Hackare bryter sig igenom USA:s federala brandväggar när ArcaneDoor cyberspionage expanderar

Hackare har utnyttjat sårbarheter i Cisco Systems brandväggsenheter som används av amerikanska federala myndigheter, enligt tjänstemän.

Cybersecurity and Infrastructure Security Agency (CISA) utfärdade ett nöddirektiv på torsdagen och beordrade civila myndigheter att identifiera och mildra överträdelser.

Bristerna användes för att implantera skadlig kod och utföra kommandon, vilket väckte rädsla för stulen data. Cisco bekräftade att man hade utrett attacker sedan maj 2025 efter att flera statliga myndigheter rapporterat incidenter.

Storbritanniens National Cyber Security Centre (NCSC) slog också larm och varnade för att hotet sträckte sig utanför USA:s gränser och kunde påverka kritisk infrastruktur.

CISA vidtar åtgärder för att begränsa intrången

CISA agerade snabbt efter att ha bekräftat att intrången hade nått federala nätverk.

Chris Butera, tillförordnad biträdande verkställande direktör för CISA:s cybersäkerhetsavdelning, sa att hotet var "utbrett" och betonade att privata företag och andra statliga organ också bör agera.

Även om direktivet endast gäller civila myndigheter, tyder incidentens omfattning på en bredare risk för kritisk infrastruktur i USA.

Bloomberg rapporterar att specifika offer inte avslöjades, men CISA:s utredning bekräftade att komprometterade enheter var aktiva inom statliga system.

Cisco avslöjar ArcaneDoor-hackarna

Cisco identifierade hackarna som ArcaneDoor, en grupp som har drivit cyberspionagekampanjer sedan 2024. Företaget sa att det först anlitades av statliga myndigheter i maj 2025 för att undersöka brandväggsattacker.

Cisco utfärdade en säkerhetsvarning som beskrev att angriparna hade utnyttjat brister i sina enheter för att implantera kod, köra kommandon och potentiellt stjäla känsliga data.

Sårbarheterna gjorde det möjligt för hackare att kringgå försvar, vilket gjorde federala system till ett utmärkt mål. Ciscos resultat visade att ArcaneDoor hade flyttat sitt fokus från globalt spionage till amerikanska enheter under de senaste månaderna.

Internationella varningar och ökande risker

Storbritanniens NCSC upprepade CISA:s varningar och noterade att sårbarheterna kan användas för att implantera skadlig kod i nätverk.

I rådgivningen betonades att attackerna inte var begränsade till amerikanska myndigheter, vilket väckte oro för risker för internationella partner. Cybersäkerhetsföretaget Palo Alto Networks bekräftade också att det hade spårat ArcaneDoor sedan förra året.

Sam Rubin, senior vice president vid Palo Altos Unit 42-team, sa att gruppen hade ändrat sina metoder över tid och eskalerade sina kampanjer när de vände sig mot USA.

Rubin tillade att cyberkriminella grupper sannolikt skulle utnyttja samma brister efter avslöjandet av dessa spionagetaktiker.

Federal infrastruktur och den privata sektorn i beredskap

CISA:s uttalande bekräftade att intrången kan påverka kritisk infrastruktur i USA, även om inga ytterligare detaljer gavs.

Federala tjänstemän uppmanade privata företag att vidta samma skyddsåtgärder och lyfte fram den potentiella spridningen av kampanjen utanför de statliga systemen.

ArcaneDoor-operationen ses som en betydande upptrappning, med förmågan att implantera skadlig kod, exfiltrera data och störa viktiga nätverk.

Varningarna understryker hur sårbarheter i allmänt använda enheter som Ciscos brandväggar skapar systemrisker, vilket gör cybersäkerhetsåtgärder brådskande inom både statlig och privat sektor.