Van vibe-hacking tot flat-pack malware: eenvoudige AI-aanvallen omzeilen huidige beveiliging, toont HP-onderzoek aan

HP Inc. publiceert het Threat Insights Report, met sterke aanwijzingen dat aanvallers AI gebruiken om campagnes op te schalen en te versnellen. Hierbij verkiezen aanvallers veelal kosten, inspanning en efficiëntie boven kwaliteit. Ondanks dat deze AI-ondersteunde aanvallen vaak gestandaardiseerd en weinig verfijnd zijn, weten ze toch bedrijfsbeveiliging te omzeilen.

Het rapport analyseert cyberaanvallen en helpt organisaties inzicht te krijgen in de nieuwste technieken die cybercriminelen gebruiken om detectie te ontwijken en pc’s te compromitteren in een snel veranderend cyber threat landschap. Op basis van de miljoenen endpoints die draaien op HP Wolf Security* identificeerden HP’s threat researchers onder andere de volgende opvallende campagnes:

• Vibe-hacking-scripts met Booking.com-redirects: Aanvallers gebruiken AI om kant-en-klare infectiescripts te genereren – bekend als vibe-hacking – om de verspreiding van malware te automatiseren. In één campagne activeert een link in een valse factuur-pdf een ongeziene download vanaf een gecompromitteerde website, waarna slachtoffers worden doorgestuurd naar vertrouwde platforms zoals Booking.com.
• Flat-pack malware versnelt het bouwen van campagnes: Dreigingsactoren stellen aanvallen samen met goedkope, kant-en-klare malwarecomponenten, waarschijnlijk gekocht via hackerforums. Hoewel lokmiddelen en uiteindelijke payloads variëren, hergebruiken aanvallers dezelfde tussentijdse scripts en installers – waardoor zij snel campagnes kunnen bouwen, aanpassen en opschalen met minimale inspanning. Opvallend hieraan is dat dit niet het werk is van één enkele dreigingsgroep; meerdere, niet-verwante actoren gebruiken dezelfde bouwstenen.
• Malware verborgen in nep-Teams-installer (‘piggyback’-aanval): Campagnes verspreidden malware via search engine poisoning en kwaadaardige advertenties die nepwebsites van Microsoft Teams promoten. Slachtoffers downloaden een kwaadaardig installatiepakket waarin verborgen Oyster Loader-malware ongemerkt meeloopt met het installatieproces van Teams. Hierdoor wordt de echte app geïnstalleerd terwijl de infectie ongemerkt plaatsvindt. Hiermee creëert de aanvaller een achterdeur geeft tot het apparaat van de gebruiker.

Pelle Aardewerk, Cyber Security Consultanty Lead EMEA bij HP:  “De opkomst van AI-gestuurde (zero-day) malwareontwikkeling en de exploitatie daarvan vereist dat beveiligings- en verdedigingstechnologie verschuift van systemen die kwaadaardig gedrag detecteren naar preventieve beveiligingstechnologie, zoals het afdwingen van het least-privilege-principe, isolatie en veerkracht/herstel op infrastructuurniveau”.

Door dreigingen te isoleren die detectietools op pc’s hebben weten te omzeilen – terwijl malware veilig tot uitvoering kan komen binnen beveiligde containers – krijgt HP Wolf Security inzicht in de nieuwste technieken van cybercriminelen. Tot op heden hebben klanten van HP Wolf Security op meer dan 60 miljard e-mailbijlagen, webpagina’s en downloads geklikt zonder gemelde beveiligingsincidenten.

Het rapport, dat gegevens uit de periode oktober–december 2025 analyseert, beschrijft hoe cybercriminelen hun aanvalsmethoden blijven veranderen om beveiligingstools te omzeilen – zonder gemelde inbreuken.

• Tenminste 14% van de e-maildreigingen die door HP Sure Click werden geïdentificeerd, omzeilde één of meer e-mailgateway-scanners.
• Uitvoerbare bestanden waren het populairste verspreidingsmiddel (37%), gevolgd door .zip-bestanden (11%) en .docx-bestanden (10%).

Dr. Ian Pratt, Global Head of Security for Personal Systems bij HP: “AI-ondersteunde aanvallen laten de beperkingen van detectiegerichte beveiliging zien. Wanneer aanvallers binnen enkele minuten malware kunnen genereren en opnieuw verpakken, kunnen detectiegebaseerde verdedigingsmechanismen het tempo niet bijbenen. In plaats van te proberen elke variant te herkennen, moeten organisaties eraan werken om hun blootstelling te verminderen. Door risicovolle activiteiten , zoals het openen van onbekende bijlagen of het klikken op verdachte links, te isoleren in een afgeschermde omgeving, kunnen organisaties dreigingen stoppen voordat ze schade aanrichten en een hele categorie risico’s uitschakelen.

Raadpleeg de Threat Research blog om het hele rapport in te zien.