Er gaat geen alarm af. De statusvelden blijven groen en de softwarebuilds lopen door alsof het een gewone dag is. Tokens worden vernieuwd zoals altijd en niemand ziet iets opvallends.<\/p>\n
Op de achtergrond haalt een pipeline een nieuwe extensie binnen, zonder melding of fout. Een klein pakketje dat eruitziet alsof het er altijd al bij hoorde.<\/p>\n
Dat extra stukje code beweegt mee met de rest. Eerst in \u00e9\u00e9n runner, daarna in meerdere. Het verplaatst door het werk heen alsof het bij de routine hoort.<\/p>\n
Tot iemand ziet dat een service verbindingen maakt die nergens zijn ingesteld. Een klein detail dat niet past bij de rest van de dag.<\/p>\n
\u201cDe grootste risico\u2019s ontstaan precies in de processen die we het meest vertrouwen.\u201d<\/p>\n
Leon Smit, General Manager bij Acora<\/strong><\/p><\/blockquote>\n
Op dat moment is het geen losstaand incident meer. Het draait al mee in hetzelfde ritme waar iedereen op vertrouwt.<\/p>\n
<\/span>De aanval begint in je keten<\/span><\/h2>\n
In softwareketens vallen veranderingen nauwelijks op. Een update oogt als onderhoud. Een nieuwe dependency lijkt op iets dat al vaker is binnengehaald. Terwijl alles doorloopt, kan precies daar een stukje code meekomen dat niemand verwacht.<\/p>\n
Onderzoekers zagen voorbeelden die dat helder laten zien:<\/p>\n
\n
- VS Code-extensies<\/a> die via Open VSX als normale updates werden aangeboden en direct werden ge\u00efnstalleerd.<\/li>\n
- Honderden gemanipuleerde npm-pakketten<\/a> die tijdens het bouwen nieuwe bestanden toevoegden en zich verder verspreidden.<\/li>\n
- Varianten die bij het uitvoeren van builds GitHub-tokens en CI\/CD-geheimen ophaalden en wegschreven naar externe servers (TechRadar<\/a>)<\/li>\n<\/ul>\n
Voor teams zag alles eruit alsof het klopte. De releases hadden vertrouwde versienummers. De code haalde verbindingen op die niet direct opvielen. Runners voerden stappen uit zoals elke andere dag.<\/p>\n
Aanvallen komen zo binnen via tools die mensen gewend zijn te vertrouwen.<\/p>\n
Wie deze keten niet actief controleert, ziet afwijkingen vaak pas wanneer ze al meedraaien in het dagelijkse werk.<\/p>\n
<\/span>Identiteit is nu het makkelijkste toegangsvlak<\/span><\/h2>\n
Aanvallers hoeven geen servers meer te hacken. Ze gebruiken accounts die al toegang hebben. Dat zagen onderzoekers bij een incident met SonicWall<\/a>, waar back-ups met VPN-gegevens en sleutels konden worden ingezien nadat iemand ongezien in een cloudportaal was binnengekomen.<\/p>\n
Bij Oracle E-Business Suite<\/a> misbruikten aanvallers een zwakke inrichting van toegangsrechten. De software draaide, de controles werkten, maar een onopvallende accountovername gaf toegang tot data en systemen die normaal streng beschermd zijn.<\/p>\n
In andere campagnes richten aanvallers zich op apparatuur die veel organisaties aan de rand van hun netwerk gebruiken. Bij F5 BIG-IP liep een actor via de BRICKSTORM-backdoor<\/a> maandenlang mee in het verkeer. De bewegingen leken op normaal gebruik, waardoor monitoring niets zag dat direct afweek.<\/p>\n
Identiteit wordt zo het toegangsvlak waar de minste ogen op gericht zijn.<\/p>\n
Een account dat maanden geen wachtwoordwijziging heeft gehad, of zich ineens \u2019s nachts aanmeldt, valt alleen op als er actief naar gekeken wordt.<\/p>\n
