Het Duitse Federale Bureau voor de Bescherming van de Grondwet (ook bekend als Bundesamt für Verfassungsschutz of BfV) en het Federale Bureau voor Informatiebeveiliging (BSI) hebben een gezamenlijke adviserende waarschuwing afgegeven voor een kwaadaardige cybercampagne, ondernomen door een waarschijnlijk door de staat gesponsorde dreigingsactor, waarbij phishing-aanvallen worden uitgevoerd via de Signal-berichtenapp.
“De focus ligt op hooggeplaatste doelwitten in de politiek, het leger en de diplomatie, evenals op onderzoeksjournalisten in Duitsland en Europa”, aldus de agentschappen. “Ongeautoriseerde toegang tot messenger-accounts geeft niet alleen toegang tot vertrouwelijke privécommunicatie, maar brengt mogelijk ook hele netwerken in gevaar.”
Een opmerkelijk aspect van de campagne is dat er geen sprake is van de verspreiding van malware of het misbruiken van beveiligingsproblemen in het op privacy gerichte berichtenplatform. Het uiteindelijke doel is eerder om de legitieme functies ervan te bewapenen om heimelijke toegang te verkrijgen tot de chats van een slachtoffer, samen met hun contactlijsten.
De aanvalsketen is als volgt: de bedreigingsactoren doen zich voor als “Signal Support” of een ondersteunende chatbot met de naam “Signal Security ChatBot” om direct contact te initiëren met potentiële doelwitten, waarbij ze er bij hen op aandringen een pincode of verificatiecode te verstrekken die ze via sms hebben ontvangen, anders riskeren ze gegevensverlies.
Als het slachtoffer hieraan voldoet, kunnen de aanvallers het account registreren en toegang krijgen tot het profiel, de instellingen, de contacten en de blokkeerlijst van het slachtoffer via een apparaat en mobiel telefoonnummer onder hun controle. Hoewel de gestolen pincode geen toegang geeft tot de eerdere gesprekken van het slachtoffer, kan een bedreigingsacteur deze gebruiken om inkomende berichten te onderscheppen en berichten te verzenden waarin hij zich voordoet als het slachtoffer.
Die doelgebruiker, die inmiddels de toegang tot zijn account heeft verloren, krijgt vervolgens van de bedreigingsacteur, vermomd als de ondersteunende chatbot, de opdracht om zich te registreren voor een nieuw account.
Er bestaat ook een alternatieve infectiereeks die gebruik maakt van de mogelijkheid om apparaten te koppelen om slachtoffers te misleiden om een QR-code te scannen, waardoor de aanvallers toegang krijgen tot het account van het slachtoffer, inclusief hun berichten van de afgelopen 45 dagen, op een apparaat dat door hen wordt beheerd.
In dit geval blijven de beoogde personen echter toegang houden tot hun account, zonder zich te realiseren dat hun chats en contactlijsten nu ook worden blootgesteld aan de dreigingsactoren.
De veiligheidsautoriteiten waarschuwden dat hoewel de huidige focus van de campagne op Signal lijkt te liggen, de aanval ook kan worden uitgebreid naar WhatsApp, omdat deze ook soortgelijke apparaatkoppelings- en pincodefuncties bevat als onderdeel van tweestapsverificatie.
“Succesvolle toegang tot messenger-accounts maakt het niet alleen mogelijk om vertrouwelijke individuele communicatie te bekijken, maar brengt mogelijk ook hele netwerken in gevaar via groepschats”, aldus BfV en BSI.
Hoewel het niet bekend is wie er achter deze activiteit zit, zijn soortgelijke aanvallen georkestreerd door meerdere aan Rusland verbonden dreigingsclusters, gevolgd als Star Blizzard, UNC5792 (ook bekend als UAC-0195) en UNC4221 (ook bekend als UAC-0185), volgens rapporten van Microsoft en Google Threat Intelligence Group begin vorig jaar.
In december 2025 beschreef Gen Digital ook een andere campagne met de codenaam GhostPairing, waarbij cybercriminelen hun toevlucht hebben genomen tot de apparaatkoppelingsfunctie op WhatsApp om de controle over accounts over te nemen om zich waarschijnlijk voor te doen als gebruikers of om fraude te plegen.
Om beschermd te blijven tegen de dreiging, wordt gebruikers geadviseerd om geen gebruik te maken van ondersteuningsaccounts en hun signaalpincode niet in te voeren als sms-bericht. Een cruciale verdedigingslinie is het inschakelen van Registratievergrendeling, waarmee wordt voorkomen dat ongeautoriseerde gebruikers een telefoonnummer op een ander apparaat registreren. Het is ook raadzaam om periodiek de lijst met gekoppelde apparaten te bekijken en onbekende apparaten te verwijderen.
Deze ontwikkeling komt op het moment dat de Noorse regering de door China gesteunde hackgroepen, waaronder Salt Typhoon, ervan beschuldigde in te breken in verschillende organisaties in het land door kwetsbare netwerkapparaten te exploiteren, terwijl ze Rusland ook opriep voor het nauwlettend in de gaten houden van militaire doelen en geallieerde activiteiten, en Iran voor het in de gaten houden van dissidenten.
De Noorse politie-veiligheidsdienst (PST) stelde dat Chinese inlichtingendiensten proberen Noorse staatsburgers te rekruteren om toegang te krijgen tot geheime gegevens en merkte op dat deze bronnen vervolgens worden aangemoedigd om hun eigen ‘menselijke bron’-netwerken op te zetten door parttimefuncties op vacaturesites te adverteren of hen via LinkedIn te benaderen.
Het agentschap waarschuwde verder dat China “systematisch” gezamenlijke onderzoeks- en ontwikkelingsinspanningen exploiteert om zijn eigen veiligheids- en inlichtingencapaciteiten te versterken. Het is vermeldenswaard dat de Chinese wet vereist dat softwarekwetsbaarheden die door Chinese onderzoekers zijn geïdentificeerd, uiterlijk twee dagen na ontdekking aan de autoriteiten moeten worden gemeld.
“Iraanse cyberbedreigingsactoren compromitteren e-mailaccounts, sociale-mediaprofielen en privécomputers van dissidenten om informatie over hen en hun netwerken te verzamelen”, aldus PST. “Deze actoren beschikken over geavanceerde capaciteiten en zullen hun methoden blijven ontwikkelen om steeds doelgerichter en indringender operaties tegen individuen in Noorwegen uit te voeren.”
De onthulling volgt op een advies van CERT Polska, waarin werd geoordeeld dat een Russische nationale hackgroep genaamd Static Tundra waarschijnlijk achter gecoördineerde cyberaanvallen zit die gericht zijn op meer dan dertig wind- en fotovoltaïsche parken, een particulier bedrijf uit de productiesector en een grote gecombineerde warmte- en elektriciteitscentrale (WKK) die warmte levert aan bijna een half miljoen klanten in het land.
“In elke getroffen faciliteit was een FortiGate-apparaat aanwezig, dat zowel als VPN-concentrator als als firewall diende”, aldus het rapport. “In alle gevallen was de VPN-interface blootgesteld aan internet en stond authenticatie toe voor accounts die in de configuratie waren gedefinieerd zonder meervoudige authenticatie.”
