HP Wolf Security Threat Report Schnell statt ausgefeilt: KI macht Cyberangriffe zur Massenware

Anbieter zum Thema

HP Wolf Security

Fsas Technologies GmbH

BigData-Insider

Angreifer nutzen Künstliche Intelligenz (KI) zunehmend als Automatisierungswerkzeug. Laut aktuellem Threat Insights Report von HP Wolf Security entstehen Malware-Kampagnen immer häufiger aus modularen Bausteinen, die sich schnell kombinieren und anpassen lassen. Qualität spielt dabei eine untergeordnete Rolle. Entscheidend seien Geschwindigkeit und Skalierbarkeit.

Cyberkriminelle setzen Künstliche Intelligenz verstärkt ein, um Angriffe schneller zu erstellen und zu verbreiten. Das zeigt der aktuelle HP Wolf Security Threat Insights Report für das vierte Quartal 2025. Demnach verschiebt sich der Fokus vieler Angreifer: Statt technisch besonders ausgefeilter Schadsoftware dominieren kostengünstige, modular aufgebaute Kampagnen, die sich schnell anpassen und skalieren lassen.

Ein häufig beobachtetes Muster ist laut HP der Einsatz modularer Angriffskomponenten. Angreifer kombinieren einzelne Skripte, Loader und Malware-Payloads zu vollständigen Infektionsketten. Diese Bausteine werden häufig über Untergrundforen gehandelt und lassen sich mit minimalen Änderungen erneut verwenden. In mehreren Kampagnen nutzten unterschiedliche Angreifergruppen identische Zwischenschritte innerhalb der Infektionskette, obwohl sich Köder und finale Malware unterschieden.

Eine typische Angriffskette beginnt mit archivierten Dateien oder Dokumenten, die scheinbar legitime Inhalte enthalten. Dahinter verbirgt sich jedoch ein stark verschleiertes Skript, das eine PowerShell-Routine startet. Diese lädt anschließend ein Bild von externen Plattformen wie archive.org herunter, in dem Schadcode versteckt ist. Erst nach dem Entschlüsseln dieses Codes wird ein .NET-Loader ausgeführt, der schließlich die eigentliche Malware installiert.

Als finale Payloads identifizierten die Forscher unter anderem die Infostealer DarkCloud, AsyncRAT, Formbook und XWorm. Diese Programme können Zugangsdaten aus Browsern auslesen, Systeminformationen sammeln und den Angreifern Fernzugriff auf kompromittierte Geräte verschaffen.

KI hilft beim Schreiben der Angriffsskripte

In mehreren Fällen fanden die Forscher Hinweise darauf, dass Teile der Malware-Skripte mithilfe von KI-Tools erstellt wurden. Auffällig seien etwa ungewöhnlich ausführliche Kommentare und klar strukturierte Code-Vorlagen, die Angreifern zeigen, an welchen Stellen Parameter oder Payload-URLs angepasst werden müssen. Dieses Muster erinnert an automatisierte Programmierhilfen und ermöglicht es auch weniger erfahrenen Angreifern, Malware-Ketten schnell zusammenzustellen.

Neben diesen sogenannten „Vibe-Hacking“-Skripten beobachteten die Forscher auch Kampagnen mit manipulierten Software-Downloads. In einem Fall imitierten Angreifer eine Microsoft-Teams-Downloadseite und verbreiteten ein Installationspaket, das sowohl den legitimen Teams-Installer als auch zusätzliche Programme enthielt. Über eine Technik namens DLL-Sideloading wurde dabei eine manipulierte Bibliothek geladen, die die Backdoor-Malware OysterLoader installierte. Diese dient häufig als Einstiegspunkt für weitere Schadsoftware, etwa Ransomware.

Der Report basiert auf Telemetriedaten von Millionen Endgeräten mit aktivierter HP-Wolf-Security-Isolationstechnologie. Die Analyse zeigt, dass klassische Verbreitungswege weiterhin dominieren: E-Mails waren in Q4 2025 mit 58 Prozent der häufigste Angriffsvektor, gefolgt von Web-Downloads mit 23 Prozent. Mindestens 14 Prozent der per E-Mail zugestellten Bedrohungen konnten zudem einen oder mehrere Gateway-Scanner umgehen.

Die Ergebnisse deuten darauf hin, dass KI derzeit vor allem als Beschleuniger für bestehende Angriffsmethoden eingesetzt wird. Anstatt komplexere Malware zu entwickeln, automatisieren Angreifer bekannte Infektionsketten und erhöhen so Tempo und Reichweite ihrer Kampagnen.

(ID:50773163)