Bedreigingsactoren geassocieerd met de Anubis Er is waargenomen dat er een ransomware-operatie is uitgevoerd waarbij misbruik werd gemaakt van de kwetsbaarheid Citrix Bleed 2 (CVE-2025-5777) om initiële toegang te verkrijgen.
“Hoewel de tactieken verschillen tussen aangesloten bedrijven, ontstonden er gemeenschappelijke patronen in de handel door het gebruik van legitieme Remote Management and Monitoring (RMM)-tools, toegang tot inloggegevens en hands-on-keyboard-procedures die worden gebruikt voor zijwaartse beweging”, zei Arctic Wolf in een rapport dat deze week werd gepubliceerd.
“Aan Anubis gelieerde ondernemingen hebben herhaaldelijk legitieme tools voor externe toegang en beheer misbruikt, waaronder ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC en Total Software Deployment, om zich aan te passen aan de normale IT-activiteiten en tegelijkertijd de controle over de slachtoffersystemen te behouden.”
Anubis is een ransomware-as-a-service (RaaS)-groep die eind 2024 voor het eerst opkwam als een rebrand van de Sphinx-ransomware. De ransomware-operatie werd in februari 2025 formeel aangekondigd op het ondergrondse forum Ransomware and Advanced Malware Protection (RAMP). Volgens gegevens van Ransomware.Live heeft de cybercriminaliteitsploeg 91 slachtoffers geëist op de dataleksite, waarvan er alleen al in juni 2026 11 werden gemeld.
Enkele van de prominente sectoren waarop men zich richt, zijn onder meer de gezondheidszorg, de zakelijke dienstverlening, de productie, de technologie en de financiële dienstverlening. Meer dan 50% van de slachtoffers bevindt zich in de VS, gevolgd door Groot-Brittannië, Australië, Frankrijk en Canada.
In een rapport dat in juli 2025 werd gepubliceerd, zei Rubrik Zero Labs dat Anubis reclame maakt voor aantrekkelijke winstverdelingen, waarbij aangeslotenen 80% van het betaalde losgeld worden aangeboden, en dit wordt gecombineerd met een onomkeerbare functie voor het wissen van gegevens die de druk op slachtoffers verhoogt om te betalen.
“Wanneer de /WIPEMODE-module van Anubis wordt geactiveerd, blijven de bestanden in mappen staan, maar worden ze verkleind tot een grootte van 0 KB, ongeacht of er losgeld wordt betaald”, merkte Rubrik destijds op. “Weten dat dreigingsactoren de omgeving van slachtoffers met één enkel commando kunnen terugbrengen naar de toestand van de verschroeide aarde, vergroot de druk op slachtoffers aanzienlijk om te betalen voordat de ruitenwisser volledig is geactiveerd.”
De ransomware-inbraken die dit jaar zijn waargenomen, omvatten zowel het gebruik van geldige VPN-referenties als de exploitatie van CVE-2025-5777 (CVSS-score: 9,3), een kritieke fout die gevolgen heeft voor Citrix NetScaler ADC en Gateway en die door een aanvaller kan worden misbruikt om authenticatie te omzeilen wanneer het apparaat is geconfigureerd als een gateway of een virtuele AAA-server.
De exacte bron van de VPN-gegevens die bij deze inbraken zijn gebruikt, is onbekend. Het is echter mogelijk dat ze zijn verkregen na eerdere compromittering, of via initial access brokers (IAB’s), credential stuffing of informatie-diefstalactiviteiten.
“Naast de exploitatie van CitrixBleed 2 werden geldige Cisco AnyConnect VPN-logins waargenomen vanaf verschillende hosting-ASN’s, waaronder AS20473 – The Constant Company en AS55286 – ServerMania”, legt Arctic Wolf uit. “Kwaadaardige VPN-authenticatie werd vervolgens gevolgd door inlogactiviteiten waarbij RDP en SMB betrokken waren, wat leidde tot toegang tot inloggegevens, het creëren van PsExec-services, het inzetten van RMM en uiteindelijk het aanroepen van tools voor cloudoverdracht voor exfiltratie.”
Zijwaartse beweging wordt gefaciliteerd via RDP en PsExec, wat vervolgens leidt tot de inzet van verschillende legitieme RMM-tools voor permanente toegang, waardoor de aanvallers de mogelijkheid krijgen om bestanden over te dragen en op afstand code uit te voeren, terwijl ze onder de radar blijven. Bepaalde inbraken configureren ook een Cloudflare Tunnel (ook wel cloudflared genoemd) om tunnels naar slachtofferomgevingen tot stand te brengen.
De volgende fase van de aanvallen omvat het verzamelen van inloggegevens om diepere toegang tot de aangetaste omgeving mogelijk te maken, waarna tools als S3 Browser, rclone, s5cmd, WinSCP en PuTTY worden geïnstalleerd voor gegevensoverdracht of exfiltratie voorafgaand aan de implementatie van ransomware. Tegelijkertijd worden er stappen ondernomen om de systeemverdediging te schaden en de analyse na een incident te bemoeilijken.
