Künstliche Intelligenz ist vollständig in der Cyberkriminalität angekommen. Zu diesem Ergebnis kommt der aktuelle Threat Report des europäischen IT-Sicherheitsherstellers ESET: Zum ersten Mal wurde eine Ransomware (PromptLock) beobachtet, die selbst KI verwendete, um sich vor Sicherheitssoftware zu verbergen. Der Bericht umfasst Forschungsergebnisse aus dem Zeitraum von Juni bis November 2025 und beschreibt die neusten und gefährlichsten Bedrohungen für Internetnutzer und Organisationen. Mit den Erkenntnissen aus seiner Forschung möchte der Hersteller das öffentliche Bewusstsein für Cybergefahren schärfen. Am erschreckendsten ist die breite Verwendung von KI in der digitalen Verbrechenslandschaft:
„KI-gestützte Malware ist nicht mehr nur ein theoretisches Szenario“, erklärt Jiří Kropáč, Director of Threat Prevention Labs bei ESET. „Zwar wird künstliche Intelligenz derzeit vor allem zur Erstellung überzeugender Phishing- und Betrugsinhalte eingesetzt, doch PromptLock markiert den Beginn einer neuen Phase im digitalen Wettrüsten.“
Der gesamte Threat Report ist unter diesem Link verfügbar: ESET Threat Report H2 2025
KI-Ransomware „PromptLock“: Aus der Theorie in die Realität
Zum ersten Mal identifizierten ESET Analysten eine Ransomware-Familie, die künstliche Intelligenz zur Generierung von Schadcode nutzt. Der als PromptLock bezeichnete Schadcode kann Malware-Module dynamisch erzeugen und so traditionelle Signatur-Erkennungsverfahren umgehen. Bislang dominierten KI-Methoden die Erstellung täuschend echter Phishing-Nachrichten und gefälschter Inhalte. PromptLock markiert einen neuen Eskalationspunkt im Missbrauch von KI-Technologien für Cyberkriminalität.
Professionelle Scams mit KI-Elementen und kurzer Lebensdauer
Traditionelle Betrugsformen entwickeln sich ebenfalls weiter: So stieg die Zahl der Erkennungen bei den sogenannten Nomani-Investment-Scams im Jahresvergleich um 62 Prozent. Die ESET Experten berichten von qualitativ hochwertigeren Deepfakes, potenziell KI-generierten Phishing-Seiten und Werbekampagnen mit außergewöhnlich kurzer Laufzeit, die eine Entdeckung erschweren. Gleichzeitig verlagerte sich ein Teil dieser Aktivitäten von klassischen sozialen Netzwerken auf Plattformen wie YouTube und andere Videodienste.
Mobile Risiken: NFC-Angriffe steigen um fast 90 Prozent
Ein zentraler Trend im zweiten Halbjahr 2025 ist die rapide Zunahme mobiler Angriffe über NFC-Schnittstellen auf Android-Geräten. Diese Angriffsart legte in der Telemetrie des Herstellers um 87 Prozent zu. Besonders auffällig ist die Weiterentwicklung der NGate-Malwarefamilie, die inzwischen über Kontakt-Diebstahl hinausgeht. Ergänzend wurde eine neue Schadsoftware namens RatOn identifiziert, die Funktionen eines Remote-Access-Trojans mit NFC-Relay-Techniken verbindet.
Einen der ersten Fälle von professionellem NFC-Betrug entdeckten Forscher des Herstellers bereits im August 2024.
Weitere Beobachtungen: Lumma Stealer fällt, CloudEyE wächst
Während der Infostealer Lumma nach internationalen Strafverfolgungsmaßnahmen an Bedeutung verlor und in der zweiten Jahreshälfte 2025 einen Rückgang der Erkennungen um 86 Prozent verzeichnete, gewann der Downloader CloudEyE (auch bekannt als GuLoader) deutlich an Bedeutung. Die Erkennungen stiegen um nahezu das 30-fache – besonders betroffen war Polen mit 32 Prozent aller registrierten Versuche. CloudEyE dient häufig als Verteiler für Ransomware und weitere Schadprogramme wie Formbook oder Agent Tesla.
Weitere Informationen zur aktuellen Cyberbedrohungslandschaft gibt es im Bericht: