De opkomst van kunstmatige intelligentie (AI) verandert snel de manier waarop organisaties werken, software ontwikkelen en processen automatiseren. Tegelijkertijd biedt deze technologie ook nieuwe kansen voor cybercriminelen. Uit een onderzoek van Arctic Wolf blijkt dat AI inmiddels een vaste plaats heeft gekregen in de toolkit van aanvallers, wat directe gevolgen heeft voor de benadering van cybersecurity binnen organisaties.

Waar het ontwikkelen van malware enkele jaren geleden nog vooral was voorbehouden aan mensen met diepgaande programmeerkennis, kunnen nu ook minder ervaren cybercriminelen dankzij AI en Large Language Models (LLM’s) malware maken die daadwerkelijk inzetbaar is. Dit betekent niet dat AI volledig nieuwe aanvalstechnieken introduceert, maar wel dat de snelheid waarmee aanvallen worden voorbereid en uitgevoerd aanzienlijk is toegenomen. Taken die voorheen veel tijd en kennis vergden, zoals het schrijven van overtuigende phishingmails, het verzamelen van informatie over slachtoffers of het aanpassen van malware om detectie te ontwijken, worden nu geautomatiseerd en eenvoudiger uitgevoerd.

Cybercriminelen werken daarbij steeds vaker iteratief: ze starten met een eenvoudige proof of concept, testen deze en verbeteren hun code stap voor stap. AI versnelt dit proces, wat leidt tot een toename van het aantal malwarevarianten. Uit het onderzoek blijkt dat ongeveer 39% van de door Arctic Wolf geanalyseerde malwarevarianten op het moment van analyse niet werd herkend door signature-gebaseerde antivirusoplossingen, wat suggereert dat veel van deze varianten nieuw zijn en niet eenvoudig aan bestaande malwarefamilies kunnen worden gekoppeld. Daarnaast kon slechts een klein deel, circa 1,4%, direct worden gelinkt aan bekende cybercriminele groepen of gerichte aanvalscampagnes. Dit wijst erop dat een bredere groep aanvallers, die voorheen niet over de technische kennis beschikte om zelf malware te ontwikkelen, nu actief is.

AI speelt niet alleen een rol bij de ontwikkeling van malware, maar wordt ook steeds vaker geïntegreerd in de malware zelf. Er zijn steeds meer voorbeelden van malware die gebruikmaakt van API-koppelingen met AI-modellen. Deze toepassingen zijn voorlopig nog relatief eenvoudig, zoals het dynamisch genereren van phishingteksten of het automatisch aanpassen van berichten aan specifieke doelwitten. Toch wijzen deze ontwikkelingen erop dat malware zich in de toekomst beter kan aanpassen aan de omgeving waarin het actief is. Dit maakt detectie lastiger, zeker wanneer aanvallers AI inzetten om sneller te reageren op beveiligingsmaatregelen.

Ondanks de snelle ontwikkeling van AI laat AI-gegenereerde code vaak nog duidelijke sporen achter, zoals uitgebreide commentaarregels, gestructureerde takenlijsten, specifieke opmaakkenmerken of fragmenten van online onderzoek die onbedoeld in de code zijn achtergebleven. Voor securityteams zijn dit waardevolle signalen die helpen bij het herkennen van AI-gegenereerde malware en inzicht bieden in de werkwijze van aanvallers. Op basis van taalgebruik, programmeerstijl en andere kenmerken kunnen onderzoekers vaak onderscheid maken tussen verschillende groepen cybercriminelen.