Cloud
Der Stand der kriminellen KI heute
Von kriminellen großen Sprachmodellen (LLMs) und KI-gestützter Malware bis zu Deepfakes in großem Maßstab – die Trends bezüglich Bedrohungen weisen an allen Fronten eine gesteigerte Leistungsfähigkeit, bessere Zugänglichkeit und höhere Reichweite auf.
Save to Folio
Wichtige Erkenntnisse:
- Kriminelle setzen weiter auf das Jailbreaking kommerzieller LLMs, statt eigene zu entwickeln, und nutzen Prompt Engineering und Fine-Tuning, um Sicherheitsvorkehrungen zu umgehen.
- Die KI-gesteuerte, spontane Codegenerierung bei Malware ist zwar neuartig und für Cyberkriminelle potenziell interessant, wird jedoch durch die Sperrung von API-Schlüsseln und Unvorhersehbarkeit eingeschränkt.
- Im Zeitalter von Deepfakes muss das Vertrauen neu überdacht werden.
Als TrendAI™ Research 2023 eine erste Bewertung von KI in der Cyberkriminalität veröffentlichte, stellte sich die Frage, ob generative KI ihr bedrohliches Potenzial ausschöpfen würde. Bereits Anfang 2024 hatten sich vereinzelte Experimente zu erkennbaren Mustern verdichtet, zeigt der zweite Bericht von TrendAI™ Research. Und Mitte desselben Jahres ließ sich ein Anstieg sowohl der Fähigkeiten als auch der Akzeptanz feststellen. Die Frage ist nun nicht mehr, ob Kriminelle KI in großem Umfang als Waffe einsetzen werden, sondern wie effektiv sie dies bereits tun.
Unser derzeitiges Fazit: Cyberkriminelle bauen keine Waffen mehr, sondern verkaufen nun die Munition. Was als jailbroken Chatbots begann, die Phishing-E-Mails und grobe Deepfakes generierten, hat sich zu einem widerstandsfähigen Untergrund-Ökosystem entwickelt, das zunehmend realen Schaden in industriellem Maßstab verursacht.
Kriminelle Akteure mieten Ressourcen, kapern sie oder geben ihr einfach Befehle. Es gibt drei parallele Entwicklungen ausgemacht, die die aktuelle Bedrohungslandschaft prägen:
- Die Konsolidierung des Marktes für „kriminelle LLMs” rund um dauerhafte Jailbreak-as-a-Service-Anbieter anstelle von echten unabhängigen Modellen.
- Aufkommen erster Malware-Familien, die LLMs dynamisch abfragen oder einbetten, um spontan bösartigen Code zu generieren:
- Die explosive Demokratisierung der Deepfake-Technologie, von kostenlosen „Nudifying“-Apps und virtuellen Entführungsbetrügereien bis hin zu staatlich geförderter Unternehmensinfiltration.
Diese Trends lassen einen kritischen Wendepunkt erkennen: Während die Verteidiger derzeit noch die Oberhand behalten, unterstützt durch KI-gestützte SIEM-Plattformen (Security Information and Event Management) und ausgefeilte Tools zur agentenbasierten Jagd, droht das Tempo der KI-Innovationen in der kriminellen Unterwelt dieses Gleichgewicht zu kippen.
Der kriminelle LLM-Markt
Die Szene ist deutlich gereift, auch wenn in verschiedenen Untergrundforen immer noch neue Namen auftauchen. Der Markt hat sich nun um eine Handvoll etablierter Akteure konsolidiert, die tatsächliche Durchhaltevermögen beweisen.
WormGPT etwa hat seit dem Start im März 2023 unzählige Nachahmer gefunden, die sich die Marke angeeignet haben und von ihrer Bekanntheit profitieren. Und nicht jeder Dienst mit dem Suffix „-GPT” liefert tatsächlich das, was traditionelle kriminelle LLM-Angebote versprechen!
Xanthorox, dieser relativ neue Anbieter, behauptet, ein unzensiertes LLM auf lokaler Infrastruktur anzubieten, dessen Preis mit 300 US-Dollar pro Monat scheinbar erschwinglich ist. Der Dienst bietet zwei Hauptprodukte an: eine Chatbot-Schnittstelle und einen Coding-Agenten, der auf der eigenen Hardware des Kunden ausgeführt werden kann. Doch Xanthorox nutzt opportunistisch einen oder mehrere gängige LLMs von großen Anbietern wie Google und Anfragen über verschleierte Kanäle weiterleitet, um die wahre Quelle zu verschleiern.
