Bedrohungsakteure nutzen KI zur Automatisierung der Entdeckung und Ausnutzung von Zero-Day-Schwachstellen mit maschineller Geschwindigkeit

Nur gut finanzierte Staaten oder Elitegruppen konnten dies konstant leisten. Diese Hürde existiert nicht mehr.

KI hat die Entdeckung , billiger und für ein breiteres Spektrum änglich gemacht, darunter auch solche ohne Programmierkenntnisse. Ein Angreifer gibt heute einem KI-Modell ein Ziel, und das Modell scannt das Netzwerk unabhängig, sucht nach Schwachstellen, versucht Exploits und wechselt den Pfad, wenn einer fehlschlägt.

Durch Standards wie das Model Context Protocol verbinden sich KI-Agenten mit realen Umgebungen und führen vollständige Angriffsketten mit minimalem menschlichen Eingriff durch.

Aktivitäten , die bei Cyberthint überwacht

Aktivitäten , die bei Cyberthint überwacht wurden, zeigen, dass die Entdeckung mehr ist, die Monate dauert, sondern ein Prozess, der in Minuten automatisiert werden kann.

Cyberthint-Analysten und -Forscher erkannten diesen strukturellen Wandel Ende 2024 und stellten fest, dass KI nicht mehr nur als Assistent, sondern als aktiver Angreifer agiert. Aufgaben, die früher ein zehnköpfiges Red Team für Wochen erforderten, dauern jetzt nur noch Stunden.

Im Februar 2025 erweiterte MITRE sein ATT&CK-Framework, um KI-orchestrierten Vorgängen Rechnung zu tragen, und bestätigte, dass diese Bedrohrungskategorie zu einem ernsthaften branchenweiten Anliegen gereift ist.

KI-gesteigeltes Spionage und die GAMECHANGE-Kampagne Der

KI-gesteigeltes Spionage und die GAMECHANGE-Kampagne Der auffälligste Fallstudie in diesem Bereich ist GAMECHANGE, der erste dokumentierte Fall.

Im September 2024 identifiziert und mit hoher Sicherheit als chinesische, staatlich geförderte Operation eingestuft, zielte GAMECHANGE auf ungefähr 70 globale Einrichtungen ab, darunter Technologieunternehmen, Finanzinstitute und Regierungsbehörden, wobei vier Organisationen erfolgreich kompromittiert wurden.

Die Malware war in Python geschrieben, mithilfe PE-Datei kompiliert und , die ukrainische Regierungsvertreter nachahmten. GTG-1002s KI-orchestriertes Spionage (Quelle – Cyberthint) Was GAMECHANGE auszeichnete, war, dass seine Anweisungen nicht in den Binärcode hartkodiert waren.

Moegliche Anwendungen

Stattdessen sendete es Abfragen an Alibabas Qwen-Coder-Modell über die Hugging Face API und generierte Befehle, die in Echtzeit ausgeführt wurden. Es bettete einzigartige API-Tokens ein, um Blacklisting zu widerstehen, sammelte Hardware-, Prozess-, Netzwerk- und Active Directory-Daten und kopierte rekursiv Office-Dokumente und PDFs.

Die Analyse ’s Black Hat beschrieb GAMECHANGE als ein Pilotprogramm, das die Fähigkeiten Einsatz testet. Gefälschte Vertreter eines ukrainischen Ministeriums (Quelle – Cyberthint).

Zwei weitere experimentelle Malware-Familien, die KI-gestützt sind, wurden ebenfalls dokumentiert. MalTerminal, die früheste bekannte Malware, die bösartige Payloads zur Laufzeit generiert, wurde 2024 vorgestellt.

Bei Ausführung bot sie die Wahl

Bei Ausführung bot sie die Wahl zwischen Ransomware oder einem Reverse Shell, sendete Anfragen an einen GPT-4-Endpunkt und generierte Verschlüsselungs- und Exfiltrationscode im Speicher, ohne auf die Festplatte zu schreiben. JSOUTFMUT, entdeckt 2024, war ein VBScript-Dropper, der seine Mutationen.

Sein Thinking Robot-Modul fragte die Gemini Flash API nach neuen Obfuskationstechniken, generierte stündlich eine frische Variante und kopierte sich auf externe Laufwerke und Netzlaufwerke. Sicherheitsteams müssen davon ausgehen, dass Angreifer nun mit maschineller Geschwindigkeit agieren.

Die Mean Time to Contain ist kritischer als die Mean Time to Detect, da reaktive Strategien versagen, wenn die Angriffsgeschwindigkeit das Patchen übertrifft. Die LotL-Überwachung sollte auf die Netzwerkebene verlagert werden, da klassische IOCs schnell veralten.

Anomaliebasierte Signale wie unerwartete Nutzung hoher

Anomaliebasierte Signale wie unerwartete Nutzung hoher Entropie bieten eine persistentere Erkennung.

AI API-Verkehr sollte zu den Überwachungslisten hinzugefügt werden, und YARA-basiertes API-Schlüssel-Scanning zusammen mit der Überprüfung ärdateien auf eingebettete JSON-Prompt-Strukturen gehören zu den effektivsten Wegen, um LLM-eingebettete Malware abzufangen.

Das Platzieren künstlicher Signale in Täuschungsumgebungen kann auch zu falsch positiven Ergebnissen in Angreifer-KI-Modellen führen. Letztendlich wird nicht die Geschwindigkeit des Patchens, sondern die Geschwindigkeit der Eindämmung des Verstoßes das Ergebnis bestimmen.

Sie uns auf