Unit 42 vergleicht das Phänomen mit halluzinierten Paketnamen, die Sprachmodelle ebenfalls regelmäßig erzeugen. So wie ein Modell einen nicht existierenden Bibliotheksnamen ausgeben kann, könne es auch fiktive Domains für Webportale, API-Endpunkte oder Unternehmensdienste einer Zielmarke erzeugen, schreiben die Forscher. Wer Anfragen an KI-Assistenten stellt und dann zu solchen Phantom-Portalen geleitet wird, ist laut Bericht einem Risiko für schädliche Aktivitäten ausgesetzt.

Als mögliche Angriffspfade nennt Unit 42 mehrere Szenarien. Ein Coding-Assistent könnte etwa eine plausibel klingende, aber unregistrierte URL für ein Benefits-Portal erzeugen, die ein Angreifer vorab registriert. Ebenso könnte ein KI-Rechercheagent eine glaubhafte Domain für ein Banking-Portal ausgeben, die bereits von einem Angreifer besetzt wurde, um Datenverkehr abzufangen. Ein weiteres Beispiel: Ein Entwickler übernimmt einen von einer KI erzeugten API-Endpunkt in seinen Code und leitet Anwendungsdaten damit unbemerkt an einen von Angreifern kontrollierten Server.

Johan Edholm, Sicherheitsingenieur und Mitgründer von Detectify, beschreibt die Angriffskette gegenüber Dark Reading als simpel: Modelle würden auf wiederholt erfundene Domains abgefragt, die nützlichsten Namen registriert, dahinter Phishing- oder Schad-Inhalte platziert und anschließend darauf gewartet, dass eine Person oder zunehmend ein autonomer Agent der Empfehlung folgt. Gerade weil dieses Vorgehen billig, wiederholbar und skalierbar sei, werde es gefährlich.

Edholm ordnet Phantom Squatting als verwandt mit Typosquatting ein, aber mit einem entscheidenden Unterschied: Beim Typosquatting wartet der Angreifer auf einen Tippfehler bei einer bekannten Domain. Beim Phantom Squatting wartet er darauf, dass ein Modell eine plausible Domain erfindet und Nutzer dorthin lenkt. Das erschwere auch die Erkennung, weil solche Domains außerhalb der üblichen Varianten liegen können, die Verteidiger normalerweise überwachen, und neu registrierte Domains zunächst kaum oder gar keine Reputationshistorie besitzen.

Nach Angaben von Unit 42 wurden bei der proaktiven Überwachung prioritär eingestufter halluzinierter Domains Registrierungen durch potenzielle Angreifer 18 bis 51 Tage nach der ersten Identifizierung beobachtet. In einem Fall markierten die Forscher 23 Tage vor der Registrierung eine „hochriskante“ E-Commerce-Domain eines Postdienstes. Später wurde sie als opferseitige Website für ein Phishing-Kit mit dem Namen „Montana Empire“ genutzt.

Der Angreifer setzte dabei nach Angaben von Unit 42 einen KI-Coding-Assistenten ein, um das vollständige Phishing-Kit zu bauen: einschließlich des Auslesens legitimer Shop-Seiten, des Aufbaus des PHP-Backends und der Einrichtung einer Telegram-basierten Command-and-Control-Infrastruktur vor der Domainregistrierung. Später wurde die Domain für den Diebstahl von Zugangsdaten verwendet. Für Unit 42 zeigt dieser Fall den vollständigen Ablauf des Bedrohungsmodells: Der Angreifer nutzte KI-Systeme, um Angriffswerkzeuge gegen eine Infrastruktur zu erzeugen, die die Forscher 23 Tage zuvor identifiziert hatten.

Weitere Fälle betrafen laut Unit 42 nationale Postdienste und andere Sektoren, die mit Phishing sowie einer schädlichen Android-Anwendung angegriffen wurden. Edholm sieht das besondere Risiko darin, dass der Auslieferungsweg der schädlichen Aktivität bereits vom System legitimiert erscheint. Die Empfehlung komme über einen vertrauenswürdigen Assistenten statt per Phishing-Mail und erbe damit Glaubwürdigkeit, die sich der Angreifer nicht erst erarbeiten müsse. Zudem umgehe der Ansatz Abwehrmechanismen, die zunächst auf einen schlechten Ruf einer Domain angewiesen sind.

Edholm warnt zudem, der Vektor könne sich von irreführenden Antworten oder Empfehlungen zu einem automatisierten Kompromittieren der Lieferkette weiterentwickeln, ohne dass überhaupt noch ein menschlicher Klick nötig sei. Als Schutz empfiehlt er Organisationen, URLs gegen maßgebliche Dokumentation oder genehmigte Allow-Listen zu prüfen, KI-Agenten nicht frei mit beliebigen neuen Domains verbinden zu lassen und den Zugriff dieser Systeme auf Zugangsdaten und Daten eng zu begrenzen.