Curly COMrades utnyttjar virtualisering för att kringgå EDR-detektering

I en ny rapport från Bitdefender har hotaktören Curly COMrades observerats använda virtualisering för att kringgå säkerhetsverktyg och distribuera skräddarsydd skadlig kod. Genom att aktivera Hyper-V på komprometterade Windows 10-system startade gruppen en lättviktig virtuell maskin med Alpine Linux för att köra CurlyShell och CurlCat – verktyg för omvänd skalåtkomst och proxykommunikation.

Aktiva sedan slutet av 2023 och med kopplingar till ryska intressen har Curly COMrades riktat in sig på Georgien och Moldavien, med avancerade tekniker för att upprätthålla långvarig åtkomst. Deras verktygslåda inkluderar RuRat, Mimikatz och MucorAgent, med skadlig kod isolerad i virtuella miljöer för att undvika upptäckt. Kommunikation med kommandocentraler är krypterad via HTTP-förfrågningar, och gruppen har visat stor anpassningsförmåga genom att kontinuerligt introducera nya verktyg.

Bitdefenders samarbete med Georgiens CERT avslöjade ytterligare infrastruktur och strategier för långsiktig åtkomst, vilket understryker den ökande sofistikeringen hos cyberhot som bygger på virtualisering.

Sveriges integritetsskyddsmyndighet utreder Miljödata-läckan som påverkar 1,5 miljoner medborgare

Integritetsskyddsmyndigheten (IMY) har inlett en utredning av en cyberattack mot IT-leverantören Miljödata, som exponerade personuppgifter för upp till 1,5 miljoner personer. Miljödata tillhandahåller tjänster till cirka 80 % av Sveriges kommuner och bekräftade i augusti att angripare hade stulit data och krävt en lösensumma på 1,5 Bitcoin för att inte offentliggöra informationen.

Incidenten störde verksamheten i flera regioner, inklusive Halland, Gotland och Karlstad. IMY bekräftade att känslig personlig information senare publicerades på dark web, vilket ledde till en utredning om möjliga GDPR-överträdelser. Utredningen kommer att fokusera på Miljödatas säkerhetsrutiner och hur kommunerna hanterade medborgarnas data – särskilt barns och skyddade identiteter.

Gruppen Datacarry har tagit på sig ansvaret och läckt ett 224MB stort arkiv online. Webbplatsen Have I Been Pwned har lagt till informationen och identifierat poster för cirka 870 000 individer.

M&S vinst rasar efter cyberattack i april – £100 miljoner i förluster

Marks & Spencer (M&S) rapporterade att vinsten före skatt föll från £391,9 miljoner till endast £3,4 miljoner under de sex månaderna fram till 27 september, efter den allvarliga cyberattacken som lamslog företagets system i april 2025. Nedstängningen av webbplatsen och störningar i leveranskedjan påverkade försäljningen, medan livsmedelsavdelningarna drabbades av prisnedsättningar och svinn på grund av manuell lagerhantering.

M&S rapporterade £101,6 miljoner i direkta kostnader från incidenten, inklusive £82,7 miljoner för respons och återställning samt £18,9 miljoner i tredjepartskostnader, delvis täckta av £100 miljoner i cyberförsäkring. VD Stuart Machin berömde företagets motståndskraft och betonade fortsatt fokus på återhämtning och kundservice.

Incidenten visar att även etablerade företag är sårbara när cyberhoten blir allt mer avancerade. Den belyser också att även om cyberförsäkring kan lindra den ekonomiska bördan, täcker den sällan hela kostnaden för en attack. I slutändan är förebyggande åtgärder och beredskap det bästa försvaret.

Google avslöjar ökning av AI-drivet malware som använder LLM för dynamisk undvikning

Googles Threat Intelligence Group har identifierat en kraftig ökning av skadlig kod som integrerar stora språkmodeller (LLM) för att anpassa sig under körning – ett betydande skifte i cyberhotens taktik. Denna nya teknik för självmodifiering i realtid gör att skadlig kod kan ändra sig under körning, vilket gör den mycket svårare att upptäcka.

Exempel inkluderar PromptFlux, ett experimentellt VBScript-dropper som frågade Googles Gemini-modell efter ny obfuskering, samt PromptSteal, en datagrävare som användes i Ukraina. Google har blockerat Gemini-åtkomst kopplad till dessa operationer. Andra upptäckter inkluderar FruitShell, en PowerShell-baserad omvänd skal; QuietVault, en JavaScript-baserad stöld av GitHub-token; och PromptLock, ett plattformsoberoende ransomware skrivet i Lua.

Förutom skadlig kod har statsstödda aktörer från Kina, Iran och Nordkorea missbrukat AI-verktyg för att underlätta nätfiske, exploatering och datastöld. Underjordiska forum marknadsför också AI-baserade cyberbrottsverktyg, vilket signalerar en snabb utveckling mot automatiserade och adaptiva hotmiljöer.

Italien drabbades av över 10 % av globala cyberattacker under början av 2025 – hacktivism i fokus

Italien stod för 10,2 % av alla cyberattacker globalt under första halvåret 2025, en ökning från 9,9 % under samma period föregående år, enligt en ny rapport från Clusit – Italienska föreningen för informationssäkerhet. Siffran markerar en kraftig ökning från 2021, då Italien endast stod för 3,4 % av globala incidenter.

Clusits analys visar en dramatisk 600 % ökning år för år av attacker mot statliga och militära sektorer, som nu utgör 38 % av det nationella totalen. Majoriteten av dessa incidenter tillskrivs hacktivism med politiska eller sociala motiv, troligen samordnade av ryska statliga strukturer.

Hacktivism stod för 54 % av cyberincidenterna i Italien, och överträffade för första gången ekonomiskt motiverad cyberbrottslighet. Traditionella attacker med syfte att stjäla data eller pengar utgjorde de återstående 46 %, vilket visar på en betydande förändring i landets hotlandskap.