Cybercriminelen hebben miljoenen gestolen van Russische bedrijven door de computers van accountants te hacken en banktransacties te vervalsen als salarisbetalingen, zo blijkt uit een recent rapport. De financieel gemotiveerde groep Hive0117 voerde tussen februari en maart 2026 een reeks aanvallen uit gericht op financiële afdelingen van bedrijven.

De aanvallers gebruikten phishingmails om malware te installeren op de systemen van accountants, waarmee ze toegang kregen tot de online bankomgevingen van de bedrijven. Vervolgens maakten zij betaalopdrachten aan die leken op reguliere salarisbetalingen, maar waarbij de gelden werden overgemaakt naar door hen gecontroleerde rekeningen. Meer dan 3.000 Russische organisaties ontvingen de kwaadaardige e-mails. De grootste bevestigde diefstal bedroeg ruim 14 miljoen roebel, ongeveer 178.000 dollar.

De phishingmails waren zorgvuldig afgestemd op medewerkers van financiële en administratieve afdelingen en werden verstuurd vanaf ogenschijnlijk legitieme, maar waarschijnlijk gehackte accounts, waaronder die van een web- en app-ontwikkelaar uit Moskou. De bijlagen waren wachtwoordbeveiligde archieven met ogenschijnlijk zakelijke documenten zoals facturen en verzendpapieren. Bij het openen en uitvoeren van verborgen bestanden binnen deze archieven werden de systemen geïnfecteerd met DarkWatchman, een remote access trojan die de aanvallers permanente, heimelijke controle geeft over de geïnfecteerde computers.

Met deze malware konden de aanvallers opdrachten op afstand uitvoeren, extra schadelijke tools downloaden en zich lateraal door het netwerk bewegen. DarkWatchman wordt sinds 2021 in phishingcampagnes door Hive0117 ingezet. Door controle over de computers van accountants konden de aanvallers rechtstreeks inloggen op de bankportalen en transacties uitvoeren die er legitiem uitzagen. De hackers misbruikten het salarisbetalingssysteem door betaalopdrachten te koppelen aan bankrekeningen die in registers leken te horen bij werknemers, maar in werkelijkheid door hen werden beheerd. Als deze betalingen de anti-fraudecontroles van banken passeerden, konden grote bedragen worden opgenomen van bedrijfsrekeningen.

Hive0117 is sinds eind 2021 actief en richt zich vooral op financiële afdelingen in diverse sectoren. Hoewel de recente aanvallen zich op Russische organisaties concentreerden, zijn ook eerdere campagnes gericht geweest op gebruikers in Litouwen, Estland, Wit-Rusland en Kazachstan. Volgens onderzoekers is er geen verband met het bredere cyberconflict tussen Rusland en Oekraïne en blijft de herkomst van de groep onbekend. Eerdere activiteiten van Hive0117 omvatten het gebruik van een aangepaste versie van DarkWatchman en het versturen van phishingmails die Russische overheidscommunicatie imiteerden, zoals oproepen voor militaire dienstplicht.