Den 6. februar 2026 gikk Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) ut med en felles pressemelding som rystet norsk cybersikkerhetsmilj\u00f8: Salt Typhoon, Kinas mest fryktet statshackere, hadde kompromittert norsk kritisk infrastruktur. Angrepet er ikke et isolert norsk fenomen. Gruppen har brutt seg inn hos over 200 organisasjoner i 80 land siden 2019, og FBI betegner det som ett av de mest alvorlige etterretningsangrep i moderne historie.<\/p>\n\n\n\n
For norsk telekomsektor, forvaltning og industri stiller avsl\u00f8ringen sp\u00f8rsm\u00e5l som ikke kan besvares enkelt: Hvor lenge var angriperne inne? Hvilke data ble eksfiltrert? Og hva gj\u00f8res n\u00e5 for \u00e5 sikre at det ikke skjer igjen?<\/p>\n\n\n\n
PST og NSM bekreftet 6. februar 2026 at norske nett i kritisk infrastruktur var kompromittert som del av den kinesiske Salt Typhoon-kampanjen. Myndighetene opplyste at angriperne utnyttet s\u00e5rbare nettverksenheter<\/strong> for \u00e5 oppn\u00e5 vedvarende tilgang. Pressmeldingen pekte spesifikt p\u00e5 telekommunikasjon, offentlig forvaltning og industrielle milj\u00f8er som p\u00e5virkede sektorer.<\/p>\n\n\n\n If\u00f8lge norske tjenester er kinesiske cyberoperasjoner ventet \u00e5 forbli en av Norges mest betydningsfulle etterretningstrusler gjennom hele 2026. Det er f\u00f8rste gang norske myndigheter offentlig navngir Salt Typhoon som aktiv trussel mot norsk infrastruktur, noe som markerer en tydelig eskalering i offentlig \u00e5penhet om statlig cyberspionasje.<\/p>\n\n\n\n Avsl\u00f8ringen kom i samme uke som Singapore bekreftet at alle fire nasjonale telekomselskaper var kompromittert av den samme gruppen. FBI fastslo 6. februar at Salt Typhoon-trusselen fortsatt var “aktiv og p\u00e5g\u00e5ende”. Senator Maria Cantwell uttalte i samme periode at gruppen trolig fortsatt var inne i amerikanske nettverk.<\/p>\n\n\n\n Salt Typhoon, ogs\u00e5 kjent under kodene Earth Estries, GhostEmperor og FamousSparrow, opereres av Kinas Ministerium for Statssikkerhet (MSS). Gruppen har v\u00e6rt aktiv siden minst 2019 og har spesialisert seg p\u00e5 langsiktig cyberespionasje mot telekomleverand\u00f8rer, offentlige organer og kritisk infrastruktur globalt.<\/p>\n\n\n\n FBI fastslo i august 2025 at gruppen hadde kompromittert minst 200 organisasjoner i over 80 land. I USA alene traff angrepene store operat\u00f8rer som AT&T, Verizon, T-Mobile, Lumen og Charter Communications. DHS publiserte i juni 2025 en rapport med tittelen “Salt Typhoon: Data Theft Likely Signals Expanded Targeting”, som varslet om at gruppens ambisjoner strekker seg langt utover USA.<\/p>\n\n\n\n “Salt Typhoon representerer en ny klasse statsspionasje, der angripere holder seg skjult i kritisk infrastruktur over m\u00e5neder og \u00e5r, ikke timer og dager,” heter det i Vectra AIs sikkerhetsanalyse fra mai 2026. Gruppen demonstrerer en teknisk sofistikasjon som skiller dem fra de fleste kriminelle akt\u00f8rer: de bruker avansert anti-forensikk, kjernemode-rootkits og tilpassede verkt\u00f8y for lateral bevegelse i nettverk.<\/p>\n\n\n\n Det som gj\u00f8r Salt Typhoon s\u00e6rlig farlig, er fokuset p\u00e5 motintelligenssm\u00e5l<\/strong>. Gruppen er prim\u00e6rt interessert i hvem myndighetene overv\u00e5ker, hvilke kinesiske agenter som er kjent av vestlige tjenester, og hvilke kommunikasjonslinjer som kan avlyttes for strategisk etterretningsgevinst.