Den 6. februar 2026 bekreftet Politiets sikkerhetstjeneste (PST) noe norske sikkerhetsmiljøer hadde fryktet i over et år: den kinesiske statsstøttede hackergruppen Salt Typhoon har kompromittert sårbare nettverksenheter i norske virksomheter. Bekreftelsen kom i PSTs Nasjonale trusselvurdering 2026, og gjorde Norge til det første skandinaviske landet som offentlig knytter sitt eget navn til den globale spionasjekampanjen som amerikanske myndigheter har kalt det groveste telekom-innbruddet i USAs historie.
Saken er ikke et isolert innbrudd. Den er toppen av en bølge. Ifølge sikkerhetsselskapet DNV ble 21 norske organisasjoner rammet av registrerte cyberhendelser i 2025, mens Norden samlet talte 166 hendelser fordelt på Sverige (60), Finland (44), Danmark (41) og Norge (21). Salt Typhoon er det mest synlige uttrykket for en strukturell endring: avanserte statsaktører har flyttet fokus fra engangstyveri av data til vedvarende, skjult tilgang i kjerneinfrastruktur. Denne analysen går gjennom hva som faktisk skjedde, hvem som står bak, hvordan de kom inn, og hva det betyr for norsk og nordisk digital sikkerhet resten av 2026.
Hva PST faktisk bekreftet 6. februar 2026
Trusselvurderingen ble lagt frem samtidig av PST, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet (NSM). I dokumentet beskriver PST Salt Typhoon som «et eksempel på en aktør som har kompromittert sårbare nettverksenheter i norske organisasjoner», og legger til at amerikanske myndigheter karakteriserer gruppen som spesialisert på cyberoperasjoner mot telekommunikasjonsinfrastruktur.
PST-sjef Beate Gangås understreket at den samlede etterretningstrusselen mot Norge er «betydelig», og at fremmede stater bruker sammensatte virkemidler på norsk jord, fra cyberoperasjoner til påvirkning og sabotasje. Vurderingen peker eksplisitt på Kina, Russland og Iran som de tre statene med størst etterretningsaktivitet rettet mot Norge. Kinesiske cyberoperasjoner forventes å forbli en av Norges mest betydelige etterretningstrusler gjennom hele 2026.
Det PST ikke gjorde, var å navngi de rammede virksomhetene eller oppgi nøyaktig antall. Det er bevisst. Salt Typhoon-operasjoner handler om vedvarende tilgang, ikke umiddelbar skade, og offentlig navngiving kan både skade etterforskning og avsløre hva myndighetene vet. Denne tilbakeholdenheten er i seg selv en del av historien: omfanget er sannsynligvis større enn det som er bekreftet.
Hvem er Salt Typhoon?
Salt Typhoon er navnet Microsoft bruker på en kinesisk statsstøttet trusselaktør som har vært aktiv siden minst 2019. Andre sikkerhetsmiljøer sporer den samme aktiviteten under navn som GhostEmperor og FamousSparrow. Gruppen knyttes til kinesisk etterretning, og PSTs vurdering peker på at private kinesiske cybersikkerhetsselskaper spiller en sentral rolle i statlige operasjoner. Det visker ut skillet mellom kommersielle aktører og statsapparat.
Det som skiller Salt Typhoon fra mer opportunistiske kriminelle grupper, er tålmodigheten. Der løsepengevirus-bander vil ha rask uttelling, jakter Salt Typhoon på langvarig, usynlig posisjonering i nettverk som bærer samfunnskritisk kommunikasjon. Målet er etterretning: hvem snakker med hvem, hva sier de, og hvilke metadata kan kartlegges over tid. Det gjør gruppen vanskeligere å oppdage og langt farligere på strategisk nivå enn en typisk datalekkasje.
