KI verändert aktuell nicht nur die Qualität von Malware, sondern auch ihre Verfügbarkeit: Neue Analysen von Arctic Wolf zeigen, dass sich KI-gestützte Malware von einem Experiment zu einem festen Bestandteil im Werkzeugkasten von Angreifern entwickelt hat und dass dadurch die Hürde für Cyberkriminalität deutlich sinkt.
Im Fokus steht dabei ein struktureller Wandel: Angreifer nutzen KI, um aus einzelnen Codefragmenten belastbare, kommerzialisierbare Angriffsinfrastrukturen aufzubauen.
Besonders auffällig ist die schnelle Verbreitung neuer Tools: Arctic Wolf beobachtete beispielsweise, dass der KI-Agent „DeepSeek R1“ bereits wenige Wochen nach seinem Release 2025 von weniger erfahrenen Akteuren adaptiert wurde. Innerhalb von zwölf Monaten entwickelte sich KI-gestützte Malware von vereinzelten Tests hin zu einer Routinepraxis, insbesondere bei Angreifern mit geringer technischer Expertise.
Weitere zentrale Erkenntnisse:
- Angreifer lernen iterativ mit Hilfe von LLMs, strukturieren Code, schließen Lücken und entwickeln Proof-of-Concepts schneller zu funktionsfähiger Malware.
- 39 Prozent der 22.331 analysierten Dateien wurden zum Zeitpunkt der Erhebung von signaturbasierten Antivirenlösungen nicht erkannt – ein Hinweis auf aktive Umgehung oder neuartige Konstruktionen.
- Malware wird nicht mehr nur mit Hilfe von KI entwickelt, sondern nutzt in einigen Fällen auch KI während der Ausführung, etwa durch die Integration von LLM-APIs.
- Sprachliche und stilistische Muster deuten auf unterschiedliche Entwicklergruppen hin, unter anderem mit Bezug zu russischen, portugiesisch/brasilianischen, türkischen, indonesischen und chinesischen Gruppen.
Trotz dieser Entwicklung ist die entscheidende Erkenntnis keine unausweichliche Eskalation: KI erweitert vor allem, wer Malware entwickeln kann und wie schnell dies geschieht. Gleichzeitig behalten Verteidiger mit einem mehrschichtigen Sicherheitsansatz weiterhin einen klaren Vorteil.
#ArcticWolf
