mobile-menu-icon
Hot & Attacker

Kratos phishing-kit angriper Outpost24-chef i sjustegsattack

Blog Reading Time 5 Lästid / mars 20, 2026
Kratos Phishing Kit Targets Outpost24 Executive in Seven-Stage Attack

En ledningsperson på svenska cybersäkerhetsföretaget Outpost24 utsattes för ett sofistikerat phishing-angrepp som utnyttjade betrodda varumärken som Cisco och JP Morgan för att bygga en sjustegs omdirigeringskedja som slutade på en Microsoft Office-sida för stöld av inloggningsuppgifter. Angreppet misslyckades, men visar hur hotaktörer utnyttjar legitim infrastruktur för att undvika upptäckt.

Outpost24:s threat intelligence-team upptäckte och blockerade kampanjen den 13 mars 2026, innan några inloggningsuppgifter kunde stjälas. Angreppet använde det nyidentifierade Kratos phishing-as-a-service-kitet, som gör det möjligt för mindre erfarna angripare att genomföra avancerade kampanjer för stöld av inloggningsuppgifter som tidigare var begränsade till avancerade hotaktörer.

Angreppskedjan utnyttjade betrodd infrastruktur i varje steg

Phishingmejlet som utgav sig för att komma från JP Morgan verkade vara en del av en befintlig mejltråd och inkluderade DomainKeys Identified Mail-signaturer för att öka legitimiteten. När målet klickade på den inbäddade dokumentlänken dirigerades förfrågan genom Ciscos legitima secure-web.cisco.com-infrastruktur, sedan genom Nylas email API-plattform, innan den studsade genom en komprometterad tredjepartsserver och en återanvänd domän.

Det sista steget implementerade en anti-bot-valideringssida som hostades via Cloudflare och blockerade automatiserade säkerhetsverktyg och sandbox-miljöer från att inspektera webbplatsen. Endast riktiga mänskliga användare presenterades för den falska Microsoft 365-inloggningssidan som utformats för att stjäla inloggningsuppgifter. Hector Garcia, senior threat intelligence-analytiker på Outpost24, bekräftade att ”angriparna verkar ha använt ett phishing-as-a-service-kit som kallas Kratos för att genomföra angreppet.”

Angreppet visar en oroande utveckling inom phishing-taktik. Genom att kedja omdirigeringar genom allmänt betrodda tjänster kan angripare systematiskt förhindra automatiserade säkerhetsskannrar och ryktesbaserade filter från att blockera skadliga URL:er. Metoden är effektiv eftersom den utnyttjar mänsklig psykologi snarare än tekniska sårbarheter.

Kratos gör sofistikerade angrepp tillgängliga för lågkvalificerade aktörer

Kratos representerar en betydande eskalering i industrialiseringen av cyberbrottslighet. Enligt Microsoft var en enskild PhaaS-plattform — Tycoon 2FA — den mest omfattande phishingplattformen under 2025. Separat rapporterade Netcraft en kraftig ökning av PhaaS-aktivitet, med över 17 500 phishingdomäner som riktade sig mot 316 varumärken i 74 länder. Kratos verkar inom detta snabbt växande PhaaS-ekosystem och gör det möjligt för mindre erfarna angripare att genomföra avancerade kampanjer för stöld av inloggningsuppgifter, som tidigare var förbehållna mer sofistikerade hotaktörer.

Kitet är konstruerat för operativ motståndskraft med frikopplad arkitektur och decentraliserad dataexfiltrering via Telegram, vilket gör att kampanjer kan fortsätta även efter nedtagningar från brottsbekämpande myndigheter. Detta gör det särskilt svårt att fastställa vem som ligger bakom angreppet — Outpost24:s forskare kunde inte koppla angreppet till en specifik hotaktör eftersom ”infrastrukturen demonterades snabbt.”

