Cyberkriminelle integrieren generative KI zunehmend nicht nur in die Vorbereitung von Angriffen, sondern direkt in Schadcode. Die Google Threat Intelligence Group (GTIG) meldet einen qualitativen Sprung: erste Malware-Prototypen, die ihren Code zur Laufzeit variieren, um signaturbasierte Erkennung und statische Analyse gezielt zu erschweren.
KI-gestützte Malware zur Laufzeit: PromptFlux als Wegweiser
Als Beispiel nennen die Forscher den experimentellen VBScript-Dropper PromptFlux. Der Prototyp legt veränderte Kopien im Windows-Autostart ab, verbreitet sich über Wechselmedien und Netzwerkfreigaben und ist an die Gemini-API angebunden. Über LLM-Abfragen lässt sich obfuskierter Code „neu generieren“, um Signaturen zu brechen und Mustervergleiche auszuhebeln.
„Thinking Robot“: kontinuierliche Evasions-Taktiken aus LLMs
Kernkomponente ist ein Modul namens Thinking Robot, das periodisch Taktiken zum AV-Bypass von der KI anfordert. Die Prompts sind formalisiert und maschinenlesbar – ein Indikator für einen metamorphischen Ansatz, bei dem sich die Struktur des Codes zwischen Iterationen ändert. Im Unterschied zu polymorpher Malware, die primär ihre Verpackung (Packers/Encoder) variiert, erschwert Metamorphismus sowohl statische als auch regelbasierte Erkennung erheblich.
Attribution und Gegenmaßnahmen von Google
Nach GTIG-Bewertung befindet sich PromptFlux noch in einer frühen Entwicklungsphase mit begrenzter Funktionalität, markiert jedoch die Richtung zukünftiger Bedrohungen. Google hat den API-Zugriff auf Gemini blockiert und die Kampagneninfrastruktur entfernt. Eine belastbare Zuordnung zu einer bekannten Gruppe liegt derzeit nicht vor.
Missbrauch von LLMs in realen Operationen: APT-Beispiele
GTIG dokumentiert zudem den Einsatz von KI in laufenden Kampagnen: APT41 (China) nutzte eine LLM zur Verbesserung des C2-Frameworks OSSTUN und zur Auswahl von Obfuskierungsbibliotheken. Eine weitere chinesische Einheit tarnte sich als CTF-Teilnehmer, um Inhaltsfilter zu umgehen und technische Details zu Exploits zu erhalten.
Die iranische Gruppe MuddyCoast (UNC3313) gab sich als Student aus und setzte Gemini für Entwicklung und Debugging von Malware ein; dabei wurden C2-Server und Schlüssel unbeabsichtigt exponiert. APT42 generierte Phishing-Köder und entwickelte einen „Datenverarbeitungsagenten“, der natürliche Sprache in SQL-Queries transformierte, um personenbezogene Daten zu extrahieren.
In Nordkorea nutzte Masan (UNC1069) KI zur Unterstützung von Krypto-Diebstahl, mehrsprachigem Phishing und Deepfake-Kampagnen. Pukchong (UNC4899) setzte LLMs für Exploit-Vorbereitung gegen Edge-Geräte und Browser ein. Google deaktivierte die zugehörigen Accounts und verschärfte die Modellschutzmechanismen.
Kriminelle LLM-Oekosysteme senken Eintrittsbarrieren
Auf einschlägigen Foren entstehen „LLM-as-a-Service“-Angebote für Angreifer: von Deepfake-Generatoren bis zu Toolchains für Malware-Entwicklung, Phishing und Exploit-Builds. Anbieter orientieren sich am Marketing legitimer Plattformen (Free-Tiers, API-Zugang, „Produktivitätsgewinne“). Laut GTIG führt die Regelstrenge seriöser Modelle zur Abwanderung in unregulierte LLMs – der Aufwand sinkt, auch für weniger versierte Akteure.
Was Verteidiger jetzt priorisieren sollten
Die Einbettung von LLMs in Kill-Chains beschleunigt Iterationen, erhöht die Variantenvielfalt und drückt Kosten. Organisationen sollten ausgehenden Traffic zu LLM-/API-Domains überwachen, Integritätskontrollen für Skripte einführen, Autostart-Whitelists etablieren und Schreibrechte auf Wechselmedien strikt nach Bedarf vergeben. Verhaltensanalytik (EDR/NDR) hilft, atypische Skriptaufrufe, Selbstmodifikation und LLM-gestützte Evasions zu erkennen. Rahmenwerke wie MITRE ATT&CK unterstützen bei TTP-Maps und Detection Engineering.
Die Verschmelzung von KI und Schadsoftware beginnt erst, doch der Trend ist stabil. Investitionen in Defender’s AI – etwa KI-gestützte Telemetrie-Korrelation, automatische Deobfuskierung und Gegenmaßnahmen-Generierung – verkürzen Reaktionszeiten. In Kombination mit Least-Privilege für Skript-Engines, transparenter LLM-Integration und koordiniertem Austausch mit KI-Anbietern lässt sich das Risiko substanziell reduzieren. Sicherheitsverantwortliche sollten Probes zu LLM-Egress in ihre Threat-Hunting-Playbooks aufnehmen und Policies regelmäßig gegen neue TTPs aus GTIG- und MITRE-Feeds schärfen.