Slik kom hackerne inn: sårbare nettverksenheter og CVE-er
Salt Typhoons inngangsport er nettverksenheter som står eksponert mot internett: rutere, brannmurer, VPN-konsentratorer og kantenheter fra leverandører som Cisco, Fortinet og Ivanti. Disse enhetene er attraktive fordi de ofte mangler endepunktbeskyttelse, sjelden patches like raskt som servere, og gir dyp tilgang til trafikken som passerer gjennom dem.
Internasjonalt har gruppen blitt knyttet til utnyttelse av kjente sårbarheter i Cisco IOS XE, blant annet CVE-2023-20198, en kritisk feil som gir uautorisert tilgang på administratornivå. Etter førstegangstilgang bruker Salt Typhoon i stor grad «living-off-the-land»-teknikker: de utnytter legitime verktøy og funksjoner som allerede finnes på enheten, fremfor å laste opp synlig skadevare. Det gjør at aktiviteten smelter inn i normal drift og kan overleve i måneder eller år.
For norske virksomheter er lærdommen ubehagelig konkret: angrepsflaten ligger ikke nødvendigvis i de ansattes innbokser, men i utdaterte fastvareversjoner på enheter som IT-avdelingen kanskje knapt vet at de har. NSMs nasjonale cybersikkerhetssenter (NCSC) gikk i februar 2026 ut og oppfordret norske tjenesteleverandører og teleselskaper til å oppdatere fastvare og gjennomgå tilgangslogger.
Telekom i kikkerten: fra AT&T til norske operatører
Salt Typhoon ble verdenskjent gjennom angrepene på amerikansk telekom. I løpet av 2024 og 2025 brøt gruppen seg inn hos store amerikanske operatører, deriblant AT&T, Verizon og Lumen. Amerikanske myndigheter har omtalt minst ni teleselskaper som rammet. Gjennom denne tilgangen kunne aktøren nå systemer brukt til lovlig avlytting og potensielt overvåke kommunikasjonen til høytstående politikere.
Den amerikanske senatoren Mark Warner, leder av Senatets etterretningskomité, beskrev kampanjen som «det verste telekom-innbruddet i vår nasjons historie». FBIs ledelse bekreftet i februar 2026 at Salt Typhoons operasjoner fortsatt er «svært aktive». At den samme aktøren nå er bekreftet inne i norske nettverksenheter, er derfor ikke en kuriositet, men en bekreftelse på at Norden er en del av det samme operasjonsteateret.
Hvorfor telekom? Fordi den som kontrollerer ruterne, kontrollerer metadataene. En aktør med tilgang til en operatørs kjernenett trenger ikke å knekke kryptering for å vite hvem som ringer hvem, når, hvor ofte og fra hvilken lokasjon. For en etterretningstjeneste er dette gull. Norge, med sin geografiske nærhet til russisk territorium og sin rolle i NATO og energiforsyning, er et naturlig mål.
Norden i tall: hvor utsatt er regionen?
DNVs nordiske cybersikkerhetsrapport for 2026 gir det klareste tallmaterialet på regionens eksponering. Tallene under viser registrerte cyberhendelser mot organisasjoner i de fire største nordiske landene i 2025. Norge fremstår som minst rammet i antall, men eksperter advarer mot å lese dette som trygghet: lavere tall kan like gjerne reflektere underrapportering som lavere reell eksponering.
| Land | Cyberhendelser 2025 | Andel av nordisk total | Mest utsatte sektorer |
|---|---|---|---|
| Sverige | 60 | 36 % | Industri, offentlig sektor |
| Finland | 44 | 27 % | Telekom, helse |
| Danmark | 41 | 25 % | Maritim, finans |
| Norge | 21 | 13 % | Energi, telekom |
| Norden totalt | 166 | 100 % | Tverrsektorielt |
Tallene forteller en historie om en region som angripes bredt og samtidig. At Sverige har nesten tre ganger så mange registrerte hendelser som Norge, henger sammen med landets større industribase og NATO-medlemskap fra 2024, som har gjort svensk infrastruktur til et mer fremtredende mål for både russiske og kinesiske aktører. Finland, med over 1300 kilometer grense mot Russland, ser et tilsvarende forhøyet trusselbilde, særlig mot telekom og helse.
