HP-onderzoek: Cybercriminelen misbruiken IT-beheertools als achterdeur
Cybercriminelen maken op grote schaal misbruik van legitieme software voor externe toegang om ongemerkt een digitale achterdeur te creëren op pc's. Door deze vertrouwde IT-tools te combineren met actuele phishing-berichten rondom de belastingaangifte, datingapps en AI-gegenereerde code, weten aanvallers traditionele beveiligingssystemen effectief te omzeilen. Dat blijkt uit het nieuwste Threat Insights Report van HP Inc.
Het onderzoek, dat is gebaseerd op geanonimiseerde data van miljoenen endpoints met HP Wolf Security over de periode januari tot en met maart 2026, schetst een zorgwekkende trend. Kwaadaardige activiteiten zijn voor beveiligingsteams en gateway-scanners amper nog te onderscheiden van legitiem, alledaags IT-gedrag. Uit de data blijkt dat minimaal 11 procent van de geïdentificeerde e-maildreigingen ten minste één automatische e-mailscanner wist te omzeilen.
Vertrouwde IT-tools als toegangspoort
Onderzoekers van het HP Security Lab ontdekten dat aanvallers bekende applicaties voor beheer op afstand, zoals LogMeIn en ScreenConnect, inzetten als kwaadaardige achterdeur. Slachtoffers worden via gerichte social engineering-campagnes verleid om deze software zelf te installeren.
De lokmiddelen spelen in op de actualiteit, zoals het einde van het belastingjaar, of verminken zich als desktopapplicaties van datingsites. Omdat deze beheerprogramma's dagelijks door legitieme IT-afdelingen worden gebruikt, slaan traditionele detectiesystemen geen alarm wanneer de software actief is.
"Wat opvalt aan deze campagnes is hoe eenvoudig legitieme remote access-tools worden omgevormd tot toegangspoorten voor aanvallers", verklaart Patrick Schläpfer, Principal Threat Researcher bij HP Security Lab. "Door vertrouwde software te combineren met zorgvuldig opgezette social engineering wordt het steeds moeilijker om te bepalen wat wel en niet te vertrouwen is."
'Vibe coding' met emoji's en nep-CAPTCHA's
Naast het misbruik van beheerplatforms signaleert het rapport twee andere opvallende aanvalsmethoden:
Frauduleuze crypto-hersteltools: Aanvallers verspreiden zogenaamde herstelsoftware via codeplatformen en downloadsites om gebruikers te 'helpen' verloren cryptowallets terug te vinden. In werkelijkheid sluis de software inloggegevens en walletdata door. De scripts bevatten opvallend veel emoji’s. Volgens HP wijst dit op het gebruik van 'vibe coding': het laagdrempelig genereren van code met behulp van generatieve AI.
ClickFix-audiocampagnes: In deze geraffineerde campagnes wordt malware vermomd als een audiobestand. Slachtoffers belanden op professioneel ogende nepwebsites waar ze een realistische CAPTCHA-prompt te zien krijgen. Zodra de gebruiker deze instructie opvolgt, wordt de schadelijke code op de achtergrond uitgevoerd.
Bestandsformaten en preventie
Uit de analyse van de distributiemethoden blijkt dat executable bestanden (.exe) met 39 procent de kroon spannen bij het verspreiden van malware, direct gevolgd door archiefbestanden zoals .zip of .rar (38 procent). Opvallend is ook de stijging van het misbruik van PDF-documenten (+2 procent), waarbij aanvallers urgentie creëren met vervalste rechtbankdocumenten of beloofde bonusuitkeringen.
"Deze aanvallen zien er niet uit als een klassieke inbraak; ze lijken juist op normale bedrijfsactiviteiten", waarschuwt Alex Holland, Principal Threat Researcher bij HP Security Lab. "Ze gaan op in reguliere IT-processen en vermijden de waarschuwingssignalen die doorgaans met malware worden geassocieerd."
Volgens de onderzoekers schiet een defensiestrategie die uitsluitend leunt op het detecteren van bekende malware tekort. HP adviseert organisaties daarom om strikte restricties op te leggen aan gebruikersrechten, software-installaties strenger te monitoren en risicovolle online activiteiten – zoals downloads en het openen van onbekende links – proactief te isoleren in afgeschermde virtuele containers.
Meer over Beheer
Over Witold Kepinski
