Google sieht Anzeichen für Staatshacker mit Gemini, die in China, Iran und Nordkorea ihre LLMs für ihre missbräuchlichen Zwecke einsetzen.
Googles Gemini LLMs tauchen inzwischen bei mehreren staatlichen Clustern in China, dem Iran und Nordkorea als Werkzeug für die Arbeit vor dem eigentlichen Angriff auf. Man sortiert OSINT-Informationen, konkretisiert Zielprofile und passt sie individueller den Opfern an. Staatshacker glätten dann mit Gemini Ansprachen und Übersetzungen, um sie an lokale Gegebenheiten anzupassen. Dazu kommt technische Unterstützung, wenn es um Code, Tools oder Schwachstellen geht. Genau solche Dinge machen Angriffe raffinierter und schwerer zu erkennen. Der Köder, den man per Social Engineering auslegt, passt dann perfekt zu den potenziellen Opfern.
OSINT als Ressource für Vorwände
Die Abkürzung OSINT steht für Open Source Intelligence. Gemeint ist die systematische Beschaffung, Auswertung und Analyse von Informationen aus allen möglichen öffentlich zugänglichen Quellen. Derartige Quellen liefern seit Jahren mehr als genug Material als Ausgangspunkt für die Hacker. Wer dieses Material schnell und passend zusammenfassen kann, kann daraus Rollen, Zuständigkeiten und Abläufe entwickeln, die plausibel wirken und somit ihr Potenzial besser entfalten können. Dann sieht die Kontaktaufnahme nicht nach Standardfloskeln aus, die aus einer Schablone stammen. Sie wirkt dann wie eine echte, ganz normale Aufnahme der Kommunikation. Oft braucht es nicht mehr, damit jemand nicht sofort aus dem Gespräch aussteigt.
UNC2970 – das Recruiting als Einfallstor
UNC2970 ist eine von Google dokumentierte Bedrohungsgruppe, die im Bereich der Cyber-Spionage mit maßgeschneiderter Malware in Kombination mit verschiedenen Social-Engineering-Komponenten angewendet wird. Dies läuft beispielsweise über Fake-Job-Angebote, gezielte Angriffe auf Sicherheitsforscher und eine Malware-Verteilung mithilfe scheinbar legitimer Bewerbungsprozesse.
UNC2970 steht im Report für diese spezielle Art der Vorbereitung. Im Fokus stehen Zielprofile im Defense- und Security-Umfeld, die als militärisch-industrieller Komplex bekannt sind, inklusive Details zu Rollen und teils auch passenden Gehaltsangaben. Daraus wird ein Recruiting-Vorwand, der nicht schon in der ersten Zeile wie das typische Phishing aussieht. Die Maskerade der Staatshacker muss nicht perfekt sein, sie muss nur zu den potenziellen Opfern passen.
Technische Hilfe bei Akteuren in China und dem Iran
Bei China taucht die KI vor allem als technische Unterstützung auf. Dokumentationen können damit schneller erfasst, Code besser erklärt, Fehlerbilder eingeordnet und kategorisiert sowie kleine Bausteine für Checks zusammengesteckt werden. Beim Iran geht es häufiger um die Personen, die Ansprache und eine exakte Übersetzung. Wer die Sprache Farsi kennt, weiß, dass es viele Begriffe einfach nicht gibt. Wer Farsi einfach 1:1 übersetzt, würde den Kontext der Muttersprache nicht richtig abbilden. So kriegt man potenzielle Opfer gar nicht erst an die Angel. Die Opfer würden durch eine komische Aussprache oder Formulierung der Staatshacker schon zu Anfang misstrauisch werden.
HONESTCUE und Code aus der API
HONESTCUE ist laut dem Google-Bericht der Name einer Malware-Kette, genauer gesagt die eines Loaders/Downloaders. Dafür nutzt die Malware die Gemini-API, um sich C-Code für die nächste Stufe zu generieren. Der Rest läuft oftmals nur im Arbeitsspeicher ab, was zum Wohl der Hacker keine Spuren hinterlässt. Der Code wird kompiliert und ausgeführt, ohne dass eine sonst übliche Payload-Datei sichtbar auf der Platte verbleibt, die man hinterher analysieren könnte. Klassische Antiviren-Programme als auch der Windows Defender haben aufgrund der Vorgehensweise weniger Chancen, diesen Angriff als solchen zu erkennen.
COINBAIT und Phishing mit moderner Oberfläche
Staatshacker mit Gemini hin oder her – Phishing gibt es schon seit Jahren. Auffällig ist nur die neue Verpackung, die es im Laufe der Zeit erhalten hat. COINBAIT ist ein Phishing-Kit, also ein Baukasten für gefälschte Login- und Wallet-Seiten. Laut der Google-Analyse kommt es als moderne Web-App daher und nutzt die Infrastruktur legitimer Dienste. Für die Opfer sieht das eher nach einer echten Plattform als nach einer Wegwerf-Seite aus, die sofort verdächtig wirkt und auch von Adblock-DNS-Diensten wie AdGuard, NextDNS & Co. nicht sofort gesperrt wird. Aufgrund ihres legitimen Aussehens können sie durch die Lücken schlüpfen.