<\/span>Misleiding wordt geloofwaardiger dan je beveiliging<\/span><\/h2>\n
Aanvallers richten zich steeds vaker op mensen die niet twijfelen aan wat ze zien.<\/p>\n
In verschillende campagnes werd malware verspreid via WhatsApp Web. De berichten leken op gewone gesprekken en de links zagen eruit als documenten die collega\u2019s of klanten vaker sturen. De Water Saci-campagne<\/a> laat zien hoe \u00e9\u00e9n klik zich razendsnel door hele contactlijsten kan bewegen.<\/p>\n
Op andere plekken wordt code verstopt in smart contracts op publieke blockchains. Met technieken als EtherHiding<\/a> komt kwaadaardige code binnen via een link die eruitziet als iets alledaags, terwijl de aansturing gebeurt via infrastructuur die niet eenvoudig uit te schakelen is.<\/p>\n
Er circuleren ook nepvacatures voor developers. Een testopdracht of script lijkt op een normale stap in een sollicitatie. Zodra iemand die uitvoert, haalt het systeem code binnen die zich verder door de omgeving beweegt.<\/p>\n
Binnen organisaties ontstaat een vergelijkbaar risico door het gebruik van AI-tools. Medewerkers voeren daarmee tekst of code in om sneller te werken, vaak via priv\u00e9accounts. In het dreigingsbeeld valt op dat daarbij geregeld gevoelige informatie wordt gedeeld, zoals klantgegevens of interne documenten. Die gegevens komen zo terecht in tools waar geen toezicht op staat.<\/p>\n
Gedrag wordt zo een belangrijke factor in moderne aanvallen.<\/p>\n
Mensen doen niets verkeerd. De misleiding en de hulpmiddelen lijken simpelweg op het werk dat ze elke dag zien.<\/p>\n
<\/span>Het nieuwe doelwit is je continu\u00efteit<\/span><\/h2>\n
In meerdere aanvallen viel vooral het werk stil. De buitgemaakte data was niet het grootste probleem. Een aanval op Oracle E-Business Suite raakte onderdelen die dagelijks draaien: salarisverwerking, financi\u00eble stromen en rapportages. Teams zagen dat vertrouwde functies niet meer reageerden, terwijl er tegelijk gegevens waren meegenomen.<\/p>\n
Bij SonicWall<\/a> konden aanvallers cloudback-ups inzien met configuratiebestanden voor firewalls en VPN\u2019s. Daardoor werd zichtbaar hoe verbindingen precies waren ingericht. Dat raakt direct de beschikbaarheid van systemen waar medewerkers elke dag mee werken.<\/p>\n
Kwetsbaarheden in platforms zoals GoAnywhere en SAP-omgevingen laten hetzelfde patroon zien. Zodra er misbruik wordt gemaakt van een onderdeel dat in een workflow is verweven, komt het werk eromheen onder druk te staan.<\/p>\n
Daardoor verschuift het doelwit van data naar bedrijfsvoering.<\/p>\n
De vraag wordt minder: wat is er buitgemaakt?<\/em><\/p>\n
En steeds vaker: wat kan er vandaag nog draaien?<\/em><\/p>\n
<\/span>AI versnelt de aanvaller, niet de verdediging<\/span><\/h2>\n
Aanvallers nemen nieuwe technieken sneller over dan organisaties kunnen bijhouden.<\/p>\n
In recente campagnes werd command-and-control verplaatst naar gedecentraliseerde platforms zoals Solana, Ethereum en BNB Chain<\/a>. Kwaadwillende code staat verspreid, wordt goedkoop gehost en is lastig uit te schakelen.<\/p>\n
Infostealers zoals Rhadamanthys en Vidar kregen varianten die code in afbeeldingen verstoppen, meerdere threads tegelijk gebruiken en plugins automatisch bijwerken. Ze bewegen mee met browserversies en nieuwe opslagmethoden, waardoor klassieke detectie minder houvast heeft.<\/p>\n