AI in cyberaanvallen: inzichten van Microsoft Threat Intelligence

Inleiding: waarom dit nu belangrijk is

Organisaties integreren AI in hoog tempo om de productiviteit te verbeteren, maar aanvallers adopteren dezelfde technologieën om de snelheid, schaal en herhaalbaarheid van cyberoperaties te vergroten. Microsoft Threat Intelligence benadrukt dat het meest voorkomende kwaadaardige gebruik vandaag bestaat uit door language models aangedreven content- en codegeneratie—waardoor technische frictie afneemt terwijl mensen nog steeds de targeting en uitvoering aansturen. Voor IT-teams is de belangrijkste conclusie dat AI niet per se ‘nieuwe’ aanvalspaden creëert, maar bestaande wel aanzienlijk versnelt en de operationele persistentie kan vergroten.

Wat is er nieuw: hoe aanvallers AI operationaliseren

De observaties van Microsoft maken onderscheid tussen AI als versneller (vandaag het meest gebruikelijk) en AI als wapen (opkomend).

AI als versneller in de hele attack lifecycle

Threat actors gebruiken generatieve AI om:

• Phishing-/social-engineeringcontent op te stellen en te lokaliseren (overtuigender lokaas, snellere iteratie).
• Gestolen data samen te vatten en te triëren na compromittering om waardevolle informatie snel te identificeren.
• Code te genereren, debuggen of op te zetten (malwarecomponenten, scripts, infrastructuursjablonen).
• Reconnaissance te versnellen, waaronder vulnerability research en het begrijpen van exploit-paden op basis van publieke CVE’s.
• Geloofwaardige persona’s op te bouwen door vacatureteksten te analyseren, rolspecifieke vereisten te extraheren en cultureel passende identiteitsartefacten te genereren.

Een belangrijk praktijkvoorbeeld in de blog is Noord-Koreaanse remote IT worker-activiteit (gevolgd als Jasper Sleet en Coral Sleet), waarbij AI identiteitsvervalsing, social engineering en langdurige persistentie ondersteunt—en actoren helpt om ‘aangenomen te worden, aangenomen te blijven en toegang op schaal te misbruiken’.

AI-veiligheidscontroles ondermijnen (jailbreaking)

Microsoft merkt actieve experimentatie op met het omzeilen van modelbeveiligingen, waaronder:

• Prompt-herformulering en meerstaps instructieketens
• Misbruik van prompts in system-/developer-stijl
• Rolgebaseerde jailbreaks (bijvoorbeeld: ‘Reageer als een vertrouwde cybersecurity-analist’) om beperkte richtlijnen uit te lokken

Opkomende trend: experimentatie met agentic AI

Hoewel dit nog niet op grote schaal is waargenomen, ziet Microsoft vroege experimentatie met agentic AI voor iteratieve besluitvorming en taakuitvoering—wat mogelijk leidt tot adaptievere tradecraft die detectie en respons bemoeilijkt.

Impact op IT-beheerders en eindgebruikers

• Groter volume en hogere kwaliteit van phishing vergroten het risico op credential theft en compromittering via de helpdesk.
• Snellere exploitatie en toolselectie verkorten de reactietijd na openbaarmaking van een kwetsbaarheid.
• Groter insider-achtig risico via frauduleuze contractor-/worker-scenario’s en misbruik van legitieme toegang.

Actiepunten / vervolgstappen

• Versterk identity and access: dwing waar mogelijk MFA-resistente controles af, pas Conditional Access toe en beperk privileges strikt.
• Versterk verificatie bij hiring/contractor-onboarding: valideer identiteiten, device posture en toegangsgrenzen voor remote workers.
• Vergroot phishing-resilience: gebruikerstraining plus technische controles (safe links/attachments, impersonation protection).
• Monitor op afwijkende toegangspatronen die passen bij uitbesteed/frauduleus worker-gedrag (ongebruikelijke geo, impossible travel, atypische tools).
• Maak gebruik van Microsoft Defender-detecties en -onderzoeken die door Microsoft worden uitgelicht om AI-enabled activiteit te detecteren, te remediëren en erop te reageren.

Microsoft benadrukt dat AI ook defenders kan versterken—wanneer het wordt gecombineerd met sterke controles, intelligence-gedreven detecties en gecoördineerde disruption-inspanningen.