Den 1. april 2026 ringede en telefon hos Charter Communications. En medarbejder tog den. Otte uger og 40 millioner kundedata senere oplyste virksomheden offentligheden om, at opkaldet ikke kom fra IT-afdelingen. Det kom fra ShinyHunters, og det var nok til at kompromittere hele Spectrums Salesforce-miljø via et enkelt Microsoft Entra ID-login.
Angrebet mod Charter Communications, der driver telebrandet Spectrum og betjener mere end 32 millioner kunder i over 40 amerikanske delstater, er et af 2026’s mest skærpende eksempler på, hvordan identitetsbaserede angreb har erstattet malware som den primære adgangsmetode. Ingen zero-day exploit. Ingen ransomware-payload. Blot et overbevisende telefonopkald, et kompromitteret Microsoft Entra-kontonavn og en Salesforce-eksport, der ifølge ShinyHunters indeholdt 40 til 42 millioner poster.
Et telefonopkald var nok
Angrebet fulgte en alarmerende enkel skabelon. ShinyHunters ringede til en Charter-medarbejder og udgav sig for at tilhøre virksomhedens IT-afdeling. Teknikken kaldes vishing (voice phishing) og udnytter tillid frem for tekniske svagheder. Medarbejderen oplyste legitimationsoplysninger eller godkendte en MFA-anmodning, og angriberne fik dermed adgang til vedkommendes Microsoft Entra ID-konto.
Microsoft Entra ID fungerer som en central identitetsudbyder i mange store organisationers infrastruktur. Med enkeltlogin (SSO) åbner en kompromitteret Entra-konto automatisk dørene til alle tilknyttede applikationer, herunder Salesforce. Det var præcis dette scenarie, ShinyHunters udnyttede. Gruppen loggede ind i Charters Salesforce-instans via SSO og begyndte at eksportere kundedata i stor skala.
Charter oplyste ikke offentligheden om hændelsen den 1. april. Virksomheden afslørede hændelsen den 26. maj 2026, dagen før ShinyHunters’ betalingsfrist udløb den 27. maj 2026, og kun efter gruppen havde offentliggjort Charter på sin lækageside med en klar deadline: betal, eller dataene frigives.
Angrebet trin for trin: fra telefon til Salesforce-eksport
Rekonstruktionen af angrebet, baseret på ShinyHunters’ egne beskrivelser og Charters efterfølgende udmeldinger, giver et klart billede af, hvordan identitetsbaserede angreb udfoldes i praksis anno 2026.
Trin 1, social engineering: Et overbevisende telefonopkald overbeviste en medarbejder om at udlevere legitimationsoplysninger eller godkende en adgangsanmodning. Trin 2 var kontoovertagelse via Microsoft Entra. Med adgang til medarbejderens Microsoft Entra ID-konto fik gruppen SSO-adgang til Charters samlede SaaS-infrastruktur. Trin 3 var masseeksport fra Salesforce, hvorfra gruppen hentede kundeoptegnelser inklusiv navne, e-mailadresser, hjemmeadresser, telefonnumre, Spectrum-plandetaljer og historik fra kundesupportbilletter.
ShinyHunters hævder desuden at have fået adgang til Customer Proprietary Network Information (CPNI), regulerede telekomdata der dækker opkaldsoplysninger og abonnementsoplysninger. Charter bestrider dette. Trin 4 var afpresning via en lækageside med betalingsfrist. Trin 5, offentliggørelse, skete 55 dage efter det første brud.
Det bemærkelsesværdige ved sekvensen er den fuldstændige fravær af teknisk kompleksitet. Ingen exploit-kode, ingen malware, ingen zero-day sårbarhed. Et overbevisende telefonopkald var den eneste tekniske forudsætning for at kompromittere en virksomhed med 32 millioner kunder.
Hvad blev lækket: 40 millioner poster eller mere
Omfanget af de kompromitterede data er stadig omdiskuteret. ShinyHunters hævder 40 til 42 millioner poster, et antal der overstiger Charters samlede aktive kundebase på 32 millioner og dermed formodentlig inkluderer tidligere kunder og potentielle kunder. Scott+Scott Attorneys at Law LLP, der undersøger sagen med henblik på mulig sagsanlæg, anfører op til 40 millioner berørte kunder i deres officielle beskrivelse af hændelsen.
De eksponerede datakategorier ifølge ShinyHunters inkluderer fulde kundenavne, e-mailadresser tilknyttet Spectrum-konti, fysiske serviceadresser, telefonnumre og telefontype, Spectrum-planoplysninger herunder internetpakke og videotjenester, historik fra kundesupportbilletter med både kundernes og agenternes beskeder, og potentiel CPNI.
Charters officielle udmelding lyder: “Only sales tools used to manage current, past and prospective Business customers were impacted; no CPNI or sensitive PI was released by the threat actor.” ShinyHunters bestrider denne karakteristik med screenshots som dokumentation og har offentliggjort datapakken efter at betalingsfristen udløb uden reaktion fra Charter.
ShinyHunters’ serieangreb: fem ofre på under 60 dage
Charter-hændelsen var ikke et isoleret angreb. ShinyHunters gennemførte i foråret 2026 en systematisk kampagne mod en række store virksomheder med præcis den samme metodologi: social engineering mod en enkelt medarbejder, kompromittering af en cloud-identitetsudbyder og efterfølgende masseeksport fra Salesforce via SSO.
Ifølge analyser fra cybersikkerhedsvirksomheden Gblock ramte gruppen Charter, 7-Eleven, ADT, Instructure og Vimeo med stort set identisk metodologi inden for under 60 dage. Instructure-angrebet, der kostede Canvas-platformen 3,65 terabyte data og potentielt 275 millioner optegnelser fra uddannelsesinstitutioner, beskrives som det hidtil største databrud i uddannelsessektoren globalt.
Mønsteret er effektivt og skalerbart. Social engineering kræver ingen avanceret teknisk ekspertise. Det kræver blot en overbevisende stemme, kendskab til en virksomheds interne terminologi og en medarbejder, der mangler vishing-awareness-træning. Når SSO-adgangen er opnået, er resten automatiseret.
| Virksomhed | Dato (2026) | Angrebsvektor | Eksponerede poster | Eksponerede datatyper |
|---|---|---|---|---|
| Charter Communications (Spectrum) | 1. april | Vishing, Microsoft Entra, Salesforce SSO | 40-42 mio. | Navne, adresser, planer, supportbilletter, CPNI (bestridt) |
| Instructure (Canvas LMS) | Maj 2026 | Salesforce SSO-kompromittering | 275 mio. (3,65 TB) | Uddannelsesdata, personoplysninger |
| ADT Security | Foråret 2026 | Social engineering, SaaS-adgang | Ikke offentliggjort | Kunde- og alarmdata |
| 7-Eleven | Foråret 2026 | SSO-baseret SaaS-eksport | Ikke offentliggjort | Kundeoplysninger |
| Vimeo | Foråret 2026 | Identitetsbaseret SaaS-angreb | Ikke offentliggjort | Bruger- og kontodata |
Microsoft Entra som angrebsflade: SSO er den nye perimeter
Microsoft Entra ID, tidligere Azure Active Directory, er identitetsplatformen bag størstedelen af store organisationers cloud-infrastruktur. Virksomheder over hele verden, herunder et stort antal danske og nordiske organisationer, bruger Entra som SSO-gateway til Microsoft 365, Salesforce, Teams, SAP og hundredvis af andre SaaS-applikationer.
Problemet med SSO er, at det er designet til bekvemmelighed. Et enkelt login giver adgang til alle tilknyttede applikationer, og det er netop dette centraliseringspunkt, der gør SSO-systemer til et attraktivt mål. Når en angriber kompromitterer SSO-legitimationsoplysningerne, opnår de ikke adgang til én applikation, men til alle applikationer forbundet til identitetsudbyderen.
IBM X-Force rapporterede i 2026 om en stigning på 44 procent år over år i udnyttelsen af internet-eksponerede applikationer. Leverandørkæder og tredjepartsintegrationer er firedoblet som angrebsvektor over de seneste fem år. Vishing og social engineering fungerer som det menneskelige indgangspunkt til denne digitale infrastruktur, og de er statistisk mere effektive end tekniske exploits mod opdaterede systemer.
World Economic Forums Global Cybersecurity Outlook 2026 dokumenterer en forværret global cybersikkerhedsposture: 31 procent af de adspurgte organisationer rapporterer lav tillid til deres nations evne til at reagere på større cyberhændelser, op fra 26 procent i 2025. NGO’er rapporterer 37 procents utilstrækkelig cyberresiliens, den offentlige sektor 23 procent og den private sektor 11 procent.
