Uma campanha maliciosa tem como alvo endpoints de serviços de LLM (Large Language Model) expostos, com o objetivo de comercializar o acesso não autorizado à infraestrutura de IA.
Em um período de 40 dias, pesquisadores registraram mais de 35 mil sessões de ataque em seus honeypots.
O monitoramento revelou uma operação criminosa em larga escala, que monetiza e explora o acesso a endpoints de IA desprotegidos ou com autenticação fraca.
Batizada de “Bizarre Bazaar”, a campanha é considerada um dos primeiros exemplos conhecidos de ataques de ‘LLMjacking’ atribuídos a um ator de ameaça específico.
De acordo com o relatório, a ação envolve o acesso não autorizado a endpoints vulneráveis da infraestrutura de LLM para:
- Roubar recursos computacionais para mineração de criptomoedas;
- Revender acesso via APIs em mercados da dark web;
- Exfiltrar dados de prompts e históricos de conversas;
- Tentar movimentação lateral em sistemas internos por meio de servidores do Model Context Protocol (MCP).
Os vetores de ataque mais comuns incluem setups self-hosted de LLM, APIs de IA expostas ou sem autenticação, servidores MCP acessíveis publicamente e ambientes de desenvolvimento ou staging com IPs públicos.
Os invasores exploram principalmente configurações incorretas, como endpoints Ollama sem autenticação na porta 11434, APIs compatíveis com OpenAI na porta 8000 e chatbots de produção sem proteção adequada.
Os pesquisadores destacam que as tentativas de ataque começam poucas horas após a exposição do endpoint, por meio de varreduras na internet realizadas por ferramentas como Shodan e Censys.
“A ameaça vai além do abuso tradicional de APIs, porque endpoints comprometidos de LLM podem gerar custos significativos (processamento de inferência é caro), expor dados sensíveis da organização e oferecer oportunidades para movimentação lateral”, explica a Pillar Security.
No início do mês, um relatório destacou atividades similares, nas quais invasores miraram em serviços comerciais de LLM principalmente para enumeração.
As descobertas indicam uma cadeia criminosa envolvendo três atores que, aparentemente, colaboram dentro da mesma operação.
O primeiro ator utiliza bots para escanear sistematicamente a internet em busca de endpoints LLM e MCP.
O segundo valida as descobertas e testa o acesso.
O terceiro opera um serviço comercial chamado “silver[.]inc”, divulgado em plataformas como Telegram e Discord, que revende o acesso em troca de pagamentos via criptomoedas ou PayPal.
O serviço SilverInc promove o projeto NeXeonAI, descrito como uma “infraestrutura unificada de IA” que oferece acesso a mais de 50 modelos de IA de provedores líderes.
Os pesquisadores também atribuíram a operação a um ator conhecido pelos aliases “Hecker”, “Sakuya” e “LiveGamer101”.
Esse segundo alvo oferece mais chances para movimentação lateral, por meio da interação com Kubernetes, acesso a serviços em nuvem e execução de comandos shell — técnicas que podem ser mais lucrativas do que a simples exfiltração de recursos computacionais.
Embora a segunda campanha não tenha sido associada diretamente à Bizarre Bazaar, uma conexão entre as duas não está descartada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...