Ein alarmierender Bericht der Google Threat Intelligence Group (GTIG) deckt auf, dass 57 staatlich geförderte Hackergruppen (Advanced Persistent Threats, APTs) aktiv die KI-Technologie Gemini für ihre Cyberoperationen einsetzen. Die Analyse zeigt, dass diese Akteure die künstliche Intelligenz primär zur Effizienzsteigerung bestehender Angriffsmethoden nutzen, statt völlig neue Bedrohungsvektoren zu entwickeln.
Geografische Verteilung der APT-Aktivitäten
Die GTIG-Analysten haben Hackergruppen aus über 20 Nationen identifiziert, wobei iranische und chinesische Akteure besonders aktiv sind. Die Hauptanwendungsgebiete von Gemini umfassen die Entwicklung von Malware-Tools, Vulnerability Research, technische Analysen und die Aufklärung potenzieller Angriffsziele.
Iranische Dominanz bei KI-gestützten Cyberoperationen
Mit einem Anteil von 75% aller dokumentierten Gemini-Nutzungen führen iranische APT-Gruppen das Feld an. Die Gruppe APT42 zeichnet für ein Drittel der iranischen Aktivitäten verantwortlich. Der Fokus liegt auf der Aufklärung militärischer Einrichtungen und der Entwicklung ausgefeilter Phishing-Kampagnen, insbesondere im Bereich der Drohnen- und Raketenabwehrtechnologie.
Chinesische APTs fokussieren militärische Ziele
Mindestens 20 chinesische APT-Gruppen nutzen Gemini gezielt zur Informationsgewinnung über US-amerikanische Militär- und Regierungseinrichtungen. Ein besonderer Schwerpunkt liegt auf der Kompromittierung von Microsoft Exchange-Servern und der Umgehung von Sicherheitslösungen wie Carbon Black EDR.
Nordkoreanische Taktiken im Personalwesen
Nordkoreanische Akteure setzen die KI-Technologie für Social Engineering ein, indem sie gefälschte IT-Experten-Profile erstellen. Gemini unterstützt dabei die Erstellung überzeugender Bewerbungsunterlagen sowie die Entwicklung von Malware mit verbesserten Tarnfähigkeiten.
Zurückhaltende Nutzung durch russische Gruppen
Russische APT-Gruppen zeigen die geringste Aktivität bei der Nutzung von Gemini. Sie bevorzugen einheimische KI-Lösungen und lokale Sprachmodelle. Nur drei russische Gruppierungen wurden beim Testen von Gemini beobachtet, hauptsächlich für grundlegende Skript-Entwicklung und Malware-Modifikationen.
Die Erkenntnisse der GTIG unterstreichen die wachsende Bedeutung künstlicher Intelligenz in der modernen Cyberkriminalität. Organisationen sollten ihre Sicherheitsstrategien entsprechend anpassen und verstärkt auf KI-gestützte Angriffsmuster achten. Empfohlen werden die Implementierung fortschrittlicher Threat Detection-Systeme, regelmäßige Security-Audits und die Schulung von Mitarbeitern im Umgang mit KI-generierten Phishing-Versuchen.
