De Europese cybersecurityspecialist NVISO, opgericht in België in 2013, heeft voor het eerst sinds de identificatie van de malware een grootschalige cyberspionagecampagne blootgelegd waarbij meer dan 1.500 servers gebruik maken van VShell, een onopvallende en modulaire backdoor. Dankzij zijn unieke detectiemethodologie is NVISO het eerste bedrijf dat dit type wereldwijde exploitatie met de VShell-malware aan het licht brengt. De malware, die vaak wordt geassocieerd met aan China gelinkte dreigingsactoren, wordt ingezet voor langdurige infiltratie van overheidsinstanties, zorgverleners, militaire instellingen en onderzoeksorganisaties.
De ontdekking begon tijdens een digitale forensische opdracht bij een Europese organisatie. Verdere analyse leidde NVISO tot de identificatie van een wereldwijde infrastructuur van VShell-command-and-controlservers, met de grootste concentraties in Zuid-Amerika, Afrika en de regio Azië-Pacific. Hoewel deze servers hoofdzakelijk buiten Europa gevestigd waren, kon NVISO vaststellen dat ook Europese organisaties werden getroffen, waaronder entiteiten in België, Duitsland en Portugal.
Dit is de tweede keer in 2025 dat NVISO publiek een backdoorcampagne onthult die wordt gebruikt voor cyberspionage door actoren met vermoedelijke banden met Chinese staatsbelangen. Eerder dit jaar maakte NVISO de BRICKSTORM-malware bekend, die eveneens werd gelinkt aan aanvallen op kritieke infrastructuur. In samenwerking met Team Cymru kon NVISO de VShell-command-and-controlservers koppelen aan de getroffen organisaties. NVISO heeft vervolgens slachtofferorganisaties geïnformeerd via betrouwbare kanalen zoals wetshandhavingsinstanties en nationale CERT’s, en technische detectierichtlijnen gepubliceerd.
Onderdeel van een groeiend patroon van wereldwijde spionage
Cyberspionage door groepen met vermoedelijke banden met China is in het voorbije decennium geëvolueerd van luidruchtige, opportunistische datadiefstal naar stille, langdurige infiltratiestrategieën. Dreigingsactoren maken steeds vaker gebruik van technieken als “living off the land”, waarbij legitieme software die al op systemen aanwezig is, wordt misbruikt. Ze richten zich ook op apparaten zoals firewalls en VPN’s – systemen die bedoeld zijn voor beveiliging maar moeilijk te monitoren zijn.
Het doel is niet langer enkel het stelen van gegevens, maar het behouden van strategische toegang tot kritieke infrastructuur in sectoren als energie, gezondheidszorg, communicatie en transport. Die toegang kan in tijden van geopolitieke spanning worden gebruikt voor spionage, beïnvloeding of verstoring. Campagnes zoals Volt Typhoon hebben aangetoond hoe aanvallers onopgemerkt blijvende toegang verkrijgen tot vitale systemen – vaak als voorbereiding op toekomstige conflicten.
Deze evolutie weerspiegelt bredere inlichtingenstrategieën van China, die historisch geworteld zijn in academische samenwerking en joint ventures. Met operaties zoals Cloud Hopper (APT10) en andere aanvallen via IT-dienstverleners vervaagt de grens tussen spionage en supplychain-compromittering steeds verder. De ontdekking van NVISO van de VShell-infrastructuur, met slachtoffers onder overheidsinstanties, zorginstellingen, militaire organisaties en onderzoekscentra, bevestigt dat het hier niet om geïsoleerde incidenten gaat, maar om een systematische wereldwijde strategie. Organisaties moeten dit beschouwen als een bedrijfsrisico dat op bestuursniveau aandacht vereist, niet enkel als een IT-probleem.
Een onopvallend en modulair indringingsmiddel
VShell is geen onbekende malwaretool. Oorspronkelijk ontwikkeld als een legitiem open-sourcebeveiligingsproject, is het uitgegroeid tot een krachtige Remote Access Trojan (RAT). De tool is sterk modulair, platformonafhankelijk en ondersteunt versleutelde communicatie, bestandsoverdracht, schermopname en commando-uitvoering. Eenmaal geïnstalleerd, laat hij aanvallers toe lateraal te bewegen binnen systemen met minimale forensische sporen.
De aanleiding voor deze ontdekking was NVISO’s werk binnen digital forensics & incident response bij een Europese organisatie. Verdere proactieve analyse bracht voor het eerst een wereldwijde infrastructuur van gecompromitteerde servers aan het licht. NVISO ontwikkelde een eigen detectiemethode om de servers te valideren en werkte samen met Team Cymru om de infrastructuur tot op bedrijfsniveau te traceren.
Sterke Chinese linken, maar ook breder gebruik
VShell wordt publiek gelinkt aan UNC5174, een vermoedelijke initial access broker met banden met het Chinese Ministerie van Staatsveiligheid (MSS). Hoewel NVISO bevestigt dat aan China gelinkte actoren de tool het meest intensief gebruiken, zorgt de publieke beschikbaarheid van VShell ervoor dat deze ook wordt ingezet door andere staatsgelieerde en onafhankelijke actoren.
Volgens NVISO maakt VShell deel uit van een groeiend en divers ecosysteem van aanvallers. Door zijn toegankelijkheid en effectiviteit is het een voorkeursmiddel voor cyberspionagecampagnes die zich richten op zowel publieke als private organisaties.
Voortdurende dreiging vereist sterke verdediging
“Cyberspionage draait vandaag niet enkel om het stelen van bestanden, maar om langdurige infiltratie, beïnvloeding en zelfs verstoring wanneer dat strategisch voordeel oplevert,” zegt Michel Coene, Partner Incident Response bij NVISO. “Deze casus benadrukt het groeiende belang van Europese cybersecuritycapaciteiten om wereldwijde dreigingen op te sporen en tegen te gaan. De schaal van deze campagne toont dat elke organisatie een doelwit kan zijn. Het is daarom cruciaal om proactieve maatregelen te nemen: systemen snel patchen, kritieke netwerken segmenteren, gelaagde detectie met dreigingsinformatie inzetten en actief zoeken naar sporen van inbraak. We hebben technische indicatoren en detectierichtlijnen gepubliceerd zodat organisaties kunnen nagaan of ze getroffen zijn en welke stappen ze moeten nemen.”
Alle geïdentificeerde getroffen organisaties zijn intussen op de hoogte gebracht van de ontdekking en de nodige acties die ze moeten ondernemen.
Kijk hier voor het volldige rapport.
