Threat detection i praksis: Nye cybertrusler for virksomheder i 2026

Januar 2026 | Af Elin Gadegaard Gjørup

Januar måned viser en tydelig udvikling i trusselsbilledet: cyberangreb rammer i stigende grad helt almindelige enheder og software, som findes i de fleste organisationer, herunder:

Bluetooth-headsets, overvågningskameraer og ældre klientsoftware bliver nu brugt som adgangsveje til organisationer.

Flere af månedens trusler bevæger sig under radaren, fordi de ikke ligner klassiske angreb.

Ingen malware. Ingen alarmer. Bare langsom, målrettet udnyttelse af blinde vinkler.

Det understreger, hvorfor threat detection, security monitoring og moderne security observability er blevet afgørende for at opdage angreb i tide, ikke kun på endpoints, men på tværs af hele miljøet inklusiv netværket.

Key takeaways

Angrebsfladen flytter tættere på medarbejderen og deres enheder.
Kendte sårbarheder udnyttes længe efter, at patch er frigivet.
Organisationer skal kunne opdage kompromittering tidligt via security monitoring og endpoint detection.
Netværket er et undervurderet observationslag, der kun afslører angreb tidligt gennem synlighed i al kommunikation.

Hvad sker der lige nu?

Advarsler fra FE, SAMSIK og internationale efterretninger viser et klart mønster.

Angreb udnytter i stigende grad:

forbrugerenheder på arbejdspladsen
svage standardopsætninger
ældre softwareversioner
tele- og kommunikationsinfrastruktur

Truslerne er ikke længere kun avancerede angreb mod servere. De starter ofte på endpoint-niveau og bevæger sig videre via netværket uden at blive opdaget.

Bluetooth-headsets kan bruges til aflytning og sporing (IoT Security)

Ifølge Radar advarer Forsvarets Efterretningstjeneste (FE) myndigheder, styrelser og politikredse mod brug af bluetooth-headsets.

Det sker efter offentliggørelsen af sårbarheden WhisperPair (CVE-2025-36911), der findes i Google Fast Pair-teknologien og som skyldes, at parringsproceduren i mange bluetooth-enheder ikke er opsat korrekt.

Sårbarheden gør det muligt for angribere at:

tilkoble en enhed fra kort afstand uden fysisk adgang
lytte med på møder og fortrolige samtaler
spore headset-lokation

Headsets bruges dagligt til møder og fortrolige samtaler, hvilket gør dem til en ny og overset angrebsflade, der blot understreger behovet for bedre security monitoring.

Sikkerhed i IoT-enheder er derfor ikke længere kun en privat problemstilling, men en central del af virksomheders IoT security.

Læs mere om WhisperPair-sårbarheden her.

Overvågningskamerarer kompromitteres og misbruges

SAMSIK har advaret om usikre overvågningskameraer efter den russiske hackergruppe Z-pentest har delt billeder og video, der stammer fra danske kameraer.

Eksponeringer som disse skyldes sjældent avancerede angreb, men bunder ofte i typiske sikkerhedsbrister såsom:

standardlogin
svage adgangskoder
manglende opdatering
internet-eksponering

SAMSIK har på baggrund af hændelsen opfordret både private og virksomheder til at gennemgå sikkerheden på deres overvågningsudstyr.

Vores erfaring viser, at IoT-enhederne ofte er glemt i organisationers sikkerhedssetup, hvilket peger på, at flere mangler security observability (synlighed) på tværs af miljøet – og måske særligt på netværksniveau, kommunikation til og fra enhederne ellers kunne afsløre kompromittering tidligt.

Læs mere om myndighedernes anbefalinger her.

Statsstøttet cyberspionage via teleinfrastruktur

Omfattende kinesisk cyberspionage har gennem flere år givet Kina adgang til embedsmænds telefoner i Downing Street, og den kinesisk-statsstøttede hackergruppe Salt Typhoon menes at stå bag.

Salt Typhoon er kendt for at infiltrere teleudbyderes kerneinfrastruktur for at opsnappe metadata og lokationsdata. Det er uklart, hvilken information Salt Typhoon har haft adgang til, men ifølge kilden kan det inkludere:

telefonopkald og beskeder
metadata
lokationsdata

Metoderne anvendes også mod virksomheder med strategisk værdi.

Denne type angreb er svær at forhindre, men kan opdages gennem effektiv threat detection og overvågning af anomalier i netværkstrafik og kommunikationsmønstre.

Læs mere om hackergruppen Salt Typhoons cyberspionage mod britiske embedsfolk her.

WinRAR-sårbarhed udnyttes stadig – klassisk endpoint-angreb

Google Threat Intelligence Group advarer om omfattende udnyttelse af en kritisk sårbarhed i WinRAR (CVE-2025-8088). Selvom sårbarheden blev lukket med en sikkerhedsopdatering i juli 2025, fortsætter både statslige hackergrupper fra Rusland og Kina samt økonomisk motiverede kriminelle med at udnytte den i stor stil mod brugere, der endnu ikke har opdateret.

Angrebsmetoden: