Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 17 oktober 2025

Chinese APT-groep gebruikt ArcGIS als 'backdoor'

De Chinese Advanced Persistent Threat (APT)-groep "Flax Typhoon" heeft een ongekende, jarenlange toegang weten te behouden tot een ArcGIS-systeem door legitieme software te transformeren in een sluwe, persistente backdoor. Deze aanval was zo uniek dat de softwareleverancier zijn eigen beveiligingsdocumentatie moest aanpassen.

Cybercrime Security China
Chinese APT-groep gebruikt ArcGIS als 'backdoor' image

Onderzoek van ReliaQuest Threat Research toont aan dat de aanvallers een legitieme Java server object extension (SOE) van de geo-mapping applicatie ombouwden tot een web shell. Door de toegang tot deze web shell te beveiligen met een hardgecodeerde sleutel en de gecompromitteerde component in systeembestanden en back-ups in te bedden, verzekerde de groep zich van een diepe, langdurige aanwezigheid die zelfs een volledige systeemherstel kon overleven.

Ingenieuze aanval dwingt leverancier tot documentatie-update

De kern van de aanval is de uitbuiting van een blinde vlek in de beveiliging: het inherente vertrouwen in legitieme softwarecomponenten. In plaats van bekende malware te gebruiken, vermomde Flax Typhoon zijn kwaadaardige handelingen als normale systeemoperaties.

"Dit dwingt een kritische verschuiving in het beveiligingsdenken, weg van de vraag 'Is dit bestand kwaadaardig?' naar 'Gedraagt deze applicatie zich zoals verwacht?'" aldus de onderzoekers.

De inbreuk begon door het compromitteren van een portalbeheerdersaccount (waarschijnlijk door een zwak wachtwoord) en het implementeren van de kwaadaardige SOE. Dit gaf de aanvallers "hands-on-keyboard activity," waarmee ze commandoregels konden uitvoeren, lateraal door het netwerk konden bewegen en inloggegevens konden verzamelen over meerdere hosts.

Het insluiten van de backdoor in de back-ups was een insidieuze tactiek. Hierdoor werd het herstelplan van de organisatie een garantie voor herinfectie. Incident Response-teams moeten back-ups voortaan behandelen als een potentiële besmettingsvector.

ArcGIS als poort naar kritieke systemen

Hoewel de aanval gericht was op ArcGIS – een geografisch informatiesysteem dat cruciaal is voor onder meer stadsplanning, rampenbestrijding en emergency management – benadrukken de onderzoekers dat de kwetsbaarheid in principe bestaat in elke openbaar toegankelijke applicatie met backend-toegang.

Een succesvolle inbraak in zo'n systeem kan vitale operaties ontwrichten en gevoelige data blootleggen, zoals informatie over kwetsbare infrastructuur die aanvallers later kunnen misbruiken. Bovendien fungeert het als een toegangspoort voor laterale bewegingen naar de bredere ondernemings- en operationele technologie (OT)-netwerken.

Attributie aan Flax Typhoon

ReliaQuest schrijft de aanval met hoge waarschijnlijkheid toe aan Chinese APT's, en met matige waarschijnlijkheid aan Flax Typhoon (ook bekend als "Ethereal Panda"). 

Kenmerkend voor de groep is:

  • Langdurige Persistentie: De groep staat bekend om het handhaven van toegang voor meer dan twaalf maanden.
  • Tooling: Gebruik van SoftEther VPN om digitale tunnels naar hun eigen infrastructuur op te zetten.
  • Taktiek: Focus op persistentie, laterale beweging en het verzamelen van inloggegevens, vaak na initiële toegang via het misbruik van public-facing servers en web shells.
  • Timing: Waargenomen activiteit valt samen met Chinese kantooruren.

Gezien de focus van Flax Typhoon op kritieke infrastructuur en de lange periode van voorbereiding, waarschuwen de onderzoekers dat het waarschijnlijk is dat de groep al actief is in nieuwe netwerken of de volgende aanval voorbereidt.

Actieplan voor organisaties

De aanval benadrukt de noodzaak om de beveiligingsstrategie drastisch aan te passen:

  1. Behandel Openbare Applicaties als Hoog Risico: Inventariseer alle public-facing applicaties en beheer ze als top-tier beveiligingsprioriteiten.
  2. Stap af van IOC-detectie: Overstappen op gedragsanalyse om anomalieën in legitieme processen te detecteren (bijvoorbeeld een webservice die onverwachte processen start).
  3. Verbeter Wachtwoordhygiëne: De aanval werd mogelijk gemaakt door een zwak beheerderswachtwoord. Multifactor-authenticatie (MFA) en het principe van least privilege (PoLP) zijn cruciaal.
  4. Audit Back-ups: Behandel back-ups niet langer als een absolute vangnet, maar als een potentieel middel voor herinfectie.

"Dit is niet alleen een verhaal over ArcGIS; het is een waarschuwing dat elke ingang met backend-toegang moet worden behandeld als een topprioriteit," besluiten de onderzoekers. Organisaties moeten de defensieve mindset verschuiven om te voorkomen dat hun eigen vertrouwde tools tegen hen worden gebruikt.

Axians BN BW september oktober 2025 Vertiv BW

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2025

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Gartner BN tm 12-11-2025 - 2

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.