Cybersäkerhetsanalys avslöjar omfattande intrång i global infrastruktur

Palo Alto Networks analysenhet Unit 42 har nyligen publicerat en rapport som belyser TGR-STA-1030, en avancerad aktör troligtvis baserad i Asien. Genom attacker har denna grupp fått tillgång till system och nätverk hos myndigheter som hanterar kritisk infrastruktur i 37 länder, vilket representerar nästan 20% av världens länder.

Angreppen, som kallas Shadow Campaigns, har särskilt drabbat europeiska länder inklusive Tyskland, Italien, Polen, Portugal, Tjeckien, Serbien, Grekland och Cypern. Dessutom har Unit 42 observerat att gruppen under slutet av 2025 bedrev kartläggning av statlig infrastruktur kopplad till 155 länder.

TGR-STA-1030 utför sina attacker med hög precision och använder specialdesignade verktyg istället för automatiserade massangrepp. Palo Alto Networks har genom Unit 42 identifierat dessa angreppsmönster globalt och inlett samarbeten med branschpartners och myndigheter för att varna drabbade organisationer.

Nedan presenteras en teknisk sammanfattning av fynden: Målgrupper inkluderar fem nationella brottsbekämpande myndigheter och flera andra viktiga institutioner som ansvarar för handel, naturresurser och diplomati.

Angriparna är snabba och flexibla, ofta genomför de intrång några dagar efter betydande geopolitiska händelser. Initial åtkomst har oftast skett genom avancerade phishingkampanjer, och de har utnyttjat kända sårbarheter i programvaror som Microsoft Exchange, SAP och Atlassian.

Loader-programvara som används av angriparna kan upptäcka mer än 50 säkerhetslösningar, vilket ofta leder till upptäckter. Den aktuella skadliga koden kontrollerar dock endast fem säkerhetsprodukter, vilket minskar risken för upptäckter.

Gruppen har också använt ett nyligen upptäckt rootkit för Linux-kärnan som gör det möjligt att manipulera systemdata och förbli osynlig för vanliga säkerhetsverktyg.