<\/p>\n\n\n\n NSM og PST pekte spesifikt p\u00e5 utnyttelse av s\u00e5rbare nettverksenheter<\/strong> som inngangsvektor i det norske angrepet. Dette stemmer med det bredere m\u00f8nsteret dokumentert av FBI og CISA: Salt Typhoon bruker kjente CVE-s\u00e5rbarheter og enkle konfigurasjonsfeil som startpunkt, og eskalerer derfra til fullstendig nettverkskontroll.<\/p>\n\n\n\n Konkrete teknikker inkluderer modifikasjon av tilgangskontrollister (ACL) for \u00e5 legge til angriperens IP-adresser, eksponering av tjenester som SSH, RDP og FTP p\u00e5 b\u00e5de standard og ikke-standard porter, samt injeksjon av egne n\u00f8kler i eksisterende SSH-tjenester. Denne tiln\u00e6rmingen gj\u00f8r det sv\u00e6rt vanskelig \u00e5 skille angripernes tilgang fra legitim administratortrafikk.<\/p>\n\n\n\n For persistent tilgang bruker gruppen Demodex, et Windows-kjerne-modus-rootkit som gir fullstendig fjernkontroll over kompromitterte servere. Rootkitet opererer p\u00e5 et niv\u00e5 under de fleste antivirusprogrammer og gj\u00f8r at angriperne kan forbli skjult i nettverk over lang tid, i noen tilfeller mer enn to \u00e5r uten oppdagelse.<\/p>\n\n\n\n Angrepskjeden ser typisk slik ut:<\/p>\n\n\n\n DNVs rapport “How Cyber Resilient Are the Nordics 2026” tegner et nyansert bilde av cybersikkerheten i Norden. I 2025 ble 21 cyberangrep registrert mot norske organisasjoner, sammenlignet med 60 i Sverige, 44 i Finland og 41 i Danmark. Norge fremst\u00e5r som minst rammet i absoluttall, men PST og NSM understreker at dette ikke betyr at trusselbildet er lavere: statlige akt\u00f8rer som Salt Typhoon er nettopp designet for \u00e5 holde seg uoppdaget.<\/p>\n\n\n\n “Lavere antall rapporterte hendelser i Norge betyr ikke n\u00f8dvendigvis lavere trussel. Det kan like gjerne bety at vi ikke har funnet alt enn\u00e5,” sa en kilde n\u00e6r PSTs vurderingsarbeid til The Record i forbindelse med februar-avsl\u00f8ringen.<\/p>\n\n\n\n NetNordic, som leverer IT-sikkerhetstjenester til nordiske virksomheter, rapporterte i oktober 2025 at regionen opplever en “enest\u00e5ende \u00f8kning” i lekkede legitimasjonsopplysninger og sensitiv selskapsinformasjon p\u00e5 det m\u00f8rke nettet. Denne trenden henger direkte sammen med statlig og kriminelt cyberespionasje, og understreker at nordisk infrastruktur er under vedvarende press.<\/p>\n\n\n\n Kilde: DNV “How Cyber Resilient Are the Nordics 2026”, oppdatert juni 2026.<\/p>\n\n\n\n Salt Typhoon er ikke ute etter penger. Gruppen opererer med et tydelig etterretningsm\u00e5l: \u00e5 samle data om hvem myndigheter og etterretningstjenester kommuniserer med, avlytte spesifikke h\u00f8yverdim\u00e5l og kartlegge vestlig motintelligenskapasitet.<\/p>\n\n\n\n Dokumenterte datakategorier som gruppen har eksfiltrert i andre land inkluderer:<\/p>\n\n\n\n I USA var angrepet kraftig konsentrert rundt Washington D.C., med fokus p\u00e5 fremtredende regjeringspersoner, politikere og etterretningstjenestemenn. Angriperne kan ha f\u00e5tt tilgang til informasjon om kjente kinesiske agenter og informanter, noe som setter hele motintelligens-operasjoner i fare.<\/p>\n\n\n\n For Norge er det spesielt bekymringsfullt at kritisk telekommunikasjonsinfrastruktur ble kompromittert. Norge huser NATO-kommandostrukturer, er vertskap for alliert milit\u00e6r kommunikasjon og har en strategisk plassering i nordlige farvann som er av stor interesse for kinesisk og russisk etterretning.<\/p>\n\n\n\n Det tekniske verkt\u00f8yet som skiller Salt Typhoon fra de fleste andre APT-grupper, er Demodex, et Windows-kjernemode-rootkit opprinnelig identifisert av Kaspersky Lab. Rootkitet opererer p\u00e5 det laveste privilegieniv\u00e5et i operativsystemet (ring 0), noe som gir angriperne fullstendig kontroll over vertsmaskinen og muligheten til \u00e5 skjule prosesser, filer og nettverkstilkoblinger fra sikkerhetsprogramvare som opererer i brukerrommet.<\/p>\n\n\n\n Demodex brukes prim\u00e6rt til:<\/p>\n\n\n\n I tillegg til Demodex bruker gruppen egenproduserte verkt\u00f8y for lateral bevegelse i nettverk, der m\u00e5let er \u00e5 kontrollere kjerne-rutingssystemer, abonnentdatabaser og sensitive operasjonelle data. Anti-forensikk-teknikker sletter loggoppf\u00f8ringer og endrer filmetadata for \u00e5 gj\u00f8re det vanskeligere for etterforskere \u00e5 rekonstruere angrepet.<\/p>\n\n\n\n “De opererer p\u00e5 et teknisk niv\u00e5 der konvensjonelle forsvarsmekanismer simpelthen ikke er tilstrekkelige,” skriver BlackBerrys sikkerhetsteam i sin analyse av Salt Typhoon publisert november 2025. “Deteksjon krever proaktiv jakt i nettverkstrafikk og nettverkstelemetri, ikke kun reaktive endpoint-l\u00f8sninger.”<\/p>\n\n\n\n Sikkerhetsanalytikere er samstemte i sin vurdering av Salt Typhoon-avsl\u00f8ringen: den viser at ingen allianseland er immun mot kinesisk statsspionasje, uavhengig av st\u00f8rrelse eller geografisk avstand fra geopolitiske konfliktsoner.<\/p>\n\n\n\n If\u00f8lge Vectra AIs sikkerhetsanalyse fra mai 2026 bruker Salt Typhoon “grunnleggende konfigurasjonsfeil og kjente CVE-er som inngangsvektor”, noe som betyr at angrepene i mange tilfeller kunne v\u00e6rt forhindret med grunnleggende sikkerhetsvedlikehold. “Den virkelige utfordringen er ikke teknologi, det er prosess og vedlikehold,” konkluderer rapporten.<\/p>\n\n\n\n BankInfoSecurity siterte i sin dekning av den norske avsl\u00f8ringen februarr 2026 norske tjenestemenn som understreket at PST n\u00e5 forventer at kinesiske cyberoperasjoner mot Norge vil intensiveres gjennom 2026, ikke avta. Dette er i tr\u00e5d med det globale m\u00f8nsteret: hver offentlig avsl\u00f8ring har historisk sett blitt etterfulgt av mer sofistikerte angrepskampanjer.<\/p>\n\n\n\n MeritTalk, som dekker digital infrastruktur for offentlig sektor, konkluderer i sin analyse at forsvar mot Salt Typhoon krever tre obligatoriske tiltak: obligatorisk overholdelse av beste praksis-rammeverk, h\u00e5ndhevelse av multifaktorautentisering p\u00e5 kritiske systemer, og investering i forbedrede systemer for inntrengningsdeteksjon som kan oppdage unormal trafikk i kjernenettverket.<\/p>\n\n\n\n NetNordic, som overv\u00e5ker nordisk cybertrussel-landskap, advarer i sin rapport fra oktober 2025 at lekkede legitimasjonsopplysninger fra nordiske virksomheter florerer p\u00e5 det m\u00f8rke nettet: “Trenden er klar: 2025 var et rekord\u00e5r for eksponerte nordiske bedriftshemmeligheter p\u00e5 kriminelle markeder.” Denne dataen gir statlige akt\u00f8rer som Salt Typhoon et utgangspunkt for phishing og sosial manipulasjon rettet mot h\u00f8yverdim\u00e5l.