Den 6. februar 2026 gikk Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) ut med en felles pressemelding som rystet norsk cybersikkerhetsmiljø: Salt Typhoon, Kinas mest fryktet statshackere, hadde kompromittert norsk kritisk infrastruktur. Angrepet er ikke et isolert norsk fenomen. Gruppen har brutt seg inn hos over 200 organisasjoner i 80 land siden 2019, og FBI betegner det som ett av de mest alvorlige etterretningsangrep i moderne historie.
For norsk telekomsektor, forvaltning og industri stiller avsløringen spørsmål som ikke kan besvares enkelt: Hvor lenge var angriperne inne? Hvilke data ble eksfiltrert? Og hva gjøres nå for å sikre at det ikke skjer igjen?
PST og NSM bekrefter: Salt Typhoon i norsk infrastruktur
PST og NSM bekreftet 6. februar 2026 at norske nett i kritisk infrastruktur var kompromittert som del av den kinesiske Salt Typhoon-kampanjen. Myndighetene opplyste at angriperne utnyttet sårbare nettverksenheter for å oppnå vedvarende tilgang. Pressmeldingen pekte spesifikt på telekommunikasjon, offentlig forvaltning og industrielle miljøer som påvirkede sektorer.
Ifølge norske tjenester er kinesiske cyberoperasjoner ventet å forbli en av Norges mest betydningsfulle etterretningstrusler gjennom hele 2026. Det er første gang norske myndigheter offentlig navngir Salt Typhoon som aktiv trussel mot norsk infrastruktur, noe som markerer en tydelig eskalering i offentlig åpenhet om statlig cyberspionasje.
Avsløringen kom i samme uke som Singapore bekreftet at alle fire nasjonale telekomselskaper var kompromittert av den samme gruppen. FBI fastslo 6. februar at Salt Typhoon-trusselen fortsatt var “aktiv og pågående”. Senator Maria Cantwell uttalte i samme periode at gruppen trolig fortsatt var inne i amerikanske nettverk.
Hvem er Salt Typhoon? Kinas mest avanserte cybergruppe
Salt Typhoon, også kjent under kodene Earth Estries, GhostEmperor og FamousSparrow, opereres av Kinas Ministerium for Statssikkerhet (MSS). Gruppen har vært aktiv siden minst 2019 og har spesialisert seg på langsiktig cyberespionasje mot telekomleverandører, offentlige organer og kritisk infrastruktur globalt.
FBI fastslo i august 2025 at gruppen hadde kompromittert minst 200 organisasjoner i over 80 land. I USA alene traff angrepene store operatører som AT&T, Verizon, T-Mobile, Lumen og Charter Communications. DHS publiserte i juni 2025 en rapport med tittelen “Salt Typhoon: Data Theft Likely Signals Expanded Targeting”, som varslet om at gruppens ambisjoner strekker seg langt utover USA.
“Salt Typhoon representerer en ny klasse statsspionasje, der angripere holder seg skjult i kritisk infrastruktur over måneder og år, ikke timer og dager,” heter det i Vectra AIs sikkerhetsanalyse fra mai 2026. Gruppen demonstrerer en teknisk sofistikasjon som skiller dem fra de fleste kriminelle aktører: de bruker avansert anti-forensikk, kjernemode-rootkits og tilpassede verktøy for lateral bevegelse i nettverk.
Det som gjør Salt Typhoon særlig farlig, er fokuset på motintelligenssmål. Gruppen er primært interessert i hvem myndighetene overvåker, hvilke kinesiske agenter som er kjent av vestlige tjenester, og hvilke kommunikasjonslinjer som kan avlyttes for strategisk etterretningsgevinst.
Angrepsvektorer: Slik brøt Salt Typhoon seg inn
NSM og PST pekte spesifikt på utnyttelse av sårbare nettverksenheter som inngangsvektor i det norske angrepet. Dette stemmer med det bredere mønsteret dokumentert av FBI og CISA: Salt Typhoon bruker kjente CVE-sårbarheter og enkle konfigurasjonsfeil som startpunkt, og eskalerer derfra til fullstendig nettverkskontroll.
