Cybercriminelen zetten steeds vaker enorme verzamelingen van gestolen inloggegevens, afkomstig van infostealer-malware, om in door deze data via doorzoekbare diensten aan te bieden. Hierdoor kunnen kopers gericht zoeken naar credentials van specifieke bedrijven, platforms, domeinen, geografische regio's of accounttypes. Onderzoekers van Flare analyseerden 470 berichten uit ondergrondse forums tussen januari 2025 en juni 2026, waarin aanbieders hun diensten promoten om gestolen inloggegevens te doorzoeken en te extraheren.

De dataset bestond uit advertenties, herplaatsingen, feedback van kopers, prijsvermeldingen en discussies over de kwaliteit en geldigheid van de geleverde data. Uit het onderzoek blijkt dat deze diensten een schakel vormen tussen de initiële infostealer-infecties, de handel in ruwe logbestanden en de daadwerkelijke overname van accounts. De aanbieders zijn vaak Malware-as-a-Service (MaaS) leveranciers of consumenten daarvan, die als credential brokers fungeren. Zij verdienen aan het filteren, formatteren en leveren van gerichte resultaten uit enorme verzamelingen van gestolen gegevens.

De analyse toont aan dat deze diensten gericht zijn op het extraheren, filteren, dedupliceren en actualiseren van data uit databases met tientallen miljarden regels. In plaats van bulk dumps te kopen, kunnen kopers gericht zoeken en ontvangen zij alleen de gegevens die aansluiten bij hun doelwit. Dit overlapt deels met de Initial Access Broker (IAB) markt, maar is niet identiek. Veelgebruikte outputformaten zijn onder andere URL:LOGIN:PASS, MAIL:PASS en PHONE:PASS. Feedback van kopers wijst echter op een discrepantie tussen de beloofde en daadwerkelijke kwaliteit: het volume is vaak lager, credentials zijn ongeldig of gedupliceerd en minder bruikbaar dan geadverteerd.

De “search your target” diensten bevinden zich in het midden van de keten voor accountovername. Eerst infecteren infostealers apparaten en verzamelen ze credentials, cookies en browsergegevens. Deze logs worden vervolgens opgeslagen in private clouds, databases of publieke dumps. De aanbieders van zoekdiensten extraheren op verzoek van kopers specifieke gegevens, die daarna worden gevalideerd en gebruikt voor accountovername, fraude, spam, phishing, cryptodiefstal of bedrijfsinbraak. Deze aanbieders zijn dus niet de eerste of laatste stap, maar vormen de verwerkingslaag die ruwe data omzet in gerichte aanvalsmaterialen.

Vanuit een threat intelligence perspectief is dit een voorbeeld van T1589.001 (Verzamelen van slachtofferidentiteit: Credentials), waarbij aanvallers actief credentials verzamelen voorafgaand aan exploitatie. Soms valt het ook onder T1650 (Toegang verkrijgen), omdat sommige aanbieders resultaten leveren die lijken op directe toegang. Daarnaast is er een groeiende ondergrondse sporen van supply-chain aanvallen, variërend van GitHub-toegang tot gelekte leveranciersrepositories, die vaak onopgemerkt blijven in forums en marktplaatsen. Flare signaleert deze vroegtijdig om incidenten te voorkomen.