Q4 2025: Identitet, leverandørkjeder og AI endrer trusselbildet

Q4 2025: Identitet, leverandørkjeder og AI endrer trusselbildet

57 alvorlige hendelser, økende misbruk av legitimasjon og nye angrepsformer drevet av AI, preget cybersikkerhetsbildet i siste kvartal av 2025.

I fjerde kvartal 2025 håndterte Telenor Cyberdefence 57 alvorlige sikkerhetshendelser knyttet til våre tjenester for sikkerhetsovervåking. I tillegg håndterte vi en rekke mindre alvorlige hendelser som, uten rask deteksjon og respons, kunne eskalert til alvorlige sikkerhetsbrudd.

Basert på kontinuerlig overvåking fra vår Security Operations Center (SOC), gir denne kvartalsrapporten innsikt i hva vi har oppdaget, håndtert og agert på – samt hvilke trender som vil prege cybersikkerhetsbildet fremover.

Identitet fortsatt den mest attraktive angrepsflaten

Flere av de alvorlige hendelsene i perioden var relatert til brukere, identitet og kompromitterte legitimasjoner. Phishing og andre former for sosial manipulering fører fortsatt til at brukernavn og passord kommer på avveie – en trend vi har sett over lang tid, men som nå forsterkes av mer avanserte og automatiserte angrep.

Utviklingen understreker at tekniske sikkerhetstiltak alene ikke er tilstrekkelige. Angrepene er i økende grad rettet mot mennesker, ikke systemer.

  • «Det vi ser i Q4 2025 forsterker trenden i trusselbildet. Angrepene blir mer målrettede, mer automatiserte og i økende grad rettet mot identitet og mennesker – ikke bare teknologi. Samtidig ser vi hvordan både AI og leverandørkjeder misbrukes i stor skala. Dette stiller helt nye krav til hvordan virksomheter jobber med sikkerhet i praksis, og understreker verdien av kontinuerlig overvåking og rask respons,» sier Henrik Buksholt, leder for sikkerhetssenteret i Telenor Cyberdefence.

DDoS: Høy aktivitet – korte, kraftige angrep

I løpet av Q4 2025 registrerte vi 136 bekreftede DDoS-angrep, hvorav 47 ble avverget før de fikk konsekvenser for kundene.

  • Gjennomsnittlig angrepsstørrelse: 8,3 Gbps
  • Gjennomsnittlig varighet: 103 minutter
  • Største observerte angrep84,7 Gbps, varighet 10 minutter
  • Angrepstyper: IP-fragmentering, DNS og UDP

Mønsteret viser en kombinasjon av kortvarige, svært kraftige angrep og lengre kampanjer med lavere intensitet – noe som stiller høye krav til både kapasitet og deteksjon.

Trender vi følger tett

ClickFix – når brukeren lures til å infisere seg selv

I 2025 har vi sett utbredt bruk av såkalte ClickFix-angrep, brukt av både statssponsede aktører og løsepengevirus-grupper. Dette er sosial manipulasjon der brukeren presenteres for falske feilmeldinger, sikkerhetsvarsler eller CAPTCHA-oppgaver, og instrueres til å kjøre kommandoer – ofte via PowerShell eller shell.

Resultatet er at ofrene selv installerer skadevaren, helt uten tradisjonelle exploits.

Forsyningskjedeangrep: Shai-Hulud og «The Second Coming»

Forsyningskjedeangrep fortsetter å øke i omfang og konsekvens. Høsten 2025 ble flere angrep rettet mot åpne kildekodedepoter, spesielt npm (Node Package Manager).

Angrepet kjent som “Shai-Hulud”, og senere “Sha1-Hulud: The Second Coming”, rammet på det meste over 1000 npm-pakker og påvirket titusenvis av kode-repoer. Målet var å stjele innloggingsinformasjon til blant annet GitHub og skytjenester, og deretter spre seg videre via kompromitterte utviklerkontoer.

Disse hendelsene viser hvor sårbar moderne programvareutvikling er for kompromitteringer langt utenfor egen organisasjon.

AI: både verktøy og våpen

AI er nå en integrert del av trusselbildet:

  • AI-drevet skadevare som tilpasser seg offerets miljø
  • Egne språkmodeller for cyberkriminalitet, som WormGPT 4
  • Nye angrepsflater i form av prompt injection (instruksjonsinjisering)

Prompt injection utnytter hvordan AI-modeller tolker instruksjoner, og kan føre til lekkasje av sensitive data, generering av ondsinnet innhold eller uønskede handlinger. Ettersom AI bygges inn i produktivitetsverktøy, nettlesere og utviklermiljøer, øker også risikoen.

Utvalgte nyheter fra Q4 2025

  • F5 Networks bekreftet et alvorlig innbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP-produkter. CISA utstedte et nød-direktiv for amerikanske myndigheter.
    Kilde: The Hacker News
  • Ny digitalsikkerhetslov i Norge trådte i kraft 1. oktober 2025. Loven bygger på NIS2 og stiller strengere krav til risikohåndtering, hendelsesvarsling og tilsyn, med NSM som sentral myndighet.
    Kilde: NSM
  • Cloudflare-opphav 18. november 2025 førte til omfattende nedetid globalt. Hendelsen skyldtes en latent feil i håndtering av bot-trafikk – ikke et cyberangrep.
    Kilder: Cloudflare
  • Avanserte phishingkits som BlackForce, GhostFrame, InboxPrime AI og Spiderman muliggjør storskala phishing og omgår MFA ved hjelp av AI og Man-in-the-Browser-teknikker.
    Kilde: The Hacker News
  • Cisco AsyncOS nulldagssårbarhet (CVE-2025-20393) ble aktivt utnyttet av en kinesisk-tilknyttet trusselaktør. Sårbarheten gir root-tilgang og har CVSS-score 10.0.
    Kilde: The Hacker News

Våre anbefalinger

Basert på funnene fra Q4 2025 anbefaler vi særlig at virksomheter:

  1. Styrker identitetssikkerheten – med phishing-resistent MFA, kontinuerlig opplæring og overvåking av mistenkelig innlogging.
  2. Har full oversikt over leverandørkjeden, inkludert tredjeparts- og åpne kildekode-avhengigheter.
  3. Oppdaterer og patcher raskt, spesielt for internet-eksponerte systemer.
  4. Forstår risiko knyttet til AI, både som angrepsverktøy og som ny angrepsflate i egne løsninger.
  5. Investerer i kontinuerlig sikkerhetsovervåking og respons, slik at hendelser stoppes før de får konsekvenser.

Denne rapporten er basert på observasjoner og hendelser håndtert av Telenor Cyberdefence SOC i Q4 2025.