Nordkoreanska IT-arbetare expanderar verksamheten över hela Europa

Nordkoreas hemliga IT-arbetsstyrka, ofta kallad "IT-krigare", riktar sig i allt högre grad mot företag i Europa efter att ha drabbats av sanktioner i USA. Enligt Googles Threat Intelligence Group (GTIG) lyckas arbetare kopplade till Nordkoreas regim få jobb som frilansare i länder som Tyskland, Portugal och Storbritannien – genom att utge sig för att komma från andra länder.
De använder falska eller stulna identiteter från exempelvis Italien, Japan, Ukraina och USA, och ansöker via plattformar som Upwork och Freelancer. Betalning sker via kryptovalutor eller tjänster som Payoneer och Wise.
GTIG har kopplat vissa av dessa personer till projekt inom AI, blockchain, CMS-utveckling och även försvarssektorn. Storbritanniens Office of Financial Sanctions Implementation varnar att det kan bryta mot sanktioner att anlita dem. USA har åtalat flera inblandade och varnat för utpressning där sparkade IT-arbetare hotar att läcka stulna data.

Apple släpper kritiska säkerhetsuppdateringar för tre zero-day-sårbarheter

Apple har släppt akuta säkerhetsuppdateringar för tre aktivt utnyttjade zero-day-sårbarheter: CVE-2025-24200, CVE-2025-24201 och CVE-2025-24085. Dessa påverkar iPhone, iPad, Mac och andra Apple-enheter.
CVE-2025-24200 gör det möjligt för en angripare med fysisk åtkomst att inaktivera USB Restricted Mode.
CVE-2025-24201 påverkar Safari och gör att skadligt webbinnehåll kan ta sig ur webbläsarsandlådan.
CVE-2025-24085 är ett problem i CoreMedia som tillåter eskalering av privilegier via skadliga appar.
Apple har släppt patchar för iOS, macOS, watchOS och tvOS. Användare uppmanas att uppdatera omedelbart och överväga att aktivera Lockdown Mode.

Ryska järnvägar utsatt för DDoS-attack, Ukrzaliznytsia återställer tjänster

Efter förra veckans cyberattack mot Ukrainska järnvägar bekräftade ryska statsägda Russian Railways att deras webbplats och app slagits ut i en massiv DDoS-attack.
Biljettförsäljning i stationer och terminaler påverkades inte. Appen frös för många användare.
Samtidigt återställde Ukrzaliznytsia sina tjänster efter ett tekniskt fel den 23 mars som stoppade biljettförsäljningen online.
Den 30 mars meddelade de att ytterligare funktioner som realtidsdisplay och rabatter för funktionsnedsatta nu var återställda.

CISA varnar för ny Ivanti-malwarevariant: Resurge

USA:s cybersäkerhetsmyndighet CISA har varnat för en ny skadlig kod – Resurge – som utnyttjar en kritisk sårbarhet (CVE-2025-0282) i Ivanti Connect Secure-enheter.
Sårbarheten kopplas till den kinesiska spiongruppen UNC5337. Resurge påminner om Spawn-malware men är mer avancerad, med förmåga att manipulera integritetskontroller och överleva omstarter.
Den kan plantera web shells, stjäla inloggningar, skapa konton och ändra uppstartsbilden.
CISA hittade även en variant kallad SpawnSloth som döljer aktiviteter genom att manipulera loggar. Nära 400 organisationer tros vara drabbade.
CISA rekommenderar fabriksinställningar och patchar för att säkra systemen.

Kritiska sårbarheter i WordPress-plugin hotar över 20 000 webbplatser

Säkerhetsforskare har identifierat två allvarliga sårbarheter i pluginet WP Ultimate CSV Importer för WordPress, som används av över 20 000 webbplatser.
CVE-2025-2008 (CVSS 8.8) gör det möjligt för attackerare att ladda upp och köra skadliga PHP-filer.
CVE-2025-2007 (CVSS 8.1) tillåter borttagning av viktiga filer som wp-config.php, vilket kan återställa en sajt och möjliggöra övertagande.
Sårbarheterna gäller versioner upp till 7.19 och rapporterades ansvarsfullt till utvecklaren Smackcoders. En patch (7.19.1) släpptes den 25 mars.
WordPress-användare uppmanas att uppdatera pluginet omedelbart.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.