Vad är zero-click atttacker och hur kan du drabbas av dessa. Det är en attack där du inte gör något men du blir ändå attackerad. Du kan drabbas utan att du klickar på något och AI kan användas i metoden.
Se videon med Jeff Crume vad zero-click attacker är och hur AI agenter kan göra det värre och vad du kan göra för att skydda dig med AI brandväggar och zero trust. Han visar exempel med spionprogramvaran Pegasus som är en programvara som kan se din device, sätta på kameran eller höra dialogen från mobilen.
Osynliga vapen: Hur zero-click-attacker och AI förändrar cybersäkerhet
Zero-click-attacker kräver ingen användarinteraktion för att kompromettera enheter, vilket gör dem till de farligaste cyberhoten som existerar. Dessa attacker utnyttjar sårbarheter i vanliga tjänster som iMessage, WhatsApp och e-postklienter för att automatiskt installera spionprogram på offrens telefoner. När artificiell intelligens nu accelererar både utveckling och spridning av dessa attacker står vi inför en ny era av cybersäkerhetshot där traditionella försvar blir alltmer otillräckliga.
För första gången har även AI-agenter själva blivit måltavlor – Microsoft 365 Copilot hackades via en zero-click-attack som automatiskt läckte känsliga data utan att användaren märkte något.
Detta hot drabbar inte bara aktivister och journalister. Med AI som sänker kompetens barriärer dramatiskt kan även mindre skickliga angripare lansera sofistikerade attacker. Försvarsåtgärder som zero trust-arkitektur och AI-brandväggar finns, men kampen är ojämn när attackerna utvecklas snabbare än skydden kan implementeras.
Källa: DigitalXRAID
Tekniken varför attacken blir osynligheten
Zero-click-attacker skiljer sig fundamentalt från traditionella cyberangrepp genom att eliminera det mänskliga beslutsögonblicket. Istället för att lura användare att klicka på skadliga länkar utnyttjar dessa attacker sårbarheter i tjänster som automatiskt processar inkommande data.
När din telefon tar emot ett meddelande via iMessage eller WhatsApp sker en rad bakgrundsoperationer: bildformat analyseras, förhandsgranskningar genereras, medieinnehåll omkodas. Var och en av dessa automatiska processer utgör en potentiell angreppsyta.
Check Point Software
Den tekniska exekveringskedjan består av fyra avgörande steg. Först skickar angriparen specialutformad data – ofta en manipulerad bild, PDF eller multimediemeddelande – till offrets enhet. Målets telefon börjar sedan automatiskt processa denna data utan användarens vetskap eller interaktion. I det tredje steget triggar den skadliga datan en minneskorrumperingsbug i parsingkoden, typiskt en buffertoverflow, integer overflow eller use-after-free-sårbarhet. Slutligen uppnår angriparen godtycklig kodexekvering, eskalerar privilegier och komprometterar hela enheten.
Ett konkret exempel är FORCEDENTRY-exploiten som NSO Group använde mellan februari och september 2021. Denna attack skickade en PDF-fil maskerad som en GIF via iMessage.
Källa: Kaspersky
Apples bildbehandlingssystem ImageIO använder innehållsbaserad formatdetektering snarare än filändelser, vilket exponerar över 20 olika bildcodecs för zero-click-attacker. FORCEDENTRY utnyttjade en integer overflow-sårbarhet i CoreGraphics JBIG2-avkodare.
Wikipedia
Genom att manipulera segmenträknare kunde angriparen skapa en för liten buffert som sedan överskrevs, vilket korrumperade kritiska datastrukturer i minnet. Det revolutionerande med FORCEDENTRY var att den implementerade en Turing-komplett dator inuti en bildavkodare. Med över 70 000 JBIG2-segment skapade angriparna logiska bitoperationer (AND, OR, XOR) som tillsammans bildade register, en 64-bitars adderare och en komparator. Detta ”virtuella datorsystem” kunde söka igenom minnet, utföra aritmetik och lokalisera kod – allt inom en enda bildparser. Google Project Zero kallade det ”en av de mest tekniskt sofistikerade exploits vi någonsin sett”.
Wikipedia
Modern minneskorruption kräver ofta att kringgå flera säkerhetslager.
FORCEDENTRY besegrade BlastDoor (Apples iMessage-sandlåda) genom att rikta sig mot IMTranscoderAgent-processen som körde utanför sandlådan. Protectstar
Den kringgick Pointer Authentication Codes genom typförvirring med JBIG2-objektarv. ASLR (Address Space Layout Randomization) besegrades genom att logiska operationer scannande minnet för att hitta kodadresser. Denna typ av exploit-kedjor kostar miljontals dollar att utveckla och representerar toppmodern offensiv cyberteknik.
Trend Micro
Pegasus: Spionprogram som förändrade spelreglerna
NSO Groups Pegasus utgör det mest sofistikerade kommersiella övervakningsverktyget som dokumenterats offentligt. Det israeliska cybervapenföretaget, grundat 2010, har förvandlat zero-click-exploits till en lukrativ affärsmodell där regeringar betalar miljontals dollar för osynlig tillgång till måltavlors smartphones. Pegasus kan läsa krypterade meddelanden, aktivera mikrofon och kamera, spåra position och extrahera allt innehåll från enheten – helt utan att användaren märker något.
Medium
Evolutionen av Pegasus attackvektorer visar en systematisk eskalering. Mellan 2016 och 2018 förlitade sig NSO Group på SMS-phishing där användare lurades att klicka på skadliga länkar. blogspotWikipedia 2018-2019 introducerades nätverksinjektionsattacker via infiltrerade mobiloperatörer. Från 2019 och framåt har zero-click-exploits blivit standardmetoden, vilket eliminerar alla spår av användarinteraktion och gör detektion extremt svår.
ResearchGate
KISMET-exploiten aktiverades mellan juli och september 2020 mot iOS 13.5.1 och 13.7. Den utnyttjade sårbarheter i IMTranscoderAgent-processen genom att manipulera ICC-färgprofildata i JPEG-bilder. Attacken upptäcktes först efter att nio bahrainiska aktivister hackades, men blev troligen ineffektiv efter att Apple introducerade BlastDoor-sandlådan i iOS 14.
The Citizen Lab
BLASTPASS följde i september 2023 och riktade sig mot iOS 16.6 genom att skicka PassKit-bilagor med skadliga bilder via iMessage.
Protectstar
Denna attack utnyttjade både en buffertoverflow i ImageIO (CVE-2023-41064) och en valideringssårbarhet i Wallet-appen (CVE-2023-41061).
Kaspersky
De verkliga offren för Pegasus visar hur zero-click-attacker används mot civilsamhället. Jamal Khashoggis fästmö Hatice Cengiz och ex-fru Hanan Elatr infekterades dagarna efter journalistens mord i oktober 2018.
Encyclopedia Britannica Norton
Azerbajdzjanska journalisten Khadija Ismayilova hackades upprepade gånger mellan 2019 och 2021.
Minst 180 journalister har identifierats som mål, The Washington Post inklusive The Wire-grundarna Siddharth Varadarajan och MK Venu i Indien, Amnesty International samt alla 22 journalister på den salvadoranska publikationen El Faro.
Pegasus Project-läckan i juli 2021 avslöjade en lista med 50 000 telefonnummer utvalda som potentiella mål. Forbidden Stories Bland dessa fanns 14 statschefer, Wikipedia EU:s justitiekommissionär Didier Reynders och Frankrikes president Emmanuel Macron.
Encyclopedia Britannica
När Amnesty Internationals Security Lab analyserade 67 telefoner från listan visade 37 bevis på framgångsrik Pegasus-infektion. blogspot
Detta representerar inte bara en teknisk förmåga utan en systematisk missbruk av zero-click-teknologi mot politisk opposition, fria medier och människorättsförsvarare. NSO Group har marknadsfört sina produkter till minst 74 regeringar – nästan 40 procent av världens nationer.
Encyclopedia Britannica
Trots amerikanska sanktioner i november 2021 och president Bidens verkställandeorder i mars 2023 som förbjuder federala myndigheter från att använda kommersiellt spionprogram,
Wikipedia fortsätter marknaden att växa. När WhatsApp vann en rättslig seger mot NSO Group i maj 2024 och tilldelades 167 miljoner dollar i skadestånd, TechCrunch avslöjades att företaget hade banktillgångar på endast 5,1 miljoner dollar. Ändå verkar marknadsefterfrågan stark nog för att branschen ska överleva.