<\/p>\n\n\n\n PST og NSM har etter avsl\u00f8ringen varslet en rekke tiltak. Offentlig avsl\u00f8ring i seg selv er ett tiltak: ved \u00e5 navngi Salt Typhoon offentlig sender Norge et diplomatisk signal til Kina og styrker presset for internasjonale normer mot statlig cyberespionasje.<\/p>\n\n\n\n Operativt har NSM intensivert sin sikkerhetsr\u00e5dgivning til telekomleverand\u00f8rer og kritisk infrastruktur-operat\u00f8rer. Anbefalingene f\u00f8lger den internasjonale konsensusen: patch kjente s\u00e5rbarheter umiddelbart, segmenter nettverket for \u00e5 begrense lateral bevegelse, innf\u00f8r multifaktorautentisering p\u00e5 alle administrative grensesnitt og implementer deteksjonssystemer som overv\u00e5ker nettverkstelemetri for unormal atferd.<\/p>\n\n\n\n P\u00e5 nordisk niv\u00e5 spiller samarbeid gjennom NCSC-samarbeidet (Nordic Computer Security Incident Response Teams) en viktig rolle. North European Cyber Days 2026, planlagt til 3-4. november i Oslo, er allerede satt i sammenheng med Salt Typhoon-avsl\u00f8ringene og forventes \u00e5 adressere statlig cyberspionasje som ett av hovedtemaene.<\/p>\n\n\n\n EU og ENISA (European Union Agency for Cybersecurity) har p\u00e5 sin side intensivert presset p\u00e5 telekomoperat\u00f8rer i hele Europa etter Salt Typhoon-avsl\u00f8ringene. FCC i USA har gitt telekomselskaper 30 dager p\u00e5 \u00e5 rapportere eksisterende sikkerhetstiltak, en modell som diskuteres innf\u00f8rt i Norden.<\/p>\n\n\n\n Salt Typhoon-avsl\u00f8ringen treffer norsk n\u00e6ringsliv p\u00e5 tre niv\u00e5er. Det f\u00f8rste er direkte eksponering: telekomselskaper som Telenor og Telia er \u00e5penbare m\u00e5l gitt at Salt Typhoon prim\u00e6rt angriper telekomleverand\u00f8rer globalt, og begge har infrastruktur i land der gruppen allerede er dokumentert aktiv.<\/p>\n\n\n\n Det andre niv\u00e5et er indirekte eksponering gjennom leverand\u00f8rkjeder. Norske industriselskaper, finansinstitusjoner og offentlige organer kommuniserer over telekominfrastruktur som potensielt er kompromittert. Call Detail Records fra disse systemene kan gi angriperne detaljert kunnskap om hvem som kommuniserer med hvem, og n\u00e5r.<\/p>\n\n\n\n Det tredje niv\u00e5et er langsiktig etterretningsmessig skade. Salt Typhoons fokus p\u00e5 motintelligensdata betyr at skaden fra norges kompromittering ikke begrenser seg til Norge alene. Data om norske etterretningsoperasjoner, allierte samarbeidspartnere og NATO-kommunikasjon kan gi kinesisk etterretning et strategisk overtak som varer i \u00e5r.<\/p>\n\n\n\n For norsk forsikringsmarked og risikostyring stiller avsl\u00f8ringen nye sp\u00f8rsm\u00e5l: Standard cyberforsikringer dekker typisk kriminelle angrep, men statssponserte spionasjeoperasjoner faller ofte utenfor dekningsomfanget. Norske virksomheter b\u00f8r gjennomg\u00e5 sine forsikringsvilk\u00e5r n\u00f8ye i lys av PST\/NSM-varselet.<\/p>\n\n\n\n Salt Typhoon er ikke den eneste statssponsorten akt\u00f8ren som retter seg mot norsk og nordisk infrastruktur. Bremanger-demningen ble if\u00f8lge NSM-vurderinger angrepet av russisk-tilknyttede akt\u00f8rer i 2025. Handala-gruppen, knyttet til iranske interesser, gjennomf\u00f8rte et destruktivt angrep mot Stryker i Norge. Likevel skiller Salt Typhoon seg fra disse akt\u00f8rene p\u00e5 to avgj\u00f8rende punkter.