Onderzoekers van Google stellen vast dat aanvallers AI gebruiken over zowat de hele aanvalsketen. Bestaande aanvallen worden ermee verbeterd, maar nieuwe AI-gedreven dreigingen blijven uit.
Aanvallers gebruiken generatieve AI steeds vaker als versneller in bijna elke stap van de aanvalsketen. Dat stelt de Google Threat Intelligence Group (GTIG) in een rapport over wat het team in het laatste kwartaal van 2025 in het wild zag. AI maakt volgens GTIG bestaande tactieken efficiënter en geloofwaardiger, maar de onderzoekers zien op dit moment nog geen fundamenteel nieuwe, AI-gedreven cyberaanvallen die het dreigingslandschap op zijn kop zetten.
Sneller onderzoek en meer gerichte phishing
Een LLM helpt bijvoorbeeld om sneller profielen op te bouwen van mogelijk doelwitten. AI versnelt verschillende stappen: organisatiestructuren samenvatten, hiërarchieën en beslissingsnemers identificeren en lijsten met doelwitten verfijnen. GTIG beschrijft hoe criminelen AI misbruikten om gevoelige accountinformatie en e-mailadressen te verzamelen en kort daarna diezelfde doelwitten in phishingcampagnes te verwerken.
Die phishingcampagnes worden realistischer, ook op grote schaal. Slechte grammatica en vreemde zinsbouw waren lang bruikbare alarmsignalen. Volgens GTIG gebruiken aanvallers LLM’s nu net om die zwaktes weg te werken: hypergepersonaliseerde, cultureel kloppende lokmiddelen aken hun opwachting.
De onderzoekers van Google zien ook hoe AI helpt bij semi-gepersonaliseerde phishing. Bij zogenaamde rapport-building-phishing, helpt een model helpt om geloofwaardige, meerstaps gesprekken te voeren vóór er een payload volgt. Zo krijgt het doelwit vertrouwen in de ‘gesprekspartner’, om in een later stadium verleid te worden tot klikken.
Helpdesk
GTIG ziet AI ook (en nog steeds) een rol spelen in coderen en bugs oplossen. AI kan readme’s samenvatten, scripts debuggen, code vertalen en testplannen opstellen voor kwetsbaarheden. Daarnaast zijn er experimenten met malware die AI inzet voor codegeneratie (zoals een downloader die via een API stage two-functionaliteit laat uitschrijven) en phishingkits die vermoedelijk sneller gebouwd zijn met AI-codehulp en moderne webframeworks.
Wat GTIG vaststelt, hoeft eigenlijk niet te verrassen. Criminelen zetten AI op dezelfde manier in als legitieme werknemers. De technologie helpt om informatie samen te vatten, mails op te stellen en code te schrijven. Dat geldt zowel voor werknemers als voor hackers.