TechCrunch
AI amplifierar hotet exponentiellt
Artificiell intelligens förändrar fundamentalt både utveckling och spridning av zero-click-attacker. Tidigare krävdes års specialiserad utbildning för att upptäcka sårbarheter och utveckla exploits. Nu kan AI-verktyg identifiera potentiella säkerhetsbrister på bråkdelen av tiden. I februari 2025 använde Microsoft Security Copilot för att hitta sårbarheter i open source-bootloaders för Linux, vilket sparade ungefär en veckas manuellt granskningsarbete. Microsoft Google Project Zero tillkännagav i november 2024 den första AI-upptäckta zero-day-sårbarheten i SQLite.
F5
Skadliga LLM-plattformar har demokratiserat cyberbrottslighet. WormGPT och FraudGPT lanserades båda i juli 2023 som ”jailbrokade” AI-modeller utan etiska säkerhetsräcken. FraudGPT marknadsfördes med abonnemang från 200 dollar per månad till 1 700 dollar per år och påstod sig ha sålt över 3 000 licenser. Dessa verktyg kan skriva skadlig kod, generera phishing-sidor och skapa oupptäckbar malware. Infosecurity EuropeSentinelOne I september 2025 upptäckte SentinelOne MalTerminal, den första bekräftade skadliga programvaran med inbäddad LLM-funktionalitet. Denna malware använder OpenAI GPT-4 för att dynamiskt generera ransomware-kod eller reverse shells vid körning, vilket gör att ingen förskriven skadlig kod finns i binärfilen att detektera. The Hacker SentinelOne
Forskningsresultat visar dramatiska effektivitetsökningar. Palo Alto Networks Unit 42 demonstrerade att LLM kan skapa 10 000 malware-varianter från ett enda prov med 88 procents framgång i att undvika maskininlärningsbaserad detektion.
The Hacker News
AI-genererad nätfiske har 60 procents framgång – jämförbart med expertutformade attacker – men kan produceras 40 procent snabbare och till en bråkdel av kostnaden.
PurpleSec
Nordkoreas IT-arbetarkampanj VISAR hur AI möjliggör sofistikerade, storskaliga operationer
CrowdStrike rapporterade en 220-procentig ökning av framgångsrika infiltrationer 2024-2025, med över 320 företag infiltrerade.
Fortune
Nästan alla Fortune 500-företag har omedvetet anställt nordkoreanska arbetare, enligt flera säkerhetsföretag. Axios Dessa arbetare genererar 250-600 miljoner dollar årligen till Nordkoreas vapenindustri. Recorded Future
AI genomsyrar hela attackkedjan. Identitetsskapande börjar med faceswap-teknik som flyttar nordkoreanska ansikten på stulna identitetsdokument och AI-förbättrade professionella fotografier. The RecordFortune
I oktober 2024 upptäckte Microsoft ett offentligt GitHub-repository innehållande AI-modifierade bilder av arbetare, resumer, e-postkonton och VPN-uppgifter. En enda arbetare hade tjänat minst 370 000 dollar genom dessa metoder.
Microsoft
Ansökningsprocessen automatiseras fullständigt.
Okta Research observerade i april 2025 ”omfattande” användning av AI-förbättrade tjänster: e-post- och telefonhantering för flera personligheter, realtidsöversättning, AI-optimerade CV för applicant tracking-system och automatiserad ansökningstestning. The Record Ett dokument från en nordkoreansk arbetare beskrev hur man använder AI webcam-recensioner för att öva intervjutekniker och testar deepfake-filter innan riktiga intervjuer.
therecord
Under själva intervjuerna använder arbetarna realtids-deepfake-teknologi för att maskera sina verkliga identiteter. CrowdStrike Assessment: ”Famous Chollima-operatörer använder mycket troligt realtids-deepfake-teknologi för att dölja sina sanna identiteter i videointervjuer. En realtids-deepfake gör det möjligt för en enda operatör att intervjua för samma position flera gånger med olika syntetiska personligheter.”