Salt Typhoon vs Volt Typhoon: to kinesiske strategier
For å forstå hvor alvorlig Salt Typhoon er, må man skille gruppen fra sin mer beryktede søsteraktør Volt Typhoon, og fra andre kjente APT-grupper. Forskjellen ligger i hensikt. Salt Typhoon driver spionasje gjennom telekom. Volt Typhoon posisjonerer seg i kritisk infrastruktur for mulig sabotasje i en fremtidig konflikt. Russiske og iranske grupper opererer etter andre logikker igjen.
| Gruppe | Opphav | Primært mål | Hovedmetode | Strategisk hensikt |
|---|---|---|---|---|
| Salt Typhoon | Kina | Telekom, nettverksenheter | CVE-utnyttelse, living-off-the-land | Etterretning og avlytting |
| Volt Typhoon | Kina | Energi, vann, transport | Vedvarende skjult tilgang | Forhåndsposisjonering for sabotasje |
| APT41 | Kina | Programvare, helse | Forsyningskjedeangrep | Spionasje og økonomisk vinning |
| APT29 (Cozy Bear) | Russland | Myndigheter, diplomati | Phishing, skytjenester | Politisk etterretning |
Skillet er ikke akademisk. Det avgjør hvordan en virksomhet bør forsvare seg. Mot Salt Typhoon handler forsvar om å redusere eksponert angrepsflate på nettverksenheter og overvåke unormal trafikk i kjernenettet. Mot Volt Typhoon handler det om å beskytte styringssystemer (OT) i energi og vann mot manipulasjon. En norsk energiaktør må i praksis forholde seg til begge samtidig, slik vi har sett i analysen av nordisk energisektor og OT-sikkerhet.
Ekspertene advarer
Reaksjonene fra fagmiljøene har vært samstemte i alvorsgraden. Beate Gangås, sjef for PST, knyttet Salt Typhoon til et bredere bilde da hun la frem trusselvurderingen: etterretningstrusselen mot Norge er «betydelig», og fremmede stater bruker sammensatte virkemidler mot norske mål gjennom hele året.
«Den kinesiske cyberaktøren Salt Typhoon er et eksempel på en aktør som har kompromittert sårbare nettverksenheter i norske organisasjoner.»
PST, Nasjonal trusselvurdering 2026
Den finske sikkerhetsveteranen Mikko Hyppönen, mangeårig forskningssjef i WithSecure, har gjentatte ganger beskrevet kinesiske statsaktørers dype og vedvarende tilgang til kritisk infrastruktur som en av tidens definerende trusler. Poenget hans er at denne typen tilgang er stille: den merkes ikke før den utnyttes, og da kan det være for sent.
Det amerikanske industrisikkerhetsselskapet Dragos har dokumentert en markant økning i cybertrusler på tvers av Norden, og advarer spesifikt mot risikoen for «wiper»-skadevare som kan slette systemer, etter mønster fra angrep sett i Ukraina. I en stikkprøve av 30 internett-eksponerte VPN-enheter hos nordiske fornybaraktører fant Dragos at 54 prosent var Cisco SSL VPN og 27 prosent Citrix, nettopp den typen kantenheter Salt Typhoon foretrekker.
Den røde tråden fra ekspertene er at Norden ikke lenger kan regne seg som en perifer del av verdens trusselbilde. Regionen er et primærmål, ikke en tilskuer.
Historisk kontekst: fra spredte angrep til vedvarende tilgang
Salt Typhoon-saken markerer et skifte som har bygget seg opp over et tiår. Tidlig på 2010-tallet handlet de mest omtalte angrepene mot Norge om datatyveri og industrispionasje med relativt synlige spor. Helsedataangrepet mot Helse Sør-Øst i 2018 og det mye omtalte innbruddet i Stortingets e-postsystemer i 2020 viste at norske institusjoner var i søkelyset, men angrepene var ofte avgrensede i tid.