Konkrete teknikker inkluderer modifikasjon av tilgangskontrollister (ACL) for å legge til angriperens IP-adresser, eksponering av tjenester som SSH, RDP og FTP på både standard og ikke-standard porter, samt injeksjon av egne nøkler i eksisterende SSH-tjenester. Denne tilnærmingen gjør det svært vanskelig å skille angripernes tilgang fra legitim administratortrafikk.
For persistent tilgang bruker gruppen Demodex, et Windows-kjerne-modus-rootkit som gir fullstendig fjernkontroll over kompromitterte servere. Rootkitet opererer på et nivå under de fleste antivirusprogrammer og gjør at angriperne kan forbli skjult i nettverk over lang tid, i noen tilfeller mer enn to år uten oppdagelse.
Angrepskjeden ser typisk slik ut:
- Rekognosering mot eksponerte nettverksenheter med kjente CVE-er
- Innledende tilgang via utnyttelse av upatchede enheter eller feilkonfigurasjoner
- Lateral bevegelse mot kjernesystemer (rutere, abonnentdatabaser, administrasjonsplattformer)
- Installasjon av Demodex-rootkit for persistent tilgang
- Exfiltrering av anropsdetaljer, lydopptak og overvåkningsdata
- Anti-forensikk for å slette spor
Salt Typhoon i tall: Skadens globale omfang
| Parameter | Data | Kilde |
|---|---|---|
| Aktiv siden | Minst 2019 | Wikipedia / CISA |
| Ofre totalt | 200+ organisasjoner | FBI, august 2025 |
| Land rammet | 80+ land | FBI, august 2025 |
| Norsk avsløring | 6. februar 2026 | PST / NSM |
| US-telekomofre bekreftet | AT&T, Verizon, T-Mobile, Lumen, Charter | Wall Street Journal, 2024 |
| Singapore-ofre | Alle 4 nasjonale telekomselskaper | FBI, februar 2026 |
| Trusselnivå per FBI | “Aktiv og pågående” per februar 2026 | FBI / The Record |
| DHS-rapport | Juni 2025: “Expanded Targeting” | DHS |
Nordisk cybertrusselbilde: Norge er minst utsatt, men ikke trygg
DNVs rapport “How Cyber Resilient Are the Nordics 2026” tegner et nyansert bilde av cybersikkerheten i Norden. I 2025 ble 21 cyberangrep registrert mot norske organisasjoner, sammenlignet med 60 i Sverige, 44 i Finland og 41 i Danmark. Norge fremstår som minst rammet i absoluttall, men PST og NSM understreker at dette ikke betyr at trusselbildet er lavere: statlige aktører som Salt Typhoon er nettopp designet for å holde seg uoppdaget.
“Lavere antall rapporterte hendelser i Norge betyr ikke nødvendigvis lavere trussel. Det kan like gjerne bety at vi ikke har funnet alt ennå,” sa en kilde nær PSTs vurderingsarbeid til The Record i forbindelse med februar-avsløringen.
NetNordic, som leverer IT-sikkerhetstjenester til nordiske virksomheter, rapporterte i oktober 2025 at regionen opplever en “enestående økning” i lekkede legitimasjonsopplysninger og sensitiv selskapsinformasjon på det mørke nettet. Denne trenden henger direkte sammen med statlig og kriminelt cyberespionasje, og understreker at nordisk infrastruktur er under vedvarende press.
| Land | Registrerte cyberangrep 2025 | Relativ posisjon i Norden | Dominerende trusselaktør |
|---|---|---|---|
| Sverige | 60 | Mest utsatt | Statssponsert / kriminell |
| Finland | 44 | Nest mest utsatt | Statssponsert / kriminell |
| Danmark | 41 | Tredje mest utsatt | Statssponsert / kriminell |
| Norge | 21 | Minst utsatt (rapportert) | Salt Typhoon / statssponsert |
Kilde: DNV “How Cyber Resilient Are the Nordics 2026”, oppdatert juni 2026.
Hva ble stjålet? Samtaledata, avlyttingslogger og motintelligens
Salt Typhoon er ikke ute etter penger. Gruppen opererer med et tydelig etterretningsmål: å samle data om hvem myndigheter og etterretningstjenester kommuniserer med, avlytte spesifikke høyverdimål og kartlegge vestlig motintelligenskapasitet.
