Utrecht, 26 januari 2026 – Cybercriminelen maken in toenemende mate misbruik van legitieme IT-beheertools om langdurige toegang tot systemen te verkrijgen, zonder direct alarmsignalen te activeren. Dat blijkt uit een analyse van KnowBe4 Threat Labs. De analisten hebben een geavanceerde aanvalscampagne ontdekt waarbij zogenoemde Remote Monitoring and Management-tools (RMM) worden misbruikt als permanente achterdeur.
In plaats van traditionele malware of ransomware zetten aanvallers in deze campagne bewust vertrouwde software in die normaal gesproken door IT-beheerders wordt gebruikt. Na het buitmaken van inloggegevens weten zij deze tools zó te configureren dat zij ongemerkt volledige en blijvende controle over systemen krijgen.
Van phishingmail naar volledige systeemtoegang
De onderzochte aanval verloopt in twee fases. In de eerste fase ontvangen slachtoffers een overtuigende phishingmail, vermomd als een uitnodiging van Greenvelope; een legitieme dienst voor digitale uitnodigingen. Omdat de mail nauwelijks verdachte signalen bevat, worden slachtoffers verleid om in te loggen op een nagemaakte website, waar hun gegevens worden buitgemaakt.
In de tweede fase gebruiken aanvallers deze geldige inloggegevens om legitieme RMM-software te installeren, waaronder GoTo Resolve en LogMeIn. Deze software is rechtsgeldig ondertekend door de leverancier en wordt daardoor vaak vertrouwd door beveiligingsoplossingen. Het resultaat: een persistente, nauwelijks detecteerbare achterdeur met vergaande rechten binnen het netwerk.
Wat deze aanval extra gevaarlijk maakt, is dat de communicatie verloopt via de officiële infrastructuur van de gebruikte RMM-leverancier. Kwaadaardig netwerkverkeer is daardoor vrijwel niet te onderscheiden van regulier zakelijk gebruik.
Human Risk Management als antwoord op misbruik van legitieme IT-tools
De opkomst van dit soort aanvallen vraagt om een fundamenteel andere aanpak van gebruikersbewustzijn. Securityteams kunnen zich niet langer een afwachtende houding permitteren nu aanvallers hun tactieken razendsnel aanpassen en legitieme tools inzetten als aanvalsvector. Human Risk Management (HRM) doorbreekt daarbij de traditionele scheiding tussen dreigingsonderzoek en awareness door gedragsdata, producttelemetrie en actuele dreigingsinformatie continu te combineren. Zo ontstaat per medewerker een dynamisch risicoprofiel, waarmee organisaties niet alleen technische maatregelen kunnen automatiseren, maar ook uiterst gerichte, contextuele training kunnen inzetten op het moment dat het er écht toe doet.
De meest effectieve verdediging ontstaat wanneer echte aanvallen – zoals de Greenvelope-campagne – worden omgezet in realistische, onschadelijke phishing-simulaties. Daardoor leren medewerkers subtiele signalen herkennen en kunnen zij geavanceerde aanvallen sneller identificeren en rapporteren, nog voordat schade ontstaat.
James Dyer, Threat Intelligence Lead bij KnowBe4: “Wanneer aanvallers legitieme IT-tools misbruiken om onder de radar te blijven, is traditionele security niet genoeg. Organisaties moeten dreigingsinformatie direct vertalen naar actie: door menselijk gedrag inzichtelijk te maken, risico’s per gebruiker te prioriteren en medewerkers te trainen met realistische aanvalsscenario’s. Alleen zo blijf je deze nieuwe generatie aanvallen voor.”
Lees de blog van van het Threat Lab-team van KnowBe4 voor een volledige technische analyse.
Meer lezen
