Morten Lyhne Petersen
Hundredtusinder af pc’er er kapret af spionage-trojanere som VenomRAT, og Danmark deltog i den seneste politiindsats.
Da politiet fra elleve lande, blandt andet Danmark, koordinerede den seneste fase af Operation Endgame mellem 10. og 13. november 2025, lukkede de over 1.025 servere og afslørede, at hundredtusinder af computere var inficeret — alene Rhadamanthys-stealeren ramte 525.303 maskiner. En af de tre malware-familier i aktionen var VenomRAT, en såkaldt Remote Access Trojan, der giver hackere fuld fjernadgang til et offers maskine, inklusive webcam og mikrofon. De to andre var Elysium-botnettet og Rhadamanthys-stealeren.
Hovedmanden bag VenomRAT blev anholdt i Grækenland den 3. november 2025. Men selve infrastrukturen er kun ét lag. Tusindvis af inficerede computere står stadig rundt omkring i private hjem, og deres ejere aner ofte ikke, at de bliver overvåget.
Sådan virker en RAT
En Remote Access Trojan, ofte forkortet RAT, er et program der lader en hacker styre en computer på afstand som om vedkommende sad foran den. Da Eurojust og ni landes politi i 2019 slog ned på en lignende trojaner ved navn IM-RAT, beskrev myndighederne hvordan værktøjet kunne deaktivere sikkerhedssoftware, registrere tastetryk, stjæle adgangskoder og tilgå webcams uden ofrets viden.
Adgangen var dengang skræmmende billig. Ifølge Eurojust kunne enhver med ondsindede hensigter “spionere mod ofre eller stjæle personlige oplysninger for så lidt som 25 dollar.” IM-RAT blev brugt af mere end 14.500 købere i 124 lande.
Tegn på at dit webcam er kapret
De fleste RAT-infektioner opdages først, når noget begynder at opføre sig mærkeligt. Sikkerhedsfirmaet ESET fremhæver fire klassiske advarselssignaler i sin gennemgang af webcam-hacking:
- Indikatorlyset tænder uventet. Nogle angribere kan slukke lyset via software, men ikke altid.
- Ukendte filer på computeren. Hackere gemmer ofte optagelser lokalt før de overføres.
- Fremmede programmer er installeret. ESET kalder det “en af de mest udbredte måder hackere optager via webcam på.”
- Sikkerhedsindstillinger er ændret. RATs forsøger typisk at slå antivirus fra.
Surfshark supplerer i en praktisk gennemgang med tre mere konkrete kontroller. For det første netværkstrafikken: hvis din router viser betydelig datatrafik, mens ingen programmer er åbne, kan det være tegn på fjernstyring. For det andet processer der bruger usædvanligt mange ressourcer lige efter genstart, hvor systemet ellers burde være roligt. Og for det tredje webcam-lyset der tænder, så snart browseren åbnes, hvilket peger på en ondsindet browser-udvidelse.
Sådan tjekker du Windows og macOS
På Windows åbner du Jobliste med Ctrl+Shift+Esc og kigger under fanen Processer for navne du ikke genkender, særligt processer der ligger højt på CPU eller netværk uden grund. Under Indstillinger findes Privatliv og sikkerhed, hvor Kamera-fanen viser præcis hvilke programmer der har adgang til linsen. Programmer du ikke selv har givet adgang, bør slås fra.
På macOS hedder modstykket Aktivitetsovervågning, og under Systemindstillinger og Privatliv og sikkerhed kan du se kamera-tilladelser. Apple markerer desuden aktivt webcam med en grøn prik øverst i menulinjen, så snart kameraet er i brug.
Hvis noget ser mistænkeligt ud, så afbryd internetforbindelsen først, kør en fuld scanning med et opdateret antivirus-program og overvej at nulstille adgangskoder fra en anden enhed. Et fysisk webcam-cover er det billigste forsvar mod den her form for spionage, og det er et af de få sikkerhedstiltag der virker uanset hvor avanceret trojaneren måtte være.
