Nieuwe Russische malware ontdekt: zo stelen hackers documenten van diplomaten en journalisten

Een Russische hackersgroep voert een nieuwe, geavanceerde cyberaanval uit op Westerse doelwitten. Dat blijkt uit een rapport van Google Threat Intelligence, gepubliceerd op 7 mei.

De groep, bekend onder de naam COLDRIVER, gebruikt de malware LOSTKEYS om vertrouwelijke documenten en systeeminformatie te stelen. Volgens Google markeert dit een duidelijke escalatie van hun tactieken: van eenvoudige phishingcampagnes naar doelgerichte, geavanceerde aanvallen.

Zo werkt de LOSTKEYS-aanval

LOSTKEYS wordt in vier stappen geïnstalleerd. De aanval begint met een nepwebsite die bezoekers verleidt met een valse CAPTCHA. Zodra een slachtoffer reageert, wordt een PowerShell-script naar het klembord van de gebruiker gekopieerd. Dat script zorgt ervoor dat het apparaat wordt misleid om de malware binnen te halen. Tot slot installeert LOSTKEYS zichzelf en krijgen de aanvallers toegang tot het systeem.

Eenmaal actief verzamelt de malware verschillende soorten bestanden uit mappen op het systeem en stuurt die, samen met systeeminformatie en actieve processen, naar COLDRIVER. Volgens Google was het IP-adres van ten minste één aanval afkomstig van het adres 165.227.148[.]68.

Google grijpt in

Om verdere schade te voorkomen, heeft Google actie ondernomen. De kwaadaardige websites die worden gebruikt om LOSTKEYS te verspreiden zijn toegevoegd aan de Veilig Browsen-functie van het bedrijf. Daardoor worden gebruikers nu automatisch gewaarschuwd bij pogingen om deze pagina’s te bezoeken.

Wie is COLDRIVER?

COLDRIVER is een door Rusland gesteunde hackersgroep die zich richt op diplomaten, journalisten, defensieorganisaties en andere gevoelige doelwitten in het Westen. Eerder, in januari 2024, voerde de groep al een aanval uit met de Spica-malware, die commando’s kon uitvoeren en externe software kon downloaden of uploaden naar geïnfecteerde systemen.

De LOSTKEYS-campagne laat zien dat COLDRIVER inmiddels meer geavanceerde aanvalstechnieken toepast, waarmee het risico voor overheden en instellingen toeneemt.

Ook crypto-sector zwaar getroffen

De dreiging van cyberaanvallen beperkt zich niet tot overheidsdoelen. Ook de cryptosector wordt hard geraakt. In het eerste kwartaal van 2025 alleen al zijn er voor meer dan $2 miljard aan digitale assets buitgemaakt, méér dan in heel 2024. Volgens cybersecuritybedrijf Hacken vormen gebrekkige toegangsbeveiliging en operationele fouten nog steeds grote risico’s bij zowel gecentraliseerde als gedecentraliseerde cryptoplatformen.

Een van de grootste incidenten dit jaar betrof de cryptobeurs Bybit, waar in februari ruim $1,5 miljard werd gestolen. Deze aanval wordt toegeschreven aan de Lazarus Group, een hackerscollectief met banden met Noord-Korea.

De dreiging groeit

De opkomst van malware zoals LOSTKEYS toont aan dat de digitale dreiging evolueert — en zich zowel op statelijke instellingen als commerciële platforms richt. Experts verwachten dat het aantal gerichte aanvallen in 2025 verder zal toenemen, mede door geopolitieke spanningen en de toename in waarde van digitale activa.

Claim vandaag nog €10 gratis en betaal geen handelskosten over de eerste €10.000!

Grijp deze unieke kans met Newsbit en Bitvavo door nu een account aan te maken via de knop hieronder. Stort slechts €10 en ontvang direct €10 gratis. Bovendien kun je 7 dagen lang zonder kosten handelen over je eerste €10.000 aan transacties. Start vandaag nog en profiteer direct van de groeiende populariteit van crypto!

Maak je account en Claim je €10 gratis.

Mis deze kans niet om direct te profiteren van de groeiende populariteit van Crypto!