Het threat‑intelligence team van Google heeft een duidelijke waarschuwing uitgegeven: cybercriminelen en door staten gesteunde hackers maken nu gebruik van kunstmatige intelligentie in alle fasen van hun aanvallen – van het schrijven van malware tot het stelen van data en het ontwijken van detectie.
Het was onvermijdelijk. Kunstmatige intelligentie is te verleidelijk voor cybercriminelen om te laten liggen. Terwijl cybersecurity‑experts (inclusief wijzelf) waarschuwden voor zowel kritieke kwetsbaarheden in snel gelanceerde AI‑browsers als voor de onvermijdelijke explosie van AI‑gedreven phishing‑scams, experimenteerden de criminelen al met de nieuwe technologie. Van proof‑of concept AI‑virussen tot AI‑tools die het hackwerk volledig automatiseren: we hebben al meerdere opmerkelijke gevallen van AI‑gebruik in cybercrime gezien. Maar nu lijkt AI permanent ingebed te zijn in elke fase van cyberaanvallen.
In het recente rapport “Adversarial Misuse of Generative AI” concludeert Google dat we getuige zijn van een “nieuwe operationele fase” in cybercriminaliteit, waarin aanvallers niet langer slechts experimenteren met AI‑tools, maar ze volledig integreren in de aanvalsketen.
AI‑malware die zichzelf herschrijft
Een van Googles meest verontrustende ontdekkingen is een nieuwe malware‑familie, bijgenaamd PROMPTFLUX en PROMPTSTEAL, die in staat is om haar eigen code in real time te herschrijven om antivirus‑detectie te ontwijken. De malware gebruikt large language models (LLM’s) zoals Gemini om elk uur code te regenereren of te maskeren, waardoor beveiligingssystemen worden gepasseerd.
Google meldt dat één variant al is gekoppeld aan de Russische hackgroep APT28, die de malware zou hebben gebruikt om data te exfiltreren via de Hugging Face API. Volgens Nick Tausek, Lead Security Automation Architect bij Swimlane, markeert dit “een belangrijke verschuiving in het dreigingslandschap“. AI‑malware die zich tijdens de aanval aanpast maakt detectie “aanzienlijk moeilijker“, omdat het geen voorspelbare aanvalspatronen volgt.
Chatbots en hacker‑marktplaatsen
Onderzoekers ontdekten ook dat cybercriminelen chatbots zoals Gemini gebruiken om phishing‑mails, web‑shells en datadiefstaltools te creëren — soms door zich voor te doen als deelnemers in cybersecurity‑wedstrijden om content‑restricties te omzeilen. Ondertussen lopen underground marktplaatsen vol met AI‑gegenereerde kwaadaardige tools, aangeboden in Engelse en Russische forums. Veel advertenties claimen premium “AI‐upgraded” versies van klassieke hacksoftware.
Staatsgebruik
Ook door staten gesteunde groepen maken gebruik van AI. Google identificeerde Noord‑Koreaanse en Chinese hackers die Gemini inzetten voor phishing‑campagnes, het ontwikkelen van deepfake‑lokmiddelen, automatisering van verkenning en zelfs hulp bij het coderen van malware.
“Aanvallers verbeteren elke stap van hun operatie met AI — van initieel onderzoek tot exfiltratie,” waarschuwt Googles Threat Intelligence Group. “Dit markeert het begin van een nieuw tijdperk in cybercriminaliteit.”
Zonder twijfel is dit het begin van de nieuwe normaal. Terwijl cybersecuritybedrijven worstelen om bij te blijven, maken cybercriminelen zich op om enkele van de meest geavanceerde en geloofwaardige online aanvallen ooit te lanceren – tegen iedereen met een e‑mail. En voor nu lijkt het aan de gebruiker om zichzelf te beschermen.
