PROMPTFLUX: Die erste KI-malware mit Gemini-API und Folgen für die Wirtschaft

Wie verändert KI den Markt für Cyberkriminalität? Am 9. November 2025 berichten mehrere führende Fachmedien von Googles Entdeckung der experimentellen Malware PROMPTFLUX. Die bisher einzigartige Schadsoftware nutzt gezielt die Gemini-API von Google, um ihren eigenen Quellcode kontinuierlich selbst zu verschleiern und so Erkennungstechnologien auszuhebeln. Zu den direkt betroffenen Firmen zählt Google, da deren Gemini-Service für den Missbrauch instrumentalisiert wird. Für Anleger wirft das neue Bedrohungsszenario Fragen auf: Werden Anbieter von aktiver Cybersicherheit profitieren, während Cloud-Plattformen wie Google oder Microsoft unter erhöhtem Risiko stehen?

KI-malware: PROMPTFLUXs selbstmodifizierende Taktik

PROMPTFLUX ist kein gewöhnliches Schadprogramm. Die wichtigsten Erkenntnisse aus der heutigen Berichterstattung:

• Selbstmodifikation in Echtzeit: PROMPTFLUX ruft mit fest verdrahtetem API-Key stündlich den „gemini-1.5-flash-latest“-Endpunkt auf, überträgt spezifische Prompts und erhält maschinenlesbaren, neu obfuskierten VBScript-Code, den es sofort einsetzt. Dadurch entstehen metamorphe Malware-Kopien, die signaturbasierte Anti-Virus-Systeme umgehen.
• Persistenz und Verbreitung: Die neu erzeugten Skripte speichert PROMPTFLUX im Windows-Startup-Ordner und versucht, sich über Wechseldatenträger oder SMB-Freigaben im Netzwerk weiterzuverbreiten (The Hacker News).
• Prototyp-Status, aber richtungsweisend: Noch fehlt ein aktiver Exploit-Vektor, der tatsächliche Systemkompromittierungen ermöglichen würde. Die Codebasis enthält Funktionen, die aktuell auskommentiert sind. Google deaktivierte bereits verbundene Gemini-Assets, doch Experten warnen vor Nachahmern (Google Threat Intelligence).

Fallstudien zeigen: Ein weiteres, aus russischen Quellen stammendes Beispiel – das PROMPTSTEAL getaufte Malware-Tool – nutzt LLMs über Hugging Face, um im laufenden Angriff dynamische Systemkommandos zu erzeugen und Daten zu exfiltrieren. Damit wird ein Trend deutlich sichtbar, KI-gestützte generative Modelle aktiv als Werkzeug für die nächste Generation von Angriffen zu verwenden (Field Effect).

Sicherheitsexperten und Debatten zum Gefahrenpotenzial

Im Fach- und Wirtschaftsdiskurs gehen die Meinungen über das akute Bedrohungsszenario auseinander. Während Googles Security-Analysten PROMPTFLUX als frühen Vorboten eines tiefgreifenden technologischen Wandels sehen, betonen unabhängige Forscher wie Marcus Hutchins, dass der aktuelle Prototyp diverse Einschränkungen und fehlende Robustheit aufweist. Laut Hutchins kann Gemini zwar synthetisch Code erzeugen, beherrscht aber keine „instinktive“ Umgehung von Endpoint-Schutzmechanismen. Dennoch besteht Einigkeit darin, dass die Verbindung von LLMs und Malware langfristig einen Paradigmenwechsel für Security-Abteilungen bedeutet – klassische signaturbasierte Erkennung droht endgültig zu versagen.

• Adaptive AI als Angriffsverstärker
• Neu interpretierte Compliance-Anforderungen für Cloud Provider
• Erhöhte Nachfrage nach KI-basierten Abwehrsystemen

Google ergriff nicht nur technische Gegenmaßnahmen, sondern rät Unternehmen, KI-API-Aktivitäten im Netzwerk streng zu überwachen und Zugriffsrechte drastisch einzuschränken. Die Branche erlebt damit eine neue Ära der „Abwehr-gegen-Abwehr“: KI generiert und erkennt gleichzeitig die gleiche Malware-Variante – ein fortlaufendes Wettrüsten.

Wirtschaftliche Auswirkungen: Gewinner, Verlierer, Handlungsempfehlungen

Die kommerziellen Folgen der heutigen Entwicklung lassen sich klar skizzieren:

• Aktien von Cybersicherheitsanbietern wie Palo Alto Networks, CrowdStrike und SentinelOne profitieren vermutlich überdurchschnittlich, da Unternehmen massiv in lernfähige Detektionssysteme investieren müssen – Kaufempfehlung.
• Cloud-Anbieter wie Google, Amazon (AWS) und Microsoft könnten kurzfristig unter Druck geraten, da Missbrauchsfälle regulatorische Maßnahmen nach sich ziehen und Kunden Vertrauen verlieren. Halte- oder sogar Verkaufsempfehlung bei Unsicherheiten in einzelnen Regionen.
• Chiphersteller für KI-Beschleuniger (Nvidia, AMD) bleiben gefragt, denn der Bedarf an Rechenleistung wächst explosionsartig, auch im Bereich Security-Analyse.
• Klassische Antivirus-Anbieter ohne eigene KI-Expertise geraten zunehmend ins Hintertreffen – Verkaufen.

Makroökonomisch entstehen Vorteile für etablierte Security-Dienstleister durch wachsende Nachfrage nach adaptiven Lösungen, während kleinere IT-Dienstleister und weniger flexible Cloud-Provider Gefahr laufen, den Anschluss zu verlieren. Compliance- und Infrastrukturkosten werden steigen, mittelfristig aber durch innovationsgetriebene Lösungen kompensiert.

Prognose: Wie geht es mit PROMPTFLUX und der KI-basierten Malware weiter?

Auch wenn PROMPTFLUX bislang im Prototyp-Stadium verweilt, ist die zugrunde liegende Idee revolutionär und dürfte bald aktiv auf Angriffskampagnen übertragen werden. Folgende Entwicklungen zeichnen sich ab:

• Mehrstufige KI-Malware, die sich selbst und ihre Angriffsziele kontinuierlich weiterentwickelt
• Direktes Zusammenspiel von Cloud-LLMs, gehackten API-Zugängen und On-Premise-Malware
• Regulatorische Reaktionen auf KI-APIs und verpflichtende Missbrauchsüberwachung für Cloud-Dienste
• Anpassung der Verteidigungsmechanismen: KI-gestützte Erkennung und Response wird zum neuen Industriestandard

Für Anleger heißt das: Jetzt in Security- und KI-Infrastrukturfirmen investieren, das Exposure bei klassischen Anbietern ohne KI-Fokus sowie riskanten Cloud-Plattformen reduzieren. Die langfristigen wirtschaftlichen Gewinner sind die Unternehmen, die flexibel auf die neue Bedrohungslage reagieren und Innovation mit Compliance verbinden, während konservative Player das Nachsehen haben werden.