Det nye med Salt Typhoon er varigheten og dybden. I stedet for å bryte seg inn, stjele og forsvinne, etablerer aktøren seg permanent i infrastrukturen. Dette er en utvikling fra «hendelse» til «tilstand». For sikkerhetsledere betyr det at spørsmålet ikke lenger er om man blir angrepet, men om man allerede er kompromittert uten å vite det. Den erkjennelsen ligger til grunn for hele tankegangen bak nulltillit-arkitektur og kontinuerlig overvåking.
Bekreftelsen i 2026 føyer seg inn i et mønster av eskalerende hendelser i Norge, fra cyberangrepet mot demmen i Bremanger til den bredere AI-drevne trusselbølgen vi har dokumentert i analysen av cyberangrep mot Norge og AI-trusselen.
Markedseffekt: hva trusselen koster Norden
Salt Typhoon-bekreftelsen treffer et marked som allerede er i kraftig vekst. Norske og nordiske virksomheter øker sikkerhetsbudsjettene, og etterspørselen etter spesialister på nettverkssikkerhet, trusseljakt og hendelseshåndtering overstiger tilbudet. Mangelen på kvalifisert personell driver lønninger opp og presser flere virksomheter mot administrerte sikkerhetstjenester (MSSP).
De direkte kostnadene ved en kompromittering av typen Salt Typhoon driver, er vanskelige å tallfeste fordi skaden er etterretningsmessig snarere enn operasjonell. Men de indirekte kostnadene er reelle: full utskifting og herding av nettverksenheter, eksterne granskninger, juridisk eksponering under personvernregelverk og NIS2, samt tap av tillit hos kunder og partnere. For en mellomstor norsk virksomhet kan en grundig opprydning etter et statsstøttet innbrudd lett løpe opp i flere millioner kroner.
Det skapes også et marked på leverandørsiden. Etterspørselen etter sikre kantenheter, fastvare med verifiserbar integritet og verktøy for kontinuerlig overvåking av nettverksenheter vokser. For nordiske sikkerhetsselskaper representerer den økte trusselen både en kostnad og en forretningsmulighet.
Energisektoren: det neste store målet
NSM peker på energi og telekom som de mest utsatte sektorene i 2026, og det er ikke tilfeldig. Norden er en energistormakt: norsk vannkraft og gass, svensk og finsk kjernekraft, og en raskt voksende fornybarsektor med havvind og batterilagring. Denne infrastrukturen er digitalisert, sammenkoblet og dermed eksponert.
Dragos’ funn om at over halvparten av de undersøkte fornybar-VPN-ene var Cisco SSL VPN, illustrerer problemet konkret. Mange fornybaraktører er nyetablerte, vokser raskt og har ikke samme modne sikkerhetskultur som tradisjonelle kraftselskaper. Samtidig styrer de stadig større deler av strømnettet. En aktør som Salt Typhoon kan bruke en sårbar VPN hos en liten vindparkoperatør som inngang til langt mer sensitive systemer lenger inne i verdikjeden.
Skillet mellom spionasje og sabotasje blir her flytende. Selv om Salt Typhoon primært driver etterretning, gir tilgangen de skaffer seg også et fundament som en mer destruktiv aktør, for eksempel Volt Typhoon eller russiske grupper, kan bygge videre på. Det er denne overlappen mellom kinesisk posisjonering og russisk sabotasjevilje som bekymrer nordiske myndigheter mest.
NIS2 og det regulatoriske svaret
Salt Typhoon-saken kommer midt i innføringen av EUs NIS2-direktiv, som i Norge implementeres gjennom den nye digitalsikkerhetsloven. Regelverket utvider kraftig hvilke virksomheter som omfattes av krav til risikostyring, hendelsesrapportering og leverandørsikkerhet. Anslag tyder på at rundt 5000 norske virksomheter vil falle inn under det nye regimet.
NIS2 stiller konkrete krav som er direkte relevante for Salt Typhoon-typen trusler: kartlegging av angrepsflate, herding av nettverksutstyr, og rask rapportering av hendelser til myndighetene. Brudd kan straffes med bøter på opptil fire prosent av global omsetning. For ledelsen betyr det at cybersikkerhet ikke lenger kan delegeres bort som et teknisk anliggende, men er et styreansvar. Vi har gått grundig gjennom konsekvensene i analysen av NIS2 i Norge og digitalsikkerhetsloven.
Kritikere påpeker at regelverk ikke stanser statsaktører som Salt Typhoon, og det er riktig. Men NIS2 hever gulvet. Ved å tvinge frem grunnleggende hygiene, som oppdatert fastvare og logging, fjernes de enkleste inngangene gruppen utnytter, og oppdagelsestiden kortes ned.
Slik beskytter virksomheter seg mot Salt Typhoon
Forsvar mot en avansert statsaktør handler ikke om ett enkelt produkt, men om å systematisk fjerne de mulighetene aktøren utnytter. Tre områder peker seg ut.
1. Reduser og herd angrepsflaten
Kartlegg alle internett-eksponerte nettverksenheter, og still spørsmålet: må denne enheten faktisk være tilgjengelig fra utsiden? Administrasjonsgrensesnitt på rutere, brannmurer og VPN-konsentratorer bør aldri eksponeres direkte. Hold fastvaren oppdatert, og prioriter kritiske sårbarheter i kantenheter like høyt som sårbarheter i servere.
2. Overvåk for living-off-the-land-aktivitet
Fordi Salt Typhoon unngår synlig skadevare, må forsvaret se etter unormal bruk av legitime verktøy: uventede konfigurasjonsendringer, ny trafikk fra nettverksenheter, og innlogginger på tidspunkter eller fra lokasjoner som bryter mønsteret. Sentralisert logging fra nettverksutstyret er en forutsetning, ikke et tillegg.
3. Anta kompromittering og segmenter
Bygg nettverket slik at en kompromittert kantenhet ikke gir fri ferdsel innover. Nettverkssegmentering, sterk autentisering mellom soner og prinsippet om minste privilegium begrenser hva en aktør kan nå etter førstegangstilgang. Kombinert med grunnleggende tiltak mot datalekkasjer reduserer dette skadepotensialet betydelig.
5 spådommer for resten av 2026
- Flere nordiske land vil bekrefte Salt Typhoon-tilgang. Norge var først ut i Skandinavia. Sverige, Finland og Danmark vil sannsynligvis følge med egne bekreftelser før året er omme, etter hvert som etterforskninger modnes.
- Energisektoren blir det neste bekreftede målet. Med NSMs varsel og Dragos’ VPN-funn er det høy sannsynlighet for at en konkret hendelse i nordisk energi- eller fornybarinfrastruktur kobles til kinesisk statsaktivitet i løpet av 2026.
- Kantenheter blir hovedslagmarken. Sårbarheter i rutere, brannmurer og VPN-er vil dominere de mest kritiske CVE-varslene, og leverandørene presses mot raskere patching og signert fastvare.
- NIS2 utløser en bølge av sikkerhetsinvesteringer. Når digitalsikkerhetsloven får tenner, vil rundt 5000 norske virksomheter måtte oppgradere overvåking og styring, noe som driver kraftig vekst i markedet for administrerte sikkerhetstjenester.
- Skillet mellom spionasje og sabotasje viskes videre ut. Frykten for at kinesisk posisjonering kan brukes som springbrett for russisk sabotasje vil prege både trusselvurderinger og forsvarsbudsjetter i hele Norden.
Konklusjon: Norden er i frontlinjen
Bekreftelsen av Salt Typhoon i norske nettverksenheter er ikke en enkeltstående nyhet, men en milepæl i en lengre utvikling. Den viser at avanserte statsaktører behandler Norden som en del av samme operasjonsteater som USA og Vest-Europa, og at telekom og energi er de mest utsatte målene. Trusselen er stille, vedvarende og strategisk, og den lar seg ikke løse med ett produkt eller én forskrift.
