一名俄语威胁行为者利用Google开源的Gemini CLI工具操控僵尸网络,AI代理在200多次会话中主动提出59次优化建议,并在6分钟内完成了C2基础设施迁移。该案例揭示了AI工具被滥用于网络攻击的新风险,目前Google尚未就此作出回应。

一名代号为"bandcampro"的俄语威胁行为者,利用Google开源的Gemini CLI人工智能工具充当黑客代理,并操控一个小型僵尸网络。

该AI代理能够响应攻击者的指令,实时排查问题,并在至少59次交互中主动提出操作优化建议。

在2026年4月21日至5月19日期间,该威胁行为者与AI工具协作超过200次会话,成功部署并操控了一个控制某牙科诊所8台系统的基础设施,并获取了对OpenDental数据库的访问权限。

更值得关注的是,AI代理扮演了"授权渗透测试人员"的角色,全程未触发安全免责声明,并自动保存了所有获取的凭据。其技能文件中包含完整的C2(命令与控制)操作手册,涵盖架构描述、标准操作流程、感染代码、持久化命令以及故障排除步骤。

AI指挥的僵尸网络迁移:仅用6分钟

Trend Micro研究人员指出,该威胁行为者利用Gemini CLI将僵尸网络迁移至新的C2基础设施。整个过程始于一句简单的指令:"研究C2迁移"。AI随即自行研读指南,并准备好了迁移所需的全部步骤和代码。

仅用6分钟,AI就完成了C2基础设施的迁移,包括架构设计、编码、VPS部署、Cloudflare配置以及初始调试。

"AI读取了迁移指南,然后准备了一个迁移包——一个包含服务器代码、payload和技能文件的小型归档文件。接着它解压了该包,在VPS上启动了C&C服务器,并建立了Cloudflare隧道。"Trend Micro在报告中写道。

迁移初期,部分机器未能重新连接。AI迅速诊断出旧服务器与新服务器之间存在流量冲突。在攻击者关闭旧服务器后,所有僵尸节点成功重新上线。

日常操作日志显示,该威胁行为者完全通过自然语言指令管理僵尸网络:询问哪些机器在线、列出特定计算机上的文件、生成感染链接——全程无需手动编写代码。

轻量级僵尸网络:仅5KB的“三件套”

从技术角度看,这个僵尸网络的设置极为轻量。所有组件和指令仅包含在三个纯文本文件中,总计约5KB:

  1. Gemini越狱提示——突破AI安全限制

  2. C2操作手册——涵盖感染、持久化和故障排除

  3. 迁移指南——用于重建基础设施

C2服务器基于内存中的Python HTTP服务器,代理端使用每5秒轮询一次的PowerShell脚本。持久化手段则根据权限级别,分别采用计划任务、WMI事件和注册表修改。

Trend Micro表示,该恶意软件本身并不复杂——没有使用混淆、加壳或逃逸机制。

不止于僵尸网络:AI还被用于密码猜测与数据窃取

除了操控僵尸网络,该威胁行为者还被发现利用AI进行以下活动:

  • 密码猜测:为WordPress门户生成现有密码的合理变体

  • 数据分析:分析1Password数据转储,寻找可利用的漏洞

    不过研究人员指出,后者之所以失败,是因为操作时间过长,导致AI丢失了更广泛的攻击概念。

AI也曾拒绝服从

检索到的日志显示,Gemini至少在一次案例中拒绝了指令——当被要求构建一个自我传播的"agent-bomb"(智能体炸弹)时。但这并未阻止攻击者,他只是转而尝试其他任务。

BleepingComputer已就Gemini CLI被滥用一事联系Google征求意见,截至发稿时尚未收到回复。

消息来源:https://www.bleepingcomputer.com/news/security/google-gemini-cli-abused-as-a-hacking-agent-malware-botnet-operator/

声明:本文来自安全威胁纵横,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。