“Deze technieken omvatten het uitschakelen van de real-time bescherming van Windows Defender, SophosUninstall-activiteit, PCHunter-gerelateerde artefacten en het wissen of manipuleren van logbestanden op meerdere systemen”, legt het cyberbeveiligingsbedrijf uit. “Bij ten minste één inbraak werd een Anubis-encryptor na uitvoering verwijderd, waardoor de beschikbaarheid van payload-artefacten op de schijf voor latere analyse werd verminderd.”
The Gentlemen’s Go Backdoor en 0-Day Exploit gedetailleerd
De onthulling komt zoals Kaspersky heeft gedetailleerd De heren De uitbuiting door de RaaS-groep van bekende kwetsbaarheden en gestolen of zwakke inloggegevens om doelen te doorbreken en het gebruik van een op Go gebaseerde achterdeur om opdrachtuitvoering op afstand mogelijk te maken na verkenning, zijwaartse beweging via Groepsbeleid of PsExec, en verdedigingsontduiking met behulp van de BYOVD-techniek (Bring your own vulnerability driver).
Het implantaat is ontworpen om systeeminformatie te verzamelen, deze via een bidirectionele TCP-verbinding naar een externe server (“81.177.215(.)15:9443”) te exfiltreren en te wachten op reacties van de operator die vervolgens op de host worden uitgevoerd met behulp van “cmd.exe” als de responsbyte “c” is. Als de byte “s” is, wordt er een SOCKS-proxyverbinding tot stand gebracht.
“Deze functionaliteit stelt het rode team van The Gentlemen waarschijnlijk in staat om binnen het doelnetwerk te draaien en hun scandekking uit te breiden”, aldus Kaspersky. “Gezien de mogelijkheden van het achterdeurimplantaat, zoals het tot stand brengen van tweerichtingscommunicatie, het uitvoeren van opdrachten, het opzetten van een SOCKS-proxy en het verzamelen van informatie, is het duidelijk dat het ook kan worden gebruikt om de aanvalsketen uit te breiden als dat nodig is.”
Volgens Expel heeft de RaaS-groep ook een zero-day-kwetsbaarheid in een weinig bekende driver van een derde partij als wapen gebruikt als onderdeel van zijn BYOVD-arsenaal om toegang op kernelniveau te verkrijgen, Windows-beveiligingen te omzeilen en beschermde beveiligingsprocessen te beëindigen die verband houden met Microsoft, ESET, Palo Alto Networks en SentinelOne. De driver in kwestie is ktapi.sys, die deel uitmaakt van een API ontwikkeld door Kontron.
“Het is nog steeds onduidelijk hoe de dreigingsactoren in bezit van het bestand kwamen of kennis kregen van de kwetsbaarheid ervan”, aldus Marcus Hutchins. “BYOVD blijft een enorme bedreiging voor ondernemingen, waardoor aanvallers de modernste eindpuntbeveiligingssystemen binnen enkele seconden kunnen uitschakelen. Zelfs het gebruik van de nieuwste Windows-versie, met alle exploit-beperkingen ingeschakeld, biedt geen volledige bescherming.”
VECT en TeamPCP’s Ransomware-partnerschap
De bevindingen volgen ook op een onderzoek van Sophos Counter Threat Unit naar de samenwerking tussen VECT en TeamPCP dat in maart 2026 werd aangekondigd om diefstal van inloggegevens op basis van supply chain-aanvallen te combineren met de inzet van ransomware.
“Dankzij de formele samenwerking tussen TeamPCP en VECT kan VECT ransomware inzetten bij alle organisaties die getroffen zijn door de Trivy- en LiteLLM-aanvallen op de toeleveringsketen”, aldus Sophos in een rapport gedeeld met The Hacker News. “Voorafgaand aan het VECT-partnerschap voerde TeamPCP nog een ransomware-operatie uit onder de merknaam CipherForce. CipherForce plaatste in februari 2026 zes slachtoffers op de leksite en werd in mei omgedoopt tot TeamPCP-leksite.”

Uit recente analyses van Check Point en JUMPSEC is gebleken dat VECT implementatiefouten bevat die ervoor zorgen dat elk bestand groter dan 128 KB permanent wordt vernietigd in plaats van gecodeerd. TeamPCP heeft daarom een verklaring afgegeven waarin staat dat ze de encryptor van VECT nooit bij aanvallen hebben gebruikt. “Wij bezitten CipherForce, ons eigen privékluisje”, beweerde de groep.
“De Vect/TeamPCP-alliantie vertegenwoordigt een betekenisvolle verschuiving in het landschap van ransomwarebedreigingen, waarbij zelfs rekening wordt gehouden met de technische tekortkomingen die de operationele effectiviteit ervan ondermijnen”, aldus Sophos.
“De combinatie van grootschalige diefstal van inloggegevens in de toeleveringsketen, een volwassen wordende RaaS-operatie en massale ondergrondse forummobilisatie vormt een ongekend model van geïndustrialiseerde ransomware-implementatie dat de toegangsdrempel voor cybercriminaliteit aanzienlijk verlaagt.”