Fortune
KnowBe4-incidenten i juli 2024 illustrerar effektiviteten. Ett nordkoreanskt arbetare passerade fyra videointervjuer och bakgrundskontroller för en position som principal software engineer. Tjugo minuter efter att ha mottagit arbetslaptoppen upptäckte företagets EDR-system malware-laddning. FBI-utredningen avslöjade att arbetaren använde en stulen amerikansk identitet med AI-förbättrat foto och anslöt via VPN från Nordkorea eller Kina.
knowbe4
Kampanjer har eskalerat bortom att generare inkomster till datastöld och utpressning. FBI varnade i januari 2025 att arbetare nu stjäl proprietära data och källkod, sedan kräver lösensummor för att inte offentliggöra den. Vissa känsliga data har redan publicerats när lösensummor inte betalats. Infosecurity
Utvecklingen från ett sätt att tjäna pengar till aktiv cyberespionage och utpressning markerar en farlig utveckling som möjliggörs av AI-verktyg.
AI-agenter blir själva måltavlor
Första generationens zero-click-attacker riktade sig mot traditionella applikationer. Nu framträder en helt ny attackyta: AI-agenter själva. I juni 2025 upptäckte Aim Security EchoLeak (CVE-2025-32711), den första kända zero-click-attacken mot en AI-agent. DigitalXRAID
Med CVSS-score 9.3 (kritisk) utnyttjade denna attack Microsoft 365 Copilot genom LLM scope violation. Cybersecurity DiveTrend Micro
Attackens mekanism är elegant och dödlig. En angripare skickar ett e-postmeddelande med dolda promptinjektionskommandon (i HTML-kommentarer eller vit-på-vit text) som förgiftar Copilots kontextuella minne. När användaren senare ber Copilot ”sammanfatta dagens e-post” processerar AI:n automatiskt den tidigare booby-trapped meddelandet. De injicerade kommandona instruerar Copilot att exfiltrera känslig data via markdown-bild-URL:er till angriparkontrollerade endpoints. DigitalXRAIDTrend Micro
Eftersom förfrågningarna kommer från Microsofts betrodda domän kringgås Content Security Policy. Ingen användarinteraktion krävs – bara det faktum att e-postmeddelandet finns i användarens inkorg och Copilot tillfrågas är tillräckligt. Trend MicroThe Hacker News
Zenity Labs demonstrerade vid Black Hat USA 2024 ett helt spektrum av zero-click AI-agent-exploits kallat AgentFlayer. Ett skadligt dokument uppladdat till Google Drive innehåller dolda promptinjektioner som instruerar ChatGPT att söka igenom Drive efter API-nycklar och exfiltrera dem. När användaren arbetar med Cursor (en AI-kodeditor) och ansluter till Jira via MCP (Model Context Protocol) kan en skadlig Jira-biljett injicera rogue-prompts som extraherar repository-hemligheter. Microsoft Copilot Studio kan luras via ett specialutformat e-postmeddelande att dela värdefull data med angripare som bara behöver offrets e-postadress. Cybersecurity DiveCSO Online
Forskare vid Cornell University utvecklade Morris II Worm i april 2024, världens första AI-mask. Denna självreplikerande adversarial prompt exploaterar RAG-databaser (Retrieval Augmented Generation) och skapar en kedjereaktion över anslutna AI-applikationer. Masken har egenskaper som tillåter överlevnad genom multipla inferenser och exekverar skadliga åtgärder vid varje inferens, vilket eskalerar från individuell app till ekosystemnivå. arXivTech Advisors
Säkerhetslandskapet blir än mer komplext när man inser att 31 av 36 testade mobilbank- och finansiella chattapplikationer visade sig vara sårbara för promptinjektion enligt 2025 års forskning. WatchGuard
AI-brandväggar och nya säkerhetslager måste nu implementeras för att skydda inte bara traditionella system utan även de AI-assistenter som blir alltmer integrerade i företagsmiljöer.
Försvaret i en asymmetrisk kamp
Modern försvar mot zero-click-attacker bygger på flera överlappande säkerhetslager, men inga ger fullständiga skydd. Zero trust-arkitektur utgör grunden genom principen ”lita aldrig, verifiera alltid”. Istället för att anta att enheter inom nätverket är säkra verifierar zero trust kontinuerligt varje åtkomstbegäran baserat på realtidsriskbedömning.
