Nordkorea-nahe Angreifer haben mithilfe von generativer KI (GenAI) mehr als 320 Unternehmen infiltriert; Angreifer nutzen KI-Agenten aus und machen damit autonome Systeme zur nächsten Angriffsfläche für Unternehmen.

AUSTIN, Texas & Black Hat USA 2025, Las Vegas – 4. August 2025 – CrowdStrike (NASDAQ: CRWD) hat heute den Threat Hunting Report 2025 veröffentlicht. Er offenbart eine neue Ära moderner Cyberangriffe: Angreifer setzen zunehmend GenAI ein, um ihre Operationen zu skalieren und Angriffe zu beschleunigen. Dabei nehmen sie autonome KI-Agenten ins Visier, welche derzeit Unternehmensabläufe transformieren. Der Report zeigt, wie Angreifer gezielt Tools zum Aufbau von KI-Agenten ins Visier nehmen, um Zugriff zu erlangen, Anmeldedaten zu stehlen oder Malware einzuschleusen. Dies ist ein klares Zeichen dafür, dass autonome Systeme und Maschinenidentitäten zu einem zentralen Angriffspunkt von Unternehmen geworden sind.

Highlights des Threat Hunting Reports 2025

Der neue Report, der auf Beobachtungen und Erkenntnissen von CrowdStrikes professionellen Threat Huntern und Intelligence-Analysten basiert, die mittlerweile mehr als 265 namentlich bekannte Angreifer überwachen, enthüllt Folgendes:

• Angreifer setzen KI im großen Maßstab als Waffe ein: Die Nordkorea-nahe Angreifergruppe FAMOUS CHOLLIMA nutzte GenAI, um jede Phase ihres Insider-Angriffsprogramms zu automatisieren. Von der Erstellung gefälschter Lebensläufe und der Durchführung von Deepfake-Interviews bis hin zur Erledigung technischer Aufgaben unter falscher Identität: KI-gestützte Angriffstechniken verwandeln traditionelle Insider-Bedrohungen in skalierbare, andauernde Operationen. EMBER BEAR, eine Russland-nahe Angreifergruppe, nutze GenAI, um pro-russische Narrative zu verstärken. CHARMING KITTEN, eine Iran-nahe Angreifergruppe, setzte mit LLM-entwickelte Phishing-Köder ein, um US- und EU-Einrichtungen anzugreifen. 

• Agentische KI (Agentic AI) ist die neue Angriffsfläche: CrowdStrike beobachtete mehrere Bedrohungsakteure, die Schwachstellen in Tools zum Aufbau von KI-Agenten ausnutzten, sich unbefugten Zugriff verschafften, sich persistente Zugriffsmöglichkeiten sicherten, Anmeldedaten abgriffen und Malware sowie Ransomware einschleusten. Diese Angriffe zeigen, wie die agentische KI-Revolution die Angriffsfläche von Unternehmen verändert, indem sie autonome Arbeitsabläufe und nicht-menschliche Identitäten zum nächsten Angriffsziel macht.

• GenAI-entwickelte Malware ist Realität: Niederrangige eCrime-Akteure und Hacktivisten missbrauchen KI, um Skripte zu erstellen, technische Probleme zu lösen und Malware zu entwickeln – und automatisieren damit Aufgaben, für die früher fundiertes Fachwissen erforderlich war. Funklocker und SparkCat sind erste Belege dafür, dass mit GenAI erstellte Malware nicht mehr nur Theorie ist, sondern bereits Realität.

• SCATTERED SPIDER zielt auf Identitäten ab (domänenübergreifende Angriffe): Im Jahr 2025 tauchte die Gruppe mit schnelleren und aggressiveren Methoden wieder auf. Sie nutzte Vishing und Helpdesk-Identitätsdiebstahl, um Anmeldedaten zurückzusetzen, die Mehrfaktor-Authentifizierung (MFA) zu umgehen und sich lateral in SaaS- und Cloud-Umgebungen zu bewegen. In einem Fall gelang es der Gruppe in weniger als 24 Stunden die gesamte Angriffskette durchzuführen – vom initialen Zugriff bis zur Verschlüsselung mit Ransomware. 

