Die Welt der Cybersicherheit beschäftigt sich häufig mit einem „Weltuntergangsszenario“: einer fortschrittlichen, autonomen KI, die wie eine digitale Supermacht jede Firewall umgehen kann. Eine aktuelle Untersuchung offenbart jedoch eine viel unmittelbarere und praktischere Bedrohung. Anstatt „Super-Hacker“ zu erschaffen, fungiert generative KI als Kraftmultiplikator für mittelmäßige, ungelernte Kriminelle und ermöglicht es ihnen, hochprofitable und groß angelegte Operationen durchzuführen.
Ein aktueller Bericht des Cybersicherheitsunternehmens Expel hat eine staatlich geförderte nordkoreanische Gruppe namens „HexagonalRodent “ aufgedeckt, die kommerzielle KI-Tools nutzte, um in nur drei Monaten geschätzte 12 Millionen US-Dollar an Kryptowährung zu stehlen.
Die „Vibe Coding“-Kampagne
Die Operation von HexagonalRodent zeichnete sich nicht durch technische Brillanz aus, sondern durch den cleveren Einsatz leicht verfügbarer KI-Tools von Unternehmen wie OpenAI, Cursor und Anima. Die Gruppe zielte auf eine bestimmte Nische ab: Entwickler, die an kleinen Web3-, NFT- und Kryptowährungsprojekten arbeiten.
Die Hacker nutzten eine ausgeklügelte Social-Engineering-Taktik:
1. Gefälschte Rekrutierung: Sie verwendeten KI-Webdesign-Tools, um professionell aussehende Websites für betrügerische Technologieunternehmen zu erstellen.
2. Phishing über „Tests“: Sie lockten Opfer mit gefälschten Stellenangeboten und forderten sie schließlich auf, einen „Codierungsauftrag“ zu erfüllen.
3. Malware-Injection: Diese Zuweisungen waren mit Malware infiziert, die Zugangsdaten stiehlt und Krypto-Wallets kapern soll.
„Diese Bediener verfügen nicht über die Fähigkeiten, Code zu schreiben … KI ermöglicht es ihnen tatsächlich, Dinge zu tun, zu denen sie sonst einfach nicht in der Lage wären“, sagt Marcus Hutchins, der Sicherheitsforscher, der die Gruppe entdeckt hat.
Digitale Fingerabdrücke: Emojis und Englisch
Trotz ihres Erfolgs hinterließen die Hacker eindeutige Hinweise darauf, dass ihre Arbeit KI-generiert war. Sicherheitsforscher stellten mehrere „Tells“ in der Malware fest:
– Mit Emojis übersäter Code: Die Malware enthielt häufig die Verwendung von Emojis – eine häufige Eigenart von Large Language Models (LLMs), die professionelle Programmierer bei der manuellen Codierung selten verwenden.
– Uncharakteristische Anmerkungen: Der Code wurde stark mit englischen Kommentaren versehen, was für nordkoreanische Betreiber untypisch, aber Standard für KI-generierte Ausgaben ist.
– Standardmuster: Während die Malware vorhersehbaren Mustern folgte, die moderne Sicherheitstools erkennen sollten, entgingen die Hacker erfolgreich der Aufmerksamkeit, indem sie einzelne Entwickler ins Visier nahmen, denen es an unternehmenstauglicher „Endpoint Detection and Response“ (EDR)-Software mangelte.
Ein Machtmultiplikator für ein „Verbrechenssyndikat“
Diese Entdeckung verdeutlicht einen entscheidenden Wandel in der Art und Weise, wie Nordkorea Cyberkriege führt. Das Regime steht vor einer strukturellen Herausforderung: Es verfügt über einen riesigen Pool an gering qualifizierten IT-Arbeitskräften, aber eine sehr begrenzte Anzahl an Elite-Hackern.
KI löst dieses Problem, indem sie es dem Staat ermöglicht, seine Operationen zu skalieren, ohne sein Fachwissen zu erweitern. Anstatt ein komplettes Entwicklungsteam zu benötigen, kann ein einzelner mittelmäßiger Betreiber KI nutzen, um Exploits zu schreiben, Websites zu erstellen und Social-Engineering-Skripte zu verfeinern. Dies hat die nordkoreanischen Cyber-Operationen zu etwas gemacht, das einem staatlich sanktionierten Verbrechersyndikat ähnelt, das gestohlene Gelder verwendet, um internationale Sanktionen zu umgehen und nationale Interessen, einschließlich Atomprogramme, zu finanzieren.
Der blinde Fleck der Branche
Die umfassenderen Auswirkungen auf die Cybersicherheitsbranche sind erheblich. Während sich ein Großteil der aktuellen Debatte auf das zukünftige Risiko einer „autonomen Hacking-KI“ konzentriert, besteht die eigentliche Gefahr derzeit im Missbrauch vorhandener, kommerzieller Tools.
Große KI-Anbieter wehren sich bereits. OpenAI und Anthropic haben beide berichtet, nordkoreanische Konten entdeckt und gesperrt zu haben. Cursor und Anima arbeiten ebenfalls daran, böswillige Akteure daran zu hindern, ihre Plattformen zu nutzen.
Solange diese Tools jedoch zugänglich bleiben, werden sie die Eintrittsbarriere für Cyberkriminalität weiter senken. Bei der Bedrohung handelt es sich nicht um ein hypothetisches „Skynet“; Es ist die Fähigkeit ungelernter Schauspieler, sich mit beispielloser Geschwindigkeit und Ausmaß zu bewegen.
Fazit: KI bringt nicht unbedingt anspruchsvollere Hacker hervor, aber sie ermöglicht mittelmäßigen Hackern, auf professionellem Niveau zu agieren, und macht aus gering qualifizierter Cyberkriminalität eine ertragreiche, staatlich geförderte Branche.
