Die Threat Intelligence Group (GTIG) von Google veröffentlichte am 11. Mai einen alarmierenden Bericht: Staatlich gesteuerte Hacker und kriminelle Akteure setzen KI nun in industriellem Maßstab ein. Zum ersten Mal entdeckte die Gruppe einen Zero-Day-Exploit, der vermutlich mit KI-Unterstützung entwickelt wurde. Und eine neue Malware namens PROMPTSPY kann Ihren Authentifizierungsablauf überwachen und die Zwei-Faktor-Authentifizierung in Echtzeit umgehen. Die Botschaft an Krypto-Nutzer ist deutlich: Standard-2FA reicht nicht mehr aus.
Erster KI-gestützter Zero-Day-Exploit
GTIG gibt an, einen Bedrohungsakteur identifiziert zu haben, der einen Zero-Day-Exploit einsetzte, der mit hoher Wahrscheinlichkeit mit generativer KI erstellt wurde. Der Exploit war für ein Massenausnutzungsereignis geplant, aber eine proaktive Gegenentdeckung könnte verhindert haben, dass er eingesetzt wurde. Der Bericht nennt weder die spezifische Schwachstelle noch den dahinterstehenden Akteur, markiert jedoch einen Wendepunkt. Im Februar 2026 beschrieb GTIG KI-gestützte gegnerische Aktivitäten noch als neuartig und experimentell. Nun lautet die Einschätzung, dass generative Modelle in offensive Arbeitsabläufe in großem Umfang eingebettet sind.
PROMPTSPY: Malware, die Ihre Authentifizierung überwacht
Der Bericht beschreibt eine Fähigkeit namens PROMPTSPY – KI-gestützte Malware, die Systemzustände dynamisch interpretiert und in Echtzeit Befehle generiert, um die Umgebung des Opfers zu manipulieren. Zu den alarmierendsten Funktionen gehört die Fähigkeit, Timing-Angriffe gegen SMS-basierte und app-basierte Zwei-Faktor-Authentifizierung während laufender Sitzungen durchzuführen. Das bedeutet, dass ein Benutzer einen 2FA-Code eingeben könnte und die Malware die Sitzung abfängt oder kapert, bevor der Code den vorgesehenen Dienst erreicht. Polymorphe Malware, die sich selbst umschreibt, um der Erkennung zu entgehen, wurde ebenfalls mit mutmaßlichen Bedrohungsakteuren aus dem Russland-Umfeld in Verbindung gebracht.
Warum Standard-2FA nicht ausreicht
Die Erkenntnisse von GTIG stellen direkt die Annahme in Frage, dass ein einmaliger Code oder eine Push-Benachrichtigung ausreichende Sicherheit bietet. Wenn Malware Authentifizierungsabläufe beobachten und in Echtzeit darauf reagieren kann, wird der zweite Faktor eher zur Belastung als zum Schutzschild. Der Bericht empfiehlt Hardware-Sicherheitsschlüssel, luftgekapselte Signiergeräte und Multisignatur-Wallet-Architekturen für Krypto-Nutzer. Diese Methoden verlassen sich nicht auf einen netzwerkbeobachtbaren Code, der in Echtzeit abgefangen werden kann.
Der Bericht stellt auch fest, dass staatlich gesteuerte Akteure aus China und Nordkorea großes Interesse daran gezeigt haben, KI für die Entdeckung von Schwachstellen zu nutzen. Das deutet darauf hin, dass die Pipeline für Zero-Day-Exploits sich wahrscheinlich beschleunigen wird. Für jeden, der Krypto hält oder sensible Konten verwaltet, ist das Zeitfenster für ein Upgrade über die SMS-basierte 2FA hinaus deutlich kürzer geworden.
