Ook SocGholish neergehaald: 326 servers offline, Microsoft pakt 'supply chain' aan
Europol heeft de actie nu officieel bevestigd en uitgebreid: naast StealC en Amadey is ook een derde tool, de dropper SocGholish (ook bekend als FakeUpdates), neergehaald. In twee weken zijn 326 servers en 142 domeinen offline gehaald, is voor ruim 41 miljoen euro aan crypto van criminele herkomst bevroren en zijn 27 miljoen gestolen inloggegevens teruggehaald. SocGholish verspreidt zich via nep-browserupdates op gehackte WordPress-sites en is gelinkt aan de Russische groep Evil Corp (bekend van Zeus en Dridex); 14.971 besmette websites, waaronder die van restaurants en garages, zijn opgeschoond, en de Nederlandse politie heeft kwetsbaarheden verwijderd en eigenaren gewaarschuwd. Microsoft pakte StealC en Amadey bewust in samenhang aan, omdat ze samen een keten vormen die in alleen de eerste twee weken van mei 2026 al aan meer dan 140.000 besmette computers werd gekoppeld; de strategie verschoof daarmee van losse dreigingen naar de hele criminele toeleveringsketen. Voor Nederlandse ondernemers is de praktische les concreet: draai je een WordPress-site, controleer dan op nep-update-injecties en ververs inloggegevens, en check via CheckjeHack of HaveIBeenPwned of jouw gegevens tussen de buitgemaakte data zitten.
Een internationaal opsporingsteam heeft opnieuw twee veelgebruikte infostealers offline gehaald. Onder de naam Operatie Endgame namen de Nederlandse politie en buitenlandse diensten honderden criminele servers in beslag, en daarop stonden meer dan 24 miljoen gestolen inloggegevens. Voor elke ondernemer die met online accounts werkt, en dat is iedereen, is dat geen ver-van-je-bed-nieuws maar een directe aanleiding om vandaag je wachtwoorden te controleren.
Wat er precies is uitgeschakeld
De actie richtte zich op de infostealers StealC en Amadey en op de dropper SocGholish. Op de in beslag genomen servers troffen de samenwerkende diensten meer dan 24 miljoen logingegevens aan, afkomstig van 384.000 computersystemen en voor ruim 1,5 miljoen verschillende diensten en bedrijven. Europol telde over de hele operatie tot 27 miljoen gestolen inloggegevens en bevroor voor ruim 41 miljoen euro aan crimineel cryptogeld. In totaal gingen 326 servers en 142 domeinen uit de lucht.
Het Team High Tech Crime van de politie werkte onder gezag van het Landelijk Parket samen met diensten uit Canada, Denemarken, Duitsland, het Verenigd Koninkrijk en de Verenigde Staten, met steun van Europol, Eurojust en Microsoft. SocGholish, dat nepbrowserupdates verspreidde via gehackte WordPress-sites, is gelinkt aan de Russische cybercrimegroep Evil Corp, bekend van de Zeus- en Dridex-malware. Bij die actie werden bijna 15.000 besmette websites opgeschoond.
Waarom een infostealer juist het bedrijf raakt
Een infostealer is zelden het eindstation. De malware steelt wachtwoorden, sessiecookies, cryptowallets en systeemgegevens, en vormt daarmee de eerste schakel in een aanvalsketen die vaak eindigt in ransomware of fraude. Volgens analyse van Microsoft waren Amadey en StealC in alleen de eerste twee weken van mei 2026 al gelinkt aan meer dan 140.000 besmette computers wereldwijd.
Het venijn zit in de verspreiding. Infostealers komen binnen via downloads uit onbetrouwbare bronnen en phishing, precies de route die je terugziet bij de nep-installatieschermen die macOS-gebruikers een terminalcommando laten plakken dat een infostealer installeert en bij WhatsApp-phishing met nep-bedrijfsdocumenten die een pc volledig overneemt. Een besmette privelaptop van een medewerker die ook inlogt op de zakelijke mail of het CRM, en je bedrijfsaccounts liggen op straat.
Wat betekent dit voor jou
Het belangrijkste advies van de politie is nuchter: ga ervan uit dat alle accounts die ooit op een besmet apparaat zijn gebruikt in handen van criminelen zijn. Een wachtwoord wijzigen is dus niet genoeg. Via Check je Hack op politie.nl kun je nagaan of jouw gegevens in de buitgemaakte set zitten.
Concreet voor je organisatie: dwing wachtwoordrotatie af voor accounts die op verdachte apparaten zijn gebruikt, zet overal waar het kan twee-factor-authenticatie aan, en gebruik een wachtwoordmanager zodat een lek bij een dienst niet je hele digitale leven opent. En kijk verder dan de techniek: zoals een verdediging tegen phishing die begint bij je werkprocessen en niet bij je software laat zien, valt of staat veiligheid bij hoe mensen met meldingen, downloads en apparaten omgaan.
Operaties als deze halen de infrastructuur tijdelijk neer, maar de criminelen bouwen weer op. De enige duurzame winst zit in hygiene die je niet hoeft te onthouden omdat je systemen het afdwingen. Wie dat op orde heeft, slaapt een stuk rustiger bij het volgende datalek, en dat komt er.
Veelgestelde vragen
Beveiliging die zichzelf afdwingt
Ik help je je accounts, tools en data zo inrichten dat een gelekt wachtwoord geen ramp wordt, van meedenken en ontwerp tot werkende automatisering en monitoring, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
