Het Centrum voor Cybersecurity België heeft een internationale waarschuwing uitgevaardigd voor een geavanceerde dreigingsactor die uitsluitend tijdens WK-wedstrijden politici lijkt te targeten, hun accounts compromitteert, één enkele discriminerende verklaring publiceert die niet te onderscheiden is van de werkelijke opvattingen van de accounthouder, en verdwijnt.

De operatie, die het CCB heeft bestempeld als APT-Mirror, heeft inmiddels driemaal toegeslagen in elf dagen. Het aanvalspatroon is in elk geval identiek: één politicus, één platform, één verklaring, nul technische sporen, en inhoud die, bij toeval, perfect weerspiegelt wat het slachtoffer denkt. De categorie van vooroordeel varieert. De aanvaller past zich aan aan wat de doelwit voorhanden heeft.

“Deze veelzijdigheid is wat APT-Mirror zo gevaarlijk maakt,” zei een CCB-analist. “Sommige doelwitten hebben racisme in voorraad. Sommigen hebben misogynie. Sommigen hebben beide. De aanvaller werkt met de bestaande inventaris. We hebben dit niveau van personalisatie nog nooit gezien in een cyberoperatie.”

Het eerste bekende incident vond plaats op 10 juni, toen het Instagram-account van een Belgische partijfunctionaris werd gebruikt om een misogynistische boodschap te sturen naar een komiek in reactie op een radiosegment over FWB-begrotingsbesparingen. De functionaris beweerde dat het account was gehackt. De aanvaller had 900 volgers om mee te werken en gebruikte ze om één bericht naar één persoon te sturen, en ging vervolgens met pensioen.

Het tweede incident trof een Paraguayaanse senator wiens X-account een racistische tirade publiceerde tegen Kylian Mbappé naar aanleiding van Paraguay's uitschakeling door Frankrijk. Het Instagram-account van de senator werd vervolgens gedeclareerd als gecompromitteerd, terwijl het “gehackte” account verder postte over dezelfde voetballer, in dezelfde toon, nog enkele uren lang. De aanvaller kondigde uiteindelijk aan dat hij de controle over het account had hersteld, waarna het posten werd hervat in dezelfde stem, over andere onderwerpen.

“Het is ofwel de meest geavanceerde imitatie in de cybergeschiedenis, of het is er geen.” Een CCB-analist, over de ononderscheidbare overgang tussen gehackte en authentieke inhoud

“Dat is het handelsmerk van APT-Mirror,” zei de analist. “De overgang tussen gehackte inhoud en authentieke inhoud is niet te onderscheiden. Linguïstisch, stilistisch, ideologisch, er is geen detecteerbare grens. Het is ofwel de meest geavanceerde imitatie in de cybergeschiedenis, of het is er geen.”

Het CCB heeft nu een preventief advies uitgevaardigd voor voormalig Spaans premier Mariano Rajoy, wiens WK-column deze week het Franse elftal omschreef als spelend “zonder Fransen.” De column werd ingediend als een spraakmemo en getranscribeerd door een stagiair bij El Debate.

“Het spraakmemo-formaat stelt ons voor een nieuwe uitdaging,” gaf de analist toe. “Als Rajoy beweert dat zijn stem is gehackt, moeten we beoordelen of iemand zijn spraakpatronen heeft gesynthetiseerd, zijn opvattingen over immigratie, en zijn specifieke begrip van de Franse nationaliteitswetgeving, dat blijkbaar nihil is. We bereiden ons voor op dit scenario.”

Gevraagd of APT-Mirror een enkeling of een door een staat gesponsorde groep zou kunnen zijn, zei de analist dat het CCB alle opties openhield. “Het enige profiel dat we kunnen uitsluiten,” voegde hij eraan toe, “is iemand wiens opvattingen verschillen van die van het doelwit. Tot nu toe heeft elke aanvaller het volledig eens geweest met zijn slachtoffer. Dat is ofwel de meest opmerkelijke samenloop van omstandigheden in de inlichtingengeschiedenis, of het is geen samenloop.”

Interpol is toegetreden tot het onderzoek. Het dreigingsniveau is verhoogd naar “Wereldbeker,” een classificatie die specifiek voor dit toernooi in het leven is geroepen. Het CCB bevestigde dat het alle verkozen functionarissen met toegang tot een telefoon, een WK-meningcolumn, of een mening monitort.