Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 22 juni 2026

Politie en OM openen jacht op malwaregroep SocGholish

In het kader van de omvangrijke internationale politieoperatie ‘Operation Endgame’ is deze week een verwoestende klap uitgedeeld aan een van de meest hardnekkige cybercriminele netwerken ter wereld. Onder regie van de Nederlandse politie, het Openbaar Ministerie en buitenlandse opsporingsdiensten zijn wereldwijd 14.971 besmette WordPress-websites opgeschoond en is de infrastructuur achter de beruchte SocGholish-malware ontmanteld. De schadelijke software, die gelieerd is aan het beruchte Russische cybercrimesyndicaat EvilCorp, vormde een springplank voor grootschalige ransomware-aanvallen.

Cybercrime Politiek Om
Politie en OM openen jacht op malwaregroep SocGholish image

De gecoördineerde actieweek werd uitgevoerd door een internationale coalitie bestaande uit Nederland, de Verenigde Staten (FBI), Duitsland (BKA) en Canada (RCMP), intensief ondersteund door Europol en Eurojust. Tijdens de operatie werden wereldwijd 106 servers en kwaadaardige domeinen offline gehaald, waarmee het zogeheten SocGholish-botnet effectief onklaar is gemaakt.

De kwetsbaarheid van het mkb: 1,4 miljoen accounts gelekt

SocGholish – in cybersecuritykringen ook wel bekend onder de naam 'FakeUpdates' – maakt strategisch misbruik van legitieme, maar slecht beveiligde WordPress-websites om slachtoffers te maken. WordPress is het meest gebruikte Content Management Systeem (CMS) ter wereld en ondersteunt meer dan 43 procent van alle websites op het internet. Juist die enorme schaal maakt het platform een aantrekkelijk doelwit voor cybercriminelen.

"We constateerden dat de inloggegevens van maar liefst 1,4 miljoen WordPress-sites zijn gelekt", verklaart Maikel Rollman van het Team High Tech Crime van de politie. "Dat betekent dat al deze websites direct vatbaar zijn om met malware besmet te worden. Zo’n 14.971 websites die alledaagse diensten aanbieden, waren ook daadwerkelijk geïnfecteerd. Denk hierbij aan de websites van lokale restaurants of autogarages."

Aanvallers misbruikten de gelekte inloggegevens om achterdeurtjes (backdoors) in de websites te bouwen. Zodra een reguliere consument of inkoper vervolgens zo'n legitieme website bezocht, kreeg hij een pop-up te zien die claimde dat de internetbrowser (zoals Chrome of Edge) een dringende update nodig had. In werkelijkheid installeerde het slachtoffer daarmee de SocGholish-malware, waarmee de hackers volledige initiële toegang kregen tot het computersysteem. Deze toegang werd vervolgens doorverkocht aan ransomware-benden om netwerken plat te leggen en miljoenenbedragen te eisen.

Inzet van de hackbevoegdheid

Om de acute dreiging te stoppen, heeft de Nederlandse politie deze week haar wettelijke hackbevoegdheid ingezet. Hiermee zijn de digitale achterdeurtjes en de actieve malware op de bijna vijftienduizend besmette WordPress-websites op afstand verwijderd en zijn de systemen opgeschoond.

Hieke Buist, Plaatsvervangend hoofdofficier van het Landelijk Parket, benadrukt de noodzaak van de interventie: "Met deze acties ontnemen we cybercriminelen de toegang tot geïnfecteerde computersystemen. Daarmee wordt verdere schade aan digitale systemen van burgers, bedrijven en organisaties wereldwijd voorkomen en wordt de verspreiding van malware beperkt. Ook verkleinen we hiermee het risico dat deze systemen worden misbruikt voor cyberaanvallen op vitale infrastructuur en andere essentiële maatschappelijke processen. Dit is het startschot voor verdere acties tegen de malwaregroep SocGholish."

Naast het opschonen is er een grootschalig slachtoffernotificatietraject gestart. Eigenaren van websites waarvan inloggegevens zijn aangetroffen in de gelekte datasets, worden actief gewaarschuwd en aangespoord hun systemen te updaten. Hierbij werkt de politie nauw samen met publieke en private partners, waaronder het Nationaal Cyber Security Centrum (NCSC), het DIVD, Spamhaus, The Shadowserver Foundation, NoMoreLeaks en het bekende platform HaveIBeenPwned.

De link met het Russische EvilCorp

SocGholish is al sinds 2017 een constante en zeer ontwrichtende factor binnen het mondiale cyberdreigingslandschap. De operatie legde bovendien een sterke afhankelijkheid bloot van de Nederlandse digitale infrastructuur; de criminelen maakten op grote schaal misbruik van in Nederland gehoste servers om hun command-and-control-netwerken op te zetten.

De malwaregroep opereert onder de vlag van EvilCorp, een berucht Russisch cybercrimineel netwerk. EvilCorp is in de cybersecurityhistorie verantwoordelijk geweest voor enkele van de meest destructieve malwarecampagnes ooit, waaronder de bankiers-malware Zeus en Dridex. De groep heeft zich de afgelopen jaren ontwikkeld tot een professionele speler op het gebied van gerichte ransomware-aanvallen en grootschalige internationale witwasoperaties.

Dringende oproep aan website-eigenaren en burgers

De politie benadrukt dat de operatie weliswaar de huidige besmettingen heeft opgelost, maar dat de verantwoordelijkheid voor structurele veiligheid bij de beheerders zelf ligt. Website-eigenaren worden via de notificaties dringend geadviseerd direct de volgende stappen te ondernemen:

  • Wijzig onmiddellijk alle inloggegevens en wachtwoorden van het WordPress-beheerpaneel.
  • Activeer Multi-Factor Authenticatie (MFA) voor alle gebruikersaccounts.
  • Controleer op user-level: Verwijder vreemde of onverklaarbare extra accounts in de WordPress-configuratie.
  • Houd systemen up-to-date: Zorg dat plug-ins, thema's en de WordPress-kern automatisch worden bijgewerkt.
  • Zowel bedrijven als burgers kunnen via de officiële politiewebsite www.politie.nl/checkjehack controleren of hun specifieke inloggegevens voorkomen in de door de politie inbeslechte dataset van gelekte accounts.

Daarnaast waarschuwt het Team High Tech Crime internetgebruikers nogmaals voor de gevaren van 'FakeUpdates'. Legitieme software-updates van browsers verschijnen vrijwel nooit als agressieve, flashy pop-ups op willekeurige websites, maar worden altijd rechtstreeks via de officiële applicatiestores of de ingebouwde systeeminstellingen van het besturingssysteem uitgerold.

Publiek-private samenwerking binnen Endgame

Operatie Endgame, die in 2024 van start ging, geldt als de grootste en meest succesvolle internationale politie-interventie ooit in de strijd tegen ransomware en botnets. Binnen de taskforce werken politiediensten uit onder andere Duitsland, Denemarken, de Verenigde Staten, Australië, Frankrijk, België, het Verenigd Koninkrijk en Canada structureel samen.

Volgens Rollman is het succes van deze week mede te danken aan de intensieve kruisbestuiving met commerciële cybersecuritybedrijven en security-onderzoekers. "De opsporingsdiensten en de cybersecuritysector hebben elkaar hard nodig om de digitale wereld zo veilig mogelijk te maken en te houden. Operation Endgame is hier een prachtig voorbeeld van, en daar gaan we in de toekomst onverminderd mee door."

X2.com BW + BN Cybersec Netherlands BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
X2.com BW + BN