Misstänkt gripen efter cyberattack mot Frankrikes inrikesministerium

Franska myndigheter har gripit en 22-årig man i samband med en cyberattack mot Frankrikes inrikesministerium, efter en utredning som letts av Parisåklagarens cyberbrottsenhet. Gripandet skedde den 17 december 2025 och rör obehörig åtkomst till ministeriets interna e-postsystem och dokumentservrar.
Enligt inrikesministeriet är den misstänkte, född 2003, redan känd av rättsväsendet och dömdes tidigare under 2025 för liknande cyberrelaterade brott. Han utreds för obehörig åtkomst till ett statligt automatiserat databehandlingssystem, ett brott som kan ge upp till 10 års fängelse.
Intrånget upptäcktes under natten mellan den 11 och 12 december och resulterade i obehörig åtkomst till interna filer, inklusive brottsregister. Inrikesminister Laurent Nuñez beskrev incidenten som allvarlig och påpekade att även om storskalig dataexfiltration inte har bekräftats är den fulla omfattningen av intrånget fortfarande oklar.
Frankrikes kontor för bekämpning av cyberbrott leder utredningen och ytterligare uppdateringar väntas när polisens förvar avslutas.

Cisco varnar för aktivt utnyttjad AsyncOS-zero-day

Cisco har varnat kunder för en zero-day-sårbarhet med högsta allvarlighetsgrad i Cisco AsyncOS som utnyttjas aktivt. Sårbarheten, spårad som CVE-2025-20393, påverkar Secure Email Gateway (SEG) och Secure Email and Web Manager (SEWM)-enheter med icke-standardkonfigurationer där funktionen Spam Quarantine är aktiverad och exponerad mot internet. I skrivande stund finns ingen säkerhetsuppdatering tillgänglig.
Cisco Talos tillskriver attackerna, med måttlig säkerhet, en Kina-kopplad hotaktör som spåras som UAT-9686. Gruppen utnyttjar sårbarheten för att köra godtyckliga kommandon med root-behörighet, distribuera ihållande AquaShell-bakdörrar, etablera omvända SSH-tunnlar via AquaTunnel och Chisel samt radera forensiska spår med ett loggrensningsverktyg kallat AquaPurge. Kampanjen har varit aktiv sedan åtminstone slutet av november 2025.
Cisco uppmanar administratörer att begränsa internetexponering, stärka åtkomstkontroller, övervaka loggar noggrant och kontakta TAC för att bedöma eventuell kompromettering. I vissa fall kan det krävas att berörda enheter byggs om helt för att ta bort all kvarvarande åtkomst.

Ransomwaregrupp utnyttjar React2Shell-sårbarhet på sekunder

En ransomwaregrupp har observerats utnyttja den kritiska React2Shell-sårbarheten (CVE-2025-55182) för att få initial åtkomst till företagsnätverk och distribuera filkrypterande skadlig kod på mindre än en minut. React2Shell är en osäker deserialiseringssårbarhet i React Server Components Flight-protokoll, som används av React och Next.js, och möjliggör obehörig fjärrkodskörning på sårbara servrar.
Forskare på S-RM bekräftade att sårbarheten användes den 5 december för att leverera Weaxor-ransomware. Kort efter exploateringen körde angriparna ett obfuskerat PowerShell-kommando för att distribuera en Cobalt Strike-beacon, inaktiverade Windows Defenders realtidsskydd och startade ransomware-lasten. Hela förloppet tog mindre än 60 sekunder.
Weaxor, som tros vara en omprofilering av Mallox-operationen, fokuserar på opportunistiska attacker mot publikt exponerade system och kräver relativt låga lösensummor. S-RM varnar för att enbart patchning inte är tillräcklig och uppmanar organisationer att granska loggar och EDR-telemetri efter tecken på exploatering.

SoundCloud bekräftar omfattande dataintrång som drabbar 28 miljoner användare

SoundCloud har bekräftat en cyberattack som exponerade data från omkring 28 miljoner användarkonton, cirka 20 procent av plattformens globala användarbas. Intrånget upptäcktes efter att obehörig aktivitet identifierats i en intern tjänstepanel. Även om inga lösenord eller finansiella uppgifter komprometterades fick angriparna tillgång till användarnas e-postadresser i kombination med offentligt synlig profilinformation, vilket ökar risken för riktade phishingkampanjer.
Attacken har kopplats till ShinyHunters, en välkänd grupp för datautpressning som tidigare förknippats med andra uppmärksammade intrång. SoundCloud uppgav att intrånget påverkade ett sekundärt internt system snarare än kärnplattformen, vilket gjorde det möjligt för angriparna att kringgå starkare skydd.
Som svar införde SoundCloud akuta säkerhetsåtgärder som ledde till tillfälliga driftstörningar och problem med VPN-åtkomst i flera länder. Företaget har därefter stärkt övervakning och åtkomstkontroller och uppmanat användare att byta lösenord och aktivera tvåfaktorsautentisering.
Händelsen understryker det växande fokuset på storskalig datastöld som ett första steg inför social engineering-attacker.

Kimwolf-botnät utnyttjar 1,8 miljoner Android-enheter

Forskare vid QiAnXin XLab har avslöjat ett nytt och omfattande DDoS-botnät kallat Kimwolf, som har komprometterat uppskattningsvis 1,8 miljoner Android-baserade tv-apparater, set-top-boxar och surfplattor världen över. Botnätet har varit aktivt sedan åtminstone oktober 2025 och kan genomföra storskaliga DDoS-attacker samt erbjuda funktioner för proxyvidarebefordran, reverse shell-åtkomst och filhantering.
Mellan den 19 och 22 november utfärdade Kimwolf uppskattningsvis 1,7 miljarder attackkommandon, vilket tillfälligt förde en av dess kommando- och kontroll-domäner till toppen av Cloudflares lista över mest efterfrågade domäner. Infektionerna är koncentrerade till länder som Brasilien, Indien, USA, Sydafrika och Filippinerna, där smarta tv-boxar identifierats som primära mål.
XLab bedömer att Kimwolf är kopplat till det ökända AISURU-botnätet, med delad infrastruktur och kod som tyder på att båda tillhör samma hotaktör. Nyare varianter har börjat använda tekniker baserade på Ethereum Name Service för att undvika nedstängningar, vilket belyser den ökande motståndskraften och skalan hos moderna IoT-fokuserade botnät.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.