Close Menu
måndag, juni 30
Cyberattack

”PoisonSeed” phising kampanj: När hackare kapar e-postutskick som Hubspot och Mailchimp

daniel larssonBy Updated:Inga kommentarer7 Mins Read
email

I början av april avslöjades en sofistikerad phishing-kampanj som representerar en ny och farlig utveckling inom cyberbrottslighet. Kampanjen, döpt till ”PoisonSeed” av säkerhetsforskare, har skakat om cybersäkerhetsbranschen genom att visa hur angripare kan utnyttja förtroendet för legitima e-postavsändare på ett tidigare osett sätt¹.

Angriparna lyckades kompromettera stora företags e-postmarknadsföringskonton – som Mailchimp, SendGrid, HubSpot, Mailgun och Zoho – för att skicka ut falska mejl i syfte att stjäla kryptoplånboks-uppgifter². Detta representerar en betydande eskalering från traditionell phishing till sofistikerade supply chain-attacker mot betrodda kommunikationskanaler.

Säkerhetsexperten som blev lurad

Det mest uppmärksammade fallet inträffade den 25 mars 2025 när Troy Hunt, skaparen av den välkända säkerhetstjänsten ”Have I Been Pwned”, blev lurad av en extremt välkonstruerad phishing-attack³. Hunt, som är Microsoft MVP och en respekterad säkerhetsexpert, föll för en fejkad Mailchimp-notis som påstod att hans ”konto-sändningsprivilegier hade begränsats på grund av ett spam-klagomål”⁴.

Trots att Hunt använde tvåfaktorsautentisering (2FA) och lösenordshanteraren 1Password, lyckades angriparna automatiskt exportera hans e-postlista med 16,000 prenumeranter inom två minuter efter att han matat in sina uppgifter⁵. Attacken var så sofistikerad att till och med 2FA-koden relayerades i realtid till de riktiga servrarna.

Automatisering som nyckelfaktor i attacken

”Tiden mellan att jag lämnade över mina uppgifter och att listan exporterades var mindre än två minuter, vilket tyder på att attacken var automatiserad snarare än specifikt riktad mot mig,” förklarade Hunt i sin offentliga redogörelse⁶.

Teknisk analys: Så fungerar PoisonSeed

Fas 1: Målidentifiering och infiltration

PoisonSeed-operatörerna arbetar metodiskt genom att först identifiera högt uppsatta anställda med tillgång till företags CRM-system och bulk-e-postplattformar⁷. De skapar pixel-perfekta kopior av inloggningssidor för tjänster som Mailchimp och SendGrid, ofta med domäner som ”mailchimp-sso.com” och ”sso-account.com”⁸.

Fas 2: Supply chain-kompromittering

När angriparna väl fått tillgång till ett konto genomför de omedelbart flera kritiska åtgärder:

  • Exporterar hela kundlistor med tusentals e-postadresser
  • Skapar nya API-nycklar för beständig åtkomst även om lösenordet byts
  • Kartlägger organisationsstrukturen för framtida attacker⁹

Fas 3: Seed phrase poisoning

Den mest innovativa aspekten av PoisonSeed är ”seed phrase poisoning”-tekniken. Istället för traditionella phishing-länkar skickar angriparna mejl som innehåller färdiga 12-24 ord långa seed phrases med instruktioner om att ”migrera till en ny plånbok”¹⁰.

Tekniken fungerar så här:

  1. Offret får ett mejl som påstår att Coinbase ”övergår till självförvarande plånböcker”
  2. Mejlet innehåller en komplett seed phrase som påstås vara för offrets nya säkra plånbok
  3. När offret ”importerar” denna phrase skapar de i själva verket en plånbok som angriparna redan kontrollerar
  4. Alla kryptovalutor som överförs till denna plånbok hamnar direkt i angriparnas händer¹¹

Omfattning och påverkan: Global räckvidd av kampanjen

Drabbade organisationer

Förutom Troy Hunts Mailchimp-konto har PoisonSeed kompromitterat flera stora organisationer:

  • Akamai SendGrid-konto användes för att skicka Coinbase-phishing-mejl i mars 2025¹²
  • Företag inom alla transportslag har rapporterat misstänkta PoisonSeed-aktiviteter
  • Tusentals slutanvändare har exponerats för seed phrase poisoning-attacker¹³

Teknisk sofistikering

Silent Push, säkerhetsföretaget som först identifierade kampanjen, understryker PoisonSeeds tekniska sofistikering:

  • Command and Control-domäner som ”mysrver-chbackend.com” och ”nikafk244.com”
  • JavaScript-baserade phishing-kit med fingeravtryck-matchning
  • Cross-platform API-integrationer för automatiserad dataexport¹⁴

Kopplingar till andra hackergrupper

Likheter med etablerade hot

Medan PoisonSeed delar vissa tekniker med CryptoChameleon och Scattered Spider (båda kopplade till ”The Comm” cybercrime-ekosystemet), bedömer säkerhetsanalytiker att det är en distinkt operation¹⁵.

Viktiga skillnader:

  • CryptoChameleon fokuserar på snabba uttag från rika kryptoinvesterare
  • Scattered Spider specialiserar sig på företags-ransomware mot varumärken som Nike och Forbes
  • PoisonSeed använder fördröjda seed phrase-attacker och supply chain-kompromittering¹⁶

Domän-återanvändning och attribution

Den domain ”mailchimp-sso.com” som användes mot Troy Hunt hade tidigare kontrollerats av Scattered Spider 2022, men återregistrerades på NiceNIC (en registrar som föredras av både Scattered Spider och CryptoChameleon) den 24 mars 2025¹⁷. Detta komplicerar attribution men tyder på att olika grupper återanvänder framgångsrika domäner.

Svenska implikationer: Ökad sårbarhet

Hotbild för svenska företag

För svenska organisationer innebär PoisonSeed en paradigmshift i cybersäkerhetstänkandet. Traditionellt har focus legat på att skydda interna system, men denna kampanj visar att marknadsförings- och CRM-system nu är högt prioriterade mål¹⁸.

Särskild risk för fintech och krypto

Sveriges växande fintech-sektor och ökade kryptoadoption gör landet till ett attraktivt mål för seed phrase poisoning. Företag som Klarna, Trustly och andra svenska finansteknologi-aktörer bör förvänta sig riktade attacker liknande PoisonSeed.

Tekniska försvar: Så här kan du skydda dig mot PoisonSeed

För företag och organisationer

CRM och e-postskydd:

  • Phishing-resistent 2FA (hårdvarunycklar/passkeys) för alla administrative konton
  • API-nyckelövervakning med automatiska larm vid skapande av nya nycklar
  • Nätverkssegmentering mellan marknadsföringssystem och känslig infrastruktur
  • E-postautentisering (DMARC, SPF, DKIM) för att förhindra spoofing

Personalutbildning:

  • Riktad phishing-träning för anställda med CRM-åtkomst
  • Verifieringsrutiner för alla brådskande säkerhetsnotiser
  • ”Jetlag-protokoll” – extra försiktighet vid trötthet eller stress

För slutanvändare och kryptoinvesterare

Seed phrase-säkerhet:

  • Lita aldrig på seed phrases i mejl – legitima tjänster skickar aldrig färdiga nycklar
  • Skapa alltid egna plånböcker genom tjänstens officiella webbplats/app
  • Verifiera genom alternativa kanaler innan du vidtar åtgärder baserat på mejl
  • Använd hårdvaruplånböcker för större kryptotillgångar

E-postverifiering:

  • Kontrollera avsändaradresser noga (PoisonSeed använder domäner som ”mailchimp-sso.com”)
  • Besök tjänster direkt istället för att klicka på mejl-länkar
  • Aktivera notifikationer från legitima tjänster för att jämföra meddelanden

Framtida hotbild: Utvckling av supply chain-attacker

Förväntade utvecklingar

Säkerhetsexperter förutspår att PoisonSeed representerar början på en ny våg av supply chain-attacker mot betrodda kommunikationstjänster. Framtida varianter kan inkludera:

  • AI-genererat innehåll för ännu mer övertygande phishing
  • Multi-stage payloads som kombinerar seed phrase poisoning med andra tekniker
  • Cross-platform attacks som utnyttjar integrationer mellan olika tjänster

Regulatoriska implikationer

EU:s NIS2-direktiv och kommande AI-förordning kommer sannolikt att kräva strängare säkerhetsåtgärder för CRM och e-postleverantörer. Företag som Mailchimp och SendGrid kan behöva implementera:

  • Obligatorisk phishing-resistent autentisering för administrativa funktioner
  • Real-time anomaly detection för onormal API-användning
  • Mandatory breach notification inom 24 timmar

Slutsatser: Nytt paradigm för cybersäkerhet

PoisonSeed-kampanjen markerar en betydande evolution inom cyberbrottslighet där förtroende blir den primära sårbarheten. När även erkända säkerhetsexperter som Troy Hunt kan luras, måste hela industrin ompröva sina försvar.

Tre viktiga lärdomar:

  1. Supply chain-angrepp mot betrodda tjänster blir den nya normalen
  2. Traditionell 2FA är otillräcklig mot sofistikerade real-time phishing
  3. Kryptosäkerhet kräver helt nya utbildnings- och verifieringsprotokoll

För svenska företag och myndigheter innebär detta ett akut behov av att uppdatera cybersäkerhetsstrategier för att hantera denna nya generation av hot. Som Troy Hunt sa efter sin erfarenhet: ”Vi behöver kollektivt pusha organisationer mot phishing-resistenta autentiseringsmetoder”¹⁹.

Kampen mot PoisonSeed och liknande kampanjer kommer att kräva både tekniska innovationer och en fundamental förändring i hur vi tänker kring digitalt förtroende.

Källor:

  1. Silent Push, ”PoisonSeed Campaign Targets CRM and Bulk Email Providers”, 3 april 2025
  2. BleepingComputer, ”PoisonSeed phishing campaign behind emails with wallet seed phrases”, 4 april 2025
  3. Troy Hunt, ”A Sneaky Phish Just Grabbed my Mailchimp Mailing List”, 29 mars 2025
  4. Ibid.
  5. Dark Reading, ”Security Expert Troy Hunt Lured in by Mailchimp Phish”, 28 mars 2025
  6. Troy Hunt, ”A Sneaky Phish Just Grabbed my Mailchimp Mailing List”, 29 mars 2025
  7. The Hacker News, ”PoisonSeed Exploits CRM Accounts to Launch Cryptocurrency Seed Phrase Poisoning Attacks”, 7 april 2025
  8. Silent Push, ”PoisonSeed Campaign Targets CRM and Bulk Email Providers”, 3 april 2025
  9. CSO Online, ”PoisonSeed targets Mailchimp, Mailgun, and Zoho to phish high-value accounts”, 7 april 2025
  10. BleepingComputer, ”PoisonSeed phishing campaign behind emails with wallet seed phrases”, 4 april 2025
  11. Phishing Tackle, ”PoisonSeed Exploits CRMs and Email to Steal Cryptocurrency Seeds”
  12. Silent Push, ”PoisonSeed Campaign Targets CRM and Bulk Email Providers”, 3 april 2025
  13. SC Media, ”Massive PoisonSeed phishing campaign seeks extensive crypto theft”, 7 april 2025
  14. Silent Push, ”PoisonSeed Campaign Targets CRM and Bulk Email Providers”, 3 april 2025
  15. CSO Online, ”PoisonSeed targets Mailchimp, Mailgun, and Zoho to phish high-value accounts”, 7 april 2025
  16. Intertec Systems, ”PoisonSeed: Sophisticated Crypto Phishing”, 8 april 2025
  17. Silent Push, ”PoisonSeed Campaign Targets CRM and Bulk Email Providers”, 3 april 2025
  18. Egen analys baserad på PoisonSeeds metoder och svensk företagsstruktur
  19. Help Net Security, ”If you think you’re immune to phishing attempts, you’re wrong!”, 2 april 2025

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.