Als er een constante is in cyberbeveiliging, is het dat tegenstanders altijd innoveren. De opkomst van offensieve AI transformeert aanvalsstrategieën en maakt ze moeilijker te detecteren. Google’s Threat Intelligence Group rapporteerde onlangs over kwaadwillenden die Large Language Models (LLM’s) gebruiken om code te verbergen en on-the-fly kwaadaardige scripts te genereren, waardoor malware in realtime van vorm kan veranderen om conventionele verdedigingsmechanismen te omzeilen. Een diepere blik op deze nieuwe aanvallen onthult zowel ongekende verfijning als bedrog.
In november 2025 rapporteerde Anthropic over wat het omschreef als de eerste bekende “AI-georkestreerde cyberspionagecampagne”. Bij deze operatie werd AI geïntegreerd in alle fasen van de aanval, van de initiële toegang tot de exfiltratie, die grotendeels autonoom door de AI zelf werd uitgevoerd.
Een andere recente trend betreft ClickFix-gerelateerde aanvallen waarbij gebruik wordt gemaakt van steganografische technieken (het verbergen van malware in afbeeldingsbestanden) die voorbij de op handtekeningen gebaseerde scans zijn geglipt. Deze aanvallen, vakkundig vermomd als legitieme software-updateschermen of CAPTCHA’s, misleidden gebruikers zodat ze Remote Access Trojans (RAT’s), info-stealers en andere malware-payloads op hun eigen apparaten konden inzetten.
Tegenstanders maken ook misbruik van manieren om de uitsluitingsregels voor antivirus (AV) in werking te stellen en vervolgens te compromitteren door een combinatie van social engineering, aanval-in-the-middle en SIM-swapping-technieken te gebruiken. Op basis van onderzoek van het dreigingsteam van Microsoft uit oktober 2025 heeft de bedreigingsacteur die zij Octo Tempest noemen, zijn slachtoffers ervan overtuigd om verschillende beveiligingsproducten uit te schakelen en e-mailmeldingen automatisch te verwijderen. Dankzij deze stappen kon de malware zich over een bedrijfsnetwerk verspreiden zonder eindpuntwaarschuwingen te activeren. Actoren kunnen ook eenvoudig dynamische en adaptieve tools inzetten die gespecialiseerd zijn in het detecteren en uitschakelen van AV-software op eindpunten.
Al deze technieken hebben één rode draad: het vermogen om verouderde verdedigingsmechanismen zoals endpoint detectie en respons (EDR) te omzeilen, waardoor de beperkingen van het uitsluitend vertrouwen op EDR bloot komen te liggen. Hun succes illustreert waar EDR, alleen handelend en zonder aanvullende defensieve maatregelen, kwetsbaar kan zijn. Dit zijn nieuwe aanvallen in elke betekenis van het woord, waarbij gebruik wordt gemaakt van AI-automatisering en intelligentie om de digitale verdediging te ondermijnen. Dit moment signaleert een fundamentele verschuiving in het cyberdreigingslandschap en leidt snel tot een verandering in de defensieve strategie.
NDR en EDR werken samen
Netwerkdetectie en respons (NDR) en EDR bieden beide verschillende beschermende voordelen. EDR is van nature gericht op wat er binnen elk specifiek eindpunt gebeurt, terwijl NDR voortdurend de netwerkomgeving bewaakt en bedreigingen detecteert terwijl deze de organisatie doorkruisen. Het blinkt uit in het oppikken van wat EDR niet doet: het identificeren van gedragsafwijkingen en afwijkingen van typische netwerkpatronen.
In het tijdperk van op AI gebaseerde bedreigingen is het nodig dat beide soorten systemen samenwerken, vooral omdat deze aanvallen met hogere snelheden en op grotere schaal kunnen plaatsvinden. Sommige EDR-systemen zijn niet ontworpen voor de snelheid en omvang van AI-aangedreven aanvallen. NDR kan deze netwerkafwijkingen oppikken, de verdediging versterken en diepere inzichten verkrijgen uit deze netwerkgegevens, waarbij gebruik wordt gemaakt van de extra bescherming die deze complementaire technologie kan bieden.
Wat de uitdaging nog groter maakt, is dat het aanvalsoppervlak van vandaag steeds groter en complexer wordt. Geavanceerde dreigingsactoren nu Combineer bedreigingen die zich over verschillende domeinen verspreidenwaardoor identiteit, eindpunt, cloud en on-premise infrastructuur in een dodelijke mix in gevaar worden gebracht. Dit betekent dat de bijbehorende beveiligingssystemen in elk van deze aandachtsgebieden moeten samenwerken en metadata en andere signalen moeten delen om deze bedreigingen te vinden en te stoppen. De slechte actoren verschuilen zich achter deze complexiteit om hun bereik te maximaliseren, hun explosieradius te vergroten en dekking te bieden, terwijl ze verschillende hacktools gebruiken om verschillende rollen op zich te nemen en zich op verschillende tussendoelen te concentreren.