Nordisk perspektiv: dansk infrastruktur og Microsoft 365
Charter-angrebet er en amerikansk hændelse, men angrebsmetoden er fuldstændig overførbar til dansk og nordisk kontekst. Danske offentlige myndigheder, kommuner, hospitaler, finansielle institutioner og private virksomheder bruger Microsoft Entra ID som central identitetsudbyder i Microsoft 365-miljøet. En vishing-kampagne rettet mod en dansk medarbejder med adgang til en kritisk SaaS-applikation ville kunne gennemføres med præcis den samme metodologi.
DNV’s Nordic Cyber Resilience Report 2026 dokumenterer 41 sporede cyberhændelser i Danmark i 2025, sammenlignet med 60 i Sverige, 44 i Finland og 21 i Norge. Rapporten fremhæver uklar ejerskab af cybersikkerhed som den centrale svaghed i dansk kritisk infrastruktur. Ledere i kritiske sektorer betragter ofte national cyberresiliens som andres ansvar, og mange medarbejdere forstår ikke deres individuelle rolle i at beskytte organisationen.
Det er præcis det miljø, vishing-angreb trives i. Social engineering fungerer bedst, når medarbejdere mangler bevidsthed om truslen, og når virksomhedens sikkerhedsprocedurer ikke inkluderer robuste verifikationsmekanismer for telefonbaserede anmodninger om adgang.
| Land | Cyberhændelser i 2025 | Primær svaghed (DNV 2026) | Andel der ser resiliens som “andres ansvar” |
|---|---|---|---|
| Sverige | 60 | Hverdagslivet påvirket for 1 ud af 5 borgere | 54% af ledere i kritiske sektorer |
| Finland | 44 | Modenhed kan føre til selvtilfredshed | 65% oplever stigende angrebsforsøg |
| Danmark | 41 | Uklar ejerskab af cybersikkerhed | Ledere betragter national resiliens som andres ansvar |
| Norge | 21 | Lav bevidsthed om rolle i kritisk infrastruktur | 52% af ledere, 32% ved ikke om de er i kritisk infrastruktur |
GDPR og NIS2: 55-dages forsinkelsen ville koste i Europa
Charter Communications er en amerikansk virksomhed underlagt FCC-regler om CPNI. For europæiske virksomheder, der oplever identiske angreb, er det juridiske landskab anderledes og potentielt langt mere byrdefuldt.
Under GDPR skal databrud der medfører risiko for de registreredes rettigheder og friheder anmeldes til den relevante databeskyttelsesmyndighed inden 72 timer efter opdagelse. I Danmark er det Datatilsynet. Charter opdagede bruddet i april men orienterede ikke offentligheden i 55 dage. En tilsvarende forsinkelse fra et europæisk selskab ville sandsynligvis medføre en alvorlig GDPR-sanktion på op til 4 procent af global omsætning eller 20 millioner euro, alt afhængig af hvad der er størst.
Under NIS2, der trådte i kraft i EU i 2024, er kravene yderligere skærpet for organisationer i kritiske sektorer. Teleudbydere, energiselskaber, hospitaler og finansielle institutioner er alle NIS2-dækkede og skal implementere robuste foranstaltninger mod netop sociale ingeniørangreb og identitetskompromittering. NIS2 kræver hændelses-anmeldelse inden 24 timer, med fuldstændig rapport inden 72 timer og detaljeret efterforskning inden en måned.
Ifølge en analyse fra 2026 er kun 16 procent af de 6.000 NIS2-dækkede danske virksomheder fuldt forberedt på kravene. For de resterende 84 procent udgør vishing-angreb mod Microsoft Entra en direkte, konkret trussel mod både driftsikkerhed og regulatorisk compliance.
Eksperternes vurdering: menneskelig svaghed som primær angrebsvektor
Samuel Ayodele Adewole, sikkerhedsekspert og bidragyder til ISACA’s Danmark-kapitel, beskrev i februar 2026 det bredere billede af geopolitisk motiverede cyberangreb og deres implikationer for dansk infrastruktur: “Vi er mål for struktureret, politisk motiveret cyberkrigsførelse, der vil fortsætte, så længe Danmark og vestlige allierede følger deres nuværende udenrigspolitik. Den teknologiske udvikling i form af agentic AI ændrer fundamentalt begge siders angreb og forsvar.”
