Einführung
Anthropic veröffentlichte am Mittwoch einen neuen Bedrohungsbericht, der wie ein Blick in die Zukunft der Cyberkriminalität wirkt. Der Bericht dokumentiert, wie böswillige Akteure nicht mehr nur KI nach Programmierhinweisen fragen, sondern sie aktiv nutzen, um Angriffe in Echtzeit durchzuführen – und Kryptowährungen zur Zahlungsabwicklung verwenden.
Vibe Hacking
Ein herausragendes Beispiel ist das, was Forscher „Vibe Hacking“ nennen. In dieser Kampagne nutzte ein Cyberkrimineller Anthropics Claude, einen natürlichen Sprachassistenten für Programmierung, der im Terminal läuft, um eine Massen-Erpressungsoperation über mindestens 17 Organisationen hinweg durchzuführen, darunter Regierungsbehörden, das Gesundheitswesen und religiöse Institutionen.
Anstatt klassische Ransomware einzusetzen, verließ sich der Angreifer auf Claude, um Aufklärung zu automatisieren, Anmeldedaten zu sammeln, Netzwerke zu durchdringen und sensible Daten zu exfiltrieren. Claude gab nicht nur Anleitungen, sondern führte auch „on-keyboard“-Aktionen durch, wie das Scannen von VPN-Endpunkten, das Schreiben maßgeschneiderter Malware und die Analyse gestohlener Daten, um zu bestimmen, welche Opfer am meisten zahlen könnten.
Dann kam die Erpressung: Claude generierte maßgeschneiderte HTML-Erpresserbriefe, die auf jede Organisation mit finanziellen Zahlen, Mitarbeiterzahlen und regulatorischen Drohungen zugeschnitten waren. Die Forderungen reichten von 75.000 bis 500.000 Dollar in Bitcoin.
Die Rolle von Kryptowährungen
Ein KI-unterstützter Betreiber hatte die Schlagkraft eines gesamten Hacker-Teams. Während der Bericht alles von staatlicher Spionage bis zu Romantbetrügereien abdeckt, zieht sich ein roter Faden durch: Geld – und ein Großteil davon fließt über Kryptowährungswege. Die „Vibe Hacking“-Erpressungskampagne forderte Zahlungen von bis zu 500.000 Dollar in Bitcoin, wobei die Erpresserbriefe automatisch von Claude generiert wurden, um Wallet-Adressen und opferspezifische Drohungen einzuschließen.
Ein separates Ransomware-as-a-Service-Geschäft verkauft KI-gestützte Malware-Kits in Dark-Web-Foren, in denen Krypto die Standardwährung ist. Im größeren geopolitischen Kontext lenkt Nordkoreas KI-unterstützter IT-Arbeiterbetrug Millionen in die Waffenprogramme des Regimes, oft gewaschen durch Krypto-Kanäle.
Nordkoreas Nutzung von KI
Mit anderen Worten: KI skaliert die Arten von Angriffen, die bereits auf Kryptowährungen für Auszahlungen und Geldwäsche angewiesen sind, und macht Krypto enger mit der Wirtschaft der Cyberkriminalität verwoben als je zuvor. Eine weitere Enthüllung: Nordkorea hat KI tief in sein Spielbuch zur Umgehung von Sanktionen eingewebt. Die IT-Mitarbeiter des Regimes landen betrügerische Remote-Jobs bei westlichen Technologieunternehmen, indem sie technische Kompetenz mit Claudes Hilfe vortäuschen.
Laut dem Bericht sind diese Arbeiter fast vollständig auf KI für ihre täglichen Aufgaben angewiesen. Claude erstellt Lebensläufe, schreibt Bewerbungsschreiben, beantwortet Interviewfragen in Echtzeit, debuggt Code und verfasst sogar professionelle E-Mails. Das Schema ist lukrativ. Das FBI schätzt, dass diese Remote-Einstellungen jährlich Hunderte Millionen Dollar in die Waffenprogramme Nordkoreas zurückführen.
