Stell dir vor, du hast ein gutes Alarmsystem im Haus. Es erkennt zuverlässig, wenn jemand mit einem Werkzeug am Fenster hantiert.
Aber was passiert, wenn der Einbrecher sich während er durchs Haus läuft, immer wie jemand aussieht, den man vertraut?
Genau in diese Richtung entwickeln sich die aktuellen Schadcode-Varianten. Ein Beispiel ist PROMPTFLUX, das nicht als fertige Superwaffe ausgeliefert wird. Sondern anpassungsfähig und das in Echtzeit.
Doch was ist PROMPTFLUX überhaupt?
Laut Google Threat Intelligence Group (GTIG) wurde PROMPTFLUX Anfang Juni 2025 als experimenteller Dropper identifiziert. Ein Dropper ist vereinfacht gesagt ein „Anlieferer“: Er ist oft dafür da, etwas nachzuladen oder die Bühne für die eigentliche Schadsoftware vorzubereiten. Bei PROMPTFLUX ist jedoch nicht nur spannend, was er tut, sondern auch, wie er sich tarnt.
Die Googgle-TIG beschreibt PROMPTFLUX als VBScript-Schadcode, der während der Ausführung die Gemini-API abfragt, um konkrete Verschleierungs- und Ausweichtechniken zu erhalten und damit „Just-in-Time“, also im Moment des Angriffs, seine eigene Form zu verändern. Das Das heißt: er programmiert selbst. neu. und genauso. das die Detektion ihn nicht entlarven. kann.
Das ist ein großer Unterschied zur klassischen Verschleierung (Obfuskation): Früher hat der Angreifer einmal verschleiert und die Malware ausgeliefert. Nach einer Weile konnten Signaturen und Muster gelernt und die Malware erkannt werden. PROMPTFLUX dreht den Spieß um:
Wenn sich der Code immer wieder neu schreibt, wird „dieselbe“ Malware für statische Scanner jedes Mal zu etwas anderem.
„Just-in-Time“-Metamorphose: Warum das der Detektion wehtut
Viele Detektionsmechanismen leben (verkürzt) von Wiedererkennbarkeit:
- Hashes, Signaturen, YARA-Regeln
- bekannte Strings, Funktionsmuster und typische Code-Strukturen.
- bekannte Loader-Ketten und Artefakte.
PROMPTFLUX ist ein Versuch, diese Wiedererkennbarkeit zu unterlaufen. Dazu wird die Malware zur Laufzeit aufgefordert, ein LLM zu nutzen, um neuen, funktionsfähigen und obfuskierten VBScript-Code zu erzeugen. Google TIG nennt das „Thinking Robot“-Modul als besonders neuartigen Bestandteil, das Gemini regelmäßig nach neuem Code fragt, um die Erkennung durch Antivirus-Software zu umgehen.
Google-TIG beschreibt, dass der Dropper den neu erzeugten, obfuskierten Code im Startup-Ordner ablegt (Persistenz) und außerdem versucht, sich über Wechseldatenträger und Netzwerkfreigaben zu verbreiten.
Das heißt: Selbst wenn du den initialen Köder (Decoy) verstehst, hast du danach ein sich wandelndes Skript, das sich an typischen Orten einnistet und Verbreitungswege nutzt, die in vielen Umgebungen noch immer überraschend effektiv sind.
Google-TIG ist an dieser Stelle auffallend nüchtern: Die analysierten PROMPTFLUX-Samples seien eher in der Entwicklungs- bzw. Testphase. Außerdem zeige der aktuelle Stand nicht, dass die Malware bereits zuverlässig ein Netzwerk kompromittieren kann. Google habe Maßnahmen ergriffen, um eine solche Kommunikation mit Google KI-Modellen zu deaktivieren.
Eine lauffähige und relativ autonome Variante ist jedoch nicht mehr weit entfernt. Und sie passt leider sehr gut zu einem Trend, den viele SOCs bereits spüren: Signaturen und statische Muster liefern zwar weiterhin Wert, doch die „Trefferquote“ sinkt, sobald die Gegner dynamischer, schneller und variantenreicher werden.
Der Ausblick: Wenn „Detektion“ bedeutet das die bessere KI gewinnt, denn ein Mensch kann So schnell nicht mehr reagieren und entscheiden. Was ist zu tun?
Die Verteidigung muss also nachrüsten und es heißt: KI. vs. KI!
Selbst eine sehr gute Detektion ist am Ende „nur” die Fähigkeit, etwas zu bemerken. Sie verhindert nicht automatisch den Schaden. Wenn Angreifer ihre Werkzeuge zudem so bauen, dass sie sich ständig verändern, wird Detektion teurer. Und komplexer.
Das heißt jedoch nicht, dass wir Detektion aufgeben sollten – im Gegenteil. Aber wir sollten aufhören, sie als letzte Sicherheit zu betrachten.
In der Praxis bedeutet das:
Die Detektion muss verhaltensbasierter werden (Prozessketten, Skript-Interpreter-Missbrauch, ungewöhnliche Persistenz, verdächtige Netzwerkziele).
Egress- und API-Kontrollen werden wichtiger, denn wenn Malware externe KI-APIs nutzt, ist „Wer darf wohin funken?” plötzlich keine Netzwerkfrage mehr, sondern eine Sicherheitsgrundlage.
In den entscheidenden Stunden schlägt Resilienz Erkennung: Wenn es knallt, zählt nicht, ob du den Alarm zuerst hattest, sondern ob du den Betrieb sicher weiterführen oder kontrolliert herunterfahren kannst.
Der Teil, auf den man sich wirklich verlassen kann, ist: Notfallplanung für den Notbetrieb.
Und damit sind wir bei dem, was viele Organisationen jahrelang als „nice to have“ betrachteten. Notfallplanung.
Wenn deine Detektionssysteme künftig häufiger „vielleicht” statt „sicher” sagen, brauchst du einen Plan, der auch im Nebel funktioniert.
Welche Ziele hast du für den Notbetrieb?
Lieferfähigkeit, Produktion und Erreichbarkeit.
Welche Workarounds sind vorab getestet? (Ersatzarbeitsplätze, alternative Kommunikationskanäle, Offline-Handbücher)
Der entscheidende Punkt ist: Notfallplanung ist wichtiger denn je. Sie wird erst durch realitätsnahe Notfallübungen belastbar.
Fazit
PROMPTFLUX zeigt eine Richtung auf: Malware, die sich „Just-in-Time” von einem KI-Modell beim Neuschreiben helfen lässt, untergräbt klassische, statische Erkennungsmuster und erhöht die Geschwindigkeit, mit der Varianten entstehen. Das ist aktuell noch experimentell, als Konzept aber brandgefährlich.
Man muss seine Detektionssysteme zwar nicht abschalten, aber verlassen kann man sich darauf nicht mehr.
Wenn Sie sich auf eine Sache wirklich stützen wollen, dann ist es eine saubere Notfallplanung für den Notbetrieb plus regelmäßige IT-Notfallübungen. Das ist eine der wenigen Maßnahmen, die auch dann noch trägt, wenn das Erkennen plötzlich nicht mehr zuverlässig ist.