Blog Attacks

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

May 18, 2026 • 7 min read

Simon Wijckmans Founder & CEO

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Kort antwoord: OFAC sanctioneerde Funnull Technology Inc. op 2025-05-29, samen met beheerder Liu Lizhi. Daardoor moet het Polyfill[.]io-incident anders worden gelezen. Het was niet alleen een redirectcampagne tegen websites die nog een oude JavaScript-tool laadden. Het was een browser supply-chainfout die verbonden was met een grotere operatie rond infrastructuurwitwassen.

De les voor securityteams is direct: scripts van derden blijven niet voor altijd betrouwbaar omdat ze ooit betrouwbaar waren. Eigenaars veranderen, CDN-routing verandert en tweede payloads veranderen.

TL;DR

OFAC sanctioneerde Funnull Technology Inc. en beheerder Liu Lizhi op 2025-05-29
Treasury koppelde Funnull aan meer dan 200 miljoen dollar aan door Amerikaanse slachtoffers gerapporteerde verliezen
De FBI identificeerde 548 Funnull-CNAMEs die aan meer dan 332.000 unieke domeinen waren gekoppeld
Treasury zei dat Funnull in 2024 een coderepository kocht en wijzigde die door webontwikkelaars werd gebruikt
Browser-side verdediging heeft runtime controles op scriptgedrag nodig, niet alleen vertrouwen in vendors

Wat veranderde: Funnull is nu een gesanctioneerde infrastructuurprovider

Het Amerikaanse ministerie van Financiën sanctioneerde Funnull als een in de Filipijnen gevestigd bedrijf dat computerinfrastructuur leverde voor honderdduizenden websites die betrokken waren bij investeringsfraude met virtuele valuta. Treasury beschreef deze fraude als pig butchering en zei dat Funnull direct schema's faciliteerde die waren gekoppeld aan meer dan 200 miljoen dollar aan gerapporteerde verliezen van Amerikaanse slachtoffers.

Screenshot van het Treasury-persbericht waarin sancties tegen Funnull Technology Inc. worden aangekondigd

Dezelfde actie sanctioneerde Liu Lizhi, door Treasury omschreven als beheerder van Funnull. Treasury zei dat Liu betrokken was bij operationele documenten en taken, waaronder het toewijzen van domeinen aan cybercriminelen voor investeringsfraude, phishing en online goksites.

De schaal doet ertoe. Het FBI-advies dat dezelfde dag verscheen zei dat onderzoekers sinds januari 2025 548 unieke Funnull-CNAMEs hadden geïdentificeerd die aan meer dan 332.000 unieke domeinen waren gekoppeld. Dit is niet één slecht domein. Het is een infrastructuurlaag.

Hoe Polyfill[.]io past in het grotere Funnull-patroon

In 2024 was Polyfill[.]io al een duidelijke waarschuwing over de browser supply chain. Een breed ingebedde JavaScript-service veranderde van eigenaar en serveerde daarna kwaadaardige redirects aan een percentage gebruikers op basis van runtime voorwaarden. cside behandelde het incident in The Polyfill[.]io attack explained en legde later uit waarom het meer was dan alleen een redirectaanval.

De Treasury-actie tegen Funnull maakt de verbinding scherper. Treasury zei dat Funnull in 2024 een coderepository kocht die door webontwikkelaars werd gebruikt en de code kwaadaardig wijzigde om bezoekers van legitieme websites door te sturen naar scamwebsites en online goksites.

Diagram dat laat zien hoe CDN's van Funnull JavaScript vanaf websites via redirectservers naar goksites en pig-butchering-sites sturen

Op 2026-05-18 vermeldde PublicWWW nog steeds 61.593 webpagina's met "polyfill.io", ook al had Namecheap actie ondernomen tegen het kwaadaardige domein na de supply-chainaanval van 2024. Die restanten zijn het operationele probleem: browserafhankelijkheden kunnen ingebed blijven lang nadat een domein is geschorst, geblokkeerd of publiek als onveilig is aangemerkt.

