Generative KI entwickelt sich rasant vom Produktivitaetswerkzeug zum integralen Bestandteil moderner Cyberangriffe. Ein aktueller Bericht der Google Threat Intelligence Group (GTIG) zeigt, dass die nordkoreanische APT-Gruppe UNC2970, die mit der Lazarus Gruppe in Verbindung steht, Google Gemini systematisch zur Vorbereitung von Kampagnen gegen Hochwertziele einsetzt.
Nordkoreanische APT UNC2970: Weiterentwicklung der Operation „Dream Job“
UNC2970 ueberlappt mit bekannten Clustern wie Lazarus Group, Diamond Sleet und Hidden Cobra und zielt seit Jahren auf Unternehmen aus Luft- und Raumfahrt, Verteidigung und Energie ab. Besonders praegnant ist die langjaehrige Kampagne Operation Dream Job, bei der sich Angreifer als vermeintliche HR-Recruiter ausgeben, um Fachkraefte mit attraktiven Jobangeboten in Spear-Phishing-Fallen zu locken.
In diesen Szenarien erhalten Zielpersonen manipulierte Dokumente oder Links, die beim Oeffnen Malware nachladen oder Zugangsdaten abgreifen. GTIG beobachtet, dass UNC2970 dieses bekannte Social-Engineering-Modell fortfuehrt, es jedoch zunehmend durch generative KI professionalisiert – insbesondere im Hinblick auf Sprache, Kontexttreue und faktennahe Details der fingierten Stellenangebote.
OSINT und Zielprofiling mit Google Gemini
Nach Erkenntnissen von Google nutzt UNC2970 Google Gemini, um umfangreiche OSINT-Analysen (Open Source Intelligence) durchzufuehren und Zielprofile zu verfeinern. Dazu gehoeren:
– Recherchen zu grossen Unternehmen der Cybersecurity- und Verteidigungsbranche;
– Auswertung typischer technischer Rollen, Verantwortlichkeiten und Skill-Sets;
– Analyse von Gehaltsbaendern und Marktgehaeltern, um Angebote maximal glaubwuerdig zu gestalten.
Dadurch verschwimmt die Grenze zwischen legitimer Marktanalyse und angreiferischer Aufklaerung. Je besser die Struktur eines Unternehmens und die Motivation einzelner Fachkraefte verstanden werden, desto ueberzeugender lassen sich gefaelschte Personalvermittler und C-Level-Personas auftreten. Branchenberichte, etwa von ENISA und grossen Incident-Response-Anbietern, bestaetigen seit Jahren, dass zielgenaues Social Engineering zu den erfolgreichsten Initialzugriffsvektoren gehoert – generative KI verstaerkt diesen Trend deutlich.
HONESTCUE und COINBAIT: KI-generierte Malware- und Phishing-Infrastruktur
HONESTCUE: Fileless Malware durch On-Demand-Code aus Gemini
Ein von Google identifizierter Schadcode-Baustein namens HONESTCUE illustriert, wie Angreifer Gemini fuer Malware-Generierung einsetzen. HONESTCUE fungiert als Loader, der ueber das Gemini-API Prompts absetzt und im Gegenzug C#-Quellcode fuer die naechste Angriffsstufe erhaelt.
Statt statische Payloads mitzubringen, laesst HONESTCUE die Funktionalitaet der zweiten Stufe dynamisch von der KI erzeugen, kompiliert den Code und fuehrt ihn mit Hilfe des legitimen .NET CSharpCodeProvider direkt im Speicher aus. Dieser fileless-Ansatz reduziert Spuren auf dem Datentraeger und erschwert signaturbasierte Erkennung. Aehnliche Techniken wurden in letzten Jahren vermehrt in APT- und Ransomware-Kampagnen beobachtet, nun jedoch durch generative KI weiter automatisiert.
COINBAIT: Phishing-Kit fuer Krypto-Diebstahl aus der KI-Werkstatt
Als weiteres Beispiel fuer den Missbrauch von KI-Entwicklungsplattformen nennt GTIG das Phishing-Kit COINBAIT, das mit dem Dienst Lovable AI erstellt wurde. COINBAIT imitiert eine Kryptoboerse und dient dem Diebstahl von Zugangsdaten und Wallet-Informationen.
Einzelne Aktivitaetsmuster ordnet Google dem finanziell motivierten Cluster UNC5356 zu. Solche „KI-zusammengebauten“ Phishing-Kits senken die Einstiegshuerde fuer technisch wenig versierte Akteure und ermoeglichen eine schnelle Skalierung von Kampagnen, da Login-Masken, Landing-Pages und Backend-Logik weitgehend automatisch generiert werden koennen.
