Een e-mail bracht mij ertoe een van de grootste PHISHING-campagnes van dit moment te onderzoeken!

Een e-mail bracht mij ertoe een van de grootste PHISHING-campagnes van dit moment te onderzoeken!

05/02/2026

Auteur: Juan Mathews Rebello Santos

1. SAMENVATTING

Dit technische rapport documenteert het forensisch onderzoek dat ik heb uitgevoerd na ontvangst van een frauduleuze e-mail met daarin een vermeende prijsmelding en een lopende financiële storting. De analyse bracht een geavanceerde cybercriminele infrastructuur aan het licht die phishing-, scareware- en affiliate-fraudecampagnes op internationale schaal uitvoert.

Tijdens het onderzoek heb ik een keten van omleidingen geïdentificeerd, bestaande uit:

  • elektronische spam met social engineering;
  • misbruik van de infrastructuur van Cloudflare Pages;
  • inzet van overheidsmedewerkers in de Democratische Republiek Congo;
  • Commando- en controle-infrastructuur (C2);
  • gebruik van Domain Generation Algorithm (DGA);
  • Wildcard SSL-certificaten;
  • en het genereren van inkomsten via partnerprogramma's van Norton/Gen Digital via Impact Radius.

De operatie getuigt van een hoog niveau van technisch professionalisme, anti-analyse-ontduiking en automatisering van kwaadaardige campagnes.

2. OORSPRONG VAN HET ONDERZOEK

Het onderzoek begon nadat ik een duidelijk vervalste e-mail had ontvangen, verzonden naar het adres:

[email protected]

Het onderwerp van het bericht was:

Prijscode

De inhoud van de e-mail vermengde Arabische tekst met berichten over financiële urgentie, een strategie die wordt gebruikt om antispamfilters te belemmeren en de schijn van legitimiteit te vergroten.

Geïdentificeerd fragment:

De beste manier om dit te doen
Het is belangrijk dat u uw geld terugkrijgt

Geschatte vertaling:

“Bedankt voor je deelname aan de wedstrijd.
Bewaar de code ter verificatie tijdens de trekking.”

Het bericht bevatte ook een zogenaamde promotiecode:

Code: 9132289937520370

Het echte doel van de e-mail was echter om de gebruiker te misleiden om op een kwaadaardige link te klikken die midden in het bericht was ingevoegd:

⚠️ Dringend: uw aanbetaling van € 3.639,00 staat in de wacht. Bevestig nu:
https://obs.regideso.cd/?8nqrpm

De inhoud toonde ook mijn e-mailadres om een gevoel van personalisatie en legitimiteit toe te voegen:

[email protected]

Analyse toonde aan dat de e-mail is gebouwd om het volgende te combineren:

  • valse onderscheidingen;
  • financiële urgentie;
  • vreemde taal;
  • sociale engineering;
  • en gedeeltelijke verhulling van de zwendel.

Het doel was om het slachtoffer onmiddellijk te laten klikken.

3. KWAADWARE OMLEIDINGSKETEN

Wanneer u de link opent:

https://obs.regideso.cd/?8nqrpm

Ik stelde vast dat het domein slechts als tussenschakel binnen de operatie fungeerde.

De volledige stroom die tijdens het onderzoek werd waargenomen, was:

E-mail spam
↓
obs.regideso.cd
↓
linnen-wharf-river.pages.dev
↓
Willekeurige subdomeinen van yandehyto.com
↓
Scareware/phishing-einddomeinen

Onder de geïdentificeerde eindbestemmingen waren:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Deze architectuur demonstreert een professionele keten van verduistering van de infrastructuur, waardoor tracking, geautomatiseerde blokkering en forensische analyse moeilijk worden.

4. TOEGEWIJDE RELAISANALYSE

Het domein:

obs.regideso.cd

opgelost naar het IP:

161.35.30.54

gehost op de DigitalOcean-infrastructuur.

Het goed bleek eigendom te zijn van het openbare waterleidingbedrijf van de Democratische Republiek Congo:

  • REGIDESO SA

Tijdens de analyse van de webomgeving heb ik het volgende geïdentificeerd:

  • ongeautoriseerde PHP-bestanden;
  • scripts die fungeren als redirectors;
  • Blootstelling aan de Laravel-omgeving;
  • backend werkt in debug-modus.

Waargenomen bestanden:

  • info.php
  • index.php

Er werden ook absolute interne serverpaden blootgelegd:

C:\api-factures\api-factures\

Het blootleggen van deze informatie bevestigt ernstige tekortkomingen in de verharding en de onveilige configuratie van het Laravel-framework.

5. COMMANDO- EN CONTROLINFRASTRUCTUUR (C2)

De kern van de operatie was gecentraliseerd op een server die werkte als:

  • centrale doorverwijzer;
  • kliktracker;
  • gateway voor het genereren van inkomsten;
  • en campagnecontroller.

