Gehackte consumentenrouters op wereldschaal misbruikt voor cybercriminaliteit

Consumentenrouters blijken al jaren een aantrekkelijk doelwit voor cybercriminelen. Onlangs is een internationaal botnet ontmanteld dat in de afgelopen 20 jaar duizenden routers wist te infecteren. Deze gekaapte apparaten werden ingezet om twee proxy-netwerken op te bouwen – bekend onder de namen Anyproxy en 5socks – waarmee criminelen hun internetverkeer konden verhullen en misdrijven konden plegen zonder herleid te worden. Zulke botnets blijven vaak jarenlang onder de radar en vormen een stille, maar krachtige infrastructuur voor cyberaanvallen wereldwijd.

Miljoenen verdiend met gehackte routers

In mei 2025 maakte het Amerikaanse ministerie van Justitie bekend dat vier mannen – drie uit Rusland en één uit Kazachstan – worden aangeklaagd voor hun betrokkenheid bij deze grootschalige operatie. Zij zouden het netwerk actief hebben onderhouden en er meer dan 46 miljoen dollar aan hebben verdiend. De besmette routers werden zonder medeweten van de eigenaars ingezet als proxyservers en aangeboden via de websites Anyproxy.net en 5socks.net. Via die platformen konden klanten – vaak andere cybercriminelen – tegen betaling anoniem internetverkeer versturen via de gekaapte apparatuur van nietsvermoedende gebruikers.

De verdachten worden niet alleen beschuldigd van computervredebreuk en samenzwering, maar ook van het opzettelijk registreren van domeinnamen met valse identiteit. Beide websites zijn inmiddels offline gehaald, en delen van het netwerk zijn door internationale opsporingsdiensten uit de lucht gehaald.

Ook Nederlandse routers getroffen

Hoewel het onderzoek in de VS liep, waren de gevolgen wereldwijd merkbaar – ook in Nederland. In oktober 2024 waarschuwde het Nationaal Cyber Security Centrum (NCSC) al voor precies dit soort praktijken. Tijdens een incidentonderzoek werden in Nederland minstens 150 besmette zogeheten SOHO-routers (Small Office/Home Office) gevonden die onderdeel bleken van een wereldwijd botnet met zo’n 13.000 apparaten. Op deze routers trof men meerdere soorten malware tegelijk aan, waaronder TheMoon en Alogin. Deze malware wordt speciaal ontwikkeld om routers over te nemen en in te zetten als infrastructuur voor cybercriminaliteit.

Volgens het NCSC is het goed mogelijk dat het om meerdere, deels overlappende botnets gaat – waarbij cybercriminelen misbruik maken van dezelfde kwetsbaarheden in routers van bekende merken zoals ASUS, Netgear of MikroTik.

Waarom zijn routers zo aantrekkelijk voor aanvallers?

Routers vormen de toegangspoort tot het internet voor thuisgebruikers en kleine bedrijven. Toch worden ze zelden gecontroleerd of geüpdatet. Veel gebruikers laten standaardinstellingen ongemoeid of draaien jarenlang op verouderde firmware. Voor cybercriminelen is dat ideaal: ze kunnen apparaten stilletjes overnemen en jarenlang misbruiken zonder dat iemand het merkt.

Omdat het verkeer via deze routers van “echte” huishoudens lijkt te komen, zijn ze bovendien aantrekkelijk als zogeheten residential proxies. Aanvallers gebruiken deze om spamcampagnes te draaien, inloggegevens te stelen of toegang te krijgen tot diensten die IP-adressen controleren op verdachte activiteiten. Zo kunnen ze misdaden plegen zonder dat het eenvoudig terug te leiden is naar henzelf.

Het oprollen van botnets kost jaren

De aanklacht tegen de beheerders van Anyproxy en 5socks laat zien hoe complex het is om een botnet op te rollen. De infrastructuur is verspreid over de hele wereld, vaak verscholen achter valse registraties en anonieme betalingen. Internationale samenwerking tussen politiediensten, cybersecuritybedrijven en justitie is cruciaal – én tijdrovend. In dit geval duurde het onderzoek jaren en waren onder meer de FBI, het Openbaar Ministerie, de Nederlandse politie en zelfs de Thaise autoriteiten betrokken bij het ontmantelen van de netwerken.

Wat kun je zelf doen om misbruik te voorkomen?

Het NCSC geeft duidelijke adviezen om te voorkomen dat je router wordt gekaapt:

• Installeer firmware-updates zodra ze beschikbaar zijn.
• Gebruik sterke wachtwoorden en wijzig standaardinstellingen.
• Zet geen beheerinterface open naar het internet, tenzij strikt noodzakelijk.
• Vervang oude routers die geen beveiligingsupdates meer ontvangen.
• Gebruik routers van je provider, die vaak automatisch worden geüpdatet.

Voor gebruikers van ASUS-routers stelde het NCSC eerder al een controletool op GitHub beschikbaar om besmettingen te detecteren. Let wel: deze tool is beperkt en werkt niet op alle modellen.

Conclusie

De recente ontmanteling van een botnet dat decennialang ongezien routers misbruikte, maakt één ding duidelijk: cybercriminelen gaan slim en geraffineerd te werk – en ze maken gebruik van de digitale gaten die wij openlaten. De router in je meterkast is misschien klein, maar kan – als hij kwetsbaar is – een krachtige schakel zijn in een wereldwijd misdaadnetwerk.

Voorkomen is in dit geval écht beter dan genezen.