Nieuw onderzoek Palo Alto Networks: wereldwijde cyberspionagecampagne infiltreert kritieke systemen in 37 landen

Amsterdam, 6 februari 2026 - Unit 42, het onderzoeksteam van Palo Alto Networks, heeft een grootschalige en gerichte cyberspionagecampagne blootgelegd die wereldwijd overheden en strategische organisaties heeft getroffen. Uit nieuw onderzoek blijkt dat de door een staat gesteunde dreigingsactor, TGR-STA-1030, in korte tijd diep wist door te dringen in gevoelige systemen van 37 landen, bijna één op de vijf landen wereldwijd. De aanvallen volgden vaak kort na grote geopolitieke gebeurtenissen.

De campagne, door Unit 42 aangeduid als ‘The Shadow Campaigns’, richtte zich op organisaties met toegang tot beleidsmatige, economische en diplomatieke informatie. TGR-STA-1030 werkte met zeer gerichte aanvallen en maatwerktools, in plaats van grootschalige, geautomatiseerde campagnes.Op basis van uitgebreide threat intelligence en de schaal van de Palo Alto Networks-platformen kon Unit 42 deze activiteiten wereldwijd identificeren en, in samenwerking met overheden, getroffen organisaties waarschuwen en ondersteunen bij herstelmaatregelen. In Europa zijn onder meer Duitsland, Italië, Polen, Portugal, Tsjechië, Servië, Griekenland en Cyprus getroffen.

Dit zijn de belangrijkste inzichten uit het onderzoek:

• De aanvallen richtten zich op onder andere vijf nationale politiediensten en grensautoriteiten en drie ministeries van Financiën, evenals overheidsafdelingen die zich bezighouden met handel, natuurlijke hulpbronnen en diplomatie.
• De groep ging zeer snel te werk en aanvallen werden vaak binnen enkele dagen na grote geopolitieke gebeurtenissen al uitgevoerd.
• Aanvallers kwamen organisaties binnen via gerichte phishingmails en maakten misbruik van bekende beveiligingslekken in veelgebruikte software van onder meer Microsoft Exchange, SAP en Atlassian.
• De gebruikte malware werd bewust eenvoudig en compact opgezet, zodat deze minder snel werd herkend door beveiligingssystemen.
• De groep maakte gebruik van nieuwe, verborgen software, Linux kernel Rootkit, om langdurig onzichtbaar te blijven binnen getroffen systemen.
• Tussen november en december 2025 nam Unit 42 actieve verkenningsactiviteiten waar tegen overheidsnetwerken in 155 landen, wat de wereldwijde schaal en strategische ambitie van de campagne onderstreept.

Volgens Unit 42 onderstreept het onderzoek hoe effectief en schaalbaar moderne cyberspionage is geworden. De combinatie van snelheid, technische verfijning en langdurige aanwezigheid vergroot het risico op datadiefstal, strategisch informatieverlies en verdere exploitatie van systemen.