Cloudflare
Mikrosegmentering begränsar åtkomst till specifika resurser endast, vilket minskar explosionsradien om en enhet komprometteras via en zero-click-exploit. Zscaler
NIST SP 800-207 definierar tre kärnkomponenter i zero trust-arkitektur: Policy Engine fattar åtkomstbeslut baserat på kontextuella förtroendealgoritmer som utvärderar användaridentitet, enhetshälsa, beteendemönster, geolokalisation och applikationskänslighet. Policy Administrator exekverar dessa beslut genom att etablera eller terminera sessioner. Policy Enforcement Points fungerar som grindvakter för resursåtkomst.
Denna arkitektur förhindrar inte den initiala kompromissen men begränsar angriparens förmåga att röra sig lateralt efter att ha brutit sig in.
AI-brandväggar representerar nästa generations försvar, särskilt kritiska för att skydda LLM-baserade applikationer. Akamais Firewall for AI erbjuder modell-agnostiskt skydd som blockerar adversarial inputs, obehöriga förfrågningar och dataskrapning i realtid. Trend Micro Vision One AI Security tillhandahåller specifikt skydd mot EchoLeak-sårbarheten i Microsoft 365 Copilot.
Trend Micro Dessa system använder Natural Language Processing för att detektera skadlig avsikt och blockerar promptinjektion inklusive dolda HTML-kommentarer och vit-på-vit-text-tricks.
AkamaiTrend Micro
Endpoint Detection and Response-lösningar (EDR) utgör försvarsslingan. CrowdStrikeHexnode CrowdStrike Falcon EDR använder beteendebaserade Indicators of Attack snarare än traditionella signatures, vilket gör systemet effektivt mot zero-day-hot. Microsoft Defender for Endpoint kan köras i blockläge även när det fungerar passivt med icke-Microsoft antiviruslösningar, vilket ger automatiserad respons mot skadliga artefakter efter intrång. Microsoft Learn SentinelOne Singularity rekonstruerar attackkedjor med Storylines-teknologi och använder Offensive Security Engine för att simulera zero-day-attacker proaktivt. Packetlabspacketlabs
Apple har implementerat flera lager av hårdvarubaserat skydd. BlastDoor introducerades i iOS 14 som en hårt sandlåda tjänst för att parsa opålitligt data i iMessages. Wikipedia
Lockdown Mode i iOS 16 erbjuder extremt skydd för högriskindivider genom att drastiskt reducera attackytan.
The Citizen Lab
Läget blockerar de flesta meddelandebilagetyper, inaktiverar komplexa webbteknologier som JIT JavaScript-kompilering, blockerar FaceTime-samtal från okända kontakter och förhindrar HomeKit-inbjudningar. Protectstar
Citizen Lab bekräftade att NSO Groups PWNYOURHOME-exploit (som riktade sig mot HomeKit) misslyckades när Lockdown Mode var aktiverat.
9to5Mac
WhatsApp patchade i augusti 2025 CVE-2025-55177, en otillräcklig auktoriseringssårbarhet som kedjades med Apple CVE-2025-43300 för att skapa en zero-click-exploit via skadliga DNG-bildfiler. MalwarebytesThe Hacker News
Färre än 200 användare notifierades, mestadels journalister och civilsamhällesmedlemmar. SOCRadarThe Hacker News Meta vann i maj 2024 ett juridiskt avgörande mot NSO Group på 167 miljoner dollar för attacker mot 1 400 WhatsApp-användare 2019, vilket etablerar viss juridisk ansvarsförmåga för kommersiella spionprogramföretag.
Wikipedia
Begränsningarna i nuvarande skydd är betydande. Det finns ingen användarbeslutspunkt att försvara i zero-click-attacker, vilket gör traditionell säkerhetsutbildning irrelevant.
KasperskyMedium
Framtiden: Konvergens av hot och försvar
Den kommande utvecklingen pekar mot en acceleration av både offensive och defensiva AI-kapaciteter. Palo Alto Networks förutspår att majoriteten av avancerade cyberattacker år 2026 kommer att använda AI för dynamiska, flerskiktade attacker som anpassar sig omedelbart till försvar. Government TechnologyPalo Alto Networks Deepfake-video blir omöjligt att skilja från verklighet, vilket vapenar social engineering på helt nya sätt.