Dokumenterte datakategorier som gruppen har eksfiltrert i andre land inkluderer:
- Anropsdetaljer (CDR): Tidsstempler, IP-adresser og telefonnumre
- Lydopptak: Faktiske innspillinger av samtaler mellom utvalgte mål
- Overvåkningsdata: Informasjon om hvem myndighetene selv overvåker lovlig
- Autentiseringstokens: Tilgangsnøkler til systemer og databaser
- Nettverkskonfigurasjoner: Rutingstabeller og arkitekturdata
I USA var angrepet kraftig konsentrert rundt Washington D.C., med fokus på fremtredende regjeringspersoner, politikere og etterretningstjenestemenn. Angriperne kan ha fått tilgang til informasjon om kjente kinesiske agenter og informanter, noe som setter hele motintelligens-operasjoner i fare.
For Norge er det spesielt bekymringsfullt at kritisk telekommunikasjonsinfrastruktur ble kompromittert. Norge huser NATO-kommandostrukturer, er vertskap for alliert militær kommunikasjon og har en strategisk plassering i nordlige farvann som er av stor interesse for kinesisk og russisk etterretning.
Demodex-rootkitet: Teknisk analyse av skjult vedvarende tilgang
Det tekniske verktøyet som skiller Salt Typhoon fra de fleste andre APT-grupper, er Demodex, et Windows-kjernemode-rootkit opprinnelig identifisert av Kaspersky Lab. Rootkitet opererer på det laveste privilegienivået i operativsystemet (ring 0), noe som gir angriperne fullstendig kontroll over vertsmaskinen og muligheten til å skjule prosesser, filer og nettverkstilkoblinger fra sikkerhetsprogramvare som opererer i brukerrommet.
Demodex brukes primært til:
- Fjernkontroll over kompromitterte servere
- Skjuling av angriperens prosesser og nettverksforbindelser
- Omgåelse av antivirusløsninger og EDR-systemer (Endpoint Detection and Response)
- Persistent tilgang som overlever omstart av systemer
I tillegg til Demodex bruker gruppen egenproduserte verktøy for lateral bevegelse i nettverk, der målet er å kontrollere kjerne-rutingssystemer, abonnentdatabaser og sensitive operasjonelle data. Anti-forensikk-teknikker sletter loggoppføringer og endrer filmetadata for å gjøre det vanskeligere for etterforskere å rekonstruere angrepet.
“De opererer på et teknisk nivå der konvensjonelle forsvarsmekanismer simpelthen ikke er tilstrekkelige,” skriver BlackBerrys sikkerhetsteam i sin analyse av Salt Typhoon publisert november 2025. “Deteksjon krever proaktiv jakt i nettverkstrafikk og nettverkstelemetri, ikke kun reaktive endpoint-løsninger.”
Ekspertanalyse: Hva sikkerhetsmiljøet sier om Norges eksponering
Sikkerhetsanalytikere er samstemte i sin vurdering av Salt Typhoon-avsløringen: den viser at ingen allianseland er immun mot kinesisk statsspionasje, uavhengig av størrelse eller geografisk avstand fra geopolitiske konfliktsoner.
Ifølge Vectra AIs sikkerhetsanalyse fra mai 2026 bruker Salt Typhoon “grunnleggende konfigurasjonsfeil og kjente CVE-er som inngangsvektor”, noe som betyr at angrepene i mange tilfeller kunne vært forhindret med grunnleggende sikkerhetsvedlikehold. “Den virkelige utfordringen er ikke teknologi, det er prosess og vedlikehold,” konkluderer rapporten.
BankInfoSecurity siterte i sin dekning av den norske avsløringen februarr 2026 norske tjenestemenn som understreket at PST nå forventer at kinesiske cyberoperasjoner mot Norge vil intensiveres gjennom 2026, ikke avta. Dette er i tråd med det globale mønsteret: hver offentlig avsløring har historisk sett blitt etterfulgt av mer sofistikerte angrepskampanjer.
