Nieuwe spionagetactiek richt zich op Oekraïense defensie
Een relatief nieuwe, aan Rusland gelinkte hackergroep heeft een verfijnde cyberespionage-operatie gelanceerd die zich richt op Oekraïense instellingen door malware te vermommen als documenten van de bekende Oekraïense liefdadigheidsorganisatie ‘Come Back Alive’ en Starlink-satellietinternetverificatie. Volgens een rapport van cybersecuritybedrijf Lab52 over een nieuwe Russische cyberespionage-operatie, verspreidde de in februari ontdekte campagne een backdoor genaamd DrillApp. Deze malware stelt aanvallers in staat bestanden van geïnfecteerde computers te uploaden en downloaden, audio via de microfoon op te nemen en beelden van de webcam te capteren.
De operatie wordt toegeschreven aan de groep Laundry Bear, ook bekend als Void Blizzard, die minstens sinds 2024 actief is en eerder al NAVO-lidstaten en Oekraïense instanties heeft aangevallen. Het Oekraïense Computer Emergency Response Team (CERT-UA) meldde begin 2026 een aparte operatie van de groep gericht tegen de strijdkrachten van het land. Onderzoekers merkten toen op dat de cyberoperaties vergelijkbare technieken gebruikten, inclusief lokaas rond liefdadigheid en het hosten van schadelijke componenten op openbare tekstuitwisselingsdiensten.
In de meest recente campagne gebruikten de aanvallers gegevens die verzoeken imiteerden van de Oekraïense liefdadigheidsorganisatie ‘Come Back Alive’, die het leger ondersteunt, evenals gegevens gerelateerd aan de verificatie van Starlink-satellietinternetterminals. Oekraïne implementeerde een verificatiesysteem voor Starlink-terminals begin februari, nadat autoriteiten bevestigden dat Russische troepen de technologie begonnen te installeren op aanvalsdrones.
Liefdadigheid als wapen in hybride oorlog
De bewuste inzet van het autoriteit en vertrouwen genietende fonds ‘Come Back Alive’ als lokaas onderstreept een patroon in de Russische hybride oorlogsvoering: de aanval richt zich niet alleen op het Oekraïense leger, maar ook op het maatschappelijk middenveld. Het doel is het vertrouwen in de vrijwilligersbeweging te ondermijnen en de patriottisme van Oekraïners tegen henzelf te gebruiken.
Het gebruik van liefdadigheidsthema’s voor het verspreiden van spionagesoftware toont een volledig gebrek aan ethische ‘rode lijnen’ bij de aanvallers. Voor de Russische inlichtingendiensten, waarmee de groep wordt geassocieerd, zijn humanitaire initiatieven slechts een nieuw operationeel domein voor cyberespionage als onderdeel van de hybride oorlog van het Kremlin.
Na opening via de webbrowser Microsoft Edge stelt het schadelijke bestand aanvallers in staat toegang te krijgen tot het bestandssysteem van het slachtoffer, audio van de microfoon, video van de camera en schermopnames van het apparaat vast te leggen. Deze methode maakt gebruik van de legitieme toegang die browsers vaak hebben tot gevoelige apparaatfuncties.
Verband met Russische militaire inlichtingendiensten
Onderzoekers hebben opvallende gelijkenissen vastgesteld tussen de tactieken van Laundry Bear en die van de beruchte Russische militaire inlichtingengroep APT28, ook bekend als Fancy Bear. Deze link bevestigt opnieuw dat het niet gaat om ‘vrije hackers’, maar om een opzettelijk gevoerd staatsbeleid van Rusland. Cyberespionage vormt een integraal onderdeel van de hybride beïnvloedingsoperaties van het Kremlin in Europa en maakt deel uit van Poetins oorlogsmachine.
Microsoft heeft eerder gerapporteerd dat de groep succesvol is binnengedrongen in organisaties in verschillende sectoren in Oekraïne, waaronder onderwijs, transport en defensie. Laundry Bear werd eerder omschreven als een groep die ‘relatief eenvoudige, moeilijk detecteerbare technieken’ gebruikt en zich voornamelijk richt op cyberespionage.
Westerse technologieën als Trojaanse paarden
De aanvallers maken op geraffineerde wijze misbruik van westerse technologieën en platforms als ‘Trojaanse paarden’. Het gebruik van legitieme browsers zoals Microsoft Edge om antivirussoftware te omzeilen, benadrukt dat westerse techgiganten sneller moeten reageren op kwetsbaarheden in hun producten. Aanvallen via e-mails en imitatie van verificatiesystemen, zoals bij Starlink, onderstrepen dat alleen een antivirusprogramma onvoldoende bescherming biedt.
Europese en Oekraïense ‘gevoelige’ structuren moeten strengere protocollen voor digitale hygiëne implementeren. Onderzoekers van Lab52 merkten op dat de spionagesoftware zich nog in een vroeg ontwikkelstadium lijkt te bevinden, wat erop wijst dat aanvallers experimenteren met nieuwe methoden om beveiliging te omzeilen. Er werden twee versies van de malware ontdekt, die voornamelijk verschillen in het lokaas dat wordt gebruikt om slachtoffers te misleiden.
Waarschuwing voor NAVO en Europese cybersecurity
Het feit dat Laundry Bear niet alleen Oekraïense instanties aanvalt, maar ook NAVO-lidstaten, is een duidelijk signaal voor het Westen. Oekraïne fungeert momenteel zowel als schild als testterrein. Wat Rusland vandaag uitprobeert op Oekraïense militaire systemen en Starlink, kan morgen worden ingezet tegen Europese kritieke infrastructuur.
De continue ontwikkeling en aanpassing van de spionagesoftware, die zich in een ‘vroege ontwikkelingsfase’ bevindt, toont aan dat Rusland voortdurend investeert in nieuwe methoden om verdedigingen te omzeilen en een permanente hybride oorlog voert in de Europese cyberruimte. Operationele gegevensuitwisseling tussen het Oekraïense CERT-UA, westerse onderzoekers (Lab52, Microsoft) en Europese cybersecuritystructuren is van cruciaal belang.
Alleen door gezamenlijke inspanningen kunnen deze bedreigingen worden opgespoord voordat ze strategische schade aanrichten. De aanval benadrukt de noodzaak van een gecoördineerde, proactieve verdediging tegen staatsgesteunde cyberdreigingen die de fundamenten van democratische samenlevingen en internationale veiligheid willen ondermijnen.
