Google sieht Staatshacker mit Gemini in der Vorbereitung

Google sieht Anzeichen für Staatshacker mit Gemini, die in China, Iran und Nordkorea ihre LLMs für ihre missbräuchlichen Zwecke einsetzen.

OSINT als Ressource für Vorwände

UNC2970 - das Recruiting als Einfallstor

Technische Hilfe bei Akteuren in China und dem Iran

HONESTCUE und Code aus der API

COINBAIT und Phishing mit moderner Oberfläche

ClickFix über geteilte Chats

UNC1069 zeigt die Praxis auf

Model Extraktion und Destillation

Staatshacker, die mit Gemini & Co. arbeiten - Fazit

Googles Gemini LLMs tauchen inzwischen bei mehreren staatlichen Clustern in China, dem Iran und Nordkorea als Werkzeug für die Arbeit vor dem eigentlichen Angriff auf. Man sortiert OSINT-Informationen, konkretisiert Zielprofile und passt sie individueller den Opfern an. Staatshacker glätten dann mit Gemini Ansprachen und Übersetzungen, um sie an lokale Gegebenheiten anzupassen. Dazu kommt technische Unterstützung, wenn es um Code, Tools oder Schwachstellen geht. Genau solche Dinge machen Angriffe raffinierter und schwerer zu erkennen. Der Köder, den man per Social Engineering auslegt, passt dann perfekt zu den potenziellen Opfern.

OSINT als Ressource für Vorwände

Die Abkürzung OSINT steht für Open Source Intelligence. Gemeint ist die systematische Beschaffung, Auswertung und Analyse von Informationen aus allen möglichen öffentlich zugänglichen Quellen. Derartige Quellen liefern seit Jahren mehr als genug Material als Ausgangspunkt für die Hacker. Wer dieses Material schnell und passend zusammenfassen kann, kann daraus Rollen, Zuständigkeiten und Abläufe entwickeln, die plausibel wirken und somit ihr Potenzial besser entfalten können. Dann sieht die Kontaktaufnahme nicht nach Standardfloskeln aus, die aus einer Schablone stammen. Sie wirkt dann wie eine echte, ganz normale Aufnahme der Kommunikation. Oft braucht es nicht mehr, damit jemand nicht sofort aus dem Gespräch aussteigt.

UNC2970 – das Recruiting als Einfallstor

UNC2970 ist eine von Google dokumentierte Bedrohungsgruppe, die im Bereich der Cyber-Spionage mit maßgeschneiderter Malware in Kombination mit verschiedenen Social-Engineering-Komponenten angewendet wird. Dies läuft beispielsweise über Fake-Job-Angebote, gezielte Angriffe auf Sicherheitsforscher und eine Malware-Verteilung mithilfe scheinbar legitimer Bewerbungsprozesse.

UNC2970 steht im Report für diese spezielle Art der Vorbereitung. Im Fokus stehen Zielprofile im Defense- und Security-Umfeld, die als militärisch-industrieller Komplex bekannt sind, inklusive Details zu Rollen und teils auch passenden Gehaltsangaben. Daraus wird ein Recruiting-Vorwand, der nicht schon in der ersten Zeile wie das typische Phishing aussieht. Die Maskerade der Staatshacker muss nicht perfekt sein, sie muss nur zu den potenziellen Opfern passen.

Technische Hilfe bei Akteuren in China und dem Iran

Bei China taucht die KI vor allem als technische Unterstützung auf. Dokumentationen können damit schneller erfasst, Code besser erklärt, Fehlerbilder eingeordnet und kategorisiert sowie kleine Bausteine für Checks zusammengesteckt werden. Beim Iran geht es häufiger um die Personen, die Ansprache und eine exakte Übersetzung. Wer die Sprache Farsi kennt, weiß, dass es viele Begriffe einfach nicht gibt. Wer Farsi einfach 1:1 übersetzt, würde den Kontext der Muttersprache nicht richtig abbilden. So kriegt man potenzielle Opfer gar nicht erst an die Angel. Die Opfer würden durch eine komische Aussprache oder Formulierung der Staatshacker schon zu Anfang misstrauisch werden.

HONESTCUE und Code aus der API

HONESTCUE ist laut dem Google-Bericht der Name einer Malware-Kette, genauer gesagt die eines Loaders/Downloaders. Dafür nutzt die Malware die Gemini-API, um sich C-Code für die nächste Stufe zu generieren. Der Rest läuft oftmals nur im Arbeitsspeicher ab, was zum Wohl der Hacker keine Spuren hinterlässt. Der Code wird kompiliert und ausgeführt, ohne dass eine sonst übliche Payload-Datei sichtbar auf der Platte verbleibt, die man hinterher analysieren könnte. Klassische Antiviren-Programme als auch der Windows Defender haben aufgrund der Vorgehensweise weniger Chancen, diesen Angriff als solchen zu erkennen.

