Skip to content

Threat hunting is een veelbesproken onderwerp binnen cybersecurity. In theorie klinkt het vaak overzichtelijk: je zoekt actief naar sporen van aanvallers voordat er schade ontstaat. In de praktijk is het echter een vak apart. Effectieve threat hunting draait niet om standaard checklists, maar om context, dreigingsinformatie en maatwerk.

Bij gerichte threat hunting starten we daarom niet vanuit tooling of generieke detectieregels, maar vanuit hypothesen: welke aanvalstechnieken zijn voor deze omgeving realistisch, welke tegenstanders maken daar gebruik van en hoe zouden hun activiteiten zich in logging en telemetry moeten manifesteren? Vanuit die vragen onderzoeken we gericht of bekende aanvalspatronen en gedragingen zichtbaar zijn.

In deze technische blog beschrijven we onze aanpak aan de hand van een praktijkvoorbeeld: een gerichte threat hunt op activiteiten die passen bij APT35, ook bekend als Charming Kitten. Daarbij ligt de focus nadrukkelijk op gedragsanalyse en TTP’s, niet op specifieke malware-indicatoren.

Geschreven door: Omari Gordon-Robinson

Dreigingsprofiel: APT35 (Charming Kitten) en relevante TTP’s

APT35 is een statelijke dreigingsgroep die in verband wordt gebracht met Iran en bekendstaat om langdurige cyber-spionagecampagnes. De groep wordt ook gevolgd onder namen als Phosphorus en Mint Sandstorm.

Doelwitten zijn onder meer:

      • Overheids- en diplomatieke organisaties
      • Media- en telecombedrijven
      • Energie- en defensie gerelateerde organisaties
      • Zakelijke en technische dienstverleners
      • Onderzoeks- en kennisinstellingen

De groep maakt vaak gebruik van spear-phishing als eerste toegangspunt, met geloofwaardige lokmiddelen zoals zorgmeldingen, vacatureberichten of updates over wachtwoordbeleid. Na initiële toegang worden verschillende tools ingezet voor persistentie en dataverzameling, waaronder PowerShell-gebaseerde tooling, loaders en backdoors.

Belangrijk om te weten: bij dit soort dreigingen is gedrag vaak stabieler dan specifieke malwarebestanden. Bestandsnamen en hashes veranderen, maar technieken en werkwijzen (TTP’s — tactics, techniques & procedures) blijven vaker herkenbaar.

De aanpak: jagen op gedrag, niet op bestanden

In deze threat hunt lag de focus niet op het vinden van specifieke malware, maar op het herkennen van gedragingen die passen bij de werkwijze van APT35. Denk aan:

      • Specifieke manieren van PowerShell-misbruik
      • Ongebruikelijke processtarts
      • Verdachte persistentietechnieken
      • Patronen van dataverzameling en exfiltratie
      • Webshell-achtig gedrag op IIS-servers

Op basis van bekende TTP’s zijn gerichte detectiequeries opgesteld. Niet als generieke detectie, maar afgestemd op het platform en de logging die in de omgeving beschikbaar was.

Concrete hunt-hypotheses en observabele aanvalspatronen

Detectie van PowerShell-obfuscatie en modulaire C2-architecturen

Aanvallers gebruiken vaak zwaar verhulde PowerShell-commando’s, bijvoorbeeld met:

      • Base64-encoding
      • uitgebreide .Replace()-constructies
      • dynamische stringopbouw
      • verhulde parameters en wildcard-filters

Dit soort patronen wijkt doorgaans af van regulier beheer- of automatiseringsgebruik.

Abnormale API-aanroepen en verborgen procesexecutie

Sommige loaders maken gebruik van minder gangbare libraries en API-aanroepen en starten subprocessen op een verborgen manier, zodat activiteit minder zichtbaar is in standaard monitoring.

Indicatoren kunnen zijn:

      • ongebruikelijke DLL-loads vanuit gebruikersmappen
      • commandoregel-redirectie
      • verborgen procesvensters

Indicatoren voor langdurige, modulaire post-exploitation-activiteit

Bepaalde modules zijn ontworpen voor langdurige aanwezigheid en communicatie. Daarbij komen herkenbare variabelen of functienamen terug in commandoregels of scripts, die bruikbaar zijn als jachtindicator.

