剣 KENSAI
← All posts · security · 2026-02-21 · 3 min

PromptSpy: Erste KI-gesteuerte Malware + BeyondTrust Ransomware-Welle

PromptSpy markiert den Beginn KI-gesteuerter Malware — der erste Android-Trojaner, der Google Gemini zur Laufzeit nutzt. BeyondTrust CVE-2026-1731 (CVSS 9.9) wird aktiv in Ransomware-Kampagnen ausgenutzt. Deutsche Bahn von massivem DDoS-Angriff betroffen. Französisches Bankregister FICOBA gehackt — 1,2 Mio. Konten betroffen. Microsoft patcht 6 Zero-Days.


PromptSpy: Die Ära der KI-Malware beginnt

Erste Malware mit generativer KI zur Laufzeit

ESET-Forscher entdeckten PromptSpy — die erste Android-Malware, die Google Gemini AI nutzt, um Gerätebildschirme zu analysieren und Persistenz-Anweisungen in Echtzeit zu generieren. Das ist keine Theorie — sie ist bereits aktiv im Einsatz.

Herkömmliche Malware folgt vorprogrammierter Logik. PromptSpy denkt. Sie erstellt Screenshots, sendet diese an Google Gemini und erhält KI-generierte Anweisungen für:

Kritische Auswirkung

KI-gesteuerte Malware kann sich an Geräte anpassen, die sie noch nie zuvor gesehen hat. Statische Sicherheitsregeln können nicht Schritt halten. Unternehmen benötigen KI-gestützte Sicherheit, um KI-gesteuerten Bedrohungen zu begegnen.


BeyondTrust CVE-2026-1731 — Aktive Ransomware-Ausnutzung

CVSS 9.9 — Aktiv in Ransomware-Angriffen ausgenutzt

BeyondTrust Remote Support (RS) und Privileged Remote Access (PRA) werden massenhaft ausgenutzt. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen — sofortiges Patchen erforderlich.

Attribut Details
CVE CVE-2026-1731
CVSS 9.9 KRITISCH
Auswirkung Ausführung von OS-Befehlen als Site-Benutzer
Status Aktiv in Ransomware-Kampagnen ausgenutzt
Attribution Palo Alto Unit 42

Beobachtete Angriffskette

  1. Netzwerk-Aufklärung
  2. Web-Shell-Platzierung
  3. C2-Verbindungsaufbau
  4. Backdoor-Installation
  5. Laterale Bewegung
  6. Datendiebstahl → Ransomware-Einsatz

Betroffene Sektoren: Finanzdienstleistungen, Recht, Hochtechnologie, Hochschulwesen, Gesundheitswesen

Betroffene Regionen: USA, Frankreich, Deutschland, Australien, Kanada


🇫🇷 Französische Bankdatenbank gehackt — 1,2 Millionen Konten

Behördenzugangsdaten kompromittiert

Die nationale Bankdatenbank des französischen Finanzministeriums wurde gehackt. 1,2 Millionen Bankkonten seit Ende Januar 2026 offengelegt.

Offengelegte Daten Auswirkung
Bankkontonummern Finanzbetrugsrisiko
Kontoinhaber-Namen Identitätsdiebstahl
Adressen Physisches Sicherheitsrisiko
Steuer-IDs (teilweise) Steuerbetrugsrisiko

Angriffsvektor: Zugangsdatendiebstahl → Behördenzugang → Nationale Datenbank

NIS2-Relevanz: Behördenzugangsdaten = Single Point of Failure. Die NIS2-Richtlinie fordert Zugangsdatenhygiene und Zugangskontrollen.


NIS2-Registrierungsfrist: 6. März 2026

2 Wochen bis zur Frist — 29.000 deutsche Unternehmen betroffen

Die BSI-Portalregistrierung erfordert ein ELSTER-Zertifikat, dessen Bearbeitung 5–10 Werktage dauert. Handeln Sie JETZT oder verpassen Sie die Frist.

Betroffene Sektoren


🇩🇪 Deutsche Bahn DDoS-Angriff

Deutschlands größter Bahnbetreiber erlebte einen massiven DDoS-Angriff, der Informations- und Buchungssysteme störte. Unter der NIS2-Richtlinie drohen Betreibern kritischer Infrastrukturen Meldepflichten und erhebliche Bußgelder bei unzureichender Resilienz.


Heutige Zahlen

Kennzahl Wert
Microsoft Zero-Days 6
BeyondTrust CVSS 9.9
Französische Konten gehackt 1,2 Mio.
Deutsche Unternehmen von NIS2 betroffen 29.000
Tage bis NIS2-Frist 14

Heutige Prioritäten

  1. PATCHEN: BeyondTrust RS/PRA — Aktive Ransomware-Ausnutzung (CVSS 9.9)
  2. PATCHEN: Microsoft Februar-Patches — 6 Zero-Days werden aktiv ausgenutzt
  3. REGISTRIEREN: NIS2 BSI-Portal — ELSTER-Zertifikat HEUTE beantragen
  4. PRÜFEN: Mobile Sicherheitslage — PromptSpy stellt neue KI-Bedrohungsklasse dar
  5. BEWERTEN: Zugangsdaten-Management — Frankreich-Hack zeigt Single-Point-of-Failure-Risiko