Cyber Defense MagazineSC
Media Threat actors weaponiserar CVE:er 22 minuter efter att proof-of-concept publicerats, enligt Cloudflare 2024-rapport. Darktrace
Den kommersiella spionprogram-industrin visar anmärkningsvärd motståndskraft. Trots amerikanska sanktioner mot NSO Group och Intellexa fortsätter marknaden att växa mot uppskattade 12 miljarder dollar globalt. När en leverantör sanktioneras fyller andra luckan. Serieentreprenörer lanserar nya företag efter att tidigare stängts ner. 2024 identifierades 20 nya amerikanska investerare i kommersiellt spionprogram, vilket ökade totalen till 31 – USA är nu den största investeraren i branschen trots egna regleringar mot användning. Slashdot
IoT expanderar attackytan exponentiellt med smarta hem som riskerar 12 000 hackerattacker per vecka. Norton
Anslutna fordon med upp till 150 elektroniska styrenheter skapar nya sårbarheter, vilket demonstrerades när 800 000 Volkswagen-elbilar exponerade rörelsedata i december 2024 på grund av felkonfiguration i Amazons molnlagring.
IoT For AllDevice Authority
Operational technology och industriella kontrollsystem som historiskt krävde nationalstats-sofistikering blir nu tillgängliga för lägre-nivåaktörer.
Kvantdatortillgång hotar att göra nuvarande kryptering obsolet inom nästa decennium. ”Harvest now, decrypt later”-taktiker av nationalstater samlar krypterad data idag för framtida dekryptering. NIST har släppt post-kvant-kryptografi-standarder, men organisationer måste påbörja övergången nu för att skydda långsiktiga hemligheter. ZscalerPalo Alto Networks
Recorded Future varnar för en potentiell ”mobil NotPetya-händelse” där självspridande mobil malware via zero-click-exploits skulle kunna infiltrera smartphones i massiv skala, liknande 2017 års NotPetya ransomware-attack som orsakade miljarder dollar i skador globalt. Villkoren är uppfyllda: pågående zero-click-utveckling, potential för mobil malware-självständighet och sårbara konsumentbaser. Recorded Future
Det paradoxala är att medan AI-verktyg gör sofistikerade attacker tillgängliga för mindre skickliga aktörer, gör samma teknologi också försvar mer effektivt. AI-drivna hotjakt-system kan identifiera subtila beteendeavvikelser som indikerar zero-click-kompromiss. Automatiserad sårbarhetsinne och patchning accelererar. Defensiv AI håller på att mogna till en motverkande kraft mot offensiv AI.
Apples bug bounty erbjuder upp till 2 miljoner dollar för Lockdown Mode-kringgång – fortfarande betydligt mindre än svartmarknadsvärdet. SecurityWeek
Regulatoriska svar har varit fragmenterade. President Bidens verkställandeorder från mars 2023 förbjuder federala amerikanska myndigheter från att använda kommersiellt spionprogram som utgör nationella säkerhetsrisker eller möjliggör människorättskränkningar vilket troligtvis inte längre är några problem med Trump regimen.
EU saknar märkligt nog enhetlig reglering, vilket tillåter företag som NSO Group och Intellexa att etablera dotterbolag i svagare jurisdiktioner. Amnesty International och andra organisationer efterlyser ett globalt moratorium på spionprogramsförsäljning, men sådan koordination saknas fortfarande 2025.
Centre for International Governance InnovationAmnesty International
Den mest kritiska insikten är att perfekt skydd mot zero-click-attacker förblir utomnådelig. blogspot Bästa försvaret kombinerar tekniska kontroller (zero trust, EDR, AI-brandväggar), organisatoriska processer (aggressiv patchhantering, kontinuerlig övervakning), användarmedvetenhet för bredare säkerhetskultur och kontinuerlig anpassning till det nya hotlandskapet.
För högriskindivider – journalister, aktivister, regeringstjänstemän – är Apples Lockdown Mode den enda bekräftade effektiva metoden, trots betydande användbarhetskostnader.
Protectstar
Vi befinner oss i en ny era där vapen kan avfyras utan att offret någonsin ser dem komma. Zero-click-attacker representerar denna utveckling i sin renaste form: osynliga, automatiska och nästan omöjliga att försvara sig mot med traditionella metoder.
Kaspersky
När AI accelererar både utveckling och demokratisering av dessa vapen måste samhället fundera över inte bara hur vi skyddar oss tekniskt, utan också hur vi reglerar en bransch som förvandlat digital övergripning till en lukrativ global verksamhet.
