In einem gemeinsamen, internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz (KI) Schlüsselpersonen in der digitalen Unterwelt. Sophos wird die Ergebnisse für die Bedrohungsanalyse in der Sophos Counter Menace Unit (CTU) nutzen.
Schlüsselakteure systematisch erkennen
Kriminelle Internetforen bieten umfangreiche Einblicke in Bedrohungen und Schwachstellen. Das Staff der Sophos Counter Menace Unit (CTU) wertet solche Quellen bereits manuell aus. Ziel des gemeinsamen Projekts warfare es, diese sehr aufwendige Auswertung von Darknet-Foren durch automatisierte Analysen zu ergänzen und zentrale Akteure des Cybercrime-Ökosystems in kriminellen Darknet-Foren systematisch aufzuspüren.
Datenbasis & Methodik
Das Forschungsteam sammelte mithilfe der Menace-Intelligence-Plattform von Flare über 11.000 Beiträge von 4.441 Nutzern aus 124 E-Crime-Foren (Zeitraum: 2015–2023). Aus den Beiträgen wurden über 6.000 Sicherheitslücken (CVEs) extrahiert. Diese wurden für die Erstellung eins bimodalen sozialen Netzwerks mit Angriffsmustern (CAPECs) des MITRE-Requirements verknüpft, um zu erkennen, welche Nutzer sich besonders intensiv und fachlich mit bestimmten Angriffstechniken auseinandersetzen.
Drei Merkmale standen im Fokus: technische Kompetenz, thematische Fokussierung und Aktivitätsmuster. Die Forschenden kombinierten sozialwissenschaftliche Methoden – darunter ein Klassifikationsmodell aus der Kriminologie – mit sozialen Netzwerkanalysen und Neighborhood-Clustering-Algorithmen. So konnten sie Nutzer nach ihrem technischen Know-how, ihrer Aktivität und ihrer thematischen Spezialisierung gruppieren.
Nur wenige „stille Experten“
Das Ergebnis: Nur 14 von 359 detailliert untersuchten Darkish-Internet-Nutzern erfüllten die Kriterien für die Einstufung als hochqualifizierte Schlüsselakteure („Professionals“) mit tiefem Know-how, klarer Spezialisierung und langfristiger Präsenz. Diese zeichneten sich durch hohes technisches Können (z. B. im Umgang mit komplexen Angriffsmethoden), gezielte Beteiligung an spezialisierten Themen sowie lange Aktivität bei gleichzeitig moderater Beitragsfrequenz aus. Sie sind „stille Experten“, die mit hoher Effizienz und oft außerhalb des Radars klassischer Analysemodelle operieren.
Bedeutung & Ausblick
Das Projekt zeigt, wie interdisziplinäre Forschung – hier aus IT-Sicherheit, Kriminologie und Knowledge Science – in Kombination mit künstlicher Intelligenz dabei hilft, im Informationsdschungel des Darknets die entscheidenden Akteure zu finden.
„Diese Forschungsarbeit bringt uns der automatisierten Identifikation von strukturell relevanten Bedrohungsakteuren einen wichtigen Schritt näher“, erklärt Francois Labreche, Senior AI Researcher bei Sophos. „Gerade im Kontext zunehmend vernetzter Angriffsökosysteme ist es entscheidend, nicht nur Angriffe, sondern auch die Akteure dahinter zu erkennen.“
Sophos wird die gewonnenen Erkenntnisse in seine laufenden Bedrohungsanalysen einbinden, um bestehende manuelle Analysen gezielt zu ergänzen, relevante Zielpersonen frühzeitig zu erkennen und effektiver gegen organisierte Cyberkriminalität vorzugehen.
Der gesamte Report ist in englischer Sprache hier nachzulesen: https://information.sophos.com/en-us/2025/06/30/using-ai-to-identify-cybercrime-masterminds/
