Zestix und KI-Malware bedrohen Cloud-Backups weltweit

Cyberkriminelle kombinieren gestohlene Zugangsdaten mit künstlicher Intelligenz, um automatische Sicherungen in der Cloud zu plündern. Diese gefährliche Entwicklung bedroht Unternehmen und Privatnutzer gleichermaßen. Neue Berichte enthüllen das Vorgehen des Bedrohungsakteurs “Zestix” und zeigen, wie KI-gesteuerte Schadprogramme wie “PromptSteal” Cloud-Daten systematisch ausspähen.

Zestix: Die tickende Zeitbombe in Unternehmens-Clouds

Die Cybercrime-Intelligence-Firma Hudson Rock hat am Montag, dem 5. Januar 2026, alarmierende Details veröffentlicht. Der unter den Aliasen “Zestix” und “Sentap” agierende Akteur hat sich in russischsprachigen Dark-Web-Foren als zuverlässiger Initial Access Broker etabliert. Seine Spezialität: Die Versteigerung von Zugangsdaten zu Unternehmensportalen wie ShareFile, OwnCloud und Nextcloud.

Seine Methode wirkt wie eine tickende Zeitbombe. Zestix nutzt Logdateien von Infostealer-Malware, die teilweise Jahre zurückliegen. Während einige Zugangsdaten von kürzlich infizierten Geräten stammen, schlummerten andere unentdeckt in alten Datensätzen. Diese Technik umgeht traditionelle Sicherheitsmaßnahmen, die auf aktive Eindringversuche abzielen. Stattdessen nutzt Zestix gültige – wenn auch gestohlene – Anmeldedaten, um Cloud-Speicher mit automatischen Backups zu infiltrieren.

Laut Untersuchung versteigert Zestix aktuell Daten von rund 50 großen globalen Unternehmen aus Bereichen wie Luftfahrt, Robotik und Regierungsinfrastruktur. Der Bruch dieser Plattformen ist besonders brisant, da sie oft als zentrale Speicher für automatische Backups von Mitarbeiter-Smartphones und Arbeitsrechnern dienen. Angreifer erhalten so Zugriff auf historische Daten und geistiges Eigentum.

Passend zum Thema Cybersicherheit: Studien zeigen, dass viele Unternehmen auf neue KI-gestützte Angriffe nicht ausreichend vorbereitet sind — Cloud-Backups werden zunehmend zur Angriffsfläche. Ein kostenloses E‑Book erklärt praxisnah, wie Sie Ihre Cloud-Backup-Strategie, Multi-Faktor-Authentifizierung und BYOD-Richtlinien sofort härten können, welche Schutzmaßnahmen gegen KI-Malware sinnvoll sind und wie Sie ohne große Investitionen die Abwehr in der eigenen Organisation stärken. Jetzt kostenlosen Cyber-Security-Report herunterladen

KI-Malware: PromptSteal und MalTerminal lernen dazu

Die Bedrohung durch Akteure wie Zestix wird durch die technische Evolution der Schadsoftware noch verstärkt. Branchenexperten warnen vor einer neuen Klasse von KI-gesteuerter Malware, die große Sprachmodelle nutzt, um ihr Verhalten anzupassen und die Entdeckung zu vermeiden.

Analysen von Check Point Research und SentinelOne identifizierten spezifische Vertreter dieser neuen Generation: “PromptSteal” und “MalTerminal”. PromptSteal kann laut Berichten aus dem vierten Quartal 2025 Sprachmodelle abfragen, um Systembefehle dynamisch zu generieren. So erntet es sensible Dateien mit einer Präzision, die bisher von automatisierten Skripten unerreicht war. Statt auf fest codierte Anweisungen angewiesen zu sein, analysiert die Malware die Dateistruktur eines kompromittierten Systems – oder eines verbundenen Cloud-Backups – und ermittelt, welche Dateien die wertvollsten Daten enthalten.

