KI-gestützte 2FA-Schwachstelle
Cybersicherheitsforscher haben einen bisher unbekannten Angreifer entdeckt, der eine Zero-Day-Schwachstelle ausnutzt, die vermutlich mithilfe künstlicher Intelligenz entwickelt wurde. Dies ist der erste dokumentierte Fall, in dem KI aktiv in realen, bösartigen Operationen zur Aufdeckung von Sicherheitslücken und zur Generierung von Exploits eingesetzt wurde.
Die Ermittler führen die Kampagne auf koordinierte Cyberkriminellengruppen zurück, die offenbar im Rahmen einer groß angelegten Ausnutzung von Sicherheitslücken zusammengearbeitet haben. Die Analyse der zugehörigen Angriffskette ergab eine Zero-Day-Schwachstelle in einem Python-Skript, die die Zwei-Faktor-Authentifizierung (2FA) einer weit verbreiteten Open-Source-Web-basierten Systemverwaltungsplattform umgehen kann.
Obwohl es keine direkten Beweise gibt, die Googles KI-Tool Gemini mit der Operation in Verbindung bringen, kamen die Forscher mit hoher Wahrscheinlichkeit zu dem Schluss, dass ein KI-Modell eine entscheidende Rolle bei der Entdeckung und Ausnutzung der Sicherheitslücke spielte. Der Python-Code wies mehrere Merkmale auf, die typischerweise mit Ausgaben großer Sprachmodelle (LLM) assoziiert werden, darunter eine stark strukturierte Formatierung, umfangreiche Dokumentationsstrings, detaillierte Hilfemenüs und eine saubere ANSI-Farbdarstellung. Das Skript enthielt außerdem einen manipulierten CVSS-Wert – ein typisches Beispiel für Fehlinterpretationen von KI-Systemen.
Inhaltsverzeichnis
So funktionierte die 2FA-Umgehungslücke
Die identifizierte Schwachstelle erforderte gültige Benutzeranmeldeinformationen für die einwandfreie Funktion. Die Forscher stellten fest, dass der Fehler auf einer semantischen Logikschwäche beruhte, die durch eine fest codierte Vertrauensannahme im Authentifizierungsprozess der Anwendung verursacht wurde. Derartige Logikfehler auf höherer Ebene fallen modernen LLM-Systemen zunehmend in den Bereich ihrer Analysefähigkeiten.
Sicherheitsexperten warnen davor, dass KI jeden Schritt des Cyberangriffszyklus – von der Schwachstellenerkennung über die Validierung von Exploits bis hin zur operativen Umsetzung – dramatisch beschleunigt. Der zunehmende Einsatz von KI durch Angreifer reduziert den Zeit- und Arbeitsaufwand für die Identifizierung von Schwachstellen und die Durchführung von Angriffen und setzt die Verteidiger damit zunehmend unter Druck.
KI erweitert die Malware- und Exploitation-Landschaft
Künstliche Intelligenz beschränkt sich nicht mehr nur auf die Unterstützung der Schwachstellenforschung. Cyberkriminelle nutzen KI mittlerweile, um polymorphe Malware zu entwickeln, schädliche Aktionen zu automatisieren und Angriffsfunktionen zu verschleiern. Ein bekanntes Beispiel ist PromptSpy, eine Android-Malware, die Gemini missbraucht, um die Bildschirmaktivitäten zu analysieren und Anweisungen zu erteilen, die dafür sorgen, dass die Malware in der Liste der zuletzt verwendeten Apps dauerhaft sichtbar bleibt.
Forscher haben außerdem mehrere aufsehenerregende Fälle dokumentiert, in denen Gemini für böswillige Aktivitäten genutzt wurde:
Die mutmaßlich mit China verbundene Cyberspionagegruppe UNC2814 soll Gemini mithilfe von personalisierten Jailbreaking-Befehlen gezwungen haben, die Rolle eines Netzwerksicherheitsexperten anzunehmen. Ziel war es, die Suche nach Schwachstellen in eingebetteten Systemen zu unterstützen, darunter TP-Link-Firmware und OFTP-Implementierungen von Odette.
Der nordkoreanische Bedrohungsakteur APT45 soll Tausende von rekursiven Anfragen herausgegeben haben, die dazu dienten, CVEs zu analysieren und Proof-of-Concept-Exploits zu validieren.
Berichten zufolge nutzte die chinesische Hackergruppe APT27 Gemini, um die Entwicklung einer Flottenmanagement-Anwendung zu beschleunigen, die wahrscheinlich zur Verwaltung einer ORB-Infrastruktur (Operational Relay Box) gedacht war.
Bei den mit Russland in Verbindung stehenden Eindringversuchen gegen ukrainische Organisationen wurden KI-gestützte Malware-Familien namens CANFAIL und LONGSTREAM eingesetzt, die beide LLM-generierten Ködercode enthielten, um bösartiges Verhalten zu verschleiern.
Bewaffnete Trainingsdaten und autonome KI-Operationen
Zudem wurde beobachtet, dass Angreifer mit einem speziellen GitHub-Repository namens „wooyun-legacy“ experimentieren, das als Claude-Code-Plugin entwickelt wurde. Das Repository enthält über 5.000 reale Sicherheitslücken, die ursprünglich zwischen 2010 und 2016 von der chinesischen Plattform für die Offenlegung von Sicherheitslücken, WooYun, gesammelt wurden.
Durch die Einspeisung dieses Datensatzes in KI-Systeme können Angreifer kontextbezogenes Lernen ermöglichen, wodurch Modelle trainiert werden, Quellcodeanalysen mit der Präzision erfahrener Sicherheitsforscher durchzuführen. Dies verbessert die Fähigkeit der KI erheblich, subtile Logikfehler zu erkennen, die Standardmodelle möglicherweise übersehen.
Forscher enthüllten zudem, dass ein mutmaßlich mit China verbundener Akteur bei Angriffen auf ein japanisches Technologieunternehmen und eine führende ostasiatische Cybersicherheitsplattform KI-gestützte Tools wie Hexstrike AI und Strix einsetzte. Diese Tools ermöglichten demnach automatisierte Aufklärungs- und Ermittlungsoperationen mit minimalem menschlichen Eingriff.
Die zunehmenden Sicherheitsimplikationen offensiver KI
Die Ergebnisse unterstreichen einen grundlegenden Wandel in der Cyberbedrohungslandschaft. Künstliche Intelligenz entwickelt sich rasant von einem Produktivitätstool zu einem entscheidenden Faktor für offensive Cyberoperationen. Von der Entdeckung von Zero-Day-Schwachstellen über die Automatisierung der Malware-Verbreitung bis hin zur Verbesserung der operativen Tarnung verändert künstliche Intelligenz die Planung und Durchführung von Cyberangriffen grundlegend.
Da KI-gestützte Cyberfähigkeiten immer ausgereifter werden, stehen Unternehmen vor einer Zukunft, in der Angriffe schneller, anpassungsfähiger und zunehmend schwieriger zu erkennen sind, bevor Schaden entsteht.