ClickFix-Kampagnen: Missbrauch oeffentlicher KI-Shares
GTIG weist zudem auf die ClickFix-Kampagnen hin, bei denen Angreifer oeffentliche Sharing-Funktionen generativer KI-Dienste ausnutzen. Betroffenen werden scheinbar hilfreiche „Anleitungen zur Behebung haeufiger Computerprobleme“ praesentiert, die in Wirklichkeit zur Installation eines Infostealers fuehren.
Die Sicherheitsfirma Huntress dokumentierte entsprechende Faelle bereits im Dezember 2025. Der Einsatz von geteilten, vermeintlich vertrauenswuerdigen KI-Workflows erschwert es Nutzenden, boesartige Inhalte von legitimer Hilfestellung zu unterscheiden – ein typisches Beispiel fuer neue Formen KI-gestuetzter Social-Engineering-Angriffe.
Model Extraction: Angriffe auf das Verhalten von Google Gemini
Neben dem direkten Einsatz von Gemini in Angriffsketten beobachtet Google umfangreiche Model-Extraction-Angriffe. Ziel ist es, durch massenhafte API-Anfragen das Verhalten einer proprietaeren KI so genau zu reproduzieren, dass sich eine funktionsaehnliche Kopie trainieren laesst.
In einem dokumentierten Fall wurden mehr als 100.000 Prompts in verschiedenen nicht-englischen Sprachen an Gemini gesendet, um dessen Faehigkeiten zur Problemlosung breit zu erfassen. Ein Proof-of-Concept des Sicherheitsunternehmens Praetorian zeigte, dass eine nachgebildete Modellvariante bereits nach rund 1.000 API-Anfragen und 20 Trainings-Epochen eine Genauigkeit von 80,1 % erreichen kann.
Forscherinnen wie Farida Shafik weisen darauf hin: „Viele Organisationen glauben, es genuege, die Modellgewichte geheim zu halten. Doch das Verhalten ist die eigentliche Modell-Blueprint. Jedes Prompt-Antwort-Paar dient als Trainingsdatenpunkt fuer eine Kopie.“ Dies macht deutlich, dass jedes oeffentliche KI-API potenziell Ziel von IP-Diebstahl, Sicherheitsumgehung und Missbrauch werden kann.
Googles Gegenmassnahmen und Konsequenzen fuer Unternehmen
Angreifer versuchen laut GTIG regelmaessig, die Sicherheitsmechanismen von Gemini zu umgehen, indem sie sich in ihren Prompts als Sicherheitsforschende oder CTF-Teilnehmende ausgeben. Unter dem Deckmantel von „Tests“ oder „Forschung“ sollen die Modelle zu sicherheitskritischen Antworten verleitet werden.
Google reagiert mit verstaerkten Detektions-Klassifikatoren, zusaetzlichen Policy-Checks und Filtern. Gleichzeitig fliessen neue Angriffstechniken kontinuierlich in das Tuning der Sicherheitsbarrieren ein. Diese Massnahmen sind Teil der AI Cyber Defense Initiative, die 2024 gestartet wurde. Sie adressiert die sogenannte „Defender’s Dilemma“: Angreifende muessen nur eine Schwachstelle finden, waehrend Verteidigende alle relevanten Luecken schliessen muessen.
Fuer Organisationen bedeutet dies, dass Bedrohungsmodelle dringend um KI-gestuetzte Angriffe erweitert werden sollten – von realistisch verfassten Phishing-Mails und dynamisch generierter Malware bis hin zu Model-Extraction-Szenarien gegen eigene KI-APIs. Praktische Schritte umfassen ein enges Monitoring von KI-Service-Aufrufen, strikte Segmentierung und Rotation von API-Schluesseln, Schulungen zu neuen Formen von Social Engineering sowie regelmaessige Red-Teaming- und Purple-Teaming-Uebungen, bei denen Angreifende explizit generative KI einsetzen.
Wer diese Massnahmen fruehzeitig implementiert und gleichzeitig eigene KI-Loesungen fuer Detection, Threat Hunting und Incident Response etabliert, kann den technologischen Vorteil auf die Seite der Verteidigung ziehen – bevor generative KI sich ausschliesslich als neues, maechtiges Werkzeug im Arsenal der Cyberkriminellen etabliert.