Detectie van webshell-gedrag en procesmisbruik op IIS-servers

Bij webservers is specifiek gekeken naar:

      • aanroepen waarbij IIS-processen (zoals w3wp.exe) commandoregeltools starten
      • verborgen PowerShell- of cmd-processen
      • recent aangemaakte of gewijzigde ASPX-bestanden in webroots

Dit kan duiden op laterale beweging via een webshell.

Verdachte download- en uitvoerpatronen vanuit tijdelijke en gebruikerspaden

Loaders en droppers gebruiken vaak:

      • tijdelijke directories
      • hardcoded gebruikerspaden
      • download-commando’s via bijvoorbeeld bitsadmin, curl, Invoke-WebRequest of certutil

In combinatie met procesgedrag levert dat sterke signalen op.

Gedragsindicatoren voor gerichte dataverzameling en exfiltratie

Er is ook gelet op processen die:

      • gericht zoeken naar documenttypen zoals .docx, .xlsx en .pdf
      • archiveringstools starten
      • upload- of POST-verkeer initiëren naar externe locaties

Waarom deze manier van threat hunting werkt

Gerichte threat hunting op basis van bekende aanvalstechnieken heeft twee belangrijke voordelen:

  1. Minder ruis dan generieke detectie
    Door te jagen op relevante TTP’s in plaats van op algemene signalen, wordt het aantal irrelevante meldingen beperkt.
  2. Sneller zicht op afwijkend gedrag
    Ook wanneer specifieke malwarevarianten nog niet bekend zijn in detectietools, vallen afwijkende gedragingen vaak al op.

De effectiviteit zit dus niet alleen in tooling, maar vooral in de combinatie van dreigingsinformatie, omgevingskennis en gerichte hypothese-gedreven queries.

Integratie van threat hunting binnen incident response en resilience

Gerichte threat hunting laat zien dat het vroegtijdig herkennen van geavanceerde aanvallers zelden afhankelijk is van één indicator of tool. Door te jagen op gedrag en bekende aanvalstechnieken ontstaat zicht op activiteiten die met traditionele detectie vaak onopgemerkt blijven, zelfs wanneer specifieke malware nog niet als zodanig bekend is.

De kracht van deze aanpak zit in de combinatie van actuele dreigingsinformatie, diepgaande kennis van de eigen omgeving en hypothese-gedreven analyses. Daarmee verschuift threat hunting van een reactieve controle naar een structureel onderdeel van een volwassen securityoperatie: aannames worden getest, detectielogica wordt verfijnd en verdedigingsmaatregelen worden continu aangescherpt.

Niet elke organisatie loopt hetzelfde risico, maar voor elke organisatie geldt dat contextgedreven jacht op afwijkend gedrag het verschil kan maken tussen incidentele ontdekking en tijdige detectie van geavanceerde dreigingen.

Deze threat hunt vs. standaard detectie

Wat deden we anders?

      • Hypothese-gedreven jacht
        Start vanuit dreigingsactor-specifieke aannames in plaats van bestaande alerts of use cases.
      • TTP-gerichte detectie
        Focus op aanvalstechnieken en gedragingen die over tijd stabiel blijven, niet op vluchtige IOC’s.
      • Context-afhankelijke queries
        Detectielogica afgestemd op platform, loggingniveau en normaal gedrag binnen de specifieke omgeving.
      • Gedrag vóór tooling
        Analyse van proces-, commandoregel- en netwerkgedrag staat centraal, tooling ondersteunt maar stuurt niet.
      • Iteratief en verdiepend
        Elke bevinding leidt tot nieuwe hypothesen en verfijning van detectielogica, niet tot een eindpunt.

Resultaat: minder ruis, sneller inzicht en detectie van activiteiten die buiten standaard detectieregels vallen.

Latest blogs

Verbeteringen in Ekco Sphere voor meer overzicht en eenvoud

  • Modern Work
  • februari 26, 2026

De komende verbeteringen in Ekco Sphere zorgen voor meer overzicht, eenvoudiger gebruik en meer controle.

Lees meer

Nieuwe SSL-geldigheidsduur (47 dagen): impact, risico’s en voorbereiding

  • Security
  • februari 12, 2026

Dit is het juiste moment om te evalueren hoe jouw organisatie SSL-certificaten beheert.

Lees meer

Hoe doelgerichte threat hunting in de praktijk werkt

  • Security
  • februari 6, 2026

In deze technische blog laten we zien hoe gerichte threat hunting in de praktijk werkt.

Lees meer

Werken bij Ekco – IT-team aan het werk in de cloud pic

Heb je een vraag?
Onze specialisten staan voor je klaar

Neem contact op