CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-06-26 14:55

CERT-SE:s veckobrev v.26

Veckobrev

Fortsätt att få våra utskick - För att ytterligare stärka Sveriges motståndskraft inom cybersäkerhet blir CERT-SE en del av Nationellt cybersäkerhetscenter den 1 juli 2026. Det innebär att vi måste inhämta nytt medgivande för fortsatt behandling av personuppgifter och att du som har en e-postadress med personuppgifter behöver ge ditt medgivande för att fortsätta att ta del av utskicken från CERT-SE. Det kan du göra från den 1 juli på cert.se där information om detta publiceras.

I veckans brev hittar du läsning om den skadliga koden FortiGate Sniffer som kopplas samman med lösenordsläckan och den pågående hotkampanjen FortiBleed. Du kan även läsa om NCSC:s medverkan i Almedalen 2026, där cybersäkerhet, AI, geopolitik och samhällets motståndskraft stod högt på agendan.

CERT-SE vill också passa på att informera om att veckobrevet tar ett sommaruppehåll under juli och kommer tillbaka i augusti, men redan på tisdag skickar vi en påminnelse om anmälan till veckobrevet i samband med att CERT-SE blir en del av NCSC.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

För någon vecka sedan genomförde myndigheter från Kanada, Nederländerna, Tyskland och USA, i samarbete med Europol och Eurojust, en insats för att beslagta infrastruktur kopplad till SocGolish, ett ramverk för skadlig kod. Nu har nästa insats genomförts inom Operation Endgame där infrastruktur kopplad till skadlig kod gällande StealC och Amedy har beslagtagits. Sammantaget bedöms tillslagen starkt försvaga distributionen av de skadliga kodramverken.
(HelpNet Security, 24/6)
https://www.helpnetsecurity.com/2026/06/24/operation-endgame-stealc-amadey-malware-disrupted/

Microsoft har åtgärdat sårbarheter i programmet Autogen Studio, som gjort det möjligt att lura AI-agenter att besöka skadliga webbplatser. Användare som laddat ner Autogen Studio från Github uppmanas att snarast uppdatera till den senaste versionen samt använda strikta begränsningar för systemmiljön.
(Computer Sweden, 23/6)
https://computersweden.se/article/4188309/microsoft-tapper-till-allvarliga-sarbarheter-i-autogen-studio.html
(Bleeping Computer, 22/6)
https://www.bleepingcomputer.com/news/security/microsoft-fixes-autogen-studio-flaw-that-enabled-code-execution/

Den multilaterala underrättelsealliansen Five Eyes, som består av Australien, Kanada, Storbritannien, Nya Zeeland och USA, har i ett gemensamt uttalande formulerat riskerna med ökad förmåga bland cyberkriminella till följd av den senaste tidens AI-utveckling och uppmanar till omedelbara åtgärder för att möta utvecklingen.
(Reuters, 23/6)
https://www.reuters.com/world/asia-pacific/five-eyes-intelligence-alliance-warns-that-new-ai-models-pose-urgent-cyber-risk-2026-06-22/

Över 4 000 routrar har angripits av skadlig kod via ett nytt botnät kallat AryStinger. Äldre sårbarheter som CVE-2013-3307, CVE-2016-5681 och CVE-2025-11837 har exploaterats för att få tillgång till fjärrstyrning som bland annat gör det möjligt att manipulera DNS-inställningar och stjäla nätverkstrafik. Sydkorea och Kina är värst drabbade men 6,4 procent av de infekterade routrarna finns i Sverige. Routrar av märket D-Link, främst DIR-850L och DIR-818LW, är mål för AryStinger.
(Bleeping Computer, 21/6) https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/

