Op 29 augustus 2025 maakte het dreigingsintelligenceteam van Amazon bekend dat het een grootschalige operatie van de Russische hackersgroep APT29, ook bekend als Midnight Blizzard en gelinkt aan de Russische inlichtingendienst SVR, heeft verstoord. De groep had legitieme websites gehackt en verborgen JavaScript geplaatst dat ongeveer tien procent van de bezoekers doorstuurde naar domeinen die leken op Cloudflare-controles. Daar werden gebruikers misleid om een zogenaamd apparaat te autoriseren via de Microsoft Device Code Flow, waarmee de aanvallers in werkelijkheid toegang kregen tot e-mail en cloudbestanden. Details zijn gepubliceerd door The Hacker News.
Nieuwe fase in Russische cyberoperaties
Volgens Amazon probeerde APT29 na blokkeringen uit te wijken naar nieuwe clouddiensten en domeinen, maar bleef de campagne onder toezicht en werd deze herhaaldelijk gedwarsboomd. Deze aanpak past in een bredere evolutie: waar aanvallers vroeger eindpunten braken, proberen ze nu gebruikers ertoe te bewegen hun aanvallen zelf te “legitimeren” door bestaande authenticatiestromen te misbruiken. Daarmee wordt langdurige toegang tot cloudomgevingen verzekerd.
Toenemende afhankelijkheid van social engineering
In juni 2025 constateerde Google een campagne van APT29 waarin slachtoffers, waaronder westerse Ruslandexperts, werden overtuigd om zelf “app-wachtwoorden” te genereren en door te geven. Op die manier omzeilden aanvallers tweefactorauthenticatie en kregen ze legitieme toegang tot Gmail-accounts. Deze verschuiving naar psychologische manipulatie richt zich op invloedrijke gemeenschappen in de VS, zoals academici, denktanks en beleidsmakers.
Risico’s voor instellingen en verkiezingsprocessen
Het model van APT29 – doorsturen van een deel van het verkeer via gekaapte sites – vormt een risico voor omgevingen die indirect bij verkiezingen betrokken zijn, zoals regionale media, NGO’s en universiteiten. Ook al worden verkiezingssystemen zelf niet direct aangevallen, de verzameling van mailboxen, contacten en agenda’s creëert kansen voor gerichte beïnvloedingscampagnes en het ontfutselen van interne communicatie.
Structurele kwetsbaarheid in de industrie
De misleiding via nagemaakte Cloudflare-pagina’s en het misbruik van de “device code flow” legt een bredere zwakte bloot: authenticatiemechanismen die bedoeld zijn voor IoT of smart-tv’s worden misbruikt als toegangspoort voor spionage. Experts waarschuwen dat providers deze risicovolle functies standaard moeten uitschakelen en domeinregistraties sneller moeten aanpakken. Amazon heeft nu voor de tweede keer in korte tijd publiekelijk de methodes van APT29 ontmanteld, wat volgens beveiligingsanalisten een marktstandaard zou moeten worden.
Geopolitieke dimensie van APT29
De werkwijze van APT29 bevestigt dat het gaat om structurele spionageactiviteiten in opdracht van de Russische staat, en niet om criminele operaties met financieel motief. Washington staat daarmee voor de uitdaging om naast cyberdefensie ook diplomatieke en economische sancties te gebruiken. Mogelijke maatregelen zijn gericht tegen infrastructuurbeheerders en domeinregistrars die misbruik negeren. De kernboodschap richting Moskou is dat cyberspionage een hoge prijs zal hebben, zowel financieel als juridisch.
