KI-gestützte Malware im Zusammenhang mit nordkoreanischen Krypto-Diebstählen

Ein aktueller Bericht von Googles Threat Intelligence Group macht deutlich: Cyberkriminelle und staatlich unterstützte Akteure integrieren zunehmend große Sprachmodelle (Large Language Models, LLMs) in ihre Toolchains. Die Folge sind flexiblere, schwerer zu detektierende Schadprogramme, die ihren Code zur Laufzeit verändern oder neu generieren können – und sich so schneller an Abwehrmaßnahmen anpassen. Als besonders lukrative Angriffsziele gelten Kryptowährungs-Plattformen und digitale Wallets.

Wie LLMs Malware veränderlich machen

Statt statischer Schadmodule verwenden Angreifer LLMs (etwa Modelle wie Gemini oder Qwen-Varianten), um bösartigen Code dynamisch zu erzeugen, zu verbergen oder bestehende Payloads umzuschreiben. Das erlaubt:

• Echtzeit-Anpassungen an Signatur- und Verhaltens-Erkennungssysteme,
• automatisierte Erstellung zielgerichteter Phishing-Skripte, die sprachlich und inhaltlich besser auf Opfer zugeschnitten sind,
• generative Tarntechniken, die Analysen und Forensik erschweren.

Insbesondere für Angriffe auf Krypto-Infrastruktur sind diese Eigenschaften gefährlich: automatisierte Abfragen an Wallets oder Smart-Contract-Schnittstellen können mit generierten Exploits oder Social-Engineering-Texten kombiniert werden, um Gelder abzuziehen.

Nordkoreanische Gruppierungen und gezielte Krypto-Angriffe

Der Bericht nennt mehrere Malware-Familien, die LLM-Funktionen nutzen, und verweist auf Aktivitäten staatlich unterstützter Gruppen aus Nordkorea (DPRK). Eine dieser Gruppierungen – in Berichten zuvor unter Namen wie UNC1069 oder “Masan” geführt – soll LLMs verwenden, um Wallet-Daten auszuspähen und individualisierte Phishing-Angriffe zu fahren. Typische Merkmale dieser Kampagnen sind:

• dynamisch generierter Schadcode,
• Anpassung an lokale Sicherheitsfilter in Echtzeit,
• automatisierte, kontextbezogene Phishing-Mails oder Nachrichten.

Schutzmaßnahmen und Googles Reaktion

Als unmittelbare Maßnahmen hat Google betroffene Konten deaktiviert und zusätzliche Härtungen eingeführt. Zu den Gegenmaßnahmen zählen:

• Verstärkte Überwachung von ausgehenden API-Aufrufen zu Modellendpunkten,
• Prompt-Filter, die missbräuchliche oder manipulative Eingaben blockieren,
• engere Kooperation mit Plattformen und Anbietern zur Erkennung verdächtiger Muster.

Solche technischen Gegenmaßnahmen zielen darauf ab, missbräuchliche Automatisierung bereits an der Quelle zu unterbinden – also bevor Modelle genutzt werden, um Schadcode zu produzieren.

Bedeutung für Unternehmen und Nutzer in Deutschland

Die Meldung hat direkte Relevanz für deutsche Kryptounternehmen, Börsen, Wallet-Provider und DevOps-Teams: KI-unterstützte Malware erhöht den Zeitdruck für sichere Entwicklungs- und Betriebsprozesse. Konkrete Handlungsfelder sind:

• Härtung von API-Zugängen (Rate-Limiting, Authentifizierung, Monitoring),
• Einsatz von Anomalie-Erkennung statt ausschließlicher Signatur-Detektion,
• Schulung von Mitarbeiterinnen und Mitarbeitern zu zielgerichtetem Social Engineering, das zunehmend KI-geschliffen ist,
• Transparente Sicherheits-Kommunikation gegenüber Nutzern (z. B. bei verdächtigen Login-Versuchen oder Transaktionen).

Warum dieser Trend problematisch bleibt

LLMs machen Angriffe nicht automatisch “perfekt”, aber sie senken die Hürde für komplexere, adaptive Attacken. Die Generierung von payloads in natürlicher Sprache, automatisierte Anpassung an Detektionsregeln und die Fähigkeit, plausible Phishing-Narrative zu schreiben, verschieben die Bedrohungslandschaft in Richtung schnellerer, schwerer fassbarer Angriffszyklen.

Was jetzt zu tun ist

Organisationen sollten kurzfristig ihre Monitoring- und Incident-Response-Prozesse überprüfen und mittelfristig in robuste, KI-resistente Abwehrmechanismen investieren. Auf Nutzerebene bleibt Wachsamkeit gegenüber unerwarteten Nachrichten, ungewöhnlichen Login-Versuchen und gefälschten Support-Anfragen ein zentraler Schutzfaktor.