DNS-specialist Infoblox waarschuwt voor verborgen infostealer-aanvallen via gecompromitteerde websites

Amsterdam, 2 oktober 2025 — Uit nieuw onderzoek van Infoblox Threat Intel blijkt dat een dreigingsactor die bekendstaat om scam-redirects zich heeft ontwikkeld van scam-redirects naar het verspreiden van informatie­stelende malware. Geïnfecteerde websites gebruiken DNS-TXT-records om instructies op te halen en stellen in de daaropvolgende informatie-uitwisseling de verschillende onderdelen van malware samen. De actor, die de onderzoekers “Detour Dog” hebben genoemd, heeft ruim 30.000 websites geïnfecteerd.
Het succes van Detour Dog is te danken aan een groot vermogen om onder de radar te blijven. De communicatie voor het ophalen van instructies en malware verloopt volledig via het Domain Name System (DNS) zonder zichtbare signalen. Omdat deze communicatie aan de serverzijde wordt geregeld en niet aan de kant van de gebruiker, lijkt een webpagina voor de meeste bezoekers legitiem. Alleen specifieke doelwitten worden op basis van locatie en apparaatselectie gericht aangevallen. De schaal is opvallend, met pieken van meer dan 2 miljoen TXT‑verzoeken per uur.
Belangrijkste bevindingen:
• Wijdverspreid: Meer dan 30.000 websites zijn besmet met de malware van Detour Dog. Via DNS worden gebruikers selectief omgeleid of wordt op afstand code uitgevoerd – alles aan de serverzijde en onzichtbaar voor eindgebruikers.
• Evolutie van werkwijze: De infrastructuur van Detour Dog is verschoven van het verspreiden van scams via affiliate‑advertentienetwerken naar het verspreiden van StarFish, een backdoor die de Strela Stealer‑malware installeert en wordt aangestuurd door Hive0145.
• Nieuwe technieken: Detour Dog gebruikt DNS‑TXT‑records voor heimelijke command‑and‑control. Hierdoor kunnen geïnfecteerde websites kwaadaardige scripts ophalen en uitvoeren, terwijl staging‑hosts worden afgeschermd achter gecompromitteerde sites. Deze leveringsmethode lijkt op balletje‑balletje: er is zoveel afleiding dat het lastig is om uit te vogelen waar de echte malware verborgen is.
• Hardnekkig: Sites kunnen langer dan een jaar gecompromitteerd blijven, omdat de meeste bezoeken normaal lijken en alleen bepaalde bezoekers worden getarget. De hardnekkigheid komt ook omdat de aanvalslogica aan de serverzijde draait.
• Detectie‑uitdaging: Ongeveer 90% van de DNS‑query’s vanaf geïnfecteerde sites krijgt de instructie om niets te doen. Slechts een klein deel triggert kwaadwillende acties: ongeveer 9% betreft omleidingen en 1% betreft “download‑and‑execute”-taken.
• Levering via botnets: Campagnes rond Strela Stealer werden in juni–juli 2025 afgeleverd via REM Proxy, een op MikroTik gebaseerd botnet, en via Tofsee‑botnets. Dit wijst op een band tussen Detour Dog en de botnet‑aanbieders.
• Detour Dog als dienst: Volgens het onderzoek was Detour Dog in de onderzochte periode de enige bron van waargenomen campagnes en leverde het diensten aan Hive0145, waarbij botnets voor het verspreiden van spam werden ingezet. Meer dan 69% van de gerapporteerde staging‑domeinen uit deze campagnes staat onder controle van Detour Dog. Dit impliceert dat deze domeinen geen hosts waren, maar fungeerden als DNS‑relay.
Detour Dog maakt van alledaags webverkeer een bedrijfsrisico
Traditionele endpointbeveiliging ziet DNS‑taken aan de serverzijde vaak niet. De meest betrouwbare plek om in te grijpen ligt daarom op DNS‑ en netwerkniveau. Het onderzoek laat bovendien zien dat DNS niet alleen dient om aanvallers te monitoren: het is ook een effectief middel om aanvallen te stoppen voordat ze gebruikers of bedrijven raken.
De effectiviteit van DNS‑security hangt volledig af van de kwaliteit en specificiteit van de onderliggende dreigingsinformatie. Omdat aanvallers hun werkwijze blijven verfijnen, heb je continu zicht op de DNS‑laag nodig én de inzichten die specifiek op deze technieken zijn afgestemd. Alleen zo houd je gelijke tred met een dreigingslandschap dat voortdurend verschuift.
Lees het volledige onderzoek hier.