Qakbot (ook wel Qbot genoemd) was een van de oudst actieve botnets (sinds 2007/2008) en werd tegen 2020-2023 beschouwd als “het grootste botnet ter wereld”. Qakbot begon als een Windows banking Trojan, maar groeide uit tot een malwareplatform voor criminelen dat vaak gebruikt werd om ransomware-aanvallen mogelijk te maken (Politie.nl, 29 augustus 2023.

De internationale operatie “Duck Hunt” is gecoördineerd door de Verenigde Staten. Naast Nederland deden onder andere ook Duitsland, Frankrijk, het VK, Roemenië en Letland met de operatie mee. Ook waren in Nederland FOX IT, Northwave, het Nationaal Cyber Security Centrum en NFIR bij het onderzoek aangesloten. 

Qakbot infecteerde computers (vaak via besmette e-mailbijlagen of exploits) en stal wachtwoorden en gegevens. Ook gaf het criminelen een backdoor in bedrijfsnetwerken die ze vervolgens huurden aan ransomwaregroepen (vergelijkbaar met Emotet’s rol (LINK). Grote ransombendes als Conti, REvil, en Black Basta maakten geregeld gebruik van het Qakbot-netwerk. De FBI schatte dat Qakbot-botnetwerken sinds de oprichting honderden miljoenen aan schade hadden veroorzaakt.

Opsporing en aanpak

In Nederland leidde het Landelijk Parket en THTC de acties bij verschillende datacenters, wat resulteerde in de inbeslagname van 22 Qakbot-servers. In Duitsland werden daarnaast acht servers offline gehaald en in Frankrijk zes servers. Deze servers vormden samen de kern van de Qakbot-infrastructuur. Naast de fysieke servers zijn ook alle relevante domeinnamen en IP-adressen van Qakbot overgenomen. Europol noemde dat meer dan 2000 unieke domeinen onder controle waren gebracht.

Zodra de infrastructuur was overgenomen, heeft de FBI een software-update (uninstaller) naar alle actieve Qakbot-bots gepusht. Dit gebeurde via de door hen gecontroleerde servers: de geïnfecteerde computers (ruim 700.000) werden omgeleid naar FBI-servers en verwijderden Qakbot van het systeem. De FBI kreeg via een Amerikaanse federale rechtbank toestemming (een ‘Rule 41’-warrant) om Qakbot van de geïnfecteerde computers (waaronder die buiten de VS) te verwijderen.

Arrestaties en jurisprudentie

Op 26 augustus 2023 zijn er geen verdachten gearresteerd. Het Amerikaanse ministerie van Justitie legde wel beslag op 8,6 miljoen dollar aan cryptovaluta. Ook werden diverse luxe goederen bij verdachten getraceerd en gevorderd.

In Nederland zelf zijn geen criminelen opgepakt, maar wel die 22 servers vol gegeven veilig gesteld. Daarop stonden 7,6 miljard (!) unieke login-credentials (gebruikersnamen/wachtwoorden) die met Qakbot in al die jaren waren overgenomen.

Deze dataset is door het THTC veiliggesteld – een van de grootste ooit – en er is een publieke “Check je hack”-portal opgezet om mensen te laten checken of hun e-mail erin voorkomt. Alle slachtofferdata werd ook beschikbaar gesteld via internationale partners en via organisaties als HaveIBeenPwned en Spamhaus.

Op 22 mei 2025 werd Rustam G. (48) uit Moskou door een Amerikaanse federale aanklacht (‘indictment’) beschuldigd van het leiden van een cybercriminele groep die het Qakbot-malwarenetwerk ontwikkelde en verspreidde (justice.gov). Sinds 2008 zou hij Qakbot hebben ingezet om wereldwijd duizenden computers te infecteren en vanaf 2019 toegang te verkopen aan criminelen die ransomware zoals REvil, Conti en Black Basta gebruikten. Na de internationale operatie, bleef G. actief.