De Belgische cybersecurityspecialist NVISO heeft naar eigen zeggen een wereldwijde cyberspionagecampagne ontdekt. Het bedrijf traceerde meer dan 1.500 servers die vermoedelijk gebruikt worden door een Chinese spionagetool.
De infrastructuur draait op de VShell-malware, een tool die wordt gebruikt om langdurige toegang te behouden tot netwerken van overheden, zorginstellingen en onderzoekscentra. De ontdekking kwam aan het licht tijdens een forensisch onderzoek bij een Europese organisatie. Verdere analyse bracht een wereldwijd netwerk van gecompromitteerde servers aan het licht, vooral in Zuid-Amerika, Afrika, Oost- en Zuidoost-Azië en Oceanië. Ook Europese organisaties, onder meer in België, bleken getroffen.
‘Cyberspionage draait niet langer enkel om datadiefstal, maar om blijvende infiltratie en beïnvloeding,’ zegt Michel Coene, partner Incident Response bij NVISO, in een persmededeling. ‘Elke organisatie kan een doelwit zijn. Proactieve detectie en segmentatie zijn cruciaal.’
Stille infiltratie via legitieme systemen
VShell is een modulaire Remote Access Trojan (RAT). Die laat aanvallers toe bestanden over te dragen, schermen te bekijken en commando’s uit te voeren zonder veel sporen na te laten. De malware is gelinkt aan UNC5174, een vermoedelijke tussenpartij met banden met het Chinese ministerie van Staatsveiligheid.
Volgens NVISO past de ontdekking in een breder patroon waarbij Chinese spionagegroepen overstappen van luidruchtige datadiefstal naar stille, langdurige toegang tot kritieke infrastructuur. Daarbij worden vaak beveiligingssystemen zoals firewalls en VPN’s misbruikt om onzichtbaar te blijven.
Europa niet buiten schot
Het is niet de eerste keer dat NVISO Chinese spionage blootlegt. Eerder dit jaar onthulde het bedrijf ook al de BRICKSTORM-malware, eveneens in handen van staatsgelieerde hackers.
NVISO heeft inmiddels technische richtlijnen vrijgegeven waarmee organisaties kunnen nagaan of ze besmet zijn. De cybersecurityspecialist roept bedrijven op om cyberspionage te zien als een strategisch risico op bestuursniveau, niet enkel als een IT-probleem.