TrueSec, den svenske cybersikkerhedsvirksomhed der analyserede OpDenmark-kampagnen mod Danmark i januar 2026, sætter CharterMetoden ind i en bredere kontekst for nutidens angribere. TrueSec karakteriserer moderne trusselsgrupper som “sandsynligvis statsalignerede, men ikke statsfinansierede” på den geopolitiske side, mens kommercielt motiverede grupper som ShinyHunters opererer uden statslig opbakning men med høj teknisk effektivitet og klare monetære motiver. Fælles for begge typer er den stigende brug af social engineering som primær adgangsvektor.
Scott+Scott Attorneys at Law LLP, der leder den juridiske undersøgelse af Charter-bruddet med henblik på potentielt sagsanlæg, placerer ansvaret tydeligt: hændelsen opstod på grund af “Charters manglende evne til at beskytte kundernes personlige oplysninger” som følge af vishing-angrebet. Det centrale argument er ikke, at angriberne var teknisk sofistikerede, men at Charter ikke havde tilstrækkelige menneskelige sikkerhedsprocesser på plads til at forhindre dem.
Falconer Security, der analyserer geopolitiske cybertrusler mod nordiske SMV’er, konkluderer i en rapport fra marts 2026 baseret på DNV’s data: “Angreb via identitetssystemer og sociale ingeniørmetoder udgør den primære vej ind for moderne trusselsaktører i det nordiske trusselslandskab.” Med 41 til 60 sporede cyberhændelser per nordisk land i 2025 er denne vej i aktiv brug.
Historisk kontekst: fra dumpster diving til vishing via SSO
Social engineering er ikke en ny angrebsmetode, men dens effektivitet og skala er accelereret markant i takt med, at virksomheders IT-infrastruktur er migreret til cloud-baserede identitetssystemer. Den klassiske telecomangreb udviklede sig fra fysisk pretexting og dokumenttyveri i 1990’erne til phishing-mails i 2000’erne og 2010’erne. I 2020’erne er vishing kombineret med SSO-angreb den dominerende metode mod store virksomheder.
Den tekniske overgang fra on-premise til cloud har skabt et centralt svagt punkt: identitetsudbyderen. Tidligere krævede angreb adgang til en specifik server på et specifikt netværkssegment. I dag kræver det blot én medarbejders loginoplysninger til ét SSO-system for at opnå potentielt ubegrænset adgang til hele virksomhedens SaaS-portefølje.
Telecomsektoren er særligt sårbar af to grunde. For det første håndterer teleudbydere massive mængder regulerede data med høj markedsværdi for identitetstyveri og SIM-swapping. For det andet har teleudbydere typisk store kundesupportorganisationer med mange medarbejdere, der dagligt besvarer henvendelser fra kunder og kollegaer, og dermed udgør en stor potentiel angrebsflade for vishing.
Konkrete forsvarsstillinger mod vishing og SSO-angreb
Charter-hændelsen demonstrerer, at tekniske sikkerhedsforanstaltninger ikke er tilstrækkelige alene. Et vishing-angreb omgår firewalls, endpoint-detection og netværksovervågning fuldstændigt. Det kræver menneskelig modstandsdygtighed og tekniske barrierer mod kontoovertagelse i kombination.
Phishing-resistent MFA: Implementering af hardware-sikkerhedsnøgler (FIDO2/WebAuthn) eller passkeys fjerner muligheden for, at angribere kan overbevise medarbejdere til at godkende en MFA-anmodning via telefon. Konventionelle OTP-baserede MFA-metoder er sårbare over for realtids-phishing og social engineering, fordi angriberen kan bede offeret om at læse engangskoden op under samtalen.
Zero Trust Conditional Access i Entra: Microsoft Entra bør konfigureres med Conditional Access-politikker, der kræver enhedsoverholdelse, netværkslokation og anomalitetsdetektering ved enhver loginanmodning. Usædvanlige logins fra nye enheder eller lokationer bør kræve yderligere stærk autentificering, selv for interne SaaS-applikationer som Salesforce.
Vishing-awareness-træning: Medarbejdere skal kende proceduren for verifikation af interne IT-henvendelser. Ingen legitim IT-afdeling beder om adgangskoder eller MFA-godkendelse via telefon. Proceduren bør inkludere tilbagekald via verificeret nummer fra virksomhedens interne katalog og eskalering ved mistanke.
