Den kinesiska cyberbrottsgruppen TA4922 expanderar sina cyberbrottskampanjer till Europa

En kinesiskspråkig cyberbrottsgrupp har utökat sin verksamhet till Europa och använder tidigare odokumenterad skadlig kod och Atlas-bakdörren i ekonomiskt motiverade attacker.

Gruppen har spårats som TA4922 och har historiskt riktat in sig på organisationer i Östasien, men de senaste kampanjerna har fokuserat på Tyskland, Italien, Storbritannien och Sydafrika. Enligt Proofpoint använder hotaktören mycket lokaliserade phishing-lockbeten, inklusive lönebesked, skatterevisioner, momsansökningar, fakturor, efterlevnadsmeddelanden och HR-kommunikation, samtidigt som de också närmar sig offer via WhatsApp, LINE och Microsoft Teams.

Forskare säger att TA4922 har ökat sin aktivitet kraftigt sedan mars, vilket visar ett högt tempo och varierade målsättningar. Dess verktygslåda innehåller nu Atlas RAT, RomulusLoader, SilentRunLoader och ValleyRAT, med vissa indikatorer som tyder på att stora språkmodeller kan hjälpa till att påskynda utvecklingen av skadlig kod.

Även om TA4922 verkar vara ekonomiskt motiverad har dess skadliga program också övervakningsfunktioner som kan användas eller säljas till spiongrupper.

Storbritannien lanserar ny strategi för cybersäkerhet inom energiområdet

Den brittiska regeringen har publicerat en ny cybersäkerhetsstrategi för energisektorn och varnar för att övergången till ett mer digitalt, uppkopplat och rent energisystem skapar nya risker för kritisk nationell infrastruktur.

Strategin, som publicerats av Department for Energy Security and Net Zero, innehåller åtgärder för att stärka motståndskraften i Storbritanniens el- och gasnät, leveranskedjor och ny energiteknik. Ett stort fokus ligger på tredjepartsrisker, och regeringen planerar att utveckla principer för säkerhet i försörjningskedjan till slutet av 2026 och förbättra sin förmåga att bedöma försörjningskedjor inom energisektorn till 2027.

Strategin signalerar också tuffare förväntningar på operatörer, inklusive en översyn av NIS-regleringströsklar och potentiella baslinjekrav för cybersäkerhet för licensierade energileverantörer. DESNZ planerar också att genomföra en branschöverskridande cyberövning i slutet av 2026 för att testa svaren på en sofistikerad attack mot Storbritanniens energisystem.

AI-assisterad verktygslåda för ransomware påskyndar utvecklingen av EDR-bypass

Forskare har upptäckt en verktygslåda för cyberkriminell ransomware som använder AI-assisterad utveckling för att automatisera Active Directory-upptäckt och snabbt testa tekniker för att kringgå endpoint-detekterings- och svarsverktyg.

Sophos hittade ramverket i en kundmiljö efter att varningar utlösts av misstänkta nyttolaster. Verktygslådan innehöll Cobalt Strike-profiler som utformats för att dölja trafik som legitima webbförfrågningar, en Telegram-baserad kommando- och kontrollmekanism, Python-skript för injektion av shellcode och en Cloudflare Worker som används för att dölja backend-infrastruktur.

Utredarna fann att verktyg, inklusive Cursor och Claude Opus-agenter, användes för att stödja kodning, analys, revidering, dokumentation och testning. Ramverket granskade också offensiv säkerhetsforskning, mappade tekniker till MITRE ATT&CK, reproducerade dem i labbmiljöer och testade nyttolaster mot Sophos, CrowdStrike och Microsoft EDR-verktyg.

Sophos betonade att arbetsflödet förblev människodrivet och att det inte fanns några bevis för att AI fungerade självständigt i offrens miljöer. Fallet visar dock hur AI förkortar klyftan mellan publicerad forskning och kriminell exploatering.

Norsk Tipping drabbat av DDoS-attacker i följd

Den norska statligt ägda speloperatören Norsk Tipping har drabbats av en andra cyberattack på två dagar, vilket har orsakat nedgångar i bolagets onlinetjänster.

Företaget bekräftade att onsdagskvällens incident var en Distributed Denial-of-Service-attack, samma typ av attack som störde tjänsterna föregående kväll. Norsk Tipping sade att skadlig trafik översvämmade deras system, vilket påverkade webbplatser och digitala plattformar, med KongKasino-spel bland de tjänster som påverkades under tisdagens incident.

Telekommunikationsleverantören Telenor har hjälpt bolaget att filtrera bort oönskad trafik och minska störningarna. Norsk Tipping sade att onsdagens attack verkade vara större än den första, även om situationen togs under kontroll senare på kvällen.

Det finns för närvarande ingen bekräftad information om vem som ligger bakom attackerna eller om de två incidenterna är kopplade till varandra. Även om DDoS-attacker vanligtvis inte innebär datastöld kan de orsaka stora störningar genom att överbelasta digitala tjänster med trafik.

Sydafrika står inför ett eskalerande DDoS-hot

Den senaste tidens DDoS-attacker mot sydafrikanska leverantörer av internetinfrastruktur, hostingföretag och konnektivitetstjänster pekar på en bredare upptrappning av hoten mot landets digitala ekonomi, enligt forskare.

De varnade för att angripare i allt högre grad använder sig av DDoS-kampanjer med flera vektorer, där flera tekniker kombineras i en enda incident för att överväldiga försvaret och maximera störningarna. De senaste attackerna mot hosting- och konnektivitetsleverantörer visar hur hotaktörer riktar in sig på organisationer uppströms där avbrott kan sprida sig till tusentals företag och användare nedströms.

Under andra halvåret 2025 rankades Sydafrika på femte plats som det land i EMEA som utsattes för flest DDoS-attacker, med 171.812 registrerade mellan juli och december 2025. Landet rankades också på första plats globalt för attacker mot flera sektorer, bland annat affärsbanker, försäkringsbolag och tjänster för design av datorsystem.

Synlighet i realtid, underrättelseledd begränsning och proaktiv beredskap är nu avgörande för motståndskraften.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.