LOSTKEYS-malware: een sluipende spionagetool gericht op het Westen
Een nieuwe malware genaamd LOSTKEYS is een veelgebruikt hulpmiddel gebleken in een reeks geheime cyberoperaties met een politieke ondertoon. LOSTKEYS werd voor het eerst ontdekt eind 2023 en was actief in gebruik tot begin 2025. Het maakt deel uit van een strategische koerswijziging van de aan Rusland gelieerde hackersgroep COLDRIVER, die bekendstaat om zijn cyberespionagecampagnes gericht op vooraanstaande westerse personen en instellingen.
In tegenstelling tot traditionele malware die is ontworpen voor massale verstoring of financiële diefstal, is LOSTKEYS speciaal ontwikkeld voor zeer selectieve, informatiegestuurde aanvallen. Het primaire doel is om heimelijk systemen te infiltreren, gevoelige bestanden te exfiltreren en belangrijke systeemgegevens terug te sturen – en dit alles zonder detectie.
Table of Contents
Wat is LOSTKEYS?
LOSTKEYS is een speciaal ontwikkeld malwareprogramma dat specifieke bestandstypen uit aangewezen mappen op de computer van een slachtoffer kan extraheren. Naast het verzamelen van bestanden, stuurt het ook systeeminformatie en lopende processen terug naar de aanvallers. Wat LOSTKEYS onderscheidt, is de precisie: het richt zich alleen op systemen die als waardevol worden beschouwd, waardoor het duidelijk is ontworpen voor spionage in plaats van grootschalige aanvallen.
De naam van de malware suggereert misschien willekeur, maar de inzet ervan is dat absoluut niet. Het is waargenomen bij aanvallen gericht op overheidsadviseurs, militairen, journalisten, denktanks, ngo's en personen met banden met Oekraïne. De specifieke en beperkte reikwijdte van deze doelwitten wijst erop dat ze eerder worden gebruikt voor inlichtingenvergaring dan voor crimineel gewin.
Hoe werkt het?
Het infectieproces begint met een geavanceerde vorm van social engineering, bekend als ClickFix . Slachtoffers worden naar een lokwebsite gelokt met een namaak CAPTCHA. In de veronderstelling dat ze hun identiteit verifiëren, worden gebruikers gevraagd een PowerShell-opdracht te kopiëren en uit te voeren via het dialoogvenster Uitvoeren van Windows. Deze opdracht initieert de downloadketen van de malware.
Wat volgt is een meerstappenproces dat ontworpen is om detectie te ontwijken. De eerste payload voert omgevingscontroles uit, waarschijnlijk om te detecteren of deze op een virtuele machine draait – gebruikelijk in malware-analyselabs. Als de omgevingscontroles slagen, haalt de opdracht een Base64-gecodeerd script op dat uiteindelijk de LOSTKEYS-malware uitvoert. Eenmaal uitgevoerd, scant het onopvallend het hostsysteem op zoek naar vooraf gedefinieerde bestandstypen en mappen, en stuurt de gegevens naar een externe server.
Wie zit erachter?
LOSTKEYS wordt toegeschreven aan de dreigingsgroep COLDRIVER, die ook bekend is onder namen als Callisto, Star Blizzard en UNC4057. Traditioneel maakt deze groep gebruik van phishing met inloggegevens om toegang te krijgen tot e-mailaccounts en vertrouwelijke communicatie te stelen. LOSTKEYS en zijn voorganger, SPICA , signaleren echter een nieuwe richting: directe inbreuk op apparaten en data-extractie.
Veiligheidsexperts merken op dat COLDRIVER doorgaans opereert vanuit geopolitieke motieven. De doelwitten en tactieken sluiten nauw aan bij door de staat gesteunde spionageactiviteiten, en eerdere campagnes hebben interesse getoond in het westerse buitenlandbeleid, defensie en de mediasector.
Implicaties van LOSTKEYS
De verschijning van LOSTKEYS weerspiegelt een bredere trend in cyberaanvallen: de combinatie van misleidende social engineering met op maat gemaakte malware voor gerichte surveillance. Deze tactieken zijn subtiel, effectief en moeilijk te traceren, waardoor slachtoffers zich er vaak niet van bewust zijn dat ze gecompromitteerd zijn.
De gevolgen zijn aanzienlijk. Voor overheidsinstanties en organisaties die zich bezighouden met gevoelige kwesties, met name die met betrekking tot Oost-Europa, is het risico op stille datalekken nog nooit zo groot geweest. Omdat LOSTKEYS niet is ontworpen om data te vernietigen of te verstoren, maar om onopgemerkt data te verzamelen, kan de aanwezigheid ervan lange tijd onopgemerkt blijven.
Bovendien laat het toenemende gebruik van tactieken zoals ClickFix zien hoe aanvallers zich aanpassen. In plaats van te proberen de versterkte verdediging te doorbreken, misbruiken ze menselijk gedrag door gebruikers te verleiden zelf kwaadaardige commando's uit te voeren. Deze aanpak kan veel traditionele beveiligingsmaatregelen en antivirusprogramma's omzeilen.
Een bredere trend
LOSTKEYS opereert niet in isolatie. Andere aanvallers hebben de ClickFix-methode hergebruikt om verschillende malware te verspreiden, waaronder banking trojans en Mac-specifieke datadieven. Technieken zoals EtherHiding , die schadelijke code verbergt in blockchaintransacties, worden in deze campagnes verwerkt, waardoor detectie nog lastiger wordt.
Een onderzoeker ontdekte onlangs een grootschalige campagne genaamd MacReaper, waarbij meer dan 2800 legitieme websites werden gehackt om nep-CAPTCHA-pagina's te tonen. Deze misleidende toegangspunten bedienen verschillende malwarefamilies, waaronder Atomic Stealer , die zich richten op macOS-systemen.
Geïnformeerd en veilig blijven
Hoewel de technische verfijning van LOSTKEYS en de bijbehorende aflevermechanismen zorgwekkend is, blijft waakzaamheid de beste verdediging. Gebruikers moeten voorzichtig zijn wanneer ze worden gevraagd onbekende opdrachten uit te voeren of onverwachte webformulieren in te vullen. Organisaties, met name organisaties die met gevoelige gegevens of beleid werken, moeten blijven investeren in training, endpointbeveiliging en threat intelligence.
LOSTKEYS herinnert ons eraan dat moderne bedreigingen vaak subtiel zijn. Het zijn niet de lawaaimakers, maar de stille types die in het digitale tijdperk wellicht het grootste beveiligingsrisico vormen.