Säkerhetsleverantörer är högvärdesmål

Målinriktningen mot Outpost24 speglar ett bredare mönster av angrepp mot cybersäkerhetsföretag. Mika Aalto, medgrundare och VD på Helsingforsbaserade Hoxhunt, noterar att säkerhetsleverantörer är attraktiva mål eftersom de är ”djupt integrerade i kundmiljöer, och deras infrastruktur är i sig betrodd av användare och system.” En framgångsrik kompromiss av ett enda ledningskonto hos en säkerhetsleverantör kunde ha öppnat vägar in i flera kundorganisationer.

Martin Jartelius, Product Director på Outpost24, hävdar att traditionella försvar är otillräckliga mot dessa hot: ”Idén att ett lösenord, eller till och med ett lösenord plus en standard multifaktorautentisering, är tillräckligt försvar mot en ihärdig, välresurserad motståndare blir allt svårare att upprätthålla.”

Kommentaren är rakt på sak men korrekt. AI-assisterad phishing höjer grundnivån för social engineering till en nivå där även säkerhetsmedvetna användare periodvis kommer att misslyckas. Det är inte användarsvaghet — det är ett strukturellt problem som kräver arkitektoniska lösningar snarare än utbildningsåtgärder.

Vad nordiska företag bör göra nu

Implementera enhetsbundna Zero Trust-åtkomstkontroller som förhindrar att komprometterade inloggningsuppgifter ensamma ger meningsfull åtkomst. Traditionell MFA är inte längre tillräcklig när angripare kan fånga upp eller kringgå autentiseringsmeddelanden genom realtids-phishing-proxies.

Övervaka de tekniska indikatorer som Kratos-kampanjer typiskt uppvisar: flerstegsomdirigeringar genom legitima tjänster, anti-bot-valideringssidor och domänregistreringsmönster där utgångna domäner snabbt återförvärvas och utfärdas nya TLS-certifikat. Domänen som användes i Outpost24-angreppet, www-0159.com, registrerades om den 12 mars 2026, fem dagar efter att dess tidigare certifikat gick ut den 7 mars.

Ledningsgrupper på nordiska säkerhetsleverantörer bör behandla sig själva som högprioriterade mål. Misslyckandet hos Outpost24 upptäcktes eftersom deras threat intelligence-team övervakade exakt denna typ av angrepp. Företag utan dedikerade threat intelligence-kapaciteter bör anta att de redan är måltavlor.

Referenser

  1. Specops Software: New Phishing Campaign Exploits Cisco Domains
  2. Hackers Target Cybersecurity Firm Outpost24 in 7-Stage Phish
  3. Security Firm Executive Targeted in Sophisticated Phishing Attack
  4. Rescana: Outpost24 C-Suite Spearphishing Incident Analysis
  5. Inside the Lighthouse and Lucid PhaaS Campaigns Targeting 316 Global Brands
  6. Defending the gates: How a global coalition disrupted Tycoon 2FA, a major driver of initial access and large-scale online impersonation

This post is also available in: English

Related News

Russian Military Intelligence Hijacks Routers in Massive DNS Poisoning Campaign

Rysk militär underrättelsetjänst kapade routrar i omfattande DNS-kampanj

Cyber News Calendar icon april 8, 2026

Irans cyberproxies inleder omfattande vedergällning mot västerländska nätverk

Irans offensiva cyberkapacitet har växlat upp efter gemensamma amerikansk-israeliska militära angrepp i slutet av februari 2026. Flera iranska statslänkade grupper och hacktivist-proxies genomför nu koordinerade…

Cyber News Calendar icon mars 10, 2026

SmartLoader-gänget bygger falskt GitHub-ekosystem för att sprida StealC via trojaniserad Oura MCP

En känd cyberbrottsoperation har under månader byggt upp ett omfattande falskt GitHub-ekosystem för att förgifta AI-utvecklingens supply chain. SmartLoader-gänget, först identifierat 2024, klonade en legitim…

Cyber News Calendar icon februari 17, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss