Oktober 2025
Af Elin Gadegaard Gjørup | 836 ord | Læsetid: 4 Minutter
I oktober måneds cyberbrief stiller vi skarpt på, hvordan geopolitik påvirker trusselsbilledet herhjemme. Vi dykker ned i de nyeste alarmerende rapporter fra EU’s agentur for cybersikkerhed (ENISA) og Forsvarets Efterretningstjeneste (FE) og bringer to konkrete cyberspionage-kampagner fra Nordkorea og Kina, der har ramt europæiske mål den seneste tid.
Geopolitik og ideologi er drivkraften bag de fleste cyberangreb
ENISA har udgivet sin 2025 Threat Landscape rapport, som tegner et billede af et Europa, hvor ideologiske og geopolitiske spændinger driver DDoS-angreb, cyberspionage og misinformationskampagner mod både myndigheder, virksomheder og borgere.
Selvom de fleste ideologiske angreb “kun” er low-impact DDoS-angreb, så udgør de hele 79,4% af de hændelser, ENISA har registreret.
Langt størstedelen af disse angreb var målrettet myndigheder, og aktiviteten kommer primært fra få, særligt prorussiske, grupper.
Faktisk står én enkelt gruppe, NoName057(16), alene for 63,1% af alle hacktivist-angreb.
Rapporten fremhæver også, at Europa bliver udsat for vedvarende informationsmanipulation, primært fra prorussiske grupper, der forsøger at underminere tilliden til demokratiske institutioner og påvirke politiske processer.
De har spredt anti-EU budskaber via sociale medier og falske hjemmeside, samt brugt mere avancerede teknikker, herunder AI-stemmekloning til at imitere EU-embedsmænd i falske videoer.
Derudover fremhæver rapporten, at statsstøttede aktører fortsat udgør en betydelig risiko gennem cyberspionage.
Disse aktører bruger ofte spearphishing eller udnytter internetvendte tjenester i et forsøg på at indsamle følsomme oplysninger om særligt myndigheder, digital infrastruktur og transport-, energi- og sundhedssektoren[1].
FE udgiver vurdering af den hybride trussel mod Danmark
Den høje forekomst af hacktivistiske angreb og cyberspionage fra russiske aktører er i tråd med FE’s seneste udmelding om, at Rusland fører hybridkrig mod NATO og Vesten.
FE vurderer, at truslen fra destruktive cyberangreb mod Danmark lige nu er middel, og Rusland har kapaciteten til at udføre et angreb.
Prorussiske hackergrupper er siden 2023 begyndt at udføre destruktive cyberangreb mod kritisk infrastruktur i NATO-landene.
I december 2024 lykkedes det russiske aktører at udføre et angreb mod et dansk vandværk, ved at få vandrør til at springe. Derudover forsøger russiske statsaktører at trænge ind i digitale systemer.
FE vurderer, at formålet kan være forberedelse til fremtidige destruktive cyberangreb mod infrastruktur[2].
Operation DreamJob: Nordkoreanske hackere angreb europæiske forsvarsvirksomheder
Rusland er langt fra den eneste statslige aktør, der udgør en digital trussel mod Europa.
I oktober kom det frem at den nordkoreanske hackergruppe Lazarus har udført en række cyberangreb rettet mod europæiske virksomheder i forsvarsindustrien.
Angrebene, som er en del af cyberspionagekampagnen “Operation DreamJob”, blev opdaget allerede i marts 2025.
Indtil videre har Lazarus angrebet mindst tre virksomheder: en metalingeniørvirksomhed, en producent af flykomponenter og en forsvarsentreprenør.
Lazarus gruppen opnåede adgang til virksomhedernes systemer ved at narre medarbejdere gennem rekrutteringsscam.
Aktørerne udgav sig for at være rekrutteringsagenter fra store, velkendte virksomheder og kontaktede udvalgte medarbejdere med lokkende jobtilbud.
Derefter fik de medarbejderne til at åbne PDF’er, der angiveligt indeholdt jobbeskrivelsen. Filen var i virkeligheden en trojansk hest, der installerede malware på deres systemer[3].
Går muligvis efter droneteknologi
En af de skadelige filer, navngivet DroneEXEHijackingLoader.dll, søgte efter data relateret til droner.
Samtidig er to af de ramte virksomheder arbejder med droner – enten produktion af dronedele eller software til droner.
Det har fået eksperter til at tale om, at “Operation DreamJob” kan være målrettet virksomheder med droneteknologi.
Det flugter med Nordkoreas nuværende fokus på at opbygge sit eget dronearsenal, som de nu forsøger at stjæle teknologien til[4].
Salt Typhoon udførte cyberangreb mod europæisk teleselskab
En europæisk telekommunikationsvirksomhed blev ramt af et avanceret cyberangreb udført af den kinesiske APT gruppe Salt Typhoon.
Angrebet, der begyndte allerede i juli 2025, udnyttede en sårbarhed i virksomhedens Citrix NetScaler Gateway.
Det mest opsigtsvækkende ved angrebet var installeringen af en bagdør, kendt som SNAPPYBEE.
Via DLL-sideloading lykkedes det aktørerne at integrere deres skadelige kode i legitime filer fra flere antivirusprodukter, herunder Norton, Bkav og IObit.
Denne metode gjorde det muligt for angriberne at operere under radaren, da den skadelige aktivitet blev maskeret som betroet software[5].
Geopolitik driver et dynamisk trusselsbillede
Denne måneds cyberbrief viser tydeligt, at geopolitik er en direkte drivkraft for en stor del af de cybertrusler, vi ser i dag.
Både hacktivister og statsstøttede aktører er vedholdende og kreative.
De udnytter alle tænkelige angrebsflader – fra mennesker til komplekse sårbarheder, og formår endda at skjule sig i legitim antivirus-software.
Truslerne er dynamiske og direkte påvirkede af den globale situation.
Netop derfor er det afgørende at holde sig opdateret på de nye metoder, aktører og sårbarheder, der løbende opstår i krydsfeltet mellem teknologi og international politik.
VI vender tilbage i næste måned med en ny opdatering fra den digitale frontlinje.
Pas godt på jer selv – og jeres data – indtil da.
[1] – ENISA. (1. Oktober 2025). ENISA Threat Landscape 2025: https://www.enisa.europa.eu/news/etl-2025-eu-consistently-targeted-by-diverse-yet-convergent-threat-groups
[2] – FE. (3. Oktober 2025). Vurdering af den hybride trussel mod Danmark: https://www.fe-ddis.dk/da/nyheder/2025/vurdering-af-den-hybride-trussel-mod-danmark/
[3] – Toulas, B. (23. Oktober 2025). North Korean Lazarus hackers targeted European defense companies: https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-targeted-european-defense-companies/
[4] – Mascellino, A. (23. Oktober 2025). Lazarus Group’s Operation DreamJob Targets European Defense Firms: https://www.infosecurity-magazine.com/news/lazarus-groups-operation-dreamjob/
[5] – Mascellino, A. (20. Oktober 2025). Salt Typhoon Uses Citrix Flaw in Global Cyber-Attack: https://www.infosecurity-magazine.com/news/salt-typhoon-citrix-flaw-cyber/