Privilegeret adgangsstyring og eksportkontrol: Medarbejdere med adgang til systemer med millioner af kundeposter bør have minimumsprivilegier og kræve yderligere godkendelse for masseeksport. Charters Salesforce-miljø tillod åbenbart en enkelt kompromitteret SSO-konto at eksportere 40 millioner poster uden yderligere verifikation.
Anomalidetektion på SaaS-lag: Microsoft Entra ID Protection og Salesforce Shield tilbyder begge anomalibaserede advarselssystemer for usædvanlige dataeksporter. Aktiv overvågning og korrekt konfiguration af disse systemer ville potentielt have fanget ShinyHunters’ Salesforce-eksport langt tidligere end de 55 dage, det tog Charter at opdage og reagere.
5 forudsigelser for vishing og identitetsangreb frem til 2027
1. AI-assisteret vishing skalerer angrebene markant: Voice-cloning og sprogmodeller gør det muligt for angribere at generere overbevisende stemmer og scripts på ethvert sprog, herunder dansk. Inden udgangen af 2026 vil AI-assisterede vishing-angreb udgøre en større andel af vellykkede SSO-kompromitteringer end manuelle angreb, fordi de kan skaleres og personaliseres til en brøkdel af den hidtidige omkostning.
2. Microsoft Entra og Okta forbliver primære mål: SSO-udbydere er det centrale angrebspunkt, fordi de giver adgang til hele SaaS-porteføljen via et enkelt kompromitteret login. Frem til udgangen af 2027 vil minimum fem større databrud med over 10 millioner poster involvere social engineering mod en cloudidentitetsudbyder.
3. FIDO2 og passkeys-adoption accelererer: Charter-hændelsen og den bredere SSO-kampagne fra ShinyHunters vil drive accelereret adoption af phishing-resistente MFA-metoder. Inden udgangen af 2026 vil mindst to europæiske landes cybersikkerhedsmyndigheder udstede formelle anbefalinger om udfasning af OTP-baserede MFA-metoder i kritiske sektorer.
4. Salesforce-eksportkontrol bliver regulatorisk fokus: Databeskyttelsesmyndigheder i EU vil sandsynligvis udstede vejledning om dataeksportkontroller i CRM-systemer inden udgangen af 2026, med Charter og Canvas som konkrete eksempler i argumentationen.
5. Nordiske NIS2-investeringer skifter fokus til menneskelig sikkerhed: De 84 procent af NIS2-dækkede danske virksomheder, der endnu ikke er fuldt forberedt, vil under pres fra spektakulære vishing-hændelser accelerere investeringerne i sikkerhedsbevidsthedstræning frem for udelukkende tekniske kontroller. Menneskelig sikkerhed vil dominere NIS2-implementeringsagendaen i 2026 og 2027.
Charter mod ShinyHunters: konflikten om CPNI
Den mest kontroversielle dimension af Charter-hændelsen er konflikten om CPNI-data. Customer Proprietary Network Information er i USA reguleret af FCC og dækker call-records, abonnementsoplysninger og brugsdata, der er særligt beskyttede. ShinyHunters hævder, at CPNI er inkluderet i de eksporterede data og understøtter dette med screenshots. Charter bestrider det kategorisk.
Juridisk er sondringen afgørende. CPNI-eksponering hos en amerikansk teleudbyder udløser specifikke FCC-notifikationsforpligtelser og kan resultere i alvorlige sanktioner. Charters hurtige afvisning af CPNI-eksponeringen ses af juridiske eksperter som et forsøg på at begrænse det regulatoriske ansvar, men afvisningen strider mod ShinyHunters’ konkrete dokumentation.
For europæiske observatører er CPNI-debatten sekundær i forhold til spørgsmålet om 72-timers notifikation. Den 55-dages forsinkelse fra brud til offentlig afsløring er uacceptabel under GDPR og ville under normale omstændigheder udløse undersøgelse fra den relevante databeskyttelsesmyndighed. At Charter er en amerikansk virksomhed uden direkte GDPR-forpligtelse ændrer ikke, at det sætter en problematisk standard.