COINBAIT und Phishing mit moderner Oberfläche

Staatshacker mit Gemini hin oder her – Phishing gibt es schon seit Jahren. Auffällig ist nur die neue Verpackung, die es im Laufe der Zeit erhalten hat. COINBAIT ist ein Phishing-Kit, also ein Baukasten für gefälschte Login- und Wallet-Seiten. Laut der Google-Analyse kommt es als moderne Web-App daher und nutzt die Infrastruktur legitimer Dienste. Für die Opfer sieht das eher nach einer echten Plattform als nach einer Wegwerf-Seite aus, die sofort verdächtig wirkt und auch von Adblock-DNS-Diensten wie AdGuard, NextDNS & Co. nicht sofort gesperrt wird. Aufgrund ihres legitimen Aussehens können sie durch die Lücken schlüpfen.

ClickFix über geteilte Chats

Dazu gesellt sich die Social-Engineering-Masche ClickFix. Sie tut so, als wäre sie ein typischer Support. Es wird ein angebliches Problem beschrieben, dazu gibt es eine Anleitung. Und am Ende muss etwas in das Terminal oder die Run-Box kopiert oder eingefügt werden. Technisch gesehen ist das nichts Besonderes. Die Methode lebt einfach davon, dass das potenzielle Opfer technisch nicht versiert ist und den letzten Schritt selbst ausführt. Geteilte KI-Chats sind dafür eine bequeme Bühne, weil der Link auf den ersten Blick seriös wirkt. Der Link kommt schließlich von einer LLM und wird deshalb keine Malware oder Ähnliches beinhalten. Wer LLMs wie Gemini oder ChatGPT regelmäßig nutzt, kennt den kleinen Passus unter dem Chatfenster. Der Chatbot kann Fehler machen. Überprüfe alle wichtigen Informationen. Wenn man das nicht macht – aus Faulheit oder Unwissenheit –, holt man sich das Problem frei Haus auf den eigenen Rechner.

Dass dies nicht nur ein theoretisches Szenario ist, sondern man dies auch in der freien Wildbahn einsetzt, haben andere Ende 2025 sehr konkret beschrieben. Kaspersky dokumentiert ClickFix-Wellen mit Suchanzeigen als Trichter auf geteilte Chats, inklusive AMOS bzw. Atomic MacOS Stealer. Malwarebytes und Huntress beschreiben das Muster ebenfalls als in freier Wildbahn kursierend. Zunächst wirkt es wie eine legitime Hilfsanleitung. Doch dann folgt das Copy-and-Paste, wodurch die Staatshacker mithilfe von Gemini & Co. einen direkten Zugriff auf das System erhalten.

UNC1069 zeigt die Praxis auf

UNC1069 zeigt den Ablauf in einem Stück. Zunächst erfolgt der Einstieg der Kommunikation über einen Messenger. Dann folgt ein Fake-Meeting und anschließend wird wieder ClickFix als angebliche Fehlerbehebung eingesetzt. Das IT-Sicherheitsunternehmen Mandiant erwähnt dabei auch die KI-gestützte Täuschung bis hin zu automatisch generierten Videos. Die Schritte bleiben in jedem Szenario identisch, nur der Weg weicht etwas voneinander ab.

Model Extraktion und Destillation

Neben Angriffskampagnen ist auch das Modell selbst ein Ziel. LLMs werden über APIs systematisch abgefragt, um ihr Verhalten nachzubilden. Das betrifft weniger einzelne Nutzer als alle großen Anbieter. Es geht um geistiges Eigentum, Kosten und darum, wie schnell sich Fähigkeiten kopieren lassen. So kann man sich unabhängiger von den Anbietern machen. Eine eigene Infrastruktur ist halt weniger anfällig als eine fremde und nimmt damit einer potenziellen Möglichkeit der Identifizierung den Wind aus den Segeln.

Model Extraction bedeutet, dass man Fragen stellt, bis sich ein Ersatzmodell ähnlich wie die echte LLM verhält, die man mit Requests überflutet. Destillation ist die übliche Methode, die recht geläufig ist. Wie es im großen Maßstab bei staatlichen Akteuren funktioniert, haben wir ja alle eindrucksvoll bei Deepseek gesehen. Ein kleineres Modell lernt dabei von großen Modellen. Wenn man mehrere miteinander vermischt – zum Beispiel Gemini mit Mistral und ChatGPT – erhält man das Beste aus allen dreien.

Staatshacker, die mit Gemini & Co. arbeiten – Fazit

Die Vorarbeit wird durch den Einsatz der KI wesentlich schneller. Das gilt für die Recherche, Ansprache, Übersetzung und den üblichen Kleinkram, der dabei anfällt. Es gibt weniger Fehler, weniger Auffälligkeiten und eine wesentlich höhere Erfolgschance. ClickFix benötigt keinen Exploit. Es braucht nur die Unwissenheit des Gegenübers. Also eine Situation, in der jemand den Befehl vertrauensselig kopiert und unbedacht ausführt.

