AI verandert in rap tempo de manier waarop organisaties opereren, software ontwikkelen en processen automatiseren. Maar dezelfde technologie die bedrijven efficiënter maakt, biedt ook nieuwe mogelijkheden voor cybercriminelen. Uit recent onderzoek van Arctic Wolf blijkt dat AI inmiddels een vaste plek heeft in de toolkit van aanvallers. Dat heeft directe gevolgen voor hoe organisaties naar cybersecurity moeten kijken.
Nog maar enkele jaren geleden was het ontwikkelen van malware vooral weggelegd voor mensen met diepgaande programmeerkennis. Dat ligt nu anders. Dankzij AI en Large Language Models (LLM’s) kunnen ook minder ervaren cybercriminelen malware ontwikkelen die daadwerkelijk inzetbaar is.
Dat betekent overigens niet dat AI ineens volledig nieuwe aanvalstechnieken mogelijk maakt. Wat wel verandert, is de snelheid waarmee aanvallers te werk gaan. Taken die voorheen veel tijd, kennis en handmatig werk vereisten, zoals het schrijven van overtuigende phishingmails, het verzamelen van informatie over mogelijke slachtoffers of het aanpassen van malware om detectie te omzeilen, worden nu geautomatiseerd en zijn eenvoudiger uit te voeren. Cybercriminelen werken hierbij steeds vaker iteratief. Ze beginnen met een eenvoudige proof of concept, testen de resultaten en verbeteren hun code stap voor stap. AI versnelt dit proces aanzienlijk, met een toename van het aantal malwarevarianten als gevolg.
De opkomst van nieuwe malwarevarianten
Uit onderzoek blijkt dat cybercriminelen steeds vaker nieuwe malware inzetten. Zo werd ongeveer 39% van de door Arctic Wolf geanalyseerde malwarevarianten op het moment van analyse niet herkend door antivirusoplossingen op basis van signatures, wat suggereert dat veel van deze varianten nieuw zijn en niet eenvoudig kunnen worden gekoppeld aan bestaande malwarefamilies.
Opvallend is daarnaast dat slechts een klein deel van de onderzochte malware, ongeveer 1,4%, direct kon worden gekoppeld aan bekende cybercriminele groepen of gerichte aanvalscampagnes. Het grootste deel lijkt afkomstig van een veel bredere groep aanvallers die voorheen niet over de technische kennis beschikten om zelf malware te ontwikkelen.
Het dreigingslandschap verandert daardoor. Cybercriminaliteit wordt steeds minder gedomineerd door een relatief kleine groep gespecialiseerde aanvallers. Dankzij AI krijgen steeds meer cybercriminelen toegang tot geavanceerde middelen, ongeacht hun technische achtergrond.
AI wordt onderdeel van moderne malware
AI speelt niet alleen een rol tijdens de ontwikkeling van malware. Steeds vaker zien onderzoekers aanwijzingen dat AI ook rechtstreeks wordt geïntegreerd in malware zelf. Zo worden er steeds meer voorbeelden gevonden van malware die gebruikmaakt van API-koppelingen met AI-modellen.
Voorlopig zijn deze toepassingen nog relatief eenvoudig. Denk bijvoorbeeld aan het dynamisch genereren van phishingteksten of het automatisch aanpassen van berichten aan een specifiek doelwit. Toch wijzen verschillende ontwikkelingen erop dat malware zich in de toekomst beter zal kunnen aanpassen aan de omgeving waarin het actief is.
Zodra malware steeds beter in staat is om zich aan te passen aan systemen, gebruikers en securitymaatregelen, wordt detectie een grotere uitdaging. Zeker als aanvallers AI ook inzetten om sneller te reageren op verdedigingsmechanismen.
Hoe AI-gegenereerde malware herkenbaar blijft
Ondanks de snelle ontwikkeling van AI laat AI-gegenereerde code vaak nog duidelijke sporen achter. Denk aan opvallend uitgebreide commentaarregels, gestructureerde takenlijsten, specifieke opmaakkenmerken of fragmenten van online onderzoek die onbedoeld in de code zijn achtergebleven.
