Die fortschreitende Entwicklung von Künstlicher Intelligenz hat nicht nur bahnbrechende Innovationen hervorgebracht – sie ruft auch neue Formen digitaler Bedrohung auf den Plan. Besonders alarmierend: Hackergruppen aus Nordkorea sollen KI nutzen, um täuschend echten Schadcode zu generieren – mit weitreichenden Implikationen für Blockchain-Entwickler und Cybersicherheitsexperten weltweit.
Wenn KI zum Werkzeug der Cyberbedrohung wird
Im Dezember 2023 berichtete das deutsche IT-Portal Heise über einen beunruhigenden Vorfall: Sicherheitsforscher von Microsoft und OpenAI deckten auf, dass staatlich unterstützte nordkoreanische APT-Gruppen – namentlich APT37 (auch ScarCruft genannt) – begonnen hatten, öffentlich verfügbare KI-Systeme wie ChatGPT zur Entwicklung von Schadcode einzusetzen. Konkret wurde ein PowerShell-Skript entdeckt, das mithilfe von KI erstellt und als Backdoor verwendet wurde, um Zugang zu kompromittierten Systemen zu erlangen.
Die KI wurde dabei verwendet, um Code zu erzeugen, der funktional, schwer zu entdecken und frei von typischen Signaturen üblicher Malware war. Damit umgehen die Angreifer automatisierte Schutzsysteme und erschweren die forensische Analyse.
Laut Microsofts Threat Intelligence Center hatte die Gruppe Zugriff auf öffentlich zugängliche Large Language Models, generierte harmlose Code-Snippets, die dann in schädliche Tools integriert wurden. Dies ist ein klarer Hinweis darauf, dass generative KI zunehmend nicht nur in der Softwareentwicklung, sondern auch in der Cyberkriminalität eine operative Rolle spielt.
Wie KI den Angriffszyklus verändert
Die Integration von KI in den Angriffsprozess ermöglicht eine neue Qualität der Automatisierung: Vom Social Engineering bis zur Exploit-Entwicklung werden Abläufe effizienter und schwieriger zu erkennen. In dem untersuchten Fall unterstützte das Sprachmodell die Hacker offenbar dabei, eine PowerShell-Backdoor so zu generieren, dass sie sowohl systematisch funktionierte als auch möglichst wenig Aufmerksamkeit erregte. Auch die Erstellung von Phishing-Inhalten in perfekter Sprache oder von polymorphem Code zählt zum neuen Arsenal KI-gestützter Angriffe.
Dieser Trend ist nicht nur ein technisches Problem, sondern wirft auch geopolitische Fragen auf. Nordkorea setzt seit Jahren systematisch auf Cyberkriminalität, um Sanktionen zu umgehen und Devisen zu generieren, insbesondere durch Angriffe auf Kryptobörsen. Bereits 2022 wurden laut einem Bericht von Chainalysis rund 1,7 Milliarden US-Dollar durch nordkoreanische Hacker aus Blockchain-Projekten und Wallets entwendet – ein trauriger Rekordwert.
Besonders bedroht: Blockchain- und Smart-Contract-Entwickler
Als besonders gefährdet gelten Blockchain-Entwickler. Die hohe Kapitaldichte von Krypto- und NFT-Projekten gepaart mit häufig unzureichenden Sicherheitsstandards macht die Szene zu einem bevorzugten Ziel für Angriffe. In Kombination mit KI wird hier zunehmend gezielt nach Zero-Day-Schwachstellen in Smart Contracts oder Wallet-Backends gesucht.
Ein Beispiel: Die Lazarus-Gruppe, ebenfalls mit Nordkorea in Verbindung gebracht, wurde 2022 verantwortlich gemacht für den Hack auf das Axie Infinity-Spiel-Ökosystem. Damals gingen umgerechnet 620 Millionen US-Dollar verloren. Analysen zeigen, dass die Angreifer zuvor wochenlang Mitarbeiter auf LinkedIn kontaktierten und sie mit präparierten PDFs, wohlmöglich ebenfalls KI-generiert, täuschten.
Diese Strategie ist effektiv, weil sie technische Sicherheitsvorkehrungen umgeht und stattdessen auf menschliches Verhalten zielt – ein Paradebeispiel für „Human-Level Social Engineering“, das durch KI in Umfang und Präzision skalierbar wird.
Wie Sicherheitsforscher reagieren
Microsoft und OpenAI haben in einer gemeinsamen Stellungnahme bekräftigt, proaktiv gegen die missbräuchliche Nutzung ihrer KI-Systeme vorzugehen. So wurden betroffene Accounts gesperrt, Prompt-Muster analysiert und technische Schutzmechanismen verbessert, um gefährliche Abfragen zu erkennen. Doch Expertinnen und Experten betonen: In einer offenen KI-Landschaft, in welcher Open-Source-Modelle frei verfügbar sind, wird es kaum möglich sein, alle Missbrauchsszenarien zu unterbinden.