<\/p>\n\n\n\n For det f\u00f8rste er Salt Typhoons prim\u00e6re m\u00e5l vedvarende tilgang og exfiltrasjon, ikke disrupsjon. Der russiske akt\u00f8rer som Sandworm og iranske grupper bruker destruktive verkt\u00f8y for \u00e5 skape kaos, prioriterer Salt Typhoon det \u00e5 holde seg skjult over tid for \u00e5 samle etterretning kontinuerlig. Dette gj\u00f8r dem langt vanskeligere \u00e5 oppdage, men ogs\u00e5 mer verdifulle for en statlig sponsor som \u00f8nsker langsiktig strategisk innsikt.<\/p>\n\n\n\n For det andre er Salt Typhoon geografisk og sektormessig langt bredere i sin rekkevidde: 80 land og 200+ ofre er tall som overg\u00e5r de fleste kjente APT-kampanjer. Gruppen angriper ikke bare fiender av Kina, men henter etterretning fra allierte land som Norge, Canada, Singapore og Australia, noe som understreker at statsspionasje ikke respekterer diplomatiske relasjoner.<\/p>\n\n\n\n Basert p\u00e5 dokumenterte Salt Typhoon-teknikker og offisielle anbefalinger fra CISA, FBI og NSM, er f\u00f8lgende tiltak de mest kritiske for norske telekomoperat\u00f8rer og kritisk infrastruktur-eiere:<\/p>\n\n\n\n Salt Typhoon-avsl\u00f8ringen vil ha varige konsekvenser for nordisk cybersikkerhet. Basert p\u00e5 det dokumenterte m\u00f8nsteret av Salt Typhoon-kampanjer og nordiske myndigheters respons, er f\u00f8lgende utviklingstrekk sannsynlige gjennom resten av 2026 og inn i 2027:<\/p>\n\n\n\n 1. \u00d8kt regulering av telekomsikkerhet i Norden.<\/strong> PST\/NSM-avsl\u00f8ringen vil drive frem strengere nasjonale krav til sikkerhet i telekominfrastruktur, sannsynligvis inspirert av FCC-modellen i USA og NIS2-direktivet i EU. Nkom vil trolig f\u00e5 utvidede fullmakter til \u00e5 stille krav til norske telekomoperat\u00f8rers sikkerhetstiltak innen utgangen av 2026.<\/p>\n\n\n\n 2. Mer \u00e5penhet om statlige cyberangrep.<\/strong> Norge br\u00f8t med tradisjonell stillhet da PST og NSM offentliggjorde Salt Typhoon-avsl\u00f8ringen. Dette vil sette press p\u00e5 andre nordiske land, s\u00e6rlig Sverige og Finland, til \u00e5 gj\u00f8re det samme dersom de avdekker tilsvarende kompromittering.<\/p>\n\n\n\n 3. Salt Typhoon vil intensivere aktiviteten mot Norden.<\/strong> Historisk har offentlige avsl\u00f8ringer av APT-kampanjer f\u00f8rt til mer sofistikerte oppf\u00f8lgingsangrep, ikke reduksjon i aktivitet. Norske og nordiske sikkerhetsmyndigheter b\u00f8r forvente eskalering gjennom h\u00f8st 2026.<\/p>\n\n\n\n 4. \u00d8kt investering i nettverksbasert trusseljakt (NDR).<\/strong> Demodex-rootkitets evne til \u00e5 omg\u00e5 endpoint-deteksjon vil drive nordiske organisasjoner mot Network Detection and Response (NDR) som prim\u00e6r deteksjonsstrategi for avanserte trusler. Markedet for NDR i Norden forventes \u00e5 vokse markant gjennom 2026-2027.<\/p>\n\n\n\n 5. Diplomatisk respons fra Norden mot Kina.<\/strong> Norges offentlige navngiving av Salt Typhoon som kinesisk statsakt\u00f8r er i seg selv et diplomatisk signal. Dersom ytterligere bevis om skadens omfang fremkommer, kan nordiske land koordinere diplomatisk protest, muligens i samarbeid med NATO-allierte som allerede har reagert p\u00e5 Salt Typhoon-kampanjen.