Omvangrijke cyberspionagecampagne treft 37 landen

Dat blijkt uit onderzoek van Unit 42, het onderzoeksteam van Palo Alto Networks. De campagne, die vaak kort na grote geopolitieke gebeurtenissen plaatsvond, richtte zich op organisaties met toegang tot beleidsmatige, economische en diplomatieke informatie.

Zeer gerichte aanvallen

TGR-STA-1030 zette zeer gerichte aanvallen in, met maatwerktools in plaats van grootschalige, geautomatiseerde methodes. Unit 42 kon de activiteiten wereldwijd identificeren en, in samenwerking met overheden, getroffen organisaties waarschuwen en ondersteunen bij herstel. In Europa zijn onder meer Duitsland, Italië, Polen, Portugal, Tsjechië, Servië, Griekenland en Cyprus getroffen.

De aanvallen richtten zich op vijf nationale politiediensten en grensautoriteiten, drie ministeries van Financiën, en overheidsafdelingen op het gebied van handel, natuurlijke hulpbronnen en diplomatie. De groep handelde snel: vaak werden aanvallen binnen enkele dagen na geopolitieke gebeurtenissen uitgevoerd.

Aanvallers drongen binnen via gerichte phishingmails en misbruikten bekende kwetsbaarheden in software van onder meer Microsoft Exchange, SAP en Atlassian. De gebruikte malware was bewust eenvoudig en compact, om detectie te ontlopen. Daarnaast werd een verborgen Linux kernel Rootkit ingezet om langdurig onopgemerkt te blijven.

Verkenningsactiviteiten in 155 landen

Tussen november en december 2025 observeerde Unit 42 actieve verkenningsactiviteiten in overheidsnetwerken van 155 landen, wat de omvang en strategische ambitie van de campagne benadrukt.

Unit 42 concludeert dat moderne cyberspionage effectiever en schaalbaarder is geworden. De combinatie van snelheid, technische verfijning en langdurige aanwezigheid vergroot het risico op datadiefstal, strategisch informatieverlies en verdere exploitatie van systemen.