Ryska hackare slår till mot Ukraina – Iran byggde cyberinfrastruktur i hemlighet fem månader före attack

Cybersäkerhetsarena står inför en perfekt storm där traditionella försvar inte längre räcker. Det senaste exemplet kommer från Ukraina, där ryska statsstödda hackare från gruppen APT28 – även känd som Fancy Bear – har exploaterat en kritisk sårbarhet i Zimbra Collaboration för att genomföra omfattande spionage mot ukrainska mål.

Sofistikerade angrep i krigets skugga

Attacken, som säkerhetsforskare döpt "Operation GhostMail", utnyttjar en lagrad XSS-sårbarhet (CVE-2025-66376) som tillåter hackarna att dölja skadlig kod i vanliga mejlmeddelanden. Enligt SecurityWeek aktiveras JavaScript-kod automatiskt när mottagaren öppnar meddelandet och börjar sedan stjäla känslig information – från inloggningsuppgifter till hela brevlådor från de senaste 90 dagarna.

Men Rysslands cyberoffensiv är bara toppen på isberget. Ännu mer oroande är upptäckten att Iran systematiskt byggde upp sina cyberkapaciteter under sex månader innan de amerikansk-israeliska attackerna i februari 2026. En ny studie från säkerhetsföretaget Augur Security avslöjar hur iranska underrättelsetjänsten MOIS och Revolutionsgardet IRGC skapade en sofistikerad flerskiktad infrastruktur genom skalföretag och värdtjänster i flera länder.

Den berömda hackargruppen MuddyWater registrerade sju nya nätverksadresser inom 72 timmar redan i september 2025 – fem månader före attackerna. Detta visar på en strategisk planering som går långt utöver opportunistiska cyberattacker.

Branschen mobiliserar med AI-försvar

Mot denna eskalerande hotbild mobiliserar säkerhetsbranschen med nästa generations försvarsteknologi. Det israelisk-amerikanska företaget Raven har just säkrat 200 miljoner kronor för sin AI-drivna säkerhetsplattform som kan upptäcka och stoppa angrepp i realtid – även mot okända sårbarheter.

"I en tid när AI-verktyg kan identifiera och utnyttja sårbarheter i en aldrig tidigare skådad omfattning och hastighet, kan organisationer inte längre förlita sig enbart på signaturer", förklarar grundaren Roi Abitboul till SecurityWeek.

Parallellt har kinesiska statsstödda hackare påstås ha utnyttjat en kritisk sårbarhet i ScreenConnect under flera år, vilket exponerade krypteringsnycklar och gav angripare djup tillgång till fjärrövervakningsmjukvara som används av tusentals organisationer världen över.

Privatpersoner söker digitalt skydd

Hotbilden påverkar inte bara stater och företag. Den amerikanska sekretessplattformen Cloaked har samlat in över 3,7 miljarder kronor för att utveckla AI-drivna personliga agenter som ska skydda vanliga användares digitala integritet. Företaget erbjuder virtuella identiteter och automatisk rensning av personuppgifter från datamäklare – tjänster som blir alltmer kritiska när cyberkriminalitet industrialiseras.

Gemensamt för alla dessa utvecklingar är hastigheten och sofistikeringen. Vi ser inte längre isolerade cyberattacker utan koordinerade kampanjer som planeras månader i förväg med statlig backing. Samtidigt utvecklas angreppstekniker snabbare än traditionella säkerhetslösningar kan hänga med.

Infrastruktur som vapen

Det som gör situationen särskilt allvarlig är hur cyberbrottslingar systematiskt bygger upp långsiktig infrastruktur. Som Joe Lea från Augur Security påpekar: "Innan attacker når ett målnätverk kräver de infrastruktur. Att kartlägga och störa den infrastrukturen är ett av de mest effektiva sätten att stoppa operationer innan de börjar."

Med omkring 60 irankopplade hacktivistgrupper nu aktiva och ryska APT-grupper som fortsätter sina operationer mot Ukraina, står vi inför en ny verklighet där cyberkriget blivit en permanent del av geopolitiska konflikter.