Gruppen aus Nordkorea, Iran und China wegen KI-Einsatz in Malware und anderen schädlichen Aktivitäten gemeldet

Ein neuer Bericht der Threat Analysis Group (GTAG) von Google hat gezeigt, dass staatlich unterstützte Hacker aus Nordkorea, dem Iran und China aktiv mit künstlichen Intelligenz-Tools (KI) experimentieren und diese optimieren. In diesem Fall kam Googles Gemini zum Einsatz. 

Google gab an, mehrere staatlich verbundene Gruppen beobachtet zu haben, die seine großen Sprachmodelle für Aufklärung, Social Engineering, Malware-Entwicklung und die Verbesserung „aller Phasen ihrer Operationen, von der Aufklärung und der Erstellung von Phishing-Ködern bis hin zur Entwicklung von Command-and-Control-Systemen (C2) und der Datenexfiltration“, nutzten

Der Bericht fand Belege für neuartige und ausgeklügelte KI-gestützte Angriffe. Er warnte davor, dass generative KI die technischen Hürden für böswillige Operationen senkt, indem sie Angreifern hilft, schneller und präziser zu arbeiten.

Der Bericht knüpft an ähnliche Warnungen von Microsoft und OpenAI, die vergleichbare Experimente desselben Trios von staatlich unterstützten Akteuren aufdeckten.

Außerdem veröffentlichte Anthropic, das Unternehmen hinter Claude AI, einen Bericht darüber, wie es den Einsatz von KI für Angriffe erkennt und bekämpft, wobei nordkoreanahe Gruppen als die prominentesten Übeltäter in dem Bericht genannt wurden.

Nordkoreanische Staatsakteure setzen auf KI

In seinem neuesten Update zur Bedrohungsanalyse beschrieb Google detailliert, wie eine iranische Gruppe namens TEMP.Zagros, auch bekannt als MuddyWater, Gemini nutzte, um bösartigen Code zu generieren und zu debuggen, der als akademische Forschung getarnt war, mit dem Endziel, maßgeschneiderte Malware zu entwickeln.

Dadurch wurden unbeabsichtigt wichtige operative Details offengelegt, die es Google ermöglichten, Teile seiner Infrastruktur zu stören.

Es wurde festgestellt, dass Akteure mit Verbindungen zu China Gemini nutzten, um Phishing-Angriffe zu optimieren, Zielnetzwerke auszuspionieren und Techniken für die laterale Ausbreitung in kompromittierten Systemen zu erforschen. In einigen Fällen missbrauchten sie Gemini, um unbekannte Umgebungen wie Cloud-Infrastrukturen, Kubernetes und vSphere zu erkunden, was auf den Versuch hindeutet, ihre technischen Möglichkeiten auszuweiten.

Nordkoreanische Akteurewurden dabei beobachtet, wie sie KI-Tools zur Verbesserung ihrer Aufklärungs- und Phishing-Kampagnen testeten. Eine nordkoreanische Bedrohungsgruppe, die für ihre Beteiligung an Kryptowährungsdiebstählen mittels Social Engineering bekannt ist, versuchte zudem, mit Gemini Code zu schreiben, der den Diebstahl von Kryptowährungen ermöglichen würde.

Google konnte diese Angriffe abwehren und die beteiligten Konten schließen.

Eine neue Grenze für die Cyberabwehr

Der Bericht von Anthropic wurde im August 2025 veröffentlicht und liefert Belege für den Missbrauch von KI durch staatlich verbundene Akteure. Das Unternehmen stellte fest, dass nordkoreanische Agenten das Claude-Modell des Unternehmens nutzten, um sich als freiberufliche Softwareentwickler auszugeben.

Berichten zufolge nutzten sie Claude, um Lebensläufe, Codebeispiele und Antworten auf technische Vorstellungsgespräche zu generieren und sich so freiberuflichetracim Ausland zu sichern.

Während die Erkenntnisse von Anthropic den betrügerischen Einsatz von KI zur Jobsuche aufdeckten, was zu einer größeren Hackerattacke in den einstellenden Organisationen geführt hätte, stimmen sie auch mit Googles Schlussfolgerung überein, dass KI-Toolsmaticauf ihre Vorteile durch böswillige Akteure getestet werden.

Die Ergebnisse bereiten der globalen Cybersicherheitsgemeinschaft neue Sorgen. Wie die Berichte zeigen, werden dieselben Eigenschaften, die KI-Modelle und -Anwendungen zu leistungsstarken Produktivitätswerkzeugen machen, auch zu gefährlichen Angriffsmethoden missbraucht. Mit fortschreitender Technologie werden sich die Angreifer anpassen und ihre Angriffe immer raffinierter werden.

Regierungen und Technologieunternehmen beginnen zu reagieren, und die fortgesetzte Zusammenarbeit aller Beteiligten zur Abmilderung dieser Auswirkungen wird der richtige Weg sein.