2025-11-26 14:30 CET
Översikt
Under november 2025 offentliggjordes ett omfattande dataläckage från det kinesiska cybersäkerhetsföretaget KnownSec. Mer än 12 000 interna dokument — inklusive hacking-verktyg, avtal med kinesiska staten och listor över spionagemål i flera länder — lades upp på GitHub av en anonym användare, för att sedan snabbt tas bort.
Experter från bland annat Mrxn och NetAskari har analyserat materialet och funnit att de senaste dokumenten daterar sig till 2023 — något som tyder på att data antingen exfiltrerades då eller att läckan selektivt färdigställts senare.
Vad dokumenten avslöjar
KnownSec, som i väst främst är känd för sin IoT-sökmotor, agerar samtidigt som cyberleverantör för kinesiska militär- och underrättelsetjänster.
Den läckta informationen innehåller kod och dokumentation för en rad offensiva verktyg — bland annat Remote Access Trojans (RATs) för Windows, Linux, macOS, iOS och Android. I fallet Android beskrivs även spionmoduler som kan extrahera meddelanden, kontakter och platsdata från vanliga meddelandeapplikationer.
Även fysisk och supply-chain-baserad spionagekapacitet finns beskrivet — bland annat en skadlig ”powerbank” designad för att tyst avlyssna och exfiltrera data från anslutna enheter.
Bland de internationella målen finns minst 80 organisationer spridda över över 20 länder (bl.a. Indien, Sydkorea, Taiwan, Japan, Vietnam, Nigeria, Storbritannien) — inom sektorer som telekom, infrastruktur, transport och immigration.
Exempel på dokumenterad stulen data: 95 GB immigrationsdata från Indien, 3 TB samtalsloggar från den sydkoreanska teleoperatören LG U-Plus, samt 459 GB vägplaneringsdata från Taiwan.
Varför läckan är historisk
Denna läcka ger en sällsynt — och oavsiktlig — inblick i hur statligt kopplade aktörer i Kina organiserar och finansierar global cyberspaning med hjälp av privata företag. Säkerhetsanalytiker kallar det för ett av de mest betydelsefulla ögonblicken för transparens i Kinas underrättelse- och övervakningsapparat.
Jämförbart är en tidigare läcka mot det kinesiska företaget i-Soon 2024 — men till skillnad från i-Soon-läckan, där amerikaner åtalades för cyberoperationer, är det än så länge inte känt vem som står bakom den här läckan eller med vilket motiv.
Vad återstår att klargöra
Läckans källa — om det är en missnöjd insider, hacktivister, statlig aktör eller del av ett större sabotage — är fortfarande okänd.
Det är oklart om de publicerade 12 000 dokumenten representerar hela företagets interna data eller bara en delmängd. Eventuellt finns fler dokument kvar utanför offentligheten.
Vilken påverkan detta får för berörda länder, privata företag och global cybersäkerhet — samt hur regeringar och underrättelseorganisationer kommer att reagera — återstår att se.
Slutsats
Läckan från KnownSec är en potentiell milstolpe för insyn i hur statligt stöd för cyberspaning fungerar i praktiken. Den blottlägger en omfattande arsenal av verktyg, metoder och internationella mål — och understryker hur privata företag kan fungera som redskap i globala underrättelseoperationer. Samtidigt är mycket osäkert: vem som läckt, vad som finns kvar och vad konsekvenserna blir för det internationella säkerhetsläget.
Denna händelse kan komma att innebära att försvar, underrättelse och cybersäkerhet nu får ny grund för realistisk hotbedömning mot statligt drivna aktörer.
Källförteckning
• https://news.risky.biz/risky-bulletin-another-chinese-security-firm-has-its-data-leaked/
• https://www.wired.com/story/major-leak-spills-chinese-hacking-contractor-tools-targets/
• https://www.theregister.com/2025/11/09/asia_tech_news_roundup/
• https://www.resiliencemedia.co/p/leaked-knownsec-files-expose-chinas