Security

Storm-2561 SEO poisoning met valse VPN-installers

3 min leestijd

Samenvatting

Microsoft waarschuwt voor een Storm-2561-campagne die via SEO poisoning en nagemaakte downloadsites valse VPN-installers verspreidt voor onder meer Pulse Secure en Fortinet. De malware, een Hyrax-infostealervariant, steelt VPN-referenties en configuraties en gebruikte zelfs een legitiem code-signingcertificaat, wat de aanval geloofwaardiger en moeilijker te herkennen maakte. Dit is belangrijk omdat organisaties hierdoor hun toegangsgegevens kunnen verliezen via ogenschijnlijk vertrouwde softwaredownloads.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft Threat Intelligence heeft een nieuwe Storm-2561-campagne beschreven die op de radar van elk securityteam zou moeten staan. Door misbruik te maken van zoekmachineranglijsten, valse websites met vendor-branding en zelfs geldige code-signingcertificaten, richten de aanvallers zich op gebruikers die op zoek zijn naar vertrouwde enterprise VPN-software en stelen zij referenties voordat veel organisaties beseffen dat er iets mis is gegaan.

Wat is er nieuw

Storm-2561 verspreidt getrojaniseerde VPN-installers via een overtuigende aanvalsketen:

  • Gebruikers zoeken naar legitieme VPN-software zoals Pulse Secure- of Fortinet-clients.
  • Kwaadaardige, met SEO poisoning gemanipuleerde sites verschijnen in zoekresultaten en imiteren vertrouwde vendor-downloadpagina’s.
  • Slachtoffers worden doorgestuurd naar ZIP-bestanden die worden gehost op door aanvallers beheerde GitHub-repositories.
  • De ZIP bevat een kwaadaardige MSI-installer en DLL’s die een echte VPN-deployment nabootsen.
  • De installer plaatst Pulse.exe en side-loadt kwaadaardige DLL’s, waaronder dwmapi.dll en inspector.dll.
  • inspector.dll is geïdentificeerd als een variant van de Hyrax infostealer, die VPN-referenties en configuratiegegevens extraheert.

Microsoft merkte ook op dat de malware was ondertekend met een legitiem certificaat van “Taiyuan Lihua Near Information Technology Co., Ltd.”. Dat certificaat is inmiddels ingetrokken, maar het gebruik van geldige ondertekening verminderde de achterdocht bij gebruikers en kan hebben geholpen om sommige verdedigingsmaatregelen te omzeilen.

Aanvalsgedrag om te kennen

De valse VPN-client toont een realistische aanmeldinterface om referenties rechtstreeks van de gebruiker vast te leggen. Na het indienen:

  • Wordt een valse installatie- of aanmeldfout getoond
  • Wordt de gebruiker gevraagd de echte VPN-client te downloaden
  • Wordt in sommige gevallen de browser geopend naar de legitieme vendorsite

Deze omleiding na compromis is bijzonder effectief omdat gebruikers later mogelijk de echte software met succes installeren en nooit vermoeden dat hun referenties al zijn gestolen.

De campagne zorgt ook voor persistentie via de Windows-registratiesleutel RunOnce en exfiltreert gestolen gegevens naar door aanvallers beheerde infrastructuur.

Impact op IT-beheerders

Voor IT- en securityteams benadrukt deze campagne een groeiend risico: gebruikers hoeven niet langer phishingbijlagen in e-mails te openen om gecompromitteerd te raken. Alleen al zoeken naar bedrijfssoftware kan leiden tot diefstal van referenties.

Organisaties die afhankelijk zijn van remote access zouden zich extra zorgen moeten maken, omdat gestolen VPN-referenties ongeautoriseerde toegang, laterale verplaatsing en vervolg­aanvallen mogelijk kunnen maken. Het gebruik van vervalste softwarebranding en ondertekende malware vergroot ook de kans dat eindgebruikers de installer vertrouwen.

Aanbevolen acties

Beheerders zouden de volgende stappen moeten nemen:

  • Zorg ervoor dat cloud-delivered protection van Microsoft Defender Antivirus is ingeschakeld
  • Voer EDR uit in block mode waar ondersteund
  • Jaag op verdachte VPN-gerelateerde installers, DLL side-loading en RunOnce-persistentie
  • Controleer uitgaande verbindingen naar bekende indicatoren en verdachte via GitHub gehoste downloads
  • Informeer gebruikers dat zij VPN-software alleen mogen downloaden via goedgekeurde bedrijfsportalen of door de vendor geverifieerde bronnen
  • Reset referenties en onderzoek apparaten als gebruikers mislukte VPN-installaties melden gevolgd door een succesvolle herinstallatie

Dit is een krachtige herinnering dat zoekresultaten onderdeel kunnen zijn van het aanvalsoppervlak en dat softwaresignalen van vertrouwen alleen niet langer voldoende zijn.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.