Het National Cyber Security Centre (NCSC) en 15 internationale partners hebben samen een waarschuwing uitgegeven. Ze waarschuwen dat met China verbonden cybercriminelen hun aanvallen verbergen via netwerken met gehackte alledaagse internetapparaten.
Het advies legt uit dat er een grote tactische verandering is. Groepen die gelinkt zijn aan Beijing leiden nu hun activiteiten via honderdduizenden gehackte thuisrouters en slimme apparaten. Ze maken dus geen gebruik meer van speciale infrastructuur van aanvallers.
Botnets gemaakt van gehackte thuisapparaten
Het document laat een patroon zien bij Volt Typhoon en Flax Typhoon-operaties. In elk geval gaat het verkeer via gehackte routers van thuis- en kleine kantoornetwerken voordat het doelwit wordt bereikt.
Deze geheime netwerken maken het voor China-gelinkte groepen mogelijk om doelwitten te scannen, malware te verspreiden en data te stelen. Ze verbergen ook de oorsprong van de aanval.
Raptor Train, één zo’n netwerk, besmette in 2024 meer dan 200.000 apparaten wereldwijd, zegt het NCSC. De FBI wijst het beheer toe aan Integrity Technology Group, een cybersecuritybedrijf uit Beijing.
Het Verenigd Koninkrijk legde het bedrijf in december 2025 sancties op vanwege roekeloze cyberactiviteiten tegen zijn bondgenoten.
Veel van de gehackte apparaten zijn oude webcams, videorecorders, firewalls en netwerkopslag die geen beveiligingsupdates meer krijgen van de fabrikant. Hierdoor zijn ze makkelijk te misbruiken met grootschalige aanvallen.
Westerse infrastructuur al ingezet
Volt Typhoon gebruikte ook een ander geheim netwerk genaamd het KV Botnet. Deze groep wist toegang te krijgen tot belangrijke nationale infrastructuur in de Verenigde Staten en andere bondgenoten.
Documenten van het Department of Justice die in het advies worden genoemd, ondersteunen deze conclusie. Energiecentrales, transportsystemen en overheidsnetwerken worden genoemd als actieve doelwitten.
Paul Chichester, directeur Operaties bij het NCSC, wijst op een ander probleem: indicatoren van inbraak verdwijnen heel snel nadat onderzoekers ze bekendmaken.
Dit probleem lijkt op moeilijkheden om staatsgesteunde hackaanvallen te volgen op kritieke infrastructuren en in de financiële sector.
In de afgelopen jaren zien we dat Chinese cybergroepen bewust deze netwerken gebruiken om hun kwaadaardige activiteiten te verbergen en zo verantwoording te ontwijken,” zei Paul Chichester, directeur Operaties van het NCSC.
Het advies raadt organisaties aan om normaal netwerkverkeer goed te monitoren en actuele dreigingsinformatie te gebruiken. Ook moeten ze deze geheime China-gelinkte netwerken als geavanceerde dreigingen zien en actief volgen.
In 2024 werd er meer dan $2 miljard verloren aan digitale assets door cyberaanvallen. De komende maanden zal blijken of verdedigers deze snelle ontwikkelingen kunnen bijhouden. De tegenpartij heeft ervoor gezorgd dat het vinden van de dader nu al het eerste slachtoffer is.
