Wees niet al te ongerust, maar tienduizenden legitiem websites over de hele wereld voeren nu in stilte de bevelen van cybercriminelen uit.
Achter wat lijkt op een normale startpagina, malware gebruikt het Domain Name System (DNS) – hetzelfde protocol dat in wezen het internet ‘laat werken’ door webadressen in IP-nummers te vertalen – om in het geheim contact op te nemen met door aanvallers gecontroleerde servers en te beslissen wie wordt omgeleid, geïnfecteerd of met rust wordt gelaten.
Wat overblijft is een onzichtbare laag van compromissen die de meeste bezoekers, en zelfs veel beveiligingstools, nooit zullen ontdekken.
Vice-president van Threat Intel voor Infoblox.
De boosdoener, die onze onderzoekers ‘Detour Dog’ hebben genoemd, is een al lang bestaande malware-operatie die op een slimme manier is geëvolueerd van het uitvoeren van advertentiezwendel naar het verspreiden van krachtige informatiestelende malware. Het geniale van deze campagne ligt in de misleiding en vermomming.
De site die u ziet terwijl u op internet surft, ziet er misschien goed uit, maar die van u navigator gesprekken achter de schermen kunnen bestaan uit het “ophalen” van commando’s van een criminele infrastructuur aan de andere kant van de wereld, vandaar het label “Detour Dog”.
De afgelopen maanden wel infrastructuur werd gebruikt om Strela Stealer te leveren, waarbij geïnfecteerde bijlagen in e-mails een stealth DNS-kanaal activeren om malware op te halen en uit te voeren.
De reikwijdte van Detour Dog is behoorlijk verbluffend. Meer dan 30.000 websites werden gehackt, waardoor er gezamenlijk miljoenen DNS TXT-recordquery’s per uur werden gegenereerd, die elk een potentieel signaal vertegenwoordigden voor het op afstand uitvoeren of omleiden van code.
Omdat de kwaadaardige logica op de webserver zelf draait, laat deze geen zichtbaar spoor achter op de computer van de gebruiker. De meeste bezoeken lijken volkomen legitiem. Slechts een klein deel, ongeveer één op de tien, veroorzaakt enige vorm van kwaadwillige actie, waardoor het buitengewoon moeilijk te detecteren of te reproduceren is.
Wat we zien is een stealth-campagne die meer dan een jaar op hetzelfde domein kan voortduren, waarbij in stilte gegevens worden gestolen, verkeer wordt omgeleid en een van de meest vertrouwde systemen van het internet, DNS, als wapen tegen zichzelf wordt gebruikt.
Kijk je goed?
Bijna zo oud als het internet zelf, is DNS het systeem dat een naam als TechRadar.com vertaalt naar het numerieke adres dat uw browser nodig heeft om er verbinding mee te maken. Toen het werd gemaakt, was het niet met het bestand ontworpen veiligheid de uitdagingen van 2025 in gedachten houden, en dat is een hardnekkig probleem, maar Detour Dog heeft een manier gevonden om het volledig te bewapenen.
In plaats van DNS te gebruiken om legitieme vragen op te lossen, gebruikt de malware het als een geheim commandokanaal, waarbij instructies worden verborgen in zogenaamde “TXT-records” – velden die normaal gesproken worden gebruikt voor onschadelijke configuratiegegevens of e-mail verifiëren.
Wanneer een gecompromitteerde website een van deze DNS-query’s uitvoert, reageert de naamserver van de aanvaller met een gecodeerd bericht: soms om “niets te doen”, soms om de bezoeker ergens anders heen te leiden, en af en toe om kwaadaardige inhoud op te halen en uit te voeren.
Omdat dit allemaal aan de serverzijde gebeurt, is het onzichtbaar voor de persoon die de site bezoekt en bijna onmogelijk voor traditionele eindpuntbeveiliging om te detecteren. Uw virusbeschermingssoftware is hier niet goed.
Het is ongelooflijk alomtegenwoordig, maar ook verrassend eenvoudig. Door de DNS-zoekopdracht zelf in een controlemechanisme te veranderen, vermijdt Detour Dog de gebruikelijke waarschuwingssignalen van een standaard malware-infectie. Er zijn geen verdachte downloads, pop-ups of nieuwe processen om te scannen – alleen een website die stilletjes instructies volgt die niet zouden moeten worden gescand.
Het is het digitale equivalent van een goocheltruc: terwijl verdedigers naar de hand van een goochelaar kijken, gebeurt de echte actie in hun mouw of achter hen.
Het resultaat is een kaarttruc bij de verspreiding van malware, waarbij elk verzoek legitiem lijkt en de werkelijke locatie van de payload altijd één stap verwijderd is van waar u verwacht dat deze zich bevindt.
