Google Gemini CLI é usado como agente de ataque e operador de botnet malware
16 de Julho de 2026

Um threat actor russo conhecido como “bandcampro” usou a ferramenta de código aberto Gemini CLI, do Google, como agente de ataque e para operar uma botnet de pequena escala.

O agente de IA respondeu aos comandos do invasor, solucionando problemas em tempo real e até propondo melhorias operacionais em pelo menos 59 ocasiões.

Em mais de 200 sessões entre 19 de maio e 21 de abril, o threat actor trabalhou com a ferramenta de IA para implantar e operar uma infraestrutura que controlava oito sistemas em uma clínica odontológica e para obter acesso ao banco de dados OpenDental.

O agente de IA assumiu o papel de um “testador de penetração autorizado”, operando sem alertas de segurança e salvando automaticamente quaisquer credenciais.

Seu arquivo de habilidades continha o manual de comando e controle, o C2, com uma descrição completa da arquitetura, das operações padrão, do código de infecção, dos comandos de persistência e das etapas de solução de problemas.

Pesquisadores da Trend Micro afirmam que o threat actor usou o Gemini CLI para migrar a botnet para uma nova infraestrutura de C2.

A partir de uma única instrução, “Estude a migração do C2”, a IA processou o guia e preparou todas as etapas e o código necessários para o processo.

A IA migrou a infraestrutura de C2, cuidando da arquitetura, da programação, da implantação em VPS, da configuração do Cloudflare e da depuração inicial em apenas seis minutos.

“A IA leu o guia de migração, depois preparou um pacote de migração, um pequeno arquivo compactado com código do servidor, payloads e o arquivo de habilidades.

Em seguida, descompactou o pacote, iniciou o servidor C&C em uma VPS e ativou o túnel do Cloudflare”, afirma a Trend Micro.

Quando as máquinas inicialmente não conseguiram se reconectar, a IA diagnosticou tráfego conflitante entre os servidores antigo e novo e, após o ator desativar o servidor antigo, todos os bots se reconectaram.

Os logs diários de operação mostram que o threat actor continuou a gerenciar a botnet inteiramente por meio de solicitações em linguagem natural, perguntando quais máquinas estavam online, listando arquivos em computadores específicos e gerando links de infecção.

Do ponto de vista técnico, a configuração da botnet era surpreendentemente leve, reunindo todos os componentes e instruções em três arquivos de texto simples, com cerca de 5 KB no total.

Esses arquivos continham um prompt de jailbreak para o Gemini, um manual de C2 cobrindo infecção, persistência e solução de problemas, além de um guia de migração para reconstruir a infraestrutura.

O C2 usava um servidor HTTP em Python, executado na memória, e agents em PowerShell que o consultavam a cada cinco segundos.

A persistência dependia de tarefas agendadas, eventos WMI e modificações no registro, conforme os privilégios disponíveis.

Segundo a Trend Micro, o malware em si era pouco sofisticado, já que não contava com ofuscação, empacotamento ou mecanismos de evasão.

Além da botnet, o ator teria usado IA para adivinhar senhas, gerando variações plausíveis de senhas já existentes para portais WordPress, e para analisar dumps do 1Password em busca de caminhos de exploração.

Os pesquisadores afirmam que essa última tentativa falhou apenas porque a operação se estendeu por tempo suficiente para que a IA perdesse o contexto geral do ataque.

Os logs recuperados mostram que o Gemini se recusou a obedecer em pelo menos um caso, quando foi solicitado a construir um “agent-bomb” autorreplicante, mas isso apenas levou o threat actor a testar outras tarefas.

Google foi contatado para comentar este caso de abuso do Gemini CLI, mas não havia respondido até o momento da publicação.

Publicidade

Um novo caminho a ser seguido

Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...