MeritTalk, som dekker digital infrastruktur for offentlig sektor, konkluderer i sin analyse at forsvar mot Salt Typhoon krever tre obligatoriske tiltak: obligatorisk overholdelse av beste praksis-rammeverk, håndhevelse av multifaktorautentisering på kritiske systemer, og investering i forbedrede systemer for inntrengningsdeteksjon som kan oppdage unormal trafikk i kjernenettverket.
NetNordic, som overvåker nordisk cybertrussel-landskap, advarer i sin rapport fra oktober 2025 at lekkede legitimasjonsopplysninger fra nordiske virksomheter florerer på det mørke nettet: “Trenden er klar: 2025 var et rekordår for eksponerte nordiske bedriftshemmeligheter på kriminelle markeder.” Denne dataen gir statlige aktører som Salt Typhoon et utgangspunkt for phishing og sosial manipulasjon rettet mot høyverdimål.
Norsk og nordisk respons: Hva gjøres for å begrense skaden?
PST og NSM har etter avsløringen varslet en rekke tiltak. Offentlig avsløring i seg selv er ett tiltak: ved å navngi Salt Typhoon offentlig sender Norge et diplomatisk signal til Kina og styrker presset for internasjonale normer mot statlig cyberespionasje.
Operativt har NSM intensivert sin sikkerhetsrådgivning til telekomleverandører og kritisk infrastruktur-operatører. Anbefalingene følger den internasjonale konsensusen: patch kjente sårbarheter umiddelbart, segmenter nettverket for å begrense lateral bevegelse, innfør multifaktorautentisering på alle administrative grensesnitt og implementer deteksjonssystemer som overvåker nettverkstelemetri for unormal atferd.
På nordisk nivå spiller samarbeid gjennom NCSC-samarbeidet (Nordic Computer Security Incident Response Teams) en viktig rolle. North European Cyber Days 2026, planlagt til 3-4. november i Oslo, er allerede satt i sammenheng med Salt Typhoon-avsløringene og forventes å adressere statlig cyberspionasje som ett av hovedtemaene.
EU og ENISA (European Union Agency for Cybersecurity) har på sin side intensivert presset på telekomoperatører i hele Europa etter Salt Typhoon-avsløringene. FCC i USA har gitt telekomselskaper 30 dager på å rapportere eksisterende sikkerhetstiltak, en modell som diskuteres innført i Norden.
Konsekvenser for norsk næringsliv og kritisk infrastruktur
Salt Typhoon-avsløringen treffer norsk næringsliv på tre nivåer. Det første er direkte eksponering: telekomselskaper som Telenor og Telia er åpenbare mål gitt at Salt Typhoon primært angriper telekomleverandører globalt, og begge har infrastruktur i land der gruppen allerede er dokumentert aktiv.
Det andre nivået er indirekte eksponering gjennom leverandørkjeder. Norske industriselskaper, finansinstitusjoner og offentlige organer kommuniserer over telekominfrastruktur som potensielt er kompromittert. Call Detail Records fra disse systemene kan gi angriperne detaljert kunnskap om hvem som kommuniserer med hvem, og når.
Det tredje nivået er langsiktig etterretningsmessig skade. Salt Typhoons fokus på motintelligensdata betyr at skaden fra norges kompromittering ikke begrenser seg til Norge alene. Data om norske etterretningsoperasjoner, allierte samarbeidspartnere og NATO-kommunikasjon kan gi kinesisk etterretning et strategisk overtak som varer i år.
For norsk forsikringsmarked og risikostyring stiller avsløringen nye spørsmål: Standard cyberforsikringer dekker typisk kriminelle angrep, men statssponserte spionasjeoperasjoner faller ofte utenfor dekningsomfanget. Norske virksomheter bør gjennomgå sine forsikringsvilkår nøye i lys av PST/NSM-varselet.
Sammenligning: Salt Typhoon mot andre statssponsorerte trusselaktører
Salt Typhoon er ikke den eneste statssponsorten aktøren som retter seg mot norsk og nordisk infrastruktur. Bremanger-demningen ble ifølge NSM-vurderinger angrepet av russisk-tilknyttede aktører i 2025. Handala-gruppen, knyttet til iranske interesser, gjennomførte et destruktivt angrep mot Stryker i Norge. Likevel skiller Salt Typhoon seg fra disse aktørene på to avgjørende punkter.