SentinelOne beschreibt “MalTerminal” als frühes Beispiel für GPT-4-gesteuerte Malware, die Ransomware oder Reverse-Shell-Code zur Laufzeit erzeugen kann. Diese polymorphen Fähigkeiten machen signaturbasierte Erkennung nahezu obsolet, da der Schadcode sich selbst umschreiben kann, um Virenscanner zu umgehen. Die Verbindung dieser KI-Tools mit den Vertriebsnetzwerken von Akteuren wie Zestix schafft ein Szenario, in dem Malware nicht nur Zugangsdaten stehlen, sondern auch intelligent Cloud-Backup-Umgebungen durchsuchen und Daten exfiltrieren kann.

Mobile Schwachstellen und der SuperCard X-Zusammenhang

Während Zestix Unternehmensportale ins Visier nimmt, wächst die Gefahr für Smartphone-Nutzer durch parallele Entwicklungen bei mobiler Malware. Sicherheitsforscher verfolgen “SuperCard X”, eine ausgeklügelte Android-Malware-as-a-Service-Plattform. Diese nutzt NFC-Technologie, um Zahlungsdaten zu stehlen.

Die Schnittstelle von mobiler Malware und Cloud-Backups wird zum kritischen Schwachpunkt. Angreifer zielen zunehmend auf unverschlüsselte Backups von Messengern wie WhatsApp und systemeigene Cloud-Sicherungen (iCloud, Google Drive) ab. Kompromittiert ein Angreifer mit einem Infostealer die Haupt-Zugangsdaten eines Cloud-Kontos – eine von Zestix genutzte Taktik – kann er diese Smartphone-Backups herunterladen und entschlüsseln, ohne das physische Gerät je berührt zu haben.

Dieser “Cloud-First”-Angriffsvektor umgeht Sicherheitsmaßnahmen auf dem Gerät. Mit KI-Tools wie PromptSteal können Angreifer das Parsen dieser riesigen Backup-Dateien automatisieren und im großen Stil Zwei-Faktor-Authentifizierungscodes, Chat-Protokolle und Standortverläufe extrahieren. Die Risiken werden durch BYOD-Richtlinien (Bring Your Own Device) in vielen Unternehmen verstärkt, bei denen ein kompromittiertes persönliches Smartphone-Backup Unternehmenszugangsdaten enthalten kann – die dann zurück in das Zestix-Ökosystem eingespeist werden.

Gegenmaßnahmen und ein Wettlauf mit der Zeit

Die Cybersicherheitsbranche arbeitet unter Hochdruck an Abwehrmaßnahmen gegen diese KI-verstärkten Bedrohungen. Die Prognose von Google Cloud für 2026 sagte diese Entwicklung voraus: Bedrohungsakteure würden von experimentellem KI-Einsatz zu voll integrierten Operationen übergehen.

Als Reaktion rollen große Cloud-Anbieter “KI-Fallen” und defensive Agenten aus. Google führte kürzlich eine KI-gestützte Ransomware-Erkennung für Drive ein, die schnelle Dateiverschlüsselung oder verdächtige Änderungsmuster identifiziert. Doch defensive KI-Tools wie Hudson Rocks “CavalierGPT” – eine Plattform zur Analyse von Infostealer-Daten – befinden sich in einem Wettrüsten mit offensiver KI.

Experten prognostizieren, dass Malware mit dem Aufkommen von “agentischer KI” 2026 zunehmend autonom wird. Sie könnte dann eigenständig Entscheidungen über Datenexfiltration und Verschlüsselung treffen. Der Zestix-Bericht dient als deutliche Warnung: Die Kombination aus historischem Diebstahl von Zugangsdaten und hochmoderner KI-Malware hat die Fragilität automatischer Cloud-Backups offengelegt. Unternehmen sollten strikte Multi-Faktor-Authentifizierung durchsetzen, Zugangsdaten regelmäßig ändern und Cloud-Speicher nicht nur als Backup-Ziel, sondern als hochwertiges Angriffsziel betrachten, das aktive Verteidigung erfordert.

PS: Sie möchten Ihre Organisation konkret schützen gegen Angriffe wie von Zestix und KI-gesteuerte Schadsoftware? Dieses kostenlose E‑Book liefert eine priorisierte Checkliste für Awareness-Schulungen, technische Abwehrmaßnahmen und Sofortmaßnahmen für Cloud-Backup-Sicherheit — ideal für IT-Verantwortliche in KMU und Konzernen. Praktisch, schnell umsetzbar und kostenfrei. Jetzt gratis E‑Book zur Cyber-Security sichern