Cybercrimineel verraadt zichzelf aan eigen securitysoftware

In dit artikel:

Een cybercrimineel installeerde per ongeluk de endpoint-beveiliging van Huntress om zijn eigen activiteiten te beschermen; doordat die agent signalen van malware gaf, kon Huntress meekijken en het profiel van die aanvaller in kaart brengen. Analisten ontdekten via dezelfde "machine name" dat die host al eerder bij incidenten was betrokken en troffen in de browsergeschiedenis aanwijzingen aan van onderzoek naar potentiële doelen, cryptovaluta en het gebruik van AI-tools en automatisering om malware te verspreiden. De Huntress-agent bleef 84 minuten actief en op basis van de verzamelde data konden onderzoekers het handelen van die actor reconstrueren van mei tot juli 2025.

De casus leidde tot discussie in de securitysector: sommige collega’s bekritiseren het feit dat een securitybedrijf zo gedetailleerd een (kwaadwillige) gebruiker kan observeren, anderen vinden de ingreep gerechtvaardigd omdat de software door de aanvaller zelf was geïnstalleerd en er duidelijke malware-signalen waren. Huntress benadrukt dat de agent is verwijderd en dat de bevindingen waardevolle inzichten geven in hoe aanvallers AI en beveiligingstools inzetten. De zaak illustreert zowel de innovatieve werkwijzen van cybercriminelen als de ethische en privacyvraagstukken rond telemetrie en detectie.