Wie Cyberkriminelle ChatGPT, Claude und DeepSeek als Waffe einsetzen

• Umfang und Ziele: Eine erste Welle umfasste 4.500 E-Mails an Opfer in Südafrika. Eine größere, parallele Kampagne nutzte dieselbe Infrastruktur, um an einem einzigen Tag bis zu 100.000 E-Mails an Empfänger in der Schweiz, Österreich und Südafrika zu versenden, wobei Organisationen aus dem Hochschulwesen und dem Dienstleistungssektor im Fokus standen .
• Technik: Der Angriff nutzte eine mehrstufige Weiterleitungskette. Opfer, die auf den Link zur „Zahlungsaktualisierung“ klickten, wurden über eine legitime CRM-Plattform, eine Amazon-Tracking-Domain und einen URL-Shortener geleitet, bevor sie auf einer kompromittierten E-Commerce-Seite landeten, die über mehrere aufeinanderfolgende Seiten persönliche Daten und vollständige Kreditkarteninformationen abgriff .

2. Claude-Phishing mit Adversary-in-the-Middle-Technik (20.–22. April 2026)

Diese ausgeklügelte Kampagne zum Diebstahl von Zugangsdaten gab sich als Anthropic aus, um die Multi-Faktor-Authentifizierung (MFA) auszuhebeln .

• Umfang und Ziele: Der Angriff richtete sich gegen über 2.000 Organisationen, wobei 62 % der Opfer in den USA, 18 % im Vereinigten Königreich und 9 % in Indien ansässig waren. Finanzdienstleister machten 8 % der Ziele aus .
• Technik: Die Opfer erhielten eine E-Mail, die einen Verstoß gegen die Nutzungsrichtlinien behauptete, mit einem PDF-Anhang namens „Fill and Sign Claude Appeal Form.pdf“ (SHA-256: 791efb...d40e) . Das PDF führte die Nutzer über eine Cloudflare-Verifizierungsabfrage und eine gefälschte Claude-Landingpage zu einer nachgemachten Microsoft-Anmeldeseite, die darauf ausgelegt war, Sitzungs-Token abzufangen – eine klassische AiTM-Technik (Adversary-in-the-Middle), die selbst eine aktivierte MFA aushebelt .

3. Gefälschtes DeepSeek-V4-GitHub-Repository und Infostealer (24. April 2026)

Diese Kampagne demonstrierte, wie schnell Bedrohungsakteure den KI-Hype ausnutzen können, um ein technisch versiertes Publikum ins Visier zu nehmen .

• Geschwindigkeit und Umfang: Innerhalb von 45 Minuten, nachdem DeepSeek sein V4-Modell vorgestellt hatte, erstellten Angreifer eine gefälschte GitHub-Organisation namens „DeepSeek-V4“, komplett mit authentisch wirkendem, gestohlenem Branding und akkuraten Benchmark-Daten . Das Repository sammelte innerhalb von vier Tagen 91 Sterne und erreichte Platz eins bei Bing für Suchanfragen wie „DeepSeek v4 weights github“ .
• Schadsoftware: Die im Repository gehosteten Archive enthielten einen Loader, der den Vidar-Infostealer installierte – ein Tool, das darauf ausgelegt ist, Zugangsdaten, Browser-Cookies und Kryptowährungs-Wallet-Daten zu stehlen . Microsoft stellte fest, dass derselbe Loader-Hash in Dateien wiederverwendet wurde, die andere angesagte KI-Tools wie GPT-5.5, Claude Code und Manus AI imitierten, was eine Strategie der austauschbaren Köder offenbart .

4. Storm-3075-Malvertising-Kampagne mit betrügerischer Code-Signierung (März–Mai 2026)

Diese dem als Storm-3075 verfolgten Initial Access Broker zugeschriebene Kampagne nutzte bösartige Werbung, um signierte Malware massenhaft zu verbreiten .

• Umfang und Ziele: Am 13. März 2026 zielte ein einzelner Kampagnendurchlauf auf über 66.000 Geräte ab, und zwar über bösartige Pop-ups auf kostenlosen Film-Streaming-Seiten, die für gefälschte Produkte wie „Awesome AI Windows Plugin“ und „Flux Pro AI“ warben .
• Technik: Die Malware wurde mit einer gültigen digitalen Signatur verbreitet, die betrügerisch von Fox Tempest erworben wurde, einem Anbieter von Malware-Signing-as-a-Service. Dadurch erschien die ausführbare Datei für das Betriebssystem legitim und umging die standardmäßigen Vertrauensprüfungen . Am 19. Mai 2026 erhob Microsoft Klage gegen Fox Tempest vor dem US-Bundesbezirksgericht für den südlichen Bezirk von New York, beschlagnahmte dessen Website und legte Hunderte virtueller Maschinen still, die den Dienst betrieben .

Das größere Ökosystem des KI-Betrugs

Diese vier Kampagnen sind keine Einzelfälle. Sie sind Teil eines breiteren, anpassungsfähigen Ökosystems, das auf einer Reihe von ausgeklügelten und wiederverwendbaren Techniken beruht:

• Mehrstufige Weiterleitungsketten: Angreifer leiten Opfer häufig über legitime Dienste wie CRMs, URL-Shortener und Cloud-Plattformen um, um einer automatischen Erkennung zu entgehen, bevor die finale Schadkomponente ausgeliefert wird .
• SEO-Vergiftung und gefälschte Repositories: Die DeepSeek-Kampagne zeigt eine gefährliche Entwicklung bei Supply-Chain-Angriffen. Betrügerische GitHub-Repositories und -Seiten werden suchmaschinenoptimiert, um legitime Quellen zu verdrängen, und zielen gezielt auf Entwickler und Forscher ab, die nach Modellgewichten und Code suchen .
• Malware-Signing-as-a-Service: Die juristischen Schritte gegen Fox Tempest decken eine professionalisierte kriminelle Infrastruktur auf, die betrügerisch ausgestellte Code-Signing-Zertifikate an mehrere Akteure liefert, sodass unsignierte Malware das Vertrauen des Betriebssystems erlangen kann .
• Austauschbare Köder: Die Wiederverwendung ein und derselben Loader-Datei, neu verpackt unter den Namen verschiedener KI-Modelle wie GPT-5.5, Claude Code, Kimi und Manus AI, zeigt, dass Angreifer ihre Kampagnen sofort an das Tool anpassen können, das gerade das größte öffentliche Interesse weckt .

Warum diese Entwicklung so bedeutsam ist

Microsoft schätzt ein, dass KI-bezogene Köder „eine Verlagerung im Social Engineering widerspiegeln, die wahrscheinlich als langfristige Taktik von Bedrohungsakteuren bestehen bleibt – von Cyberkriminellen bis hin zu Nationalstaaten“ . Diese Entwicklung ersetzt nicht die traditionellen Phishing-Köder wie gefälschte Rechnungen oder Lieferbenachrichtigungen. Vielmehr schafft sie eine neue, mächtige Angriffsfläche, die auf dem enormen öffentlichen Vertrauen und der Neugier basiert, die KI-Plattformen erzeugt haben – ein Risiko, das in den Security-Awareness-Schulungen vieler Organisationen noch nicht ausreichend adressiert wird . Das Targeting von Entwicklern durch die DeepSeek-Kampagne ist besonders besorgniserregend, da es auf ein Lieferkettenrisiko hindeutet, das unzähligen Unternehmensanwendungen und internen Tools vorgelagert ist, die auf diesen Modellen aufbauen .