Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn

Angreifer nutzen zunehmend KI, um kritische Geschäftsressourcen zu kompromittieren, was eine gefährliche Entwicklung in der Bedrohungslandschaft signalisiert. Der AI Security Report 2025 von Check Point Research zeigt, wie Bedrohungsakteure KI für Deepfake-Imitation, automatisierte Malware-Erstellung, kompromittierte LLMs und generative Desinformationskampagnen einsetzen. Nach Kampagnen, die AI-Köder zur Verbreitung von CyberLock-, Lucky_Gh0$t- und Numero-Malware verwendeten, haben Cybersicherheitsforscher nun eine neue KI-basierte Bedrohung identifiziert. Diese hochentwickelte Malware, Koske genannt, wurde offenbar maßgeblich durch künstliche Intelligenz während ihrer Entwicklung unterstützt und unterstreicht die zunehmende Waffennutzung von KI in modernen Cyberangriffen.

Erkennung von Koske-Malware-Angriffen

Laut Netacea-Forschung gehen 93 % der Unternehmen davon aus, dass sie innerhalb des nächsten Jahres täglich KI-gesteuerten Angriffen ausgesetzt sein werden. Der Splunk State of Security 2025 Report enthüllt zudem, dass Sicherheitsverantwortliche sehen, wie Bedrohungsakteure generative KI einsetzen, um die Effektivität bestehender Angriffe zu erhöhen (32 %), ihr Volumen zu steigern (28 %), völlig neue Angriffsmethoden zu entwickeln (23 %) und Aufklärungsmaßnahmen durchzuführen (17 %). Diese Erkenntnisse zeigen das wachsende Potenzial von KI als offensives Werkzeug, wobei weitere schädliche Varianten wie Koske erwartet werden.

Registrieren Sie sich auf der SOC Prime Plattform, um von den defensiven KI-Fähigkeiten zu profitieren und Koske-Malware-Angriffe bereits in den frühen Entwicklungsstadien zu erkennen. Die Plattform bietet aktuelle Threat Intelligence und umsetzbare Detection-Inhalte, unterstützt durch eine vollständige Produktsuite für KI-gestützte Detection Engineering, automatisierte Threat Hunting und fortgeschrittene Bedrohungserkennung. Klicken Sie auf die Schaltfläche Detektionen Erkunden, um Zugriff auf die kuratierte Regel-Sammlung für die Erkennung von Koske-Aktivitäten zu erhalten, oder nutzen Sie das Tag „Koske“ im Threat Detection Marketplace.

Detektionen erkunden

Alle Detektionen sind mit mehreren SIEM-, EDR- und Data-Lake-Lösungen kompatibel und auf das MITRE ATT&CK® Framework abgebildet. Darüber hinaus enthält jede Regel detaillierte Metadaten, einschließlich Threat-Intel-Referenzen, Angriffstimeline, Triage-Empfehlungen und mehr.

Darüber hinaus können Sicherheitsexperten die Bedrohungsanalyse mit Uncoder AI optimieren, einer privaten IDE und einem Co-Pilot für threat-informed Detection Engineering. Generieren Sie Detection-Algorithmen aus Rohdaten, führen Sie schnelle IOC-Scans durch, prognostizieren Sie ATT&CK-Tags, optimieren Sie Query-Code mithilfe von KI-Tipps und übersetzen Sie ihn in mehrere SIEM-, EDR- und Data-Lake-Sprachen. So können Sicherheitsteams beispielsweise die Erkenntnisse aus der Aqua Nautilus-Forschung nutzen, um mithilfe der aktualisierten Uncoder-AI-Funktionalität einen Attack Flow v3 zu erstellen, unterstützt durch RAG und MITRE ATT&CK® v17.1.

Analyse der Koske-Linux-Malware

KI läutet eine neue Welle von Cyberbedrohungen ein, da Angreifer sie nutzen, um ihre Taktiken zu verfeinern und massiv zu skalieren. Gleichzeitig wird KI zu einem Eckpfeiler moderner Verteidigungsstrategien. Die Zukunft der Cybersicherheit wird davon abhängen, wie effektiv KI mit anderen aufkommenden Technologien integriert wird. Dennoch innovieren Bedrohungsakteure kontinuierlich und finden neue Wege, KI zu ihrem Vorteil auszunutzen.

Forscher von Aqua Nautilus haben kürzlich eine neue Angriffskampagne entdeckt, die eine fortschrittliche Linux-Bedrohung mit ausgefeilten Erkennungsausweichtechniken verwendet – ein klares Zeichen dieser besorgniserregenden Entwicklung. Koske ist eine neue, KI-generierte Linux-Malware, die für Kryptowährungs-Mining entwickelt wurde. Die adaptiven Fähigkeiten deuten darauf hin, dass sie mit Hilfe von LLMs oder Automatisierungsframeworks entwickelt wurde. Koske installiert CPU- und GPU-optimierte Miner, um kompromittierte Systeme zum Mining von mehr als 18 verschiedenen Coins auszunutzen. Mit modularen Payloads, stealthigen Rootkits und der Verbreitung über weaponisierte Bilddateien repräsentiert Koske eine neue Generation persistenter, hochgradig anpassungsfähiger Malware. Forscher beobachteten die Verteilung über falsch konfigurierte JupyterLab-Umgebungen.

Die Infektionskette beginnt mit dem Missbrauch eines falsch konfigurierten JupyterLab-Servers, wodurch Angreifer Backdoors installieren und zwei JPEG-Bilder über verkürzte URLs herunterladen können. Diese sind Polyglot-Dateien, die bösartigen Code am Ende enthalten und direkt im Speicher ausgeführt werden, um Antiviren-Tools zu umgehen. Eine Payload ist C-Code, der in ein Rootkit kompiliert wird, während die andere ein Shell-Skript ist, das unauffällig Systemtools nutzt, um persistente Präsenz zu wahren.

Der Erstzugriff stammt von einer serbischen IP (178.220.112.53). Nach dem Eindringen setzen Angreifer KI-gestützte Ausweich- und Persistenztechniken ein, darunter das Hijacking von Shell-Konfigurationen durch Änderung von .bashrc und .bash_logout, Manipulation des Systemstarts über /etc/rc.local und benutzerdefinierte systemd-Dienste sowie das Einplanen von Cron-Jobs. Die Payloads sind in Dual-Use-Bildern versteckt, die auf legitimen Plattformen gehostet werden. Diese Polyglot-Dateien missbrauchen harmlose JPEGs von Pandabären als Köder, wobei bösartiger Shellcode an Bilddaten angehängt wird, was die Erkennung extrem erschwert.

Eine sekundäre Payload aus einem Pandabild enthält rohen C-Code für ein Userland-Rootkit, das die readdir()-Funktion über den LD_PRELOAD-Mechanismus kapert. Dieses Rootkit verbirgt Dateien, Verzeichnisse und Prozesse, indem es Einträge anhand bestimmter Namen filtert und eine PID aus /dev/shm/.hiddenpid verwendet. Durch das Abfangen von Verzeichnislisten aus Tools wie ls, ps oder top werden bösartige Komponenten unsichtbar. Wird es über LD_PRELOAD oder /etc/ld.so.preload geladen, ermöglicht es eine heimliche Persistenz und forensische Ausweichung.

Koske manipuliert aktiv Netzwerkeinstellungen, setzt Proxy-Variablen zurück, löscht iptables-Regeln, erzwingt Cloudflare-/Google-DNS und sperrt Änderungen mit chattr +i, um eine ununterbrochene C2-Kommunikation zu gewährleisten und DNS-Schutz zu umgehen. Die Malware unterstützt 18 Kryptowährungen, setzt CPU-/GPU-optimierte Miner basierend auf Hardwareerkennung ein und wechselt automatisch zu alternativen Coins oder Pools, wenn einer ausfällt.

Die ausführlichen Kommentare, modulare Best-Practice-Logik und verschleierte serbische Syntax des Skripts deuten auf eine LLM-gestützte Entwicklung hin, die absichtlich generisch wirkt, um Analyse und Attribution zu erschweren. Empfohlene Koske-Maßnahmen umfassen die Überwachung unautorisierter Bash-Änderungen, DNS-Umschreibungen, neuer systemd-Dienste und anomaler GPU-/CPU-Nutzung. Darüber hinaus sind Container-Schutzmaßnahmen zur Blockierung von Polyglot-Payloads, die Verhinderung der Rootkit-Injektion und verstärkte Netzwerksicherheit notwendig. Schließlich sollten Sicherheitsteams KI-gestützte Anomalieerkennung einsetzen, um Skripte mit LLM-typischen Merkmalen wie ausführlichen Kommentaren und modularer Struktur zu identifizieren.

Koske markiert einen alarmierenden Meilenstein in der Malware-Evolution: automatisiert, stealthy, persistent und KI-gestützt. Um mit diesem eskalierenden Wettrüsten Schritt zu halten, müssen Organisationen verhaltens- und kontextbasierte Sicherheitsmaßnahmen einführen, um moderne Linux-Umgebungen zu schützen. SOC Prime bietet eine umfassende Produktsuite, die KI-Expertise, Automatisierung, Echtzeit-Threat-Intelligence und weitere fortschrittliche Funktionen kombiniert, damit Unternehmen hochentwickelte Cyberangriffe proaktiv abwehren können.