AI-gestuurde malware: Aanpassende en evoluerende dreigingen

Malware die zichzelf herschrijft tijdens een aanval. Scripts die AI-modellen raadplegen om detectie te ontwijken. Ransomware die zich aanpast aan zowel Windows als Linux—allemaal aangedreven door dezelfde grote taalmodellen die we gebruiken om e-mails op te stellen en code te debuggen.

Belangrijkste inzichten

1. Signature-based detectie is feitelijk verleden tijd. Wanneer malware LLM’s raadpleegt tijdens de uitvoering om zijn eigen code te herschrijven, wordt statische patroonherkenning overbodig. Hash-gebaseerde blokkades en YARA-regels zijn verouderd voordat je ze hebt geschreven, omdat de dreiging zichzelf semantisch opnieuw uitvindt op aanvraag, niet alleen van uiterlijk verandert.
2. Databescherming is nu je kritische controlelaag. Preventie wordt onzeker wanneer dreigingen zich sneller aanpassen dan verdedigingen kunnen bijwerken. Uitgebreid gegevensbeheer, encryptie van gegevens in rust en zero trust-architecturen vormen de betrouwbare verdedigingslaag—goed beschermde data blijft veilig, ongeacht hoe complex of adaptief de aanvalsmethode wordt.
3. De ondergrondse economie heeft AI-aanvalstools geïndustrialiseerd. Een stijging van 223% in deepfake-gerelateerde tools op darkwebforums geeft aan dat AI-gedreven aanvallen gemeengoed en toegankelijk zijn geworden. Wanneer malware-as-a-service-aanbieders LLM-integratie aanbieden met gelaagde prijsmodellen, API-toegang en Discord-supportkanalen, bereiken geavanceerde mogelijkheden nu ook dreigingsactoren zonder diepgaande technische kennis.
4. Staatsgesponsorde actoren bewapenen AI in de volledige kill chain. China’s APT41, Iran’s APT42 en Noord-Koreaanse groepen misbruiken systematisch AI-diensten voor kwetsbaarheidsdetectie, phishingcampagnes, code-obfuscatie en datamining. Dit is geen geïsoleerd experiment—het is operationele integratie in alle fasen: verkenning, ontwikkeling, uitvoering en exfiltratie.
5. Gedragsdetectie moet statische analyse vervangen. Focus op tactieken die blijven bestaan over implementaties heen: scripts die LLM-API’s aanroepen, snelle obfuscatiecycli, exfiltratie van inloggegevens naar nieuw aangemaakte repositories en cross-platform encryptieworkflows. Instrumenteer deze gedragingen en behandel toegang tot AI-diensten als een bevoorrecht middel dat logging en goedkeuring vereist.

Dit is geen speculatie. Google’s Threat Intelligence Group heeft meerdere malwarefamilies gedocumenteerd die actief LLM’s gebruiken tijdens de uitvoering, wat een fundamentele verschuiving markeert in hoe cyberdreigingen zich ontwikkelen. De bewapening van AI is niet langer theoretisch—het is operationeel, het verspreidt zich, en traditionele verdedigingen gebaseerd op statische patroonherkenning falen hiertegen.

Welkom in het tijdperk van adaptieve, AI-ondersteunde malware, waar de code leert tijdens het werk en signature-based detectie overbodig wordt.

De verschuiving: van statische dreigingen naar semantische gedaanteverwisselaars

Jarenlang voorspelden beveiligingsprofessionals “levende” malware die zich realtime kon aanpassen. Google’s nieuwste AI Threat Tracker-update bevestigt dat we die drempel zijn gepasseerd. Aanvallers integreren nu grote taalmodellen direct in hun malware, waardoor dreigingen semantisch—en niet alleen syntactisch—kunnen veranderen om detectie te ontwijken en gedrag af te stemmen op elke gecompromitteerde omgeving.

Traditionele polymorfe malware verandert van uiterlijk via encryptie of obfuscatie. AI-gedreven malware gaat verder: het raadpleegt een LLM tijdens de uitvoering om volledig nieuwe functies te genereren, logica te herschrijven en tactieken aan te passen op basis van wat het tegenkomt. Zie het als malware met een permanente instructie: “Word je gedetecteerd, herontwerp jezelf.”

Google noemt dit “just-in-time” zelfmodificatie—en dat daagt beveiligingsmodellen gebaseerd op patroonherkenning en statische signatures fundamenteel uit.

Wat dit betekent: het aanvalsoppervlak groeit exponentieel

De bevindingen van Google GTIG bevestigen waar beveiligingsleiders bang voor waren: 47% van de organisaties noemt vijandige vooruitgang door generatieve AI nu als hun belangrijkste cyberbeveiligingszorg—en de data geeft hen gelijk.

De implicaties gaan verder dan individuele malwarefamilies:

Traditionele signature-based detectie faalt wanneer malware zichzelf herschrijft. Statische patroonherkenning kan de snelheid van dreigingen die hun code semantisch herschrijven tijdens de uitvoering niet bijhouden. Je YARA-regels en hash-gebaseerde blokkades zijn verouderd voordat je ze hebt afgerond.

Cross-platform dreigingen richten zich gelijktijdig op meerdere omgevingen. Tools zoals PromptLock laten zien hoe AI dreigingsactoren in staat stelt adaptieve frameworks te bouwen die werken op verschillende besturingssystemen, waardoor het aanvalsoppervlak dat organisaties moeten verdedigen, toeneemt.

Data-exfiltratie wordt omgevingsspecifiek en moeilijker te detecteren. PromptSteal en QuietVault tonen aan hoe AI aangepaste verzamelscripts genereert voor elk doelwit, waardoor kwaadaardige activiteiten opgaan in legitieme processen en gedragsdetectie aanzienlijk lastiger wordt.

De ondergrondse economie weerspiegelt deze verschuiving: onderzoekers documenteren een stijging van 223% in deepfake-gerelateerde tools op darkwebforums, terwijl 42% van de organisaties succesvolle social engineering-aanvallen rapporteert waarbij AI-gegenereerde content wordt gebruikt. Staatsgesponsorde actoren experimenteren niet alleen—ze misbruiken AI-diensten systematisch in de volledige kill chain.

Het databeschermingsimperatief

Wat QuietVault en PromptSteal bijzonder zorgwekkend maakt, is hun geavanceerde aanpak van data-exfiltratie. Wanneer malware dynamisch verzamelscripts kan genereren en zich kan aanpassen aan de specifieke structuur van elke omgeving, staan organisaties voor een fundamentele uitdaging: de dreiging ontwikkelt zich sneller dan verdedigingen kunnen worden bijgewerkt.

Deze realiteit vraagt om een denkomslag. Als je preventie niet kunt garanderen—en met adaptieve malware wordt dat steeds moeilijker—dan wordt AI-databescherming je kritische controlelaag. Uitgebreid gegevensbeheer, encryptie van gegevens in rust en zero trust-beveiligingsarchitecturen zijn onmisbaar, omdat goed beschermde data veilig blijft, ongeacht hoe complex de aanvalsmethode wordt.

De vragen die beveiligingsleiders moeten stellen:

• Hoe beschermen we gevoelige data als perimeterverdediging mogelijk onvoldoende is tegen adaptieve dreigingen?
• Wat is onze strategie als dreigingen zich sneller ontwikkelen dan onze detectiemogelijkheden?
• Zijn we voorbereid op AI-gedreven aanvallen die zich richten op de datatypes en workflows van onze specifieke sector?

Vijf families die het speelveld veranderden

Google’s Threat Intelligence Group identificeerde diverse malwarefamilies die deze nieuwe AI-ondersteunde aanpak demonstreren. Elk vertegenwoordigt een andere aanvalsmethode, maar ze delen allemaal dezelfde kerncapaciteit: ze roepen LLM’s aan tijdens de uitvoering om hun effectiviteit te vergroten.

PromptFlux: de metamorfische dropper

PromptFlux is een experimentele VBScript-dropper die gebruikmaakt van Google’s Gemini om op aanvraag geobfusceerde scriptvarianten te genereren. Wat het bijzonder maakt, is de “Thinking Robot”-module—een component die periodiek Gemini raadpleegt voor nieuwe code die antivirusdetectie ontwijkt.

