KI-Malware 2025: Das hat sich geändert

KI-gestützte Malware ist von der Fiktion zur (noch seltenen, aber realen) Technik geworden. Jüngste Funde zeigen, wie Angreifer lokal laufende Sprachmodelle dynamisch Skripte erzeugen lassen – Signaturen und feste IOCs (Indicators of Compromise) greifen schlechter. Effektive Verteidigung heißt deshalb „Denkkette durchbrechen“, also KI-Abläufe erkennen und unterbrechen, nicht mehr nur Samples jagen.

Was gerade passiert

Erster belastbarer Fund: ESET beschreibt „PromptLock“ – Ransomware, die ein lokal erreichbares Sprachmodell nutzt, um on-the-fly Lua-Skripte zu generieren (Windows, Linux, macOS). Der Code entscheidet anhand vordefinierter Prompts selbst, ob er exfiltriert oder verschlüsselt. ESET ordnet es als PoC (Proof of Concept) ein, betont aber die reale Bedrohungsperspektive.

Agenten als Exploit-Motor: In einem Peer-Reviewed-Preprint zeigen Forschende, dass ein LLM-Agent mit CVE-Beschreibung 87 % realer One-Day-Lücken in Testumgebungen ausnutzen konnte – deutlich über klassischen Scannern. Das verdeutlicht, wie stark Planen, Toolnutzung, Schwachstellen Ausnutzen automatisierbar wird.

Polymorph on demand: Das PoC BlackMamba demonstriert bereits 2023, wie ein LLM zur Laufzeit Keylogger-Funktionen neu synthetisiert und so EDR-Heuristiken aushebelt – jedes Mal anders, ohne klassische C2 (Command-and-Control-Infrastruktur);

Die Erkenntis ist somit, dass KI die Angriffslogik von „fertigen Binaries“ zu generativen Ablaufketten am Zielsystem verschiebt. Genau dort müssen wir ansetzen.

„Denkkette durchbrechen“ – was heißt das?

Nicht die eine Datei ist das Ziel, sondern die Abfolge der Schritte: Prozess spricht lokale KI-API (z. B. 127.0.0.1:*`), dann startet Interpreter (PowerShell/Python/Bash), dann Dateiflut (viele Reads/Writes, gleichförmige neue Dateien), dann Exfiltration/Encryption. Wer diese Kette erkennt und bricht, stoppt auch neu „erfundene“ Varianten. Das passt zu ATT\&CK-basiertem Behavioral Detection statt reiner IOC-Jagd.

Vier konkrete Stellschrauben (technik-agnostisch)

1. Inventarisieren & einschränken
   Nur freigegebene Software darf laufen – vor allem nichts „Selbstinstalliertes“ in Nutzerbereichen. Denn KI-gestützte Angriffe nutzen gern lokale Dienste, die unbemerkt im Hintergrund werkeln. Möglicher Hebel sind klare Policies „Was darf wo laufen?“, Freigabeprozess, regelmäßige Bestandsliste; Ausnahmen nur begründet.
2. Kombinierte Erkennung statt Einzelsignale
   Nicht jedes Ereignis einzeln bewerten, sondern Abläufe erkennen (Planen → Ausführen → viele Dateiaktionen). Denn KI-Malware variiert den Code – die Kette der Abläufe bleibt allerdings bestehen. Du solltest Use-Cases definieren (Was ist „auffällig“?), in Monitoring/EDR abbilden, Alarmwege und Reaktionsplan festlegen.
3. Ausgehende Verbindungen minimieren (Egress-Prinzip)
   Standard ist „kein Internetzugang“ für Scripte/Tools; Erlaubnis nur für definierte Ziele (z. B. Update-Proxy). Denn ohne Verbindung nach draußen scheitern viele Automatisierungen und Datenabflüsse. Du solltest Rollen/Prozesse, die Internet brauchen, benennen und gezielt freischalten; Rest standardmäßig dicht.
4. Dateisturm erkennen & stoppen
   Ungewöhnlich viele Dateiänderungen in kurzer Zeit sind ein Notbremse-Signal. Denn das ist das typische Muster von Verschlüsselung. Du solltest Schutzbereiche definieren (kritische Ordner/Server), automatische Block-/Isolationsregeln aktivieren, Restore-Tests regelmäßig durchführen.

Einordnung: Wie groß ist die Gefahr heute?

PromptLock wird aktuell als Prototyp/PoC bewertet – keine breite Kampagne. Dennoch ist das Prinzip „lokales LLM + dynamische Skripterzeugung“ ein qualitativer Sprung, der Verteidigern neue Detektionsmuster abverlangt. Wer Verhalten entlang der Kette überwacht, senkt das Risiko auch gegen künftige Varianten.

Drei wichtige Quellen:

1. ESET Research – PromptLock (2025): Erstbeschreibung einer KI-gestützten Ransomware mit lokaler LLM-Laufzeit und dynamischen Lua-Skripten.
2. LLM Agents can Autonomously Exploit One-day Vulnerabilities (2024): Experimenteller Nachweis, dass LLM-Agenten reale One-Days autonom ausnutzen.
3. MITRE ATT&CK® ist eine weltweit zugängliche Wissensdatenbank zu Taktiken und Techniken der Gegner, die auf Beobachtungen aus der realen Welt basiert.