Cyberkriminella förvandlar svenska fabrikers robotar till vapen för utpressning

Cyberbrottslingar förvandlar fabrikernas egna system till vapen

När svenska industriföretag investerat miljarder i att digitalisera sina produktionslinjer har de oavsiktligt skapat nya angreppsytor för cyberbrottslingar. Det senaste hotet kommer från Masjesu-botnätet – en sofistikerad operation som förvandlar smarta fabrikers egna enheter till vapen för utpressningsattacker.

Enligt säkerhetsföretaget Trellix, som spårat botnätet sedan 2023, skiljer sig Masjesu från traditionell skadlig programvara genom att specifikt rikta in sig på inbyggda system inom industriella sakernas internet. Istället för att attackera konventionella datorer infiltrerar botnätet smarta mätare, lagerrobotar och övervakningssystem – precis de enheter som driver moderna fabrikers automation.

Attackerna säljs som tjänster på Telegram

Vad som gör Masjesu särskilt oroväckande är affärsmodellen bakom det. Operatörerna säljer DDoS-tjänster direkt till köpare genom Telegram-kanaler, vilket innebär att vem som helst med tillräckligt kapital kan hyra denna eldkraft för att lamslå industrianläggningar.

I oktober 2025 demonstrerade operatörerna botnätets kapacitet genom en ACK-flödattack som nådde cirka 290 gigabit per sekund – motsvarande 290 miljoner paket per sekund. För att sätta detta i perspektiv: en attack av denna omfattning kan omedelbart bryta länken mellan en fabriksgolvs fysiska sensorer och det centrala kontrollrummet.

Svenska fabriker särskilt sårbara

Svenska tillverkningsföretag befinner sig i en särskilt utsatt position. Vår långa tradition av automation och tidig adoption av Industri 4.0-teknologier betyder att vi har ett stort installerat bestånd av äldre industriella enheter. Många av dessa system installerades när säkerhet inte prioriterades lika högt som idag.

Problemet förvärras av att industriella enheter ofta har extremt långa livscykler. Medan företag uppdaterar sina kontorsdatorer var tredje år kan en industrirobot eller ett styrSystem förväntas fungera i decennier. Detta skapar miljöer där kritiska produktionssystem kör föråldrad programvara utan säkerhetsuppdateringar.

Tre kritiska skyddsåtgärder

Ur ett tekniskt perspektiv finns det konkreta steg som svenska företag kan vidta omedelbart. Först: implementera robust nätverkssegmentering. Industriella enheter bör isoleras från företagsnätverket och internet genom dedikerade industriella DMZ-zoner.

Andra: investera i kontinuerlig övervakning av industriella nätverk. Till skillnad från traditionell IT-säkerhet kräver OT-miljöer (operativ teknologi) specialiserade verktyg som förstår industriella protokoll som Modbus och PROFINET.

Tredje: utveckla en systematisk process för säkerhetsuppdateringar av industriella enheter. Detta kräver ofta nära samarbete med leverantörer och noggrann testning i utvecklingsmiljöer innan uppdateringar rullas ut i produktion.

Automatiserad försvar blir nödvändigt

Den här attackens sofistikering visar också varför manuellt säkerhetsarbete inte längre räcker. När cyberbrottslingar kan lansera 290-gigabit attacker krävs automatiserade försvarsystem som kan reagera på millisekunder, inte minuter.

Maskininlärningsbaserade säkerhetslösningar som kan lära sig normalt beteende hos industriella enheter och automatiskt isolera avvikande trafik blir därför en strategisk investering, inte bara en kostnad.