For det første er Salt Typhoons primære mål vedvarende tilgang og exfiltrasjon, ikke disrupsjon. Der russiske aktører som Sandworm og iranske grupper bruker destruktive verktøy for å skape kaos, prioriterer Salt Typhoon det å holde seg skjult over tid for å samle etterretning kontinuerlig. Dette gjør dem langt vanskeligere å oppdage, men også mer verdifulle for en statlig sponsor som ønsker langsiktig strategisk innsikt.
For det andre er Salt Typhoon geografisk og sektormessig langt bredere i sin rekkevidde: 80 land og 200+ ofre er tall som overgår de fleste kjente APT-kampanjer. Gruppen angriper ikke bare fiender av Kina, men henter etterretning fra allierte land som Norge, Canada, Singapore og Australia, noe som understreker at statsspionasje ikke respekterer diplomatiske relasjoner.
Tekniske anbefalinger: Slik beskytter du norsk infrastruktur mot Salt Typhoon
Basert på dokumenterte Salt Typhoon-teknikker og offisielle anbefalinger fra CISA, FBI og NSM, er følgende tiltak de mest kritiske for norske telekomoperatører og kritisk infrastruktur-eiere:
- Patch umiddelbart: Salt Typhoon bruker kjente CVE-er som inngangsvektor. Alle eksponerte nettverksenheter (rutere, switcher, VPN-konsentratorer) må patches innen 48 timer etter offentliggjøring av kritiske CVE-er.
- Multifaktorautentisering: Alle administrative grensesnitt mot kritisk infrastruktur må beskyttes med MFA. Passordbasert tilgang er ikke tilstrekkelig mot en aktør som Salt Typhoon.
- Nettverkssegmentering: Kjerne-nettverkssystemer (rutere, abonnentdatabaser) må isoleres fra generelle IT-nettverk for å begrense lateral bevegelse dersom periferien kompromitteres.
- Overvåkning av nettverkstelemetri: Endpoint-sikkerhet er ikke nok mot et kjernemode-rootkit som Demodex. Implementer nettverksbasert anomalideteksjon som kan flagge uvanlig trafikk fra rutingssystemer.
- Revisjon av SSH-konfigurasjoner: Salt Typhoon injiserer egne SSH-nøkler i eksisterende tjenester. Revider alle autoriserte SSH-nøkler og implementer automatisk varsling ved endringer.
- Begrens brukerrettigheter: Prinsippet om minste privilegium (least privilege) må håndheves strengt i alle systemer som håndterer telekomkjerne-infrastruktur.
5 prediksjoner for nordisk cybersikkerhet i kjølvannet av Salt Typhoon
Salt Typhoon-avsløringen vil ha varige konsekvenser for nordisk cybersikkerhet. Basert på det dokumenterte mønsteret av Salt Typhoon-kampanjer og nordiske myndigheters respons, er følgende utviklingstrekk sannsynlige gjennom resten av 2026 og inn i 2027:
1. Økt regulering av telekomsikkerhet i Norden. PST/NSM-avsløringen vil drive frem strengere nasjonale krav til sikkerhet i telekominfrastruktur, sannsynligvis inspirert av FCC-modellen i USA og NIS2-direktivet i EU. Nkom vil trolig få utvidede fullmakter til å stille krav til norske telekomoperatørers sikkerhetstiltak innen utgangen av 2026.
2. Mer åpenhet om statlige cyberangrep. Norge brøt med tradisjonell stillhet da PST og NSM offentliggjorde Salt Typhoon-avsløringen. Dette vil sette press på andre nordiske land, særlig Sverige og Finland, til å gjøre det samme dersom de avdekker tilsvarende kompromittering.
3. Salt Typhoon vil intensivere aktiviteten mot Norden. Historisk har offentlige avsløringer av APT-kampanjer ført til mer sofistikerte oppfølgingsangrep, ikke reduksjon i aktivitet. Norske og nordiske sikkerhetsmyndigheter bør forvente eskalering gjennom høst 2026.
