Staatlich unterstützte Hackergruppen aus Nordkorea, China und dem Iran setzen zunehmend auf generative künstliche Intelligenz, um ihre Cyberangriffe vorzubereiten und durchzuführen. Modelle wie Googles Gemini werden für die Ausspähung von Zielen, die Entwicklung von Schadsoftware und die Automatisierung von Angriffsprozessen missbraucht.
Diese Entwicklung markiert eine neue Phase in der Cyberspionage, in der die Grenzen zwischen legitimer Recherche und bösartiger Aufklärung verschwimmen. Angreifer können so ihre Effizienz erheblich steigern und ihre Attacken präziser gestalten.
Wichtige Erkenntnisse
- Nordkoreanische Hacker (UNC2970/Lazarus Group) verwenden Gemini zur detaillierten Ausspähung von Zielen im Verteidigungssektor.
- Gruppen aus China und dem Iran nutzen KI zur Automatisierung von Schwachstellenanalysen, zur Code-Entwicklung und für gezieltes Social Engineering.
- Neue Malware wie HONESTCUE nutzt die Gemini-API, um schädlichen Code dynamisch zur Laufzeit zu erzeugen und so einer Entdeckung zu entgehen.
- Google reagiert mit verbesserten Sicherheitsmechanismen und betont, dass KI auch die Cyberabwehr stärken kann.
KI als Werkzeug für staatliche Spionage
Neue Untersuchungen zeigen, dass staatlich geförderte Akteure generative KI-Modelle systematisch in ihre Spionageaktivitäten integrieren. Besonders aktiv ist dabei eine Gruppe, die mit Nordkorea in Verbindung gebracht und als UNC2970 (auch bekannt als Lazarus Group) identifiziert wird. Diese Gruppe nutzt Gemini gezielt für die Aufklärungsphase ihrer Operationen.
Die Hacker setzen die KI ein, um öffentlich zugängliche Informationen (Open-Source Intelligence, OSINT) zu sammeln und Profile von hochrangigen Zielen zu erstellen. Ihre Recherchen konzentrieren sich dabei vor allem auf große Cybersicherheits- und Verteidigungsunternehmen. Sie analysieren spezifische Jobprofile und Gehaltsinformationen, um potenzielle Opfer für ihre Angriffe zu identifizieren.
Operation Dream Job
Die Gruppe UNC2970 ist bekannt für eine langanhaltende Kampagne namens "Operation Dream Job". Dabei geben sich die Angreifer als Personalvermittler aus, um Mitarbeiter in der Luft- und Raumfahrt-, Verteidigungs- und Energiebranche mit Malware zu infizieren. Die durch KI verfeinerte Zielprofilerstellung macht diese Taktik noch gefährlicher.
Durch den Einsatz von Gemini können die Angreifer maßgeschneiderte Phishing-Personas erstellen und Schwachstellen in Organisationen gezielter ausfindig machen. Dies beschleunigt die Vorbereitung von Angriffen erheblich und erhöht deren Erfolgschancen.
Ein breites Spektrum an Angreifern
Nordkorea ist nicht der einzige staatliche Akteur, der die Möglichkeiten von KI für bösartige Zwecke ausschöpft. Auch Gruppen, die mit China und dem Iran in Verbindung stehen, haben KI-Modelle in ihre Arbeitsabläufe integriert, um ihre Fähigkeiten zu erweitern.
Chinesische Akteure automatisieren Angriffe
Mehrere chinesische Hackergruppen nutzen KI für eine Vielzahl von Aufgaben, die von der Informationsbeschaffung bis zur Code-Entwicklung reichen:
- Mustang Panda (Temp.HEX): Setzt KI ein, um Dossiers über Einzelpersonen, insbesondere Ziele in Pakistan, zusammenzustellen und Informationen über Separatistenorganisationen zu sammeln.
- APT31 (Judgement Panda): Automatisiert die Analyse von Sicherheitslücken und generiert gezielte Testpläne, indem sie sich als Sicherheitsforscher ausgibt.
