Seit unser Sysdig Threat Research Team (TRT) im Mai 2024 erstmals LLMjacking identifizierte, beobachten wir kontinuierlich neue Entwicklungen und Anwendungsmöglichkeiten dieser Angriffsmethode. Während sich große Sprachmodelle (LLMs) rasant weiterentwickeln und Nutzer ihre Potenziale erkunden, passen sich auch Angreifer an und erweitern ihre Strategien für Missbrauch. Neben neuen Angriffsmethoden konnten wir auch eine zunehmende Verlagerung auf weitere LLMs wie DeepSeek feststellen.

Bereits im September berichteten wir über den Anstieg von LLMjacking-Angriffen. Daher überraschte es uns nicht, dass DeepSeek bereits wenige Tage nach seiner medialen Aufmerksamkeit ins Visier von Angreifern geriet. Die zunehmende Relevanz dieser Angriffe wurde zudem durch eine Klage von Microsoft gegen Cyberkriminelle verdeutlicht, die Anmeldeinformationen stahlen und generative KI-Dienste für illegale Zwecke nutzten. Die Vorwürfe beinhalteten unter anderem die missbräuchliche Nutzung von DALL-E zur Erstellung anstößiger Inhalte. Unser LLMjacking-Update im September zeigte auf, wie Angreifer KI-generierte Bilder für fragwürdige Zwecke einsetzen.

Hohe Cloud-Kosten treiben den Missbrauch voran

Die Nutzung von LLMs in der Cloud kann immense Kosten verursachen – oft im sechsstelligen Bereich pro Monat. Sysdig TRT entdeckte zahlreiche Proxyserver, die gestohlene Anmeldedaten missbrauchten, um Zugang zu Diensten wie OpenAI, AWS und Azure zu erhalten. Aufgrund der hohen Kosten ziehen es Cyberkriminelle vor, gestohlene Anmeldedaten zu verwenden, anstatt für LLM-Dienste zu bezahlen.

Abbildung: Tabelle der geschätzten Kosten durch LLM-Missbrauch (Quelle: Sysdig 2025).

Schnelle Implementierung neuer Modelle durch Angreifer

Angreifer adaptieren neue Modelle umgehend nach deren Veröffentlichung. So wurde DeepSeek-V3, das am 26. Dezember 2024 veröffentlicht wurde, bereits wenige Tage später in einer ORP (oai-reverse-proxy)-Instanz auf Hugging Face implementiert. Ebenso wurde das am 20. Januar 2025 veröffentlichte Reasoning-Modell DeepSeek-R1 am darauffolgenden Tag bereits in einem Fork-Repository eingebunden. Neben der Implementierung neuer Modelle konnten wir feststellen, dass mehrere ORPs mit DeepSeek-API-Schlüsseln ausgestattet wurden und die Nutzer begannen, diese für ihre Zwecke zu verwenden.

Neue Taktiken, Techniken und Verfahren im LLMjacking

LLMjacking hat sich von einem Trend zu einer etablierten Angriffsmethode entwickelt. Mittlerweile haben sich Communities gebildet, die sich auf den Austausch von Tools und Techniken spezialisiert haben. ORPs werden modifiziert und gezielt für LLMjacking-Aktivitäten optimiert. Cyberkriminelle testen gestohlene Cloud-Zugangsdaten auf deren Eignung für LLM-Dienste, bevor sie diese weiterverkaufen. Einige identifizierte Taktiken umfassen:

• Organisierte Communities: Nutzer auf Plattformen wie 4chan und Discord teilen Zugänge zu LLMs über private und öffentliche ORPs. Viele dieser Ressourcen werden auf Rentry.co bereitgestellt, einer Plattform im Pastbin-Stil für den Austausch von Links und Zugangsdaten.
• Missbrauch von Cloud-Tunneln: Bei der Untersuchung von LLMjacking-Angriffen in Cloud-Honeypots fanden wir zahlreiche TryCloudflare-Domains in LLM-Eingabeaufforderungsprotokollen. Diese wurden genutzt, um Python-Skripte mit ORP-Interaktionen zu generieren.
• Diebstahl von Anmeldedaten: Cyberkriminelle kompromittieren Zugangsdaten durch Schwachstellen in Diensten wie Laravel und nutzen Skripte zur automatisierten Überprüfung, ob diese für ML-Dienste geeignet sind. Auch öffentliche Software-Repositories sind eine beliebte Quelle für die Beschaffung von Zugangsdaten.

Best Practices zur Erkennung und Abwehr von LLMjacking

LLMjacking basiert in erster Linie auf der Kompromittierung von Anmeldeinformationen und Zugangsschlüsseln. Das MITRE Attack Framework hat LLMjacking inzwischen als Bedrohung aufgenommen, um Organisationen für das Risiko zu sensibilisieren. Effektive Schutzmaßnahmen umfassen:

• Sichere Verwaltung von Zugangsschlüsseln: API-Schlüssel und Anmeldeinformationen sollten nicht fest im Quellcode hinterlegt, sondern über Umgebungsvariablen oder Secret-Management-Tools wie AWS Secrets Manager oder HashiCorp Vault verwaltet werden.
• Nutzung temporärer Anmeldeinformationen: Statt dauerhafter Schlüssel sollten zeitlich begrenzte Zugangsdaten genutzt werden, wie AWS STS AssumeRole oder Azure Managed Identities.
• Regelmäßige Rotation von Zugangsschlüsseln: Automatisierte Schlüsselrotation reduziert die Anfälligkeit für Missbrauch.
• Überwachung exponierter Anmeldeinformationen: Tools wie GitHub Secret Scanning oder TruffleHog helfen dabei, ungeschützte Anmeldedaten zu identifizieren.
• Anomalieerkennung in Benutzerkonten: Kompromittierte Kontoschlüssel zeigen oft abweichendes Verhalten. Cloud- und KI-Dienstekonten sollten kontinuierlich mit Sicherheitstools wie Sysdig Secure überwacht werden.

Fazit

Mit der steigenden Nachfrage nach leistungsfähigen LLMs wächst auch der Missbrauch durch LLMjacking. Schwarzmarktplätze für gestohlene API-Zugänge florieren, und Untergrund-Anbieter passen ihre Dienste kontinuierlich an. Angreifer haben ihre Techniken verfeinert und implementieren neue Modelle wie DeepSeek in kürzester Zeit. Während legitime Nutzer zunehmend ins Visier geraten, können durch unbefugte Nutzung finanzielle Verluste in sechsstelliger Höhe entstehen. Eine konsequente Verwaltung und Sicherung von API-Schlüsseln ist daher essenziell. Da sich LLMjacking-Angriffe stetig weiterentwickeln, ist es für Organisationen entscheidend, sich frühzeitig mit Abwehrmaßnahmen auseinanderzusetzen. Angreifer werden weiterhin neue Wege finden, LLMs für ihre Zwecke zu nutzen – es liegt an den Verteidigern, ihnen einen Schritt voraus zu sein.