De Nederlandse wetshandhavingsautoriteiten hebben, samen met collega’s uit Canada, Duitsland en de VS, de kwaadaardige infrastructuur die verband houdt met SocGholish verstoord en bijna 15.000 geïnfecteerde WordPress-websites opgeschoond.
“Met deze acties ontnemen we cybercriminelen de toegang tot geïnfecteerde computersystemen”, zegt Maikel Rollman van de Nationale High Tech Crime Unit Nederland.
“Dit voorkomt verdere schade aan de digitale systemen van burgers, bedrijven en organisaties wereldwijd en beperkt de verspreiding van malware. Het verkleint ook het risico dat deze systemen worden gebruikt voor cyberaanvallen op kritieke infrastructuur en andere essentiële maatschappelijke processen. Dit markeert het begin van verdere actie tegen SocGholish.”
De verwijdering maakt deel uit van Operatie Endgame, een lopend internationaal wetshandhavingsinitiatief om botnets en de daarmee samenhangende criminele infrastructuur te bestrijden. Het werd gelanceerd in 2024.
Als onderdeel van de inspanningen zijn 106 aan SocGholish gekoppelde servers verwijderd en zijn 14.971 WordPress-sites van de infecties verlost. Website-eigenaren zijn op de hoogte gebracht om hun contentmanagementsysteem (CMS) bij te werken, hun inloggegevens te wijzigen en verdachte accounts te verwijderen.
SocGholish is actief sinds 2017 en staat ook bekend als FakeUpdates. Het is een op JavaScript (JS) gebaseerde downloader-malware die doorgaans dient als kanaal voor malware in de volgende fase van verschillende bedreigingsactoren zoals Evil Corp (ook bekend als DEV-0243, Indrik Spider en UNC2165), LockBit, RansomHub, Dridex en Raspberry Robin (ook bekend als Roshtyak).
Het wordt verspreid via besmette websites door zich voor te doen als misleidende updates voor webbrowsers zoals Google Chrome of Mozilla Firefox en andere populaire software. De exploitanten van de malware zijn gevolgd onder verschillende aliassen, zoals Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 en UNC1543.
“SocGholish-infecties zijn doorgaans afkomstig van gecompromitteerde websites die op meerdere verschillende manieren zijn geïnfecteerd”, merkte Silent Push vorig jaar op in een analyse van de malware. “Website-infecties kunnen directe injecties met zich meebrengen, waarbij de SocGholish-payload-levering JS injecteert die rechtstreeks is geladen vanaf een geïnfecteerde webpagina of via een versie van de directe injectie die een tussenliggend JS-bestand gebruikt om de gerelateerde injectie te laden.”
In november 2025 onthulde Arctic Wolf dat SocGholish werd gebruikt door de RomCom-bedreigingsactoren om de Mythic Agent te leveren, waarbij het gebruik van de diensten van de initiële toegangsmakelaar door een breed scala aan actoren met uiteenlopende motivaties werd benadrukt.
Orange Cyberdefense zei dat het SocGholish-infecties heeft waargenomen die laders zoals Gholoader (een andere op JavaScript gebaseerde lader) en MintsLoader leveren, die op hun beurt leiden tot de inzet van extra payloads zoals GhostWeaver, LockBit, AsyncRAT en NetSupport RAT.
“SocGholish gebruikt een gelaagd leveringsmodel en er is waargenomen dat het meerdere categorieën van vervolgladingen mogelijk maakt”, zei het cyberbeveiligingsbedrijf, eraan toevoegend dat de bedreigingsactor ook samenwerkt met exploitanten van verkeersdistributiesystemen (TDS), zoals TA2726.
Volgens de Shadowserver Foundation zijn veel van de gecompromitteerde WordPress-instanties aangepast om de criminele infrastructuur van SocGholish op te nemen. De overgrote meerderheid van de gehackte sites bevond zich in de VS, gevolgd door Duitsland, Frankrijk, India, Brazilië, Singapore, Italië, Indonesië, Canada en Vietnam.
