PromptSpy: Erste KI-gesteuerte Malware + BeyondTrust Ransomware-Welle
PromptSpy markiert den Beginn KI-gesteuerter Malware — der erste Android-Trojaner, der Google Gemini zur Laufzeit nutzt. BeyondTrust CVE-2026-1731 (CVSS 9.9) wird aktiv in Ransomware-Kampagnen ausgenutzt. Deutsche Bahn von massivem DDoS-Angriff betroffen. Französisches Bankregister FICOBA gehackt — 1,2 Mio. Konten betroffen. Microsoft patcht 6 Zero-Days.
PromptSpy: Die Ära der KI-Malware beginnt
Erste Malware mit generativer KI zur Laufzeit
ESET-Forscher entdeckten PromptSpy — die erste Android-Malware, die Google Gemini AI nutzt, um Gerätebildschirme zu analysieren und Persistenz-Anweisungen in Echtzeit zu generieren. Das ist keine Theorie — sie ist bereits aktiv im Einsatz.
Herkömmliche Malware folgt vorprogrammierter Logik. PromptSpy denkt. Sie erstellt Screenshots, sendet diese an Google Gemini und erhält KI-generierte Anweisungen für:
- Sperrbildschirm-Umgehung — KI analysiert Entsperrmuster und schlägt Methoden vor
- Persistenz-Mechanismen — Passt sich an JEDE Android-Version oder jeden Hersteller an
- Anti-Deinstallation — KI generiert gerätespezifische Blockierungstechniken
- Datenexfiltration — Screenshot- und Bildschirmaufnahme mit intelligenter Zielauswahl
- Geräte-Fingerprinting — Umfassende Aufklärung
Kritische Auswirkung
KI-gesteuerte Malware kann sich an Geräte anpassen, die sie noch nie zuvor gesehen hat. Statische Sicherheitsregeln können nicht Schritt halten. Unternehmen benötigen KI-gestützte Sicherheit, um KI-gesteuerten Bedrohungen zu begegnen.
BeyondTrust CVE-2026-1731 — Aktive Ransomware-Ausnutzung
CVSS 9.9 — Aktiv in Ransomware-Angriffen ausgenutzt
BeyondTrust Remote Support (RS) und Privileged Remote Access (PRA) werden massenhaft ausgenutzt. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen — sofortiges Patchen erforderlich.
| Attribut | Details |
|---|---|
| CVE | CVE-2026-1731 |
| CVSS | 9.9 KRITISCH |
| Auswirkung | Ausführung von OS-Befehlen als Site-Benutzer |
| Status | Aktiv in Ransomware-Kampagnen ausgenutzt |
| Attribution | Palo Alto Unit 42 |
Beobachtete Angriffskette
- Netzwerk-Aufklärung
- Web-Shell-Platzierung
- C2-Verbindungsaufbau
- Backdoor-Installation
- Laterale Bewegung
- Datendiebstahl → Ransomware-Einsatz
Betroffene Sektoren: Finanzdienstleistungen, Recht, Hochtechnologie, Hochschulwesen, Gesundheitswesen
Betroffene Regionen: USA, Frankreich, Deutschland, Australien, Kanada
🇫🇷 Französische Bankdatenbank gehackt — 1,2 Millionen Konten
Behördenzugangsdaten kompromittiert
Die nationale Bankdatenbank des französischen Finanzministeriums wurde gehackt. 1,2 Millionen Bankkonten seit Ende Januar 2026 offengelegt.
| Offengelegte Daten | Auswirkung |
|---|---|
| Bankkontonummern | Finanzbetrugsrisiko |
| Kontoinhaber-Namen | Identitätsdiebstahl |
| Adressen | Physisches Sicherheitsrisiko |
| Steuer-IDs (teilweise) | Steuerbetrugsrisiko |
Angriffsvektor: Zugangsdatendiebstahl → Behördenzugang → Nationale Datenbank
NIS2-Relevanz: Behördenzugangsdaten = Single Point of Failure. Die NIS2-Richtlinie fordert Zugangsdatenhygiene und Zugangskontrollen.
NIS2-Registrierungsfrist: 6. März 2026
2 Wochen bis zur Frist — 29.000 deutsche Unternehmen betroffen
Die BSI-Portalregistrierung erfordert ein ELSTER-Zertifikat, dessen Bearbeitung 5–10 Werktage dauert. Handeln Sie JETZT oder verpassen Sie die Frist.
- Frist: 6. März 2026 (2 Wochen ab heute)
- Betroffen: 29.000 deutsche Unternehmen
- Anforderung: BSI-Portalregistrierung mit ELSTER-Zertifikat
- Sanktion: Persönliche Haftung der Geschäftsführung bei Nichteinhaltung
Betroffene Sektoren
- Energie
- Gesundheitswesen
- Transport
- Digitale Infrastruktur
🇩🇪 Deutsche Bahn DDoS-Angriff
Deutschlands größter Bahnbetreiber erlebte einen massiven DDoS-Angriff, der Informations- und Buchungssysteme störte. Unter der NIS2-Richtlinie drohen Betreibern kritischer Infrastrukturen Meldepflichten und erhebliche Bußgelder bei unzureichender Resilienz.
Heutige Zahlen
| Kennzahl | Wert |
|---|---|
| Microsoft Zero-Days | 6 |
| BeyondTrust CVSS | 9.9 |
| Französische Konten gehackt | 1,2 Mio. |
| Deutsche Unternehmen von NIS2 betroffen | 29.000 |
| Tage bis NIS2-Frist | 14 |
Heutige Prioritäten
- PATCHEN: BeyondTrust RS/PRA — Aktive Ransomware-Ausnutzung (CVSS 9.9)
- PATCHEN: Microsoft Februar-Patches — 6 Zero-Days werden aktiv ausgenutzt
- REGISTRIEREN: NIS2 BSI-Portal — ELSTER-Zertifikat HEUTE beantragen
- PRÜFEN: Mobile Sicherheitslage — PromptSpy stellt neue KI-Bedrohungsklasse dar
- BEWERTEN: Zugangsdaten-Management — Frankreich-Hack zeigt Single-Point-of-Failure-Risiko