Bösartige agentenbasierte KI
Die jüngste Sicherheitsmitteilung von Anthropic enthüllt eine ausgeklügelte Spionagekampagne, bei der mutmaßlich staatlich geförderte Bedrohungsakteure Claude, die LLM-Familie von Anthropic, nutzten, um mehrstufige Cyberangriffe zu orchestrieren. Der Bericht beschreibt detailliert, wie eine APT-Gruppe mit mutmaßlichen Verbindungen zu China Claude systematisch für Erkundung ausnutzte, Spear-Phishing-Kampagnen zu entwickeln und bösartige Skripte zu erstellen, die auf Regierungsstellen und kritische Infrastrukturen abzielten.
Diese Operation zeigt das wachsende Interesse böswilliger Akteure an unzensierten, uneingeschränkten KI-Fähigkeiten, die komplexe Angriffsketten ohne ethische Guardrails ermöglichen. Dieser Vorfall signalisiert zwar zweifellos eine Nachfrage nach „kriminellen LLMs“ unter erfahrenen Akteuren, doch dies bedeutet nicht zwangsläufig, dass gewöhnliche Cyberkriminelle die gleichen Anforderungen haben oder über die technische Raffinesse verfügen, um KI auf ähnliche Weise zu nutzen. Die Kluft zwischen staatlich geförderter Cyberspionage und Cyberkriminalität auf Straßenebene bleibt erheblich, auch wenn KI-Tools immer leichter zugänglich werden.
Auffällig ist, dass derzeit keine wirklich eigenentwickelten Modelle vorhanden sind, die auf einer speziellen kriminellen Infrastruktur laufen. Bedrohungsakteure nutzen ausgefeilte Jailbreaking-Techniken, benutzerdefinierte Systemaufforderungen und gezielte Feinabstimmungen, um kommerzielle Modelle von Anbietern wie Google Gemini und OpenAI's ChatGPT zu entsperren und zu zensieren.
Dieser Ansatz ist wirtschaftlich und technisch sinnvoll. Der Aufbau und das Training eines wettbewerbsfähigen LLM von Grund auf erfordert enorme Ressourcen: Rechenleistung, Trainingsdaten und spezialisiertes Fachwissen. Für kriminelle Akteure ist es weitaus effizienter, die Milliarden von Dollar an Forschung und Entwicklung zu nutzen, die legitime Unternehmen bereits investiert haben, und dabei clevere Prompt-Engineering- und Feinabstimmungsmethoden einzusetzen, um Sicherheitsvorkehrungen zu umgehen.
KI-Malware ist bereits da
Viele Programmierer verlassen sich auf KI-Chatbots mit sehr fortschrittlichen Code-Generierungsfähigkeiten, um die Entwicklung zu beschleunigen. Malware-Autoren tun mittlerweile dasselbe. Die nächste Stufe der Raffinesse ist die Automatisierung von Malware, die einfach einen Chatbot nach Code fragt, der die gerade benötigte Funktion ausführt.
- Das erste Programm dieser Art war MalTerminal. Es ruft OpenAI's ChatGPT auf, um entweder Ransomware-Code oder eine Reverse Shell zu generieren und verbreitet sich als kompilierte Python-Ausführungsdatei.
- Im Juli 2025 meldete das CERT der Ukraine einen neuen russischen Angriff auf einige ukrainische Regierungsbehörden. Dabei handelte es sich um eine kompilierte Python-Ausführungsdatei, die ein auf Hugging Face gehostetes KI-Modell aufruft. Die Malware verfügt über fest codierte statische Eingabeaufforderungen, die das KI-Modell auffordern, Code zu generieren, der nach Informationen innerhalb des infizierten Computers sucht und diese aus dem Netzwerk herausfiltriert.
- 2025 entdeckten Forscher von ESET ein in Go entwickeltes Ransomware Sample, das sich selbst aus der Abfrage eines KI-Modells aufbaute. Das Ergebnis ist, dass bei jeder neuen Infektion eine andere Ransomware generiert wird. All dies hat jedoch den Nachteil, dass bei jeder einzelnen Infektion ein KI-Modell mit einer Größe von 11 GB heruntergeladen werden muss.