- APT41: Nutzt KI, um Erklärungen aus technischen Dokumentationen (README-Dateien) zu extrahieren und Exploit-Code zu debuggen.
- UNC795: Verwendet KI zur Fehlerbehebung im eigenen Code sowie zur Entwicklung von Web-Shells und Scannern für PHP-Webserver.
Diese Beispiele zeigen, wie KI zur Automatisierung und Beschleunigung verschiedener Phasen eines Cyberangriffs eingesetzt wird.
Iranische Gruppen verfeinern Social Engineering
Die iranische Gruppe APT42 setzt KI ebenfalls gezielt ein, um ihre Operationen zu verbessern. Sie nutzt die Technologie, um überzeugende Online-Personas zu erschaffen, die ihre Ziele zu einer Interaktion verleiten sollen. Darüber hinaus wurde die Gruppe dabei beobachtet, wie sie KI zur Entwicklung von spezialisierten Werkzeugen einsetzt, etwa eines Python-basierten Scrapers für Google Maps oder eines SIM-Karten-Verwaltungssystems in der Programmiersprache Rust.
Tricksen der KI-Systeme
Eine wiederkehrende Taktik der Angreifer besteht darin, die Sicherheitssysteme der KI-Modelle zu umgehen. Sie formulieren ihre Anfragen (Prompts) so um, als wären sie Sicherheitsforscher oder Teilnehmer eines IT-Wettbewerbs (Capture-the-Flag). Auf diese Weise versuchen sie, das System zur Generierung von potenziell schädlichen Inhalten zu bewegen.
Neue Generation von KI-gestützter Malware
Über die reine Aufklärung hinaus wird KI nun auch direkt in Schadsoftware integriert. Zwei bemerkenswerte Beispiele sind HONESTCUE und COINBAIT.
HONESTCUE ist eine neuartige Malware, die ihre Funktionalität über die Gemini-API bezieht. Anstatt ihren Code fest einprogrammiert zu haben, sendet die Malware eine Anfrage an die KI und erhält C#-Quellcode als Antwort. Dieser Code wird dann direkt im Arbeitsspeicher kompiliert und ausgeführt. Dieser "fileless" Ansatz hinterlässt keine Spuren auf der Festplatte und macht die Erkennung durch herkömmliche Antivirenprogramme extrem schwierig.
COINBAIT ist ein Phishing-Kit, das mithilfe von KI erstellt wurde. Es imitiert die Webseiten von Kryptowährungsbörsen, um die Anmeldedaten von Nutzern zu stehlen. Die Fähigkeit, schnell überzeugende und realistische Phishing-Seiten zu generieren, senkt die Hürde für Cyberkriminelle erheblich.
Die Reaktion der Verteidiger
Die zunehmende Nutzung von KI durch Angreifer stellt die Cybersicherheitsbranche vor neue Herausforderungen. Google hat nach eigenen Angaben seine Sicherheitsmechanismen verstärkt, um den Missbrauch seiner Modelle zu verhindern.
"Google arbeitet ständig daran, seine Sicherheitssysteme zu verbessern, einschließlich Erkennungsklassifikatoren, Gegenmaßnahmen und anderer Schutzvorkehrungen, um den Missbrauch durch Bedrohungsakteure zu verhindern. Gemini wird immer besser darin, auf Personas basierende Tricks zu erkennen und sicher zu reagieren", erklärte Steve Miller, AI Threat Lead bei der Google Threat Intelligence Group (GTIG).
Experten sind sich einig, dass KI ein zweischneidiges Schwert ist. Während Angreifer die Technologie zur Steigerung von Qualität und Geschwindigkeit ihrer Attacken nutzen, bietet sie Verteidigern gleichzeitig die Chance, das sogenannte "Defender's Dilemma" umzukehren. KI-gestützte Abwehrsysteme könnten in Zukunft Angriffe in Maschinengeschwindigkeit erkennen und abwehren.
Mit Initiativen wie der "AI Cyber Defense Initiative" versucht die Industrie, die Waage zugunsten der Verteidiger zu neigen und sich auf eine Zukunft vorzubereiten, in der KI-gesteuerte Angriffe zur Normalität werden.
