Uit onderzoek van Unit 42, het onderzoeksteam van Palo Alto Networks, blijkt dat een door een staat gesteunde dreigingsgroep in korte tijd diep is binnengedrongen in gevoelige systemen van overheden en strategische organisaties in 37 landen. De activiteiten volgden vaak kort na geopolitieke gebeurtenissen en richtten zich op omgevingen met beleidsmatige, economische en diplomatieke informatie.
Het onderzoek beschrijft een gerichte cyberspionagecampagne die door Unit 42 is aangeduid als The Shadow Campaigns. De verantwoordelijke dreigingsactor, TGR-STA-1030, maakte volgens het onderzoek geen gebruik van grootschalige geautomatiseerde aanvallen, maar van maatwerk en nauwkeurig geselecteerde doelwitten. Daarmee wist de groep langdurig toegang te behouden tot kritieke systemen.
De aanvallen waren gericht op onder meer nationale politiediensten, grensautoriteiten en ministeries van Financiën, evenals overheidsafdelingen die zich bezighouden met handel, natuurlijke hulpbronnen en diplomatie. In Europa zijn onder andere Duitsland, Italië, Polen, Portugal, Tsjechië, Servië, Griekenland en Cyprus getroffen.
Unit 42 constateert dat de groep snel opereerde. In meerdere gevallen vonden aanvallen plaats binnen enkele dagen na grote geopolitieke ontwikkelingen. Toegang tot netwerken werd verkregen via gerichte phishingmails en door misbruik te maken van bekende kwetsbaarheden in veelgebruikte software, waaronder Microsoft Exchange, SAP en Atlassian-producten.
De gebruikte malware was volgens het onderzoek bewust eenvoudig en compact opgezet om detectie te vermijden. Daarnaast maakte de groep gebruik van nieuwe verborgen software, waaronder een Linux kernel rootkit, om langdurig onzichtbaar aanwezig te blijven binnen systemen. Deze aanpak vergrootte de kans op blijvende toegang en het ongemerkt verzamelen van gegevens.
Tussen november en december 2025 signaleerde Unit 42 bovendien actieve verkenningsactiviteiten tegen overheidsnetwerken in 155 landen. Dat wijst volgens het onderzoek op een wereldwijde schaal en een strategische inzet van middelen. Op basis van dreigingsinformatie en zicht op eigen beveiligingsplatforms kon Unit 42 de activiteiten identificeren en in samenwerking met overheden betrokken organisaties informeren en ondersteunen bij herstelmaatregelen.