<\/p>\n\n\n\n For dypere innsikt i beslektede temaer, se v\u00e5re analyser av Nordisk Cyberrapport 2026: 166 angrep i Norden<\/a>, Ivanti EPMM Zero-Day: CVSS 9.8 og EU-Kommisjonens kompromittering<\/a>, AI-phishing i Norden: 14x \u00f8kning i m\u00e5lrettede angrep<\/a>, Verizon DBIR 2026: S\u00e5rbarhetsutnyttelse \u00f8ker 31%<\/a>, og Stryker hacket av Handala: 200.000 enheter slettet<\/a>. For det overordnede trusselbildet, se v\u00e5r cybersikkerhetsguide<\/a>.<\/p>\n\n\n\n Salt Typhoon er en avansert vedvarende trussel (APT)-gruppe operert av Kinas Ministerium for Statssikkerhet (MSS). Gruppen spesialiserer seg p\u00e5 langsiktig cyberespionasje mot telekomleverand\u00f8rer, offentlige organer og kritisk infrastruktur globalt, med aktiv virksomhet siden minst 2019.<\/p>\n\n\n\n PST og NSM bekreftet 6. februar 2026 at norsk kritisk infrastruktur var kompromittert av Salt Typhoon-kampanjen. Angrepet ble beskrevet som rettet mot telekommunikasjon, offentlig forvaltning og industrielle milj\u00f8er via utnyttelse av s\u00e5rbare nettverksenheter.<\/p>\n\n\n\n Demodex er et Windows-kjernemode-rootkit brukt av Salt Typhoon, opprinnelig identifisert av Kaspersky Lab. Det opererer p\u00e5 det laveste privilegieniv\u00e5et i operativsystemet og gir angriperne fullstendig fjernkontroll, mulighet til \u00e5 skjule sin tilstedev\u00e6relse og omg\u00e5 de fleste antivirusl\u00f8sninger.<\/p>\n\n\n\n FBI bekreftet i august 2025 at Salt Typhoon har kompromittert mer enn 200 organisasjoner i over 80 land. Kjente ofre inkluderer telekomselskaper i USA (AT&T, Verizon, T-Mobile), alle fire nasjonale telekomselskaper i Singapore, og n\u00e5 norsk kritisk infrastruktur.<\/p>\n\n\n\n NSM, CISA og FBI anbefaler fire prioriterte tiltak: umiddelbar patching av kjente CVE-er i nettverksenheter, innf\u00f8ring av multifaktorautentisering p\u00e5 alle administrative grensesnitt, nettverkssegmentering for \u00e5 begrense lateral bevegelse, og implementering av nettverksbasert anomalideteksjon (NDR) for \u00e5 oppdage avvik i kjernenettverkstrafikk.<\/p>\n\n\n\n FBI bekreftet i februar 2026 at Salt Typhoon er “aktiv og p\u00e5g\u00e5ende”. PST og NSM har ikke utelukket at gruppen fortsatt kan ha fotfeste i norsk infrastruktur. Fullstendig fjerning av et kjernemode-rootkit som Demodex krever grundig forensisk unders\u00f8kelse av alle kompromitterte systemer, noe som er en tidkrevende prosess.<\/p>\n\n\n\n Salt Typhoon skiller seg fra russiske akt\u00f8rer som Sandworm og iranske grupper ved at de prioriterer vedvarende, skjult tilgang for etterretningsinnhenting fremfor destruktive angrep. De er heller ikke ute etter l\u00f8sepenger som kriminelle grupper. M\u00e5let er \u00e5 samle motintelligensdata og telekommetadata over lang tid uten \u00e5 bli oppdaget.