Een grootschalige cyberspionagecampagne heeft in korte tijd kritieke systemen van overheden en strategische organisaties in tientallen landen weten te infiltreren. Dat blijkt uit onderzoek van Unit 42, het dreigingsonderzoeksteam van Palo Alto Networks. Volgens het rapport wist een door een staat gesteunde hackersgroep, aangeduid als TGR-STA-1030, toegang te krijgen tot gevoelige systemen in 37 landen, bijna een vijfde van alle landen wereldwijd.
Cyberspionagecampagne
De campagne, die door onderzoekers “The Shadow Campaigns” wordt genoemd, richtte zich vooral op organisaties met toegang tot beleidsmatige, economische en diplomatieke informatie. Anders dan bij veel cyberaanvallen, die vaak grootschalig en geautomatiseerd zijn, maakte deze groep gebruik van gerichte aanvallen en speciaal ontwikkelde tools om detectie te voorkomen.
Strategische informatie
Volgens Unit 42 volgden de aanvallen opvallend vaak kort na belangrijke geopolitieke gebeurtenissen. Dat wijst erop dat de campagne mogelijk bedoeld was om snel strategische informatie te verzamelen op momenten dat politieke spanningen of internationale ontwikkelingen toenamen. In Europa werden onder meer Duitsland, Italië, Polen, Portugal, Tsjechië, Servië, Griekenland en Cyprus getroffen.
Overheidsorganisaties
De aanvallen waren gericht op verschillende overheidsorganisaties. Onder de doelwitten bevonden zich vijf nationale politiediensten en grensautoriteiten, drie ministeries van Financiën en meerdere overheidsafdelingen die verantwoordelijk zijn voor handel, natuurlijke hulpbronnen en diplomatie. Daarmee richtte de campagne zich op kerninformatie die voor nationale veiligheid en economische besluitvorming van groot belang is.
Gerichte phishingmails
De hackers kwamen systemen binnen via gerichte phishingmails en door misbruik te maken van bekende kwetsbaarheden in veelgebruikte software, waaronder Microsoft Exchange, SAP en Atlassian-producten. Opvallend is dat de malware bewust eenvoudig en compact werd gehouden, waardoor deze minder snel werd opgemerkt door beveiligingssystemen.
Daarnaast gebruikte de groep een verborgen Linux-kernel-rootkit om langdurig toegang te behouden tot geïnfecteerde systemen zonder ontdekt te worden. Deze techniek maakt het mogelijk om ongemerkt gegevens te verzamelen en systemen verder te exploiteren.
Het onderzoek laat zien hoe snel en grootschalig de operatie werd uitgevoerd. Tussen november en december 2025 registreerde Unit 42 verkenningsactiviteiten tegen overheidsnetwerken in maar liefst 155 landen. Dat onderstreept volgens de onderzoekers de strategische ambitie en wereldwijde reikwijdte van de campagne.
Cyberspionage
De bevindingen illustreren hoe cyberspionage zich ontwikkelt tot een steeds verfijnder en effectiever instrument in geopolitieke rivaliteit. De combinatie van snelheid, technische precisie en langdurige aanwezigheid in systemen vergroot het risico op datadiefstal en verlies van strategische informatie. Volgens Unit 42 is samenwerking tussen overheden en organisaties essentieel om dergelijke aanvallen sneller te detecteren en schade te beperken.