Von Vibe Hacking bis hin zu Flat-Pack-Malware

Der aktuelle Report von HP Wolf Security zeigt, dass Cyberkriminelle zunehmend auf Künstliche Intelligenz setzen, um Angriffe schneller, flexibler und automatisierter umzusetzen. Statt auf besonders ausgefeilte Kampagnen zu setzen, liegt der Fokus auf Tempo, Skalierbarkeit und einfacher Anpassung – selbst wenn die Qualität der einzelnen Angriffe vergleichsweise gering ist.

HP Inc. (NYSE: HPQ) veröffentlicht seinen aktuellen Threat Insights Report, der deutliche Hinweise darauf enthält, dass Angreifer KI einsetzen, um ihre Kampagnen zu skalieren und zu beschleunigen. Cyber-Kriminelle priorisieren dabei Kosten, Aufwand und Effizienz gegenüber Qualität. Obwohl diese KI-gestützten Angriffe formelhaft und mit geringem Aufwand verbunden sind, umgehen sie die Abwehrmaßnahmen von Unternehmen.

• Angreifer kombinieren modulare Malware-Bausteine zu individuell anpassbaren Kampagnen. Dadurch lassen sich Angriffe mit wenig Aufwand erstellen, verändern und gezielt auf Opfer zuschneiden.
• KI-gestützte „Vibe-Hacking“-Techniken kommen in Infektionsskripten zum Einsatz. In einer beobachteten Kampagne wurde etwa eine Weiterleitung zu Booking.com missbraucht, um Nutzer zur Ausführung von Schadsoftware zu verleiten.
• Die Oyster-Loader-Malware wurde dabei entdeckt, wie sie sich an gefälschte Microsoft Teams-Downloads anhängte, um unbemerkt Schadsoftware auf Endgeräte einzuschleusen.

Der HP Threat Report analysiert reale Cyber-Attacken. Er unterstützt Unternehmen dabei, mit den neuesten Techniken Schritt zu halten, die Angreifer einsetzen, um in der sich schnell verändernden Cyber-Kriminalitätslandschaft unentdeckt zu bleiben und in PCs einzudringen. Basierend auf Millionen von Endgeräten, auf denen HP Wolf Security* läuft, haben die HP Threat Researcher folgende Kampagnen identifiziert:

• Vibe-Hacking-Skripte mit Weiterleitungen von Booking.com: Angreifer verwenden KI, um vorgefertigte Infektionsskripte zu generieren – bekannt als Vibe-Hacking. Sie automatisieren so die Verbreitung von Malware. In einer Kampagne löst beispielsweise ein Link in einem gefälschten Rechnungs-PDF einen stillen Download von einer kompromittierten Website aus. Um die Glaubwürdigkeit weiter zu erhöhen, werden die Opfer danach auf vertrauenswürdige Plattformen wie Booking.com weitergeleitet.
• Mit Flat-Pack-Malware lassen sich Kampagnen schneller erstellen: Bedrohungsakteure stellen Angriffe mit kostengünstigen, handelsüblichen Malware-Komponenten zusammen, die sie wahrscheinlich in Hackerforen erwerben. Während sich die Köder und die endgültigen Payloads ändern, verwenden Angreifer wiederholt dieselben Zwischenskripte und Installationsprogramme. So lassen sich Kampagnen mit minimalem Aufwand schnell erstellen, anpassen und skalieren. Bemerkenswert ist, dass dies nicht das Werk einer einzigen Bedrohungsgruppe ist, sondern dass mehrere, voneinander unabhängige Akteure dieselben Bausteine verwenden.
• Malware in gefälschtem Teams-Installationsprogramm „Piggyback“-Angriff versteckt: Angreifer verbreiten Malware mithilfe von Suchmaschinenvergiftung und bösartigen Anzeigen, die für gefälschte Microsoft Teams-Websites werben. Die Opfer laden ein bösartiges Installationspaket herunter, in dem die „Oyster Loader“ Malware versteckt ist. Die Malware wurde in den Teams-Installationsprozess eingeschleust, sodass die echte App installiert wird, während die Infektion unbemerkt abläuft. Cyber-Kriminelle erhalten so über die Hintertür die Kontrolle über das Gerät.

Alex Holland, Principal Threat Research, HP Security Lab, erklärt: „Es geht um das klassische Projektmanagement-Dreieck – Geschwindigkeit, Qualität und Kosten. Oft muss man eines davon opfern. Wir beobachten, dass viele Angreifer Geschwindigkeit und Kosten optimieren, nicht die Qualität. Sie nutzen KI nicht, um die Messlatte höher zu legen, sondern um schneller voranzukommen und den Aufwand zu reduzieren. Die Kampagnen selbst sind einfach aufgebaut, aber die unangenehme Realität ist: Sie funktionieren immer noch.“

HP Wolf Security erhält Einblicke in die neusten von Cyber-Kriminellen eingesetzten Techniken, indem es Bedrohungen isoliert, die den Erkennungswerkzeugen auf PCs entgangen sind – wobei Malware jedoch weiterhin sicher in sicheren Containern detonieren kann. Bis heute haben Kunden von HP Wolf Security über 60 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass Verstöße gemeldet wurden.

Der Report untersuchte Daten aus dem Zeitraum Oktober bis Dezember 2025 und beschreibt detailliert, wie Cyber-Kriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitswerkzeuge zu umgehen, ohne dass Verstöße gemeldet werden.

• Mindestens 14 Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
• Ausführbare Dateien waren die beliebteste Art der Übertragung (37 Prozent), gefolgt von .zip (elf Prozent) und .docx (zehn Prozent).

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc., kommentiert: „KI-gestützte Angriffe zeigen die Grenzen der detektionsbasierten Sicherheit auf. Angreifer generieren innerhalb von Minuten Malware und verpacken sie neu – detektionsbasierte Abwehrmaßnahmen können da nicht mithalten. Anstatt zu versuchen, jede Variante zu erkennen, müssen Unternehmen ihre Anfälligkeit reduzieren. Indem sie risikoreiche Aktivitäten – beispielsweise das Öffnen nicht vertrauenswürdiger Anhänge oder das Anklicken unbekannter Links – in einer isolierten Umgebung eindämmen, sind Unternehmen in der Lage, Bedrohungen zu stoppen, bevor sie Schaden anrichten, und eine Risikoklasse komplett zu beseitigen.“

Die Daten wurden von Oktober bis Dezember 2025 mit Zustimmung von HP Wolf Security-Kunden gesammelt und vom HP Threat Research Team untersucht