• China-nahe Angreifer sorgen für anhaltenden Anstieg von Cloud-Angriffen: Die Anzahl der Cloud-Angriffe stieg um 136 %. Wobei 40 % davon auf Angriffe von Angreifern mit Verbindung zu China entfielen. GENESIS PANDA und MURKY PANDA umgingen die Erkennung durch Fehlkonfigurationen in der Cloud und Trusted Access.

„Das KI-Zeitalter hat sowohl die Art und Weise, wie Unternehmen arbeiten, als auch die Vorgehensweise von Angreifern grundlegend verändert. Wir beobachten, dass Angreifer GenAI nutzen, um Social Engineering auf eine neue Stufe zu heben, ihre Operationen zu beschleunigen und die Hürden für Hands-on-Keyboard-Angriffe zu senken“, sagt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Gleichzeitig greifen Angreifer genau die KI-Systeme an, die von Unternehmen eingesetzt werden. Denn jeder KI-Agent ist eine Art übermenschliche Identität: Er ist autonom, schnell und tief integriert, was ihn zu einem besonders wertvollen Ziel macht. Angreifer behandeln diese Agenten wie Infrastruktur und attackieren sie auf die gleiche Weise wie SaaS-Plattformen, Cloud-Konsolen und privilegierte Konten. Der Schutz der KI, die das Business antreibt, wird zum neuen digitalen Schlachtfeld.“ 

Weitere Informationen: 

• Hier können Sie sich den CrowdStrike Threat Hunting Report 2025 herunterladen.

• Um mehr über die Angreifergruppen zu erfahren, besuchen Sie das Adversary Universe von CrowdStrike oder hören Sie sich den Adversary Universe Podcast an. Hier werden weitere Einblicke in die Bedrohungslandschaft und Empfehlungen zur Verbesserung der Sicherheitspraktiken gegeben. 

• Weitere Informationen finden Sie auch im Blog sowie auf der Website; oder besuchen Sie CrowdStrike auf der Black Hat, Stand #2145. 

Über CrowdStrike
CrowdStrike ist ein weltweit führendes Unternehmen im Bereich der Cybersicherheit und hat mit der weltweit fortschrittlichsten Cloud-nativen Plattform zum Schutz kritischer Risikobereiche in Unternehmen - Endpunkte und Cloud-Workloads, Identität und Daten - die moderne Sicherheit neu definiert. 

Angetrieben von der CrowdStrike Security Cloud und erstklassiger KI nutzt die CrowdStrike Falcon®-Plattform Echtzeit-Angriffsindikatoren, Bedrohungsdaten, sich weiterentwickelnde Angreifermethoden und angereicherte Telemetriedaten aus dem gesamten Unternehmen, für hochpräzise Erkennungen, automatisierten Schutz und Abhilfemaßnahmen, hervorragendes Threat Hunting und die priorisierte Beobachtbarkeit von Schwachstellen.

Die in der Cloud entwickelte Falcon-Plattform basiert auf einem einzigen, schlanken Agenten. Dadurch ermöglicht die Plattform eine schnelle und skalierbare Bereitstellung, überragenden Schutz und herausragende Leistung, sowie eine geringere Komplexität und schnellere Wertschöpfung.

Das Motto von CrowdStrike lautet: We stop breaches.

Mehr Informationen finden Sie unter: https://www.crowdstrike.de
Folgen Sie uns: Blog | X | LinkedIn | Facebook | Instagram
Jetzt kostenlos testen: https://www.crowdstrike.com/free-trial-guide/

© 2025 CrowdStrike, Inc. Alle Rechte vorbehalten. CrowdStrike, das Falken-Logo, CrowdStrike Falcon und CrowdStrike Threat Graph sind eingetragene Marken von CrowdStrike, Inc. und beim Patent- und Markenamt der Vereinigten Staaten und in anderen Ländern registriert. CrowdStrike ist Eigentümer anderer Marken und Dienstleistungsmarken und kann die Marken Dritter zur Kennzeichnung ihrer Produkte und Dienstleistungen verwenden.

Für weitere Informationen kontaktieren Sie bitte:
HARVARD ENGAGE! COMMUNICATIONS GMBH
Ava Dühring / Katharina Barth
Tel: +49 89 53 29 57 33 / -13
E-Mail: crowdstrike@harvard.de