De malware probeert persistentie te bereiken via snelkoppelingen in de opstartmap en verspreidt zich lateraal via verwisselbare schijven en gekoppelde netwerkschijven. De prompts zijn zeer specifiek en machineleesbaar, wat suggereert dat de ontwikkelaars werken aan een echt metamorf script dat continu zijn eigen codebasis evolueert.

Hoewel PromptFlux zich nog in een vroeg stadium bevindt en geen grote schade heeft aangericht, heeft Google snel actie ondernomen door de Gemini API-toegang uit te schakelen en de bijbehorende assets te blokkeren. De techniek is echter beschikbaar—en modelonafhankelijk.

Verdedigingsprioriteit: Blokkeer waar mogelijk VBScript-uitvoering, monitor ongebruikelijke API-aanroepen vanuit scripting hosts en alarmeer bij wijzigingen in de opstartmap in combinatie met schrijfacties naar verwisselbare media.

PromptSteal (LameHug): dynamische datamining

PromptSteal, ook bekend als LameHug, raadpleegt Qwen2.5-Coder-32B-Instruct via de Hugging Face API om op aanvraag Windows-commando’s te genereren voor systeem- en documentverzameling. Google meldt actieve inzet in Oekraïne, waarmee dit een van de eerste bevestigde operationele gevallen is van LLM-ondersteunde malware in een conflictgebied.

De malware laat zien hoe AI-integratie de technische drempel voor geavanceerde data-exfiltratie verlaagt, waardoor aanvallers aangepaste scripts kunnen genereren voor elke doelomgeving.

Verdedigingsprioriteit: Detecteer patronen van scriptverspreiding—herhaalde kortlevende hulpscripts, ongebruikelijke child-processen en frequente uitvoeringen in tijdelijke mappen. Beperk scripting engines met constrained language mode en pas application control policies toe.

FruitShell: de reverse shell met een twist

FruitShell is een publiek beschikbare PowerShell-reverse shell die command-and-control-toegang biedt voor het uitvoeren van willekeurige commando’s op gecompromitteerde hosts. Wat het onderscheidt, is de verdedigingscomplexiteit: de malware bevat hardcoded prompts die LLM-gedreven beveiligingsanalysetools opzettelijk verwarren.

Dit toont aan dat aanvallers meerdere stappen vooruitdenken—niet alleen AI gebruiken om hun malware te versterken, maar ook actief AI-gebaseerde verdediging saboteren.

Verdedigingsprioriteit: Dwing PowerShell-logging af (Module, Script Block en Transcriptie) die naar je SIEM wordt gestuurd. Gebruik AMSI-versterking voor scriptinspectie en blokkeer uitgaande verbindingen naar recent geregistreerde domeinen.

QuietVault: op jacht naar ontwikkelaarsgeheimen

QuietVault is een JavaScript-credential stealer gericht op het ontwikkelaarsecosysteem—specifiek GitHub- en NPM-tokens. De malware exfiltreert verkregen inloggegevens via het aanmaken van een openbaar toegankelijke GitHub-repository, een slimme techniek waarbij kwaadaardig verkeer opgaat in legitieme repository-activiteit.

Wat nog zorgwekkender is: QuietVault gebruikt lokale AI CLI-tools en prompts om naar extra geheimen te zoeken buiten de initiële doelwitten, waardoor de eigen AI-tools van het slachtoffer tegen hen worden gebruikt.

Verdedigingsprioriteit: Gebruik tokens met korte levensduur en OIDC voor CI/CD-pijplijnen. Implementeer beleid dat standaard openbare repositories voorkomt en alarmeer bij plotselinge toename van repo-creatie vanaf endpoints. Zet credential scanning in met entropie- en regexdetectie.

