Um threat actor russo conhecido como “bandcampro” usou a ferramenta de código aberto Gemini CLI, do Google, como agente de ataque e para operar uma botnet de pequena escala.
O agente de IA respondeu aos comandos do invasor, solucionando problemas em tempo real e até propondo melhorias operacionais em pelo menos 59 ocasiões.
Em mais de 200 sessões entre 19 de maio e 21 de abril, o threat actor trabalhou com a ferramenta de IA para implantar e operar uma infraestrutura que controlava oito sistemas em uma clínica odontológica e para obter acesso ao banco de dados OpenDental.
O agente de IA assumiu o papel de um “testador de penetração autorizado”, operando sem alertas de segurança e salvando automaticamente quaisquer credenciais.
Seu arquivo de habilidades continha o manual de comando e controle, o C2, com uma descrição completa da arquitetura, das operações padrão, do código de infecção, dos comandos de persistência e das etapas de solução de problemas.
Pesquisadores da Trend Micro afirmam que o threat actor usou o Gemini CLI para migrar a botnet para uma nova infraestrutura de C2.
A partir de uma única instrução, “Estude a migração do C2”, a IA processou o guia e preparou todas as etapas e o código necessários para o processo.
A IA migrou a infraestrutura de C2, cuidando da arquitetura, da programação, da implantação em VPS, da configuração do Cloudflare e da depuração inicial em apenas seis minutos.
“A IA leu o guia de migração, depois preparou um pacote de migração, um pequeno arquivo compactado com código do servidor, payloads e o arquivo de habilidades.
Em seguida, descompactou o pacote, iniciou o servidor C&C em uma VPS e ativou o túnel do Cloudflare”, afirma a Trend Micro.
Quando as máquinas inicialmente não conseguiram se reconectar, a IA diagnosticou tráfego conflitante entre os servidores antigo e novo e, após o ator desativar o servidor antigo, todos os bots se reconectaram.
Os logs diários de operação mostram que o threat actor continuou a gerenciar a botnet inteiramente por meio de solicitações em linguagem natural, perguntando quais máquinas estavam online, listando arquivos em computadores específicos e gerando links de infecção.
Do ponto de vista técnico, a configuração da botnet era surpreendentemente leve, reunindo todos os componentes e instruções em três arquivos de texto simples, com cerca de 5 KB no total.
Esses arquivos continham um prompt de jailbreak para o Gemini, um manual de C2 cobrindo infecção, persistência e solução de problemas, além de um guia de migração para reconstruir a infraestrutura.
O C2 usava um servidor HTTP em Python, executado na memória, e agents em PowerShell que o consultavam a cada cinco segundos.
A persistência dependia de tarefas agendadas, eventos WMI e modificações no registro, conforme os privilégios disponíveis.
Segundo a Trend Micro, o malware em si era pouco sofisticado, já que não contava com ofuscação, empacotamento ou mecanismos de evasão.
Além da botnet, o ator teria usado IA para adivinhar senhas, gerando variações plausíveis de senhas já existentes para portais WordPress, e para analisar dumps do 1Password em busca de caminhos de exploração.
Os pesquisadores afirmam que essa última tentativa falhou apenas porque a operação se estendeu por tempo suficiente para que a IA perdesse o contexto geral do ataque.
Os logs recuperados mostram que o Gemini se recusou a obedecer em pelo menos um caso, quando foi solicitado a construir um “agent-bomb” autorreplicante, mas isso apenas levou o threat actor a testar outras tarefas.
Google foi contatado para comentar este caso de abuso do Gemini CLI, mas não havia respondido até o momento da publicação.
Publicidade
Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...