CrowdStrike hat am Montag seinen Global Threat Report 2026 veröffentlicht, der einen Anstieg der KI-gestützten Angriffe von Gegnern um 89 % gegenüber dem Vorjahr dokumentiert. In dem Bericht heißt es, dass KI jetzt schnellere und heimlichere Angriffe auslöst und gleichzeitig selbst zum Ziel wird. Informationen von über 280 namentlich genannten Bedrohungsakteuren zeigen, dass die durchschnittliche „Breakout-Zeit“ – der Zeitraum vom ersten Einbruch bis zur lateralen Bewegung durch ein Netzwerk – im Jahr 2025 auf 29 Minuten gesunken ist.
Dies entspricht einer Geschwindigkeitssteigerung von 65 % im Vergleich zu 2024. Der schnellste beobachtete Ausbruch dauerte nur 27 Sekunden, und in einem bestimmten Fall begann die Datenexfiltration innerhalb von vier Minuten nach dem ersten Zugriff. Darüber hinaus waren 82 % der Erkennungen frei von Malware, was einen Trend zum Diebstahl von Anmeldedaten und identitätsbasierten Einbrüchen fortsetzt.
Gegner zielen direkt auf KI-Systeme ab. In mehr als 90 Organisationen wurden bösartige Eingabeaufforderungen in generative KI-Tools eingeschleust, um Anmeldeinformationen und Kryptowährung zu stehlen. Angreifer nutzten Schwachstellen in KI-Entwicklungsplattformen aus, um Ransomware einzusetzen, und veröffentlichten betrügerische KI-Server, um sensible Daten abzufangen. Auf der offensiven Seite setzte die mit Russland verbundene Gruppe FANCY BEAR LAMEHUG ein, eine LLM-fähige Malware, die im Juli 2025 von der ukrainischen CERT-UA identifiziert wurde. LAMEHUG nutzt das Qwen2.5-Coder-32B-Instruct-Modell, um Aufklärungsbefehle dynamisch zu generieren.
Die Cyberkriminelle PUNK SPIDER nutzte KI-generierte Skripte, um das Dumping von Anmeldeinformationen zu beschleunigen und forensische Beweise zu vernichten. Das mit Nordkorea verbundene Unternehmen FAMOUS CHOLLIMA nutzte KI-generierte Personas, um Insider-Bedrohungsoperationen auszuweiten.
Die nationalstaatlichen Aktivitäten eskalierten erheblich. Mit China verbundene Cyberoperationen stiegen im Jahr 2025 um 38 %, wobei der Logistiksektor einen Anstieg der Angriffe um 85 % verzeichnete. 67 Prozent der von China-Nexus-Akteuren ausgenutzten Schwachstellen ermöglichten den sofortigen Systemzugriff, während 40 Prozent auf mit dem Internet verbundene Edge-Geräte abzielten.
North Korea-linked incidents surged more than 130%, with FAMOUS CHOLLIMA’s activity more than doubling. Der Kryptowährungsdiebstahl von PRESSURE CHOLLIMA im Wert von 1,46 Milliarden US-Dollar wurde als der größte jemals gemeldete einzelne Finanzraub bezeichnet.
Cloud-fokussierte Angriffe stiegen insgesamt um 37 %, einschließlich eines Anstiegs von 266 % durch staatlich unterstützte Akteure, die auf Cloud-Umgebungen abzielten. 42 Prozent der Schwachstellen wurden ausgenutzt, bevor sie öffentlich bekannt wurden, indem Angreifer Zero-Day-Schwachstellen als Waffe nutzten. CrowdStrike-Präsident Michael Sentonas erklärte: „Eingabeaufforderungen werden die neue Malware sein.“