“Het misbruik omvat ook het gebruik van een proces dat bekend staat als ‘Domain Shadowing'”, aldus de non-profitorganisatie. “Dit is een techniek waarbij een bedreigingsacteur toegang krijgt tot het gezaghebbende DNS-provider- of registeraccountpaneel voor een legitiem domein, en deze toegang gebruikt om stilletjes extra subdomeinen onder het hoofddomein (‘apex’) te creëren.”
“Deze kwaadaardige subdomeinen krijgen vaak gemeenschappelijke hostnamen die zich in het volle zicht verbergen en opgaan in de legitieme DNS-infrastructuur van de domeineigenaar, maar zullen verwijzen naar door criminelen beheerde externe kwaadaardige infrastructuur – die effectief meelift op de gevestigde reputatie van een domein en het voor verdedigers moeilijker maakt om illegale activiteiten gemakkelijk te detecteren of te blokkeren.”
Bovendien worden de geïnfecteerde websites vaak uitgebuit door meerdere bedreigingsactoren, waardoor nietsvermoedende sitebezoekers worden blootgesteld aan een verfijnd cluster van potentiële bedreigingen. Het kwaadaardige gedrag dat deze sites vertonen, wordt bepaald door verschillende cruciale factoren, waaronder het land van herkomst van de gebruiker, het type browser dat wordt gebruikt en het onderliggende besturingssysteem.
“TA569 compromitteert zonder onderscheid websites en is opportunistisch, hoewel sites met meer bezoekersaantallen tot meer slachtoffers leiden”, aldus Proofpoint. “De acteur heeft ook websites in vrijwel elke branche gecompromitteerd, van non-profitorganisaties en scholen, tot gezondheidszorg en ziekenhuizen, tot juridische en vastgoedorganisaties.”
DNS-dreigingsinformatiebedrijf Infoblox beschreef SocGholish als een meerfasig JavaScript-framework dat gecompromitteerde websites omzet in drive-by download-malware-leveringsvoertuigen. Het raamwerk wordt mogelijk gemaakt door vier hoofdstappen: verkeersacquisitie, verkeersfiltering, payload-lokmiddelen en uitvoering van implantaten op het apparaat.
“TA569 compromitteert zelf een zeer groot aantal websites”, aldus het rapport. “Maar ze accepteren ook verkeer van affiliates. Het is een klassieke commerciële relatie: wanneer een gebruiker de site bezoekt, neemt de affiliate doorgaans een vingerafdruk en stuurt vervolgens potentiële slachtoffers door naar SocGholish via een ingebedde link. In ruil daarvoor wordt de affiliate betaald voor deze ‘leads.'”
Enkele van de prominente partners die door de jaren heen verkeer naar het SocGholish-framework hebben verkocht, zijn TA2726, Parrot TDS en JunkyTDS. Bedreigingsactoren hebben ook commerciële aanbiedingen zoals Keitaro en zTDS gebruikt om verkeer te filteren voor omleiding naar SocGholish, of om het naar de oorspronkelijke website of andere inhoud te sturen als de bezoeker van de gecompromitteerde site niet aan de criteria voldoet.
Uit gegevens van Infoblox blijkt dat alleen al dit jaar ongeveer 55% van zijn cloudklanten probeerde de SocGholish-infrastructuur te bereiken, waarbij de aanvallen zich de afgelopen vijf maanden op bijna “elke sector” richtten. Enkele van de meest gerichte sectoren waren de overheid, het onderwijs, het bankwezen, de gezondheidszorg, niet-IT-diensten, financiële diensten, IT-advies, nutsbedrijven, verzekeringen en transport.
“Deze distributie (…) versterkt dat SocGholish geen nichebedreiging is die beperkt is tot één branche”, aldus het bedrijf. “In plaats daarvan reikt het grootschalige webinject- en TDS-ecosysteem zowel in de publieke sector als in commercieel belangrijke omgevingen, waardoor het een breed relevante bedreiging wordt voor ons klantenbestand.”
