Google warnt vor PROMPTFLUX: KI‑gesteuerte Malware schreibt eigenen Code

Abhilfemaßnahmen

Nach aktuellen Erkenntnissen befindet sich die Aktivität noch in einer Entwicklungs- oder Testphase und kann bisher keine Netzwerke oder Geräte kompromittieren. Google hat die zugehörigen Ressourcen deaktiviert und Schutzmaßnahmen verstärkt. Zudem wurden sowohl die Klassifizierer als auch das Modell selbst verbessert, sodass künftige Anfragen zur Unterstützung solcher Angriffe erkannt und blockiert werden können.

LLM generiert Befehle zum Diebstahl von Dokumenten und Systeminformationen

Im Juni entdeckte die Google Threat Intelligence Group (GTIG) den von Russland unterstützten Akteur APT28 (FROZENLAKE), der neue Malware gegen die Ukraine einsetzt: PROMPTSTEAL, von CERT-UA als LAMEHUG gemeldet. Die Malware nutzt ein großes Sprachmodell (Qwen2.5-Coder-32B-Instruct) über die Hugging Face API, um Befehle dynamisch zu generieren, statt sie fest in den Code zu schreiben. PROMPTSTEAL tarnt sich als Bildgenerierungsprogramm, während es im Hintergrund Systeminformationen sammelt und Dokumente kopiert, die anschließend exfiltriert werden. Analysen zeigen, dass die Malware kontinuierlich weiterentwickelt wird, unter anderem mit neuen Verschleierungsmaßnahmen und angepassten C2‑Methoden.

Social Engineering zur Umgehung von Sicherheitsvorkehrungen

Bedrohungsakteure nutzen Social-Engineering-Vorwände, um KI-Sicherheitsmechanismen zu umgehen. So gaben sich Akteure etwa als Teilnehmer von „Capture-the-Flag“-Wettbewerben aus, um Gemini zur Bereitstellung von Informationen zu bewegen, die für Angriffe genutzt werden konnten. Ein China-naher Akteur setzte diesen Ansatz ein, um Lockinhalte zu erstellen, Infrastruktur aufzubauen und Tools für Datenexfiltration zu entwickeln. Kommentare wie „Ich arbeite an einem CTF-Problem“ tarnten die Ausnutzung als legitime Übung und lieferten Anleitungen für Phishing, Web-Shells und Schwachstellenausnutzung.

Abhilfemaßnahmen

Gemini-Sicherheitsvorkehrungen verhinderten während der Angriffe Schäden. Google deaktivierte die Ressourcen des Akteurs und nutzte die Erkenntnisse, um Klassifikatoren und das Modell selbst zu verbessern. Künftig kann Gemini solche Anfragen erkennen und keine Unterstützung für böswillige Aktivitäten mehr leisten.

Wachsender Markt für KI‑Tools in Untergrundforen

Im Untergrund wächst ein Markt für speziell entwickelte KI‑Tools und -Dienste, die Cyberkriminellen auch mit geringen technischen Kenntnissen komplexe, automatisierte Angriffe ermöglichen. Die Google Threat Intelligence Group (GTIG) beobachtet englisch‑ und russischsprachige Anzeigen für multifunktionale Werkzeuge, die Phishing, Malware‑Entwicklung und andere Phasen des Angriffszyklus unterstützen. Viele Angebote ähneln legitimer Produktwerbung, nutzen Freemium‑ oder Abo‑Modelle und verkaufen zusätzliche Funktionen wie Bild‑ oder API‑Zugriff. GTIG erwartet, dass mit der steigenden Verfügbarkeit solcher Dienste der Einsatz von KI bei kriminellen Operationen weiter zunehmen wird.

Fortgesetzte Nutzung von Gemini durch staatlich geförderte Akteure

Staatlich geförderte Gruppen aus Nordkorea, Iran und China nutzen weiterhin generative KI-Tools wie Gemini, um alle Phasen ihrer Angriffe zu unterstützen – von Aufklärung und Phishing bis hin zu C2-Entwicklung und Datenexfiltration.

China: Ein Akteur nutzte Gemini für Intrusion-Kampagnen auf Windows-Systemen, Cloud-Infrastruktur, vSphere und Kubernetes. Dazu gehörten Recherchen zu AWS-Token, Befehle zum Auflisten von Containern und Pods sowie Phishing auf MacOS.

Nordkorea: UNC1069 (MASAN) setzte Gemini ein, um Kryptowährungsdiebstahl zu planen, Social-Engineering-Material zu erstellen und betrügerische Software-Updates zu entwickeln, um Anmeldedaten zu erbeuten.

Iran: APT42 nutzte Gemini für die Erstellung von Phishing-Kampagnen, Übersetzungen und zur Entwicklung eines „Datenverarbeitungsagenten“, der natürliche Sprache in SQL-Abfragen umwandelt, um sensible Informationen auszuwerten.

Informationsoperationen: IO-Akteure verwenden Gemini für Recherchen, Content-Erstellung und Workflow-Unterstützung, jedoch ohne Nachweis erfolgreicher Automatisierung oder bahnbrechender Fähigkeiten.

Abhilfemaßnahmen: Google hat alle relevanten Konten deaktiviert, die Klassifikatoren und das Modell verstärkt, um zukünftige Missbräuche zu verhindern, und die Ressourcen der Akteure abgeschaltet. Gemini kann so künftig solche Angriffe erkennen und abwehren.