ClickFix über geteilte Chats
Dazu gesellt sich die Social-Engineering-Masche ClickFix. Sie tut so, als wäre sie ein typischer Support. Es wird ein angebliches Problem beschrieben, dazu gibt es eine Anleitung. Und am Ende muss etwas in das Terminal oder die Run-Box kopiert oder eingefügt werden. Technisch gesehen ist das nichts Besonderes. Die Methode lebt einfach davon, dass das potenzielle Opfer technisch nicht versiert ist und den letzten Schritt selbst ausführt. Geteilte KI-Chats sind dafür eine bequeme Bühne, weil der Link auf den ersten Blick seriös wirkt. Der Link kommt schließlich von einer LLM und wird deshalb keine Malware oder Ähnliches beinhalten. Wer LLMs wie Gemini oder ChatGPT regelmäßig nutzt, kennt den kleinen Passus unter dem Chatfenster. Der Chatbot kann Fehler machen. Überprüfe alle wichtigen Informationen. Wenn man das nicht macht – aus Faulheit oder Unwissenheit –, holt man sich das Problem frei Haus auf den eigenen Rechner.
Dass dies nicht nur ein theoretisches Szenario ist, sondern man dies auch in der freien Wildbahn einsetzt, haben andere Ende 2025 sehr konkret beschrieben. Kaspersky dokumentiert ClickFix-Wellen mit Suchanzeigen als Trichter auf geteilte Chats, inklusive AMOS bzw. Atomic MacOS Stealer. Malwarebytes und Huntress beschreiben das Muster ebenfalls als in freier Wildbahn kursierend. Zunächst wirkt es wie eine legitime Hilfsanleitung. Doch dann folgt das Copy-and-Paste, wodurch die Staatshacker mithilfe von Gemini & Co. einen direkten Zugriff auf das System erhalten.
UNC1069 zeigt die Praxis auf
UNC1069 zeigt den Ablauf in einem Stück. Zunächst erfolgt der Einstieg der Kommunikation über einen Messenger. Dann folgt ein Fake-Meeting und anschließend wird wieder ClickFix als angebliche Fehlerbehebung eingesetzt. Das IT-Sicherheitsunternehmen Mandiant erwähnt dabei auch die KI-gestützte Täuschung bis hin zu automatisch generierten Videos. Die Schritte bleiben in jedem Szenario identisch, nur der Weg weicht etwas voneinander ab.
Model Extraktion und Destillation
Neben Angriffskampagnen ist auch das Modell selbst ein Ziel. LLMs werden über APIs systematisch abgefragt, um ihr Verhalten nachzubilden. Das betrifft weniger einzelne Nutzer als alle großen Anbieter. Es geht um geistiges Eigentum, Kosten und darum, wie schnell sich Fähigkeiten kopieren lassen. So kann man sich unabhängiger von den Anbietern machen. Eine eigene Infrastruktur ist halt weniger anfällig als eine fremde und nimmt damit einer potenziellen Möglichkeit der Identifizierung den Wind aus den Segeln.
Model Extraction bedeutet, dass man Fragen stellt, bis sich ein Ersatzmodell ähnlich wie die echte LLM verhält, die man mit Requests überflutet. Destillation ist die übliche Methode, die recht geläufig ist. Wie es im großen Maßstab bei staatlichen Akteuren funktioniert, haben wir ja alle eindrucksvoll bei Deepseek gesehen. Ein kleineres Modell lernt dabei von großen Modellen. Wenn man mehrere miteinander vermischt – zum Beispiel Gemini mit Mistral und ChatGPT – erhält man das Beste aus allen dreien.
Staatshacker, die mit Gemini & Co. arbeiten – Fazit
Die Vorarbeit wird durch den Einsatz der KI wesentlich schneller. Das gilt für die Recherche, Ansprache, Übersetzung und den üblichen Kleinkram, der dabei anfällt. Es gibt weniger Fehler, weniger Auffälligkeiten und eine wesentlich höhere Erfolgschance. ClickFix benötigt keinen Exploit. Es braucht nur die Unwissenheit des Gegenübers. Also eine Situation, in der jemand den Befehl vertrauensselig kopiert und unbedacht ausführt.
Parallel dazu läuft die Model Extraction auf hohem Niveau. APIs fragen Modelle so lange ab, bis ein Ersatzmodell, das man fleißig trainiert hat, ähnlich reagiert. Destillation ist dabei der übliche weil kostengünstigste Weg. Kleine Modelle lernen von den großen Modellen der aktuellen Marktführer. Wer mehrere Vorlagen nutzt oder Ergebnisse kombiniert, sammelt die Stärken der einzelnen Modelle, ohne deren Schwächen zu übernehmen. Natürlich entfällt auch der komplette Neuaufbau. So gefährlich das Unterfangen der Staatshacker klingt, so riskant ist es auch.