Voor securityteams zijn dit waardevolle signalen. Ze helpen niet alleen bij het herkennen van AI-gegenereerde malware, maar bieden ook inzicht in de werkwijze van aanvallers. Op basis van taalgebruik, programmeerstijl en andere kenmerken kunnen onderzoekers vaak onderscheid maken tussen verschillende groepen cybercriminelen.
Een goed voorbeeld hiervan is DeepSeek R1. Na de introductie van dit model begin 2025 nam het aantal gerelateerde malwarevarianten merkbaar toe. Dat laat zien hoe snel nieuwe AI-technologieën worden opgenomen door cybercriminelen.
Cybercriminelen leren sneller dankzij AI
Desondanks werkt niet iedere AI-gegenereerde malwarevariant direct zoals bedoeld. Sommige van de onderzochte varianten waren onvolledig of werkten helemaal niet. Toch zijn juist deze voorbeelden interessant. Ze laten namelijk zien hoe cybercriminelen leren. Door voortdurend nieuwe prompts te gebruiken, resultaten te testen en code aan te passen, ontwikkelen ook minder ervaren aanvallers uiteindelijk werkende malware. AI maakt het daarbij makkelijker om een aanvalsidee werkelijkheid te maken.
De grenzen van AI: gedrag blijft zichtbaar
Toch moeten de voordelen van AI voor aanvallers in perspectief worden geplaatst. Uiteindelijk moet voor een succesvolle malware-aanval bepaalde acties worden uitgevoerd. Denk aan het verkrijgen van persistente toegang, het communiceren met command-and-control-servers of het uitvoeren van scripts en systeemcommando’s.
Juist die activiteiten laten sporen achter. En dat blijft een belangrijk voordeel voor verdedigers. Ongeacht of malware handmatig is geschreven of met behulp van AI tot stand is gekomen, blijft het gedrag ervan zichtbaar binnen systemen en netwerken. Met andere woorden: de code mag dan veranderen, veel van de onderliggende aanvalspatronen blijven herkenbaar.
Gelaagde beveiliging blijft essentieel
Daarom blijft een gelaagde securitystrategie belangrijk. Traditionele detectie op basis van signatures vormt nog altijd een belangrijke eerste verdedigingslinie voor het snel herkennen van bekende dreigingen.
Tegelijkertijd wordt gedragsanalyse steeds belangrijker. Daarmee kunnen nieuwe of snel veranderende malwarevarianten worden opgespoord op basis van verdacht gedrag, zoals afwijkende processen, ongebruikelijke netwerkverbindingen of onverwacht systeemgedrag.
Machine learning speelt ook hierin een steeds grotere rol. Door grote hoeveelheden telemetriedata te analyseren, kunnen patronen worden ontdekt die met afzonderlijke detectieregels lastig te detecteren zijn.
Geen enkele technologie biedt op zichzelf voldoende bescherming. Juist de combinatie van verschillende detectiemethoden zorgt voor een weerbare securitystrategie die bestand is tegen dreigingen.
Voor organisaties die niet beschikken over de middelen om een dergelijke aanpak zelf op te zetten en te beheren, kunnen gespecialiseerde securitypartners uitkomst bieden. Zij combineren expertise, operationele capaciteit, dreigingsinformatie en AI-gestuurde technologie om aanvallen sneller te detecteren en organisaties beter te beschermen.
Evolutie, geen revolutie
De ontwikkelingen rondom AI maken één ding duidelijk: het cyberdreigingslandschap verandert en het aantal cyberdreigingen zal alleen maar toenemen. Organisaties zouden daarom moeten inzetten op hun vermogen om verdacht gedrag tijdig te herkennen, de juiste context te begrijpen en snel te reageren wanneer dat nodig is. De meest effectieve verdediging tegen AI-gestuurde dreigingen is en blijft een geïntegreerde securitystrategie die zichtbaarheid, context en analyse combineert over alle relevante systemen heen. In combinatie met sterke cyberhygiëne, bewustwording en training vormt dat nog altijd de basis voor duurzame cyberweerbaarheid.
Lees ook: Anubis-ransomware misbruikt CitrixBleed 2 en RMM-tools