Een cyberaanvaller installeerde de Huntress endpoint security-oplossing om zichzelf te beschermen. Wat men niet doorhad, was dat Huntress hierdoor mee kon kijken. Ondanks enige controverse stelt het securitybedrijf dat er waardevolle informatie uit behaald is.
Toen een host aan Huntress signalen gaf van malware, bleek deze host een oude bekende: dezelfde ‘machine name’, ofwel de unieke identificatie van het apparaat, was bij meerdere eerdere incidenten voorgekomen. Toen Huntress-analisten in meer detail naar de host keken, zagen ze bewijs van onderzoek naar potentiële doelwitten via de browsergeschiedenis.
Huntress verwijderde de eigen agent na 84 minuten, maar met alle bemachtigde informatie was duidelijk dat de kwaadwillende gebruiker zichzelf AI-tooling had aangeleerd voor het verspreiden van malware, onderzoek deed naar cryptovaluta en automation-oplossingen gebruikte. Het profiel van de host was ijn kaart te brengen van mei tot juli 2025.
Ontevreden collega’s
De uitleg van Huntress is diepgaand. Het is, zoals het securitybedrijf stelt, fascinerend om te zien hoe een aanvaller precies te werk gaat. Het was al duidelijk dat cybercriminelen AI inzetten, maar de manier waarop blijkt uit dit voorbeeld divers en innovatief. Ook frappant maar volkomen logisch: cyberaanvallers willen net zo graag voorzien zijn van securitysoftware als hun slachtoffers.
Huntress zorgde met het voorbeeld echter voor controverse. Het was aanvankelijk niet duidelijk dat Huntress de eigen agent (geïnstalleerd via een trial-lidmaatschap) had gedeïnstalleerd en dus niet de cybercrimineel had voorzien van beveiliging. Ook maken collega-securityspecialisten zich zorgen over de mate waarin wie dan ook, kwaadwillende of niet, in detail bekeken kan worden door securitydiensten.
Anderen stellen dat de vermeende privacyinbreuk van de aanvaller geoorloofd is, allereerst omdat de software zelf was geïnstalleerd en omdat de aanvaller bewezen malafide was. De surveillance vanuit Huntress vond enkel plaats omdat er signalen waren die wezen op malware, een terechte beweegreden om een blik te werpen bij een klant.
Hoe dan ook presenteert de Huntress-blog een markant verhaal dat, geoorloofd of niet, inzicht biedt in de gedachtegang en het gedrag van een cyberaanvaller.
Lees ook:Ransomwarebende neemt zelf juridische stappen tegen slachtoffer