N12News: Israëlische onderzoekers onthullen dat de Libanese student Karim Fayyad het cyberaanval team Hezbollah leidt

Karim Fayyad. Foto van zijn Instagram-pagina via N12News

Israëlische cyberonderzoekers onthullen: wat een criminele hackersgroep lijkt te zijn die honderden organisaties wereldwijd voor winst aanviel, is in werkelijkheid een aanvals- en financieringstak van Hezbollah, schrijft N12News.

Volgens de onderzoekers vermomden de hackers hun ideologische activiteiten als gewone digitale criminaliteit, terwijl ze agenten in dienst hadden die een dubbelleven leidden. Centraal in de onthulling stond een jonge Libanese student die werkte bij civiele hightechbedrijven en tegelijkertijd een netwerk van aanvallen voor de terroristische organisatie Hezbollah leidde.

Een gezamenlijk onderzoek van het Israëlische cyberbedrijf DOS-OP en het Alma Center for the Study of Security Challenges in the Northern Arena identificeert Karim Fayyad, een twintiger uit Zuid-Libanon, als leider van het BQTLock-ransomwarenetwerk. Volgens de onderzoekers slaagden Fayyad en zijn groep erin een overtuigende criminele dekmantel te behouden: ze stalen geld, eisten losgeld en verkochten aanvalstools – net als gewone cybercriminelen.

Onder de oppervlakte, aldus de onderzoekers, was er activiteit die deel uitmaakte van het cybernetwerk van Hezbollah, dat zowel ideologische doelen als de financiële behoeften van de sjiitische organisatie diende. Het netwerk wist wereldwijd meer dan 540 servers te versleutelen en op grote schaal gevoelige informatie te stelen.

Overdag student, 's nachts hacker

Fayyad belichaamt wat onderzoekers het 'dubbelleven' noemen, typisch voor Hezbollah-agenten. Enerzijds is hij een veelbelovende student computer- en communicatietechnologie aan de prestigieuze Amerikaanse Universiteit van Beiroet, die naar verwachting in 2026 afstudeert. Tijdens zijn studie werkte hij als stagiair in kunstmatige intelligentie (AI) bij civiele hightechbedrijven, waar hij machine learning-modellen ontwikkelde, deep learning-netwerken trainde en geavanceerde code schreef.

Maar volgens onderzoekers leidde Fayyad, ondanks zijn burgerrol, een heel ander leven. Hij is actief bij de Imam al-Mahdi Scouts, de jeugdbeweging van Hezbollah die als rekruteringsplatform voor de organisatie fungeert, en beheert een internationaal cyberaanvalsnetwerk. Onderzoekers zijn van mening dat Fayyad de technologische kennis, professionele training en toegang tot systemen die hij tijdens zijn burgerwerk heeft opgedaan, gebruikt om Hezbollah in cyberspace te dienen.

Het bewijs om identiteit te bewijzen. Foto OP- en Alma Center-onderzoek

Ransomware is malware die een computer blokkeert of bestanden versleutelt en betaling eist (meestal in digitale valuta) om ze vrij te geven. Volgens het onderzoek voerde de groep in het geval van BQTLock niet alleen aanvallen uit, maar verkocht ze ook kant-en-klare tools aan andere hackers voor geld – een bedrijfsmodel dat 'ransomware as a service' wordt genoemd.

Hoe slaagden de onderzoekers erin zijn identiteit te achterhalen? De eerste stap was het achterhalen van de connectie tussen de verschillende aliassen die Fayyad online gebruikte: ZeroDayX1, "Louaa Muhammad" en andere namen. De onderzoekers vergeleken socialemediaprofielen en ontdekten foto's waarop dezelfde kenmerkende tatoeage te zien is: de afbeelding van de voormalige Hezbollah-leider op zijn rechterarm. Het horloge op de foto's was ook identiek.

Maar de echte inbreuk kwam voort uit een operationele fout van Fayyad zelf. Volgens onderzoekers liet hij onbedoeld interne logs achter die de controleservers onthulden waarmee hij het netwerk beheerde. Bovendien was een oude naam voor zijn Telegram-kanaal simpelweg "Karim Fayyad" - voordat hij probeerde zijn sporen uit te wissen.

Kaart van aanvallen: van Israël tot India

De schade die de groep heeft aangericht, is volgens het onderzoek aanzienlijk en omvangrijk. In Israël heeft de groep belangrijke infrastructuren aangevallen, zoals luchthaven Ben Gurion, Bezeq en Partner, en heeft ze aanvallen uitgevoerd op defensiebedrijven zoals Rafael en Elbit – hoewel de onderzoekers de geloofwaardigheid van de beweringen over het hacken van de defensiebedrijven in twijfel trekken.

De doelen van de aanvallen door Fayyads team, volgens de onderzoekers. Foto OP en Alma Center-studie

Buiten de grenzen van Israël stal de groep 12.000 medische dossiers van een zorginstelling in India, hackte de servers van een Saoedisch mijnbouwbedrijf en viel scholen aan in de Verenigde Arabische Emiraten, waarbij ze een aanzienlijk losgeld eisten.

De onderzoekers vonden ook bewijs van gedocumenteerde samenwerking met Iraanse cybergroepen zoals Fattah en Team 313. Naast criminele activiteiten publiceerde Fayyad regelmatig Hezbollah-propaganda en plaatste hij foto's van bezoeken aan de graven van de 'martelaren' van de organisatie.

Waarom is dit belangrijk?

Volgens de onderzoekers is het veelzeggend dat een groep die crimineel leek, een instrument van een terroristische organisatie blijkt te zijn: "Ransomware-aanvallen zijn niet alleen digitale criminaliteit, maar maken deel uit van een systeem dat veiligheid, ideologie en economische belangen met elkaar verbindt", aldus Tal Bari, onderzoeksdirecteur van het Alma Center. Volgens hem is dit "een andere as in het financieringssysteem van Hezbollah".

De door de groep gekozen naam duidt ook op ideologische intenties: Baqiyat (باقية) betekent "de overgeblevenen" in het Arabisch - een sjiitische religieuze term die verband houdt met de ideologie van Hezbollah en de Iraanse revolutie. Door het woord Lock toe te voegen, dat symbool staat voor vergrendelen en versleutelen, ontstaat er volgens de onderzoekers een duidelijke betekenis: "de overgeblevenen van Allah die de vijanden van Allah opsluiten."

De onthulling illustreert hoe ransomware-aanvallen een belangrijk financieringsmiddel zijn geworden voor terroristische organisaties, vooral na de oorlog met Israël en de val van het Assad-regime in Syrië, waardoor de aanvoerroutes van Hezbollah werden beschadigd.