In september 2024 werd de Nederlandse Politie slachtoffer van een digitale aanval. Geen datalek vol wachtwoorden, geen gijzelsoftware of dreigmail: maar een aanval via een sessiecookie. Deze succesvolle aanval op onze Politie, was reden genoeg voor de AIVD en MIVD om te starten met technisch onderzoek.
Dat onderzoek leidde in mei 2025 tot iets opvallends: de identificatie van een tot dan toe onbekende speler. De inlichtingendiensten noemden deze digitale actor Laundry Bear. Hun doelwitten zijn vaak belangrijke overheidsorganen zoals de krijgsmacht, specifieke overheidsorganisaties, defensie(toe)leveranciers, sociaal-maatschappelijke organisaties en digitale dienstverleners.
Maar hun aanpak is opvallend: geen explosieve technieken, geen zero-day hacks, geen zelfgeschreven malware.
In dit artikel gaan we dieper op deze aanpak in, en geven we handvaten die u helpen extra alert te zijn op deze methode.
De “Living off the Land” aanpak van Laundry Bear
Laundry Bear verzamelt. Informatie, toegang, inzicht. De groep kijkt liever mee dan dat zij iets kapotmaakt. Denk aan toegang tot mailboxen van medewerkers, contactlijsten, gedeelde documenten. Zaken die in veel organisaties worden opgeslagen in omgevingen zoals Microsoft 365, SharePoint of Outlook Web Access.
Laundry Bear zet passwordspraying in, maken ze sessiecookies buit, maar nog veel opvallender: de groep gebruikt technieken die in de cybersecuritywereld bekendstaan als “Living off the Land”.
Wat is Living off the Land?
Het betekent: geen nieuwe software installeren, maar bestaande functies misbruiken. Zoals het uitlezen van e-mail via Exchange Web Services. Of het downloaden van de Global Address List: een lijst met contactgegevens binnen een organisatie.
De werkwijze is niet per se nieuw, maar wel effectief:
- een eerder gestolen wachtwoord uit een oud datalek;
- een sessiecookie die via malware of een crimineel forum beschikbaar is;
- een gebruikersaccount met nét iets te veel rechten;
- of een phishingmail die qua onderwerp aansluit op de context van het slachtoffer.
En dan? Inloggen, rondkijken, informatie verzamelen. Zonder lawaai. Zonder direct iets te verstoren. En dus vaak ook: zonder dat iemand het merkt.
Juist die Living off the Land aanpak die ze succesvol bij een instantie als de Politie heeft binnen gebracht, valt op. Want: hoe vaak kijkt iemand in een organisatie naar het gedrag van een account dat legitiem lijkt?
Wat betekent dit voor andere organisaties?
Veel beveiliging is gericht op het herkennen van iets afwijkends. Malware. Ransomware. Ongebruikelijke downloads. Maar Laundry Bear kiest voor een aanpak die nauwelijks afwijkt van normaal gedrag.
Wie op een veilige manier toegang heeft tot een mailbox, ziet er hetzelfde uit als iemand die datzelfde account gebruikt voor spionage. Zeker als de sessie via een geldig cookie verloopt.
En dan wordt de volgende vraag interessant: hoe weet u wie in uw omgeving kijkt? En: waarvoor?
De casus van Laundry Bear maakt één ding duidelijk: technische complexiteit is niet nodig voor een succesvolle aanval. Wat nodig is, is informatie. En toegang. Liefst via een vertrouwd pad.
En wat maakt deze groep anders dan andere?
Volgens de MIVD vertoont Laundry Bear in gedrag overeenkomsten met APT28, een bekende Russische actor die gelinkt is aan militaire inlichtingendiensten. Beide groepen gebruiken technieken als password spraying, waarbij zwakke wachtwoorden worden geprobeerd op een hele reeks accounts.
Maar Laundry Bear lijkt net iets subtiler. Geen digitale schade. Geen disruptie. Alleen toegang en informatie. En juist dat maakt het lastig om detectie- en responsmaatregelen in te richten.
De aanvallen gaan vaak snel en efficiënt. De groep lijkt gebruik te maken van automatisering, waardoor veel accounts in korte tijd getest kunnen worden.
Ook opvallend: Laundry Bear richt zich niet alleen op overheden, maar ook op:
- IT- en clouddienstverleners met toegang tot andere organisaties;
- hightechbedrijven die producten leveren aan defensie;
- NGO’s, politieke partijen, media en onderwijsinstellingen.
Wat kunt u hieruit meenemen?
Hier zijn een paar praktische vragen die het rapport oproept. En die u kunt stellen binnen uw eigen organisatie:
1. Welke accounts hebben toegang tot wat?
Zijn er accounts met meer rechten dan nodig? Zijn er gedelegeerde mailboxbeheerders die toegang hebben tot gevoelige e-mail? Is dat in kaart gebracht?
2. Hoeveel ‘vergeten’ accounts bestaan er?
Oude medewerkers, leveranciers, stagiairs. Accounts die nog actief zijn, maar niet gebruikt. Zijn deze nog te benaderen van buitenaf?
3. Wat gebeurt er met sessies die open blijven?
Wordt sessietijd beperkt? Wordt sessiehergebruik geblokkeerd via IP-checks of apparaatauthenticatie? Wat doet u met cookies?
4. Welke beveiliging geldt er voor toegangscontrole?
Wordt er MFA gebruikt die bestand is tegen phishing? Zijn er beperkingen op IP-niveau? Worden niet-beheerde apparaten uitgesloten?
5. Kijkt iemand actief naar gedrag van accounts?
Wordt er gelogd wie toegang heeft tot gevoelige e-mail? Zijn er meldingen bij downloads van de GAL? Wordt dat verkeer überhaupt gemonitord?
Blijf elke dag kritisch
Laundry Bear toont hoe informatie langzaam, gericht en efficiënt kan worden buitgemaakt: zónder dat iemand iets doorheeft.
Of u direct op de radar staat van deze groep? Waarschijnlijk niet. Maar dat is ook niet het punt. De echte vraag is: wat zegt dit over hoe we toegang en gedrag beoordelen binnen onze digitale omgevingen?
Naar aanleiding van dit artikel in gesprek hierover? Neem vrijblijvend contact met ons op, dan koppelen we u aan een security expert.
