysiek ingeladen en naar het bureau gebracht? De inbeslagname gaat over de servers, niet de besmette clients.

In 2021 deed men een update bij Emotet-slachtoffers, maar het was daar toevallig makkelijk die software uit te schakelen. Ik ken geen berichten dat dit vaker gebeurt.

@Arnoud Engelfriet • 28 mei 2026 15:22

Slachtoffernotificatie kan een enorme klus worden als dat serieus wordt opgepakt.

kdekker @Arnoud Engelfriet • 28 mei 2026 16:09

Ik had het ook niet over 17 miljoen apparaten. Dat zou me ook een onpraktische rij vrachtauto's wezen, maar ik ggaf een antwoord op de vraag van @Q wat doen ze met die apparaten (uit het artikel: De politie heeft 'meerdere' servers in beslag genomen).

En dan is mijn antwoord (met name de URL naar politie.nl) toch correct? Die URL geeft helaas geen concreet antwoord op 'als alleen software verwijderen volstaat'. Dat antwoord geef jij dan (impliciet), waarvoor dank. Het is natuurlijk koffiedik kijken wat de politie nu gaat doen. Ik heb geen idee hoe vaal het gebeurt dat server hardware in beslag genomen wordt, en wat de meest gebruikelijke maatregel is. Waarschijnlijk is het antwoord: het hangt allemaal van de context af.

[Reactie gewijzigd door kdekker op 28 mei 2026 16:09]

phoenix2149 @Q • 28 mei 2026 17:45

Ik ben vooral benieuwd naar wat voor apparaten we het over hebben.

Dat zal niet bekend worden vrees ik met enkel IP informatie maar zou wel leuk zijn om te kijken of dit achterhaald kan worden.

Rixter223 28 mei 2026 14:11

Prima werk weer van NCSC. Ze hebben het er maar druk mee maar heel Nederland staat ook vol met serverparken en er komen er steeds meer bij. Stroom zat hier. 😉

wiseger @Rixter223 • 28 mei 2026 14:23

Niet alleen genoeg stroom. Er is ook genoeg grondwater beschikbaar om mee te koelen nu het boven de 25 graden is. En omdat ons land zo schoon is, geeft het ook niet dat je dat koelwater met toegevoegde chemicaliën loost op het oppervlakte water.

SED @wiseger • 28 mei 2026 14:35

Waarom zou koelwater van serverparken toegevoegde chemicalien bevatten. Leg dat eens uit.

cadsite @SED • 28 mei 2026 14:58

De vraag stellen is goed, zelf even opzoeken nog beter:

Koelwater in serverparken wordt niet chemisch vervuild in de zin van giftig afval. Het kan echter wel verontreinigd raken met mineralen (zoals kalk) of behandeld worden met chemicaliën om corrosie en bacteriën tegen te gaan. De impact op het milieu hangt sterk af van het gekozen koelsysteem.

https://www.dutchdatacenters.nl/nieuws/van-waterverbruik-naar-waterregie-de-watertransitie-binnen-datacenters/

jeffhuys @cadsite • 28 mei 2026 16:33

De vraag stellen is goed, zelf even opzoeken nog beter

Is dat wel zo? Ik had anders de vraag niet gezien, laat staan het antwoord. Dat is toch waar een forum voor is?

DefaultError @cadsite • 28 mei 2026 16:47

Om de apparatuur te koelen is een gescheiden koelsysteem voor de hand liggend. Speciaal koelwater voor apparatuur wordt dan gescheiden voor warmte afvoer naar ondergrondse bronnen. De warmte kan in de winter hergebruikt worden om gebouwen te verwarmen.

whoops...Undo @SED • 28 mei 2026 14:57

Als het natte koeltorens zijn, legionella bestrijding en corrosie-inhibitors

Mextreme @whoops...Undo • 28 mei 2026 16:12

Ben ik naïef als ik aanneem dat daar milieuwetgeving op van toepassing is, of wordt dit een beetje over het hoofd gezien?

topper007 28 mei 2026 14:40

Herkenbaar en ontzettend fijn nieuws! Wij zagen dit (werk voor een Nederlands cybersecuritybedrijf) ook heel duidelijk terug in de statistieken van meerdere klanten. Dit specifieke botnet zorgde de afgelopen tijd echt voor een gigantische hoeveelheid DDoS-aanvallen en hardnekkige content scraping.