Parallel dazu läuft die Model Extraction auf hohem Niveau. APIs fragen Modelle so lange ab, bis ein Ersatzmodell, das man fleißig trainiert hat, ähnlich reagiert. Destillation ist dabei der übliche weil kostengünstigste Weg. Kleine Modelle lernen von den großen Modellen der aktuellen Marktführer. Wer mehrere Vorlagen nutzt oder Ergebnisse kombiniert, sammelt die Stärken der einzelnen Modelle, ohne deren Schwächen zu übernehmen. Natürlich entfällt auch der komplette Neuaufbau. So gefährlich das Unterfangen der Staatshacker klingt, so riskant ist es auch.

Ich studiere Politikwissenschaft und Japanisch. Vorher habe ich vier Jahre bei der Bundeswehr gedient und hatte dort meine ersten professionellen Berührungspunkte mit IT, im Bereich Netzwerk Aufbau etc.

DeepL vs. ChatGPT: Europas Übersetzer-KI greift nach der globalen Tech Liga

DeepL vs. ChatGPT: CEO Jaroslaw Kutyłowski treibt DeepL mit Wachstum, Milliardenbewertung und DeepL Voice in die globale Tech-Liga.

Evasive Panda ändert das DNS, statt Updates lädt man Malware

Die Hacker-Gruppe Evasive Panda nutzte das Domain Name System, um unzählige Computer zu verseuchen. Das DNS ist elementar und keine Beilage.

KI-Jailbreak Semantic Chaining: Neue Technik unterläuft KI-Schutzmechanismen

KI-Jailbreak Semantic Chaining knackte Grok 4 & Gemini Nano Banana Pro mit einem scheinbar unauffälligen linguistischen Bedeutungsmechanismus

UAT-7290: Massiver Angriff auf die Telekommunikationsinfrastruktur in verschiedenen Kontinenten

Der Angriff auf die Telekommunikationsinfrastruktur in Südasien und Teilen Europas ging vom chinesischen Hackernetzwerk APT aus.

Wegen KI-Spam: curl stellt Bug-Bounty ein

Das curl-Projekt muss nach Jahren und Tausenden Dollar an Sicherheitsforscher sein Bug-Bounty-Programm einstellen. Der Grund: LLMs.

Autonomer KI-Agent startet Diffamierung gegen Matplotlib-Maintainer

Ein abgelehnter Pull Request endet in einer persönlichen Attacke auf einen Maintainer. Risiken autonomer KI werden sichtbar.

SmartTube-Schock auf Android TV

Wie der werbefreie YouTube-Client zur Gefahr wurde. SmartTube wurde bei diversen Android TV-Boxen zu einem Einfallstor für Schadsoftware.

Pornhub Premium und der Leak, der nach Erpressung riecht

Wenn der Betreiber nicht den Forderungen von ShinyHunters entspricht, wollen die Hacker zahlreiche Pornhub Premium-Kundendaten enttarnen.

Wikipedia zieht der KI den Stecker raus

Die Wikipedia verliert nicht nur immer mehr Zugriffe an KI-Portale und -Chatbots. Sie haben auch noch die Kosten für deren Datensammlung.

PSN-Konto trotz 2FA mehrfach übernommen

Das PSN-Konto von Nicolas Lellouche entriss ein Hacker trotz starkem Passwort und 2FA mehrfach. Hinterher erklärte er ihm, wie das gelang.

ChatGPT als Werbepartner, OpenAI muss Geld verdienen!

OpenAI muss seinen Dienst irgendwie monetarisieren. Wird ChatGPT künftig als Werbepartner herhalten müssen, um die enormen Kosten zu decken?

CyberVolk-Ransomware: VolkLocker liefert Entschlüsselungs-Key gleich mit

CyberVolk-Ransomware ist zurück: VolkLocker läuft komplett über Telegram und speichert den Master-Key im Klartext.

„One Battle After Another”: Torrent versteckt Malware in Untertiteln

Ein gefälschter Torrent für Leonardo DiCaprios Film „One Battle After Another” versteckt eine bösartige Malware in den Untertiteldateien.

Behörden-Domains leiten auf Seiten mit Scam, Pornos und Schadsoftware weiter

Man denkt an nichts Böses, klickt bei Google auf den Treffer von Behörden-Domains und landet plötzlich auf der Seite eines Cyberkriminellen.

Geoffrey Hinton sieht Google vor OpenAI

KI-Pionier Geoffrey Hinton sieht Google im Wettlauf gegen OpenAI vorne – dank eigener Chips, massiver Infrastruktur und wachsender Bedeutung.

KI-Jailbreak: Gedichte umgehen KI-Sicherheitsfilter in 62 % der Fälle

Neue Studie zeigt: Ein KI-Jailbreak funktioniert sogar mit Gedichten. Adversarial Poetry umgeht KI-Sicherheitsfilter in 62 % der Fälle.

Die Wahrheit hinter Atlas und Comet: Finger weg von den neuen KI-Browsern!

Die neuen KI-Browser Atlas und Comet sollen das WWW revolutionieren. Doch der Nutzen steht nicht im Gleichgewicht zu den Nachteilen.

Reinfälle mit künstlicher Intelligenz bei Gericht

Bei Gericht die geistigen Ergüsse künstlicher Intelligenz ungeprüft zu nutzen, hat negative Folgen. Wir stellen die bekanntesten Fälle vor.

© Tarnkappe