Onbekende aanvallers brachten minstens vijf maanden door in de Outlook-mailbox van een senior executive op een grote mondiale beurs, waarbij ze de inbox in kleine, herhaalde batches kopieerden en via Dropbox en OneDrive stuurden, zodat het verkeer opging in de normale cloudactiviteit.
Het Threat Hunter Team van Symantec en Carbon Black maakte deze week melding van de campagne. Dit wijst op spionage, niet op geldroof: Symantec zei dat de commando’s duiden op het verzamelen van inlichtingen, en niet op diefstal met winstoogmerk.
Noch de uitvoerende macht, noch de beurs werd genoemd. De waarde is duidelijk genoeg: de inbox van een beursdirecteur kan niet-openbare beursgegevens, handhavingszaken, dealvoorwaarden, marktveranderende plannen, plus de agenda en contacten van de directeur bevatten.
Vijf maanden stille toegang gaf de aanvaller een gedetailleerd inzicht in de handelingen van de leidinggevende en waar de organisatie naartoe ging, zonder dat hij brede toegang tot andere bedrijfssystemen nodig had.
De eerste kwaadaardige activiteit deed zich voor op 10 oktober 2025. Tegen die tijd draaide de aanvaller al twee binaire bestanden als SYSTEM, het hoogste Windows-privilegeniveau, waarvan de ene de updater van Adobe vervalste en de andere OneDrive. Tegen de tijd dat de verdedigers iets merkten, had de indringer de volledige controle over de machine, en hoe ze voor het eerst binnenkwamen is nog onbekend.
Symantec bevestigde echter dat de eerste tekenen waarschijnlijk voortkwamen uit de zijdelingse beweging van een eerder gecompromitteerd apparaat. De operatie kwam op gang op 12 november. De aanvaller trok een Dropbox API-token, begon gegevens met curl te uploaden en zette het belangrijkste hulpmiddel in: een mailbox-steeler gebouwd op Aspose, een legitieme .NET-bibliotheek die Outlook OST- en PST-bestanden leest. Verpakt in een uitvoerbaar bestand, converteerde het de mailbox naar PST en schreef het naar schijf, telkens uitgevoerd met een wachtwoord en een datumbereikmarkering.
De eerste run pakte alles vanaf augustus 2025. Daarna kwam de aanvaller elke twee tot vier weken terug, waarbij elke run slechts de dagen duurde sinds de laatste, en nog eens acht keer tot en met 17 februari 2026. Het resultaat is een vrijwel continue kopie van de mailbox, dun genoeg gesneden om niet de aandacht van beveiligingssoftware te trekken.
De stealth kwam doordat het werk er gewoon uitzag. Geplande taken die zich voordoen als Adobe-, Lenovo- en OneDrive-systeemservices. Voor exfiltratie gebruikte de aanvaller Dropbox en OneDrive Personal, en voor OneDrive maakten ze verbinding met hardgecodeerde Microsoft IP-adressen in plaats van de hostnaam onedrive.live.com, dus er waren geen DNS-zoekopdrachten die een perimetertool kon onderscheppen of blokkeren.
De aanvaller testte in november ook één keer het openbare bestand host temp.sh en liet het vervolgens vallen. De laatst waargenomen activiteit, op 19 maart 2026, was een nieuwe achterdeur die werd geënsceneerd maar nooit werd betreden, wat volgens Elias zou kunnen betekenen dat de aanvaller kort daarna de toegang verloor.
De gepubliceerde indicatoren van Symantec wijzen op een bredere inbraakkit, niet alleen op een mailboxgrabber: FRPC voor het tunnelen van verkeer, Secretsdump voor het ophalen van Windows-inloggegevens, SharpDecryptPwd voor het herstellen van opgeslagen app-wachtwoorden en een tool om Windows-gebruikersaccountbeheer te omzeilen. Het rapport vermeldt niet hoe elk van deze termen hier werd gebruikt, en geen enkele verwijst naar een specifieke groep.
Er is geen CVE in dit verhaal. Het was een inbraak in de mailbox van een persoon, en niet de exploitatie van een nieuw onthulde fout, wat een van de redenen is waarom het de moeite waard is om te lezen: geen enkele patch sluit dit af, en de last verschuift naar monitoring en respons.
Ook de toeschrijving is niet opgelost. Door de mix van openbare tools en clouddiensten voor consumenten bleef er weinig over om de activiteit aan een bekende actor te binden, en dat blijft open totdat een sterkere bron anders zegt. Het routeren van exfiltratie via Dropbox en OneDrive om op te vallen is een versleten spel, en Microsoft heeft dit aangemerkt als een doelbewuste manier om voorbij de perimeterverdediging en modderige attributie te glippen.
Als je een beurs, een toezichthouder of welk bedrijf dan ook verdedigt dat zich baseert op marktbewegende informatie, voer dan nu de hashes in en let op het gedrag erachter: ongebruikelijke exportactiviteiten van mailboxen, vreemde Outlook-toegang, uploads naar persoonlijke Dropbox- of OneDrive-accounts, onverwachte tunneling en het dumpen van inloggegevens op systemen die zijn gekoppeld aan bevoorrechte gebruikers.