4. Økt investering i nettverksbasert trusseljakt (NDR). Demodex-rootkitets evne til å omgå endpoint-deteksjon vil drive nordiske organisasjoner mot Network Detection and Response (NDR) som primær deteksjonsstrategi for avanserte trusler. Markedet for NDR i Norden forventes å vokse markant gjennom 2026-2027.
5. Diplomatisk respons fra Norden mot Kina. Norges offentlige navngiving av Salt Typhoon som kinesisk statsaktør er i seg selv et diplomatisk signal. Dersom ytterligere bevis om skadens omfang fremkommer, kan nordiske land koordinere diplomatisk protest, muligens i samarbeid med NATO-allierte som allerede har reagert på Salt Typhoon-kampanjen.
Relatert dekning
For dypere innsikt i beslektede temaer, se våre analyser av Nordisk Cyberrapport 2026: 166 angrep i Norden, Ivanti EPMM Zero-Day: CVSS 9.8 og EU-Kommisjonens kompromittering, AI-phishing i Norden: 14x økning i målrettede angrep, Verizon DBIR 2026: Sårbarhetsutnyttelse øker 31%, og Stryker hacket av Handala: 200.000 enheter slettet. For det overordnede trusselbildet, se vår cybersikkerhetsguide.
Ofte stilte spørsmål om Salt Typhoon og Norge
Hva er Salt Typhoon?
Salt Typhoon er en avansert vedvarende trussel (APT)-gruppe operert av Kinas Ministerium for Statssikkerhet (MSS). Gruppen spesialiserer seg på langsiktig cyberespionasje mot telekomleverandører, offentlige organer og kritisk infrastruktur globalt, med aktiv virksomhet siden minst 2019.
Når bekreftet Norge at de var rammet av Salt Typhoon?
PST og NSM bekreftet 6. februar 2026 at norsk kritisk infrastruktur var kompromittert av Salt Typhoon-kampanjen. Angrepet ble beskrevet som rettet mot telekommunikasjon, offentlig forvaltning og industrielle miljøer via utnyttelse av sårbare nettverksenheter.
Hva er Demodex-rootkitet?
Demodex er et Windows-kjernemode-rootkit brukt av Salt Typhoon, opprinnelig identifisert av Kaspersky Lab. Det opererer på det laveste privilegienivået i operativsystemet og gir angriperne fullstendig fjernkontroll, mulighet til å skjule sin tilstedeværelse og omgå de fleste antivirusløsninger.
Hvor mange land er rammet av Salt Typhoon totalt?
FBI bekreftet i august 2025 at Salt Typhoon har kompromittert mer enn 200 organisasjoner i over 80 land. Kjente ofre inkluderer telekomselskaper i USA (AT&T, Verizon, T-Mobile), alle fire nasjonale telekomselskaper i Singapore, og nå norsk kritisk infrastruktur.
Hva kan norske virksomheter gjøre for å beskytte seg?
NSM, CISA og FBI anbefaler fire prioriterte tiltak: umiddelbar patching av kjente CVE-er i nettverksenheter, innføring av multifaktorautentisering på alle administrative grensesnitt, nettverkssegmentering for å begrense lateral bevegelse, og implementering av nettverksbasert anomalideteksjon (NDR) for å oppdage avvik i kjernenettverkstrafikk.
Er Salt Typhoon fortsatt aktiv i Norge per juni 2026?
FBI bekreftet i februar 2026 at Salt Typhoon er “aktiv og pågående”. PST og NSM har ikke utelukket at gruppen fortsatt kan ha fotfeste i norsk infrastruktur. Fullstendig fjerning av et kjernemode-rootkit som Demodex krever grundig forensisk undersøkelse av alle kompromitterte systemer, noe som er en tidkrevende prosess.
Hva er forskjellen mellom Salt Typhoon og andre APT-grupper som angriper Norge?
Salt Typhoon skiller seg fra russiske aktører som Sandworm og iranske grupper ved at de prioriterer vedvarende, skjult tilgang for etterretningsinnhenting fremfor destruktive angrep. De er heller ikke ute etter løsepenger som kriminelle grupper. Målet er å samle motintelligensdata og telekommetadata over lang tid uten å bli oppdaget.
