Mihoko Matsubara är chefsstrateg för cybersäkerhet på den japanska telekomjätten NTT, Nippon Telegraph and Telephone Corporation. Det är ett av världens fem största telekombolag.
Matsubara har i flera år varnat för att Europa underskattar cyberhotet från Kina och Nordkorea. Enligt henne arbetar båda länderna målmedvetet för att ta sig in i samhällsviktig infrastruktur långt utanför Asiens gränser.
I skuggan av Ryssland ligger hela Asien
I europeiska medier skrivs det mycket om ryska hybridattacker och kriget i Ukraina. Men det som Matsubara ser hända är att Kina och Nordkorea tyst bygger ut sina digitala nätverk också utanför Asien.
Det handlar både om vanligt informationsinsamlande, på samma sätt som amerikanska storbolag gör, och om stölder av affärshemligheter och spioneri i våra myndigheters nätverk.
Men Kinas och Nordkoreas strategiska mål är mer långsiktiga och mycket allvarligare än så, säger Matsubara. De kryper sakta men säkert in i så mycket av vår samhällsviktiga infrastruktur som de de bara kan.
Där ligger de vilande i våra system och väntar på rätt tillfälle att slå till – om den geopolitiska kartan förändras dramatiskt.
Det här är egentligen något japanska myndigheter har varnat för gång på gång i väst. Men Matsubara upplever att Europa inte riktigt lyssnar och att vi underskattar riskerna på ett farligt sätt.
– Det är dags för ett tätare cybersamarbete mellan väst och Asien, säger hon.
1. Kinas dolda cyberhot är ofta just det – osynliga
– Vi tror att den kinesiska hackargruppen Volt Typhoon placerar sig i de nätverk som de stora leverantörerna av samhällskritisk infrastruktur upprätthåller. Det handlar om energi, kommunikation, transport och vatten, säger Matsubara.
Flera amerikanska säkerhetsmyndigheter, bland annat FBI, och it-företag som Microsoft, bedömer att Volt Typhoon har direkta kopplingar till den kinesiska staten.
– USA säger att Volt Typhoon-hackare redan i flera år har gömt skadlig programvara i amerikansk infrastruktur. Sådana har också hittats hos en internetleverantör i Indien och i Singtel, ett telekommunikationsföretag i Singapore.
Enligt Matsubara visar Europa överraskande lite intresse för Kinas cyberaktiviteter.
– Jag har full förståelse för att européer är mer oroade över ryska cyberhot än över andra statligt sponsrade aktörer. Men i Japan är vi granne med flera länder som kan genomföra olika typer av cyberattacker. Kina är ett allvarligt hot.
Hon tillägger att Kina inte på kort sikt utför några direkta cyberattacker utan i stället utnyttjar möjligheten att agera i det fördolda.
– När det gäller Kina, till exempel Volt Typhoons attacker, tror vi att de placerar sig i andra länders nätverk för att senare kunna störa kritisk infrastruktur vid behov, i första hand antagligen i en större konflikt med USA.
I Japan har de alltså ännu inte sett några strategiskt motiverade cyberangrepp från Kina.
– Det är alltså en helt annan situation än den vi har sett i Ukraina. Vi vet ganska bra hur Ryssland utför sina cyberattacker. När det gäller Kina vet vi egentligen inte hur vi ska förbereda oss på deras cyberangrepp.
2. Cyberhoten från Kina och Nordkorea är komplexa
Cisco Talos, världens största organisation som analyserar cyberhot, rapporterade i mars 2025 att de hittat kinesiska aktörer i taiwanesiska organisationers nätverk. Aktörerna själva fanns i både Kina och Tyskland.
– De upptäckte också att aktörer med kopplingar till Kina redan riktat in sig på taiwanesiska telekom-, it- och hälsovårdsföretag. Både målen och metoderna liknar dem som Volt Typhoon använder sig av. Så jag undrar om Japan är nästa mål.
Är det möjligt att Japan redan är ett mål, men att ni inte har upptäckt det ännu?
– Det är möjligt. Men vi har ännu inte sett några rapporter om att någon redan skulle ha brutit sig in hos leverantörer av samhällskritisk infrastruktur i Japan.
Matsubara påminner att Japan också är granne med Nordkorea, en annan cyberaktör som är mycket mer långsiktig och sofistikerad än Ryssland.
– Nordkoreaner började i fjol sända it-arbetare till andra länder. De söker distansjobb på företag, också i Europa, genom att utge sig för att vara någon annan. Det har blivit allt lättare att få sådana jobb, säger hon.
Det här beror främst på att många uppstartföretag nuförtiden rekryterar globalt och vissa företag inte har kontor utan alla anställda jobbar hemifrån.
Nordkorea utvecklade det här tricket under covid-pandemin när arbetsintervjuer online blev vanligare, och numera använder Nordkorea dessutom generativ AI för att skapa ett väldigt övertygande cv.
– De kan också använda deepfake-teknik för att genomföra en distansintervju, förklä sig och skapa en helt annan person och ett annat ansikte. Nordkoreanska it-arbetare drar varje år in närmare en halv miljard euro, säger Matsubara.
USA började förra året slå ner hårdare på den här sortens nordkoreanska it-arbetare, vilket har lett till att fler av dem nu söker jobb på europeiska företag.
– Google publicerade nyligen en rapport om att de i slutet av 2024 började se nordkoreaner som skapade falska identiteter för att få distansjobb på europeiska företag.
Det här exemplet visar att det inte räcker med att experter på cybersäkerhet känner till cyberhoten. I princip kan vilket företag som helst med internationellt anställda bli ett mål för Nordkoreas cyberattacker.
– De nordkoreanska it-arbetarna hotar inte bara de europeiska företagens integritet. Vi borde också fundera på hur nordkoreanerna använder de pengar de stjäl från drabbade företag – för att finansiera massförstörelsevapen.
Dessutom samarbetar Nordkorea nära med Ryssland i kriget i Ukraina.
3. Utan ökat internationellt samarbete går det illa
Matsubara poängterar tydligt att cybersäkerhet inte känner några nationsgränser. Ett cyberangrepp mot ett företag eller en myndighet i ett land kan snabbt utnyttjas för att skada ett tredje lands militära eller diplomatiska aktiviteter.
Det här är särskilt viktigt att komma ihåg när verksamheter på olika håll i världen är sammanlänkade genom globala leverantörskedjor och digital infrastruktur. Ett land som försöker skydda sig på egen hand riskerar att alltid ligga ett steg efter angriparen.
Det är naivt att tro att vi kan försvara oss på egen hand
Mihoko Matsubara
Länder som Kina, Iran, Nordkorea och Ryssland samarbetar redan över gränserna, till exempel genom att dela verktyg och information.
Mihoko Matsubara menar att situationen kräver ett tätt internationellt informationsutbyte, åtminstone mellan västländerna och allierade i öst – som Japan. Det är möjligen det enda sättet att upptäcka nya angreppssätt och metoder i tid.
Internationellt samarbete behövs både för att analysera pågående attacker och för att förstå de globala strategier som statliga aktörer använder sig av.
– Det är naivt att tro att vi kan försvara oss på egen hand. Om vi inte samarbetar är vi maktlösa inför hot som utvecklas snabbt och slår mot många länder på en gång. Samarbete är avgörande för att bygga upp motståndskraft, anser Matsubara.
15/8 har följande mening korrigerats; ”Cisco Talos ... rapporterade i mars 2025 att de hittat kinesiska aktörer i taiwanesiska organisationers nätverk.” Tidigare stod det japanska i stället för taiwanesiska.