Router gehackt zonder dat je het merkt: DNS-verkeer wereldwijd omgeleid naar schaduwnetwerk
Nieuw onderzoek van Infoblox Threat Intel legt een grootschalige routercampagne bloot die al jaren actief blijkt. Aanvallers nemen op afstand routers over en passen de DNS-instellingen aan. Vanaf dat moment loopt al het internetverkeer via een schaduwnetwerk dat wordt gehost bij het door de VS gesanctioneerde Aeza International.
Het gevolg: gebruikers denken normaal te internetten, maar worden ongemerkt omgeleid naar malafide websites waar scams en malware op de loer liggen.
Wat gebeurt er precies?
Volgens het onderzoek breken aanvallers vooral in op oudere routers. Zodra een router is gecompromitteerd, wijzigen zij de DNS-resolvers. In plaats van de standaard DNS-servers van de internetprovider, gebruiken alle apparaten achter de router voortaan kwaadaardige resolvers.
Dat betekent dat niet alleen een laptop wordt geraakt, maar het hele wifi-netwerk:
- Smartphones
- Tablets
- Smart tv’s
- IoT-apparaten
- Werkapparatuur
Iedereen op dat netwerk loopt via de infrastructuur van de aanvallers.
Slim misbruik van een DNS-blinde vlek
Wat deze campagne bijzonder maakt, is hoe lang ze onder de radar kon blijven.
De kwaadaardige DNS-servers reageren alleen normaal op eenvoudige, klassieke DNS-verzoeken. Moderne securitytools gebruiken uitgebreidere DNS-functies. Die krijgen vooral foutmeldingen terug. In logging lijkt het dan alsof er niets gebeurt.
Voor gewone gebruikers werkt het systeem wél. Grote websites zoals Google krijgen vaak het juiste IP-adres terug. Andere domeinen worden echter selectief omgeleid naar een HTTP-gebaseerd Traffic Distribution System (TDS).
Dat TDS bouwt een profiel op van de gebruiker en stuurt verkeer gericht door naar affiliate-platforms, misleidende advertenties en schadelijke content.
Gehost bij gesanctioneerde partij
De malafide resolvers worden gehost bij Aeza International, een zogenoemde “bulletproof hosting”-provider die in juli 2025 door de Amerikaanse overheid werd gesanctioneerd.
Dat maakt de infrastructuur juridisch en geopolitiek extra gevoelig.
Wereldwijde impact
Infoblox ziet aanwijzingen voor activiteit in tientallen landen. Het gaat dus niet om een lokale campagne, maar om een wereldwijde operatie.
De kern van het probleem: DNS is voor veel organisaties nog steeds een onderbelicht onderdeel van security. Zolang een gebruiker “gewoon internet heeft”, wordt er weinig argwaan gewekt.
Maar zodra aanvallers de DNS-instellingen van een router controleren, bepalen zij in feite waar gebruikers terechtkomen.
Waarom dit gevaarlijk is
De aanval heeft drie grote risico’s:
- Complete netwerken worden geraakt via één zwakke router
- Gebruikers worden omgeleid zonder duidelijke waarschuwing
- Securitytools detecteren de aanval vaak niet
De gebruiker merkt niets, terwijl het verkeer structureel wordt gemanipuleerd.
Wat kun je doen?
Voor consumenten is de meest praktische oplossing simpel:
- Vervang oude routers
- Controleer regelmatig de DNS-instellingen
- Installeer firmware-updates
Voor IT-teams is de boodschap duidelijker: behandel DNS als kritieke beveiligingsinfrastructuur. Richt monitoring in op uitgaand verkeer naar onbekende resolvers en schaduwnetwerken.
Het grotere plaatje
Deze campagne laat zien hoe fundamenteel DNS is voor internetveiligheid. Wie DNS controleert, controleert de route naar vrijwel elke website.
En zolang routers als “vergeten infrastructuur” worden gezien, blijven ze een aantrekkelijk doelwit.
Deel dit bericht
Loading