Op 8 oktober 2025 ontdekten cybersecurity-onderzoekers een geavanceerde phishing-campagne gericht op verschillende organisaties die banden hebben met de oorlogshulpverlening en wederopbouwinspanningen van Oekraïne. De campagne, geïdentificeerd onder de naam PhantomCaptcha, was gericht op hulporganisaties, waaronder het Oekraïense kantoor van het Kinderfonds van de Verenigde Naties (UNICEF), de Noorse Vluchtelingenraad, het Register of Damage for Ukraine van de Raad van Europa en regionale overheidsadministraties in Donetsk, Dnipropetrovsk, Poltava en Mykolaiv.
Onderzoekers van meldden dat de aanvallers gebruik maakten van SentinelOne valse rekruteringsberichten en vervalste officiële communicatie, met boobytraps PDF-bestanden en valse links die slachtoffers naar kwaadaardige trojans voor externe toegang (RAT’s) leidden. De campagne combineert social engineering en geavanceerde malware op een bijzonder gerichte manier.
De campagne maakte vooral gebruik van goed opgestelde e-mails die afkomstig leken te zijn van het kantoor van de Oekraïense president, naast andere gezaghebbende bronnen. De e-mails voegden PDF-documenten toe met een ingesloten link. Toen op de link werd geklikt, werd het slachtoffer omgeleid naar een nep-“captcha”-pagina (zoomconference.app) die zich voordeed als een legitiem videoconferentieplatform. Die pagina activeerde vervolgens een WebSocket-verbinding met een externe server en installeerde een PowerShell-opdracht die leidde tot de installatie van malware.
Nadat het slachtoffer de PowerShell-opdracht had uitgevoerd, haalde de downloader van de eerste fase een secundaire payload op van een externe server. Die payload bleek een gespecialiseerde WebSocket-gebaseerde RAT te zijn, geïnstalleerd op een door de aanvaller gecontroleerde infrastructuur. Deze malware gaf de dreigingsactor volledige controle op afstand, waardoor bestandsdiefstal, monitoring en verdere implementatie van de payload mogelijk waren.
Interessant is dat het nepdomein achter de verleiding van de videoconferentie slechts één dag actief was voordat het verdween, in tegenstelling tot enkele maanden voorbereidend werk, inclusief domeinregistraties in maart 2025. Dat suggereert een hoge operationele beveiliging en langetermijnplanning door de aanvallers.
Hulpgroepen werden doelwitten
Dit zijn niet zomaar willekeurige slachtoffers. De beoogde partijen zijn organisaties die actief zijn in of steun verlenen aan door oorlog getroffen regio’s van Oekraïne met een aanzienlijke internationale blootstelling, financiële stromen en donorgegevens. Toegang tot hun netwerken kan aanvallers waardevolle informatie verschaffen of een hefboom zijn voor verdere inbraken.
Dreigingsonderzoekers wezen erop dat de aanvallers door het binnendringen van een hulpgroep informatie konden verzamelen, zoals donorlijsten, overheidscorrespondentie, financiële gegevens en projectgegevens. Die activa zijn aantrekkelijk voor zowel spionage als financiële criminaliteit. En aangezien sommige van de doelen actief zijn in regio’s die betrokken zijn bij het conflict met Rusland, kan de inbraak bredere strategische doelen dienen dan alleen diefstal.
Wat maakt deze campagne uniek
In tegenstelling tot massale phishing-campagnes die duizenden e-mails op grote schaal verspreiden, lijkt de PhantomCaptcha-aanval zeer gericht en op maat gemaakt. De eerste domeinregistratie vond plaats rond 27 maart 2025, wat wijst op maanden van verkenning vóór de daadwerkelijke aanval. De infrastructuur van de aanvaller omvatte ook “princess-mens.click”, een domein dat wordt gebruikt om Android-verzamelingsapps te leveren die in staat zijn om geolocatie, contacten, oproeplogboeken, media en geïnstalleerde apps van slachtoffers te verzamelen.
Het gebruik van belangrijke webtechnologieën zoals WebSockets voor de RAT, legitiem ogende onderscheppingspagina’s en PowerShell-ketens zonder inloggegevens toont aan dat de aanvallers zich op hun gemak voelden bij het combineren van social engineering, lichtgewicht scripting en stealth. De combinatie van valse Zoom-links en CAPTCHA-pagina’s creëerde zowel een gevoel van urgentie als legitimiteit, twee belangrijke ingrediënten voor succesvolle phishing.
Wat de organisaties nu moeten doen
Voor hulporganisaties, non-profitorganisaties en elke entiteit die actief is in conflict- of hulpgebieden, biedt deze aanval verschillende lessen:
- Controleer e-mails voor werving en selectie zorgvuldig, vooral wanneer ze afkomstig zijn van onbekende domeinen of bijlagen bevatten.
- Schakel nooit macro’s in, sta nooit toe dat scripts worden uitgevoerd en klik nooit op koppelingen van documenten die onverwacht worden ontvangen, zelfs niet van vertrouwde contactpersonen.
- Bewaak apparaatregistraties, instellingen van authenticator-apps en WebSocket-verbindingen op schaal om ongebruikelijke inkomende signalen te detecteren.
- Behandel videoconferentieplatforms en donatiesystemen als potentiële aanvalsvectoren, niet alleen als interne communicatiemiddelen.
- Voer regelmatig audits uit van apparaten, proxylogboeken en endpointactiviteit op tekenen van asymmetrische inbraak – houd er rekening mee dat aanvallers kunnen verschijnen als legitieme gebruikers.
Als er veel op het spel staat, moet cyberbeveiliging dienovereenkomstig vooruitgaan. Aanvallers zijn niet alleen meer uit op financieel gewin. Ze infiltreren organisaties door één-op-één social engineering te combineren met op maat gemaakte malware. Dat vereist dat verdedigers overschakelen van “bulk preventieve” tactieken naar “op maat gemaakte respons”-strategieën.
De PhantomCaptcha-campagne bewijst dat zelfs vertrouwde instellingen die in humanitaire rollen werken, nog steeds het risico lopen op complexe aanvallen. De afhankelijkheid van legitiem ogende platforms zoals Zoom en nep-cloud CAPTCHA-controles laat zien hoe infrastructuur waarvan mensen aannemen dat deze veilig is, zich tegen hen kan keren. Verdedigen in deze omgeving gaat over constante verificatie, niet over aannames.