<\/p>\n\n\n\n\n\n\n","protected":false},"excerpt":{"rendered":" Den 6. februar 2026 gikk Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) ut med en felles pressemelding som rystet norsk cybersikkerhetsmilj\u00f8: Salt Typhoon, Kinas mest fryktet statshackere, hadde kompromittert norsk\u2026<\/p>\n","protected":false},"author":9,"featured_media":149,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-148","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/comments?post=148"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/148\/revisions"}],"predecessor-version":[{"id":150,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/148\/revisions\/150"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media\/149"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media?parent=148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/categories?post=148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/tags?post=148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Hvem er Salt Typhoon? Kinas mest avanserte cybergruppe<\/h2>\n\n\n\n
Angrepsvektorer: Slik br\u00f8t Salt Typhoon seg inn<\/h2>\n\n\n\n
\n
Salt Typhoon i tall: Skadens globale omfang<\/h2>\n\n\n\n
Parameter<\/th> Data<\/th> Kilde<\/th><\/tr><\/thead> Aktiv siden<\/td> Minst 2019<\/td> Wikipedia \/ CISA<\/td><\/tr> Ofre totalt<\/td> 200+ organisasjoner<\/td> FBI, august 2025<\/td><\/tr> Land rammet<\/td> 80+ land<\/td> FBI, august 2025<\/td><\/tr> Norsk avsl\u00f8ring<\/td> 6. februar 2026<\/td> PST \/ NSM<\/td><\/tr> US-telekomofre bekreftet<\/td> AT&T, Verizon, T-Mobile, Lumen, Charter<\/td> Wall Street Journal, 2024<\/td><\/tr> Singapore-ofre<\/td> Alle 4 nasjonale telekomselskaper<\/td> FBI, februar 2026<\/td><\/tr> Trusselniv\u00e5 per FBI<\/td> “Aktiv og p\u00e5g\u00e5ende” per februar 2026<\/td> FBI \/ The Record<\/td><\/tr> DHS-rapport<\/td> Juni 2025: “Expanded Targeting”<\/td> DHS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Nordisk cybertrusselbilde: Norge er minst utsatt, men ikke trygg<\/h2>\n\n\n\n
Land<\/th> Registrerte cyberangrep 2025<\/th> Relativ posisjon i Norden<\/th> Dominerende trusselakt\u00f8r<\/th><\/tr><\/thead> Sverige<\/td> 60<\/td> Mest utsatt<\/td> Statssponsert \/ kriminell<\/td><\/tr> Finland<\/td> 44<\/td> Nest mest utsatt<\/td> Statssponsert \/ kriminell<\/td><\/tr> Danmark<\/td> 41<\/td> Tredje mest utsatt<\/td> Statssponsert \/ kriminell<\/td><\/tr> Norge<\/td> 21<\/td> Minst utsatt (rapportert)<\/td> Salt Typhoon \/ statssponsert<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Hva ble stj\u00e5let? Samtaledata, avlyttingslogger og motintelligens<\/h2>\n\n\n\n
\n
Demodex-rootkitet: Teknisk analyse av skjult vedvarende tilgang<\/h2>\n\n\n\n
\n
Ekspertanalyse: Hva sikkerhetsmilj\u00f8et sier om Norges eksponering<\/h2>\n\n\n\n
Norsk og nordisk respons: Hva gj\u00f8res for \u00e5 begrense skaden?<\/h2>\n\n\n\n
Konsekvenser for norsk n\u00e6ringsliv og kritisk infrastruktur<\/h2>\n\n\n\n
Sammenligning: Salt Typhoon mot andre statssponsorerte trusselakt\u00f8rer<\/h2>\n\n\n\n
Tekniske anbefalinger: Slik beskytter du norsk infrastruktur mot Salt Typhoon<\/h2>\n\n\n\n
\n
5 prediksjoner for nordisk cybersikkerhet i kj\u00f8lvannet av Salt Typhoon<\/h2>\n\n\n\n
Relatert dekning<\/h2>\n\n\n\n
Ofte stilte sp\u00f8rsm\u00e5l om Salt Typhoon og Norge<\/h2>\n\n\n\n
Hva er Salt Typhoon?<\/h3>\n\n\n\n
N\u00e5r bekreftet Norge at de var rammet av Salt Typhoon?<\/h3>\n\n\n\n
Hva er Demodex-rootkitet?<\/h3>\n\n\n\n
Hvor mange land er rammet av Salt Typhoon totalt?<\/h3>\n\n\n\n
Hva kan norske virksomheter gj\u00f8re for \u00e5 beskytte seg?<\/h3>\n\n\n\n
Er Salt Typhoon fortsatt aktiv i Norge per juni 2026?<\/h3>\n\n\n\n
Hva er forskjellen mellom Salt Typhoon og andre APT-grupper som angriper Norge?<\/h3>\n\n\n\n