Cloudplatforms en VPN-diensten worden steeds vaker misbruikt door geavanceerde aanvallers om onder de radar te blijven. In het nieuwste APT Activity Report zie je hoe staatsondersteunde dreigingen zich verspreiden over nieuwe sectoren en geografische regio’s – met opvallende tactieken van China, Iran, Noord-Korea en Rusland.
📌 Belangrijkste inzichten in 1 minuut
-
China-aligned groepen zoals MirrorFace verleggen hun vizier naar diplomatieke doelen in de EU
-
SoftEther VPN is favoriet onder meerdere APT’s als onopvallende toegangspoort tot netwerken
-
Iraanse groepen richten zich op Afrika, Israël, en westerse diplomatieke en onderwijsinstellingen
-
Noord-Koreaanse actoren misbruiken cloudservices zoals Zoho, OneDrive en Dropbox
-
Rusland blijft Oekraïne aanvallen met nieuwe malware, terwijl Belarus inzet op desinformatie
VPN’s en cloudopslag: het nieuwe normaal voor persistente dreigingen
Geavanceerde dreigingsactoren gebruiken steeds vaker legitieme infrastructuur om toegang te krijgen tot netwerken zonder opgemerkt te worden. SoftEther VPN blijkt bijzonder populair onder China-aligned APT’s zoals Flax Typhoon en MirrorFace, die het inzetten als alternatief voor eigen malware. Tegelijkertijd maken Noord-Koreaanse groepen misbruik van diensten als Dropbox, OneDrive, pCloud en voor het eerst ook Zoho WorkDrive om data te exfiltreren of command-and-control-communicatie te verbergen.
Voor securityteams betekent dit dat klassieke signalen van compromittering steeds moeilijker te herkennen zijn – en dat detectie steeds meer moet leunen op gedragsanalyse en context.
Diplomatie en geldstromen als aanvalsmotief
De targeting van MirrorFace op een EU-diplomatieke organisatie markeert een belangrijke verschuiving. Waar deze groep voorheen uitsluitend Japanse doelen aanviel, lijkt de focus nu te verbreden – al blijft Japan centraal in de thematiek. Iran-aligned groepen zoals MuddyWater richten zich nadrukkelijk op economische sectoren in Afrika en op gevoelige informatie in Irak, Azerbeidzjan, Frankrijk en de VS. Deze mix van regionale en wereldwijde doelwitten illustreert hoe cyberespionage steeds vaker een verlengstuk is van geopolitieke en economische belangen.
Voor beleidsmakers en CISO’s onderstreept dit de noodzaak om ook niet-direct-technologische belangen – zoals diplomatie en handelsrelaties – mee te nemen in risicoanalyses.
Sociale manipulatie en infrastructuurmisbruik hand in hand
Noord-Koreaanse APT’s zoals Lazarus en Kimsuky combineren technisch misbruik van cloudomgevingen met geraffineerde social engineering. Ze benaderen slachtoffers via valse sollicitaties, interviewverzoeken en gepersonaliseerde e-mails, en sturen vervolgens geïnfecteerde documenten of software. Deze aanvallen zijn moeilijk te detecteren omdat ze zich aanpassen aan het profiel van het doelwit.
Voor organisaties die actief zijn in technologie, defensie of cryptovaluta, is het essentieel om medewerkers bewust te maken van dit soort indirecte dreigingen – en technische controlemaatregelen te combineren met training en responsprotocollen.
Rusland en Belarus: klassieke tactieken in nieuwe verpakking
Russische APT-groepen blijven vasthouden aan spearphishing als aanvliegroute, met name gericht op Roundcube- en Zimbra-webmailservers. De campagnes, uitgevoerd door onder meer Sednit en de nieuw geïdentificeerde groep GreenCube, worden ondersteund met nieuwe malwarevarianten en geavanceerde XSS-exploits. Tegelijkertijd is Belarus-aligned FrostyNeighbor betrokken bij een hack-en-lek-operatie gericht tegen NAVO-gerelateerde organisaties – onderdeel van een bredere disinformatiecampagne.
Deze tactieken laten zien dat cyberoperaties van Rusland en zijn bondgenoten zich richten op het ondermijnen van vertrouwen in publieke instellingen – niet alleen via sabotage, maar ook via psychologische beïnvloeding.