Blockade Spider, een groep die sinds april 2024 actief is, gebruikt deze gemengde domeinen voor ransomware-aanvallen. Nadat ze toegang hebben verkregen via het vinden van onbeheerde systemen, bewegen ze zich lateraal over een netwerk, op zoek naar een bestandsverzameling om te coderen om te proberen losgeld te verkrijgen. De volledige breedte van hun aanpak werd ontdekt door NDR te gebruiken om inzicht te krijgen in de virtuele systemen en cloudeigenschappen, en vervolgens EDR te gebruiken zodra de aanval zich via het netwerk naar beheerde eindpunten verplaatste.
Een van de meer beruchte varianten is wat werd gebruikt bij de Volt Typhoon-aanval die Microsoft in 2023 observeerde. Deze wordt toegeschreven aan Chinese door de staat gesponsorde actoren die Living Off The Land-technieken (LoTL) gebruikten die hen hielpen eindpuntdetectie te vermijden. De doelwitten waren onbeheerde netwerkrandapparaten, zoals SOHO-routers en andere Internet of Things (IoT)-hardware. De acteurs waren in staat de oorspronkelijke pakketten te wijzigen zodat het leek alsof ze afkomstig waren van een kabelmodem in Texas, in plaats van een directe link naar een Chinees IP-adres. Wat de game verraadde, was het netwerkverkeer. Hoewel ze erin slaagden EDR te vermijden, gaven de door NDR gedetecteerde variaties in het volume van het netwerkverkeer aan dat het oorspronkelijke kabelmodemverkeer in werkelijkheid iets veel schandelijkers verborgen hield. In dit geval fungeerde NDR als veiligheidsvangnet door kwaadaardige activiteiten te detecteren die langs EDR-systemen glipten.
Het toenemende werken op afstand zorgt ook voor kwetsbaarheid. Nu VPN’s steeds vaker worden gebruikt om thuiswerkers te ondersteunen, bieden ze nieuwe mogelijkheden voor exploitatie. Een gebrek aan zichtbaarheid op externe netwerken betekent dat een gecompromitteerd eindpunt op een vertrouwde verbinding schade kan veroorzaken aan de omgeving van de organisatie. Als een EDR niet detecteert dat een lokale machine waarop de VPN draait al is geïnfecteerd met malware, kan deze zich gemakkelijk over een onderneming verspreiden zodra de machine verbinding maakt met het bedrijfsnetwerk. Gecompromitteerde VPN’s kunnen ook laterale netwerkbewegingen verbergen die zich vermommen tussen typische netwerkoperaties en beheertools. Twee recente inbreuken op de toeleveringsketens van Salesforce zijn bijvoorbeeld tot stand gekomen door het gebruik van AI om OAuth-inloggegevens te verzamelen om ongeautoriseerde toegang te krijgen tot verschillende klantaccounts. NDR kan zwakke toegangs- en transitpunten identificeren, waardoor de meest risicovolle gebieden worden geïdentificeerd die als eerste moeten worden opgelost, en EDR kan het bewijs delen dat een gecompromitteerd account als scharnierpunt wordt gebruikt.
Deze en andere exploits benadrukken de voordelen van continue monitoring waarbij EDR en NDR samenwerken, waardoor verdedigers innovatieve tegenstanderstechnieken kunnen opmerken en snel en resoluut kunnen reageren op opkomende dreigingen. Tegenstanders zullen steeds capabeler worden naarmate AI evolueert, waardoor deze gecombineerde aanpak essentieel is voor het verminderen van risico’s en het verbeteren van het vermogen van uw organisatie om snel en besluitvaardig te reageren.
Met het Open NDR-platform van Corelight kunnen SOC’s nieuwe aanvalstypen detecteren, inclusief aanvallen die gebruik maken van AI-technieken. De meerlaagse detectiebenadering omvat gedrags- en anomaliedetecties die een reeks unieke en ongebruikelijke netwerkactiviteiten kunnen identificeren. Terwijl tegenstanders nieuwe methoden ontwikkelen om EDR-systemen te omzeilen, kunnen beveiligingsteams die NDR inzetten het defensieve spel van hun onderneming versterken. Bezoek corelight.com/elitedefense voor meer informatie.
