Google sieht Staatshacker mit Gemini in der Vorbereitung

Google sieht Anzeichen für Staatshacker mit Gemini, die in China, Iran und Nordkorea ihre LLMs für ihre missbräuchlichen Zwecke einsetzen.

OSINT als Ressource für Vorwände

UNC2970 - das Recruiting als Einfallstor

Technische Hilfe bei Akteuren in China und dem Iran

HONESTCUE und Code aus der API

COINBAIT und Phishing mit moderner Oberfläche

ClickFix über geteilte Chats

UNC1069 zeigt die Praxis auf

Model Extraktion und Destillation

Staatshacker, die mit Gemini & Co. arbeiten - Fazit

Googles Gemini LLMs tauchen inzwischen bei mehreren staatlichen Clustern in China, dem Iran und Nordkorea als Werkzeug für die Arbeit vor dem eigentlichen Angriff auf. Man sortiert OSINT-Informationen, konkretisiert Zielprofile und passt sie individueller den Opfern an. Staatshacker glätten dann mit Gemini Ansprachen und Übersetzungen, um sie an lokale Gegebenheiten anzupassen. Dazu kommt technische Unterstützung, wenn es um Code, Tools oder Schwachstellen geht. Genau solche Dinge machen Angriffe raffinierter und schwerer zu erkennen. Der Köder, den man per Social Engineering auslegt, passt dann perfekt zu den potenziellen Opfern.

OSINT als Ressource für Vorwände

Die Abkürzung OSINT steht für Open Source Intelligence. Gemeint ist die systematische Beschaffung, Auswertung und Analyse von Informationen aus allen möglichen öffentlich zugänglichen Quellen. Derartige Quellen liefern seit Jahren mehr als genug Material als Ausgangspunkt für die Hacker. Wer dieses Material schnell und passend zusammenfassen kann, kann daraus Rollen, Zuständigkeiten und Abläufe entwickeln, die plausibel wirken und somit ihr Potenzial besser entfalten können. Dann sieht die Kontaktaufnahme nicht nach Standardfloskeln aus, die aus einer Schablone stammen. Sie wirkt dann wie eine echte, ganz normale Aufnahme der Kommunikation. Oft braucht es nicht mehr, damit jemand nicht sofort aus dem Gespräch aussteigt.

UNC2970 – das Recruiting als Einfallstor

UNC2970 ist eine von Google dokumentierte Bedrohungsgruppe, die im Bereich der Cyber-Spionage mit maßgeschneiderter Malware in Kombination mit verschiedenen Social-Engineering-Komponenten angewendet wird. Dies läuft beispielsweise über Fake-Job-Angebote, gezielte Angriffe auf Sicherheitsforscher und eine Malware-Verteilung mithilfe scheinbar legitimer Bewerbungsprozesse.

UNC2970 steht im Report für diese spezielle Art der Vorbereitung. Im Fokus stehen Zielprofile im Defense- und Security-Umfeld, die als militärisch-industrieller Komplex bekannt sind, inklusive Details zu Rollen und teils auch passenden Gehaltsangaben. Daraus wird ein Recruiting-Vorwand, der nicht schon in der ersten Zeile wie das typische Phishing aussieht. Die Maskerade der Staatshacker muss nicht perfekt sein, sie muss nur zu den potenziellen Opfern passen.

Technische Hilfe bei Akteuren in China und dem Iran

Bei China taucht die KI vor allem als technische Unterstützung auf. Dokumentationen können damit schneller erfasst, Code besser erklärt, Fehlerbilder eingeordnet und kategorisiert sowie kleine Bausteine für Checks zusammengesteckt werden. Beim Iran geht es häufiger um die Personen, die Ansprache und........

© Tarnkappe