Kinas cyberambitioner driver angreb mod teknologisektoren

Eskil Sørensen
06.15.2026 10:30
Ny CrowdStrike-rapport peger på intensiveret statsstøttet aktivitet og eskalerende eCrime-operationer

Teknologisektoren er fortsat et hovedmål for både cyberkriminelle og statsstøttede aktører. En ny analyse fra CrowdStrike tegner et trusselsbillede præget af systematisk efterretningsindsamling, supply chain-angreb og stigende professionalisering – med Kina-nære aktører i front.

Det fremgår af en nyhed på Crowdstrikes hjemmeside.

Ifølge 2026 Technology Threat Landscape Report stod Kina-nære aktører for over 58 pct af de statsstøttede indbrud mod teknologivirksomheder i perioden april 2025 til marts 2026. Aktører som MURKY PANDA, MUSTANG PANDA og WARP PANDA har et tydeligt mål: adgang til teknologi, immaterielle rettigheder og følsomme data.

Angrebene afspejler ambitioner om teknologisk selvforsyning, hvor især AI vurderes som et centralt mål. Samtidig rettes der fokus mod leverandørkæder for at opnå indirekte adgang til større økosystemer. 

Eksempler fra rapporten:

  • SUNRISE PANDA målrettede mailinfrastruktur i Øst- og Sydøstasien for adgang til regeringskommunikation.
  • MURKY PANDA udførte password-spraying mod over 340 organisationer, herunder mange i techsektoren.
  • WARP PANDA udnyttede sårbarheder til at opretholde vedvarende adgang i nordamerikanske miljøer.

Nordkoreanske aktører opererer via infiltration og open source

CrowdStrike fremhæver også aktiviteter fra nordkoreanske grupper som FAMOUS CHOLLIMA og STARDUST CHOLLIMA.

FAMOUS CHOLLIMA stod for 47 pct. af de statsstøttede “hands-on-keyboard”-operationer og opererer via falske ansættelser i teknologivirksomheder. Fokus er økonomisk, hvor indtægter kanaliseres til regimet.

Samtidig ses supply chain-angreb som STARDUST CHOLLIMA, der kompromitterede npm-pakken Axios, hvilket potentielt eksponerede millioner af brugere.

eCrime intensiverer pres gennem afpresning og adgangssalg

eCrime-aktører stod for 65 pct. af hands-on-keyboard-aktiviteten mod sektoren. Samtidig voksede markedet for adgangssalg markant, hvor adgang til 277 teknologivirksomheder blev udbudt – en stigning på knap 30 pct.

Techvirksomheder dominerer også i afpresningssager:

572 organisationer blev navngivet på læk-sites, langt flere end i andre sektorer.

Udvalgte hændelser:

  • Malware blev distribueret via falske OpenClaw-værktøjer rettet mod AI-interesse.
  • Crimson Collective hævdede tyveri af 570 GB kode fra 28.000 projekter.
  • En aktør bag Glassworm kompromitterede 350 GitHub-repositorier.

Et konstant pres på en central sektor

Rapporten tegner et billede af en sektor under vedvarende pres fra både statslige og kriminelle aktører. Metoderne spænder fra credential-angreb og sårbarhedsudnyttelse til insiderlignende infiltration og manipulation af open source.

Den stigende aktivitet fra adgangsmæglere og afpresningsgrupper peger på et modent og skalerbart cyberkriminelt marked, hvor teknologivirksomheder fortsat er blandt de mest attraktive mål.

Læs mere

Trusselsvurdering