- Im November 2025 berichtete Google über zwei weitere Malware-Programme, die über KI-Prompting-Funktionen zur Generierung von Schadcode verfügen. Das erste PROMPTFLUX fordert bei der Ausführung bestimmte VBScript-Verschleierungs- und Umgehungstechniken an, um eine „Just-in-Time“-Selbstmodifikation zu ermöglichen. Laut Google befindet sich diese Malware-Familie noch in einem frühen Stadium.
- Die zweite Malware QUIETVAULT fragt Gemini- oder Claude-API auf ähnliche Weise ab. Diese Malware scheint JavaScript-Code mit Infostealing-Fähigkeiten zu sein. Um diese Funktionen zu unterstützen, verwendet sie statische Prompts, um Gemini oder Claude aufzufordern, Code zu generieren, um nach anderen potenziell interessanten Daten auf dem infizierten System zu suchen und alle gefundenen Dateien an GitHub zu exfiltrieren.
Diese Strategie, KI-Modelle abzufragen, um Code spontan zu generieren hat jedoch einen großen Nachteil: Wenn das KI-Unternehmen die Angriffe entdeckt, wird es sofort den API-Schlüssel widerrufen, den die Malware verwendet. Dies ist praktisch ein Kill-Switch für die Malware, sodass es unwahrscheinlich ist, dass Malware, die diese Technik nutzt, sehr lange überleben wird.
Die Lösung für dieses Problem könnte das sein, was die Forscher der New York University in ihrer „Ransomware 3.0”-PoC-Malware getan haben: das gesamte Modell lokal herunterzuladen. Dies hat natürlich seine eigenen Nachteile. Ein Download von mehr als 10 GB nach der Infektion wird wahrscheinlich nicht lange unentdeckt bleiben.
Malware-Generierung „on the fly“ könnte bei kleinen, sehr gezielten Angriffen und vielleicht für sehr begrenzte Anwendungen realisierbar sein. Aber die KI-basierte Codegenerierung wird nur eine weitere Malware-Funktion sein, die im Wettbewerb mit vielen besseren Alternativen steht.
Deepfake-Update
Die Deepfake-Landschaft hat einen dramatischen Wandel durchlaufen, wobei die Einstiegskosten auf ein beispielloses Tief gesunken sind – einige Dienste sind mittlerweile sogar völlig kostenlos. Diese Demokratisierung hat praktisch jedem, der über eine Internetverbindung verfügt, mächtige Manipulationswerkzeuge an die Hand gegeben. Unsere Analyse zeigt das gesamte Ausmaß dieser sich entwickelnden Bedrohungslandschaft auf.
Nudification-Technologie ist einer der vielleicht besorgniserregendsten Trends. „Nudifying“-Apps sind bösartige Tools, die Deepfake-Technologie nutzen, um Kleidung aus Fotos ahnungsloser Personen digital zu entfernen. Diese Anwendungen sind besonders heimtückisch, da sie lediglich ein normales Social-Media-Foto benötigen, um nicht einvernehmliche intime Bilder zu generieren.
Die Zugänglichkeit dieser Tools hat ein alarmierendes Ausmaß erreicht. Plattformen wie DeepNude, die „Undress AI”-App und verschiedene Telegram-Bots bieten ihre Dienste entweder kostenlos oder zu minimalen Kosten an. Wir erleben die Entstehung neuartiger Sextortion-Methoden. Darüber hinaus hat die Zunahme von KI-gestützten Nudifying-Apps und Deepfake-Technologie zu einem erheblichen Anstieg von computergeneriertem Material über sexuellen Kindesmissbrauch (CSAM) geführt. Diese Tools haben den Zugang zu solchen Inhalten erheblich erleichtert, die große Menge an KI-generiertem Material treibt die Menschen zu extremeren Inhalten und erhöht die Basislinie dessen, was als „normal“ gilt.
Vor allem aber erschwert die Flut gefälschter Bilder den Strafverfolgungsbehörden die Identifizierung echter Opfer. Interpol und das Interregionale Forschungsinstitut der Vereinten Nationen für Kriminalität und Rechtspflege (UNICRI) stellen in ihrer Studie über KI für Strafverfolgungsbehörden fest, dass automatisierte Systeme zwar dabei helfen können, schädliche Materialien zu sichten, doch stellt die Deepfake-Technologie ein neues Hindernis dar, das es schwieriger macht, echte Opfer zu finden und zu retten, die derzeit Missbrauch erleiden.
