Im Juni 2026 stießen Forscher auf eine macOS-Backdoor, die mehr tut als Daten zu stehlen und Fernzugriff zu ermöglichen. Sie nimmt ein neues Ziel ins Visier: KI-gestützte Analysewerkzeuge, die in der Malware-Triage immer häufiger eingesetzt werden. Die als „Gaslight“ bezeichnete Malware-Familie bettet 38 gefälschte Systemmeldungen direkt in die Binärdatei ein — als Prompt-Injection-Payload, der LLM-basierte Triage-Pipelines zum Abbruch oder zur Verweigerung ihrer eigenen Analyse bewegen soll. Der Fall zeigt: Angreifer betrachten inzwischen auch defensive KI-Infrastruktur als Angriffsfläche.
Das Praxisproblem: KI-Triage als vertrauenswürdige Instanz
Security-Teams nutzen zunehmend LLM-gestützte Werkzeuge, um neue Malware-Samples schneller einzuordnen. Diese Systeme lesen Binärstrings, dekompilierten Code, Verhaltensprotokolle und Metadaten und verdichten sie zu einer Analyse. Genau dort liegt das Risiko: Der gesamte Sample-Inhalt landet im Kontext des Sprachmodells — inklusive aller Strings, die ein Angreifer bewusst platziert hat.
Klassische Anti-Analyse-Techniken zielten vor allem auf Sandboxes. Malware erkennt virtuelle Umgebungen und stoppt oder verzögert ihre Ausführung. Gaslight setzt anders an. Die Malware attackiert nicht die Sandbox, sondern die Wahrnehmung des KI-Agenten, der die Analyseergebnisse interpretiert.
Technische Details: 38 gefälschte Systemmeldungen als Prompt-Injection-Kaskade
Entdeckt wurde Gaslight vom Forschungsteam von SentinelLabs. Die Analysten identifizierten eine in Rust kompilierte Mach-O-Binärdatei für macOS (arm64), die am 22. Mai 2026 auf VirusTotal hochgeladen wurde. Ein Apple-XProtect-Update Anfang Juni erfasste das Sample unter der Regel MACOS_BONZAI_COBUCH — einer Signaturfamilie, die SentinelLabs mit nordkoreanischer Bedrohungsaktivität in Verbindung bringt.
Der entscheidende Befund steckt in einem 3,5 KB großen, als Markdown formatierten Datenblock innerhalb der Binärdatei. Er enthält 38 gefälschte „Systemmeldungen“, strukturiert mit {{DATA}}-Platzhaltern und Markdown-Einfassungen. Die Meldungen imitieren das Prompt-Scaffolding, das LLM-basierte Triage-Systeme intern verwenden:
- Token-Ablauf-Warnungen („Refresh token logic seems flaky“)
- Out-of-Memory-Meldungen („Worker process killed by OOM killer“)
- Disk-Exhaustion-Hinweise („Logs are filling up disk space“)
- SQL-Injection-Alarme („Static analysis flagged this query“)
- JSON-Parse-Fehler („Unexpected token in JSON at position 0“)
- Build-Pipeline-Fehlermeldungen
Das Ziel ist nicht, die Malware vor einer Sandbox zu verbergen. Gaslight soll die KI-Analyse-Pipeline fehlleiten. Die gefälschten Meldungen sollen den LLM-Agenten dazu bringen, die eigene Session für fehlerhaft zu halten, die Analyse abzubrechen, zu truncieren oder die Auswertung des Samples zu verweigern.
SentinelLabs grenzt den Ansatz ausdrücklich von früheren Techniken ab. Check Point veröffentlichte 2025 einen Windows-Proof-of-Concept, der eine einzelne direkte Prompt-Injection zur Täuschung KI-basierter Erkennung nutzte. Socket dokumentierte einen Hades-Payload mit Fake-Prompt-Injection-Header. Der geleakte Shai-Hulud-Code enthielt einen „Anthropic Magic String“, der Claude Code von der Analyse abhalten sollte. Gaslight geht weiter: 38 aufeinanderfolgende Meldungen statt einer einzelnen Injektion. Damit steigt die Chance, dass mindestens eine davon den Agenten beeinflusst.
Vollständige Backdoor-Funktionalität hinter der Triage-Störung
Die Prompt-Injection ist nur ein Teil des Samples. SentinelLabs beschreibt eine vollständige Backdoor mit interaktiver Shell, Datensammlung und C2-Kommunikation über die Telegram-Bot-API. Die Kommunikation ist mit AES-GCM verschlüsselt und nutzt Certificate Pinning, um Netzwerk-Inspektion zu erschweren. Den Bot-Token übergibt die Malware erst zur Laufzeit; er ist nicht fest in der Binärdatei hinterlegt. Zusätzlich entfernt eine Self-Redaction-Routine den Token aus Log- und Crash-Ausgaben.
Die Datensammlung läuft über ein 6,6 KB großes, base64-kodiertes Python-Skript, das zur Laufzeit nachgeladen wird. Dafür lädt die Malware einen eigenständigen CPython-3.10.18-Interpreter aus dem Open-Source-Projekt astral-sh/python-build-standalone. Nach Angaben der Forscher war dieser Ansatz bislang nicht dokumentiert: ein Standalone-CPython-Build, der zur Laufzeit nachgeladen wird, statt ihn direkt in die Binärdatei einzubetten.
Gesammelt werden Browserdaten aus Chrome, Brave, Firefox und Safari, Terminal-Historien, App-Listen sowie eine Kopie des macOS-Login-Keychains. Für Persistenz sorgt ein LaunchAgent mit dem getarnten Label com.apple.system.services.activity.
Branchenkontext: Defensive KI wird zur Angriffsfläche
Gaslight steht nicht isoliert. Mit der breiten Einführung KI-gestützter Sicherheitswerkzeuge wächst der Anreiz, genau diese Systeme anzugreifen. Die Logik ist nüchtern: Wenn immer mehr Security-Teams KI-Triage nutzen, wird die Fähigkeit, diese Systeme zu täuschen, zu einem verwertbaren Vorteil.
Das Risiko reicht über Malware-Analyse hinaus. Der Grundmechanismus — feindliche Instruktionen in Daten einzubetten, die ein LLM verarbeitet — betrifft jede KI-Pipeline mit unstrukturierten oder halbstrukturierten Eingaben. Dazu zählen Incident-Response-Automatisierung, Phishing-Klassifikation, Log-Analyse, Alert-Triage und Threat-Intelligence-Aggregation. Jedes System, das Sample-Daten, Dokumente, Tickets, Webseiten oder Log-Einträge ungefiltert in den Modell-Kontext übernimmt, ist grundsätzlich anfällig für diese Angriffsklasse.
Konkrete Implikationen für Unternehmen
Für Unternehmen, die KI-gestützte Sicherheitswerkzeuge einsetzen oder deren Einführung planen, ergeben sich konkrete Aufgaben:
- *Trennung von Daten und Instruktionen.** Sample-Inhalte und andere externe Daten dürfen nicht als Instruktionen behandelt werden. Die Triage-Pipeline muss klare Trust-Boundaries ziehen: System-Prompts sind vertrauenswürdig, Sample-Daten nicht. Technisch erfordert das strikte Input-Klassifizierung, dedizierte Kontext-Fenster und Output-Validierung.
- *Redaktion und Filterung vor Modelleingabe.** Strings aus Binärdateien sollten vor der Übergabe an das LLM gefiltert werden — besonders Markdown-formatierte Blöcke, {{DATA}}-Tokens und strukturierte Meldungen, die System-Prompt-Scaffolding nachahmen. Das senkt nicht nur das Risiko einer Gaslight-Attacke, sondern auch anderer Prompt-Injection-Varianten.
- *Human-in-the-Loop bei kritischen Triage-Entscheidungen.** KI-Triage-Ergebnisse, die ein Sample als unbedenklich einstufen oder eine Analyse abbrechen, sollten nicht automatisch übernommen werden. Auffällige Abbrüche — vor allem mit Hinweisen auf Systemfehler oder Token-Probleme — sollten als mögliches Manipulationssignal gelten.
- *Detection-Signatur-Erweiterung.** Sicherheitsprodukte, die KI-Triage nutzen, sollten bekannte Prompt-Injection-Pattern in Sample-Daten als eigene Indikator-Klasse erfassen. 38 Systemmeldungen in einer Binärdatei sind ein stärkeres Signal als ein einzelner verdächtiger String.
Risiken und Limitierungen
SentinelLabs weist auf eine wichtige Einschränkung hin: SentinelOne hat nicht demonstriert, dass Gaslight eine funktionierende KI-Analyse-Plattform erfolgreich umgehen kann. Die Entdeckung zeigt, dass Angreifer das Konzept entwickeln und einsetzen — nicht, dass es zuverlässig wirkt. Zudem ordnen die Forscher das konkrete Sample nordkoreanischer Bedrohungsaktivität zu. Das spricht eher für einen fortgeschrittenen Akteur als für eine bereits breit verfügbare Technik.
Auch die Abwehr ist nicht trivial. Eine vollständige Trennung von Sample-Daten und System-Prompt ist architektonisch anspruchsvoll, gerade wenn die KI-Pipeline flexibel und kontextbezogen analysieren soll. Zu restriktive Filter können die Qualität der Triage verschlechtern. Unternehmen stehen damit vor einem klassischen Security-vs.-Usability-Trade-off.
Fazit
Gaslight zeigt, dass KI nicht nur Angreifern neue Möglichkeiten gibt. Auch defensive KI-Systeme lassen sich angreifen — und erste Akteure testen diese Schwäche bereits systematisch. Die 38 gefälschten Systemmeldungen sind ein Proof-of-Concept für eine Angriffsklasse, die relevanter wird, sobald KI-gestützte Triage zur Standardausrüstung in Security-Operations-Centern gehört. Unternehmen sollten Sample-Daten deshalb als adversarielle Eingaben behandeln, nicht als vertrauenswürdige Instruktionen. „Treat all input as hostile“ gilt für KI-Pipelines genauso wie für jede andere Verarbeitung unstrukturierter Daten.