Dat is het operationele patroon dat securityteams moeten herkennen. Een script kan onschuldig zijn bij goedkeuring, riskant worden na een eigenaarswissel en kwaadaardig worden zodra het codepad verandert. De website-eigenaar hoeft geen regel code aan te passen. De browser van de gebruiker voert nog steeds de nieuwe payload uit.

cside privacy watch-dashboard met zichtbaarheid op scripts van derden

Wat infrastructuurwitwassen betekent voor securityteams

Infrastructuurwitwassen is het gebruiken van geloofwaardige infrastructuur om kwaadaardige activiteit te verbergen of te legitimeren. In plaats van elke scamsite op duidelijke servers met lage reputatie te hosten, kan een operator routeren via cloudproviders, CDNs, DNS-ketens en frontmerken die op afstand normaal lijken.

Voor browsersecurity is het belangrijkste niet het label. Het is de controlegap. Een site kan een CDN-URL vertrouwen omdat die gisteren werkte. Een vendorreview kan een domein goedkeuren omdat de vendor toen legitiem was. Een tagmanager kan hetzelfde topscript tonen terwijl dat script runtime een andere tweede resource laadt.

Daarom faalt vertrouwen op basis van bron alleen. De browser voert geen vendorvragenlijst uit. Hij voert JavaScript uit.

Controle	Waar het mee helpt	Waar het tekortschiet
Scriptinventaris	Toont welke scripts aanwezig zouden moeten zijn	Mist runtime gedrag en snelle wijzigingen aan vendorkant
Vendorreview	Legt eigenaar, doel en goedkeuring vast	Veroudert na overnames, rebrands en wijzigingen in subprocessors
Subresource Integrity	Blokkeert gewijzigde statische bestanden als hashes vaststaan	Werkt slecht met dynamische scripts en dekt runtime sub-scripts niet
Content Security Policy	Beperkt waar scripts en resources vandaan mogen laden	Vereist precieze allowlists en ziet niet al het gedrag binnen toegestane domeinen
Runtime monitoring	Ziet wat scripts echt laden, wijzigen en doen	Vereist browserlaag-instrumentatie en operationele review

Waarom sancties het browser-side risico niet beëindigen

Sancties kunnen een genoemd bedrijf verstoren, activa onder Amerikaanse jurisdictie bevriezen en zakendoen met de gesanctioneerde partij juridisch riskant maken voor Amerikaanse personen. Ze verwijderen niet automatisch elk gerelateerd domein, script, CDN-pad of frontbedrijf van het internet.

Het risico na sancties is al zichtbaar in threat research. Silent Push rapporteerde dat infrastructuur rond het bredere Triad Nexus- en Funnull-ecosysteem bleef evolueren na de sancties van 2025, met geografische blokkering, CNAME-rotatie en schoon ogende frontbedrijven.

De latere Amerikaanse en Britse actie van Treasury tegen cybercriminele netwerken in Zuidoost-Azië laat ook de bredere handhavingscontext zien. OFAC sanctioneerde 146 targets binnen Prince Group Transnational Criminal Organization, terwijl FinCEN een regel afrondde om Huione Group af te snijden van het Amerikaanse financiële systeem. Dit zijn grote, adaptieve netwerken.

Screenshot van het Treasury-persbericht over de Amerikaanse en Britse actie tegen cybercriminele netwerken in Zuidoost-Azië

Wat je deze week moet doen

Begin met scripts die login, checkout, accountcreatie, betaling en persoonsgegevensflows kunnen raken.

Zoek naar polyfill[.]io, bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org en unionadjs[.]com in sourcecode, tagmanagers, CMS-templates en oude snippets
Verwijder dode compatibiliteitsscripts die moderne browsers niet meer nodig hebben
Koppel elk script van derden aan een eigenaar, doel, page scope en niveau van datatoegang
Identificeer scripts die extra scripts laden, URLs dynamisch bouwen of andere code uitvoeren op basis van user agent, geografie, referrer of sessiestatus
Gebruik SRI alleen waar het script statisch is en de provider stabiele hashes ondersteunt
Versterk CSP op gevoelige flows en monitor overtredingen voordat je van report-only naar enforcement gaat
Voeg runtime monitoring toe zodat scriptwijzigingen, redirects, datatoegang en onverwachte netwerkcalls zichtbaar zijn wanneer gebruikers de pagina laden

Dit is niet alleen Polyfill-opruiming. Het is governance voor scripts van derden.

