Een Chinese hackgroep is wereldwijd op bijzonder ingenieuze wijze doorgedrongen tot de kern van telecomnetwerken. De groep richt zich op een strategische positie diep in de infrastructuur en vervolgens op het langdurig verzamelen van inlichtingen, het lokaliseren van abonnees en het monitoren van geopolitieke doelwitten.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Door deze geavanceerde manier van werken is het voor getroffen bedrijven haast niet mogelijk de spionage op te merken. Dat hebben onderzoekers van het Amerikaanse cybersecuritybedrijf Rapid7 ontdekt.
Zij presenteren hun bevindingen donderdag op de RSA Conference in San Francisco. ‘Wat opvalt is niet alleen de technische verfijning, maar vooral de discipline en strategie van de groep’, zegt een van de onderzoekers, Christiaan Beek. ‘De malware die ze gebruiken laat zien dat de aanvallers precies begrijpen hoe telecomomgevingen werken. Dat wijst op een hoge mate van voorbereiding en operationele volwassenheid.’
De Chinese groep dringt de telecomnetwerken eerst binnen via kwetsbaarheden in apparaten aan de rand van het netwerk. In deze zogeheten edge devices, zoals Fortinet-firewalls en Ivanti VPN’s, zijn de laatste jaar veelvuldig zwakke plekken gevonden.
Daarna plaatsen de aanvallers een achterdeur, BPFDoor, diep in het netwerk, op het niveau van de kernel. Die wordt gezien als het hart van een besturingssysteem en regelt fundamentele operationele taken. Daar ‘luistert’ de Chinese software passief mee naar het netwerkverkeer, in tegenstelling tot traditionele malware die zichtbaarder communiceert. Dat maakt dat de infiltratie jarenlang ongezien kan blijven.
Beek: ‘Toegang op kernelniveau geeft een zeer krachtige positie. In een telecomnetwerk kan dit inzicht geven in de metadata van communicatie, zoals wie met wie belt, en in verkeer dat nodig is om apparaten te authentiseren en lokaliseren.’ Zo kan China personen volgen of langdurig communicatiepatronen bijhouden. ‘Dat is vanuit een inlichtingenperspectief zeer waardevol.’
Telecomnetwerken over de hele wereld zijn slachtoffer. Eerder werd een hack bij het Zuid-Koreaanse SK Telecom in verband gebracht met de aanwezigheid van een BPFDoor. De infiltratie duurde drie jaar en 27 miljoen klanten werden erdoor geraakt. Andere getroffen telecompartijen aanwijzen is volgens Beek lastig. ‘Omdat de aanvallers zich verbergen in het ‘normale’ verkeer binnen een netwerk is de malware niet makkelijk te vinden. We zoeken niet naar een speld in een hooiberg, maar we zoeken naar een speld die zich voordoet als hooi.’
Het Nederlandse Nationaal Cyber Security Center (NCSC) is op de hoogte van de dreiging maar zegt nooit uitspraken te doen over Nederlandse slachtoffers.
Een woordvoerder beaamt dat de ‘technische functionaliteiten van BPFDoor’ detectie complex maakt. ‘Indien kwaadwillenden deze malware bij Nederlandse organisaties zouden inzetten, zou het mogelijk zijn dat zij voor langere tijd toegang kunnen behouden voor onder andere spionagedoeleinden.’
Beek wijst erop dat telecominfrastructuur sterk met elkaar verweven is. ‘Daardoor is het risico niet beperkt tot één regio. We zien activiteit in meerdere delen van de wereld, en Europa maakt daar deel van uit.’
Vaisha Bernard, chief hacker bij het Nederlandse securitybedrijf Eye en niet betrokken bij het onderzoek van Rapid7, noemt de bevindingen interessant. Met name het verbergen van de communicatie van de BPFDoor in legitiem netwerkverkeer vindt hij opzienbarend. Bernard: ‘Dit geeft aan dat er goed wordt nagedacht en dat het is ontwikkeld door een professioneel team met een duidelijk doel en heldere visie.’
Het wijst erop dat China op digitaal gebied steeds volwassener wordt en de Verenigde Staten aan het naderen is. Bernard: ‘Dit begint toch wel hoogstaand te worden. En ik denk dat een vergelijking met waar de Amerikaanse afluisterdienst NSA tien jaar geleden mee bezig was, zeker opgaat. Het is duidelijk dat hier flinke budgetten en grote teams met slimme ontwikkelaars achter zitten.’
Bedrijven zouden daarvan niet hoeven schrikken, zegt Bernard. ‘We weten al heel lang dat Chinese hackgroepen veel geld hebben en de hele wereld bespioneren. Dat ze continu hun methoden en technieken verbeteren, lijkt me dan ook een conclusie die we al heel lang geleden hadden moeten trekken.’
In 2025 maakten inlichtingendiensten AIVD en MIVD bekend dat sporen van Salt Typhoon, een andere Chinese hackgroep, waren aangetroffen in kleinere internet- en hostingpartijen in Nederland. Salt Typhoon hoort bij het Chinese ministerie van Staatsveiligheid (MSS) en had eerder negen Amerikaanse telecompartijen geïnfiltreerd.
De groep had daardoor toegang tot metadata van telefoongesprekken, sms-berichten, een miljoen telefoonnummers in de regio Washington DC en zelfs tot de inhoud van sommige gesprekken. Volgens The New York Times waren onder anderen president Donald Trump, zijn vice-president JD Vance en stafleden van de Democratische presidentskandidaat Kamala Harris doelwit van de hackers.
De Nederlandse inlichtingendiensten zeggen dat de Chinese digitale dreiging zo geavanceerd is ‘dat continue inzet en aandacht nodig zijn’ om hackoperaties ‘tijdig te detecteren en te verhelpen’.
Luister hieronder ook naar de podcast Schaduwoorlog. Al onze podcasts vind je op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.