Nach Angaben von Unit 42 funktioniert der Ansatz vor allem deshalb so gut, weil neu registrierte Domains zunächst keinen Ruf besitzen. Blocklisten, Threat-Feeds und Reputationssysteme benötigen Zeit, bis eine Seite durch auffälliges Verhalten erfasst wird. Eine frisch registrierte Phantom-Domain hat diesen Eintrag noch nicht, sodass die üblichen Filter zunächst nichts anschlagen können.

Hinzu kommt laut der Analyse, dass die gefälschten Domains nicht einfach aus den Trainingsdaten der Modelle stammen. Beide untersuchten Modelle wurden veröffentlicht, bevor die realen bösartigen Seiten überhaupt existierten. Die Adressen gehen demnach auf die Sprachmuster der Modelle selbst zurück, nicht auf gespeicherte Erinnerungen. Diese Muster sind außerdem konsistent: Verschiedene Modelle erfinden für dieselbe Frage oft dieselbe falsche Domain. Wird die Kreativitätseinstellung eines Modells erhöht, entstehen laut Unit 42 sogar noch mehr erfundene Domains. Die Forscher beschreiben den Vektor deshalb als Ausnutzung „einer strukturellen Eigenschaft von LLM-Architekturen, die sich grundsätzlich nicht per Patch beheben lässt“.

Wie das in der Praxis aussieht, zeigen zwei von Unit 42 dokumentierte Fälle. Am 8. März 2026 sagte das System der Forscher voraus, dass KI-Modelle eine Domain erzeugen würden, die dem Online-Marktplatz eines nationalen Postdienstes ähnelt. Beide Modelle lieferten diese Adresse bei jeder Temperatureinstellung, was laut Unit 42 stark darauf hindeutete, dass sie die falsche Seite für eine Tatsache hielten.

23 Tage später, am 31. März, registrierte ein Angreifer exakt diese Domain und setzte dort ein Phishing-Kit mit dem Namen Montana Empire auf. Das Kit kopierte die echte Shop-Oberfläche in Echtzeit. Dabei wurden Kartennummern, Daten für Banküberweisungen und nationale Identitätsdaten abgegriffen. Ein Telegram-Bot erlaubte es dem Betreiber außerdem, Einmal-Passcodes der Opfer manuell freizugeben. Zurückgelassene Projektdateien und Sitzungsprotokolle zeigten laut Unit 42, dass der Täter das Kit mit einem KI-Coding-Assistenten gebaut hatte. Angreifer und Verteidiger kamen also auf demselben Weg auf dieselbe falsche Domain: durch eine Anfrage an eine KI.

Im zweiten Fall markierte Unit 42 eine halluzinierte Domain eines Postdienstes 51 Tage, bevor ein Angreifer sie registrierte. Anschließend versah dieser sie mit einem markentreuen Klon, ergänzte eine gefälschte Bewertung von 4,8 Sternen sowie die Behauptung von mehr als zwei Millionen Nutzern und nutzte die Seite, um eine schädliche Android-App zu verbreiten.

Weitere entdeckte Domains gaben sich als große Bank aus den Vereinigten Arabischen Emiraten aus, die ein Angreifer laut Unit 42 bereits seit fast einem Jahr missbraucht hatte, außerdem als europäische Bank sowie als Sportwetten-Seiten für Nutzer in Bangladesch.

Unit 42 ordnet Phantom Squatting als Domain-Variante von Slopsquatting ein. Dabei registrieren Angreifer gefälschte Paketnamen, die KI-Coding-Werkzeuge erfinden. Dass das kein theoretisches Problem ist, belegt eine große USENIX-Studie, nach der codegenerierende Modelle regelmäßig nicht existierende Paketnamen vorschlagen. Die Kampagne PhantomRaven machte sich genau dieses Verhalten zunutze und versteckte Malware in 126 npm-Paketen, die mehr als 86.000 Installationen erreichten.

Für Unit 42 verweist das auf einen größeren Wandel: Aus Modell-Ausgaben werden direkte Eingaben für Entwickler, Agenten und Sicherheitsteams, noch bevor jemand Links oder Namen verifiziert hat. Gleichzeitig schrumpft KI die Reaktionszeit der Verteidiger. Die Forscher verweisen zudem auf ein Umfeld, in dem Phishing zur Markenimitation bereits als Dienstleistung angeboten wird: Kits wie Lucid und Lighthouse errichteten 17.500 gefälschte Domains gegen 316 Marken in 74 Ländern.

Weil Modelle erfundene Domains oft konsistent erzeugen, können Sicherheitsteams laut Unit 42 vorab kartieren, welche falschen Adressen ein Modell wahrscheinlich ausgeben wird, und beobachten, ob jemand sie registriert — oft mit mehreren Wochen Vorlauf.