De HazyBeacon-campagne richt zich op overheidsnetwerken in Zuidoost-Azië door misbruik te maken van AWS Lambda Function URLs die zijn geconfigureerd zonder authenticatie (AuthType: NONE). Aanvallers gebruiken gestolen IAM-credentials om Lambda-functies te implementeren die malwarecommunicatie via vertrouwde AWS-domeinen doorsturen, waardoor detectie door traditionele netwerkbeveiliging wordt bemoeilijkt.

Traditioneel bevond command-and-control (C2) infrastructuur zich buiten het slachtofferomgeving, vaak op gehuurde servers of gecompromitteerde websites. Met de opkomst van cloud computing vervaagt deze grens, omdat aanvallers nu legitieme cloudplatforms gebruiken om C2-infrastructuur te hosten. De HazyBeacon-campagne, gedocumenteerd door Palo Alto Networks Unit 42 in juli 2025, illustreert deze trend waarbij geïnfecteerde systemen communiceren via AWS Lambda Function URLs binnen Amazon-infrastructuur. Voor netwerkbeveiliging lijkt dit gewone HTTPS-verkeer naar een vertrouwde cloudservice.

Deze vorm van 'Borrowed Infrastructure Attack' verloopt in vier stappen: eerst worden credentials gestolen om toegang te krijgen tot een cloudaccount, vervolgens wordt infrastructuur via legitieme cloud-API's uitgerold, daarna wordt malwarecommunicatie via vertrouwde cloudendpoints geleid, en tenslotte wordt attributie bemoeilijkt doordat de infrastructuur eigendom is van een andere organisatie. Dit biedt aanvallers voordelen zoals wereldwijde schaalbaarheid, elastische capaciteit en het verbergen van kwaadaardig verkeer tussen legitieme cloudactiviteiten.

De malware zelf functioneert als een lichtgewicht downloader en uitvoeringsframework dat flexibel en onopvallend blijft. Het verzamelt systeeminformatie, voert op afstand ontvangen versleutelde opdrachten uit en exfiltreert gestolen data zoals documenten en toetsaanslagen. In plaats van eigen commandoservers te hosten, plaatsen de aanvallers Lambda-gebaseerde relais in gecompromitteerde AWS-accounts, vaak van ontwikkelaars of andere derden.

Organisaties kunnen hun blootstelling verminderen door identity-centric toegangscontroles af te dwingen, wereldwijde CloudTrail-logging in te schakelen, VPC flow telemetry te gebruiken en Service Control Policies te implementeren die de blootstelling van Lambda Function URLs beperken. Continu configuratiemonitoring ondersteunt deze maatregelen. Voor het operationeel maken van cloudinfrastructuurverdediging biedt Qualys TotalCloud™ uitgebreide mogelijkheden. Meer inzicht in trends en uitdagingen binnen cloudbeveiliging is beschikbaar via kwalitatief onderzoek van Qualys.