Der Aufstieg von KI-gestützten Hacking-Tools hat Bedenken hinsichtlich der weit verbreiteten automatisierten Ausnutzung von Schwachstellen ausgelöst. Eine unmittelbarere Bedrohung ist jedoch der Einsatz von KI zur Verstärkung der Fähigkeiten weniger anspruchsvoller Hacker. Eine nordkoreanische Gruppe wurde dabei entdeckt, wie sie KI zur Automatisierung verschiedener Aspekte ihrer Operationen einsetzt, was es ihnen ermöglicht, Tausende von Opfern ins Visier zu nehmen und Kryptowährung zu stehlen. ### KI-gestützte Cyberkriminalität Am Mittwoch enthüllte **Expel** eine staatlich unterstützte nordkoreanische Cyberkriminalitätsoperation namens **HexagonalRodent**, die Anmeldedaten-stehlende Malware auf über 2.000 Computern einsetzte. Die Gruppe richtete sich gezielt an Entwickler, die an Kryptowährungs-, NFT- und Web3-Projekten arbeiteten. Durch die Nutzung von KI-Tools von Unternehmen wie **OpenAI**, **Cursor** und **Anima** automatisierte **HexagonalRodent** Aufgaben, die von der Erstellung von Malware bis zum Aufbau gefälschter Websites für Phishing-Kampagnen reichten. Dieser KI-gestützte Ansatz ermöglichte es der Gruppe, innerhalb von drei Monaten schätzungsweise 12 Millionen US-Dollar in Kryptowährung zu stehlen. ### KI verstärkt unerfahrene Hacker Der Sicherheitsforscher **Marcus Hutchins**, bekannt für die Deaktivierung des **WannaCry**-Ransomware-Wurms, betont, dass der bedeutendste Aspekt der **HexagonalRodent**-Kampagne nicht ihre Raffinesse ist, sondern wie KI-Tools einer relativ unerfahrenen Gruppe ermöglichten, eine profitable Diebstahloperation durchzuführen. „Diese Betreiber haben nicht die Fähigkeiten, Code zu schreiben. Sie haben nicht die Fähigkeiten, Infrastruktur aufzubauen. KI ermöglicht es ihnen tatsächlich, Dinge zu tun, die sie sonst einfach nicht tun könnten“, sagt **Hutchins**. ### Mit Emojis gespickter, KI-geschriebener Code Die Operation von **HexagonalRodent** beinhaltete das Täuschen von Krypto-Entwicklern mit betrügerischen Stellenangeboten bei gefälschten Tech-Firmen, komplett mit KI-generierten Websites. Die Opfer wurden gebeten, eine Programmieraufgabe zu erledigen, die mit Malware infiziert war, die darauf ausgelegt war, Anmeldedaten zu stehlen und potenziell den Zugriff auf ihre Krypto-Wallets zu ermöglichen. Trotz ihrer Effektivität machten die Hacker mehrere Fehler, darunter die unsichere Sicherung ihrer Infrastruktur und die Offenlegung der Prompts, die zur Generierung von Malware mit Tools wie **ChatGPT** und **Cursor** verwendet wurden. Sie leckten auch eine Datenbank, die die Wallets der Opfer verfolgte, was **Expel** die Schätzung der gesamten gestohlenen Kryptowährung ermöglichte. **Hutchins** analysierte die Malware und fand weitere Beweise für KI-Beteiligung, einschließlich umfangreicher englischer Kommentare und der ungewöhnlichen Verwendung von Emojis im Code. „Es ist ein ziemlich gut dokumentiertes Zeichen für KI-geschriebenen Code“, bemerkt **Hutchins**. ### Ausnutzung einer Nische Laut **Hutchins** hätte der KI-geschriebene Code von Standard-Endpoint-Detection-and-Response-Tools erkannt werden müssen. **HexagonalRodent** richtete sich jedoch an einzelne Opfer, denen oft diese Sicherheitsmaßnahmen fehlten. „Sie fanden eine Nische, in der man tatsächlich mit vollständig KI-generierter Malware davonkommen kann“, erklärt **Hutchins**. **Hutchins** schlägt vor, dass KI für Nordkorea besonders vorteilhaft ist, da das Land über einen begrenzten Pool an erfahrenen Hackern verfügt, aber leicht weniger erfahrene IT-Mitarbeiter rekrutieren kann. „Sie haben Hunderte von Leuten, die über die Grenze geschickt werden, um in IT-Operationen zu arbeiten, und nur wenige von ihnen wissen wirklich, was sie tun“, sagt **Hutchins**. „Aber dann können sie generative KI nutzen, um einen Vorteil zu erzielen und tatsächlich ziemlich erfolgreiche Hacking-Kampagnen durchzuführen.“ **Expel** schätzt, dass bis zu 31 einzelne Hacker an **HexagonalRodent** beteiligt waren, was darauf hindeutet, dass KI die Größe nordkoreanischer Cyberoperationen erweitert und nicht reduziert. ### Nordkoreas KI-Umarmung Die **HexagonalRodent**-Aktivität ist nur ein kleiner Teil der breiteren Cyberkriminalitätsaktivitäten Nordkoreas, zu denen Kryptowährungsdiebstahl, Ransomware, Spionage und die Infiltration westlicher Organisationen gehören. Diese Operationen werden oft mit einem „staatlich sanktionierten kriminellen Syndikat“ verglichen, das das Atomprogramm und die Infrastruktur des Landes finanziert. Nordkorea integriert aktiv generative KI in seine Hacking- und Betrugsworkflows. Die Schaffung des Forschungszentrums 227 unter der militärischen Aufklärungsgeneralbehörde zeigt einen Fokus auf KI-gesteuerte Hacking-Tools. Nordkoreanische Cyberbetreiber nutzen jedoch auch kommerzielle KI-Tools. **Michael „Barni“ Barnhart** von **DTEX** merkt an, dass „Nordkorea KI als Multiplikator einsetzt, und sie hilft bei jedem Aspekt – beim Erstellen von Lebensläufen, beim Erstellen von Websites, beim Erstellen von Exploits, beim Testen von Schwachstellen – und das tun sie mit Geschwindigkeit und Umfang.“