Het Amerikaanse ministerie van Justitie (DoJ) heeft deze week de aanklacht aangekondigd tegen 54 personen in verband met een geldautomaten-jackpotprogramma ter waarde van meerdere miljoenen dollars.
De grootschalige samenzwering omvatte het inzetten van malware genaamd Ploutus om geldautomaten (geldautomaten) in de VS te hacken en hen te dwingen contant geld uit te delen. De aangeklaagde leden zouden deel uitmaken van Tren de Aragua (TdA, Spaans voor ‘de trein van Aragua’), een Venezolaanse bende die door het Amerikaanse ministerie van Buitenlandse Zaken is bestempeld als buitenlandse terroristische organisatie.
In juli 2025 kondigde de Amerikaanse regering sancties aan tegen het hoofd van de groep, Hector Rusthenford Guerrero Flores (ook bekend als Niño Guerrero), en vijf andere belangrijke leden vanwege hun betrokkenheid bij de ‘illegale drugshandel, mensensmokkel en -handel, afpersing, seksuele uitbuiting van vrouwen en kinderen, en het witwassen van geld, naast andere criminele activiteiten.’
Het ministerie van Justitie zei dat in een op 9 december 2025 teruggezonden aanklacht een groep van 22 mensen is aangeklaagd voor het vermoedelijk plegen van bankfraude, inbraak en het witwassen van geld. Aanklagers beweerden ook dat TdA gebruik heeft gemaakt van jackpotting-programma’s om miljoenen dollars in de VS over te hevelen en de onrechtmatig verkregen opbrengsten onder haar leden en medewerkers over te dragen.
Nog eens 32 personen zijn aangeklaagd in een tweede, daarmee verband houdende aanklacht die op 21 oktober 2025 werd teruggezonden en waarin hen werden beschuldigd van “één aanklacht wegens samenzwering om bankfraude te plegen, één aanklacht wegens samenzwering om bankinbraak en computerfraude te plegen, 18 aanklachten wegens bankfraude, 18 aanklachten wegens bankinbraak en 18 aanklachten wegens schade aan computers.”
Bij veroordeling kunnen de beklaagden een maximale gevangenisstraf van 20 tot 335 jaar tegemoet zien.
“Deze beklaagden gebruikten methodische surveillance- en inbraaktechnieken om malware in geldautomaten te installeren en vervolgens geld van de machines te stelen en wit te wassen, deels om terrorisme en andere verreikende criminele activiteiten van TDA, een aangewezen buitenlandse terroristische organisatie, te financieren”, aldus waarnemend assistent-procureur-generaal Matthew R. Galeotti van de Criminal Division van het ministerie van Justitie.
De jackpotting-operatie zou afhankelijk zijn geweest van de rekrutering van een onbepaald aantal individuen door de TdA om de malware in het hele land te implementeren. Deze personen voerden vervolgens een eerste verkenning uit om de externe veiligheidsmaatregelen te beoordelen die bij verschillende geldautomaten waren geïnstalleerd en probeerden vervolgens de motorkap van de geldautomaat te openen om te controleren of ze een alarm of een reactie van de wetshandhaving hadden geactiveerd.
Na deze stap installeerden de bedreigingsactoren Ploutus door de harde schijf te vervangen door een schijf waarop het kwaadaardige programma vooraf was geïnstalleerd, of door een verwisselbare USB-stick aan te sluiten. De malware is uitgerust om ongeautoriseerde opdrachten uit te voeren die verband houden met de geldautomaatmodule van de geldautomaat om geldopnames te forceren.
“De Ploutus-malware is ook ontworpen om bewijsmateriaal van malware te verwijderen in een poging om werknemers van de banken en kredietverenigingen te verbergen, een verkeerde indruk te wekken, te misleiden of anderszins te misleiden, zodat ze kennis krijgen van de inzet van de malware op de geldautomaat”, aldus het DoJ. “Leden van de samenzwering zouden de opbrengst dan in vooraf bepaalde delen verdelen.”
Ploutus werd voor het eerst ontdekt in Mexico in 2013. In een rapport uit 2014 legde Symantec uit hoe een zwakte in op Windows XP gebaseerde geldautomaten kon worden uitgebuit om cybercriminelen in staat te stellen contant geld op te nemen door simpelweg een sms te sturen naar gecompromitteerde geldautomaten. Een daaropvolgende analyse van FireEye (nu onderdeel van Google Mandiant) uit 2017 beschreef de mogelijkheid om Diebold-geldautomaten te besturen en op verschillende Windows-versies te draaien.
“Eenmaal ingezet bij een geldautomaat, maakt Ploutus-D het voor een geldezel mogelijk om binnen enkele minuten duizenden dollars te verkrijgen”, legde het destijds uit. “Een geldmuilezel moet een hoofdsleutel hebben om het bovenste gedeelte van de geldautomaat te openen (of deze kunnen pakken), een fysiek toetsenbord om verbinding te maken met de machine en een activeringscode (verstrekt door de baas die verantwoordelijk is voor de operatie) om geld uit de geldautomaat te halen. “
Volgens het bureau zijn er sinds 2021 in totaal 1.529 jackpotting-incidenten geregistreerd in de VS, waarbij in augustus 2025 ongeveer $ 40,73 miljoen verloren ging aan het internationale criminele netwerk.
“Als gevolg van deze samenzwering zijn er vele miljoenen dollars uit geldautomaten in de Verenigde Staten weggesluisd, en dat geld zou naar de leiders van Tren de Aragua zijn gegaan om hun terroristische activiteiten en doeleinden te financieren”, zei de Amerikaanse procureur Lesley Woods.
