Hoe doelgerichte threat hunting in de praktijk werkt

Threat hunting is een veelbesproken onderwerp binnen cybersecurity. In theorie klinkt het vaak overzichtelijk: je zoekt actief naar sporen van aanvallers voordat er schade ontstaat. In de praktijk is het echter een vak apart. Effectieve threat hunting draait niet om standaard checklists, maar om context, dreigingsinformatie en maatwerk.

Bij gerichte threat hunting start je niet met tools, maar met vragen: welk type organisatie is dit, welke technologie wordt gebruikt, welke dreigingen zijn realistisch en welke aanvalspatronen horen daarbij? Vanuit die invalshoek onderzoek je gericht of bekende aanvalstechnieken en gedragingen zichtbaar zijn in de omgeving.

In deze technische blog lichten we onze aanpak toe aan de hand van een praktijkvoorbeeld: een gerichte hunt op activiteiten die passen bij APT35, ook bekend als Charming Kitten.

Geschreven door: Omari Gordon-Robinson

De tegenstander begrijpen: APT35 / Charming Kitten

APT35 is een statelijke dreigingsgroep die in verband wordt gebracht met Iran en bekendstaat om langdurige cyber-spionagecampagnes. De groep wordt ook gevolgd onder namen als Phosphorus en Mint Sandstorm.

Doelwitten zijn onder meer:

• • • Overheids- en diplomatieke organisaties
    • Media- en telecombedrijven
    • Energie- en defensie gerelateerde organisaties
    • Zakelijke en technische dienstverleners
    • Onderzoeks- en kennisinstellingen

De groep maakt vaak gebruik van spear-phishing als eerste toegangspunt, met geloofwaardige lokmiddelen zoals zorgmeldingen, vacatureberichten of updates over wachtwoordbeleid. Na initiële toegang worden verschillende tools ingezet voor persistentie en dataverzameling, waaronder PowerShell-gebaseerde tooling, loaders en backdoors.

Belangrijk om te weten: bij dit soort dreigingen is gedrag vaak stabieler dan specifieke malwarebestanden. Bestandsnamen en hashes veranderen, maar technieken en werkwijzen (TTP’s — tactics, techniques & procedures) blijven vaker herkenbaar.

De aanpak: jagen op gedrag, niet op bestanden

In deze threat hunt lag de focus niet op het vinden van specifieke malware, maar op het herkennen van gedragingen die passen bij de werkwijze van APT35. Denk aan:

• • • Specifieke manieren van PowerShell-misbruik
    • Ongebruikelijke processtarts
    • Verdachte persistentietechnieken
    • Patronen van dataverzameling en exfiltratie
    • Webshell-achtig gedrag op IIS-servers

Op basis van bekende TTP’s zijn gerichte detectiequeries opgesteld. Niet als generieke detectie, maar afgestemd op het platform en de logging die in de omgeving beschikbaar was.

Voorbeelden van gezochte technieken en patronen

PowerShell-obfuscatie en modulaire RAT-technieken

Aanvallers gebruiken vaak zwaar verhulde PowerShell-commando’s, bijvoorbeeld met:

• • • Base64-encoding
    • uitgebreide .Replace()-constructies
    • dynamische stringopbouw
    • verhulde parameters en wildcard-filters

Dit soort patronen wijkt doorgaans af van regulier beheer- of automatiseringsgebruik.

Misbruik van API’s en verborgen subprocessen

Sommige loaders maken gebruik van minder gangbare libraries en API-aanroepen en starten subprocessen op een verborgen manier, zodat activiteit minder zichtbaar is in standaard monitoring.

Indicatoren kunnen zijn:

• • • ongebruikelijke DLL-loads vanuit gebruikersmappen
    • commandoregel-redirectie
    • verborgen procesvensters

Langdurige, modulaire surveillance

Bepaalde modules zijn ontworpen voor langdurige aanwezigheid en communicatie. Daarbij komen herkenbare variabelen of functienamen terug in commandoregels of scripts, die bruikbaar zijn als jachtindicator.

Webshell-achtig gedrag op IIS

Bij webservers is specifiek gekeken naar:

• • • aanroepen waarbij IIS-processen (zoals w3wp.exe) commandoregeltools starten
    • verborgen PowerShell- of cmd-processen
    • recent aangemaakte of gewijzigde ASPX-bestanden in webroots

Dit kan duiden op laterale beweging via een webshell.

Download- en uitvoerpatronen vanuit tijdelijke paden

Loaders en droppers gebruiken vaak:

• • • tijdelijke directories
    • hardcoded gebruikerspaden
    • download-commando’s via bijvoorbeeld bitsadmin, curl, Invoke-WebRequest of certutil

In combinatie met procesgedrag levert dat sterke signalen op.

Gericht verzamelen en exfiltreren van documenten

Er is ook gelet op processen die:

• • • gericht zoeken naar documenttypen zoals .docx, .xlsx en .pdf
    • archiveringstools starten
    • upload- of POST-verkeer initiëren naar externe locaties

Waarom deze manier van threat hunting werkt

Gerichte threat hunting op basis van bekende aanvalstechnieken heeft twee belangrijke voordelen:

1. Minder ruis dan generieke detectie
   Door te jagen op relevante TTP’s in plaats van op algemene signalen, wordt het aantal irrelevante meldingen beperkt.
2. Sneller zicht op afwijkend gedrag
   Ook wanneer specifieke malwarevarianten nog niet bekend zijn in detectietools, vallen afwijkende gedragingen vaak al op.

De effectiviteit zit dus niet alleen in tooling, maar vooral in de combinatie van dreigingsinformatie, omgevingskennis en gerichte hypothese-gedreven queries.

Van incidentrespons naar structurele weerbaarheid

Threat hunting staat zelden op zichzelf. In volwassen securityoperaties is het onderdeel van een bredere incident response- en resilience-aanpak: signalen valideren, detectielogica verbeteren, aannames testen en verdedigingsmaatregelen aanscherpen.

Door dreigingsinformatie actief te vertalen naar concrete zoekpatronen in de eigen omgeving, wordt de kans kleiner dat geavanceerde aanvallers langdurig onopgemerkt blijven.

Niet elke organisatie loopt hetzelfde risico, maar voor elke organisatie geldt dat gerichte, contextgedreven jacht op afwijkend gedrag het verschil kan maken tussen toeval en tijdige ontdekking.