Cyber-Bedrohungsakteure nutzen zunehmend Tools der künstlichen Intelligenz, um das Ausmaß und die Komplexität ihrer Angriffe zu verbessern, so new research die Google Threat Intelligence Group. Der Bericht zeigt, dass sowohl staatlich unterstützte als auch kriminelle Gruppen KI inzwischen in fast jede Phase eines Cyberangriffs integrieren, von der Aufklärung bis zur Datenexfiltration.
In früheren Jahren nutzten Bedrohungsakteure KI in der Regel, um bei grundlegenden Aufgaben wie dem Verfassen von Phishing-Nachrichten oder dem Sammeln öffentlicher Informationen über Ziele zu helfen. Die jüngste Analyse von Google deutet darauf hin, dass sich diese Aktivitäten weiterentwickelt haben. Angreifer betten KI direkt in Malware, Infrastruktur und Befehlsoperationen ein. Der Bericht nennt diese Verschiebung “eine neue operative Phase des KI-Missbrauchs”.
Eine der wichtigsten Erkenntnisse betrifft die Zunahme von KI-fähiger Malware, die sich bei der Ausführung auf große Sprachmodelle verlässt. Google hat eine Malware-Familie namens PROMPTFLUX identifiziert, die sich mit einem KI-Modell verbindet und in regelmäßigen Abständen ihren eigenen Code neu schreibt. Diese ständige Änderung hilft dabei, die Erkennung durch herkömmliche Antiviren-Tools zu vermeiden, die auf feste Signaturen angewiesen sind. Ein anderes Beispiel mit dem Namen PROMPTSTEAL verwendet ein KI-Modell, um Befehle zum Stehlen von Daten zu generieren, anstatt sich auf vorgefertigte Skripte zu verlassen.
Dies stellt eine große Eskalation in der Funktionsweise von Cyberoperationen dar. Künstliche Intelligenz wird nicht mehr nur zur Unterstützung von Angreifern eingesetzt, sondern ist zu einem aktiven Bestandteil ihrer Kampagnen geworden. Die Forscher von Google stellen fest, dass einige dieser Tools in der Lage sind, neuen Code zu generieren oder ihr Verhalten in Echtzeit auf der Grundlage von Umgebungsfeedback anzupassen.
Auch der Untergrundmarkt für KI-fähige Cyber-Tools expandiert. Google fand Anzeigen in russisch- und englischsprachigen Foren, in denen KI-gestützte Phishing-Kits, Programme zur Erstellung von Malware und automatisierte Scan-Tools angeboten wurden. Viele werden mit einer professionellen Marketingsprache beworben, die Geschwindigkeit, Effizienz und Skalierbarkeit verspricht. Die Zugänglichkeit dieser Dienste ermöglicht es weniger erfahrenen Kriminellen, komplexe Operationen durchzuführen, die zuvor fortgeschrittenen Hackergruppen vorbehalten waren.
Staatlich geförderte Akteure sind ein weiterer Schwerpunkt des Berichts. Google hat Kampagnen aus Nordkorea, dem Iran und der Volksrepublik China identifiziert, die stark auf KI-Systeme setzen. Diese Gruppen nutzen generative KI über den gesamten Angriffslebenszyklus, einschließlich Aufklärung, Phishing, Ausbeutung und Datendiebstahl.
So hat beispielsweise die mit China verbundene Gruppe APT41 das Gemini-Modell von Google verwendet, um Code in C++ und Go zu schreiben, verschleierte Befehls- und Kontroll-Frameworks zu erstellen und eine Cloud-basierte Angriffsinfrastruktur zu entwickeln. Ein im Iran ansässiger Akteur namens APT42 hat Berichten zufolge ein KI-Modell verwendet, um Abfragen in natürlicher Sprache in Datenbanksuchen umzuwandeln, die es ihm ermöglichen, Telefonnummern mit Personen zu verknüpfen und Reisemuster zu überwachen. Eine nordkoreanische Gruppe, die als UNC1069 identifiziert wurde, nutzte Gemini, um spanischsprachige Phishing-Anhänge zu erstellen und Tools für den Diebstahl von Kryptowährungen zu entwickeln.