Unternehmensinfiltration: Die neue Grenze für Deepfake-gestützte Verbrechen
Im Unternehmensbereich gibt es ein florierendes Ökosystem von Deepfake-basierten Angriffen, die auf Taktiken aufbauen, die sich in den letzten Jahren als erfolgreich erwiesen haben. Der CEO-Fraud, auch als Chef-Masche bekannt, ist durch die Integration von Sprach- und Video-Deepfakes immer raffinierter geworden. Beschäftigungsbetrug, bei dem sich Bedrohungsakteure erfolgreich als legitime Bewerber ausgeben, den Einstellungsprozess bei großen Technologieunternehmen durchlaufen und Insiderzugang zur Unternehmensinfrastruktur erhalten, nimmt zu. Dies betrifft staatlich geförderte Akteure aus Nordkorea, die diesen Ansatz zu einer systematischen Vorgehensweise verfeinert haben.
Bankwesen unter Beschuss: Die KYC-Herausforderung
Der Finanzdienstleistungssektor sieht sich einer neuen Bedrohung gegenüber, da Deepfake-Technologie zunehmend auf Know-Your-Customer-Protokolle (KYC) abzielt, die digitalen Identitätsprüfungssysteme, wenn Kunden remote neue Konten eröffnen. Die Angriffe nutzen ausgefeilte Techniken zum Austausch von Gesichtern und zur Umgehung der Lebendigkeitserkennung. Das Wettrüsten zwischen defensiven KI-Systemen und offensiven Deepfake-Fähigkeiten eskaliert weiter, wobei Finanzinstitute massiv in biometrische Verifizierungsverfahren der nächsten Generation investieren, während Angreifer ihre Techniken rasch anpassen.
Liebesbetrug und virtuelle Entführungen
Bei diesen Angriffen wird Audio-Deepfake-Technologie eingesetzt, um die Stimmen der Angehörigen der Opfer mit erstaunlicher Genauigkeit zu klonen und so Panik auslösende Szenarien zu schaffen, in denen Kriminelle sich als Familienmitglieder ausgeben und behaupten, entführt worden zu sein oder sich in einer Notlage zu befinden. Angreifer können aus nur wenigen Sekunden Audioaufnahmen, die leicht aus Social-Media-Videos, Voicemail-Nachrichten oder öffentlichen Aufzeichnungen gewonnen werden können, überzeugende Stimmklone erstellen.
Wie geht es weiter mit Video-Deepfakes?
Text-zu-Video-Generierungstools stellen zwar einen bedeutenden technologischen Fortschritt dar, ihre unmittelbare Nutzung als Waffe stößt jedoch auf praktische Hindernisse: Rechenanforderungen, Nutzungsbeschränkungen und Wasserzeichensysteme, die von großen Plattformen implementiert werden. Dennoch müssen sich Organisationen und Einzelpersonen auf eine Zukunft vorbereiten, in der Videobeweise derselben skeptischen Prüfung unterzogen werden müssen, wie wir sie derzeit bei verdächtigen E-Mails und Telefonanrufen anwenden.
Fazit
Das kriminelle Ökosystem hat gelernt, den maximalen Wert aus kommerziellen KI-Plattformen zu ziehen, ohne die Kosten für Entwicklung, Training oder Infrastruktur zu tragen. Der Ausblick für 2026 ist nicht apokalyptisch, sondern inkrementell. Wir werden keine plötzliche Explosion von KI-bedingtem Chaos erleben. Stattdessen werden wir eine stetige, professionelle Weiterentwicklung der Tools erleben, die wir bereits heute kennen.
Weitere Einzelheiten liefert der Originalbeitrag.
Über die Autoren
Das Forward-Looking Threat Research Team von TrendAI™ Research ist auf die Erforschung von Technologien für die nächsten ein bis drei Jahre spezialisiert, wobei der Schwerpunkt auf drei verschiedenen Aspekten liegt: der technologischen Entwicklung, ihren sozialen Auswirkungen und kriminellen Anwendungen.