Rajarshi Gupta, VP of AI bei Palo Alto Networks, erklärte im Oktober 2024 gegenüber MIT Technology Review, dass KI-basierte Angriffe deutlich schneller und ausgefeilter würden – und dass traditionelle Schutzvorkehrungen wie Signaturdatenbanken hier an Grenzen stießen. Laut Gupta müsse insbesondere der Fokus auf verhaltensbasierte Erkennungssysteme intensiviert werden.
Statistische Dimension: Wie verbreitet ist das Problem bereits?
Die Bedrohung durch KI-unterstützte Angriffe ist längst kein theoretisches Szenario mehr. Laut dem Global Threat Intelligence Report 2025 des Cybersecurity-Anbieters NTT wurde in rund 14,2 Prozent aller analysierten Cybervorfälle im Jahr 2024 mutmaßlich KI für die Automation oder Maskierung des Angriffs verwendet. Auch die EU-Agentur ENISA beobachtete in ihrem Threat Landscape Report 2024 eine signifikante Zunahme generativer KI im Kontext von Malwareentwicklung und Phishing.
Eine andere Studie von IBM (X-Force Threat Intelligence Index 2025) kommt zu dem Schluss, dass intelligente Automatisierung die mittlere Verweildauer (Mean Dwell Time) eines Angreifers im Netzwerk ohne Entdeckung auf nunmehr 16 Tage verkürzt – ein historischer Tiefstand.
Handlungsempfehlungen für Blockchain-Entwickler und Sicherheitsverantwortliche
Angesichts dieser Entwicklungen ist es dringend geboten, die eigene Sicherheitsstrategie an das neue Bedrohungsbild anzupassen. Folgende Maßnahmen werden von Experten empfohlen:
- Integration von KI-basierten Erkennungssystemen: Verwenden Sie moderne Anomalieerkennungssysteme auf Basis maschinellen Lernens, die auch neue, signaturlose Schadcode-Muster erkennen können.
- Prompt Injection- und Output-Filter für KI-Tools einführen: Wenn genutzte KI-Systeme intern zur Codegenerierung eingesetzt werden, sollten Schutzmechanismen existieren, um missbräuchliche oder unsichere Ausgaben zu blockieren.
- Blue/Red-Team-Tests regelmäßig erweitern: Simulieren Sie in realistischen Angriffsszenarien den Einsatz von KI-unterstützten Angriffswerkzeugen, um Schwachstellen im Team und Prozessabläufen zu identifizieren.
KI-Ethik und Sicherheitsdesign zusammendenken
Die Tatsache, dass staatlich unterstützte Gruppierungen wie APT37 bereits heute KI-Modelle für Cyberangriffe nutzen, markiert einen Wendepunkt in der Geschichte der Cybersicherheit. Dies bedeutet nicht nur eine neue Herausforderung für Entwickler und Unternehmen, sondern eröffnet auch ein ethisches Spannungsfeld für Hersteller von KI-Systemen: Wie wird Verfügbarkeit, Innovation und Verantwortung ausreichend ausbalanciert?
Ein wachsender Konsens in der Forschung fordert deshalb den Einbau technischer Schranken bereits auf Modellebene – etwa durch Reinforcement Learning from Human Feedback (RLHF) oder integrierte Bedrohungserkennung. Doch auch die Politik ist gefragt, Rahmenbedingungen für den kontrollierten Betrieb und Export solcher Technologien zu definieren.
Fazit: Zeit für neue Sicherheitsparadigmen
Die Nutzung von KI durch nordkoreanische Hacker zur Erzeugung von Schadcode ist mehr als ein technischer Einzelfall – sie repräsentiert den Beginn eines neuen Zeitalters der Cyberbedrohungen. Unternehmen, Entwickler und Behörden müssen umdenken: Klassische Abwehrmechanismen greifen nicht mehr, wenn Angriffe selbst lernfähig, generativ und anpassungsfähig sind.
Die positive Nachricht: Viele Lösungen liegen bereits vor – sie müssen nur konsequent und intelligent kombiniert werden. Und genau hier ist auch die Tech-Community gefragt. Teilen Sie Ihre Erfahrungen, Tools und Erkenntnisse in offenen Netzwerken, um der Bedrohung gemeinsam zu begegnen. Denn Cybersicherheit ist längst kein Wettbewerbsthema mehr, sondern eine gesamtgesellschaftliche Aufgabe.
