Techsektorn är det nya digitala slagfältet – Kina leder AI-stöldligan

Grundläggande AI-byggstenar – modeller, träningsdata och forskningspipelines – är nu det primära målet för det statsunderstödda spionaget . Specifika kinesiska aktörsgrupper som MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA och WARP PANDA har observerats rikta in sig mot tekniksektorn mer än någon annan bransch . I rapporten beskrivs denna verksamhet som en långsiktig underrättelseinsamling, understödd av intrång i leverantörskedjor, med strategiska snarare än omedelbart ekonomiska mål .

Nordkorea utökar infiltration och attacker i leveranskedjan

Nordkorea-kopplade hotaktörer har utvecklat en egen, distinkt strategi mot teknikföretag. Istället för att enbart förlita sig på traditionella intrångsmetoder har de nordkoreanska grupperna utökat sin räckvidd genom infiltration av IT-personal – där operatörer placeras som fjärrkonsulter på västerländska teknikföretag – och genom att kompromettera mjukvaruleveranskedjor för att få betrodd åtkomst .

Denna teknikfokuserade rapport understryker dessa tillitsbaserade operationer, men en parallell publikation från CrowdStrike, 2026 Financial Services Threat Landscape Report, sätter den bredare nordkoreanska kampanjen i perspektiv. Den avslöjar att nordkoreanska aktörer stal miljarder i digitala tillgångar under 2025 och har industrialiserat cyberbrottslighet med hjälp av AI-drivet bedrägeri . Gruppen FAMOUS CHOLLIMA fördubblade särskilt sin operationella takt, och gruppen PRESSURE CHOLLIMA genomförde den största finansiella stöld som någonsin rapporterats – 1,46 miljarder dollar i kryptovaluta – genom en attack mot leveranskedjan där mjukvara försågs med en trojan .

Cyberbrottsligheten accelererar: genombrottstiden rasar till 29 minuter

Ekonomiskt motiverade cyberbrottslingar har trappat upp sina operationer mot teknikorganisationer, där så kallade initial access brokers, ransomware-operatörer och utpressningsgrupper prioriterar sektorn . Den kompletterande 2026 Global Threat Report noterar att den genomsnittliga genombrottstiden – fönstret mellan första åtkomst och vidare rörelse i nätverket – föll till endast 29 minuter under 2025, en hastighetsökning med 65 % jämfört med 2024 . Det snabbaste observerade intrånget gick från initial åtkomst till datastöld på under två minuter, där en incident klockades in på ynka 27 sekunder .

Interaktiva, människostyrda intrång – ofta kallade "hands-on-keyboard"-attacker – ökade med 43 % under de senaste två åren. Detta ger angriparna en operationell flexibilitet att växla mellan stöld, utpressning eller underrättelseinsamling beroende på målets värde . Denna förskjutning mot människostyrda kampanjer innebär att angripare kan smälta in i normalt administrativt beteende, vilket gör det betydligt svårare att upptäcka dem .

Problemet med leveranskedjor och tillitsutnyttjande

Istället för att förlita sig på traditionell skadlig kod utnyttjar angripare i allt högre grad betrodda relationer, giltiga inloggningsuppgifter, SaaS-integrationer och leverantörskedjor . Rapporten dokumenterar att 82 % av alla upptäckter under 2025 var malware-fria, då angripare lever på nätverkets egna legitima verktyg och använder AI-förstärkt social manipulation för att kringgå signaturbaserade försvar .

AI-plattformar och utvecklarverktyg är nu under direkt attack. Angripare komprometterar betrodda kodförråd, CI/CD-pipelines och arbetsflöden för att få beständig åtkomst till sekundära mål längre ned i kedjan . Detta tillvägagångssätt innebär att ett enda komprometterat utvecklingsverktyg kan ge tillgång till dussintals eller hundratals organisationer, utan att varje enskilt mål behöver attackeras direkt.

AI-attackytan expanderar

Under rapportperioden framstod artificiell intelligens som ett dubbelriktat hot. AI-aktiverad angriparaktivitet ökade med 89 % jämfört med föregående år, vilket accelererar nätfiske, spaning, social manipulation och tekniska operationer . Angripare använde sig av allmänt tillgängliga generativa AI-verktyg – inklusive ChatGPT, Gemini och DeepSeek – för social manipulation, utveckling av skadlig kod och operativ planering .

Samtidigt har själva AI-systemen blivit en ny attackyta. Över 90 organisationer fick sina legitima AI-verktyg utnyttjade för att generera skadliga kommandon eller stjäla känsliga modeller . Rapporten dokumenterar hur angripare injicerade skadliga prompter i produktionssatta generativa AI-verktyg och missbrukade AI-utvecklingsplattformar för att föra ut immateriella tillgångar .

Rapporten karaktäriserar 2025 som "den undvikande motståndarens år", definierat av attacker som inriktar sig på betrodda relationer, uppvisar flyt med AI-verktyg och innehåller en metodik skräddarsydd för att utnyttja säkerhetsluckor över endpoint, identitet, SaaS och molnmiljöer .

CrowdStrikes rapport gör det tydligt att teknikföretag inte kan försvara sig mot denna hotkonvergens med föråldrade metoder. När angripare rör sig från initial åtkomst till vidare spridning på under 30 minuter, och när majoriteten av attackerna inte bär på någon malware-signatur, är upptäcktsstrategier byggda på kända "onda" indikatorer i grunden otillräckliga. Sektorn som bygger världens mest avancerade teknologi har själv blivit världens mest omstridda digitala territorium.