Google-Report: Staaten nutzen Gemini-KI für Cyberangriffe

Staatliche Hacker aus vier Ldern missbrauchen Googles KI-Modell Gemini systematisch für Spionage und Schadsoftware-Entwicklung. Das zeigt ein aktueller Bericht des Konzerns.

Die Bedrohung ist konkret: Nordkoreanische, chinesische, iranische und russische staatliche Hacker nutzen Googles KI Gemini professionell für ihre Cyberangriffe. Das geht aus einem bahnbrechenden Report hervor, den Googles Threat Intelligence Group (GTIG) heute veröffentlicht hat. Die Untersuchung dokumentiert, wie sogenannte Advanced Persistent Threat (APT)-Gruppen das öffentlich verfügbare KI-Modell in ihren gesamten Angriffszyklus integrieren ? von der Zielrecherche bis zur Malware-Programmierung.

Die Aktivitäten reichen weit über einfache Anfragen hinaus. Nordkoreanische Hacker des mit der berüchtigten Lazarus Group verbundenen UNC2970 nutzten Gemini für detaillierte Recherchen zu Cybersecurity-Firmen. Sie analysierten Stellenprofile und Gehaltsdaten, um gezielte Phishing-Angriffe auf Mitarbeiter vorzubereiten. ?Diese Aktivitäten verwischen die Grenze zwischen professioneller Recherche und bösartiger Aufklärung?, heißt es im Google-Report.

Chinesische Gruppen wie APT31 setzten die KI ein, um Sicherheitslücken automatisiert zu analysieren und Angriffspläne zu generieren. In einem Fall erkundete ein Akteur sogar Techniken, um spezifische Web Application Firewalls bei US-Zielen zu umgehen. Iranische Hacker nutzten Gemini als Engineering-Plattform, um die Entwicklung spezialisierter Hackertools zu beschleunigen ? inklusive Debugging und Code-Generierung.

Der Kampf um die KI-Kern-Technologie

Besorgniserregend sind auch die Versuche, die KI-Technologie selbst zu stehlen. Google gab bekannt, groß angelegte ?Model Extraction?-Angriffe vereitelt zu haben. Dabei versuchten Gegner, mit Hunderttausenden von Prompts genug über das Verhalten und die Logik von Gemini zu erfahren, um ein eigenes Klon-Modell zu bauen.

?Dies stellt eine neue Form des geistigen Diebstahls dar, der die Kerntechnologie von KI-Anbietern ins Visier nimmt?, analysiert John Hultquist, Chefanalyst der GTIG. Zwar bestehe keine direkte Gefahr für Nutzer, doch die langfristigen Folgen seien gravierend: Gegner könnten eigene, unkontrollierte Hochleistungs-KIs entwickeln. Hultquist warnt, dass solche Diebstahlsversuche bald die gesamte Branche treffen könnten.

KI-gesteuerte Malware und automatisiertes Phishing

Die Bedrohung geht noch weiter: Gemini wird direkt in Schadsoftware integriert. Google identifizierte eine neue Malware-Familie namens HONESTCUE, die die Gemini-API nutzt, um ihre nächsten Funktionen dynamisch generieren zu lassen. Das macht die Schadsoftware anpassungsfähiger und schwerer erkennbar.

Zudem entdeckten Forscher ein KI-generiertes Phishing-Kit mit dem Codenamen COINBAIT. Dieses Toolkit tarnt sich als Kryptobörse, um Zugangsdaten abzugreifen. Die Botschaft ist klar: Angreifer betten KI-Fähigkeiten direkt in ihre Angriffsketten ein ? sie fragen nicht nur nach Ideen, sie automatisieren ihre Angriffe.

Angesichts der neuen Gefahr durch KI-gestützte Angriffe sollten IT-Verantwortliche und Sicherheitsteams jetzt handeln. Ein kostenloses E?Book ?Cyber Security Awareness Trends? erklärt, wie Unternehmen KI-Risiken, Phishing?Kits wie COINBAIT und Model?Extraction-Angriffe erkennen und mit praktischen Schutzmaßnahmen antworten können. Jetzt kostenloses E?Book ?Cyber Security Awareness Trends? sichern

Ein Wendepunkt für die KI-Sicherheit

Die Enthüllungen markieren einen Wendepunkt. Bisher konzentrierten sich Sicherheitsbedenken oft auf Schwachstellen in den KI-Modellen ? wie die ?Gemini Trifecta?-Prompt-Injection-Lücken, die Tenable Ende 2025 meldete, oder den Kalenderdaten-Exploit von Miggo im Januar 2026.

Doch jetzt nutzen Gegner die eigentliche Funktionalität dieser mächtigen Tools strategisch für ihre bösartigen Operationen. Die zunehmende KI-Nutzung durch staatliche Akteure deutet auf eine Zukunft hin, in der Geschwindigkeit und Umfang von Cyberangriffen exponentiell wachsen könnten.

Sicherheitsteams und KI-Entwickler stehen vor der enormen Herausforderung, legitime Nutzung von hochsophistizierten Angriffsaktivitäten zu unterscheiden. Die Branche muss robustere Schutzmechanismen entwickeln, um zu verhindern, dass transformative Technologien zu Allzweck-Werkzeugen für die gefährlichsten Cyber-Operative der Welt werden. Google hat bereits reagiert und Konten sowie Assets der identifizierten Akteure gesperrt.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.