EU inför sanktioner mot cyberaktörer efter attacker mot franska och svenska organisationer

Europeiska unionen har infört sanktioner mot tre företag och två personer som är kopplade till ihållande cyberattacker mot medlemsländer och partnerländer, då geopolitiska spänningar fortsätter att driva på statlig aktivitet. Åtgärderna omfattar frysning av tillgångar, reseförbud och restriktioner mot att tillhandahålla medel eller resurser till de listade.

Två Kina-baserade företag har fått sanktioner för att ha möjliggjort storskaliga intrång. EU-tjänstemän uppger att deras verktyg underlättade intrånget i mer än 65 000 enheter i sex medlemsstater, med kopplingar till hotgruppen Flax Typhoon. Anxun anklagas också för att ha riktat in sig på över 80 system inom den offentliga och privata sektorn globalt.

Det iranska företaget Emennet Pasargad straffades för att ha riktat in sig på organisationer i Frankrike och Sverige, inklusive stöld av en fransk abonnentdatabas och avbrott i en svensk SMS-tjänst, vilket påverkade ett stort antal medborgare.

Åtgärden förstärker den växande risken för kritisk infrastruktur när den ökande digitaliseringen fortsätter att utöka attackytan för statsstödda cyberoperationer.

Companies House åtgärdar fel som exponerade brittiska företagsdata

Companies House har återställt sin WebFiling-tjänst efter att ha tagit den offline för att åtgärda en säkerhetsbrist som potentiellt exponerade känsliga uppgifter kopplade till miljontals brittiskregistrerade företag. Problemet, som introducerades under en systemuppdatering i oktober 2025, fanns kvar i flera månader innan det rapporterades av säkerhetsforskare.

Sårbarheten gjorde det möjligt för autentiserade användare att komma åt ett annat företags instrumentpanel genom att manipulera arbetsflödet för arkivering. Detta kunde ha exponerat icke-offentliga data, inklusive födelsedatum, bostadsadresser och företagets e-postkonton. Det fanns också en risk för obehörig arkivering, till exempel ändringar av styrelseledamöter eller inlämning av konton, även om detta skulle ha varit begränsat till en företagsrekord åt gången.

Companies House har bekräftat att inga lösenord eller identitetsverifieringsdata har äventyrats och att befintliga arkiverade dokument inte kunde ändras.

Incidenten har rapporterats till Information Commissioner's Office och National Cyber Security Centre. Även om inget bekräftat missbruk har identifierats, fortsätter utredningarna, vilket belyser fortsatta risker inom kritiska digitala tjänster i den offentliga sektorn.

Aura exponerar kunddata efter vishing-attack

Identitetsskyddsföretaget Aura har bekräftat ett dataintrång som påverkar nästan 900.000 poster efter att en röstfiskeattack komprometterat ett anställdskonto. Incidenten belyser den fortsatta effektiviteten av social ingenjörskonst för att kringgå traditionella säkerhetskontroller.

De exponerade uppgifterna inkluderar namn, e-postadresser, telefonnummer och hemadresser. Aura uppger att personnummer, lösenord och finansiell data inte har kommit på avvägar. Den drabbade datamängden härstammar till stor del från en äldre marknadsföringsplattform som ärvdes genom ett förvärv 2021, med cirka 35 000 poster kopplade till nuvarande och tidigare kunder.

Hotgruppen ShinyHunters har tagit på sig ansvaret och hävdar att de stulit 12 GB data och sedan läckt ut dem efter misslyckade utpressningsförsök. Oberoende analyser visar på ytterligare exponering av kundtjänstanteckningar och IP-adressuppgifter, där många uppgifter redan cirkulerar från tidigare intrång.

Aura arbetar med externa cybersäkerhetsspecialister och har meddelat brottsbekämpande myndigheter. Incidenten förstärker den ihållande risk som mänskligt riktade attacker utgör, särskilt som hotaktörer fortsätter att utnyttja anställda som en ingång till organisationer.

Interlock ransomware utnyttjar Cisco zero-day i brandväggsattacker

Interlock ransomware-gruppen har utnyttjat en kritisk sårbarhet för fjärrkörning av kod i Cisco Secure Firewall Management Center (FMC) -programvaran som en nolldag, vilket belyser den fortsatta risken med ouppdaterad edge-infrastruktur.

Bristen, som spåras som CVE-2026-20131, gör det möjligt för oautentiserade angripare att köra godtycklig kod med root-privilegier. Hotinformation indikerar att sårbarheten utnyttjades aktivt från och med den 26 januari, vilket gav angripare över en månads åtkomst innan Cisco släppte en patch den 4 mars.

Interlock, som först observerades 2024, har kopplats till flera högprofilerade attacker och har tidigare riktat in sig på brittiska universitet med hjälp av skadlig kod från NodeSnake. På senare tid har forskare identifierat gruppen som använder en ny stam, Slopoly, som tros ha utvecklats med hjälp av generativ AI.

Kampanjen fokuserade på företagens brandväggsmiljöer, en kritisk kontrollpunkt i företagsnätverk. Denna aktivitet understryker vikten av snabb patchning, kontinuerlig övervakning och hotdetektering, särskilt som hotaktörer i allt högre grad utnyttjar nolldagssårbarheter som vapen för att få initial åtkomst och etablera uthållighet.

Telus digitala intrång belyser risker i leveranskedjan

Telus Digital har bekräftat en cybersäkerhetsincident efter påståenden från hotgruppen ShinyHunters om att upp till en petabyte data har stulits i ett långvarigt intrång. Företaget undersöker omfattningen av intrånget och har anlitat externa kriminaltekniska experter, men bekräftar samtidigt att kärnverksamheten inte har påverkats.

Som global leverantör av outsourcing av affärsprocesser hanterar Telus Digital kundsupport, fakturering och operativa tjänster för flera organisationer, vilket gör företaget till ett högvärdigt mål för angripare som söker samlad tillgång till känsliga data. Hotaktörer hävdar att intrånget härrör från exponerade Google Cloud Platform-uppgifter som upptäcktes i tidigare komprometterade tredjepartsdata, vilket möjliggjorde lateral rörelse över system.

Den stulna datan spänner över kundsupportregister, callcenterdata, röstinspelningar och interna system, med potentiell exponering över flera klientmiljöer. ShinyHunters har enligt uppgift försökt utpressa och krävt 65 miljoner dollar.

Händelsen understryker den växande risken inom tredjeparts- och SaaS-ekosystem, där ett enda intrång kan få omfattande konsekvenser för flera organisationer och leveranskedjor.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.