Hoe cside helpt bij het monitoren van script-risico van derden

cside werkt op de browserlaag, waar scripts van derden echt worden uitgevoerd. Dat doet ertoe omdat serverlogs, vendorreviews en statische inventarissen belangrijk runtime gedrag missen.

Met cside kunnen teams zien welke scripts op echte pagina's laden, wat die scripts aanroepen, hoe ze veranderen en of ze verdacht gedrag proberen, zoals onverwachte redirects of datatoegang. Die zichtbaarheid helpt security- en complianceteams van "we hebben deze vendor ooit goedgekeurd" naar "we weten wat deze code nu doet" te gaan.

De sancties tegen Funnull zijn een nuttig drukpunt. Ze laten zien dat client-side supply-chainrisico niet theoretisch is en niet beperkt blijft tot duidelijk kwaadaardige domeinen.

Per 2026-05-18 kunnen sanctieaanduidingen, infrastructuurindicatoren en actieve fronten veranderen. Behandel genoemde domeinen en CNAMEs als onderzoekssporen, niet als volledige blocklist.

Verder lezen

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

OFAC sanctioneerde Funnull Technology Inc. op 2025-05-29 omdat het infrastructuur leverde aan websites die betrokken waren bij investeringsfraude met virtuele valuta, vaak pig butchering genoemd. Treasury sanctioneerde ook Funnull-beheerder Liu Lizhi.

Ja. Treasury zei dat Funnull in 2024 een coderepository kocht die door webontwikkelaars werd gebruikt en die kwaadaardig wijzigde om bezoekers van legitieme websites door te sturen naar scam- en goksites. Dat past bij het Polyfill[.]io supply-chainincident dat cside in 2024 onderzocht.

Infrastructuurwitwassen is het gebruiken van geloofwaardige hosting, cloud-, CDN- of DNS-infrastructuur om kwaadaardige sites legitiem te laten lijken en moeilijker te verwijderen. Het kan gaan om bulkinkoop van IP-adressen, CNAME-rotatie, accountmisbruik en schone frontmerken.

Het verwijderen van Polyfill[.]io lost een blootgelegde afhankelijkheid op. Het lost niet het bredere risico op dat een vertrouwd script van derden, CDN of vendordomein na goedkeuring van eigenaar verandert, nieuwe code laadt of gebruikers doorstuurt.

Teams moeten een scriptinventaris bijhouden, scriptintegriteit controleren waar statische bestanden dat toelaten, CSP toepassen waar dat praktisch is en runtime scriptgedrag in de browser monitoren. Het gaat erom te zien wat scripts echt laden en doen voor echte gebruikers.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.

SourceForge Spring 2026 Top Performer-badge naast een cside-dashboardafbeelding

cside uitgeroepen tot SourceForge Spring 2026 Top Performer voor client-side security

cside is SourceForge Spring 2026 Top Performer, een signaal van gebruikersvertrouwen in client-side security en PCI-bewijs.

Donkere cside-blogcover met punten over detectie van AI-agentverkeer

Hoe AI-agents op je website detecteren | Volledige gids

Deze gids behandelt AI-agentdetectie via identiteits-, netwerk-, browser- en gedragssignalen. Bekijk gratis methoden zoals serverloganalyse en gespecialiseerde tools.

Blauwe netwerkbol en browsersecurity-iconen op een donkere cside-cover

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.

Donkere cside-blogcover met punten over Mastercard First-Party Trust

Wat is Mastercard First-Party Trust? Hoe het chargebacks vermindert

Mastercard First-Party Trust leidt friendly fraud-geschillen om voordat ze formele chargebacks worden. Zo werkt het bewijskader.

Donkere cside-blogcover met punten over device-fingerprintingsignalen

Mastercard First Party Trust: verbeter EFM- en ECP-ratio's met device fingerprinting

Het First Party Trust-programma van Mastercard gebruikt device fingerprinting om friendly fraud-geschillen af te wenden voordat ze uw EFM- en ECP-ratio's opdrijven.