Ransomware-as-a-Service
Was früher jahrelanges Elite-Training an Universitäten in Pjöngjang erforderte, kann jetzt mit KI im Handumdrehen simuliert werden. Wenn das nicht genug wäre, beschreibt der Bericht einen in Großbritannien ansässigen Akteur (verfolgt als GTG-5004), der einen No-Code-Ransomware-Shop betreibt. Mit Claudes Hilfe verkauft der Betreiber Ransomware-as-a-Service (RaaS)-Kits in Dark-Web-Foren wie Dread und CryptBB.
Für nur 400 Dollar können angehende Kriminelle DLLs und ausführbare Dateien kaufen, die durch ChaCha20-Verschlüsselung unterstützt werden. Ein vollständiges Kit mit einer PHP-Konsole, Command-and-Control-Tools und Anti-Analyse-Umgehung kostet 1.200 Dollar. Diese Pakete enthalten Tricks wie FreshyCalls und RecycledGate, Techniken, die normalerweise fortgeschrittenes Wissen über Windows-Interna erfordern, um Endgeräteschutzsysteme zu umgehen.
Der beunruhigende Teil? Der Verkäufer scheint nicht in der Lage zu sein, diesen Code ohne KI-Unterstützung zu schreiben. Anthropics Bericht betont, dass KI die Fähigkeitsbarriere beseitigt hat – jeder kann jetzt fortschrittliche Ransomware erstellen und verkaufen.
Staatliche Akteure und KI
Der Bericht hebt auch hervor, wie staatliche Akteure KI in ihren Operationen einbetten. Eine chinesische Gruppe, die auf kritische Infrastruktur in Vietnam abzielt, nutzte Claude in 12 von 14 MITRE ATT&CK-Taktiken – alles von Aufklärung über Privilegieneskalation bis hin zu lateraler Bewegung. Zu den Zielen gehörten Telekommunikationsanbieter, Regierungsdatenbanken und Agrarsysteme.
Separat sagt Anthropic, dass es eine nordkoreanische Malware-Kampagne, die mit dem berüchtigten „Contagious Interview“-Schema verbunden ist, automatisch gestört hat. Automatisierte Schutzmaßnahmen erkannten und sperrten Konten, bevor sie Angriffe starten konnten, und zwangen die Gruppe, ihren Versuch aufzugeben.
Betrug und KI
Über hochkarätige Erpressung und Spionage hinaus beschreibt der Bericht, wie KI stillschweigend Betrug im großen Stil antreibt. Kriminelle Foren bieten synthetische Identitätsdienste und KI-gesteuerte Carding-Stores an, die in der Lage sind, gestohlene Kreditkarten über mehrere APIs mit Unternehmensqualität Failover zu validieren.
Es gibt sogar einen Telegram-Bot, der für Romantbetrügereien vermarktet wird, bei dem Claude als „hoch EQ-Modell“ beworben wurde, um emotional manipulative Nachrichten zu generieren. Der Bot unterstützte mehrere Sprachen und bediente laut dem Bericht über 10.000 Nutzer monatlich.
KI schreibt nicht nur bösartigen Code – sie verfasst auch Liebesbriefe an Opfer, die nicht wissen, dass sie betrogen werden.
Schlussfolgerung
Anthropic rahmt diese Offenlegungen als Teil seiner umfassenderen Transparenzstrategie: um zu zeigen, wie seine eigenen Modelle missbraucht wurden, während technische Indikatoren mit Partnern geteilt werden, um dem breiteren Ökosystem zu helfen, sich gegen Missbrauch zu verteidigen. Konten, die mit diesen Operationen verbunden sind, wurden gesperrt, und neue Klassifizierer wurden eingeführt, um ähnlichen Missbrauch zu erkennen.
Aber die größere Erkenntnis ist, dass KI die Wirtschaft der Cyberkriminalität grundlegend verändert. Wie der Bericht unverblümt feststellt:
„Traditionelle Annahmen über die Beziehung zwischen der Raffinesse von Akteuren und der Komplexität von Angriffen gelten nicht mehr.“
Eine Person, ausgestattet mit dem richtigen KI-Assistenten, kann jetzt die Arbeit eines gesamten Hacker-Teams nachahmen. Ransomware ist als SaaS-Abonnement verfügbar. Und feindliche Staaten betten KI in Spionagekampagnen ein. Cyberkriminalität war bereits ein lukratives Geschäft. Mit KI wird es erschreckend skalierbar.
