September 2025
Af Elin Gadegaard Gjørup | 517 ord | Læsetid: 3 Minutter
Fra fuldautomatiseret AI-ransomware til selvspredende malware i open source-pakker – i denne måneds Cyberbrief zoomer vi ind på et trusselsbillede i rivende udvikling.
Proof-of-concept for første fuldt automatiserede AI-drevet ransomware
Sikkerhedsfirmaet ESET har demonstreret et proof-of-concept for, hvad de kalder den “første kendte AI-drevne ransomware”, døbt PromptLock.
Malwaren er i stand til løbende at generere nye, ondsindede scripts, som den bruger til at inspicere filer, stjæle data og til sidst kryptere et offers system – alt sammen fuldautomatisk og uden behov for menneskelig styring[1].
Et andet opsigtsvækkende eksempel kommer fra AI-virksomheden Anthropic, der afslørede, hvordan en kriminel gruppe misbrugte deres sprogmodel Claude Code til at automatisere store dele af et ransomwareangreb.
Claude Code blev brugt til at identificere ofre, udvikle malware og var i stand til at træffe strategiske valg om, hvilke data der var mest værdifulde at stjæle.
Efter at have eksfiltreret dataene, analyserede AI’en indholdet og forfattede til sidst en besked med krav om løsesum, der blev sendt til offeret[2].
“Shai-Hulud”: Dune-inspireret malware spreder sig automatisk i hundredvis af softwarepakker
Mere end 180 open source-softwarepakker er blevet inficeret med den selvreplikerende infostealer “Shai-Hulud” i et supply chain-angreb mod JavaScript-pakkeregisteret Node Package Management (NPM).
Når en inficeret pakke installeres, vil malwaren lede efter NPM-tokens i miljøet for at få adgang til andre pakker. Den kopierer derefter sig selv ind i pakken og publicerer en ny, kompromitteret version.
Ud over at sikre sin egen spredning stjæler Shai-Hulud også følsomme data og legitimationsoplysninger fra sine ofre og offentliggør dem på GitHub[3].
Kinesiske techfirmaer bag globale cyberangreb mod kritisk infrastruktur
En række vestlige efterretningstjenester, herunder NCSC og CISA, har udsendt en fælles advarsel om tre kinesiske virksomheder, der har udført cyberspionage mod udenlandske regeringer og kritisk teleinfrastruktur.
Siden mindst 2021 har minimum tre teknologivirksomheder leveret cyberrelaterede tjenester og udført cyberspionage på vegne af Kinas efterretningstjenester.
Aktiviteterne har primært været rettet mod udenlandske teleselskaber og internetudbydere, men også mod mål i for transport- og servicesektoren, den offentlige sektor og militæret.
Aktørernes metoder (TTP’er) og aktiviteter minder om dem, der tidligere er set hos grupper som Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 og GhostEmperor.
De stjålne data kan potentielt give kinesiske efterretningstjenester mulighed for at identificere og tracke politiske mål verden over – både deres færden og kommunikation[4].
NCSC m.fl. har udgivet en detaljeret teknisk beskrivelse af aktørernes metoder samt de specifikke sårbarheder (CVE’er), de har udnyttet. Den kan læses her.
Som de seneste hændelser viser, bliver trusselsbilledet fortsat mere komplekst og automatiseret.
Vi følger naturligvis udviklingen tæt og vender tilbage i næste måned med en ny opdatering fra den digitale frontlinje.
Pas godt på jer selv – og jeres data – indtil da.
[1] – Newman, L. H. & Burgess, M. (27. August 2025). The Era of AI-Generated Ransomware Has Arrived. https://www.wired.com/story/the-era-of-ai-generated-ransomware-has-arrived/
[2] – Antropic. (27. August 2025). Detecting and countering misuse of AI: August 2025. https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
[3] – Krebs on security. (16. September 2025). Self-Replicating Worm Hits180+ Software Packages. https://krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/
[4] – Joint Cyber Advisory (September 2025). Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System.