De Cybersecurity and Infrastructure Security Agency heeft een waarschuwing uitgegeven dat commerciële spyware-operators berichtenplatforms targeten om zero-click exploits op persoonlijke apparaten uit te voeren. De instantie meldt dat de aanvallers zich hebben gericht op hooggeplaatste personen, waaronder overheidsfunctionarissen, leden van het maatschappelijk middenveld en hoge functionarissen uit de private sector. Volgens het advies worden versleutelde berichtenprogramma’s gebruikt als leveringskanalen omdat aanvallers de functies van gekoppelde apparaten en accounthersteltools kunnen manipuleren.
CISA verklaarde dat recente activiteiten betrekking hadden op WhatsApp, Signal en Telegram. Volgens het advies gebruiken dreigingsactoren zero-click kwetsbaarheden en social engineering-technieken waarmee ze apparaten kunnen compromitteren zonder enige interactie van het slachtoffer. Eenmaal in een apparaat kunnen operators extra payloads inzetten om de toegang uit te breiden, data te verzamelen of communicatie te monitoren. De dienst merkte op dat deze operaties in meerdere regio’s zijn waargenomen en een voortdurende interesse in op mobiel gerichte spionage weerspiegelen.
Technieken en geïdentificeerde doelen
Het advies merkt op dat veel slachtoffers rollen bekleden die verband houden met diplomatie, defensie of politieke besluitvorming. Onderzoekers van Google’s Threat Intelligence Group en Palo Alto’s Unit 42 identificeerden campagnes waarin Russisch-gelinkte actoren de gekoppelde apparaatfunctie van Signal gebruikten om accounts te spiegelen en spyware te implementeren. Aanvallers hebben ook phishingberichten en kwaadaardige QR-codes gebruikt om doelapparaten te verbinden met de infrastructuur van aanvallers. Deze methoden stellen operators in staat om controle te vestigen via functies die ontworpen zijn om gebruiksgemak te bieden.
CISA meldde dat aanvallers soms legitieme berichtendiensten nadoen om slachtoffers te overtuigen frauduleuze apparaatlinks goed te keuren. Andere technieken zijn onder meer het uitbuiten van accountherstelstromen om door aanvallers gecontroleerde informatie in te voegen. Na toegang kunnen operators privé-uitwisselingen observeren, inloggegevens extraheren of persistentietools installeren die actief blijven bij herstarts van het apparaat. Het advies legt uit dat deze tactieken de kans op detectie verkleinen en de duur van ongeoorloofde toegang verlengen.
CISA waarschuwde dat versleutelde berichtenprogramma’s de blootstelling niet elimineren wanneer aanvallers gebruik maken van functies zoals apparaatkoppeling of herstelmechanismen. Waardevolle doelen lopen een verhoogd risico omdat hun persoonlijke apparaten vaak gevoelige materialen bevatten die verband houden met professionele taken. De instantie merkte op dat berichtplatforms strategische interessepunten zijn geworden voor inbraken, omdat aanvallers privécommunicatie zien als waardevolle inlichtingenbronnen.
Het advies raadt gebruikers aan om alle gekoppelde apparaten binnen hun berichtenprogramma’s te verifiëren en QR-codes te vermijden of verbindingsverzoeken van onbekende bronnen goed te keuren. CISA verwees gebruikers naar richtlijnen die zijn opgenomen in de Mobile Communications Best Practices Guide voor hoogwaardige individuen en een extra bron voor maatschappelijke groepen die met beperkte middelen opereren. Gebruikers worden aangemoedigd om de sterkste beschikbare authenticatieopties in te schakelen, accountactiviteit te bekijken en niet-erkende apparaatassociaties te verwijderen.
Beveiligingsanalisten zeiden dat de verschuiving naar zero-click-methoden erop wijst dat aanvallers investeren in technieken die de gebruikelijke beveiliging omzeilen. Volgens het advies moeten personen die met gevoelige informatie omgaan beveiliging van persoonlijke apparaten als een essentieel onderdeel van hun bredere operationele risicostrategie beschouwen. Berichtenplatforms blijven interesse trekken van dreigingsacteurs die toegang zoeken tot privégesprekken, contactlijsten en authenticatiegegevens.