Van fraude tot diefstal
Toen Detour Dog voor het eerst uitkwam, leek het doel ervan bijna onbelangrijk vergeleken met andere aanvallen. De geïnfecteerde sites stuurden gebruikers ‘gewoon’ door naar online oplichting en valse CAPTCHA-pagina’s die waren ontworpen om klikken en advertentie-inkomsten te verzamelen. Maar tegen het einde van 2024 nam de operatie een donkerdere wending.
Dezelfde infrastructuur die ooit verkeer naar dubieuze advertentienetwerken leidde, begint nu te dienen als distributieplatform voor ernstige malware.
Medio 2025 werd het gebruikt om Strela Stealer te distribueren, een programma voor het stelen van informatie dat wordt verspreid via kwaadaardige e-mailbijlagen die browsergegevens, opgeslagen inloggegevens en systeeminformatie kunnen exfiltreren.
Detour Dog host de malware niet rechtstreeks. In plaats daarvan fungeert het als een DNS-relay, waarbij het in stilte externe ladingen ophaalt die door aanvallers worden beheerd server en serveer ze via de gehackte website zelf.
Dus, wat is Detour Dog, vraag je? Dit is nog steeds een moeilijke vraag. Het is niet bekend of Detour Dog een dienstverlener is of tegelijkertijd eigen campagnes voert. Maar we weten dat de bedreigingsacteur andere actoren, zoals de beruchte Hive0145, heeft toegestaan hun lading af te leveren via de kanalen van Detour Dog.
Ons team ontdekte dat meer dan tweederde van de stagingdomeinen die aan deze campagnes waren gekoppeld, werden beheerd door Detour Dog, wat erop wijst dat de operatie inderdaad betaalde bezorging bood.
Voor gewone gebruikers zoals u en ik betekent dit dat een enkele klik op een ogenschijnlijk veilige website of een legitiem ogende facturerings-e-mail een onzichtbare kettingreactie kan veroorzaken: een DNS-verzoek, een opdracht voor uitvoering op afstand en ten slotte een stille infectie die ervoor kan zorgen dat uw gegevens gestolen worden.
Spam, botnets en de nieuwe criminele toeleveringsketen
E-mail blijft een belangrijke factor voor veel van deze ketens. Schadelijke bijlagen (vaak valse facturen of iets dergelijks) zetten een uit meerdere stappen bestaand proces op gang waarbij de uiteindelijke ‘payload’ niet altijd rechtstreeks van de document.
In plaats daarvan verwijzen deze bijlagen naar gecompromitteerde domeinen die de naamservers van Detour Dog raadplegen voor instructies, waardoor een simpele klik wordt omgezet in een server-side downloaden en doorsturen.
In de door ons en externe onderzoekers onderzochte campagnes verzorgden REM Proxy (een op MikroTik gebaseerd botnet) en Tofsee de massadistributie, terwijl Detour Dog zorgde voor de sticky hosting en DNS-relays die de ware oorsprong van de malware maskeerden.
Het resultaat is blijkbaar een ‘as-a-service’-economie: de ene groep verzendt de spam, een andere biedt veerkrachtige hosting en C2 DNS, en een derde (bijvoorbeeld de Strela Stealer Hive0145-operators) zorgt voor de payload.
Uit onze analyse bleek dat ongeveer 69% van de tijdens de geobserveerde periode gemelde stagingdomeinen onder de controle van Detour Dog stond, wat erop wijst dat de infrastructuur werd verhuurd of hergebruikt als leveringsbackend in plaats van voor een enkele campagne.
Deze taakverdeling maakt verwijderingen en toewijzingen moeilijker, omdat als je een knooppunt verwijdert, operators snel vervangingen kunnen omleiden of activeren, en verdedigers dwingt te reageren via e-mailfilters en intelligentie op DNS-niveau om verborgen TXT-recordopdrachten te blokkeren voordat ze stroomafwaarts worden geactiveerd.
Detour Dog herinnert u eraan dat enkele van de gevaarlijkste bedreigingen slechts één klik verwijderd kunnen zijn. Door DNS zelf te gebruiken, hebben aanvallers een manier gevonden om het dagelijkse webverkeer om te zetten in een verborgen distributiesysteem voor malware en gegevensdiefstal. De enige manier om dit tegen te gaan is door DNS te behandelen als een frontlinieverdedigingslaag.
We hebben de beste online cybersecuritycursus gepresenteerd.
Dit artikel is geproduceerd als onderdeel van TechRadarPro’s Expert Insights-kanaal, waar we de beste en slimste koppen op het gebied van technologie van vandaag presenteren. De hierin uitgedrukte meningen zijn die van de auteur en zijn niet noodzakelijkerwijs die van TechRadarPro of Future plc. Als u geïnteresseerd bent om een bijdrage te leveren, kunt u hier meer informatie vinden: https://www.techradar.com/news/submit-your-story-to-techradar-pro
