Cyberangreb når 'maskinhastighed' gennem ny arbejdsfordeling
Rapporten "Nation-Aligned APTs in 2025" analyserer aktiviteterne af statsstøttede hackergrupper fra Kina, Rusland og Nordkorea i 2025 og identificerer fire centrale udviklinger, der grundlæggende ændrer det strategiske miljø for virksomheder og myndigheder.
Premier Pass-as-a-Service: Arbejdsdeling blandt statslige hackere
TrendAI observerer for første gang systematisk en model, hvor APT-grupper deler adgang til kompromitterede netværk som en "Priority Pass" med hinanden. En specialiseret gruppe skaffer initial adgang, mens andre derefter overtager spionage, datatyveri eller sabotage uden selv at skulle udføre indbruddet. Denne arbejdsdeling accelererer angreb betydeligt og gør det sværere at spore enkelte aktører. For eksempel var de Kina-relaterede grupper Earth Estries (også kendt som Salt Typhoon) og Earth Naga aktive i de samme netværkssessioner, hvilket er et klart tegn på koordineret samarbejde.
AI-baserede angrebskæder: Fra værktøj til autonome agenter
2025 markerer den første praktiske anvendelse af store sprogmodeller (LLMs) i aktiv malware. Den Rusland-relaterede gruppe Pawn Storm (APT28) anvendte malwaren LAMEHUG, som dynamisk genererede kommandoer gennem LLMs. Andre grupper bruger AI til automatiseret rekognoscering og målidentifikation. Angribere anvender ikke længere AI blot som en støtte, men udvikler autonome "AI-agenter", der kan tilpasse sig forsvarsforanstaltninger i realtid. TrendAI forventer, at de næste 24 måneder vil blive et "kapløb om robusthed ved maskinhastighed".
"Statsstøttede cyberaktiviteter bliver mere og mere industrialiserede", siger Feike Hacquebord, Principal Threat Researcher hos TrendAI. "Trusselsgrupper specialiserer sig i enkelte faser af angrebskæden og deler derefter adgang til kompromitterede netværk, så andre aktører kan begynde direkte med spionage eller sabotage. Hvis denne model desuden kombineres med AI-baseret rekognoscering og automatiseret søgning efter sårbarheder, reduceres tiden betydeligt til at udføre komplekse kampagner."
Supply Chain og Edge-dominans: Angreb på forsyningskæder og randinfrastruktur
Udnyttelse af sårbarheder i edge-infrastruktur og angreb gennem udvikler-økosystemer (f.eks. falske jobtilbud fra den nordkoreanske gruppe Void Dokkaebi) er blevet den foretrukne rute for langsigtet, svær at opdage persistens. Et eksempel: Angribere forsøgte at udnytte serveren hos en taiwansk softwareleverandør, med potentiel adgang til hele forsyningskæden i high-tech fremstilling, som en distribution for malware.
Geopolitisk kobling: Cyberangreb som ledsagelse til militære konflikter
Cyberoperationer er i dag tæt forbundet med geopolitiske begivenheder og militære operationer. Rapporten dokumenterer angreb på logistik- og infrastrukturelle kæder i forbindelse med støtte til Ukraine, sabotageangreb på energi- og transportnetværk samt spionagekampagner, der finder sted samtidig med diplomatiske forhandlinger. Nordkoreas droneopklaring i Ukraine skete parallelt med cyberkampagner. Denne synkronisering viser, at cyberspace og fysisk krigsførelse smelter mere og mere sammen.
Handlingsanbefalinger til virksomheder
Rapporten viser, at den største risiko ikke ligger i en pludselig stigning i angribernes kapabiliteter, men i normaliseringen af AI-baserede cyberangreb. TrendAI anbefaler derfor virksomheder at integrere APT-angreb i deres sikkerhedsstrategier. Centrale anbefalinger er:
Integration af risikostyring af forsyningskæder og kontinuerlig kontrol af leverandører og tjenester
Etablering af hurtige detektions- og inddæmningsmekanismer for AI-accelererede angreb
Styrket informationsudveksling med myndigheder og branchepartnere
Brug af "Defensive AI" til at forudse og neutralisere autonome trusler
Regelmæssige incident-respons-øvelser og rød-hold-test inklusive APT-scenarier
Berørte brancher
De hyppigste mål for statsstøttede angreb i 2025 var regeringsmyndigheder og teknologivirksomheder, efterfulgt af kritisk infrastruktur (energi, transport, logistik), fremstilling og finansielle tjenester.