PromptLock: cross-platform ransomware heruitgevonden

PromptLock is een experimenteel ransomwareprototype dat Lua-scripts gebruikt om data te stelen en te versleutelen op zowel Windows- als Linux-systemen. De cross-platform capaciteit en scriptbasis maken het bijzonder aanpasbaar, terwijl AI-ondersteuning aangepaste encryptieschema’s en ontwijkingstactieken mogelijk maakt voor elke doelomgeving.

Verdedigingsprioriteit: Oefen herstelprocedures met onveranderbare back-ups. Detecteer massale bestandstoegangspatronen over besturingssystemen heen en beperk scriptinterpretering via application allow-listing.

Voorbij malware: hoe APT-groepen AI misbruiken in de volledige kill chain

Het rapport van Google gaat verder dan zelfmodificerende malware en documenteert hoe staatsgesponsorde en criminele dreigingsactoren AI-diensten misbruiken in hun gehele operatie. De bevindingen tonen systematisch misbruik door meerdere natiestaten:

China-gerelateerde actoren deden zich voor als capture-the-flag-deelnemers om Gemini’s veiligheidsfilters te omzeilen, en gebruikten het model voor kwetsbaarheidsdetectie, phishinglokaas en exfiltratietoolontwikkeling. APT41 gebruikte Gemini voor code-assistentie en obfuscatie in het OSSTUN command-and-control-framework.

Iranese dreigingsgroepen toonden brutale tactieken. MuddyCoast (UNC3313) deed zich voor als student om hulp van Gemini te krijgen bij malwareontwikkeling en debugging—en onthulde per ongeluk C2-domeinen en encryptiesleutels in hun prompts. APT42 gebruikte Gemini voor phishingcampagnes en bouwde een “Data Processing Agent” die natuurlijke taal omzet in SQL voor het minen van persoonlijke informatie uit gecompromitteerde databases.

Noord-Koreaanse groepen lieten de breedte van AI-misbruik zien. Masan (UNC1069) gebruikte Gemini voor cryptodiefstal, meertalige phishing en deepfake-lokmiddelen. Pukchong (UNC4899) zocht assistentie bij het ontwikkelen van code gericht op randapparaten en browsers.

In elk geval schakelde Google de bijbehorende accounts uit en versterkte de modelsafeguards op basis van waargenomen omzeiltechnieken. Deze snelle respons—misbruik identificeren, toegang blokkeren, verdediging versterken—vormt een nieuwe dimensie in de beveiligingswedloop.

Ondergrondse markten schakelen over op AI-diensten

De dreiging beperkt zich niet tot geavanceerde APT-groepen. Google-onderzoekers ontdekten toenemende interesse in AI-gebaseerde tools op Engelstalige en Russischtalige ondergrondse fora, waarbij aanbieders hun producten aanprijzen met dezelfde professionele taal als legitieme AI-producten.

Advertenties benadrukken “workflow-efficiëntie” en “verbeterde productiviteit” en bieden begeleide onboarding, gelaagde prijsmodellen, API-toegang en Discord-supportkanalen. Het aanbod varieert van deepfake-generatiekits, phishingcontent-creators, verkenningstools, exploit-onderzoeksassistenten tot malware-as-a-serviceplatforms met LLM-integratie.

Deze commoditisering van AI-gedreven aanvalstools verlaagt de technische drempel voor complexe operaties drastisch. Aanvallers kunnen nu geavanceerde campagnes uitvoeren zonder diepgaande programmeerkennis, simpelweg door zich te abonneren op diensten die de complexiteit afhandelen.

De volwassenheid van de markt blijkt uit hoe aanbieders hun diensten structureren—gratis niveaus met basisfuncties, premiumabonnementen voor geavanceerde mogelijkheden en enterprise-pakketten voor volledige API-toegang. Het weerspiegelt legitieme SaaS-bedrijfsmodellen, want functioneel is dat precies wat het is.

Wat verandert er voor verdedigers

De ongemakkelijke waarheid: beveiligingsmaatregelen gebaseerd op statische patroonherkenning verouderen sneller wanneer tegenstanders hun code semantisch kunnen heruitvinden op aanvraag. Verdedigingsstrategieën moeten zich ontwikkelen om de dreiging bij te benen.

