Cyberangriffe: Staatliche Hacker nutzen Google-KI
Generative KI wird für Cyberangriffe zunehmend zu einem Werkzeug entlang der gesamten Angriffskette. Das zeigen aktuelle Auswertungen von Googles Threat-Intelligence-Team(öffnet im neuen Fenster) , das im vierten Quartal 2025 eine wachsende Integration von Sprachmodellen in reale Kampagnen beobachtete. Demnach nutzen staatlich unterstützte Gruppen und andere Angreifer die Systeme vor allem, um ihre Produktivität zu steigern.
Ein zentraler Schwerpunkt liegt dabei auf der Vorbereitungsphase von Angriffen. Laut Google setzten mehrere Gruppen Gemini gezielt für Aufklärung und Zielentwicklung ein, um erste Zugänge zu erleichtern.
Sprachmodelle übernehmen dabei Aufgaben, die früher aufwendige manuelle Recherchen erforderten: Sie werten große Mengen frei verfügbarer Informationen aus, identifizieren lukrative Ziele, filtern Entscheidungsträger heraus und rekonstruieren interne Strukturen von Organisationen.
KI auch in späteren Angriffsschritten
Doch nicht nur die Aufklärung profitiert von den neuen Werkzeugen. Auch in späteren Phasen eines Angriffs kommen KI-Systeme zum Einsatz. Sicherheitsforscher beobachteten Gruppen, die Sprachmodelle für das Debugging von Schadsoftware, für Code-Übersetzungen oder zur Analyse bekannter Schwachstellen nutzen.
Teilweise wird KI sogar direkt in Malware integriert: In einem dokumentierten Fall generierte ein Downloader über eine Schnittstelle zu einem Sprachmodell Code, um weitere Schadprogramme nachzuladen. Zudem tauchen Methoden auf, die gezielt auf das Vertrauen in KI-Systeme setzen, etwa wenn Angreifer öffentlich geteilte Chat-Antworten als vermeintliche Problemlösungen verbreiten und Opfer so zum Ausführen schädlicher Befehle bewegen.
Staatliche Gruppen setzen auf KI
Vor diesem Hintergrund beobachtete Google auch konkrete, staatlich unterstützte Akteure aus mehreren Ländern, darunter Gruppen aus China, Iran, Nordkorea und Russland. Besonders aktiv war laut Bericht die iranische Gruppe APT42 , die generative KI gezielt für Aufklärung und Social Engineering nutzte. Sie suchte nach offiziellen E-Mail-Adressen bestimmter Organisationen, recherchierte potenzielle Geschäftspartner und entwickelte daraus glaubwürdige Vorwände für Kontaktaufnahmen.
Auch die nordkoreanische Gruppe UNC2970 griff auf die Systeme zurück, vor allem im Umfeld von Verteidigungsunternehmen. Die Angreifer gaben sich häufig als Recruiter aus und werteten öffentlich verfügbare Informationen über Firmen, technische Stellenprofile und Gehaltsstrukturen aus. Ziel war es, realistische Phishing-Identitäten aufzubauen und besonders anfällige Zielpersonen zu identifizieren.
Trotz dieser Entwicklung sieht Google bislang keine grundlegende Veränderung der Bedrohungslage. Nach Angaben des Unternehmens handelt es sich vor allem um Effizienzgewinne. Man habe bisher "keine Durchbrüche beobachtet, die die Bedrohungslandschaft grundlegend verändern" . Gleichzeitig habe Google missbrauchte Konten deaktiviert, Inhalte blockiert und die Modelle technisch angepasst, um einen solchen Missbrauch künftig zu erschweren oder ganz zu unterbinden.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.