De gode nyhetene er at de grunnleggende mottiltakene er kjente og oppnåelige: redusert angrepsflate, oppdatert fastvare, logging og segmentering. Salt Typhoon utnytter forsømmelse, ikke magi. For norske og nordiske virksomheter er 2026 året da nettverksenhetenes sikkerhet flytter fra IT-avdelingens periferi til styrets agenda. De som tar det på alvor nå, slipper å lese sitt eget navn i neste trusselvurdering.
Ofte stilte spørsmål
Hva er Salt Typhoon?
Salt Typhoon er en kinesisk statsstøttet hackergruppe som har vært aktiv siden minst 2019. Gruppen spesialiserer seg på cyberspionasje mot telekommunikasjonsinfrastruktur ved å kompromittere sårbare nettverksenheter som rutere, brannmurer og VPN-er.
Når bekreftet PST angrepet mot Norge?
PST bekreftet 6. februar 2026, i den nasjonale trusselvurderingen, at Salt Typhoon har kompromittert sårbare nettverksenheter i norske organisasjoner. Vurderingen ble lagt frem samtidig av PST, Etterretningstjenesten og NSM.
Hvilke virksomheter i Norge er rammet?
PST har ikke offentliggjort navn på de rammede virksomhetene eller eksakt antall. Energi og telekom regnes som de mest utsatte sektorene, og det reelle omfanget antas å være større enn det som er bekreftet offentlig.
Hva er forskjellen på Salt Typhoon og Volt Typhoon?
Begge er kinesiske statsaktører, men med ulik hensikt. Salt Typhoon driver spionasje gjennom telekominfrastruktur. Volt Typhoon posisjonerer seg i kritisk infrastruktur som energi og vann for mulig sabotasje i en fremtidig konflikt.
Hvordan kommer Salt Typhoon seg inn?
Gruppen utnytter kjente sårbarheter i internett-eksponerte nettverksenheter fra leverandører som Cisco, Fortinet og Ivanti. Etter førstegangstilgang bruker de «living-off-the-land»-teknikker med legitime verktøy for å unngå oppdagelse over lang tid.
Hva kan norske virksomheter gjøre for å beskytte seg?
De viktigste tiltakene er å redusere og herde angrepsflaten på nettverksenheter, holde fastvaren oppdatert, overvåke for unormal aktivitet i kjernenettet, og segmentere nettverket slik at en kompromittert enhet ikke gir fri tilgang innover.
Påvirker NIS2 hvordan Norge håndterer denne trusselen?
Ja. EUs NIS2-direktiv, implementert i Norge gjennom digitalsikkerhetsloven, stiller krav til risikostyring, herding av nettverksutstyr og rask hendelsesrapportering for rundt 5000 norske virksomheter, med bøter på opptil fire prosent av global omsetning ved brudd.
Relatert innhold
- Cyberangrep mot Norge: AI-trusselen og 21 angrep i 2026
- Norden: 166 cyberhendelser og hvem som skyver ansvaret
- Nordisk energisektor: 73 % hacket via VPN
- NIS2 i Norge: 5000 virksomheter og digitalsikkerhetsloven
- Cyberangrep mot demmen i Bremanger
- Datalekkasjer: hvordan de skjer og hvordan du beskytter deg
- Nettsikkerhet: datalekkasjer, passord, HTTPS og phishing
Kilder
- PST: Nasjonal trusselvurdering 2026 (PDF)
- TechCrunch: China’s Salt Typhoon hackers broke into Norwegian companies
- The Record: Norwegian intelligence discloses Salt Typhoon attacks
- BankInfoSecurity: Norway says Salt Typhoon hackers hit vulnerable systems
- Regjeringen.no: Presentation of this year’s public threat assessments