Der Bericht beschreibt auch, wie Bedrohungsakteure KI-Schutzmaßnahmen manipulieren, um an vertrauliche Informationen zu gelangen. Einige Angreifer geben sich als Forscher, Studenten oder Teilnehmer von Cybersicherheitswettbewerben aus, um ihre Anfragen harmlos erscheinen zu lassen. Auf diese Weise umgehen sie Sicherheitssysteme und erhalten technische Anweisungen zur Erstellung von Phishing-Kits, bösartigen Skripten oder Web-Shells. Google stellt fest, dass diese Taktiken Schwächen in der Art und Weise ausnutzen, wie KI-Systeme die Absicht interpretieren.
Die Zunahme von KI-gesteuerten Angriffen stellt Verteidiger vor große Herausforderungen. Herkömmliche Erkennungsmethoden, die auf bekannten Malware-Samples, statischen Signaturen oder vorhersehbaren Mustern basieren, sind unwirksam gegen Code, der sich ständig ändert oder auf Echtzeit-Eingabeaufforderungen von externen KI-Modellen angewiesen ist. Google warnt davor, dass diese Entwicklung es für Sicherheitsteams erheblich schwieriger macht, aktive Bedrohungen zu erkennen und darauf zu reagieren.
Gleichzeitig senkt die breitere Verfügbarkeit von KI-gestützten Tools die Eintrittsbarriere für Cyberkriminalität. Ausgefeilte Funktionen sind nicht mehr nur für Advanced Persistent Threat-Gruppen verfügbar. Abonnementbasierte Dienste und vorgefertigte KI-Skripte ermöglichen es unerfahrenen Kriminellen, mit minimalen technischen Kenntnissen glaubwürdige Angriffe zu starten. Dies hat sowohl die Häufigkeit als auch die Vielfalt der Angriffe auf Regierungen, Unternehmen und Einzelpersonen erhöht.
Google empfiehlt mehrere Abwehrmaßnahmen, um diesen Entwicklungen zu begegnen. Unternehmen sollten eine starke Authentifizierung durchsetzen, eine Multifaktor-Verifizierung einführen und das Prinzip der geringsten Rechte auf Benutzerkonten anwenden. Sie sollten bekannte Schwachstellen schnell patchen und die Überwachungstools stärken, um abnormales Verhalten zu identifizieren. Google rät Sicherheitsteams außerdem, ihre Incident-Response-Pläne um KI-gestützte Bedrohungen zu erweitern und Threat-Intelligence-Feeds zu integrieren, die KI-bezogene Aktivitäten in Untergrundmärkten verfolgen.
Der Bericht unterstreicht, dass Verteidiger KI-gestützte Bedrohungen als unmittelbares Risiko und nicht als zukünftiges Problem betrachten müssen. Die Kombination aus generativer KI und Cyber-Operationen ermöglicht es Angreifern, die Aufklärung zu automatisieren, Schwachstellen schneller auszunutzen und adaptive Malware zu produzieren, die sich in Echtzeit ändert. Dies erfordert von Unternehmen eine proaktive Erkennung, kontinuierliches Lernen und die Zusammenarbeit mit vertrauenswürdigen Intelligence-Anbietern.
Obwohl sich einige von Google identifizierte KI-fähige Malware noch in der Testphase befindet, ist der Trend eindeutig. Der Einsatz von künstlicher Intelligenz bei Cyberangriffen nimmt zu, und die Schere zwischen legitimer und böswilliger Nutzung wird kleiner. Der Bericht fordert Verteidiger auf, der Transparenz der Arbeitsabläufe von Angreifern Vorrang einzuräumen, Analysten darin zu schulen, KI-bezogene Indikatoren zu erkennen, und widerstandsfähige Systeme zu entwickeln, die adaptiven Bedrohungen standhalten können.
Künstliche Intelligenz ist heute ein integraler Bestandteil der globalen Cyber-Bedrohungslandschaft. Von dynamischer, sich selbst verändernder Malware bis hin zu automatisierten Phishing-Operationen – Angreifer verändern die Art und Weise, wie sich Eindringlinge entfalten. Sicherheitsteams, die das Bewusstsein für KI-Missbrauch schärfen, die betriebliche Abwehr stärken und die Entwicklung KI-gestützter Tools überwachen, werden besser darauf vorbereitet sein, auf diese schnelllebige Bedrohungsumgebung zu reagieren.