Russische en Chinese spionagecampagnes en opportunistische informatiedieven

Er zijn een aantal nieuwe campagnes in het dreigingslandschap naar voren gekomen tijdens het derde kwartaal van 2025. Onderzoekers van cybersecuritybedrijf Proofpointidentificeerden een overlap tussen twee clusters dreigingsactoren, TA829 en UNK-GreenSec, waarbij de campagne de grenzen tussen spionage en cybercriminele activiteiten vervaagt. Ook ontdekten zij tussen maart en juni 2025 drie verschillende campagnes van dreigingsactoren gesponsord door de Chinese staat. Deze voerden gerichte phishingcampagnes uit tegen de Taiwanese halfgeleiderindustrie, waarbij het motief hoogstwaarschijnlijk spionage was. Daarnaast werd een toename van opportunistische cybercriminelen die malware gebruiken op basis van Stealerium geconstateerd. Dit is een open-source malware die beschikbaar is ‘voor educatieve doeleinden’.

Vervaging tussen spionage en cybercrime

Onderzoekers van het cybersecuritybedrijf hebben een interessante overlap tussen twee clusters dreigingsactoren ontdekt, namelijk TA829 en UNK-GreenSec. De campagne vervaagt de grenzen tussen spionage en cybercrime. Deze activiteit deelt infrastructuur, afleveringstactieken en malwarecomponenten. Hierdoor ontstaan vragen over potentiële samenwerkingen of gedeelde middelen in het criminele circuit.

De belangrijkste bevindingen:

De bevindingen wijzen vooral op mogelijke relaties tussen de groepen, variërend van gedeelde externe infrastructuurproviders tot directe samenwerking of zelfs één enkele actor die nieuwe tools test.

Historisch gezien zijn cybercrime en spionageactiviteiten relatief gescheiden gebleven door uiteenlopende motieven. Toch nemen de raakvlakken tussen spionageactiviteiten en cybercrime in het huidige dreigingslandschap toe. Hierdoor vervaagt de scheidingslijn tussen criminele en staatsactoren. Campagnes, indicatoren en het gedrag van dreigingsactoren zijn naar elkaar toe gegroeid, waardoor attributie en clustering binnen het ecosysteem uitdagender worden.

Hoewel er onvoldoende bewijs is om de exacte aard van de relatie tussen TA829 en UNK_GreenSec te onderbouwen, is er zeer waarschijnlijk een verband tussen de groepen. Proofpoint blijft beide activiteiten afzonderlijk volgen en verdere ontwikkelingen en overlappingen in de TTP’s van beide groepen onderzoeken.

Threat Research bedankt de Paranoids, Spur en Pim Trouerbach voor hun medewerking bij het identificeren, volgen en verstoren van deze activiteit.

Klik hier voor het volledige onderzoek.

Aanvallen op de Taiwanese halfgeleiderindustrie

Dreigingsactoren verbonden aan China richten zich al jarenlang regelmatig op de halfgeleiderindustrie. Deze activiteit sluit waarschijnlijk aan bij de interne strategische economische prioriteiten van China. Die leggen steeds meer de nadruk op het belang van halfgeleidertechnologieën in de nationale economische ontwikkelingsinitiatieven, zoals vijfjarenplannen. Er is een toenemende focus op het waarborgen van strategische zelfredzaamheid voor halfgeleidertechnologieën, versneld door externe druk van exportcontroles. Dit heeft het verzamelen van inlichtingen over deze industrie aannemelijk nog meer prioriteit gegeven.

De belangrijkste bevindingen:

Mark Kelly, staff threat researcher bij Proofpoint, zegt het volgende over deze ontwikkeling:

“Het langetermijndoel van China om zelfvoorzienend te worden op het gebied van halfgeleiders draagt waarschijnlijk bij aan de waargenomen doelwitten. Dit komt overeen met historische patronen waarin binnenlandse economische prioriteiten duidelijk tot uiting kwamen in de economische spionage en inlichtingenvergaring door China.

Dit patroon geldt ook voor economische spionageactiviteiten die in lijn zijn met China, waarbij Chinese cyberespionageoperaties die vaak evolueren in overeenstemming met verschuivende binnenlandse economische prioriteiten. De cruciale rol van de halfgeleidersector in zowel mondiale supply chains als nationale veiligheid maakt deze sector op dit moment tot een belangrijk doelwit voor inlichtingendiensten.  

We blijven phishingcampagnes zien die gericht zijn op Taiwanese halfgeleiderbedrijven door de in het onderzoek genoemde bedreigingsactoren. Gezien het voortdurende geopolitieke belang van halfgeleidertechnologieën verwachten we dat deze en andere met groepen geassocieerd met China hun cyberspionageactiviteiten tegen de sector zullen voortzetten.”

Klik hier voor het volledige onderzoek.

Toename in gebruik Stealerium

Cybercriminelen maken steeds vaker gebruik van information stealers bij het verspreiden van malware. Onderzoekers van Proofpoint hebben een toename geconstateerd in het aantal verschillende soorten information stealers dat regelmatig door cybercriminelen wordt gebruikt. Hoewel veel cybercriminelen de voorkeur geven aan Malware-as-a-Service-oplossingen, zoals Lumma Stealer of Amatera Stealer, kiezen sommige cybercriminelen malware die eenmalig kan worden aangeschaft of openbaar beschikbaar is op platforms zoals GitHub. Stealerium is hier een goed voorbeeld van. In 2022 verscheen het als vrij beschikbare open-sourcemalware op GitHub en is het nog steeds beschikbaar om te downloaden voor ‘uitsluitend educatieve doeleinden’.

Open-sourcemalware kan nuttig zijn voor detectie-ingenieurs en dreigingsjagers voor het begrijpen van gedragspatronen, waarna ze signatures voor bedreigingsdetectie kunnen ontwikkelen. Toch biedt het ook een ander soort educatie aan kwaadwillende actoren. Deze actoren kunnen namelijk de open-sourcecode overnemen, aanpassen en mogelijk verbeteren. Dit resulteert in een wildgroei aan varianten van de malware die niet zo gemakkelijk te detecteren of te bestrijden zijn.

Afbeelding 1. Screenshot van Stealerium’s GitHub pagina.

De belangrijkste bevindingen:

Stealerium is open source, vrij beschikbaar en biedt de mogelijkheid om via verschillende media grote hoeveelheden gevoelige data te exfiltreren. Hierdoor is Stealerium, inclusief zijn verschillende variaties, een stealer die het waard is om in de gaten te houden.

Recente campagnes die tussen mei en juli 2025 zijn waargenomen, tonen aan dat Stealerium nog steeds wordt gebruikt in opportunistische operaties. Een recente campagne (TA2715) werd in verband gebracht met hernieuwd gebruik van Stealerium, wat leidde tot een bredere zoektocht naar dreigingen. Ook bracht het nieuwe campagnes aan het licht, die verband hielden met verschillende clusters van dreigingen.

Organisaties moeten letten op activiteiten met betrekking tot ‘netsh wlan’, verdacht gebruik van PowerShell defender-uitsluitingen en headless Chrome execution, die overeenkomen met gedragingen na infectie. Daarnaast moeten organisaties letten op grote hoeveelheden data die het netwerk verlaten, vooral naar diensten en URL’s die niet zijn toegestaan voor gebruik in de organisatie. Uitgaand verkeer naar deze diensten helemaal voorkomen is ook een optie.

Klik hier voor het volledige onderzoek.