Eine aktuelle Analyse von Arctic Wolf zeigt, wie stark Künstliche Intelligenz die Entwicklung von Malware verändert. Nicht primär durch höhere technische Raffinesse, sondern durch eine deutlich breitere Zugänglichkeit für Angreifer.
Foto: Who is Danny - stock.adobe.com
Die Entwicklung von Malware erlebt derzeit einen strukturellen Wandel. Während in den vergangenen Jahren vor allem die technische Komplexität von Schadsoftware im Fokus stand, verschiebt sich die Dynamik nun hin zur Skalierbarkeit: Immer mehr Akteure sind in der Lage, funktionierende Malware zu entwickeln – auch ohne tiefgehende Programmierkenntnisse.
Grund dafür ist der zunehmende Einsatz von Künstlicher Intelligenz (KI). Laut einer Analyse von Arctic Wolf Labs hat sich KI-gestützte Malware innerhalb eines Jahres von einem experimentellen Ansatz zu einem festen Bestandteil im Werkzeugkasten von Angreifern entwickelt. Zwischen Februar 2025 und Februar 2026 wurden mehr als 22.000 entsprechende Dateien identifiziert.
Deutlicher Anstieg von Malware-Samples im Zuge der globalen Nutzung fortschrittlicher KI-Agenten wie DeepSeek R1. (Quelle: Arctic Wolf)
Die zentrale Erkenntnis der Untersuchung: KI verändert weniger die grundsätzliche Funktionsweise von Malware als vielmehr deren Entstehungsprozess. Angreifer nutzen Large Language Models (LLMs), um Code zu strukturieren, Lücken zu schließen und aus fehlerhaften Proof-of-Concepts schneller funktionsfähige Schadsoftware zu entwickeln.
Dabei entsteht eine neue Form der Iteration. Selbst wenig erfahrene Akteure können mithilfe von KI wiederholt Code generieren, testen und verbessern, bis ein einsatzfähiges Ergebnis vorliegt. Die Analyse zeigt, dass dieser Prozess die Zeitspanne von der Idee zur operativen Malware deutlich verkürzt.
Diese Entwicklung führt zu einer breiteren Streuung von Bedrohungsakteuren. Nur 1,4 Prozent der untersuchten Samples konnten bekannten Gruppen zugeordnet werden. Der Großteil stammt von bislang nicht identifizierten oder technisch weniger versierten Akteuren.
Besonders auffällig ist die Geschwindigkeit, mit der neue KI-Werkzeuge in der Szene adaptiert werden. Ein Beispiel ist der KI-Agent DeepSeek R1, der im Januar 2025 veröffentlicht wurde.
Bereits wenige Wochen nach dem Release fanden sich entsprechende Artefakte in Malware-Samples. Innerhalb kurzer Zeit entwickelte sich das Modell zu einem der meistgenutzten Werkzeuge in der untersuchten Datensammlung. In vielen Fällen wurden generierte Dateinamen oder Code-Strukturen unverändert übernommen – ein Hinweis auf schnelle, teilweise unreflektierte Nutzung.
Die Analyse zeigt zudem, dass Malware zunehmend nicht nur mit KI entwickelt wird, sondern diese auch während der Ausführung einbindet. Rund acht Prozent der untersuchten Samples integrierten LLM-APIs zur Laufzeit, etwa für dynamische Inhalte oder Entscheidungslogik.
Ein weiteres zentrales Ergebnis betrifft die Erkennung durch bestehende Sicherheitssysteme. 39 Prozent der analysierten Dateien wurden zum Zeitpunkt der Erhebung von signaturbasierten Antivirenlösungen nicht erkannt.
Dies deutet darauf hin, dass viele dieser Samples entweder strukturell neu sind oder gezielt Mechanismen zur Umgehung klassischer Signaturen nutzen. Gleichzeitig zeigt die Studie, dass nur ein vergleichsweise kleiner Anteil der Malware hohe Erkennungsraten aufwies.
Die zunehmende Variabilität durch KI-generierten Code erschwert damit insbesondere statische Erkennungsmethoden. Dennoch bleiben grundlegende Verhaltensmuster – etwa bei Ausführung, Persistenz oder Kommunikation – weiterhin sichtbar.
Die Analyse identifiziert zudem sprachliche und stilistische Cluster, die Rückschlüsse auf unterschiedliche Entwicklergruppen zulassen. Auffällig sind unter anderem Muster mit Bezug zu russischen, portugiesisch-brasilianischen, türkischen, indonesischen und chinesischen Kontexten.
Diese Cluster unterscheiden sich sowohl in technischer Ausprägung als auch im Umgang mit KI. Während einige Gruppen strukturierte, funktionale Malware entwickeln, zeigen andere noch experimentelle oder fehlerhafte Ansätze. Teilweise finden sich auch typische Artefakte von KI-generiertem Code, etwa kommentierte Schritt-für-Schritt-Anleitungen oder ungewöhnliche Formatierungen.
Trotz der beschriebenen Entwicklung sieht Arctic Wolf keinen grundlegenden Vorteil auf Seiten der Angreifer. Entscheidend ist, dass sich die grundlegenden Eigenschaften von Malware nicht verändert haben.
Bei der Analyse von KI-generierten Malware-Samples im Labor konnte Aurora Protect – die EPP-Komponente von Aurora Endpoint Defense – Aktivitäten in verschiedenen Phasen der Cyber-Kill-Chain erkennen und blockieren. (Quelle: Arctic Wolf)
Unabhängig davon, ob Code manuell oder KI-gestützt erstellt wurde, muss Schadsoftware weiterhin bestimmte Aktionen ausführen: Prozesse starten, Persistenz herstellen, Daten exfiltrieren oder mit Command-and-Control-Infrastrukturen kommunizieren. Diese Aktivitäten hinterlassen nachvollziehbare Spuren.
Die Studie betont daher die Bedeutung mehrschichtiger Sicherheitsansätze. Neben signaturbasierter Erkennung spielen verhaltensbasierte Analysen und Machine-Learning-Modelle eine zentrale Rolle. Erst die Kombination dieser Ebenen ermöglicht es, auch neuartige oder variantenreiche Malware zuverlässig zu identifizieren.
Die zunehmende Verfügbarkeit von KI verändert somit weniger die Qualität einzelner Angriffe als vielmehr die Struktur der Bedrohungslage. Malware wird massentauglicher – nicht weil sie grundlegend neu ist, sondern weil sie einfacher erstellt werden kann. Für Unternehmen bedeutet das vor allem eines: Die Anzahl potenzieller Angreifer steigt. Die Mechanismen zur Verteidigung bleiben jedoch wirksam, sofern sie konsequent und mehrschichtig eingesetzt werden.