Eindpunt geïdentificeerd:

/klik.php

6. ONTVALTECHNIEKEN

6.1 Verhullen tegen analyse

Ik heb vastgesteld dat de server actieve cloaking heeft geïmplementeerd tegen:

  • onderzoekers;
  • geautomatiseerde scanners;
  • Datacenter-IP's;
  • tools zoals curl en Nmap.

Toen er een verdachte omgeving werd gedetecteerd, reageerde de server met:

HTTP/1.1 302Gevonden
Locatie: http://yahoo.com/

of:

Locatie: http://google.com/

Deze techniek vermindert de blootstelling van de kwaadaardige landingspagina aan beveiligingssystemen drastisch.

6.2 DGA en Wildcard DNS

Tijdens het onderzoek heb ik uitgebreid gebruik van Wildcard DNS in het domein vastgesteld:

yandehyto.com

Elk willekeurig subdomein wordt correct omgezet naar de C2-server.

Geïdentificeerde voorbeelden:

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Deze techniek maakt een oneindige rotatie van URL's mogelijk zonder dat nieuwe domeinen hoeven te worden geregistreerd.

6.3 Wildcard SSL-certificaten

De operator gebruikte geldige Wildcard-certificaten uitgegeven door Let's Encrypt:

*.yandehyto.com

Dit maakte geldige HTTPS mogelijk voor alle dynamisch gegenereerde subdomeinen, waardoor de geloofwaardigheid van de zwendel werd vergroot.

7. PAYLOAD SCAREWARE-ANALYSE

Na de omleidingen werd het slachtoffer doorgestuurd naar pagina's die werden gehost op:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Op deze pagina's werd kwaadaardig JavaScript gebruikt dat de interface simuleerde van:

  • McAfee Totale Bescherming

De code bevatte functies zoals:

start_circleProgress()

die valse antivirusscans simuleerden en niet-bestaande bedreigingen vertoonden:

  • Win32/Hoax.Renos.HX
  • Trojaans IRC/Backdor.Sd.FRV

Ik heb ook geïdentificeerd:

  • gebruik van de FullScreen-API;
  • navigatieblokkering;
  • tabblad focus vastleggen;
  • onderschepping van onbeforeunload.

Het doel was om psychologische druk te genereren om het slachtoffer ertoe te bewegen onmiddellijk een antivirusprogramma aan te schaffen.

8. PARTNERFRAUDE

De uiteindelijke inkomsten genereren vond plaats via omleidingen naar legitieme pagina's van:

NortonLifeLock Gen Digitaal

De campagne maakte misbruik van het affiliateplatform:

  • Impactradius

Gevonden identificatiegegevens:

Partner-ID: 3076190
Campagne-ID: 4405

Het operationele model zette de door scareware veroorzaakte angst om in financiële provisies.

9. FORENSISCH BEWIJS

HTTP-omleiding

HTTP/1.1 302 gevonden
Server: nginx/1.28.0
Datum: vrijdag 1 mei 2026 20:12:37 GMT
Locatie: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Detectie van cloaking:

[Detectie geactiveerd] -> Omleiden naar http://yahoo.com/

SSL-certificaat

diepte=0 CN = yandehyto.com

X509v3 Alternatieve naam onderwerp:
DNS:*.yandehyto.com
DNS:yandehyto.com

Uitgever:
C = VS
O = Laten we coderen
CN = E7

10. INDICATOREN VAN COMMITMENT (IOC’s)

IP's

  • 161.35.30.54

Domeinen

  • smilingtooth.com.sa
  • obs.regideso.cd
  • linen-wharf-river.pages.dev
  • yandehyto.com
  • baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

DGA-subdomeinen

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Partner-ID's

Partner-ID van impactradius: 3076190
Campagne-ID: 4405

11. CONCLUSIE

Op basis van het gehele uitgevoerde onderzoek heb ik geconcludeerd dat de geanalyseerde campagne een zeer professionele cybercriminele operatie vertegenwoordigt, waarbij gebruik wordt gemaakt van:

  • phishing;
  • schrikwaar;
  • verhulling; *DGA;
  • misbruik van legitieme infrastructuur;
  • affiliate-fraude;
  • en gecompromitteerde servers van derden.

De operatie getuigt van een sterke technische capaciteit op het gebied van:

  • anti-analyse-ontduiking;
  • sociale engineering;
  • frauduleus genereren van inkomsten;
  • campagneautomatisering;
  • en het verbergen van infrastructuur.

12. BETROUWBARE REFERENTIES EN ANALYSE VAN URLS

Hieronder vindt u de links die de analyse van domeinen en URL's op platforms voor bedreigingsinformatie bewijzen.

VirusTotaal

AlienVault OTX

MisbruikIPDB

Censys

Veiligheidspaden

urlscan.io

Shodan

Opmerking: Kwaadwillige activiteiten en indicatoren van compromittering zijn al gemeld aan de bevoegde autoriteiten.