Het fascinerende (en frustrerende) was dat het verkeer zo geraffineerd was dat het er bij klanten doorheen bleef komen, ondanks dat er een volwaardige Cloudflare-inrichting én een MDR-oplossing tussen stond. Sinds de actie van de politie en het NCSC is het malafide verkeer in onze monitoring nagenoeg naar nul gekelderd. Echt een hele goede en effectieve zet!

HoppyF @topper007 • 28 mei 2026 14:44

Is het jou dan bekend wie of wat er achter dit botnet zat?

topper007 @HoppyF • 28 mei 2026 14:50

Nee, op dit moment is de exacte identiteit van de partij(en) erachter ons nog niet bekend. Wel zijn we zelf ook al enkele weken bezig met een diepgaand onderzoek naar dit netwerk.

Wat tijdens ons onderzoek in elk geval heel duidelijk naar voren is gekomen, is dat het om ontzettend veel wereldwijde IP-adressen gaat. Het overgrote deel van dat verkeer was direct te herleiden naar gecompromitteerde verbindingen van reguliere thuisgebruikers (zoals consumentenrouters en IoT-apparaten), wat ook meteen verklaart waarom het zo lastig te blokkeren was.

FrostyPeet 28 mei 2026 14:21

De apparaten waar de bots misbruik van maakten zullen waarschijnlijk nog steeds kwetsbaar zijn of die backdoor hebben. De beheerders zullen vast wel een lijst hebben met die apparaten. Dus de volgende versie van die botnet staat al in de steigers vermoed ik.

Natuurlijk leuk dat een Nederlandse instantie roept om hardware up to date te houden. Vermoed alleen iemand met een "lek" apparaat ergens op de wereld daar weinig aan heeft. Of ze weten niet dat hun apparaat lek is, of het boeit ze niet, of er is geen update voor te krijgen of het te moeilijk om te updaten.

Vermoed dat er nog wel paar miljoen apparaatjes aan wifi/internet hangen met 1234567890 als password o.i.d.

Kudos voor de digitale speurders, elk beetje helpt.

satya @FrostyPeet • 28 mei 2026 14:39

Mogelijk net andersom, die gasten gebruiken ook DNS om hun C&C servers te bereiken, wanneer het ergens anders wordt opgezet kan de handel snel weer in de lucht zijn. Is niet de eerste keer.

Itrme 28 mei 2026 15:04

Leuk, maar de 17 miljoen apparaten zijn nog steeds kwetsbaar/compromised. Er is eigenlijk nooit echt nazorg, en ergens snap ik dat ook wel, want wie weet van wie die apparaten echt zijn etc.

Nu is het een "Geen zorgen, de servers zijn offline" Maar ondertussen zijn de kwetsbare apparaten nog steeds kwetsbaar (tenzij de kwaadwillenden zelf de beveiliging verbeterd hebben, en ja dat gebeurt soms).

En als er malware op de apparaten staat, is het maar hopen dat er geen redundantie is ingebouwd qua C&C.

Marber 28 mei 2026 13:59

Lol om "Dit zijn niet de servers die in het artikel worden genoemd"

oompieiserweer @Marber • 28 mei 2026 14:00

wel!

Dlsruptor @Marber • 28 mei 2026 14:02

Criminele doeleinden?

Dus er wordt bedoeld: een GE-bot die 24/7 chaos runes margint voor +3 gp profit per flip? XD

maridude 28 mei 2026 14:33

Oh, was die constante 100Gbps aan malafide verkeer op die 200 servers niet de bedoeling?

matthys70 28 mei 2026 14:49

Ik vraag me af of een hosting provider hier niet meer actief op hoor te zitten? Het is namelijk ook hun eigen infra die word misbruikt voor niet legaal gebruik. En kan zo hosting provider hiervoor gestraft worden? Ze faciliteren namelijk wel de gebruikte middelen etc.

jep @matthys70 • 28 mei 2026 16:38

Als ze infrastructure-as-a-service bieden dan kijken ze niet naar je data, maar je kunt wel zorgen dat je je klanten kent. In dit soort gevallen verschuilen hostingproviders zich vaak achter het gebrek aan toegang en knijpen ze een oogje dicht bij signalen dat er iets niet klopt.

tonbos 29 mei 2026 08:39

Ik heb nu een flink aantal reacties gelezen als echte leek en het schijnt dat het een eeuwig gevecht word om controle

Om te kunnen reageren moet je ingelogd zijn