KI macht Angriffe nicht zwingend raffinierter: Der »HP Wolf Security Threat Insights Report« sieht KI als Hebel für Tempo, Wiederverwendung und geringere Entwicklungskosten. Beispiele sind modulare Malware-Bausteine, PDF-Köder mit Weiterleitung zu Booking.com und gefälschte Teams-Installer, die trotz einfacher Machart klassische Schutz-Mechanismen umgehen.

Der aktuelle HP Wolf Security Threat Insights Report für März 2026 analysiert Vorfälle aus dem vierten Quartal 2025 und zeichnet ein nüchternes Bild des KI-Einsatzes auf Angreiferseite. Im Mittelpunkt stehen keine grundlegend neuen Angriffsmuster, sondern schneller aufgebaute und leichter anpassbare Kampagnen, die auf wiederverwendeten Bausteinen beruhen.

KI beschleunigt vor allem die Routine

Besonders auffällig ist im Report der Abschnitt zu »vibe-hacking«. Gemeint sind damit Infektionsskripte mit starkem Template-Charakter, ausführlichen Kommentaren und klar markierten Stellen für Anpassungen. HP wertet das als Hinweis darauf, dass Angreifer entweder fertige Werkzeuge einkaufen oder generative KI nutzen, um einfache Zwischenstufen einer Infektionskette ohne großen eigenen Entwicklungsaufwand zu erzeugen. Der technische Anspruch steigt damit nicht zwingend. Der operative Durchsatz aber schon.

Ein Beispiel dafür sind PDF-Köder, die nicht die Malware selbst enthalten, sondern nur als Türöffner dienen. Nach einem Klick startet der Download auf einer kompromittierten Website, danach folgt sofort eine Weiterleitung auf Booking.com. Diese Abfolge soll den Eindruck erwecken, der Download sei von einer vertrauenswürdigen Plattform ausgelöst worden. Im untersuchten Fall führten solche Ketten am Ende zu Formbook und XWorm.

Anzeige

Malware aus dem Baukasten

Als zweiten Schwerpunkt beschreibt HP eine Art Baukasten-Prinzip für Malware-Kampagnen. Verschiedene Akteure hätten im vierten Quartal 2025 dieselben günstigen Standard-Komponenten wiederverwendet, darunter verschleierte Skripte, auf archive.org abgelegte Bilder mit eingebettetem Code und einen .NET-Loader. Trotz unterschiedlicher Köder und Payloads seien die Zwischenschritte in mehreren Kampagnen praktisch identisch gewesen. Laut Report landeten am Ende unter anderem DarkCloud und AsyncRAT auf den kompromittierten Systemen.

Der Report beschreibt zudem eine Kampagne mit gefälschten Microsoft-Teams-Downloads. Die Opfer gelangen laut HP über Suchmaschinen-Manipulation und bösartige Anzeigen auf präparierte Seiten. Das dort angebotene Installationspaket bringt nicht nur das legitime Teams-Setup mit, sondern zusätzlich eine signierte CapCut-Komponente und eine manipulierte DLL. Per DLL-Sideloading werde so die Backdoor OysterLoader geladen, während die echte Anwendung parallel installiert wird. Das macht die Infektion unauffälligerr, weil parallel die legitime Anwendung installiert wird.

E-Mail bleibt das wichtigste Einfallstor

Bei den von HP Sure Click in Q4/2025 erfassten Bedrohungen lagen Skripte und ausführbare Dateien mit 38 Prozent vorn. Archive kamen auf 36 Prozent, Dokumente auf 11 Prozent, Tabellen auf 4 Prozent und PDFs auf 8 Prozent. Beim Verteilweg blieb E-Mail mit 58 Prozent der wichtigste Vektor, gefolgt von Downloads im Web-Browser mit 23 Prozent. Zusätzlich hebt HP hervor, dass mindestens 14 Prozent der per E-Mail erfassten Bedrohungen einen oder mehrere Gateway-Scanner umgangen hätten.

Ganz verschwunden sind klassische Office-Angriffe laut Report ebenfalls nicht. Vor allem im Asia-Pacific-Raum beobachtete HP weiter Word- und Excel-Dateien mit einfachen VBA-Makros, die PowerShell-Loader starten und am Ende Agent Tesla nachladen. Der technische Unterbau wirkt dabei eher pragmatisch als elegant, was zur Grundthese des Reports passt: Es geht weniger um Cyber-Kunst als um billige, funktionierende Fertigung. Für Unternehmen heißt das vor allem, dass detektionsbasierte Schutz-Modelle unter Druck geraten, wenn Varianten in Minuten neu verpackt werden können.