Rapporter och analyser

En ny svårupptäckt bakdörr som fått namnet Mistic döljs bakom liknande profil och utseende som Microsofts legitima säkerhetssystem för att skydda klienter. Bakdörren har installerats i systemmiljöer hos verksamheter inom ett flertal sektorer sedan april, och rapporter gällande Mistic fortsätter att komma in. I analysen från Symantec finns mer detaljer och även IOC:er att ta del av.
(CyberSecurityNews, 24/6)
https://cybersecuritynews.com/mistic-backdoor-blends-with-microsoft-endpoint-security/

I en rapport från cybersäkerhetsföretaget Mandiant beskrivs hur angripare riktat in sig på SD-WAN-infrastruktur hos tjänsteleverantörer. Efter att angriparna tillskansat sig initial åtkomst exploaterades nolldagarssårbarheten CVE-2026-20245 i Cisco Catalyst SD-WAN Manager för att eskalera privilegier hos ett komprometterat konto till root-åtkomst. Sårbarheten kopplas till filuppladdningsfunktionen, där det funnits brister i förmågan att filtrera skadlig kod. Mandiant beskriver vidare hur angriparna konsekvent tillämpat anti-forensiska tekniker för att dölja sin närvaro i systemen.
(Mandiant, 24/6)
https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager

Den skadliga koden FortiGate Sniffer kopplas samman med lösenordsläckan och den pågående hotkampanjen FortiBleed där hotaktörer använder stulna lösenord för att genomföra intrång via FortiGate-brandväggar. FortiGate Sniffer innebär att ytterligare känslig information, som till exempel kontouppgifter gällande andra system, kan stjälas av hotaktören.
(Bleeping Computer, 22/6) https://www.bleepingcomputer.com/news/security/fortibleed-campaign-used-custom-fortigate-sniffer-to-steal-credentials/

Övrigt

NCSC har publicerat en årsberättelse för 2025 som sammanfattar verksamhetsåret, cyberhot och insatser som genomförts tillsammans med partners för att stärka Sveriges digitala motståndskraft.
(NCSC, 25/6)
https://www.ncsc.se/sv/aktuellt/arsberattelse-2025/

Säkerhetspolisen har publicerat en artikel gällande språkmodellers påverkan på cybersäkerhet. I artikeln lyfts bland annat vikten av att säkerställa handlingskraft och att se över cyberhygien där exponeringen minskas och angreppskedjor försvåras.
(Säkerhetspolisen, 24/6)
https://sakerhetspolisen.se/sakerhetsskydd/aktuellt-inom-sakerhetsskydd/ai-modellers-paverkan-pa-cybersakerheten.html

Försvarsmakten har tagit ett steg närmare en ökad digital suveränitet i form av en ny stridsmolnslösning. Med inspiration från Ukraina bygger nu den europeiska molnaktören Evroc, tillsammans med Försvarsmakten, en plattform för ledning och samverkan i militära operationer.
(Aktuell Säkerhet, 23/6)
https://www.aktuellsakerhet.se/forsvarsmakten-bygger-ny-stridsmolnslosning-med-europeisk-molnleverantor/

NCSC har deltagit i flera seminarier och samtal under Almedalsveckan 2026. Högt på agendan stod cybersäkerhet, AI, geopolitik och samhällets motståndskraft. NCSC bidrog bland annat med perspektiv på hur offentlig sektor, näringsliv och civilsamhälle tillsammans kan stärka Sveriges cyberresiliens samt AI:s påverkan på säkerhetsarbetet och Sveriges framtida digitala kapacitet.
(NCSC, 18/6)
https://www.ncsc.se/sv/aktuellt/almedalen-2026/

Från CERT-SE

Brandväggar är en återkommande utmaning gällande angrepp från hotaktörer. Nu senast den uppmärksammade FortiBleed-läckan, där hotaktörer utnyttjar läckta inloggningsuppgifter i stor skala. Med anledning av angrepp mot brandväggar har CERT-SE publicerat rekommendationer till berörda organisationer i Sverige.
(CERT-SE, 22/6)
https://www.cert.se/2026/06/cert-se-information-gallande-sakerhet-i-brandvaggar.html