Phishing wordt onzichtbaar, beheertools worden wapens

Onderzoekers ontdekken een phishingtechniek die de fundamenten van het internet misbruikt om ondetecteerbaar te worden, Huntress rapporteert een stijging van 277 procent in het misbruik van beheertools door aanvallers en drie grote datalekken raken miljoenen mensen. Dit journaal bestrijkt het nieuws van 6, 7 en 8 maart 2026.

Phishing wordt onzichtbaar via DNS infrastructuur

Onderzoekers van Infoblox ontdekten een phishingcampagne die de fundamenten van het internet misbruikt om onzichtbaar te worden voor beveiligingstools. De aanvallers gebruiken het ".arpa" domein, dat normaal gereserveerd is voor internetinfrastructuur en reverse DNS lookups, om phishing sites te hosten. Ze verkregen IPv6 adresruimte via tunneling services en creeerden reverse DNS records die naar hun phishing infrastructuur verwijzen.

Het .arpa domein bevat geen data die normaal gesproken in geregistreerde domeinen te vinden is, zoals WHOIS informatie, domeinleeftijd of contactgegevens. Dit maakt het voor e-mail gateways en security tools vrijwel onmogelijk om de kwaadaardige domeinen te herkennen. Infoblox ontdekte meer dan honderd gevallen waarin de aanvallers gekaapte CNAME records van overheidsinstanties, universiteiten en telecombedrijven gebruikten om hun infrastructuur te maskeren.

De phishing e-mails bevatten afbeeldingen die gekoppeld zijn aan deze reverse DNS records. De URL's gebruiken lange IPv6 adressen als hostnamen, waardoor het slachtoffer geen verdacht domein ziet. Na het klikken worden slachtoffers via een traffic distribution system gefilterd op apparaattype en IP adres. Alleen "geldige" doelwitten worden doorgestuurd naar de phishing site, de rest belandt op een legitieme website. De links zijn slechts enkele dagen actief. Dr. Renee Burton van Infoblox waarschuwde dat deze techniek de kern van het internet effectief omvormt tot een phishing bezorgmechanisme.

Daarnaast breiden ClickFix campagnes zich verder uit. Bij deze social engineering techniek worden gebruikers verleid om kwaadaardige PowerShell commando's uit te voeren via nep foutmeldingen op websites. Nieuwe varianten distribueren Lumma Stealer, een infostealer die sessies kan kapen, en CastleRAT. Aanvallers verspreiden ook kwaadaardige browserextensies die zich voordoen als AI tools om inloggegevens te stelen.

Beheertools als aanvalsvector

Huntress rapporteerde in het 2026 Cyber Threat Report een stijging van 277 procent in het misbruik van legitieme beheertools als aanvalsvector. Het rapport, gebaseerd op telemetrie van meer dan vier miljoen endpoints bij 230.000 organisaties, toont dat RMM misbruik nu goed is voor 24 procent van alle geobserveerde incidenten. Aanvallers gebruiken tools zoals ScreenConnect, AnyDesk en TeamViewer om persistente toegang tot netwerken te behouden, omdat deze software vaak niet door endpoint beveiliging wordt gedetecteerd.

De meeste aanvallen beginnen met social engineering via e-mails die zich voordoen als e-handtekeningverzoeken, facturen of voicemailmeldingen. Slachtoffers worden verleid om kwaadaardige RMM agents te installeren. Eenmaal binnen kunnen aanvallers taken automatiseren, lateraal bewegen en ransomware uitrollen in minder dan een uur, vooral wanneer Managed Service Providers worden gecompromitteerd om meerdere klanten tegelijk te bereiken. Dit sluit aan bij een eerder journaal over RMM misbruik in de transportsector.

Intussen maken ransomwaregroepen nieuwe slachtoffers in de Benelux. Het Belgische bedrijf Netwerk NV, onderdeel van de Korevaar Groep, werd getroffen door de AiLock ransomwaregroep. AiLock gebruikt een hybride encryptiemodel met ChaCha20 voor bestandsversleuteling en NTRUEncrypt voor metadatabescherming, en staat bekend om dubbele afpersing. Abutriek verscheen op de leksite van Qilin, een ransomwaregroep die opereert als Ransomware as a Service en die eerder al Nederlandse bedrijven op het oog had. Daarnaast maakt de INC Ransom groep nieuwe slachtoffers in enterprise omgevingen.