Relateret dækning
Dyk dybere ned i de aktuelle trusler og databeskyttelseskrav
- Cybertrusler i Norden: 166 hændelser, AI driver 70% af angreb [2026]
- NIS2 Danmark: 6.000 virksomheder, kun 16% klar til nye krav [2026]
- Cyberangreb Danmark: OpDenmark kræver 1,5 mia. fra dansk regering [2026]
- DORA i kraft: 1% dagbøde rammer finanssektoren [2026]
- Infostealers stjal 1,8 mia. legitimationsoplysninger i 2025 [2026]
- Guide til onlinesikkerhed: beskyt dine data og konti
Kilder
- Gblock: One Vishing Call Cost Charter 40 Million Customer Records (maj 2026)
- SafeState: Charter Communications Data Breach Exposes 42 Million Records (juni 2026)
- Scott+Scott Attorneys: Charter Communications Data Breach Investigation (maj 2026)
- TechRepublic: ShinyHunters Alleges 42M Records Stolen from Charter (2026)
- ISACA Denmark Chapter: OpDenmark, When Geopolitics Becomes Cyberwar (februar 2026)
FAQ: vishing, Microsoft Entra og SSO-sikkerhed
Hvad er vishing?
Vishing er voice phishing, angreb der gennemføres via telefon frem for e-mail. Angriberen udgiver sig for at tilhøre virksomhedens IT-afdeling, en leverandør eller en offentlig myndighed for at overbevise medarbejderen om at udlevere loginoplysninger, godkende en MFA-anmodning eller give adgang til interne systemer. Vishing er særlig effektivt, fordi det udnytter menneskelig tillid og sociale normer om hjælpsomhed.
Hvad er Microsoft Entra ID, og hvorfor er det et mål?
Microsoft Entra ID, tidligere Azure Active Directory, er Microsofts cloud-baserede identitets- og adgangsstyringssystem. Det bruges som enkeltlogin-gateway til Microsoft 365, Salesforce, Teams og hundredvis af applikationer. Et kompromitteret Entra-login giver potentielt adgang til alle tilknyttede systemer via SSO, hvilket gør det til et ekstremt attraktivt mål for angribere.
Hvad stjal ShinyHunters fra Charter Communications?
ShinyHunters hævder at have eksporteret 40 til 42 millioner poster fra Charters Salesforce-instans, herunder navne, e-mailadresser, hjemmeadresser, telefonnumre, abonnementsoplysninger og supportbillethistorik. Charter bekræfter et brud men bestrider, at følsomme data eller CPNI (telekomregulerede oplysninger) blev eksporteret. ShinyHunters bestrider Charters udmelding med screenshots.
Hvad betyder Charter-hændelsen for danske virksomheder?
Vishing-angreb mod Microsoft Entra ID kan rettes mod enhver organisation, der bruger Microsoft 365, uanset geografi. Danske virksomheder i NIS2-dækkede sektorer har en pligt til at implementere kontroller mod netop denne type angreb. En tilsvarende hændelse hos en dansk virksomhed ville udløse GDPR 72-timers notifikationspligt og potentiel NIS2-sanktion.
Hvad er den mest effektive beskyttelse mod vishing?
Den mest effektive tekniske foranstaltning er phishing-resistent MFA via FIDO2/WebAuthn-nøgler eller passkeys, som ikke kan godkendes over telefon. Kombineret med Zero Trust Conditional Access i Microsoft Entra, vishing-awareness-træning for alle medarbejdere og aktiv anomalidetektion på SaaS-lag giver dette den bedste beskyttelse mod den angrebsvektor, ShinyHunters brugte mod Charter.
Hvad er NIS2’s krav ved et vishing-angreb mod kritisk infrastruktur?
Hvis et vishing-angreb kompromitterer en NIS2-dækket organisation og medfører en hændelse med væsentlig indvirkning, kræver NIS2 anmeldelse til national sikkerhedsmyndighed inden 24 timer, fuldstændig rapport inden 72 timer og detaljeret efterforskning inden en måned. En forsinkelse som Charters 55 dage ville udgøre en alvorlig overtrædelse.
Hvem er ShinyHunters, og hvad er deres modus operandi?
ShinyHunters er en kommercielt motiveret cyberkriminel gruppe med dokumenteret historik for storskalerede databrud. Gruppen har i foråret 2026 gennemført en serieangrebs-kampagne mod store virksomheder via social engineering og SSO-kompromittering, herunder Charter Communications, Instructure, ADT, 7-Eleven og Vimeo inden for under 60 dage. Gruppen opererer via afpresning og salg af eksfiltrerede data.
