Die beiden Co-Gründer von Dream Shalev Hulio (l.) Sebastian Kurz (r.) sprechen von einem Durchbruch bei der Nutzung von KI.Dream/Hulio und Kurz

Ein Befreiungsschlag der Maschine: Das KI-Security-Start-up Dream (Tel Aviv/Abu Dhabi/Wien) hat eine gesteuerte Cyber-Spionage aus dem Umfeld des iranischen Geheimdienstes (MOIS) aufgedeckt. Ziel: Botschaften, Konsulate und internationale Organisationen rund um den Globus. Der Coup gelang nicht mit Heerscharen von Analysten – sondern mit einem Cyber-Language-Model (CLM), also einer auf Cybersicherheitsdaten trainierten KI.

Start über die omanische Botschaft in Paris

Im August 2025 kompromittierten die Angreifer der Gruppe „HomeLand Justice“ das E-Mail-Konto der omanischen Botschaft in Paris. Von dort versandten sie täuschend echte Schreiben an diplomatische Postfächer weltweit – versehen mit präparierten Dokumenten. Zweck: sensible Informationen abziehen und Vertrauen im diplomatischen Verkehr untergraben.

Timing: Mitten in Waffenstillstandsgesprächen

Auffällig: Der Angriff fiel zeitlich exakt mit Waffenstillstandsgesprächen in Kairo zusammen, an denen Ägypten, Katar, die USA und Israel beteiligt waren. Allein an einem Tag gingen mehr als  hundert manipulierte Mails raus. Die Hacker nutzten gezielt die angespannte Lage, um ihre Operation unauffällig in den diplomatischen Austausch einzuschleusen.

Laut Kurz (Bild) hat eine neue Phase der Cyber-Sicherheit begonnen. KI kann mehr als jeder Mensch.APA/ERWIN SCHERIAU

So flog die Operation auf – durch KI

Dream analysierte die Attacke mit Hilfe seines Cyber Language Models (CLM), das speziell auf Cybersicherheitsdaten trainiert ist. Autonome KI-Agenten scannten das Darknet, erkannten Zusammenhänge, deckten die eingesetzte Infrastruktur auf und führten die Spur bis zu iranischen Akteuren zurück.

„Erstmals konnte eine staatliche Cyber-Kampagne vollständig durch KI aufgedeckt werden“, sagt Mitgründer Shalev Hulio. Ex-Kanzler Sebastian Kurz spricht von einem Wendepunkt: „KI-Systeme können komplexe Bedrohungen in großem Umfang und rasantem Tempo erkennen. Das übersteigt die menschlichen Fähigkeiten und wird dadurch immer mehr die Art und Weise verändern, wie sich Länder, Regierungen und Institutionen sich in einer zunehmend unsicheren Welt verteidigen müssen.“

Vorgehen der Hacker

Die Täter nutzten kompromittierte Regierungsadressen als Tarnung, Makro-Malware zum Auslesen von Systemdaten (verschlüsselt an Command-Server), sowie VPN-Knoten u. a. in Jordanien um ihre Herkunft zu verschleiern. Laut technischem Bericht zielte die Kampagne breit – auf den Nahen Osten, Europa, die USA, Afrika sowie internationale Organisationen (inkl. UNO).

Schon 2022 trat „HomeLand Justice“ als iranische Front bei den Attacken auf Albaniens Regierung auf; US-Behörden ordneten die Kampagne dem iranischen Apparat zu. Auch 2025 warnten Security-Analysten bereits vor iranischen Spear-Phishing-Offensiven gegen Diplomaten.

Die Spielregeln der digitalen Diplomatie könnten sich verändern, wenn KI Offensiven erkennt, bevor Menschen sie zusammensetzen können.