Zoek naar gedrag en intentie, niet naar signatures

Schakel uitgebreide scripttelemetrie in. Zet PowerShell Module Logging, Script Block Logging en Transcriptie aan. Activeer AMSI-integratie en command-line auditing voor cscript, wscript, node en python-interpreters. Deze telemetriebronnen onthullen gedragsmatige patronen die blijven bestaan, zelfs als de code verandert.

Profileer AI-dienstgebruik. Stel baselines op voor normale LLM-API-aanroepen vanuit je omgeving. Alarmeer wanneer scripting engines of niet-ontwikkelaarsystemen AI-modellen gaan raadplegen, vooral in combinatie met obfuscatie- of uitvoeringspatronen.

Detecteer obfuscatiecycli. Signaleer korte golven van scriptregeneratie, plotselinge pieken in Base64-encoding en ongebruikelijke encoding-pijplijnen. Deze patronen wijzen op adaptieve malware die zichzelf herschrijft.

Behandel modeltoegang als bevoorrechte middelen

Beperk uitgaande verbindingen naar AI-diensten. Sta alleen verbindingen toe naar goedgekeurde LLM-eindpunten via next-generation firewalls of secure web gateways. Zet CASB-oplossingen in om prompts en outputs te inspecteren waar het beleid dit toestaat.

Pas least privilege toe op AI-tools. Gebruik application allow-listing voor AI CLI’s en SDK’s. Koppel ze aan goedgekeurde gebruikers en dwing device posture-vereisten af voordat toegang wordt verleend.

Audit AI-interacties. Log prompts en antwoorden voor goedgekeurd AI-gebruik met passende privacymaatregelen. Zoek naar verdachte codegeneratieverzoeken, promptinjectionpogingen of queries die ontwijkingstechnieken zoeken.

Beveilig ontwikkelaarsecosystemen

De focus van QuietVault op ontwikkelaarscredentials benadrukt een kritisch aanvalsoppervlak. Ontwikkelaars hebben bevoorrechte toegang tot coderepositories, builds en productieomgevingen—hun werkstations zijn dus waardevolle doelwitten.

Implementeer credentials met korte levensduur. Roteer geheimen vaak en geef de voorkeur aan workload identity federation boven statische tokens. Gebruik OIDC voor CI/CD-pijplijnen om langdurige credentials volledig te elimineren.

Dwing repositorybeleid af. Sta standaard geen openbare repositories toe op organisatieniveau. Monitor plotselinge aanmaak van openbare repositories en ongebruikelijke git push-activiteiten vanaf endpoints in plaats van buildservers.

Implementeer pre-commit scanning. Dwing geautomatiseerde secret scanning en statische analyse af vóór code merges. Blokkeer commits die credentials, API-sleutels of patronen toevoegen die authenticatie verzwakken.

Beperk interpreters en hulpruntimes

Dwing application control af. Zet Windows Defender Application Control of AppLocker in op Windows-systemen. Implementeer uitvoeringsbeperkingen op macOS en Linux via geschikte frameworks per platform.

Gebruik constrained language modes. Stel PowerShell Constrained Language Mode en Just Enough Administration in voor bevoorrechte operaties. Dit verkleint het aanvalsoppervlak door de beschikbare taalfuncties voor scripts te beperken.

Beheer scriptinventarissen. Maak en handhaaf allow-lists van ondertekende, goedgekeurde scripts. Blokkeer de uitvoering van niet-ondertekende scripts waar de bedrijfsvereisten dit toelaten.

Bouw veerkracht in met het oog op snellere aanpassing

Oefen herstel na ransomware-aanvallen. Meet en optimaliseer je hersteltijden en back-updekking. Sla back-ups op met onveranderbaarheidsgaranties en gescheiden credential stores. Voer tabletop-oefeningen uit met het scenario dat aanvallers zich sneller aanpassen dan jouw detectie-updates.

Segmenteer pragmatisch. Stap af van platte netwerkarchitecturen. Segmenteer op bedrijfsfunctie en mogelijk impactgebied. Beperk laterale bestandshandelingen en vereis authenticatie voor east-west-bewegingen.

Schrijf tactische detecties. Richt detectie-engineering op tactieken in plaats van specifieke malwarefamilies of hashwaarden. Schrijf regels voor “LLM-ondersteunde codegeneratie in scripts” of “token-exfiltratie naar nieuw aangemaakte repositories” die effectief blijven over varianten heen.

Beleid, inkoop en technische implicaties

Beveiligingsbeleid

Behandel AI-gebruik als elke gevoelige integratie. Definieer goedgekeurde modellen en aanbieders, stel retentievereisten vast, bepaal loggingverwachtingen en trek duidelijke grenzen. Verbied specifiek het gebruik van AI voor code-obfuscatie of het omzeilen van beveiligingsmaatregelen.

Vragen voor inkoop

Vraag bij het beoordelen van leveranciers met AI-integratie hoe ze functionaliteit afschermen, gebruikersinteracties loggen, promptinjection voorkomen en API-misbruik monitoren. Eis contractuele toezeggingen rond misbruikpreventie.

Technische verantwoordelijkheden

Bied robuuste eventstreams voor AI-functionaliteit—prompt-ID’s, API-sleutelgebruik, per-host interactielogs. Security operations-teams hebben deze telemetrie nodig om effectief te kunnen zoeken en gericht te blokkeren zonder legitieme workflows te verstoren.

Wat Google deed (en wat het betekent)

Google schakelde geïdentificeerde misbruikaccounts en Gemini API-sleutels uit en paste daarna safeguards aan gericht op de specifieke omzeilingen die GTIG waarnam. Dit verhoogt de kosten voor tegenstanders die Google-diensten gebruiken—maar de technieken zijn overdraagbaar naar andere LLM-aanbieders en zelfgehoste modellen.

De les: bouw je verdediging niet rond de controles van één aanbieder. Ga uit van tegenstanders die van model wisselen of hun eigen model draaien. Je detecties moeten werken ongeacht welke AI-dienst de malware aanroept.

Adaptieve tegenstanders vragen om adaptieve verdediging

Malware die AI-modellen raadpleegt tijdens de uitvoering is meer dan een incrementele verbetering. Het is een categorieverschuiving waardoor signature-based detectie en statische analyse steeds minder effectief zijn tegen dreigingen die zichzelf semantisch opnieuw kunnen uitvinden op aanvraag.

De verdedigingsreactie vereist fundamentele veranderingen in aanpak:

Instrumenteer gedragingen die blijven bestaan over implementaties heen. Scripts die model-API’s aanroepen. Snelle cycli van coderegeneratie. Ontwikkelaarscredentialdetectie gevolgd door exfiltratie naar nieuw aangemaakte openbare repositories. Cross-platform encryptieworkflows gebouwd in draagbare talen. Deze tactische patronen blijven detecteerbaar, zelfs als de code verandert.

Behandel AI-databescherming als de kritische controlelaag. Wanneer preventie onzeker wordt tegen adaptieve dreigingen, vormen uitgebreid gegevensbeheer, encryptie van gegevens in rust en zero trust-beveiligingsarchitecturen je betrouwbare verdediging. Goed beschermde data blijft veilig, ongeacht hoe de aanval zich ontwikkelt.

Maak LLM-toegang tot een bevoorrecht middel. Log en keur AI-dienstgebruik goed zoals je dat met bevoorrechte credentials zou doen. Richt detectie op tactieken in plaats van specifieke malwarevoorbeelden om effectief te blijven naarmate dreigingen zich ontwikkelen.

Google’s Threat Intelligence Group leverde het draaiboek. De families die zij documenteerden zijn niet theoretisch—ze zijn actief in het wild, de technieken verspreiden zich naar ondergrondse markten en APT-toolkits, en de ondergrondse economie laat een stijging van 223% zien in AI-gedreven aanvalstools.

De vraag is niet of AI-gedreven malware standaard wordt. Dat is het al. De vraag is of jouw organisatie haar AI-databeschermingsstrategie en detectiemogelijkheden aanpast voordat tegenstanders deze technieken op grote schaal operationeel inzetten tegen jouw specifieke omgeving.