Alle dachten, KI würde die Verteidiger zuerst aufpeppen – schnellere Bedrohungserkennung, schlaurere Anomaliejagd. Aber Googles Threat Intelligence Group (GTIG) dreht das gerade um in ihrem AI-Threat-Tracker für Q4 2025. Angreifer von DPRK bis Russland destillieren proprietäre Modelle, weben LLMs in Phishing-Köder, bauen sogar Gemini-APIs in Malware ein. Es revolutioniert das Spiel noch nicht. Aber der Produktivitätsboost? Der ist real – und kippt das Kräfteverhältnis.
GTIGs Bericht – Update zu ihrem November-Drop – hebt Modell-Extraktionsangriffe hervor, alias Destillation. Böse Jungs nutzen legale APIs aus, saugen die Logik raus, trainieren Klone. Keine APTs haben Frontier-Modelle direkt geknackt, betont Google. Private Firmen, Forscher? Die machen das weltweit.
Der Punkt ist:
Was sind Destillationsangriffe genau – und warum zählen sie?
Bei Modell-Extraktionsangriffen füttern Angreifer ein laufendes LLM mit Queries, sammeln Ausgaben, destillieren daraus ihr eigenes Modell. Knowledge Distillation nennen sie das – Intelligenz klauen, ohne Server zu knacken. Früher hieß IP-Diebstahl Einbrüche, Datenexfiltration. Heute? API-Zugang reicht für servicebasierte KI.
GTIG hat 2025 massenhaft welche erwischt. Gestoppt. Projekte, Accounts deaktiviert. Classifier aufgerüstet. Aber der Trend? Steil nach oben. Und nicht nur Theorie.
“Google DeepMind und GTIG haben einen Anstieg von Modell-Extraktionsversuchen oder ‘Destillationsangriffen’ festgestellt, eine Methode zum Diebstahl geistigen Eigentums, die gegen Googles Nutzungsbedingungen verstößt.”
Direkt aus dem Executive Summary. Gruselig, oder? Verstößt gegen ToS, klar – aber die Kreativität der Angreifer überholt die Durchsetzung.
Bedrohungsakteure warten nicht. DPRK-Gruppen nutzen LLMs für Tech-Recherche, Targeting. Iran-Gruppen bauen nuanciertes Phishing. PRC- und russische Operationen beschleunigen die Aufklärung. Realwelt-Fälle: KI-Phishing baut Vertrauen schneller auf – personalisierte Köder, die Filter umgehen.
Ein knackiges Beispiel. HONESTCUE-Malware-Familie. Sie zapft Gemini-API an, spuckt Code aus, lädt Second-Stage-Payloads herunter. Experiment, ja. Aber wirksam.
Und im Untergrund? Xanthorox-Dienste verkaufen ‘unabhängige’ Modelle – gejailbreakte kommerzielle APIs, Open-Source-MCP-Server darunter. Ein Schatten-Ökosystem blüht auf.
Warum haben APTs noch nicht durchgebrochen?
Googles Linie: Keine fundamentalen Veränderungen. Keine Breakthrough-Fähigkeiten bei APTs oder IO-Akteuren. Classifier halten. Gemini-Safeguards verbessern sich – siehe ihr Whitepaper.
Aber Schluss mit dem Schönreden. Das riecht nach früher Verleugnung. Erinnert ihr an 2010? Stuxnet-Macher spielten mit neuen Exploits; niemand sah staatlich gesponserte Cyberangriffe als ‘game-changing’, bis es traf. Heute glimmt agentische KI am Horizont – Bedrohungsakteure visieren autonome Malware-Entwickler an. Produktivitätsgewinne häufen sich. Die Aufklärung schrumpft von Wochen auf Stunden. Phishing-Erfolg? Schießt hoch.
Mein Fazit: Google spielt die Dynamik herunter, um den Schwung zu kaschieren. Sie stören – gut. Best Practices teilen? Lobenswert. Aber private Destillationen zeigen: Die Methode funktioniert. APTs passen sich an. Kühne Prognose: Bis Mitte 2026 sehen wir geklonte Frontier-Modelle im Wilden eingesetzt, die unauffindbare Kampagnen antreiben.
Kurzer Absatz zum Unterstreichen: Verteidiger, aufwachen.
Wie nutzen Nation-States KI wirklich jetzt?
DPRK: LLMs für Recherche, Targeting-Intel. Schnelle Phishing-Generierung – nuanciert, kulturangepasst.
Iran: Social Engineering gestrafft. Rapport-aufbauende Mails, die menschlich wirken.
PRC, Russland: Recon beschleunigt. Public-Data-Scraping, Vuln-Jagd per Prompt.
Nicht transformativ. Inkrementell. Aber es summiert sich. GTIG hat Kampagnen im Wilden gestoppt – Fingerabdrücke gesehen.
Agentische KI als Nächstes? Akteure basteln an Tools. Malware, die sich selbst Code evolviert. Frühe Tage, aber Interesse explodiert.
Googles Gegenmaßnahmen: Account-Bans, Modell-Hä