Drie datalekken en staatshackers verscherpen dreiging

Het Amerikaanse IT bedrijf Cognizant onthulde een datalek bij dochteronderneming TriZetto dat 3,4 miljoen patientendossiers treft. De ongeautoriseerde toegang begon in november 2024 en werd pas in november 2025 ontdekt, wat betekent dat aanvallers twaalf maanden ongestoord toegang hadden tot gevoelige medische gegevens. Cognizant beheert gezondheidszorgsystemen voor talloze organisaties en het lek bij deze derde partij benadrukt het ketenrisico in de zorgsector, een thema dat steeds urgenter wordt onder NIS2.

Dichter bij huis treft het Odido datalek (6,2 miljoen accounts) inmiddels ook Belgische klanten, nadat hackerscollectief ShinyHunters alle gestolen data online publiceerde. Het Mall of the Netherlands werd eveneens slachtoffer van een datalek via het Westfield Club loyaliteitsprogramma, waarbij persoonsgegevens van leden en nieuwsbriefabonnees mogelijk zijn blootgesteld. In de gemeente Zelzate in Belgie waarschuwde de lokale politie voor phishing sms berichten die bewoners naar valse betaallinks lokken.

Op het geopolitieke front bleven Chinese APT groepen actief. De groep UAT-9244 voert geavanceerde aanvallen uit met aangepaste malware gericht op telecombedrijven in Zuid-Amerika (Cisco Talos). Een tweede groep, CL-UNK-1068, is sinds 2020 actief en richt zich op kritieke infrastructuur in Azie, waaronder luchtvaart, energie en overheidsorganisaties. Deze groep gebruikt webshells zoals GodZilla en AntSword om persistente toegang te behouden (Unit 42). Onderzoekers van Elastic Security Labs ontdekten daarnaast een nieuwe generatie Linux rootkits die misbruik maken van eBPF en io_uring, twee kernel frameworks die de meeste beveiligingsoplossingen niet monitoren. Traditionele endpoint beveiliging op Linux servers is hierdoor kwetsbaar voor manipulatie op kernelniveau.

CISA voegde meerdere Apple kwetsbaarheden toe aan de Known Exploited Vulnerabilities catalogus, waaronder CVE-2024-23225 en CVE-2024-23296 voor iOS. Hikvision camera's uit 2017 staan nog altijd bovenaan de wereldwijde lijst van meest misbruikte kwetsbaarheden met een exploitatiekans van 94,3 procent. Advocaat-generaal Rantos van het HvJ-EU adviseerde dat banken phishingslachtoffers op basis van PSD2 onmiddellijk moeten terugbetalen, ook als de klant nalatig was. Het advies is nog geen uitspraak, maar geeft de richting aan die het Hof kan inslaan.

De belangrijkste punten

- Onzichtbare phishing via .arpa: aanvallers misbruiken IPv6 reverse DNS om detectie door e-mail gateways te omzeilen

- Beheertools als wapen: Huntress meldt 277 procent stijging in misbruik van ScreenConnect, AnyDesk en TeamViewer

- Cognizant lekt 3,4 miljoen dossiers: ketenrisico in de zorgsector wordt concreet

- Odido data nu online: ShinyHunters publiceerde alle 6,2 miljoen gestolen accounts

- Ransomware in de Benelux: Qilin, AiLock en INC Ransom troffen Belgische bedrijven

- EU banken moeten terugbetalen: Advocaat-generaal HvJ-EU adviseert directe terugbetaling aan phishingslachtoffers

Lees ook

- S02E28: Odido raakt vitaal, exploits lekken en Wikipedia gehackt - Het Odido lek bereikt de vitale sector

- ClickFix explodeert, Belgische data op straat en NAVO alarm - De opkomst van ClickFix social engineering

- Lumma Stealer en session hijacking - Hoe infostealers tweefactorauthenticatie omzeilen

- Ransomware allianties en sabotage in Benelux - Het patroon van ransomware in de Benelux

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam