NWRI -Googles Threat Intelligence Group (GTIG) hat das klerikale Regime im Iran als führenden staatlichen Akteur beim Missbrauch seines KI-gestützten Assistenten Gemini für Cyber- und Informationskriegsführung identifiziert. Laut dem am 29. Januar 2025 veröffentlichten Bericht waren von der iranischen Regierung unterstützte Cyberakteure für 75 % aller identifizierten böswilligen Nutzungen mit Gemini verantwortlich und übertrafen damit andere Staaten wie China, Russland und Nordkorea bei weitem.
Der Bericht von Google enthüllt, dass über 10 iranische Cyber-Gruppen Gemini für eine Reihe feindseliger Aktivitäten genutzt haben, darunter für Phishing-Kampagnen, Aufklärung von Verteidigungsorganisationen, Schwachstellenforschung und Social Engineering-Taktiken.
Unter diesen Gruppen war APT42, eine gut dokumentierte iranische Cyber-Spionageeinheit, die aktivste und trug zu 30 % der KI-gesteuerten Cyber-Bedrohungen Irans bei. Die Gruppe nutzte Gemini hauptsächlich zum Verfassen von Phishing-E-Mails, zur Aufklärung von Verteidigungsexperten und zur Erstellung von Inhalten zum Thema Cybersicherheit.
Iranische APT-Akteure (Advanced Persistent Threat) nutzten Gemini auch aus, um nach Möglichkeiten zu suchen, vertrauliche Daten von Android-Geräten zu extrahieren, darunter SMS-Nachrichten, Kontoanmeldeinformationen und Social Media-Kontakte. Das KI-Tool wurde außerdem zur Entwicklung und zum Debuggen von Malware, zur Änderung des Assemblercodes und zur Untersuchung öffentlich bekannter Schwachstellen eingesetzt.
Über Cyberangriffe hinaus haben staatsnahe iranische Akteure Gemini genutzt, um Informationen zu manipulieren und Online-Einflussoperationen durchzuführen. Die im Iran ansässigen Informationsoperationsgruppen (IO) machten 75 % aller KI-gestützten Desinformationsaktivitäten aus und nutzten Gemini für die Erstellung, Übersetzung, Lokalisierung und Propagandaverbreitung von Inhalten.
Laut GTIG beschäftigten sich iranische IO-Akteure damit, „Artikel zu generieren, Texte mit spezifischen politischen Tönen umzuschreiben und Inhalte für maximale Reichweite zu optimieren“. Einige Gruppen suchten auch nach SEO-optimierten Inhalten, um Suchrankings zu manipulieren, während andere Gemini baten, schlagzeilenträchtige Videobeschreibungen und Hashtags zu erstellen, die für Regime-Narrative werben.
Die Ergebnisse von Google deuten auch darauf hin, dass iranische APT-Akteure Gemini nutzten, um Informationen über militärische Ziele und Kriegstechnologien zu sammeln.
APT42 suchte beispielsweise nach KI-gestützten Erklärungen zu US-amerikanischen Luft- und Raumfahrtverteidigungssystemen, erforschte israelische Raketenabwehrmechanismen und untersuchte Anti-Drohnen Technologien. Darüber hinaus erforschten andere iranische Gruppen Satellitenstörtechniken und Methoden der elektronischen Kriegsführung.
Dem Bericht zufolge nutzten iranische Akteure KI sowohl für Cyber-Angriffe als auch für Einflussnahmeoperationen am umfassendsten und aggressivsten, was darauf hindeutet, dass Teheran sich zunehmend auf KI verlässt, um seine Cyber-Kriegsführungsfähigkeiten und Online-Desinformationskampagnen zu erweitern.
Google schrieb, dass die Sicherheitsmechanismen von Gemini die Generierung komplett bösartiger Inhalte wie voll funktionsfähiger Malware oder Phishing-Toolkits verhinderten. Allerdings versuchten iranische Bedrohungsakteure, Sicherheitsfilter mithilfe öffentlich zugänglicher Jailbreak-Eingabeaufforderungen zu umgehen.
Trotz dieser Bemühungen betont Google, dass seine KI-Modelle nach wie vor resistent gegen direkte Ausbeutung sind, da eingebaute Schutzmaßnahmen die Fähigkeit von Gemini, schädliche Ergebnisse zu erzeugen, einschränken.
Der Bericht hebt die wachsende Abhängigkeit des Regimes von KI für die Cyberkriegsführung und Informationskontrolle hervor, was eine ernsthafte Herausforderung für die globale Cybersicherheit darstellt. Da iranische APT-Akteure bei der Nutzung von KI führend sind, steigt das Potenzial für KI-gestützte Cyberbedrohungen, Spionage und staatlich geförderte Desinformation.
Die Ergebnisse von Google deuten auch darauf hin, dass das iranische Regime zunehmend KI in seinen Cyber- und Geheimdienstapparat integriert, was es für Regierungen, Technologieunternehmen und Sicherheitsbehörden zwingend erforderlich macht, die KI-Sicherheitsrahmen zu verbessern und aufkommenden KI-gesteuerten Bedrohungen entgegenzuwirken.